donatieknop english

Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld?


Publieksdebat Kinderen en Privacy                                  
Foto's: Bertus Gerssen

Op 17 januari 2018 vond de Nieuwjaarsborrel van Privacy First en ons publieksdebat Kinderen & Privacy plaats in het Volkshotel, tevens kantoorlocatie van Privacy First, te Amsterdam. Deze avond stond grotendeels in het teken van een thema dat Privacy First steeds meer zorgen baart: de privacy van onze kinderen in een wereld die steeds verder digitaliseert, met name in het onderwijs. Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld? Welke gegevensverwerkingen vinden in het onderwijs plaats, welke risico’s kleven hieraan en welke maatregelen kunnen worden getroffen om de privacy van leerlingen te waarborgen? Achtereenvolgens kwamen Bas Filippini (voorzitter Privacy First), Huib Gardeniers (Net2Legal), Simone van Dijk (Privacy First), Arda Gerkens (Eerste Kamer en Meldpunt kinderporno op internet) en Iris Hoen (Wille Donker Advocaten) aan het woord. Hieronder ons verslag:

Bas Filippini – voorzitter Privacy First

Privacy First NjrsBorrel 01


Privacy First is nu negen jaar bezig en heeft in 2017 structurele fondsen gekregen van o.a. Stichting Democratie en Media en Adessium Foundation. Dat geeft ons ruimte om te investeren in de organisatie, hierdoor hebben we het afgelopen jaar kunnen uitbreiden en Robbie van Herwerden aangenomen voor structurele research. Dit geeft ons een basis om de discussie zo feitelijk mogelijk te voeren in een debat waar de emotie vaak hoog oploopt. Verder is ons bestuur uitgebreid met Paul Korremans, waardoor wij dichterbij komen tot een driekoppig bestuur. 
 
Onze aandacht is afgelopen jaar vooral uitgegaan naar politieke lobby omtrent de onderwerpen Automatische Nummerplaatherkenning (ANPR), de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of Sleepwet), het wetsvoorstel Computercriminaliteit III ('politie-hackwet'), het Systeem Risico Indicatie (SyRI, risicoprofilering) en horizontale privacy, oftewel privacy tussen mensen onderling. Wij hebben ons ingezet voor het referendum tegen de Sleepwet en hebben input geleverd over de Nederlandse privacysituatie bij de VN Mensenrechtenraad. Daarnaast zijn er in 2017 ook rechtszaken gevoerd of ondersteund door Privacy First, onder meer rond de Arnhemse afvalpas, de OV-chipkaart, EPD/LSP, de zaak 'Burgers tegen Plasterk', trajectcontroles, kentekenparkeren en het recht op contante of anonieme betaling.

Wij denken mee met de banken over PSD2; we zijn van mening dat hier niet goed over is nagedacht en vinden het een heikel punt dat er in de uitgewisselde bankgegevens ook bankgegevens van derden staan. In 2018 komt de AVG (Algemene Verordening Gegevensbescherming), waarbij wij toejuichen dat hierdoor de belangstelling voor privacy is toegenomen. Aan de andere kant moeten we wel uitkijken dat we niet denken dat we er met de AVG wel zijn. De discussie dreigt zich te versmallen tot ‘privacy = data’. Privacy is echter meer dan dat. Het is de principiële basis van onze democratische rechtsstaat.

Kinderen en Privacy

We gaan momenteel richting een surveillance maatschappij met een Digital Life File vanaf de geboorte. Het is echter belangrijk voor de mens dat je fouten kan en mag maken en dat je van je fouten kan en mag leren. Dat verschoningsrecht dat je niet over 5, 10 of 15 jaar nog met een foutje dat je ooit hebt gemaakt wordt geconfronteerd, hoort erbij in het leerproces. De vragen die wij ons stellen zijn: wat gebeurt er momenteel op het gebied van kinderen en privacy, wat zijn hier de regels precies en hoe wordt daarmee om gegaan? Als we kinderen meer privacybewustzijn meegeven, kunnen ze beter omgaan met sociale media.

Huib Gardeniers – Net2Legal

Privacy First NjrsBorrel 02
Huib Gardeniers was moderator tijdens de avond. Gardeniers is sinds eind jaren '80 al betrokken bij het onderwerp privacy. Sinds die jaren is het onderwerp gegroeid en is het bewustzijn gegroeid, maar we zijn nog niet uit de essentiële vraagstukken. Juristen hebben dit onderwerp 'gekaapt', maar privacy gaat niet over juristerij. Privacy is meer dan dataprotectie alleen. Privacy is ook ethiek.

Eén van Gardeniers' nevenactiviteiten was dat hij door een ministerie was gevraagd om een Tafel voor privacy voor te zitten in het kader van een doorbraakproject ‘ICT en onderwijs’. Dit was een breed project om ICT te stimuleren in het onderwijs. Hij vond het een zeer interessante ontwikkeling, waarbij hij het idee had dat de verschillende partijen aan tafel niet goed door hadden wat de anderen deden. De verschillende partijen uit het onderwijs, zoals de VO-raad, PO-raad, leveranciers en scholen zaten over dit onderwerp voor het eerst om de tafel naar elkaar te luisteren. Hieruit kwam eigenlijk naar voren dat niemand precies wist wie nou eigenlijk wat met de verzamelde gegevens mocht doen. Dit was dan ook één van de aanbevelingen die werd gedaan. Het werd al snel opgepikt door de pers en hieruit volgden Kamervragen en werd door de Minister aangegeven dat er binnen drie maanden een Convenant moest komen. Dit Convenant kenmerkt zich eigenlijk door één ding en dat is rolverdeling. De essentie is dat scholen verantwoordelijk zijn voor de eigen gegevens en dat de uitgevers, leveranciers, distribiteurs en schoolinformatiesystemen de uitvoerders zijn van de scholen. Die kunnen dus niet zelfstandig bepalen wat ermee gebeurt. Kort gezegd: wie is verantwoordelijk en wie mag wat precies met de gegevens doen. Dit Convenant is breed opgepakt, maar er moet nog veel meer gebeuren in dit traject.

Er wordt vaak gekeken naar andere partijen, zoals de school en leveranciers. Maar vaak hebben we het niet over de ouders zelf. En daar wringt de schoen ook een beetje. We stappen wat te makkelijk over onszelf heen. Ter illustratie wordt een fragment uit Black Mirror, een serie van Netflix, vertoond. Dit laat zien dat, als reactie op de angst van een ouder, vaak controle volgt.

Zo ook met schoolinformatiesystemen zoals Magister, waarmee je als ouder online met je kind kunt meekijken. Daarbij bestaat een app waarmee je pushberichten kunt krijgen wanneer er nieuwe cijfers zijn en wanneer er afwezigheid is (spijbelen). Er zijn ouders die dat gebruiken en alles de hele tijd controleren. Oftewel: er gebeurt genoeg om ons heen waar we zelf invloed op hebben. 

Simone van Dijk – Privacy First

Privacy First NjrsBorrel 14e2
Simone is een bezorgde moeder en soms ook wel een angstige moeder, als ze ziet welke mogelijkheden er zijn om kinderen te volgen en dat daarvan ook gebruik wordt gemaakt. Ze maakt zich zorgen om de privacy van haar kind en dan vooral het gebrek daaraan. Ze is altijd al bezig geweest met privacy. Een voorbeeld uit het leven gegrepen was onlangs bij de Hema: “Wilt u een Hema klantenkaart?” “Nee dank u.” “Waarom wilt u dat niet? Maar dan krijgt u korting!” “Dat maakt mij niet uit.” “Maar waarom wilt u dat dan niet?” “Nou, gewoon omdat ik mijn gegevens niet aan u wil geven.” Waarop de kassière zei: “Nou mevrouw, ik ben benieuwd wat u dan van plan bent.” Misschien dat ze de volgende keer vraagt: “Nou mevrouw, mag ik dan uw adres, telefoonnummer en e-mail en doe gelijk ook maar de gegevens van uw kinderen. Waar zitten die op school?” Waarop waarschijnlijk al snel de beveiliging naar haar toe zou komen, om te vragen om te stoppen met intimiderend gedrag.

En dat gebeurt ook als ouder. Toen het kind van Simone naar school ging, kwam ze in aanraking met de digitalisering van het onderwijs en kwam ze in allerlei situaties terecht over de privacy van haar kind. En als je de privacy van je kind wilt beschermen, word je dat niet in dank afgenomen. De school vond de privacy niet zo heel belangrijk en de vragen waren vooral maar vervelend, en ook een reden om voor een andere school te kiezen. Maar toch wilde ze weten wat er precies allemaal van haar kind was opgeslagen. Hierop kreeg ze geen antwoord van de directrice, maar wel van de overkoepelende directeur van de scholengemeenschap, met het verzoek om de directrice niet meer met dit soort onzin lastig te vallen.

Zo ook met de gegevens die zijn opgeslagen bij de bibliotheek, waarover Simone onlangs een column voor Privacy First heeft geschreven. Ze had aangegeven dat ze niet wilde dat haar kind werd ingeschreven en dat er werd bijgehouden welke boeken er werden gelezen. Als tussenoplossing mocht haar kind even op de kaart van de docent boeken lenen, maar al snel werd het ultimatum gesteld dat haar kind mee kon doen of niet. Ondanks dat hiervoor geen toestemming was verleend, is haar kind alsnog ingeschreven bij de bibliotheek. De gegevens die hierbij werden opgeslagen waren niet alleen naam en adres, maar ook de schoolgroep. Waarom moet de bibliotheek dit weten? Als een kind blijft zitten, is dit dan ook meteen bij de bibliotheek bekend en bij wie eigenlijk nog meer? Wanneer je als ouder met deze partijen spreekt, zoals de bibliotheek en de softwareleverancier, dan wordt er lacherig over gedaan, "wat wilt u nou eigenlijk" en "u vindt het toch ook belangrijk dat uw kind boeken leest"? En dat is ook zeker belangrijk, maar nog belangrijker is dat er niet stelselmatig wordt vastgelegd welke boeken er worden geleend en dat anderen, zoals de leraar, dat kunnen zien en ook nog met derde partijen kan worden gedeeld. Men vindt het raar als je daar vragen over stelt. Je wordt als ouder neergezet als zeurpiet, maar als je ziet wat die partijen allemaal van een kind willen weten, dan ben je geen zeurpiet.

Als ouder wil Simone zelf de beschikking hebben over de gegevens van haar en haar kind. Zonder dat daarover discussies moeten worden gevoerd, en waarbij er een keuze is welke gegevens worden verwerkt. Je wordt als ouder gedwongen om in de digitalisering mee te gaan. Simone is inmiddels actief bij Privacy First en heeft als missie om ouders bewust te maken. En daarbij ook te kijken naar de scholen, bibliotheken et cetera, dat die zich bewust worden van wat zij precies verwerken en of dat allemaal wel nodig is. "Kijk eens vanuit het belang van het kind in plaats van wat wettelijk mag!"

Lees ook de columns die Simone voor Privacy First heeft geschreven:
Het begon eigenlijk al in de peuterklas
Is digitalisering in het onderwijs nou echt wel nodig?
Big Brother in de bibliotheek 

Arda Gerkens – Eerste Kamer en Meldpunt kinderporno op internet

Privacy First NjrsBorrel 15
Vaak wordt geroepen ‘de jeugd heeft de toekomst’. Deze uitspraak wordt vaak gebruikt door wat oudere mensen, maar Arda Gerkens gebruikt hem niet meer. Vooral omdat deze uitspraak verre van waar is wat de digitale wereld betreft. We zeggen al snel dat kinderen veel beter weten en sneller kunnen dan de oudere generatie als het om internet gaat. We laten belangrijke beslissingen over aan kinderen, omdat het tempo waarin we ons begeven te snel gaat. Het vergt tijd en aandacht om de consequenties van de digitale wereld te bevatten en die tijd en aandacht hebben we te weinig. We laten onze kinderen los in een wereld die wij eigenlijk niet kunnen overzien.

Het is toch ook heel schattig om een kindje te zien spelen met een iPad? Zoals in de reclame van KPN, waarbij het kleintje opeens praat met opa aan de andere kant van de wereld. Gezellig kletsen met opa, de zon komt op, contact met elkaar, mooi toch? Arda vindt dat ook heel mooi, maar is wel blij dat dat kindje opa heeft aangeklikt en geen andere persoon die misschien hele andere bedoelingen heeft. Want dat gebeurt wel, dat kinderen worden verleid via een iPad tot het doen van andere dingen. Dat ziet Arda in haar werk en dat gebeurt ook dichtbij.

Wie had vroeger een dagboek? En wat was daarbij belangrijk? Een slotje, want wat je daarin schreef moest wel privé blijven. En eigenlijk heeft nooit iemand anders in dat dagboek gelezen. Dat komt niet per se door dat slotje, want dat is eigenlijk maar een lamlendig ding en geen goede beveiliging. Je beslist zelf wie daarin mag lezen en wat je eruit vertelt. Over deze informatie heb je controle. En die controle zijn we nu kwijt en dat is geen doemdenken, dat is een feit. Die controle zijn we al op vroege leeftijd kwijt, want we gebruiken webcams als babyfoon of een webcam op de crèche en iedere beweging van kinderen wordt daarmee steeds vaker geregistreerd.

Als ouder ken je ongetwijfeld dat moment, waarop je even om de hoek komt kijken terwijl je kind aan het spelen is, en je kind waant zich op dat moment onbespied. Dat is een prachtig moment en dan zie je zo’n individu, zo’n mens, in al zijn onschuld. Het duurt vaak maar heel even totdat het kind beseft dat er wordt gekeken en dan is het weg. Dat prachtige moment om onbespied te kunnen zijn is pure onschuld wat je dan ziet. Het gedrag dat wij hebben verandert als wij ons bewust zijn van de omgeving waarin wij ons bevinden. Straks kijkt de hele wereld mee als een kind verzonken is in het spel. Dat besef je misschien niet direct als kind, maar later als je ouder wordt wel. En de vraag is, wat doet die kennis met de ontwikkeling van het kind? Wat nou als die beelden van het schoolplein, waarop je huppelend alsof je op een paardje zit te zien was of shaggies rokend en hangend tegen de muur, nu zouden verschijnen op YouTube? Zou je erom lachen of je ervoor schamen? De oudere generatie zou het niet weten, want die beelden zijn er niet. Deze beelden zitten in ons geheugen op een hele mooie plek.

De jeugd heeft de toekomst helemaal niet, die toekomst wordt uit handen gegeven door ons. Als ouders en als opvoeders beslissen wij nu welke informatie over hun leven gedeeld wordt. Informatie die onuitwisbaar is, steeds op kan duiken, die verkeerde interpretaties teweeg kan brengen. Een fout in de interpretatie en je toekomst kan in duigen liggen. En ook dat is geen doemdenken, dat is een realistisch scenario. We hebben niet allemaal een vrije keuze om die beslissing te maken, vooral niet als we niet kunnen overzien wat de consequenties zijn om bijvoorbeeld een webcam te gebruiken. En als ouders hierover niet goed geïnformeerd zijn en hierover ook geen goed geïnformeerde keuzes kunnen maken.

En dan nog spreekt Arda wekelijks ouders die hun kinderen hebben meegegeven wat de risico’s van sexting zijn en dan nog hebben die kinderen dat gedaan. Dus zelfs bij geïnformeerde ouders, die hun kinderen zeer goed begeleiden hierin, zie je toch dat het mis kan gaan.

Wat deze digitalisering eigenlijk met ons doet, dat weten we eigenlijk niet. Het is een ontwikkeling die erg snel gaat en het is een ontwikkeling die het denken van de mens voorbijstreeft en daarbij geven we ook een stuk controle uit handen. De jeugd heeft de toekomst niet, die toekomst ligt bij ons. Wij vormen de toekomst en leggen de basis, dus moeten wij gaan nadenken over de mogelijke consequenties van onze keuzes. Alle scenario’s bezien, rust inbouwen, ethische dilemma’s afwegen en niet alles overlaten aan de markt. Wij kunnen ervoor zorgen dat kinderen controle houden over hun eigen leven, over hun gedachten, over hun spel, over hun misstappen en over hun successen. Daarmee kunnen ze in vrijheid leven en hun eigen keuzes maken. 

Iris Hoen – Wille Donker Advocaten

Privacy First NjrsBorrel 17
De nieuwe Algemene Verordening Gegevensbescherming (AVG) zit barstens vol ethiek, dat heeft Iris Hoen ook bepleit bij het recente symposium van de Nederlandse Vereniging voor Onderwijsrecht. De AVG bevat veel gecodificeerde ethiek uit mensenrechtenverdragen en OESO-rechtsbeginselen. Iris is de AVG daarmee ook steeds mooier gaan vinden. Ondanks alle mankementen die ongetwijfeld genoemd kunnen worden, zit die AVG nog niet zo gek in elkaar. Ze is het eens met de andere sprekers dat privacy meer is dan gegevensbeschermingsrecht, maar zonder gegevensbeschermingsrecht hebben we in deze gedigitaliseerde maatschappij in ieder geval geen privacy.

Het onderwijs heeft veel te maken met privacy en daarmee ook met de AVG. Iris werkt nu 15 jaar als privacyjurist en advocaat. Het onderwijs heeft te maken met complexe situaties, maar ze ziet dat de wil er is bij scholen om het goed te regelen. Daarbij assisteert ze ook honderden schoolbesturen bij het implementeren van de AVG, waarbij ook ethische vragen naar voren komen.

Wat lastig is voor scholen, is dat zij geen eilandje op zichzelf zijn, maar dat zij vastzitten aan een heleboel partners. Ze zitten verplicht in allerlei samenwerkingsverbanden en scholen moeten verplicht informatie opvragen en leveren aan de Onderwijsinspectie. Kortom: scholen zijn een spin in een web, waarbij zij volgens de wet allerlei gegevens moeten opvragen en delen.

Het begint al met de aanmelding van een kind op school. Op het aanmeldformulier staan allerlei vragen en scholen zijn nu wel kritisch hiernaar aan het kijken. Wat moet er wel op het formulier en wat kan eraf? Voorheen vroegen scholen alles waarvan ze dachten dat het ooit handig zou kunnen zijn. Nu zijn scholen hierop teruggekomen en denken: misschien hoeven we dat helemaal niet te vragen.

Waar de wet zegt dat de school ook informatie mag opvragen, zonder voorafgaande toestemming van ouders, bij voorschoolse educatie zoals peuterspeelzalen, dat mag. Dat moeten ze ook, want scholen zijn sinds 2014 verantwoordelijk gemaakt voor passend onderwijs. Als je dat afhankelijk maakt van de toestemming van ouders, dan houdt het al op, dan wordt het moeilijk voor een school om passend onderwijs aan te bieden. Dat betekent niet dat scholen zomaar kunnen ‘shoppen’ naar informatie: voor het opvragen van informatie bij andere instanties is nog steeds toestemming van de ouders nodig.

Scholen hebben een informatieverplichting aan ouders om te vertellen hoe ze ontvangen informatie verwerken. De AVG maakt een onderscheid tussen informatie die ze van ouders zelf krijgen en informatie van andere partijen. Scholen verwerken ook veel bijzondere persoonsgegevens, met name gezondheidsgegevens. Gezondheidsgegevens vormen een breed begrip onder de AVG en daaronder valt bijvoorbeeld ook IQ en medische aandoeningen, maar ook of een kind een bril draagt. En dat schrijft de school allemaal op, met betrekking tot de bril alleen al om bijvoorbeeld aan de gymleraar te kunnen laten weten dat een kind zonder bril moet oppassen met balspelen.

De leerlingprestaties moeten door de school worden opgeslagen, want de school moet een studentvolgsysteem hebben. Doet de school dat niet, dan komt er geen bekostiging. De AVG zegt in eerste instantie: het verwerken van bijzondere persoonsgegevens mag niet. Tenzij er toestemming is van de ouders of er een wettelijke uitzondering van toepassing is. De Uitvoeringswet van de AVG geeft twee uitzonderingen voor scholen en samenwerkingsverbanden om gezondheidsgegevens te verwerken met het oog op speciale begeleiding van kinderen. Maar wat houdt speciale begeleiding van leerlingen precies in? Het is voor scholen niet makkelijk om die afweging te maken: wat mag wel en wat mag niet? De AVG geeft daar dan ook niet direct antwoord op en is meer een open normenkader, waarbij scholen hun eigen afwegingen moeten maken en zich vooral moeten verantwoorden aan betrokkenen, de Autoriteit Persoonsgegevens, stakeholders en de medezeggenschapsraad. De medezeggenschapsraad heeft een instemmingsrecht op regelingen die de verwerking van persoonsgegevens betreffen. Dus moet de medezeggenschapsraad worden betrokken bij die afwegingen.

Als een school merkt dat er extra begeleiding nodig is, dan moet de school verplicht advies vragen aan deskundigen. Vroeger werd een leerlingendossier dan vaak even doorgemaild naar een samenwerkingsverband. Scholen hebben in toenemende mate software waarbij gegevens geanonimiseerd worden geüpload en een samenwerkingsverband het leerlingendossier weer anoniem kan downloaden. Scholen konden vroeger geen advies vragen zonder het BSN-nummer door te geven, ook al mocht dat officieel niet, want anders werkte het systeem niet. Scholen willen best wel en het is niet allemaal onwil, maar de systemen werken niet altijd mee. Overigens heeft dit wel de aandacht. Kennisnet (een kennisinstituut op het gebied van ICT en privacy voor de onderwijssector) zit bijvoorbeeld met al die leveranciers om tafel om die softwarepakketten aan te passen, zodat ze wel in lijn zijn met de AVG.

In advies aan scholen wordt aangegeven dat scholen moeten nadenken op basis van welke grondslag zij gegevens opvragen en verwerken en of ze hiervoor toestemming nodig hebben van ouders. En om werk te maken van de informatievoorziening en aan te geven waarom gegevens worden verwerkt, welke gegevens daarvoor worden gebruikt en of al die gegevens wel nodig zijn en of het niet een onsje minder kan. Daarnaast welke systemen er worden gebruikt en of die goed te beveiligen zijn. En met wie worden de gegevens gedeeld, kan het niet onder een pseudoniem? Ook door deze afwegingen in een reglement te verankeren en ouders hierover te informeren. Iris Hoen is ervan overtuigd dat als ouders goed geïnformeerd zijn, ze ook minder snel de neiging hebben om nee te zeggen, omdat het ook vaak in het belang van het kind is dat er een advies komt in hun ondersteuningsbehoefte.

Als een kind van school wisselt dan is de school verplicht om het onderwijsrapport mee te sturen. Daarnaast hebben ook toegang tot de leerlinggegevens: de leerplichtambtenaar, de GGD en de gemeente. Op basis van de wet mogen zij gegevens opvragen bij de school. Sinds augustus 2017 hoeft de GGD dat niet meer via de school op te vragen, maar krijgt die informatie rechtstreeks via DUO. De verplichtingen van de school om gegevens te delen staan in de sectorale onderwijswetten die tevens de bekostigingsvoorwaarden zijn. En dan zie je gelijk ook de klem waarin scholen zitten.

De psychologen en orthopedagogen werken in veel gevallen niet in dienst van de school en werken ook niet voor de school. Het zijn partners, en die zijn zelf verwerkingsverantwoordelijke onder de AVG. Dus het is ook niet de school die recht heeft op toegang tot die informatie, het is aan de ouder om te bepalen welke informatie er precies wordt gedeeld met scholen. Iris adviseert scholen dan ook om gebruik te maken van alleen de conclusies van de rapporten, want het is vaak niet nodig om het medisch dossier te hebben. Als een kind is gediagnosticeerd met ADHD, heb je genoeg aan de onderwijskundige aanbevelingen, daarvoor hoef je niet het gehele rapport te hebben. Met een pinda-allergie kan het anders zijn en dan is het wel verstandig dat die informatie beschikbaar is bij alle docenten.

Dit is een kort inkijkje in het werk van Iris Hoen, waarbij de scholen vaak aan haar vragen ‘wat mag ik’ en die zij beantwoordt met de wedervraag: "wat zou wijs zijn om te doen en ethisch om te doen. Neem dat als vertrekpunt en ga dan kijken of dat past binnen het wettelijk kader." Dat is een aanpak die aanslaat.

Een greep uit de vragen vanuit het publiek aan de gastsprekers:

Q: Vraag aan Iris Hoen: wordt een kind nog iets gevraagd en wanneer moet die zelf toestemming geven?
A: Een kind is minderjarig en valt daarmee onder het gezag van de ouders en die bepalen en zijn aanspreekpunt voor de school, niet het kind zelf, dat is het wettelijk stelsel. Als het kind 16 wordt, wordt het kind – en niet langer de ouder- toestemming gevraagd voor bepaalde gegevensverwerkingen. Het gaat om gegevensverwerkingen die alleen plaats mogen vinden met voorafgaande toestemming. Het is belangrijk om te onderkennen dat scholen niet voor alle gegevensverwerkingen aan ouders voorafgaande toestemming hoeven te vragen en dat dus ook niet gaan doen als hun kind 16 wordt. Arda Gerkens merkt hierbij op dat scholen vaak vanaf groep 8 kinderen zelf betrekken bij de ontwikkeling van het kind en ook betrekken bij oudergesprekken en dergelijke.

Q: Hoe zit het met leerlingvolgsystemen, is dat open source, waar staan die gegevens opgeslagen, etc.?
A: Iris Hoen geeft hierop het antwoord dat er verschillende soorten leerlingvolgsystemen zijn, waarvan de grootsten Magister en ParnasSys zijn. De servers van Magister staan in Groningen. Die gegevens blijven daar en gaan niet naar het buitenland. Scholen moeten meer vragen stellen dan enkel waar de servers staan, maar ook of de gegevensverwerkingen veilig plaatsvinden. Over het instellen van de toegang: Magister kent nog te weinig mogelijkheden om de software optimaal in te stellen. Zo moet verwijdering nog handmatig plaatsvinden. Ook de interne toegangsverlening zou volgens Iris Hoen beter kunnen.

 

Klik HIER voor de uitnodiging (pdf) die Privacy First voor dit evenement aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist! 

Gepubliceerd in Evenementen
dinsdag, 23 januari 2018 13:01

Nationale Privacy Conferentie 2018

Nationale Privacy Conferentie 2018

Hét privacy congres van Nederland!

Op dinsdag 30 januari 2018 organiseren ECP|Platform voor de InformatieSamenleving en Privacy First gezamenlijk de allereerste Nationale Privacy Conferentie. De Nationale Privacy Conferentie brengt relevante spelers samen en biedt u de gelegenheid te leren van de fine fleur van het Nederlandse privacyveld. Tijdens deze conferentie worden ook de Nederlandse Privacy Awards uitgereikt aan bedrijven en overheden die hebben laten zien dat zij privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm maken.

Privacy als missie

Met de digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Privacy First en ECP gaan graag samen met u deze uitdaging aan en bieden u daartoe met deze conferentie de nodige kennis en inspiratie.

Nederlandse Privacy Awards

Tijdens de conferentie worden de nieuwe Nederlandse Privacy Awards uitgereikt. Privacy is immers méér dan louter compliance: duurzame privacy vergt bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. Privacy by design vormt daartoe de sleutel.

Nominaties

Uit de inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen: Bedrijfsoplossingen: Overheidsdiensten:
IRMA (I Reveal My Attributes) TrustTester Jeugd Implementatieplan Privacy (gemeente Amsterdam)
Schluss Personal Health Train  

 
Naast deze genomineerden kan de jury op eigen initiatief een Aanmoedigingsprijs uitreiken t.b.v. een baanbrekende technologie of persoon.

Tijdens de conferentie worden de genomineerde projecten aan het publiek gepresenteerd. De vakjury maakt vervolgens bekend wie de winnaars zijn van de Nederlandse Privacy Awards 2018.


Het congresprogramma ziet er als volgt uit:

13:00u Inloop

13:30u Start congres

13:35u Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens

14:05u Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij (Universiteit Leiden)

14:35u Sell me your secret (theatergroep Stichting WAT WE DOEN)

14:45u Break

15.00u Jaap-Henk Hoepman, associate Professor Privacy by Design (Radboud Universiteit)

15.30u Paneldebat en publieksdiscussie

16:15u Uitreiking Nederlandse Privacy Awards

17:00u Afsluitende borrel

 

Aanmelden

U kunt zich aanmelden voor deze conferentie door het inschrijfformulier op de website van ECP in te vullen. Nadat u zich heeft aangemeld, krijgt u de uitnodiging met het volledige programma per email toegestuurd. NB: het aantal beschikbare plaatsen is reeds beperkt, wees er dus tijdig bij!


Nationale Privacy Conferentie

Datum: dinsdag 30 januari 2018
Locatie: Volkshotel Amsterdam (zaal Riet), klik HIER voor een routebeschrijving
Tijd: 13.30 – 18.00u.

Gepubliceerd in Evenementen
dinsdag, 16 januari 2018 08:31

Big Brother in de bibliotheek

Door Simone van Dijk


"Als wij samen naar de bibliotheek zouden gaan en er zou bij de ingang een man staan met een camera, die permanent zou meelopen. Welk boek je inkijkt, waar je naar zoekt... Nou, die sla je onmiddellijk in elkaar. Althans vrij snel. Nu zit de bibliotheek op internet en gebeurt hetzelfde. En niemand maakt zich er zorgen over. Vind ik raar."
Aleid Wolfsen – voorzitter Autoriteit Persoonsgegevens.

Dat vind ik ook raar. En nog raarder vind ik het dat scholen en bibliotheken zich hier geen zorgen om lijken te maken. Sterker nog ‘die man’ die meekijkt (ik stel mij ouderwets een man in een lange grijze regenjas voor, met hoed, donkere zonnebril, notitieblokje en pen in de hand) wordt uitgenodigd in het klaslokaal. Hij staat daar in de hoek, een beetje verscholen achter het gordijn en noteert precies welk boek uw kind leest, wanneer hij dat heeft gelezen, hoe lang hij het heeft geleend, waar hij het heeft geleend (op school of in de plaatselijke bibliotheek), wat hij er van vond, wat uw kind leuk vindt, welke sport uw kind beoefent, wat zijn lievelingsdier is, zijn lievelingseten is, wat hij later wil worden, welke filmpjes uw kind kijkt, in welke apps hij geïnteresseerd is, welke websites uw kind bezoekt, hoe oud uw kind is, waar uw kind woont, wat uw emailadres is, in welke groep uw kind zit en op welke school uw kind zit. Bovendien kan ‘De Man’ al deze gegevens combineren en koppelen en er vervolgens conclusies aan verbinden die op dit moment nog geheel onoverzichtelijk voor ons zijn. En waarvan de gevolgen voor uw kind niet te overzien zijn.

Veel lagere scholen maken namelijk gebruik van De Bibliotheek op school, een systeem voor het beheren en zichtbaar maken van de schoolbibliotheek. Scholen kunnen er ook voor kiezen hun bibliotheek te verbinden aan de plaatselijke bibliotheek. Doel is uiteraard het bevorderen van het lezen. Op zich een geweldig initiatief. Hoe leuk is het dat kinderen op school naar de bibliotheek mogen. Lekker tussen de rijen boeken ‘neuzen’ en dan thuiskomen met twee of meer zelf uitgezochte boeken, zodat mama of papa deze gezellig kunnen voorlezen, of, indien uw kind al kan lezen, zich lekker kan terugtrekken in een hoekje van de bank met een boek.

Hartstikke leuk, totdat u ontdekt dat ‘De Man’ uw kind ongevraagd introduceert met een soort van social media en via de profielpagina van de bibliotheek van uw kind alle bovenvermelde gegevens van hem of haar te weten komt. Maar niet alleen ‘De Man’ kijkt mee, ook de school kijkt mee, de leraren en de kinderen van de school. Allemaal kunnen ze het profiel en het leeslog van uw kind bekijken. In het leeslog kan uw kind boeken die hij gelezen heeft beoordelen en aangeven wat hij er van vond. De leraren kunnen ook zien welke boeken of welke soort boeken uw kind geleend heeft.

Een initiatief bij uw kind om een boek te gaan lezen eindigt in een gang naar de computer en surfen op internet en het delen van allerlei persoonlijke informatie via de social media (profielpagina’s) van de bibliotheek, bekijken van filmpjes en apps, oftewel ongewild en ongewenst ‘schermplakken’. Erger nog, tegelijkertijd wordt ook nog het gedrag van uw kind, zijn keuzes, voorkeuren en interesses direct opgezogen door de vampiers van de digitale wereld onder leiding van ‘De Man’.

Wie is ‘De Man’ en wat doet hij met al deze gegevens van uw kind? Na urenlange studie en gesprekken met school, de bibliotheek en de software-leverancier moet ik gewoonweg constateren dat ik er echt niet achter kom. Ik moet ‘De Man’ gewoon vertrouwen. Ik moet me niet zo druk maken, niet zo gek doen, niet zo zeuren, het is toch allemaal leuk en ik ben toch niet tegen het bevorderen van lezen?

‘De Man’ slaat in ieder geval de gegevens van uw kind op in de server van de plaatselijke bibliotheek. En dat is veilig, zegt men. Echt, moet ik dit geloven? Welke server dit is en waar deze staat is onduidelijk, dat verschilt per bibliotheek. Met wie de gegevens worden gedeeld en wie er allemaal inzage in heeft wordt ook niet duidelijk. Er worden in ieder geval gegevens gedeeld met de Landelijke Monitor. Over de vraag welke gegevens dit dan weer precies betreft zijn de verschillende partijen ook weer niet eenduidig. De Landelijke Monitor wist in ieder geval zelf aan te geven dat zij zich zelf afvroeg of zij zich wel aan de wet houden.

Mag dit nou allemaal gewoon? Nee. Volgens de wet dient de school uw toestemming te vragen als zij gegevens van uw kind aan derden verstrekt. Deze toestemming moet ondubbelzinnig zijn, hetgeen inhoudt dat u uw toestemming vrij en niet onder druk heeft gegeven. Daar is in dit geval al geen sprake van. Weerhoudt u namelijk uw toestemming, dan kan uw kind niet naar de schoolbibliotheek.

Daarnaast moet uw toestemming specifiek zijn, voor een specifieke verwerking voor een specifiek doel. U dient geïnformeerd te zijn over de gang van zaken rond de verwerking van de gegevens van uw kind en er dient geen twijfel te zijn over de inhoud en de reikwijdte van uw toestemming. Ook daar is hier geen sprake van.

In het beste geval krijgt u namelijk een brief van school waarin u gevraagd wordt om toestemming om de naam, adres, woonplaats en geboortedatum te delen met de (plaatselijke) bibliotheek. Dat de school vervolgens ook de groep, fysieke groep en uw emailadres met de bibliotheek deelt wordt niet eens vermeld. Het hele leerlingenbestand van een school wordt aan het begin van het jaar aan de bibliotheek verstuurd. U wordt geacht uw toestemming voor het delen van de gegevens van uw kind met de bibliotheek te hebben gegeven, tenzij u een briefje aan school retourneert waarin u uw toestemming onthoudt. De scholen mogen echter niet uitgaan van dit ‘wie zwijgt stemt toe’ principe.

Er wordt u niet verteld dat uw kind een profielpagina krijgt waarin uw kind allerlei persoonlijke gegevens kan delen. U wordt ook niet verteld met wie de school al deze gegevens van uw kind deelt, waar deze gegevens worden opgeslagen en voor hoelang ze worden opgeslagen. U wordt niet verteld dat het inloggen in sommige gevallen via een onbeveiligde verbinding gebeurt. Ingevulde aanmeldingen, te weten de inlognaam en wachtwoord, kunnen worden onderschept. U wordt niet verteld dat er wordt ingelogd met als gebruikersnaam de gedeeltelijke voornaam en geboortedatum van uw kind. U wordt niet verteld dat uw kind inlogt via een pagina waarop allerlei nieuwsfeiten staan welke wellicht nog niet geschikt zijn voor uw kind uit groep 1,2,3 of 4. U wordt ook niet verteld dat uw kind niet alleen naar boeken zoekt, maar tegelijkertijd naar websites, filmpjes, nieuwsfeiten en apps. U krijgt bovendien niet de mogelijkheid om zelf mee te kijken, zodat u geen idee heeft wat uw kind allemaal op internet met de bibliotheek deelt.

Naar mijn idee gaat het gewoonweg niemand wat aan welk boek mijn kind leest. Het gaat ‘De Man’, de leraren en de leerlingen en alle eventueel betrokken instanties niets aan! Uw kind kiest er niet meer zelf voor om met anderen te delen welke boeken hij leest en waar zijn interesses liggen, als hij dit überhaupt al zou willen delen. Dit wordt voor hem besloten en op deze beslissing heeft hij geen enkele invloed. En dat is wat mij betreft een regelrechte inbreuk op de privacy van uw kind. Een recht dat uw kind heeft en dat niet zomaar geschonden zou mogen worden. Een recht waar ouders voor op moeten durven komen en niet telkens weggezet moeten worden als zeurpieten!

Gepubliceerd in Kinderen en Privacy

Een groep maatschappelijke organisaties, aangevoerd door het Platform Bescherming Burgerrechten, start een bodemprocedure tegen de Nederlandse Staat over het risicoprofileringssysteem SyRI. De rechtszaak heeft ten doel een halt toe te roepen aan de risicoprofilering van onverdachte burgers in Nederland.

Naast de juridische coalitie die bestaat uit het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP en Stichting Platform Bescherming Burgerrechten, heeft auteur Tommy Wieringa zich als mede-eiser bij de rechtszaak aangesloten. Hij zal met publicist en filosoof Maxim Februari optreden als ambassadeur van de campagne die rondom de rechtszaak zal worden gevoerd. De procedure wordt behandeld door Deikwijs Advocaten en is opgezet door het Public Interest Litigation Project (PILP) van het NJCM.

Werking van SyRI

In SyRI, het Systeem Risico Indicatie van het ministerie van Sociale Zaken en Werkgelegenheid (SZW), worden op grote schaal persoonsgegevens van Nederlandse burgers samengevoegd en geanalyseerd. Met behulp van geheime algoritmen worden burgers vervolgens onderworpen aan een risicoanalyse. Wanneer volgens SyRI sprake is van een verhoogd risico op overtreding van één van de vele wetten die het systeem bestrijkt, worden zij opgenomen in het Register Risicomeldingen, dat toegankelijk is voor vele overheidsinstanties.

Iedere burger kan heimelijk worden onderworpen aan profilering in SyRI. Hij/zij weet niet welke gegevens zijn gebruikt, welke analyses zijn toegepast en wat hem of haar al dan niet tot een ‘risico’ maakt. SyRI kan echter ingrijpende gevolgen hebben. Overheidsinstanties kunnen naar aanleiding van een risicomelding maatregelen treffen waarbij ze boetes opleggen, uitkeringen intrekken of een strafrechtelijke procedure starten. Het is voor de burger onmogelijk te achterhalen hoe een risicomelding tot stand is gekomen en een onjuiste melding te weerleggen. In de praktijk komt dit neer op een omkering van de bewijslast.

Bedreiging voor de rechtsstaat

De toepassing van SyRI betekent een schending van fundamentele rechten, waaronder het recht op een eerlijk proces. Het algemeen belang van fraudebestrijding kan dat niet rechtvaardigen. Gevoelige gegevens worden door de overheid gebruikt voor andere doeleinden dan waarvoor deze zijn verzameld, zonder enige vorm van onafhankelijk toezicht. Er zijn onvoldoende waarborgen om te voorkomen dat de risicoprofielen die SyRI over burgers maakt, worden ingezet in andere domeinen. Deze ‘black box’ levert grote risico’s op voor de democratische rechtsstaat. De informatiemacht van de overheid wordt op ondoorzichtige wijze uitgebreid en de vertrouwensrelatie tussen overheid en burgers wordt ondermijnd. Burgers worden bij voorbaat verdacht en vrijwel alle informatie die zij delen met de overheid kan zonder verdachtmaking of concrete aanleiding tegen hen worden gebruikt.

Fundamentele bezwaren genegeerd

Ondanks fundamentele bezwaren van de Raad van State en de Autoriteit Persoonsgegevens over de rechtmatigheid van het systeem, werd de wetgeving voor SyRI als hamerstuk aangenomen door de Eerste en Tweede Kamer. Sinds de invoering eind 2014 zijn in twee SyRI-projecten duizenden Nederlandse burgers door het systeem geprofileerd – daarbij de 21 projecten die voor de wettelijke invoering van het systeem plaatsvonden niet meegeteld.

In strijd met het EVRM

De coalitie is van mening dat SyRI in strijd is met het recht op privacy zoals neergelegd in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Dat recht wordt door de Nederlandse Staat met voeten getreden. Het wordt niet ingezet als toets voor het handelen van de overheid, maar juist misbruikt om bevoegdheden op te rekken. De EU-lidstaten hebben in de nieuwe Europese Privacyverordening (Algemene Verordening Gegevensbescherming, AVG) allerlei uitzonderingen ingebouwd die systemen zoals SyRI mogelijk moeten maken. Met een beroep op de fundamentele mensenrechten hoopt de coalitie een halt toe te roepen aan dit soort praktijken.

Publieke lancering

Op vrijdagavond 19 januari as. zal de procedure door advocaten Anton Ekker en Douwe Linders aan pers en publiek worden toegelicht in theater De Nieuwe Liefde in Amsterdam. Tegelijk wordt deze avond de publiekscampagne Bij Voorbaat Verdacht gelanceerd. Op deze bijeenkomst zullen Tommy Wieringa en Maxim Februari spreken, evenals hoogleraar Vincent Icke van de Universiteit Leiden en dr. Aline Klingenberg van de Rijksuniversiteit Groningen.

De campagne beoogt een publieke discussie op gang te brengen over de inzet van risicoprofilering door de overheid en de impact die dit heeft op individuele rechten en vrijheden en het functioneren van de democratische rechtsstaat. Op de campagnewebsite zullen informatie en updates over de rechtszaak verschijnen. Daarnaast zal de campagne met Wob-verzoeken, juridisch en journalistiek onderzoek en interviews met deskundigen publieke voorlichting geven over risicoprofileringspraktijken in Nederland.

Meer informatie over de kick-off bijeenkomst is te vinden op de website van De Nieuwe Liefde.

Volg het twitteraccount van Bij Voorbaat Verdacht voor updates over de campagne en de rechtszaak.

De dagvaarding zal worden gepubliceerd op de website van Deikwijs Advocaten en op de website van PILP.

Bron: https://platformburgerrechten.nl/2018/01/12/ngos-starten-rechtszaak-tegen-de-staat-over-risicoprofilering-van-nederlandse-burgers/, 12 januari 2018.

Update 19 januari 2018: Lees alles over de campagne en de rechtszaak tegen SyRI op https://bijvoorbaatverdacht.nl. Hier leest u tevens hoe u kunt nagaan of u zelf in het Register Risicomeldingen van SyRI bent opgenomen.

Gepubliceerd in Rechtszaken
donderdag, 28 december 2017 11:40

Nieuwjaarsborrel en publieksdebat Privacy First

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 17 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van een thema dat Privacy First steeds meer zorgen baart: de privacy van onze kinderen in een wereld die steeds verder digitaliseert, met name in het onderwijs. Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld? Welke gegevensverwerkingen vinden in het onderwijs plaats, welke risico’s kleven hieraan en welke maatregelen kunnen worden getroffen om de privacy van leerlingen te waarborgen?

Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen Arda Gerkens (Eerste Kamer), Huib Gardeniers (Net2Legal), Iris Hoen (Wille Donker Advocaten) en Simone van Dijk (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2018!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 17 januari 2018, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond).
Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Gepubliceerd in Evenementen
vrijdag, 08 december 2017 14:27

Hoge Raad stuurt aan op privacy by design

Sinds 2013 voerde de Vereniging Praktijkhoudende Huisartsen een fundamentele rechtszaak tegen de private opvolger van het Elektronisch Patiëntendossier: het Landelijk Schakelpunt (LSP). Eind vorige week besloot de Hoge Raad dat het LSP vooralsnog niet in strijd is met het huidige privacyrecht. In het oordeel van de Hoge Raad ligt echter de opdracht besloten dat het LSP snel zal moeten gaan voldoen aan het wettelijke vereiste van 'privacy by design'. Dit vormt een belangrijk precedent en legt de lat voor de toekomst hoog.

Private doorstart EPD: Landelijk Schakelpunt

In april 2011 werd het Elektronisch Patiëntendossier (EPD) door de Eerste Kamer unaniem verworpen, voornamelijk wegens privacybezwaren. Door diverse marktpartijen (waaronder zorgverzekeraars) werd vervolgens echter vrijwel ditzelfde EPD in private vorm doorgestart als Landelijk Schakelpunt (LSP) voor grootschalige, centrale uitwisseling van medische gegevens. Het LSP is sindsdien nationaal ‘uitgerold’: veel huisartsen zijn inmiddels (onder druk van zorgverzekeraars) op het LSP aangesloten. Ook hebben miljoenen Nederlanders inmiddels ‘toestemming’ gegeven voor uitwisseling van hun medische gegevens via het LSP. Probleem met deze ‘toestemming’ is echter dat deze dusdanig breed en algemeen is, dat deze vrijwel onmogelijk rechtmatig geacht kan worden. Dit was dan ook één van de principiële bezwaren waarop de rechtszaak van de Vereniging Praktijkhoudende Huisartsen (VP Huisartsen) tegen het LSP betrekking had. Andere bezwaren tegen het LSP hebben o.a. betrekking op het feit dat de architectuur van het LSP inherent onveilig en privacyschendend is: via het LSP is ieder aangesloten medisch dossier voor duizenden zorgverleners inzichtelijk. Dit is in strijd met het recht op privacy van de patiënt en het medisch beroepsgeheim van behandelend artsen. Bovendien is hierbij geen sprake van privacy by design, bijvoorbeeld middels end-to-end encryptie. In wezen is het LSP hierdoor zo lek als een mandje, ideaal voor function creep (doelverschuiving) en mogelijk misbruik door kwaadwillenden.

Campagne SpecifiekeToestemming.nl

Privacy First heeft hierover de laatste jaren talloze malen alarm geslagen richting politiek en media. Zelfs op VN-niveau heeft Privacy First het Nederlandse LSP actief aangekaart. Op initiatief van Privacy First en het Platform Bescherming Burgerrechten is sinds april 2014 bovendien een grootschalige internetcampagne gelanceerd ter behoud en bevordering van het recht op medische privacy: www.SpecifiekeToestemming.nl. Deze campagne wordt sindsdien gesteund door tal van maatschappelijke organisaties, zorgverleners en academici. Kern van de campagne is dat specifieke toestemming (weer) het leidende principe moet worden bij de uitwisseling van medische gegevens. Bij specifieke toestemming kunnen patiënten voorafgaand aan het delen van hun medische gegevens bepalen of, en zo ja welke, gegevens mogen worden gedeeld met welke zorgverleners voor welke doeleinden. Dat beperkt de risico's en maakt het mogelijk voor patiënten om controle te houden over de uitwisseling van hun medische data. Dit in tegenstelling tot de generieke toestemming die geldt bij het LSP. Bij generieke toestemming is niet te voorzien door wie iemands medische gegevens kunnen worden ingezien, gebruikt, uitgewisseld etc. Generieke toestemming is daarmee per definitie in strijd met twee klassieke uitgangspunten in het privacyrecht: het beginsel van doelbinding en het recht op vrije, voorafgaande en volledig geïnformeerde toestemming bij de verwerking van persoonsgegevens.

Privacy by design

Mede onder druk van onze campagne SpecifiekeToestemming.nl werd het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens in de zorg (wetsvoorstel 33509) door de Tweede Kamer in 2014 aangescherpt en werden door de Eerste Kamer in 2016 twee cruciale moties aangenomen: de motie-Bredenoord (D66) c.s. over de verdere uitwerking van dataprotectie-by-design als het uitgangspunt voor de elektronische verwerking van medische gegevens en de motie-Teunissen (PvdD) c.s. inzake het decentraal (i.p.v. centraal) toegankelijk houden van medische dossiers. Onder deze nieuwe wet wordt specifieke (“gespecificeerde”) toestemming verplicht; dit dient nu geïmplementeerd te worden in alle bestaande en toekomstige systemen voor de uitwisseling van medische gegevens, waaronder het huidige LSP. Bovendien wordt onder de nieuwe Europese privacywetgeving privacy by design een harde juridische plicht: reeds vanaf het allereerste ontwerp dienen privacy en dataprotectie in alle relevante hardware en software te worden ingebouwd. In dit verband zijn er de laatste jaren reeds diverse marktontwikkelingen gaande die er op duiden dat bij nieuwe systemen specifieke toestemming de norm wordt en dat privacy by design de nieuwe standaard wordt. Een goed voorbeeld hiervan in de medische context is Whitebox Systems dat al in 2015 een Nationale Privacy Innovatie Award won.

Rechtszaak VP Huisartsen

Sinds maart 2013 voerde VP Huisartsen een grootschalige civiele rechtszaak tegen de private beheerder van het LSP: de Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ). Na teleurstellende uitspraken door de rechtbank Utrecht en het Hof Arnhem stelde VP Huisartsen eind 2016 cassatie in bij de Hoge Raad. In cassatie kreeg deze zaak (via Pro Bono Connect, op advies van Privacy First) ondersteuning door advocatenkantoor Houthoff Buruma. Bij de Hoge Raad diende Privacy First vervolgens samen met het Platform Bescherming Burgerrechten een amicus curiae-brief (PDF) in ter ondersteuning van de standpunten van VP Huisartsen, in lijn met onze gezamenlijke campagne SpecifiekeToestemming.nl. In het advies (“conclusie”) van de Advocaat-generaal bij de Hoge Raad werd vervolgens uitgebreid aan deze amicus curiae-brief gerefereerd. Op 1 december jl. heeft de Hoge Raad uiteindelijk uitspraak gedaan. In deze uitspraak sluit de Hoge Raad zich helaas grotendeels aan bij de eerdere argumentatie van het Hof Arnhem. Privacy First kan zich daarbij echter niet aan de indruk onttrekken dat het LSP (zelfs voor de Hoge Raad) blijkbaar “too big to fail” is: dit gebrekkige systeem is inmiddels dusdanig groot dat men het wellicht niet onrechtmatig durft te verklaren. Toch is er ook een belangrijk lichtpunt, en wel in de slotoverweging van de Hoge Raad:

“[Het hof heeft] onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen. In zijn oordeel ligt besloten dat deze inrichting meer en beter in overeenstemming is met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen, maar ten tijde van het wijzen van het bestreden arrest nog niet van VZVZ kon worden geëist. Van VZVZ mag volgens het hof wel worden verwacht dat zij, zodra dit voor haar technisch mogelijk en uitvoerbaar is, het systeem aanpast door daarin meer keuzevrijheid te bieden.

Deze overwegingen zijn niet onbegrijpelijk. Daarbij verdient nog opmerking dat gelet op de (...) ambities van VZVZ met het systeem en op de veranderingen in de regelgeving (...), waarbij ‘privacy by design’ en ‘privacy by default’ uitdrukkelijk tot uitgangspunt zijn genomen (art. 25 leden 1 en 2 Algemene verordening gegevensbescherming), eens te meer in de rede ligt wat het hof van VZVZ verwacht.” (5.4.4)

Evenals het Hof Arnhem stuurt de Hoge Raad hiermee duidelijk aan op implementatie van specifieke toestemming en privacy by design in het LSP. De Hoge Raad creëert hiermee een positief precedent dat ook in bredere zin (voor andere systemen) de toon voor de toekomst zet. Privacy First zal de ontwikkelingen hieromtrent actief blijven volgen en e.e.a. indien nodig opnieuw bij de rechter (laten) aankaarten.

 

Lees HIER het hele arrest van de Hoge Raad en HIER de eerdere conclusie van de Advocaat-generaal.
De amicus curiae brief van Privacy First en het Platform Bescherming Burgerrechten vindt u HIER in pdf.

Commentaar VP Huisartsen: http://www.vphuisartsen.nl/nieuws/cassatieberoep-vphuisartsen-verloren-toch-winst/

Commentaar SpecifiekeToestemming.nl: http://specifieketoestemming.nl/werk-aan-de-winkel-na-teleurstellend-vonnis-over-lsp/ .

Gepubliceerd in Medische privacy

Op 21 november jl. nam de Eerste Kamer een controversieel wetsvoorstel aan waardoor de reisbewegingen van iedere automobilist 4 weken in een centrale politiedatabank zullen belanden. Privacy First start een rechtszaak om dit wetsvoorstel onrechtmatig te laten verklaren wegens strijd met het recht op privacy.

Massale privacyschending

Vast beleid van Stichting Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Privacy First deed dit de laatste jaren reeds met succes bij de centrale opslag van ieders vingerafdrukken onder de Paspoortwet en de opslag van ieders communicatiegegevens onder de Wet bewaarplicht telecommunicatie. Een actueel wetsvoorstel dat zich bij uitstek voor een dergelijke rechtszaak leent is het wetsvoorstel van minister Grapperhaus inzake Automatic Number Plate Recognition (automatische nummerplaatherkenning, ANPR). Onder dit wetsvoorstel zullen de kentekens van alle auto's in Nederland (oftewel ieders reisbewegingen) door middel van cameratoezicht vier weken in een centrale politiedatabank worden opgeslagen voor opsporing en vervolging. Iedere automobilist wordt hierdoor een potentiële verdachte. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief. Het wetsvoorstel is daarom in strijd met het recht op privacy en daarmee onrechtmatig.

Oud wetsvoorstel

Het huidige ANPR-wetsvoorstel werd reeds in februari 2013 bij de Tweede Kamer ingediend door voormalig minister Opstelten. Voorheen was ook minister van Justitie Hirsch Ballin al in 2010 van plan om een vergelijkbaar voorstel in te dienen met een bewaartermijn van 10 dagen. Vervolgens verklaarde de Tweede Kamer dit voorstel echter controversieel. De ministers Opstelten en Van der Steur deden er in het huidige wetsvoorstel alsnog drie scheppen bovenop: 4 weken opslag van ieders reisbewegingen. Wegens privacybezwaren lag de parlementaire behandeling van dit wetsvoorstel vervolgens jarenlang stil, maar werd daarna alsnog door de Tweede en Eerste Kamer heen geloodst. Het wetsvoorstel past echter allang niet meer in deze tijd: het is reeds ingehaald door Europese rechtspraak waardoor dit type wetgeving (massale opslag van gegevens van onschuldige burgers) onrechtmatig is verklaard. Bovendien heeft de ANPR-praktijk in binnen- en buitenland reeds uitgewezen dat massale ANPR-opslag niet werkt.

Rechtszaak

Privacy First zal nu (in coalitie met andere maatschappelijke organisaties) een rechtszaak beginnen om de nieuwe ANPR-wet buiten werking te laten stellen. Privacy First heeft daartoe via Pro Bono Connect het gerenommeerde advocatenkantoor CMS Derks Star Busmann ingeschakeld. De eerste formele processtap is gisteren genomen: per brief (PDF) heeft Privacy First aan minister Grapperhaus (Justitie en Veiligheid) om overleg ex art. 3:305a BW gevraagd. Mocht dit overleg niet tot intrekking van het ANPR-wetsvoorstel leiden, dan valt onverbiddelijk het zwaard van Damocles: Privacy First c.s. zullen dan de Nederlandse Staat in kort geding dagvaarden om de wet buiten werking te laten stellen wegens strijd met Europees privacyrecht. Gezien de Europese en Nederlandse jurisprudentie terzake achten Privacy First c.s. de kans op een succesvolle rechtsgang buitengewoon hoog.

Gepubliceerd in Rechtszaken

"Het kabinet moet onmiddellijk werk maken van het stoppen met het opnemen van vingerafdrukken in paspoorten. Dat stelt Vincent Böhre van stichting Privacy First in reactie op het nieuws dat vingerafdrukken van Nederlandse burgers momenteel nauwelijks gebruikt worden.

Hoewel het al acht jaar verplicht is om vingerafdrukken af te staan voor in het paspoort, worden die op Schiphol, bij de grens of in het buitenland nooit gecontroleerd, zo bleek gisteren uit navraag van de NOS.

Alleen gemeenten gebruiken de vingerafdrukken in incidentele gevallen, bijvoorbeeld als er twijfel is over iemands identiteit. "Dat gebeurt een of twee keer per jaar", zegt teamleider Jan Jansen van het stadsloket in Breda. "Het kan ook zijn dat de politie ons benadert als de identiteit van een overledene niet vastgesteld kan worden. Dan kunnen we een printje van de vingerafdruk meegeven."

Het opslaan van vingerafdrukken in een chip op de paspoorten gebeurt naar aanleiding van een Europese verordening. De afdrukken worden niet opgeslagen in een centrale database, omdat een wet hierover het in Nederland niet haalde.

Privacyschendingen

Voor privacyjurist Böhre is het niet nieuw dat er verder nauwelijks iets met de vingerafdrukken gebeurt. Hij vraagt al jaren aandacht voor de kwestie. Sinds 2009 is er ongeveer 20 miljoen keer vingerafdrukken afgenomen bij Nederlandse burgers. Volgens Böhre zijn dat "20 miljoen privacyschendingen".

Volgens de wet mag de privacy van burgers door de overheid alleen geschonden worden als er sprake is van noodzaak en proportionaliteit. Het moet aantoonbaar nut hebben. Dat ontbreekt hier volledig, zegt Böhre in het NOS Radio 1 Journaal. "Na acht jaar moet je toch echt conclusies gaan trekken. Het kost verschrikkelijk veel geld, tijd en moeite. En dat allemaal voor niets.""


Bron: https://nos.nl/artikel/2203728-kabinet-moet-stoppen-met-vingerafdrukken-in-paspoort.html, maandagochtend 20 november 2017. Beluister hieronder het hele interview op Radio 1:

Gepubliceerd in Privacy First in de media

Morgen behandelt de Eerste Kamer een controversieel wetsvoorstel waardoor de reisbewegingen van iedere automobilist 4 weken in een politiedatabank zullen belanden. Vandaag verzocht Privacy First de Eerste Kamer om dit wetsvoorstel te verwerpen. Hieronder volgt de volledige tekst van onze brief (PDF):
 

Geachte Kamerleden,

Morgen gaat u met de minister van Justitie in debat over het wetsvoorstel inzake Automatische Nummerplaat Registratie (ANPR). Reeds sinds 2011 heeft Privacy First haar kritische standpunt over dit wetsvoorstel talloze malen kenbaar gemaakt, zowel in de media als richting Tweede en Eerste Kamer als aan de minister persoonlijk. Op 20 juni jl. vond over het wetsvoorstel in uw Kamer een kritische hoorzitting plaats.[1] Teneur van deze hoorzitting was dat dit wetsvoorstel niet voldoet aan de juridische vereisten van noodzaak en proportionaliteit. Bovendien is de effectiviteit van ANPR tot op heden niet aangetoond.[2] Het wetsvoorstel past om deze redenen niet in een democratische rechtsstaat en dient daarom verworpen te worden.

Wetsvoorstel is juridisch onhoudbaar

Het wetsvoorstel voldoet niet aan de vereisten die het Europees Hof van Justitie de laatste jaren aan dit type wetgeving heeft gesteld in de zaken Digital Rights en Tele2.[3] Bij dit wetsvoorstel is immers sprake van algemene, ongedifferentieerde gegevensopslag en wordt die opslag niet beperkt tot dat wat strikt noodzakelijk is. Bovendien ontbreekt voorafgaande rechterlijke toetsing bij toegang tot de gegevens. Privacy First verwacht dan ook dat de rechterlijke macht het wetsvoorstel desgevraagd onverbindend zal verklaren wegens strijd met Europees privacyrecht.

ANPR-sleepnet

In de kern komt het huidige wetsvoorstel neer op massale opslag van ieders reisbewegingen op de openbare weg. De maatschappelijke weerstand tegen dergelijke massa-surveillance is groot en neemt immer toe, getuige de volksopstand tegen de centrale opslag van ieders vingerdrukken onder de Paspoortwet in 2009-2011, de rechterlijke buitenwerkingstelling van de telecom-bewaarplicht in 2015 en het aanstaande referendum (en geplande grootschalige rechtszaak) tegen de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel ‘Sleepwet’ genoemd. Het huidige ANPR-wetsvoorstel vormt een vergelijkbaar sleepnet: niet van ieders vingerafdrukken, telecommunicatie of internetgedrag, maar van ieders reisbewegingen. Mocht uw Kamer dit wetsvoorstel desondanks goedkeuren, dan rest Privacy First geen andere optie dan dit door de rechter ongedaan te laten maken.

Internationale kritiek

Privacy First staat hierin niet alleen: diverse organisaties hebben reeds toegezegd zich bij onze rechtszaak tegen het ANPR-sleepnet te zullen aansluiten. Ook in het buitenland neemt de kritiek op ANPR toe: onlangs won ANPR in België een nationale Big Brother Award.[4] Daarnaast ontving Nederland vanuit de VN Mensenrechtenraad in Genève in mei dit jaar het volgende dringende advies: “Take necessary measures to ensure that the collection and maintenance of data for criminal purposes does not entail massive surveillance of innocent persons.”[5] De Nederlandse regering heeft dit advies in september jl. uitdrukkelijk geaccepteerd.[6] Daarmee heeft Nederland op internationaal niveau stelling genomen tegen massa-surveillance. Het huidige wetsvoorstel ANPR is hiermee in strijd en dient daarom te worden verworpen.

Huidige praktijk reguleren

De huidige ANPR-praktijk vindt plaats op basis van artikel 3 Politiewet. Dit oude, brede vangnet-artikel is daar echter nooit voor bedoeld en voldoet niet aan de moderne vereisten van artikel 8 EVRM (recht op privacy). De huidige ANPR-praktijk is daarom onrechtmatig. Het Nederlandse parlement zou beter die huidige praktijk wettelijk kunnen reguleren en van strikte privacywaarborgen moeten voorzien: louter opslag van kenteken-hits en slechts tijdelijke opslag van no-hits in concrete, uitzonderlijke gevallen, na rechterlijke toestemming. Het huidige wetsvoorstel schiet hier echter mijlenver voorbij: iedere automobilist wordt hierdoor een potentiële verdachte en belandt 4 weken in een centrale politiedatabank. Onder de nieuwe Wiv zal deze databank bovendien direct toegankelijk kunnen worden voor AIVD en MIVD en zullen ANPR-data tevens uitgewisseld kunnen worden met buitenlandse diensten. Massa-surveillance wordt hierdoor een feit. Nederland wordt hierdoor een Big Brother maatschappij. Dit vormt een historische breuk met het verleden. Het is aan uw Kamer om dit te voorkomen en aan te sturen op betere, privacyvriendelijke wetgeving waardoor Nederland vrij én veilig zal kunnen blijven.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..


Hoogachtend,


Stichting Privacy First



[1] Zie https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1075-hoorzitting-eerste-kamer-over-wetsvoorstel-anpr.html.

[2] Zie bijvoorbeeld meest recentelijk WODC, ANPR: toepassingen en ontwikkelingen (december 2016), https://www.wodc.nl/onderzoeksdatabase/2387-intelligente-toepassingen-van-automatic-number-plate-recognition.aspx.

[3] Zie Hof van Justitie van de Europese Unie, gevoegde zaken C-293/12 & C-594/12 (Digital Rights, 8 april 2014) en gevoegde zaken C203/15 & C698/15 (Tele2, 21 december 2016).

[4] Zie https://bigbrotherawards.be/nl/.

[5] Zie https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1071-nederland-onder-de-loep-bij-verenigde-naties.html. Zie in dit verband tevens de recente brief van de VN Hoge Commissaris voor de Mensenrechten aan de Nederlandse regering, waarin dit advies wordt herhaald en wordt aangedrongen op implementatie en rapportage: https://www.upr-info.org/sites/default/files/document/session_27_-_may_2017/letter_for_implementation_3rd_upr_nld_e.pdf (23 oktober 2017).

[6] Zie UN Doc. A/HRC/36/15/Add.1 (14 september 2017), beschikbaar op https://www.upr-info.org/sites/default/files/document/netherlands/session_27_-_may_2017/a_hrc_36_15_add.1_e.pdf

 

Update 21 november 2017: vanmiddag heeft de Eerste Kamer het wetsvoorstel ANPR aangenomen. SGP, ChristenUnie, VVD, PvdA, CDA, 50Plus, OSF & PVV stemden voor. D66, GroenLinks, SP & PvdD stemden tegen. Privacy First c.s. zullen nu een rechtszaak beginnen om deze wet onrechtmatig te laten verklaren wegens strijd met Europees privacyrecht. Nadere berichtgeving hierover volgt zeer binnenkort.

Gepubliceerd in Wetgeving
vrijdag, 27 oktober 2017 16:20

Nederlandse Privacy Awards 2018

Op 30 januari 2018 worden door Privacy First in het Amsterdamse Volkshotel de nieuwe Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

  1. categorie Consumentenoplossingen (van bedrijven voor consumenten) 

  2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

  3. categorie Overheidsdiensten (van de overheid voor burgers)

  4. aanmoedigingsprijs voor een baanbrekende technologie of persoon.

De Nederlandse Privacy Awards geven een podium aan bedrijven en overheden die Privacy zien als een kans om zich positief te onderscheiden. “De winnaars zijn belangrijke voorlopers in een nieuwe industrie waarin Nederland internationaal Privacy Gidsland kan worden”, aldus Privacy First oprichter Bas Filippini, voorzitter van de onafhankelijke jury.

Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw Privacy Innovatie aan de slag bent. U bent de idee-fase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor Privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

a) Het hebben van een privacy verantwoordelijke (FG, PO) in de organisatie

b) Toepassen van een privacy policy

c) Toepassen van risico analyse(s)

d) Privacy awareness in de organisatie

e) Een inzichtelijk privacybeleid en communicatie hiervan.

Vervolgens worden de deelnemers die genomineerd worden, gescreend op zaken als:

f) Innovatief vermogen: het product, proces of dienst biedt een noviteit op privacygebied en heeft zich in de markt nog niet technisch en/of commercieel bewezen;

g) Maatschappelijke impact: de innovatie levert een bijdrage aan privacy en komt de bescherming van persoonsgegevens en het individu ten goede;

h) Focus: het product, proces of dienst levert in grote mate toegevoegde waarde aan de markt/consument;

i) Zelfredzaamheid: het product, proces of dienst is binnen een reële termijn (ca 3 jaar) economisch realiseerbaar. Er is een businessmodel.

Daarnaast bestaat de mogelijkheid dat de jury een aangekondigd bedrijfsbezoek aan de genomineerde zal brengen.

Bepalen van de genomineerden

Organisaties kunnen zich t/m 30 november 2017 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde punten a) t/m i) te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2017 hoort u of u tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.

Voorschriften pitch

●  Maximaal 3 minuten

●  U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

●  De presentatie bevat in ieder geval de volgende onderdelen:

    o Organisatienaam

    o Privacy project omschrijving

    o Doel en behaalde resultaten.

Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Bas Filippini, oprichter en voorzitter Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects
> Marie-José Bonthuis, eigenaar IT’s Privacy
> Bart van der Sloot, senior researcher, Tilburg University
> Marjolein Lanzing, promovenda Filosofie & Ethiek, Eindhoven University of Technology.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Gepubliceerd in Evenementen
Pagina 3 van 71

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon