donatieknop english

Op 28 januari 2022 (Europese Dag van de Privacy) worden door Stichting Privacy First weer de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

  1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

  2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

  3. categorie Overheidsdiensten (van de overheid voor burgers)

  4. Aanmoedigingsprijs voor een baanbrekende technologie, initiatief of persoon.


“Privacy komt steeds vaker in het nieuws. Dat heeft verschillende oorzaken. De belangrijkste is dat mensen er echt meer aandacht voor krijgen en begrijpen hoe hun vrijheid wordt beperkt, als anderen hun privacy niet respecteren. Maar ook de wereld verandert, mede door Corona. Dat leidt onder meer tot nuttige, spannende en innovatieve mogelijkheden. Maar ook tot nieuwe datalekken, onnodige en onhandige verwerkingen van persoonsgegevens en nieuwe inzichten. En toenemende onveiligheid door slimme criminelen en anderen die het op onze gegevens voorzien hebben. Gelukkig zijn er nog steeds de Nederlandse Privacy Awards, die de mooiste ontwikkelingen op het gebied van privacy laten zien, hoe het beter kan en hoe het innovatie kan helpen”
, aldus Wilmar Hendriks, voorzitter van de jury.

De voorwaarden voor deelname vindt u hier.


Bepalen van de genomineerden

Alle inzenders kunnen zich t/m 15 oktober 2021 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op de criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2021 hoort u of u wel of niet tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.


Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.


Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Wilmar Hendriks, founder Control Privacy en bestuurslid Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en oprichter DePrivacyGuru
> Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting
> Magdalena Magala, Functionaris Gegevensbescherming, gemeente Zaanstad
> Mathieu Paapst, universitair docent IT-recht Rijksuniversiteit Groningen en projectlead cookiedatabase.org.


Om te garanderen dat de verkiezing van de Awards objectief verloopt wordt uitgesloten dat een jurylid een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP.

Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

 

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards

Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.

Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.

Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.

Bescherming van bijzondere persoonsgegevens

Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.

De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.

Hoe nu verder?

Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’.  Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.

Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.

Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.

Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.

Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.!

Gepubliceerd in Financiële privacy & PSD2
dinsdag, 18 mei 2021 10:22

Burgernet: privacy in het geding

Politie doet aan 24/7 tracking van burgers

Stichting Privacy First heeft de bescherming van de privacy bij Burgernet beoordeeld en maakt zich grote zorgen. Privacy First roept de Tweede Kamer op om te onderzoeken of het systeem van 24/7 tracking van burgers door de Politie wel in overeenstemming is met de beginselen van onze rechtsstaat.

Burgernet is een samenwerkingsverband tussen politie, gemeenten en burgers met als doel meer en sneller criminele zaken op te lossen. Bij inbraak, beroving, of een vermist persoon krijgen app-gebruikers in de omgeving van het incident een bericht van de politie om relevante informatie terug te koppelen.

Deze manier van werken betekent dat Burgernet 24/7 de locatiegegevens van alle deelnemers registreert. Daar dient uiteraard zeer zorgvuldig mee om te worden gegaan vanuit de AVG en de grondrechten van burgers. Privacy First heeft bekeken of er binnen Burgernet wel sprake is van die benodigde zorgvuldigheid, maar constateert verschillende problemen.

Van wie is Burgernet eigenlijk?

De wet schrijft voor dat altijd helder moet zijn welke (rechts)persoon de persoonsgegevens verwerkt. Dat is bij Burgernet niet het geval. Burgernet zat o.a. in een BV, In-Pact BV, maar die is inmiddels, volgens de Kamer van Koophandel, opgeheven. Maar waarom staat deze niet-bestaande BV bij de Burgernet app in de Apple store dan nog altijd vermeld als provider?

De website https://www.burgernet.nl vermeldt uitsluitend dat het een samenwerking is van burgers, gemeenten en politie. Contactgegevens ontbreken en het privacy statement van Burgernet vermeldt hier evenmin iets over. Burgernet lijkt inmiddels van de Politie te zijn, getuige onder meer een recente brief[1] en antwoorden[2] van demissionair minister Grapperhaus op Kamervragen, maar dit wordt binnen de app of de website van Burgernet nergens vermeld.

Geen (afdoende) toestemming voor 24/7 tracking

Voor het registreren en verwerken van locatiegegevens moet toestemming worden gevraagd. De app van Burgernet vraagt inderdaad toestemming om berichten te kunnen sturen die relevant zijn voor de buurt waarin de deelnemer zich bevindt. Volgens de AVG is gegeven toestemming echter pas geldig als het gaat om een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betreffende verwerking van persoonsgegevens wordt aanvaard. Privacy First meent dat eenieder die zich aanmeldt bij Burgernet moet worden verteld dat zijn/haar locatie door de Politie kan worden vastgesteld. Pas dan is er sprake van rechtsgeldige toestemming. Dat gebeurt nu echter nog niet.

Risico’s op ander gebruik van locatiegegevens

Het privacy statement van Burgernet vermeldt niet wat het doel is van de verwerking van persoonsgegevens, hoewel de AVG dat wel voorschrijft. Daarom is het niet duidelijk of Burgernet echt uitsluitend gegevens verzamelt en verwerkt ten behoeve van het versturen van alerteringen, of dat er meer mee gedaan wordt. De vraag rijst dan of de politie de locatiegegevens mogelijk ook voor andere doelen gebruikt. In dat verband valt op dat het privacy statement verwijst naar de Wet politiegegevens (Wpg). Dit doet vermoeden dat de persoonsgegevens mogelijk ook gebruikt worden voor andere politietaken. De politie kan in de verleiding komen om de locatiegegevens van de deelnemers van de Burgernet-app veel breder te gebruiken, zoals bijvoorbeeld bij voetbalrellen. Kan die goedbedoelende deelnemer aan Burgernet die daar toevallig in de buurt is, dan door gebruik van de app verdachte worden? En als dat zo is, volstaat dan een korte verwijzing naar de Wpg in het privacy statement? Privacy First meent van niet.

Niet voldaan aan het voorschrift van minimale gegevensverwerking

Burgernet geeft zelf aan dat er locatiegegevens verzameld worden met als doel om alleen relevante berichten te kunnen versturen. Het is onnavolgbaar waarom de app ook vraagt naar postcode en huisnummer; voor verzending van een alertering is iemands huidige verblijfplaats relevant, maar iemands privéadres in het geheel niet. Daarmee handelt Burgernet in strijd met het beginsel van dataminimalisatie. Daarnaast lijkt er binnen Burgernet geen Functionaris Gegevensbescherming te zijn, die hierop en op bovengenoemde zaken toezicht houdt.

Is het effect van dit alles behoorlijk beoordeeld?

De AVG schrijft ook voor dat bij gegevensverwerking waarbij nieuwe technologieën worden gebruikt, welke een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, altijd een behoorlijke analyse moet worden verricht van de mogelijke effecten. Nu de Politie via de Burgernet-app grootschalig gevoelige persoonsgegevens verzamelt en verwerkt met 24/7 tracking van Burgernet-leden, is een behoorlijke risicoanalyse volgens Europees recht verplicht. Privacy First heeft niet kunnen terugvinden dat een dergelijke grondige risicoanalyse ten aanzien van deze app ooit heeft plaatsgevonden. Privacy First vermoedt dat, als dat wel was gedaan, de app er heel anders uit zou hebben gezien.

Oproep aan Tweede Kamer

Privacy First roept de Tweede Kamer op om zo snel mogelijk een onafhankelijk onderzoek in te laten stellen naar de vraag (van) wie Burgernet tegenwoordig is, welke gegevens verzameld worden en waarom. Hierbij moet worden onderzocht of er wel voldaan wordt aan de huidige wetgeving. Tot slot vraagt Privacy First zich af of de doelen van Burgernet binnen een rechtsstaat niet beter gerealiseerd kunnen worden door de persoonsgegevens weg te halen bij de Politie.


[1] Zie brief d.d. 1 april 2021, Stand van zaken functionaliteit Alertering Vermist Kind, Kamerstukken II 2020-2021, 29668-57, p. 2, https://zoek.officielebekendmakingen.nl/kst-29668-57.html.

[2] Zie Antwoorden op vragen van de leden Kathmann en Van Nispen over het stopzetten van AMBER Alert, 4 mei 2021, Aanhangsel van de Handelingen II 2020-2021, nr. 2595, https://zoek.officielebekendmakingen.nl/ah-979655.

Gepubliceerd in Wetgeving
donderdag, 22 april 2021 14:13

Brief van Privacy First aan de informateur

Vandaag verstuurde Stichting Privacy First onderstaande brief (pdf) aan informateur Tjeenk Willink. Privacy First roept de informateur hierin op om bij de kabinetsformatie serieuze aandacht aan het onderwerp privacy te besteden: 

Geachte heer Tjeenk Willink,

Graag vragen wij hierbij uw aandacht voor privacy als noodzakelijk onderwerp binnen de gesprekken die door u en de partijen gevoerd worden.

De Coronacrisis waarin we momenteel leven heeft niet alleen veel geld gekost en de gezondheid van heel veel Nederlanders op het spel gezet, maar heeft ook het belang van goede bescherming van de persoonlijke levenssfeer van Nederlanders benadrukt. De CoronaMelder app en het datalek bij de GGD’en zijn pijnlijke voorbeelden van een gebrekkige bescherming van de persoonlijke levenssfeer en in deze gevallen meer specifiek de bescherming van persoonsgegevens. Andere voorbeelden zijn de talloze incidenten in de (semi)publieke en private sector, alsook de vaststelling[1] dat de meeste grote bedrijven in ons land zich bewust niet aan de (U)AVG houden.

Uit reacties in politiek en samenleving wordt de AVG onterecht en soms zelfs onrechtmatig gekarikaturiseerd als een stapel nieuwe, strenge maatregelen, die onhaalbare inspanningen van bedrijven (of overheid) vraagt en effectiviteit en efficiency bij overheid en ondernemers belemmert. Het zorgvuldig omgaan met persoonsgegevens is niet alleen een kwestie van normaal fatsoen: het is een fundamenteel recht, een mensenrecht.[2] De wettelijke voorwaarden waaraan organisaties moeten voldoen om dit recht te beschermen zijn bovendien voor bijna alle organisaties goed te realiseren. Zorgvuldige omgang met persoonsgegevens en respect voor het privéleven zal altijd uitgangspunt moeten zijn binnen organisaties en bij de ontplooiing van hun activiteiten. Dat kan doorgaans met redelijke inspanningen worden gerealiseerd, waardoor niet alleen aan de minimale eisen vanuit de wet wordt voldaan, maar bovendien wordt bijgedragen aan transparantie, vertrouwen en betere (klanten)binding met betrokkenen. Zeker wanneer privacy en gegevensbescherming worden gezien als onderdeel van een kwalitatieve dienstverlening. Sinds het van toepassing worden van de AVG, maar zeker ook in het afgelopen jaar waarin de gemiddelde Nederlandse burger zich steeds bewuster is geworden van het belang van de bescherming van de eigen persoonlijke levenssfeer, is het brede belang van privacy terechte aandacht gaan krijgen. Dit is een goed begin, maar er valt nog veel te leren en veel winst op verschillende vlakken te behalen; naast persoonlijk zeker ook economisch.

Het is daarom onze wens, aansluitend op de visie van onze stichting, dat het aankomende kabinet:

  1. zich voldoende bewust is van het belang van bescherming van dit grondrecht en dit ook expliciet onderkent en uitdraagt;
  2. hierbij zelf het goede voorbeeld geeft door haar eigen verantwoordelijkheden voldoende zorgvuldig in te richten;
  3. hierbij de positieve effecten onderkent en praktisch vertaalt, volgend uit zorgvuldige omgang met persoonsgegevens van Nederlanders, vergelijkbaar met zorgvuldige omgang met hun (belasting)geld;
  4. het bedrijfsleven en alle andere sectoren actief aanspoort en waar nodig en mogelijk dit ook te doen;
  5. de Autoriteit Persoonsgegevens alsnog snel de ruimte en middelen biedt die nodig zijn om haar taken volwaardig te kunnen uitoefenen;[3]
  6. de ambitie overweegt om op dit terrein van Nederland een internationaal voorbeeldland te maken door:
    1. als overheid heel transparant te zijn;
    2. open te staan voor leren van, investeren in en samenwerken met goede initiatieven;
    3. open te staan voor toetsing van wetgeving,
    4. waar nodig via rechtspraak en/of
    5. leidend tot aanpassing van nationale wetgeving of
    6. inzet tot aanpassing van Europese wet- en regelgeving.

Wij hopen dat u het belang van privacy en gegevensbescherming en de serieuze aandacht die hiervoor in ons land nodig is, deelt en in uw gesprekken in de informatiefase meeneemt. Voor concrete input per politieke partij verwijzen wij u naar het onafhankelijke rapport van de Datavakbond[4] waarin de standpunten uit de meeste partijprogramma’s op het gebied van privacy en informatieveiligheid zijn verzameld.

Hoogachtend,

Stichting Privacy First


[1] Zie o.m. https://fd.nl/economie-politiek/1379255/meerderheid-nederlandse-bedrijven-voldoet-na-drie-jaar-nog-niet-aan-privacywet, met als kanttekening dat wij stellen dat het bedrijfsleven in dit artikel de schuld te ver buiten de eigen verantwoordelijkheden legt, omdat zij dit voor veruit de meeste vraagstukken goed kunnen, maar vaak nog niet voldoende serieus oppakken.

[2] Het recht op de bescherming van privacy is o.a. vastgelegd in de Nederlandse Grondwet (art. 10), Handvest van de grondrechten van de Europese Unie (art. 7 en 8), het Europees Verdrag voor de Rechten van de Mens (art. 8) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (art. 17).

[3] https://www.trouw.nl/nieuws/autoriteit-persoonsgegevens-kampt-met-dramatische-achterstand-nog-10-000-klachten-op-de-plank~b808a335/.

[4] https://datavakbond.nl/?page_id=2725.

Gepubliceerd in Wetgeving

De Nederlandse rechter heeft vandaag vonnis gewezen in het kort geding dat Privacy First aanhangig maakte over het UBO-register. De rechter heeft bevestigd dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelt dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt sinds kort al bij het Hof van Justitie, omdat daarover recent door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vindt de Nederlandse rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First had ook om tijdelijke buitenwerkingstelling van het UBO-register gevraagd. Dat gaat de rechter een stap te ver. De rechter meent dat buitenwerkingstelling van het register niet mogelijk is zolang de onderliggende EU-richtlijn nog van kracht is. Dan zou de Nederlandse Staat in een positie worden gebracht dat er in strijd wordt gehandeld met een Europese richtlijn. Met deze vordering loopt Privacy First volgens de rechter op de muziek vooruit. Privacy First zal het vonnis op dit punt bestuderen, ook met het oog op een mogelijk hoger beroep.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’

Achtergrond

Begin dit jaar maakte Stichting Privacy First een principiële rechtszaak tegen de Staat aanhangig over het nieuwe UBO-register bij de Kamer van Koophandel. Onder de wetgeving waarop het UBO-register is gebaseerd moeten alle 1,5 miljoen rechtspersonen die in het Handelsregister zijn ingeschreven allerlei privacygevoelige informatie over hun UBO’s (‘ultimate beneficial owners’ oftewel ‘uiteindelijk belanghebbenden’) openbaar maken. Dit betreft de persoonsgegevens van miljoenen bestuurders, aandeelhouders en hoge leidinggevenden van bedrijven (waaronder familiebedrijven), stichtingen, verenigingen, maatschappelijke organisaties en goede doelen, kerken etc. Privacy First acht dit een massale privacyschending die tevens persoonlijke veiligheidsrisico’s creëert. Privacy First heeft daarom de rechter verzocht om het UBO-register per direct onrechtmatig te verklaren. Veel informatie in het UBO-register zal openbaar toegankelijk zijn en door iedereen opgevraagd kunnen worden. Privacy First acht dit volstrekt disproportioneel en in strijd met Europees privacyrecht. Het Hof van Justitie van de EU zal toetsen of de Europese regelgeving waarop het UBO-register is gebaseerd in strijd is met het grondrecht op privacy.

Het vonnis van de kort geding rechter staat hier: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:2457.

Update 15 april 2021: gisteren heeft Privacy First spoedappèl tegen het gehele vonnis ingesteld bij het Hof Den Haag. De appèldagvaarding vindt u HIER (pdf). Privacy First verzoekt het Hof o.a. om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Gezien de grote belangen die op het spel staan hoopt Privacy First dat het Hof Den Haag deze zaak op de kortst mogelijke termijn zal behandelen.

Gepubliceerd in Rechtszaken

Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag, op de Europese Dag van de Privacy, de Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2021 zijn STER, NLdigital, Schluss, FCInet & Ministerie van J&V. 

Winnaar: STER

Reclame zonder opslag van persoonsgegevens, contextual targeting: werking bewezen

De Stichting Ether Reclame, beter bekend als de STER, heeft als één van de eerste organisaties in Nederland afscheid genomen van het gangbare model om advertenties aan te bieden op basis van informatie die via cookies verzameld wordt. De STER heeft een procedure ontwikkeld die alleen nog maar gebruik maakt van de betreffende informatie op de bezochte webpagina. Er worden in het geheel geen persoonlijke gegevens meer verzameld (gegevens zoals browserversie, IP-adres en click-through gedrag). Adverteerders leveren bij de STER hun te plaatsen advertenties in. Die advertenties worden geplaatst op basis van het door de STER ontwikkelde protocol dat gebaseerd is op een aantal eenvoudige categorieën. Die categorieën zijn verbonden aan de informatie die getoond wordt, zoals een tv-programma dat door iemand opgevraagd wordt. Het protocol is in de afgelopen periode opgebouwd en verfijnd en werkt nu naar behoren.

Op deze wijze slaat STER een aantal vliegen in één klap. Allerbelangrijkste: uit de eerste toepassingen blijkt dat deze aanpak voor adverteerders ten minste net zo effectief is als de oude, op cookies gebaseerde manier. Ten tweede, de aanpak haalt partijen uit de keten weg. Databrokers die in het oude systeem een rol vervulden zijn nu overbodig geworden. Buiten de financiële winst die dit voor de keten oplevert, voorkomt het ook dat gegevens bij partijen terechtkomen die daar eigenlijk niets mee te maken hebben. En ten derde, STER houdt de advertentiecampagnes in eigen hand.

Daarmee is STER een terechte winnaar van de Nederlandse Privacy Awards. Het uitgewerkte concept is innovatief en het draagt bij aan bescherming van de privacy van burgers zonder dat deze daar moeite voor hoeven te doen. STER onderzoekt ook de mogelijkheden om de aanpak breder in te zetten. Ook dat is innovatie die de jury toejuicht.

In die zin is de aanpak van STER ook een gefundeerd weerwoord tegen de datagraaiende grootmachten op de markt. Want STER toont hiermee aan dat dit eindeloos verzamelen van persoonsgegevens helemaal niet nodig is om je boodschap goed terecht te laten komen, of die nu commercieel of ideëel is.

Het had eventueel ook als Business-to-Business inzending kunnen meedingen, maar het directe belang van de consumenten maakte dat voor deze categorie is gekozen.

Winnaar: NLdigital

Organisatorisch vernieuwend en praktisch toepasbaar: Data Pro

Vaak hebben inzendingen voor de Privacy Awards betrekking op technische innovaties. Bij Data Pro is niet de techniek, maar de aanpak vernieuwend. Data Pro richt zich vooral op de verwerkers en niet op de verantwoordelijken en heeft concrete invulling gegeven aan AVG-verplichtingen door afspraken. Daarmee kunnen verwerkers afspraken sneller, praktisch en voldoende zorgvuldig maken en zijn ze daar ook toetsbaar op. Veel bedrijven verlenen diensten door het beschikbaar stellen van applicaties, waarbij dataverwerking aan de orde is. En dat vereist verwerkersovereenkomsten, die niet voor elke organisatie eenvoudig toepasbaar zijn. Het invullen van het bijbehorende statement leidt tot een passende verwerkersovereenkomst voor opdrachtgevers.

Data Pro is een praktisch toepasbaar instrument, bruikbaar voor de doelgroep: ICT bedrijven die in opdracht van anderen data verwerken. Centraal staat de gedragscode Data Pro, opgesteld als uitwerking van art. 28 van de AVG, met en door de deelnemers/leden (600), goedgekeurd door de Autoriteit Persoonsgegevens en leidend tot een openbaar raadpleegbare certificering.


Winnaar: FCInet & Ministerie van J&V

Ma³tch, privacy op de agenda van de overheid: innovatieve dataminimalisatie

Ma³tch is innovatieve, privacy enhancing techniek, die nu het ministerie van Justitie en Veiligheid helpt bij het bestrijden van (internationale) criminaliteit. Zo kunnen de Financial Criminal Investigation Services (FCIS) beveiligd en gepseudonimiseerd datasets delen op nationaal niveau (FIU-Nederland en de FIOD), maar ook in internationaal verband. Ma³tch is een technologie die ondersteunt/afdwingt dat betrokken partijen per gegevensveld een zorgvuldige afweging kunnen maken. Dit kan zowel over de vraag welke gegevens ze willen vergelijken en op basis van welke voorwaarden. Dit zorgt er voor dat partijen de infrastructuur zo kunnen inrichten dat technisch kan worden afgedwongen dat alleen op rechtmatige basis gegevens worden uitgewisseld.

Via hashing versleutelt organisatie A (bundels van) persoonsgegevens op een zodanige wijze dat een ontvangende partij B de mogelijkheid heeft te controleren of een persoon die bij organisatie B bekend is ook bij organisatie A bekend is. Pas als blijkt dat er een match is (omdat de lijst van bekende personen in gehashte vorm van organisatie B wordt uitgedraaid tegen de lijst van personen in de opgestuurde lijst) vindt de vervolgstap plaats waarbij ook daadwerkelijk informatie over de betreffende persoon door organisatie B bij organisatie A wordt opgevraagd. De check vindt plaats in een beveiligde decentrale omgeving, waardoor organisatie A niet weet of er sprake is van een hit of niet. De techniek voorkomt daarmee het onnodig kennisnemen van persoonsgegevens in het kader van vergelijkingen.

Deze techniek biedt bredere mogelijkheden voor toepassing. Dit was ook een belangrijke reden voor de inzending: de techniek kan worden hergebruikt in heel veel andere organisaties en systemen. De open source code laat zien hoe het werkt, hergebruik op veel terreinen is mogelijk en wordt aangemoedigd. De jury heeft dit initiatief mede daarom beoordeeld als een goede investering in privacy door de overheid, waaruit ook blijkt dat privacy daar echt op de agenda staat.

Winnaar: Schluss

Schluss meldde zich voor de Privacy Awards in 2021 voor de derde keer aan. Dat is niet de reden voor de Aanmoedigingsprijs, ook al kan het anderen stimuleren om vol te houden.

De reden is dat het een heel mooi initiatief is, gericht op eigen beheer van persoonsgegevens. De particuliere gebruiker krijgt in de vorm van een App een kluis voor zijn/haar persoonsgegevens, van medisch tot financiële en andere gegevens. De gebruiker bepaalt zelf wie of welke organisatie inzage in de gegevens krijgt. De anderen die inzage krijgen in de gegevens hoeven deze gegevens niet meer zelf op te slaan, is het idee. De organisatie Schluss krijgt ook geen inzage in wie de app gebruikt, zij faciliteert alleen. De technologie die open source is garandeert transparantie over de werking van de app.

Het is de prestigieuze Aanmoedigingsprijs geworden, omdat het nog in een betaversie leeft. Wel zijn er veelbelovende trajecten opgestart met de Volksbank en een pilot in samenwerking met het Koninklijke Notariële Beroepsorganisatie. Vanuit de missie “Met Schluss bepaal jij, en alleen jij, wie wat van jou mag weten” is gekozen voor de organisatievorm van een coöperatie. Ook dit element sprak de jury aan. Met deze nationale Aanmoedigingsprijs hoopt de jury de initiatiefnemers aan te moedigen om op de ingeslagen weg door te gaan en partijen over te halen om samen met Schluss op te trekken.


Nominaties  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.


Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald, in willekeurige volgorde:

Consumentenoplossingen: Bedrijfsoplossingen: Overheidsdiensten:
NKey Roseman Labs (Secure Multiparty Computation) Ministerie VWS (CoronaMelder)
Schluss NLdigital (Data Pro) FCInet & Ministerie J&V (Ma³tch)
STER (Contextual targeting) Simple Analytics  
4MedBox (4LifeSupport)    


Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het digitale publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.


Nationale Privacy Conferentie

De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en de Nederlandse Privacy Awards is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.

Sprekers tijdens de Nationale Privacy Conferentie 2021 waren achtereenvolgens:  

Monique Verdier (vice-voorzitter Autoriteit Persoonsgegevens)
Judith van Schie (Considerati)
Erik Gerritsen (Secretaris-Generaal, Ministerie VWS) 
Mieke van Heesewijk (SIDN fonds) 
Peter Verkoulen (Dutch Blockchain Coalition)
Paul Tang (Europarlementariër PvdA)
Ancilla van de Leest (voorzitter Privacy First)
Chris van Dam (Tweede Kamerlid CDA)
Evelyn Austin (directeur Bits of Freedom)
Wilmar Hendriks (juryvoorzitter Nederlandse Privacy Awards).


De gehele conferentie werd live gestreamd vanuit Nieuwspoort: zie https://www.nieuwspoort.nl/agenda/overzicht/privacy-conferentie-2021/stream en https://youtu.be/asEX1jy4Tv0.

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

  • Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
  • Ancilla van de Leest, voorzitter Privacy First
  • Paul Korremans, partner Comfort-IA en functionaris gegevensbescherming (tevens bestuurslid Privacy First)
  • Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
  • Alex Commandeur, senior adviseur BMC Advies
  • Melanie Rieback, CEO en co-founder Radically Open Security
  • Nico Mookhoek, privacy jurist en oprichter DePrivacyGuru
  • Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP.

Voorinschrijvingen voor de Nederlandse Privacy Awards 2022 zijn alvast welkom! 

Wilt u graag sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards
donderdag, 21 januari 2021 14:59

Nationale Privacy Conferentie 2021

Voor de vierde keer organiseren ECP | Platform voor de Informatiesamenleving en Privacy First op donderdag 28 januari 2021 de jaarlijkse Nationale Privacy Conferentie. 28 januari is de Europese Dag van de Privacy, de dag waarop in 1981 het Europese dataprotectieverdrag werd ondertekend. De Dag van de Privacy is in het leven geroepen om burgers beter te informeren over hun rechten. Daarnaast worden bedrijven en organisaties aangespoord de bescherming van persoonsgegevens te verbeteren.

Deze editie zal online plaatsvinden en staat in het teken van privacy in coronatijd. Het programma bestaat uit drie blokken met elk een ander sub-thema:

  • thuiswerken en privacy;
  • technologie in de strijd tegen corona;
  • debat over digitaliseringsvraagstukken in coronatijd.

Sprekers zijn o.a. Monique Verdier (vice-voorzitter Autoriteit Persoonsgegevens), Secretaris-Generaal Erik Gerritsen (VWS), Ancilla van de Leest (voorzitter Privacy First), Chris van Dam (Tweede Kamerlid CDA), Evelyn Austin (directeur Bits of Freedom), Paul Tang (Europarlementariër PvdA), Mieke van Heesewijk (SIDN fonds) en Peter Verkoulen (coalitiemanager Dutch Blockchain Coalition).

Ook vindt tijdens deze conferentie de uitreiking van de jaarlijkse Nederlandse Privacy Awards plaats. Alle genomineerde projecten zullen door de inzenders aan het publiek worden gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens worden uitgereikt in vier categorieën: 1) Consumentenoplossingen, 2) Bedrijfsoplossingen, 3) Overheidsdiensten en 4) Aanmoedigingsprijs.

Programma

Deel 1 – thuiswerken en privacy  

13.00 uur Welkom door dagvoorzitter Tom Jessen
13.05 uur Monique Verdier – vicevoorzitter, Autoriteit Persoonsgegevens
13.15 uur Pitch genomineerden Privacy Awards – Schluss
13.20 uur Judith van Schie – Considerati
13.30 uur Pitch genomineerden Privacy Awards – Roseman Labs + NL Digital
13.45 uur Afronding

Deel 2 – inzet van technologie in de strijd tegen corona 

14.00 uur Welkom door Tom Jessen
14.05 uur Pitch genomineerden Privacy Awards – CoronaMelder
14.05 uur Erik Gerritsen, Secretaris-Generaal van het ministerie van Volksgezondheid, Welzijn en Sport
14.15 uur Mieke van Heesewijk - SIDN fonds
14.25 uur uNLock-app – Peter Verkoulen, Dutch Blockchain Coalition
14.35 uur Discussie
14.45 uur Afronding

Deel 3 – debat over privacy in coronatijd + uitreiking Privacy Awards

15.00 uur Welkom door Tom Jessen
15.05 uur Pitch genomineerden Privacy Awards – Ma3tch
15.10 uur Een internationaal perspectief van de coronacrisis – Europarlementariër Paul Tang (PvdA)
15.20 uur Pitches genomineerden Privacy Awards – Nkey, STER, Simple Analytics en 4Med Box
15.35 uur Debat – Ancilla van de Leest (voorzitter Privacy First), Chris van Dam (Tweede Kamerlid CDA), Evelyn Austin (directeur Bits of Freedom), Monique Verdier (Autoriteit Persoonsgegevens), Paul Tang (Europarlementariër) en Judtih van Schie (Considerati).
16.00 uur Uitreiking Nederlandse Privacy Awards door jury-voorzitter Wilmar Hendriks
16.30 uur Afronding

Aanmelden kan via https://ecp.nl/agenda/nationale-privacy-conferentie-2021/ 

Normaliter organiseren ECP en Privacy First deze conferentie jaarlijks voor een relatief select publiek uit onze netwerken en achterban (maximaal 200 personen in Nieuwspoort, Den Haag). I.v.m. de coronamaatregelen hebben we besloten om het evenement ditmaal grotendeels online en dus voor een breder publiek te organiseren. Klik HIER voor een impressie van de conferentie vorig jaar.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP. Voorinschrijvingen voor de Nederlandse Privacy Awards 2022 zijn alvast welkom!

Gepubliceerd in Evenementen

De partijen die in februari vorig jaar een rechtszaak wonnen tegen fraudesysteem SyRI, waarschuwen de Eerste Kamer voor een nog grotere en ingrijpendere datakoppelwet. “Dit voorstel legitimeert de werkwijze die leidde tot de toeslagenaffaire.”

De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om databases van zowel overheden als bedrijven in zogeheten samenwerkingsverbanden aan elkaar te knopen. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen om daarmee data-analyses uit te voeren. Deze moeten helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen.

De coalitie, bestaand uit het Platform Burgerrechten, FNV, het Nederlands Juristen Comité voor de Mensenrechten, Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad en auteurs Tommy Wieringa en Maxim Februari noemt de wet ‘Super SyRI’, omdat deze in meerdere opzichten verder gaat dan het vorig jaar door de rechter uit de wet geschrapte SyRI (Systeem Risico Indicatie). De partijen noemen het voorstel een bedreiging voor het functioneren van de rechtsstaat in een brief aan de Eerste Kamer, die deze dinsdag start met de behandeling.

Parlement buitenspel gezet

De Eerste en Tweede Kamer worden in dit voorstel buitenspel gezet, schrijven de partijen. De belangrijke onderdelen staan namelijk niet geregeld in de wet waarover de Kamer nu stemt, maar worden naderhand bepaald door de minister in lagere regelgeving. Kwesties als de hoeveelheid en soorten gegevens, de partijen die erbij kunnen en de manier waarop ze worden geanalyseerd en verder worden gebruikt, worden bepaald zonder dat de Kamer daarmee instemt. Zo’n wetsconstructie is in strijd met de Grondwet, die voorschrijft dat een inbreuk op de privacy moet worden goedgekeurd door het parlement. Als de Eerste Kamer instemt met deze insteek, plaatst ze zichzelf effectief langs de zijlijn.

Alle data over burgers fair game

Het kabinet stelt in haar toelichting op de wet dat het ‘nee, tenzij’ principe bij het verwerken van persoonsgegevens moet worden omgedraaid naar een ‘ja, mits’. Daarmee keert ze het doelbindingsprincipe om, dat voorschrijft dat persoonsgegevens verzameld voor een specifiek doel, niet zomaar voor andere doelen mogen worden verwerkt. De vanzelfsprekende vertrouwelijkheid waarmee werd omgegaan met persoonsgegevens, wordt daarmee afgeschaft, zo schrijven de partijen. “Alle data over burgers zijn ‘fair game’ onder de WGS.”

Voor burgers wordt het zo onmogelijk om na te gaan wat er zoal over hen wordt uitgewisseld, waar deze informatie terechtkomt en welke gevolgen dat kan hebben. Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij is het de bedoeling dat deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die ze in het vizier krijgen.

Blauwdruk voor meer toeslagenaffaires

Uit de toeslagenaffaire is gebleken dat het heimelijk plaatsen van burgers op lijsten rampzalige gevolgen kan hebben. Het wetsvoorstel voor de WGS leest als een blauwdruk voor een nieuw data-schandaal, stellen de partijen: “Met dit voorstel koerst het kabinet af op een vorm van governance die niet past in een vrije samenleving en doet denken aan de dataverwerkingspraktijken die vooraf gingen aan de toeslagenaffaire.”

De coalitie hoopt dat de fundamentele bezwaren tegen dit voorstel, die eerder werden geuit door de Raad van State en de Autoriteit Persoonsgegevens, in de Eerste Kamer tot een uitvoerige en kritische behandeling leiden. De Tweede Kamer nam het voorstel aan op 17 december 2020, de dag dat het rapport “Ongekend Onrecht” van de parlementaire ondervragingscommissie kinderopvangtoeslagaffaire werd gepubliceerd. “Met dit debacle zo vers in het geheugen verdient dit voorstel, dat de door Belastingdienst gehanteerde werkwijze in feite van een wettelijke basis voorziet, een grondige behandeling in de Kamer die de nadrukkelijke verantwoordelijkheid heeft voor het bewaken van de kwaliteit van wetgeving.”

Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-aan-eerste-kamer-super-syri-blauwdruk-voor-meer-toeslagenaffaires/, 11 januari 2021. 

Gepubliceerd in Wetgeving

Privacy First maakt een principiële procedure aanhangig tegen de Staat over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.

Het UBO-register beoogt witwassen tegen te gaan, maar zal zwartmaken tot gevolg hebben.

De privacyschending die het gevolg is van het UBO-register en de openbare toegankelijkheid van gevoelige gegevens is niet proportioneel. Het doel van het UBO-register is witwassen tegengaan en terrorismefinanciering bestrijden. Om dat doel te bereiken is geen UBO-register nodig, in ieder geval geen register dat voor iedereen openbaar toegankelijk is.

Privacy First verzoekt daarom de Nederlandse rechter om het UBO-register buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Uiteindelijk heeft de rechter in dit soort zaken het laatste woord. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De rechtszaak zal door de Rechtbank Den Haag worden behandeld. Het kort geding wordt behandeld op 25 februari 2021 om 12.00 uur. De dagvaarding vindt u HIER (pdf). De uitspraak volgt twee of drie weken na de zitting.

Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.


Achtergrond rechtszaak tegen UBO-register

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren.

De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. Iedereen heeft toegang tot het UBO-register, tegen betaling van € 2,50 per uittreksel.

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het al proportioneel is om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Dat gebeurt vaker. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Dataretentierichtlijn en recent het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht.

Update 25 februari 2021: vanmiddag vond in de rechtbank Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van de rechter staat gepland op donderdag 18 maart as.

Media:
Security.nl, 6 januari 2021: Privacy First start rechtszaak tegen Staat over UBO-register
Mr. Online, 7 januari 2021: Privacy First begint rechtszaak over ‘ongeldig’ UBO-register 
Advocatie, 7 januari 2021: Kort geding Privacy First om ‘privacy schendend’ UBO-register buiten werking te stellen
Security.nl, 7 januari 2021: Belgische overheid haalt UBO-register offline wegens beveiligingslek
Financieel Dagblad, 8 januari 2021: Privacyclub sleept staat voor rechter om UBO-register 
Controllers Magazine, 23 februari 2021: UBO-register: Buitenproportioneel middel tegen witwassen?
TaxLive, 24 februari 2021: Op weg naar een beperkt openbaar UBO-register
NOS.nl, 25 februari 2021: Privacy First vecht met kort geding het UBO-register aan
Radio 1 Journaal (NOS), 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register (vanaf 6.44u)
BNR Nieuwsradio, 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register

Gepubliceerd in Rechtszaken

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.


Genomineerden

Dit jaar heeft opnieuw een groot aantal inzenders (waaronder meerdere overheidsorganisaties) zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse gesprekken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:

NLdigital

NLdigital (voorheen Nederland ICT) is een branchevereniging in de digitale sector. Ze vertegenwoordigt 600 leden van start-up tot multinational. Veel van deze leden behoren tot het MKB en zijn verwerker. NLdigital heeft gezocht naar een manier om hun leden te ondersteunen bij het implementeren van de AVG op een wijze die verder gaat dan alleen het aanbieden van een 10-stappenplan.

Door het beschikbaar stellen van een model verwerkersovereenkomst afgestemd op de branche, de Data Pro Code en het Data Pro Statement, heeft NLdigital een concrete invulling gegeven van de AVG voor verwerkers in de digitale sector. De Data Pro Code is bovendien transparant met een openbare certificering, staat open voor niet-leden en zal toetsbaar zijn door een nog in te stellen onafhankelijk toezichthoudend orgaan. De Data Pro Code is bovendien goedgekeurd door de Autoriteit Persoonsgegevens. Daarmee heeft NLdigital als brancheorganisatie een innovatieve werkwijze gevonden voor het ondersteunen van leden bij de implementatie van de AVG.

Simple Analytics

Simple Analytics heeft een eenvoudige analysetool ontwikkeld om het bezoek aan websites te meten. Met deze betalende dienstverlening respecteren zij de “do-not-track” instelling van gebruikers door niets van hen op te slaan. Er worden geen cookies en advertenties geplaatst tijdens het bezoek aan een website.

Met de dienstverlening voor bedrijven en organisaties doorbreekt Simple Analytics de trend van mondiale aanbieders die gratis een analysetool aanbieden waarbij o.a. trackgegevens worden doorverkocht in de vorm van advertenties. Binnen 2 jaar maken al ruim 500 organisaties gebruik van deze dienstverlening die bewust kiezen om geen persoonsgegevens te verzamelen van bezoekers, maar uitsluitend geaggregeerde data gebruiken om analyses te maken.

Door op deze wijze bezoeksdata te analyseren wordt maximaal de privacy van burgers gerespecteerd die gebruik maken van het internet als informatiebron. Dit verdienmodel heeft bewezen levensvatbaar te zijn.

FCInet & Ministerie van Justitie en Veiligheid

FCInet Secretariat is onderdeel van een internationale samenwerking gericht op het bestrijden van economische misdrijven zoals belastingfraude, corruptie en witwassen. Als uitgangspunt daarbij geldt Connect, don't collect. Daartoe is Ma³tch ontwikkeld.

Via een wiskundig formalisme (hashing) versleutelt organisatie A (bundels van) persoonsgegevens op een zodanige wijze dat een ontvangende partij B de mogelijkheid heeft te controleren of een persoon die bij organisatie B bekend is ook bij organisatie A bekend is. De check vindt plaats in een beveiligde decentrale omgeving, waardoor organisatie A niet weet of er sprake is van een hit of niet. Pas als blijkt dat er een match is vindt de vervolgstap plaats waarbij ook daadwerkelijk informatie over de betreffende persoon door organisatie B bij organisatie A wordt opgevraagd.

FCInet is er in geslaagd om samen met het Ministerie van Justitie en Veiligheid een Privacy by Design toepassing concreet toepasbaar te maken in een internationale samenwerking. Alleen noodzakelijke gegevens worden uitgewisseld. Het toepasbaar maken van de techniek in een bestaand proces van gegevensuitwisseling heeft veel overredingskracht gevraagd binnen traditioneel ingerichte (internationale) overheidsorganisaties. De volharding en de potentie van de gebruikte techniek rechtvaardigen een nominatie voor dit initiatief.

Schluss

Schluss biedt een datakluis aan voor het beheer van persoonlijke gegevens. De datakluis die Schluss in ontwikkeling heeft geeft individuen verregaande mogelijkheden om hun gegevens te beheren en beschikbaar te stellen op basis van hun eigen voorwaarden.

Naast de technische voorziening van een veilige datakluis wil Schluss betrokkenen ook ondersteunen in de wijze waarop ze met hun gegevens om kunnen gaan. Daartoe onderzoekt Schluss de voordelen van een coöperatie bij het beheer van gegevens, en welke spelregels over het beschikbaar stellen van gegevens gebruikt zouden moeten worden.

Op deze wijze zet Schluss niet alleen in op technische innovatie maar ook op een organisatorisch innovatieve manier om de privacy van individuen beter te beschermen.

Nkey

Nkey is een inspirerende Privacy by Design oplossing, die als plug-in voor website en app bouwers gemakkelijk een deel van de privacy voldoende veilig kan inrichten.

De bouwer van je website, bijvoorbeeld een online shop, neemt een abonnement en ‘plugt je site erop in’, je betaalt per maand en je klanten kunnen zelf de beschikbaarheid van hun gegevens zien en bijhouden.

Nkey laat zien dat er goede mogelijkheden zijn om maximaal controle te houden over je persoonsgegevens en deze alleen te laten gebruiken met jouw toestemming.

Ministerie van Volksgezondheid, Welzijn en Sport

De CoronaMelder app is inmiddels al door meer dan 4,3 miljoen mensen in Nederland gedownload. De app waarschuwt je op het moment dat je in de buurt bent geweest van iemand met corona. De app maakt gebruik van de technologie Bluetooth Low Energy. Via dit signaal kan gemeten worden of je in de buurt bent geweest van iemand die later positief is getest. Door de samenwerking met corona apps uit andere EU-landen krijg je ook een melding als je in contact bent geweest met een persoon die een corona-app gebruikt van een ander EU-land.

Gebruikers van de app ontvangen een melding nadat ze:
1. minimaal 15 minuten dicht bij iemand zijn geweest die later corona blijkt te hebben;
2. deze persoon de app ook gebruikt; en
3. deze persoon via CoronaMelder samen met de GGD aangeeft het coronavirus te hebben.

De app is een aanvulling op het bron- en contactonderzoek dat door de GGD wordt uitgevoerd. De app zelf slaat alleen statische gegevens op, zogenaamde wiskundige codes die om de 14 dagen worden verwijderd en niet te herleiden zijn tot een persoon. Mocht blijken dat de app-gebruiker corona heeft dan kan die ervoor kiezen om de wiskundig gegenereerde code op een server op te slaan, zodat andere gebruikers die mogelijk in de buurt zijn geweest geïnformeerd kunnen worden. De melding bevat alleen informatie over het feit dat je in buurt bent geweest van een besmet persoon en niet wie het was of waar dit is geweest.

STER

STER verzorgt alle reclame-uitingen voor de publieke omroep. Voor de online reclames heeft STER radicaal gebroken met de gebruikelijke aanpak om via ´cookies´ advertenties zoveel mogelijk af te stemmen op de kenmerken die over een persoon verzameld worden.

In plaats daarvan is STER overgestapt op een systeem dat uitsluitend gebruik maakt van informatie over het product dat bekeken wordt. Deze contextuele benadering van het aanbieden van advertenties blijkt in de praktijk net zo effectief als de gebruikelijke manier van advertentieselecties en biedt daarnaast nog een aantal extra voordelen, ook voor de adverterende partijen.

STER heeft deze stap gezet omdat duidelijk was dat het gebruik van persoonskenmerken voor het aanbieden van advertenties bij veel mensen irritatie opwekt. De Algemene Verordening Gegevensbescherming gaf het laatste zetje om over te stappen.

Door de nieuwe aanpak verdwijnen er partijen uit de keten die vooral dienden om persoonskenmerken te verzamelen en te verwerken voor adverteerders. Er blijft meer geld over voor de adverteerders. STER beheert de gehele advertentiecampagne in huis. Een door de STER ontwikkelde aanpak voegt automatisch trefwoorden aan de digitale content toe. STER geeft door aan adverteerders wat de effectiviteit van hun campagnes is geweest. Met deze aanpak heeft STER een technisch en organisatorisch model ontwikkeld dat beter aansluit op de privacybehoeften van betrokkenen, ten minste net zo effectief is als het oude systeem en minder kosten met zich meebrengt. Het model is naar andere domeinen buiten de publieke omroep over te brengen.'

4MedBox

4LifeSupport van 4MedBox zet de verhouding tussen bron en betrokkene in een ander daglicht. Het individu, de persoon, wordt als bron en bepaler beschouwd, die bepaalt welke partijen of professionals toegang tot de gegevens verkrijgen. Door het zelfbeschikkingsprincipe dat in het platform is verwerkt stelt het individuen in staat om vervolgens die data naar eigen inzicht bijvoorbeeld te delen of te verkopen aan door hen geselecteerde partijen. Het kan wat van de mensen vragen qua handigheid, begrip en inzicht, maar kan dan ook veel bieden op het vlak van zelfregie. Die heeft zeker te maken met privacy, maar werkt dan ook breder.

4LifeSupport staat nog aan het begin van een langer proces en vraagt nog uitwerking op een aantal onderdelen, maar de jury beoordeelt de aanpak en vorderingen als voldoende om het te nomineren.

Roseman Labs

Roseman Labs is door drie academici opgericht met als doel om moderne privacy technologieën zoals secure multiparty computation (MPC) breed en gemakkelijk toepasbaar te maken.

Multiparty computation stelt meerdere partijen in staat om berekeningen uit te voeren op hun gezamenlijke dataset, zonder deze data onderling te hoeven delen; alleen het resultaat van de berekening wordt bekend.

MPC is met name relevant voor sectoren waarin zowel data-privacy als samenwerking tussen meerdere stakeholders cruciaal is, zoals de financiële sector, de gezondheidssector, geo-informatiediensten, energiebedrijven, e-commerce en cyber-weerbaarheid.

Roseman Labs heeft Cranmera ontwikkeld, een MPC software engine waarmee in korte tijd domeinspecifieke applicaties op basis van MPC kunnen worden gebouwd. Voorbeelden van dergelijke applicaties zijn een enquêtesysteem waarbij de antwoorden van respondenten op basis van MPC versleuteld worden verwerkt, en een pseudonimisatie-oplossing met sterke privacygaranties voor interbancaire transactiemonitoring.

 

Jury Nederlandse Privacy Awards

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
- Ancilla van de Leest, voorzitter Privacy First
- Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Alex Commandeur, senior adviseur BMC Advies
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en oprichter DePrivacyGuru
- Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op 28 januari as. worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens worden uitgereikt in vier categorieën: 1) Consumentenoplossingen, 2) Bedrijfsoplossingen, 3) Overheidsdiensten en 4) Aanmoedigingsprijs.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP. Wilt u graag ook (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

 

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards
Pagina 1 van 6

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon