Privacy First zet Nederlandse privacyschendingen op VN-agenda

Op 31 mei 2012 is het weer zover: dan zal Nederland in Genève onder de loep worden genomen door het hoogste mensenrechtenorgaan ter wereld: de Mensenrechtenraad van de Verenigde Naties. De VN-Mensenrechtenraad is in 2006 opgericht en bestaat uit 47 van de 192 VN-lidstaten. Sinds 2008 wordt de mensenrechtensituatie in elk land periodiek door de Mensenrechtenraad beoordeeld. Deze procedure vindt voor iedere VN-lidstaat elke vier jaar plaats en heet “Universal Periodic Review” (UPR). Bij de eerste UPR-sessie in 2008 was Nederland meteen aan de beurt en kreeg daarbij heel wat kritiek om de oren. Anno 2011 is de Nederlandse privacysituatie nog slechter dan in 2008: reden voor Privacy First om een aantal zaken bij de VN aan te kaarten. Dit deed Privacy First gisteravond middels een zogeheten schaduw- rapportage: een rapportage waarin maatschappelijke organisaties hun zorgen over een bepaald thema kenbaar kunnen maken. (Voor dergelijke rapportages gelden bij de Mensenrechtenraad overigens strikte eisen, waaronder een limiet van 2815 woorden.) Zonder schaduwrapportages kunnen de diplomaten in de Mensenrechtenraad hun werk niet goed doen. Men zou dan immers afhankelijk blijven van de staatsrapportage van Nederland zelf. Dus diende Privacy First een eigen rapportage in met daarin de volgende aanbevelingen:

•  Géén nationale biometrische database, ook niet op lange termijn,

•  Géén invoering van mobiele vingerscanners,

•  Invoering van een anonieme OV-chipkaart die écht anoniem is,

•  Géén invoering van automatische nummerplaatherkenning (ANPR) zoals momenteel beoogd,

•  Openheid en opschorting van het nieuwe grenscontrolesysteem @MIGO,

•  Een vrijwillig, regionaal i.p.v. landelijk EPD met ‘privacy by design’,

•  Goede wetgeving rond profiling (het profileren van burgers).

Onze hele rapportage treft u HIER aan. Wij hopen dat onze aanbevelingen in de Mensenrechtenraad overgenomen zullen worden en tot internationale uitwisseling van ‘best practices’ zullen leiden. Privacy First zal u graag van deze ontwikkelingen op de hoogte houden.

Update 23 maart 2012: deze week verscheen de langverwachte Nederlandse UPR-staatsrapportage aan de Mensenrechtenraad. Tevens werd de eerder ingediende NJCM-schaduwrapportage (ook namens 24 andere maatschappelijke organisaties) openbaar. De NJCM-rapportage bevat een zeer kritische privacyparagraaf waarin – parallel aan de aanbevelingen van Privacy First – o.a. wordt opgeroepen tot intrekking van de huidige plannen inzake ANPR en mobiele vingerscanners; zie pp. 6-7 van de NJCM-rapportage. Relevante rapportages van andere organisaties vindt u HIER.

Ter ambtelijke voorbereiding van de Nederlandse staatsrapportage vonden de afgelopen maanden twee grote consultatiebijeenkomsten met het Nederlandse maatschappelijk middenveld (NGO’s) plaats bij het ministerie van Binnenlandse Zaken (BZK). Tijdens de eerste bijeenkomst op 1 december 2011 drong Privacy First aan op het opnemen van een aparte paragraaf over privacy in de staatsrapportage. Tijdens de tweede bijeenkomst op 16 januari 2012 vroeg Privacy First of in deze paragraaf “privacy by design” expliciet zou worden genoemd. Op beide verzoeken van Privacy First reageerde BZK positief. De privacyparagraaf in de staatsrapportage blijkt echter relatief kort, oppervlakkig en ontwijkend. Veelzeggend is dat deze paragraaf in het hoofdstuk “challenges and constraints” staat. Dit maakt een defensieve indruk. Nóg veelzeggender is de volgende zin: “The challenge will now be to ensure that all these [privacy infringing] measures are implemented.” Blijkbaar is de Nederlandse Staat niet overtuigd van zijn eigen zaak… And rightly so. Positieve punten zijn slechts de vermelding van “privacy by design”, het WRR-rapport iOverheid en de volgende passage:

“In addition, partly in response to concerns expressed in Parliament, certain policy measures that impact on privacy are currently being modified, as for example the discontinuation of the storage of fingerprint data on national ID cards and within the passport database.”

Privacy First vat deze passage op als een internationale verklaring (unilateral statement) van Nederland om de opslag van vingerafdrukken op identiteitskaarten én in de reisdocumentenadministratie voorgoed stop te zetten. Privacy First zal de Nederlandse regering hier graag aan blijven herinneren.

Update 5 april 2012: de internationale lobby rond de UPR-sessie van Nederland op 31 mei as. is inmiddels in volle gang, zowel bij buitenlandse ambassades in Den Haag als bij permanente vertegenwoordigingen van VN-lidstaten in Genève. In dat kader vond gisterochtend in Genève een belangrijke ‘UPR pre-session’ plaats waarin diverse mensenrechtenorganisaties hun zorgen over Nederland konden uiten voor een breed publiek van buitenlandse diplomaten. Klik HIER voor een Engelstalige impressie van de bijeenkomst over Nederland. Het statement dat Privacy First tijdens deze bijeenkomst presenteerde vindt u HIER en is tevens te downloaden via de website van het Nederlandse Mensenrechteninstituut-in-oprichting.

Update 21 april 2012: aan de hand van alle schaduwrapportages (waaronder die van Privacy First) die de VN eind 2011 ontving is in Genève inmiddels een officiële VN-samenvatting opgesteld. Deze “summary of stakeholders’ information” vindt u HIER. Naast Privacy First stuurden ook het NJCM (mede namens het Platform Bescherming Burgerrechten), Bits of Freedom, het College Bescherming Persoonsgegevens, Vrijbit en het Meldpunt Misbruik ID-plicht schriftelijk hun privacyzorgen naar Genève; al deze rapportages verschijnen binnenkort op deze VN-pagina. Voorzover bij Privacy First bekend gebeurde dit niet eerder op deze schaal. Het thema “privacy” staat daardoor voor het eerst in de geschiedenis prominent in een VN-rapport over Nederland, prominenter ook dan in andere summaries zoals bijvoorbeeld over het Verenigd Koninkrijk. Opvallend is verder dat de VN een passage over profiling uit het rapport van Privacy First citeert: “digital profiles can be extremely detailed and profiling can easily lead to discrimination and ‘steering’ of persons in pre-determined directions, depending on the ‘categories’ their profiles ‘fit into’ and without the persons in question being aware of this.” (VN-summary, par. 65). Dit alles kan met recht een doorbraak genoemd worden die tijdens de sessie op 31 mei as. hopelijk zijn vruchten zal afwerpen.

Update 23 mei 2012: de afgelopen maanden heeft Privacy First een reeks nuttige gesprekken gevoerd met buitenlandse diplomaten in Genève en Den Haag. Inmiddels zijn op de UPR-website van de VN reeds een aantal zogeheten “advance questions” van VN-lidstaten verschenen, waaronder de volgende vraag van het Verenigd Koninkrijk aan Nederland: “Given recent concerns about data collection and security, including the unintended consequences of cases of identity theft, does the Netherlands have plans for measures to ensure more comprehensive oversight of the collection, use and retention of personal data?” (Bron) Privacy First ziet verdere vragen van VN-lidstaten over Nederlandse privacyperikelen met vertrouwen tegemoet.