donatieknop english

De partijen die in februari vorig jaar een rechtszaak wonnen tegen fraudesysteem SyRI, waarschuwen de Eerste Kamer voor een nog grotere en ingrijpendere datakoppelwet. “Dit voorstel legitimeert de werkwijze die leidde tot de toeslagenaffaire.”

De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om databases van zowel overheden als bedrijven in zogeheten samenwerkingsverbanden aan elkaar te knopen. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen om daarmee data-analyses uit te voeren. Deze moeten helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen.

De coalitie, bestaand uit het Platform Burgerrechten, FNV, het Nederlands Juristen Comité voor de Mensenrechten, Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad en auteurs Tommy Wieringa en Maxim Februari noemt de wet ‘Super SyRI’, omdat deze in meerdere opzichten verder gaat dan het vorig jaar door de rechter uit de wet geschrapte SyRI (Systeem Risico Indicatie). De partijen noemen het voorstel een bedreiging voor het functioneren van de rechtsstaat in een brief aan de Eerste Kamer, die deze dinsdag start met de behandeling.

Parlement buitenspel gezet

De Eerste en Tweede Kamer worden in dit voorstel buitenspel gezet, schrijven de partijen. De belangrijke onderdelen staan namelijk niet geregeld in de wet waarover de Kamer nu stemt, maar worden naderhand bepaald door de minister in lagere regelgeving. Kwesties als de hoeveelheid en soorten gegevens, de partijen die erbij kunnen en de manier waarop ze worden geanalyseerd en verder worden gebruikt, worden bepaald zonder dat de Kamer daarmee instemt. Zo’n wetsconstructie is in strijd met de Grondwet, die voorschrijft dat een inbreuk op de privacy moet worden goedgekeurd door het parlement. Als de Eerste Kamer instemt met deze insteek, plaatst ze zichzelf effectief langs de zijlijn.

Alle data over burgers fair game

Het kabinet stelt in haar toelichting op de wet dat het ‘nee, tenzij’ principe bij het verwerken van persoonsgegevens moet worden omgedraaid naar een ‘ja, mits’. Daarmee keert ze het doelbindingsprincipe om, dat voorschrijft dat persoonsgegevens verzameld voor een specifiek doel, niet zomaar voor andere doelen mogen worden verwerkt. De vanzelfsprekende vertrouwelijkheid waarmee werd omgegaan met persoonsgegevens, wordt daarmee afgeschaft, zo schrijven de partijen. “Alle data over burgers zijn ‘fair game’ onder de WGS.”

Voor burgers wordt het zo onmogelijk om na te gaan wat er zoal over hen wordt uitgewisseld, waar deze informatie terechtkomt en welke gevolgen dat kan hebben. Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij is het de bedoeling dat deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die ze in het vizier krijgen.

Blauwdruk voor meer toeslagenaffaires

Uit de toeslagenaffaire is gebleken dat het heimelijk plaatsen van burgers op lijsten rampzalige gevolgen kan hebben. Het wetsvoorstel voor de WGS leest als een blauwdruk voor een nieuw data-schandaal, stellen de partijen: “Met dit voorstel koerst het kabinet af op een vorm van governance die niet past in een vrije samenleving en doet denken aan de dataverwerkingspraktijken die vooraf gingen aan de toeslagenaffaire.”

De coalitie hoopt dat de fundamentele bezwaren tegen dit voorstel, die eerder werden geuit door de Raad van State en de Autoriteit Persoonsgegevens, in de Eerste Kamer tot een uitvoerige en kritische behandeling leiden. De Tweede Kamer nam het voorstel aan op 17 december 2020, de dag dat het rapport “Ongekend Onrecht” van de parlementaire ondervragingscommissie kinderopvangtoeslagaffaire werd gepubliceerd. “Met dit debacle zo vers in het geheugen verdient dit voorstel, dat de door Belastingdienst gehanteerde werkwijze in feite van een wettelijke basis voorziet, een grondige behandeling in de Kamer die de nadrukkelijke verantwoordelijkheid heeft voor het bewaken van de kwaliteit van wetgeving.”

Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-aan-eerste-kamer-super-syri-blauwdruk-voor-meer-toeslagenaffaires/, 11 januari 2021. 

Gepubliceerd in Wetgeving

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.


Genomineerden

Dit jaar heeft opnieuw een groot aantal inzenders (waaronder meerdere overheidsorganisaties) zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse gesprekken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:

NLdigital

NLdigital (voorheen Nederland ICT) is een branchevereniging in de digitale sector. Ze vertegenwoordigt 600 leden van start-up tot multinational. Veel van deze leden behoren tot het MKB en zijn verwerker. NLdigital heeft gezocht naar een manier om hun leden te ondersteunen bij het implementeren van de AVG op een wijze die verder gaat dan alleen het aanbieden van een 10-stappenplan.

Door het beschikbaar stellen van een model verwerkersovereenkomst afgestemd op de branche, de Data Pro Code en het Data Pro Statement, heeft NLdigital een concrete invulling gegeven van de AVG voor verwerkers in de digitale sector. De Data Pro Code is bovendien transparant met een openbare certificering, staat open voor niet-leden en zal toetsbaar zijn door een nog in te stellen onafhankelijk toezichthoudend orgaan. De Data Pro Code is bovendien goedgekeurd door de Autoriteit Persoonsgegevens. Daarmee heeft NLdigital als brancheorganisatie een innovatieve werkwijze gevonden voor het ondersteunen van leden bij de implementatie van de AVG.

Simple Analytics

Simple Analytics heeft een eenvoudige analysetool ontwikkeld om het bezoek aan websites te meten. Met deze betalende dienstverlening respecteren zij de “do-not-track” instelling van gebruikers door niets van hen op te slaan. Er worden geen cookies en advertenties geplaatst tijdens het bezoek aan een website.

Met de dienstverlening voor bedrijven en organisaties doorbreekt Simple Analytics de trend van mondiale aanbieders die gratis een analysetool aanbieden waarbij o.a. trackgegevens worden doorverkocht in de vorm van advertenties. Binnen 2 jaar maken al ruim 500 organisaties gebruik van deze dienstverlening die bewust kiezen om geen persoonsgegevens te verzamelen van bezoekers, maar uitsluitend geaggregeerde data gebruiken om analyses te maken.

Door op deze wijze bezoeksdata te analyseren wordt maximaal de privacy van burgers gerespecteerd die gebruik maken van het internet als informatiebron. Dit verdienmodel heeft bewezen levensvatbaar te zijn.

FCInet & Ministerie van Justitie en Veiligheid

FCInet Secretariat is onderdeel van een internationale samenwerking gericht op het bestrijden van economische misdrijven zoals belastingfraude, corruptie en witwassen. Als uitgangspunt daarbij geldt Connect, don't collect. Daartoe is Ma³tch ontwikkeld.

Via een wiskundig formalisme (hashing) versleutelt organisatie A (bundels van) persoonsgegevens op een zodanige wijze dat een ontvangende partij B de mogelijkheid heeft te controleren of een persoon die bij organisatie B bekend is ook bij organisatie A bekend is. De check vindt plaats in een beveiligde decentrale omgeving, waardoor organisatie A niet weet of er sprake is van een hit of niet. Pas als blijkt dat er een match is vindt de vervolgstap plaats waarbij ook daadwerkelijk informatie over de betreffende persoon door organisatie B bij organisatie A wordt opgevraagd.

FCInet is er in geslaagd om samen met het Ministerie van Justitie en Veiligheid een Privacy by Design toepassing concreet toepasbaar te maken in een internationale samenwerking. Alleen noodzakelijke gegevens worden uitgewisseld. Het toepasbaar maken van de techniek in een bestaand proces van gegevensuitwisseling heeft veel overredingskracht gevraagd binnen traditioneel ingerichte (internationale) overheidsorganisaties. De volharding en de potentie van de gebruikte techniek rechtvaardigen een nominatie voor dit initiatief.

Schluss

Schluss biedt een datakluis aan voor het beheer van persoonlijke gegevens. De datakluis die Schluss in ontwikkeling heeft geeft individuen verregaande mogelijkheden om hun gegevens te beheren en beschikbaar te stellen op basis van hun eigen voorwaarden.

Naast de technische voorziening van een veilige datakluis wil Schluss betrokkenen ook ondersteunen in de wijze waarop ze met hun gegevens om kunnen gaan. Daartoe onderzoekt Schluss de voordelen van een coöperatie bij het beheer van gegevens, en welke spelregels over het beschikbaar stellen van gegevens gebruikt zouden moeten worden.

Op deze wijze zet Schluss niet alleen in op technische innovatie maar ook op een organisatorisch innovatieve manier om de privacy van individuen beter te beschermen.

Nkey

Nkey is een inspirerende Privacy by Design oplossing, die als plug-in voor website en app bouwers gemakkelijk een deel van de privacy voldoende veilig kan inrichten.

De bouwer van je website, bijvoorbeeld een online shop, neemt een abonnement en ‘plugt je site erop in’, je betaalt per maand en je klanten kunnen zelf de beschikbaarheid van hun gegevens zien en bijhouden.

Nkey laat zien dat er goede mogelijkheden zijn om maximaal controle te houden over je persoonsgegevens en deze alleen te laten gebruiken met jouw toestemming.

Ministerie van Volksgezondheid, Welzijn en Sport

De CoronaMelder app is inmiddels al door meer dan 4,3 miljoen mensen in Nederland gedownload. De app waarschuwt je op het moment dat je in de buurt bent geweest van iemand met corona. De app maakt gebruik van de technologie Bluetooth Low Energy. Via dit signaal kan gemeten worden of je in de buurt bent geweest van iemand die later positief is getest. Door de samenwerking met corona apps uit andere EU-landen krijg je ook een melding als je in contact bent geweest met een persoon die een corona-app gebruikt van een ander EU-land.

Gebruikers van de app ontvangen een melding nadat ze:
1. minimaal 15 minuten dicht bij iemand zijn geweest die later corona blijkt te hebben;
2. deze persoon de app ook gebruikt; en
3. deze persoon via CoronaMelder samen met de GGD aangeeft het coronavirus te hebben.

De app is een aanvulling op het bron- en contactonderzoek dat door de GGD wordt uitgevoerd. De app zelf slaat alleen statische gegevens op, zogenaamde wiskundige codes die om de 14 dagen worden verwijderd en niet te herleiden zijn tot een persoon. Mocht blijken dat de app-gebruiker corona heeft dan kan die ervoor kiezen om de wiskundig gegenereerde code op een server op te slaan, zodat andere gebruikers die mogelijk in de buurt zijn geweest geïnformeerd kunnen worden. De melding bevat alleen informatie over het feit dat je in buurt bent geweest van een besmet persoon en niet wie het was of waar dit is geweest.

STER

STER verzorgt alle reclame-uitingen voor de publieke omroep. Voor de online reclames heeft STER radicaal gebroken met de gebruikelijke aanpak om via ´cookies´ advertenties zoveel mogelijk af te stemmen op de kenmerken die over een persoon verzameld worden.

In plaats daarvan is STER overgestapt op een systeem dat uitsluitend gebruik maakt van informatie over het product dat bekeken wordt. Deze contextuele benadering van het aanbieden van advertenties blijkt in de praktijk net zo effectief als de gebruikelijke manier van advertentieselecties en biedt daarnaast nog een aantal extra voordelen, ook voor de adverterende partijen.

STER heeft deze stap gezet omdat duidelijk was dat het gebruik van persoonskenmerken voor het aanbieden van advertenties bij veel mensen irritatie opwekt. De Algemene Verordening Gegevensbescherming gaf het laatste zetje om over te stappen.

Door de nieuwe aanpak verdwijnen er partijen uit de keten die vooral dienden om persoonskenmerken te verzamelen en te verwerken voor adverteerders. Er blijft meer geld over voor de adverteerders. STER beheert de gehele advertentiecampagne in huis. Een door de STER ontwikkelde aanpak voegt automatisch trefwoorden aan de digitale content toe. STER geeft door aan adverteerders wat de effectiviteit van hun campagnes is geweest. Met deze aanpak heeft STER een technisch en organisatorisch model ontwikkeld dat beter aansluit op de privacybehoeften van betrokkenen, ten minste net zo effectief is als het oude systeem en minder kosten met zich meebrengt. Het model is naar andere domeinen buiten de publieke omroep over te brengen.'

4MedBox

4LifeSupport van 4MedBox zet de verhouding tussen bron en betrokkene in een ander daglicht. Het individu, de persoon, wordt als bron en bepaler beschouwd, die bepaalt welke partijen of professionals toegang tot de gegevens verkrijgen. Door het zelfbeschikkingsprincipe dat in het platform is verwerkt stelt het individuen in staat om vervolgens die data naar eigen inzicht bijvoorbeeld te delen of te verkopen aan door hen geselecteerde partijen. Het kan wat van de mensen vragen qua handigheid, begrip en inzicht, maar kan dan ook veel bieden op het vlak van zelfregie. Die heeft zeker te maken met privacy, maar werkt dan ook breder.

4LifeSupport staat nog aan het begin van een langer proces en vraagt nog uitwerking op een aantal onderdelen, maar de jury beoordeelt de aanpak en vorderingen als voldoende om het te nomineren.

Roseman Labs

Roseman Labs is door drie academici opgericht met als doel om moderne privacy technologieën zoals secure multiparty computation (MPC) breed en gemakkelijk toepasbaar te maken.

Multiparty computation stelt meerdere partijen in staat om berekeningen uit te voeren op hun gezamenlijke dataset, zonder deze data onderling te hoeven delen; alleen het resultaat van de berekening wordt bekend.

MPC is met name relevant voor sectoren waarin zowel data-privacy als samenwerking tussen meerdere stakeholders cruciaal is, zoals de financiële sector, de gezondheidssector, geo-informatiediensten, energiebedrijven, e-commerce en cyber-weerbaarheid.

Roseman Labs heeft Cranmera ontwikkeld, een MPC software engine waarmee in korte tijd domeinspecifieke applicaties op basis van MPC kunnen worden gebouwd. Voorbeelden van dergelijke applicaties zijn een enquêtesysteem waarbij de antwoorden van respondenten op basis van MPC versleuteld worden verwerkt, en een pseudonimisatie-oplossing met sterke privacygaranties voor interbancaire transactiemonitoring.

 

Jury Nederlandse Privacy Awards

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
- Ancilla van de Leest, voorzitter Privacy First
- Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Alex Commandeur, senior adviseur BMC Advies
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en oprichter DePrivacyGuru
- Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op 28 januari as. worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens worden uitgereikt in vier categorieën: 1) Consumentenoplossingen, 2) Bedrijfsoplossingen, 3) Overheidsdiensten en 4) Aanmoedigingsprijs.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP. Wilt u graag ook (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

 

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards

Onder de Corona-noodwet heeft het kabinet de mogelijkheid om allerlei beperkende maatregelen in te voeren, waaronder een brede mondkapjesplicht, tenzij de Tweede Kamer dit deze week verwerpt. Vandaag stuurde Privacy First hierover onderstaande email aan de Tweede Kamer: 


Geachte Kamerleden,

Op 19 november jl. heeft het kabinet de Regeling aanvullende mondkapjesverplichtingen covid-19 bij u ingediend. Onder deze regeling zal het dragen van mondkapjes op talloze locaties (waaronder winkels, stations, luchthavens en onderwijs) per 1 december as. verplicht worden. Periodiek zal deze plicht door het kabinet – zonder instemming van het parlement – kunnen worden verlengd. Op basis van de Corona-noodwet heeft u momenteel zeven dagen de tijd om uw vetorecht uit te oefenen en de inwerkingtreding van een brede mondkapjesplicht te voorkomen. Uiterlijk op 26 november as. zult u dit in stemming kunnen brengen en de voorgestelde mondkapjesplicht kunnen verwerpen.

Over het dragen van mondkapjes is al maanden veel maatschappelijke discussie gaande. Standpunt van zowel het kabinet als het RIVM is herhaaldelijk geweest dat het dragen van een niet-medisch mondkapje nauwelijks effectief is ter bestrijding van het coronavirus. Wetenschappers lijken hierover verdeeld. Tegelijkertijd kan het dragen van mondkapjes ook averechts werken, d.w.z. de gezondheid van mensen juist schaden. Waar wel consensus over bestaat is dat het verplicht dragen van een mondkapje in juridische zin een inbreuk op de persoonlijke levenssfeer en zelfbeschikking vormt. Dit valt daarmee onder het werkterrein van Privacy First. Het recht op bescherming van de persoonlijke levenssfeer (privacy) is een universeel mensenrecht dat in Nederland wordt beschermd door zowel internationale en Europese verdragen als door onze nationale Grondwet. Iedere inbreuk op het recht op privacy dient daarom strikt noodzakelijk, proportioneel en effectief te zijn. Zo niet, dan is sprake van een ongerechtvaardigde inbreuk en derhalve een schending van het recht op privacy als mensenrecht en als grondrecht. Zolang het dragen van niet-medische mondkapjes ter bestrijding van het coronavirus niet effectief gebleken is en zelfs averechtse gezondheidseffecten kan hebben, kan van een maatschappelijke noodzaak ter invoering van een algemene mondkapjesplicht geen sprake zijn. Een dergelijke plicht zou dan immers neerkomen op een maatschappelijk experiment met onvoorziene consequenties. Dit past niet in een vrije democratische rechtsstaat. Privacy First adviseert u daarom om de voorgestelde regeling ter invoering van de mondkapjesplicht te verwerpen en het dragen van mondkapjes op vrijwillige basis te continueren.

Hoogachtend,

Stichting Privacy First

Gepubliceerd in Wetgeving

Aanstaande maandag en dinsdag debatteert en stemt de Eerste Kamer over één van de meest verregaande wetten die Nederland ooit gekend heeft. Gisteren stuurde Privacy First in dat verband onderstaande brief (pdf) aan de Eerste Kamer:

Geachte Kamerleden,

Begin deze week vindt in de Eerste Kamer het debat en de stemming plaats over een wetsvoorstel dat de afgelopen maanden terecht veel kritiek en onrust in de Nederlandse samenleving heeft veroorzaakt. Dit wetsvoorstel heet eufemistisch de Tijdelijke wet maatregelen Covid-19 en is beter bekend als de “Spoedwet”, “Noodwet” of “Coronawet”. Sinds de allereerste concept-versie van deze wet (mei 2020) heeft Privacy First diverse malen kritisch commentaar op het wetsvoorstel geleverd. Ons voornaamste punt van kritiek betrof het totalitaire karakter van deze wet: de minister zou per decreet talloze grondrechten kunnen gaan inperken en het parlement zou daarbij grotendeels buitenspel komen te staan. Dit aspect van de wet lijkt inmiddels slechts te zijn “gerepareerd” voorzover het de betrokkenheid van de Tweede Kamer betreft. Ook in de huidige versie van het wetsvoorstel krijgt de minister nog steeds een breed arsenaal aan beperkende middelen tot zijn beschikking. Daarbij staat de Eerste Kamer nog steeds grotendeels buitenspel. De Tweede Kamer zou inmiddels een “bekrachtigingsrecht” bij maatregelen onder de wet hebben, maar bij nader inzien blijkt dit slechts een verwerpingsrecht onder hoge tijdsdruk. Hieronder lichten wij dit kort toe.

Corona-noodwet als menukaart voor talloze inperkingen van grondrechten

Evenals eerdere versies biedt het huidige wetsvoorstel nog steeds alle mogelijkheden om talloze vrijheden, grondrechten en mensenrechten verregaand te kunnen inperken. Geen enkel segment van de samenleving blijft daarbij gespaard, denk bijvoorbeeld aan de vrijheid van beweging in de openbare ruimte, het openbaar vervoer, onderwijs en kinderopvang, openbare gelegenheden, horeca, evenementen, sport en recreatie, zorginstellingen etc, alles op straffe van hoge boetes. Getuige alle ontwikkelingen in de afgelopen maanden rijst daarbij inmiddels de vraag of de negatieve maatschappelijke, economische en sociale gevolgen van dergelijke maatregelen de veronderstelde positieve effecten niet verregaand en langdurig zullen (gaan) overtreffen. Naar analogie met vroegere uitspraken van het Europees Hof voor de Rechten van de Mens: in hoeverre is hier sprake van “destroying society on the ground of defending it?”

Eerste Kamer voortaan buitenspel

Privacy First zal er geen doekjes om winden: zodra u dit wetsvoorstel accordeert, zet u zichzelf als Eerste Kamer gedurende de rest van dit tijdsgewricht grotendeels buitenspel. De Corona-noodwet zal na inwerkingtreding immers voor onbeperkte duur kunnen blijven gelden; periodieke verlenging zal geschieden bij koninklijk besluit en zonder parlementaire goedkeuring. Onder deze wet zullen door de minister (en diens onbekende opvolger(s)) talloze draconische maatregelen genomen kunnen worden, waarbij u als Kamerlid het nakijken zult hebben. Bij iedere nieuwe ministeriële regeling onder de Corona-noodwet zal immers louter de Tweede Kamer het recht hebben om deze binnen een week te verwerpen, waardoor de betreffende regeling niet in werking zal treden (of, bij spoedregelingen, buiten werking zal worden gesteld). Een dergelijk recht krijgt de Eerste Kamer echter niet. Een amendement van die strekking werd in de Tweede Kamer immers recentelijk verworpen.[1] Daarmee heeft de Tweede Kamer de Eerste Kamer in de Corona-crisis buitenspel gezet, in strijd met de systematiek die bijvoorbeeld bij noodsituaties geldt onder art. 103 Grondwet. Los van de vraag of er reeds sprake is van een noodsituatie (quod non), zou dit voor uw Kamer voldoende reden moeten zijn om dit wetsvoorstel geheel te verwerpen.

Tweede Kamer heeft slechts recht van verwerping i.p.v. bekrachtiging van maatregelen

Ten onrechte is de afgelopen tijd (door Kamerleden en zelfs door de Raad van State) gesuggereerd dat maatregelen onder de Corona-noodwet pas in werking kunnen treden nadat de Tweede Kamer hiermee heeft ingestemd.[2] De betreffende passage in het huidige wetsvoorstel (art. 58c lid 2-3) leest echter als volgt: “Indien binnen [een week] de Tweede Kamer besluit niet in te stemmen met de regeling, vervalt deze van rechtswege.” (onderstreping toegevoegd) Dit is dus geen recht van bekrachtiging, maar een recht van verwerping dat actieve besluitvorming vergt, dit alles onder hoge tijdsdruk. Hoe zal dit uitpakken tijdens het Kerstreces? Zie ter vergelijking het bekrachtigingsrecht zoals dat bij noodmaatregelen geldt onder art. 176 Gemeentewet. Het is aan uw Kamer om de interpretatie en toepassing van art. 58c lid 2-3 onder het huidige wetsvoorstel te laten verduidelijken. Tevens adviseert Privacy First u om alsnog een sterker bekrachtigingsrecht voor zowel de Tweede als Eerste Kamer af te dwingen en daartoe het huidige wetsvoorstel te verwerpen. Het behoud van onze vrije democratische rechtsstaat is daarmee het meest gediend.

Hoogachtend,

Stichting Privacy First

 

[1] Zie Kamerstukken II, 2020-2021, 35526, nr. 49.
[2] Zie de plenaire vergadering over het wetsvoorstel in de Tweede Kamer, 7-8 oktober 2020. Zie tevens de brief van de vice-president van de Raad van State met voorlichting over het wetsvoorstel d.d. 22 oktober 2020, Kamerstukken I, 2020-2021, 35526, nr. F, p. 10 (1e alinea) en p. 12 (1e alinea).

Gepubliceerd in Wetgeving

Het nieuwe 'Landelijk EPD': overbodig, onwenselijk en onaanvaardbaar

Het Ministerie van VWS is, buiten het zicht van de Tweede Kamer om, actief betrokken bij een nieuwe variant van het 'Landelijk EPD’: de Online Toestemmingsvoorziening (OTV/Mitz) van het Informatieberaad Zorg. Naast kritische inbreng in een open consultatie stuurde Privacy First hierover begin deze week een alarmerende brief aan de Tweede Kamer.

Privacy First acht het voorstel voor de Online Toestemmingsvoorziening (OTV/Mitz) overbodig, onwenselijk, onaanvaardbaar en een ernstige schending van de privacy van patiënten.

De OTV is een doorontwikkeling van het Landelijk Schakelpunt (LSP), de implementatie van het in 2011 door de Eerste Kamer verworpen ‘Landelijk EPD’. Ondanks dat de Minister van Medische Zorg en Sport bij herhaling stelt te koersen op een gegevensuitwisseling binnen het zorgproces, blijft het Informatieberaad Zorg volharden in het gebruik van een gecentraliseerde infrastructuur.

Voor patiënten heeft dit draconische gevolgen: zeg je ’nee’ tegen deelname aan de OTV, dan kunnen er geen medische gegevens meer worden uitgewisseld. Zelfs het versturen van een recept, of een papieren dossier, is dan niet meer mogelijk. Op deze wijze worden patiënten gedwongen het medisch beroepsgeheim te doorbreken en een brede, ongerichte ontsluiting van hun medische gegevens te accepteren.

In 2014 werd het recht op een ‘opt-in’ in de wet verankerd. Dat wordt via de OTV nu effectief ongedaan gemaakt. Het Informatieberaad Zorg neemt samen met Zorgverzekeraars Nederland plaats op de stoel van de wetgever. Privacy First acht dat vanuit democratisch oogpunt pertinent onaanvaardbaar.

Vervolgens bleek de ‘open consultatie' hierover alles behalve ‘open'. Inzenden mocht naar een emailadres. Over de andere inbreng wordt niet gecorrespondeerd. Andere inbreng die we kennen is van Stichting NUTS, Whitebox en ZorgICTzorgen.

Wordt vervolgd...


Klik HIER voor de inbreng van Privacy First bij de consultatie (pdf).
Klik HIER voor de brief van Privacy First aan de Tweede Kamer (pdf).

 

Zorgpolder

Gepubliceerd in Medische privacy

Begin 2021 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

  1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

  2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

  3. categorie Overheidsdiensten (van de overheid voor burgers)

  4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

“De Coronacrisis laat zien, naast natuurlijk gezondheid en zorg, hoe actueel het belang van zorgvuldige omgang met persoonsgegevens is. Technische mogelijkheden, politieke ambities, commercieel streven en zorgwensen moeten voortdurend tegen het licht gehouden worden qua privacy. Niet omdat we tegen ontwikkeling zijn, maar omdat die respect voor de persoonlijke levenssfeer moet hebben. Deze positieve en constructieve benadering van privacy is de essentie van de Nederlandse Privacy Awards”, aldus Wilmar Hendriks, voorzitter van de jury.


Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

Ten aanzien van het product, proces of dienst:

Waardering van privacy

De Nederlandse Privacy Awards zijn gericht op een positieve(re) waardering van gegevensbescherming. Het product, proces of dienst levert hierop merkbare toegevoegde waarde.

Maatschappelijke impact

In hoeverre draagt het product, proces of dienst merkbaar bij aan de privacybescherming van de consument/gebruiker/burger? Staat de betrokkene hierin centraal? Welke maatschappelijke waarde wordt hiermee ondersteund? Is daarbij aandacht voor ethische aspecten en de maatschappelijke impact?

Innovatief vermogen

Is of biedt het product, proces of dienst een noviteit op privacygebied en heeft het zich in de markt nog niet uitgebreid technisch en/of commercieel bewezen? Is het voldoende innovatief en onderscheidend van bestaande commerciële producten of diensten of maatschappelijke dienstverlening?

Zelfredzaamheid

Is het product, proces of dienst binnen een reële termijn (ca 3 jaar) economisch realiseerbaar? Is er een businessmodel? Voor overheidsgerelateerde inzendingen: is er voldoende politiek, bestuurlijk en maatschappelijk draagvlak (te realiseren)?

Risicoanalyse

Is voor het product, proces of dienst een risico-analyse uitgevoerd (uitgaande van de (beoogde) verwerking)? Zijn daarbij waar nodig mitigerende maatregelen genomen? Welke?

Ten aanzien van de inzendende organisatie:

Privacyverantwoordelijke

Heeft de inzendende organisatie een FG (als dit verplicht is) of is er een privacyadviseur?

Privacy policy

Wordt een privacy policy gecommuniceerd en toegepast wanneer persoonsgegevens worden verwerkt?

Privacy awareness

Is privacy awareness herkenbaar in de beginselen van de organisatie? In hoeverre worden stakeholders betrokken bij ontwikkeling, ontwerp en uitvoering?


Bepalen van de genomineerden

Organisaties kunnen zich t/m 1 oktober 2020 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.Medio december 2020 hoort u of u tot de genomineerden behoort. De mogelijkheid bestaat dat de jury een aangekondigd (vertrouwelijk) bedrijfsbezoek aan de genomineerden zal brengen. Indien u genomineerd wordt ontvangt u van Privacy First tevens een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden. 


Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.


Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
> Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Alex Commandeur, senior adviseur BMC Advies
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Piek Visser-Knijff, data-ethicus en eigenaar Filosofie in actie
> Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards

Geachte Kamerleden,

Het kabinet heeft een voorstel voor een noodwet ingediend die regeren per decreet voor langere tijd, op basis van niet-gespecificeerde criteria, informatie en data, mogelijk maakt. Indien u voor deze wet stemt, zet u zichzelf volkomen buitenspel, heft u feitelijk uw eigen bevoegdheden op en geeft u het kabinet en de bevoegde minister vrijwel absolute macht en een carte blanche.

Reeds eerder heb ik aangegeven wat de implicaties van het eerste concept-ontwerp van deze noodwet zijn voor onze samenleving en dat deze gebaseerd is op verkeerde uitgangspunten, een ministerieel decreet, gebrek aan noodzaak en proportionaliteit. Het kabinet heeft vervolgens aangegeven te hebben “geluisterd” naar de kritiek van de Raad van State, maar juist de essentiële onacceptabele zaken overeind gelaten:

- De criteria aangaande de uitgangspunten, de invoering en maatregelen zijn niet vastgelegd en kunnen niet democratisch worden getoetst door het parlement. Een criterium als "dreiging" is al genoeg om draconische ongrondwettelijke maatregelen te implementeren en de wet te activeren.

- De bepalingen aangaande de ministeriële bevoegdheden bieden ruimte voor totale willekeur en ongrondwettelijk optreden. Het parlement mag meekijken maar niet meebeslissen, wat ze er ook van vindt.

- De absurde boetes die direct aan personen en indirect aan bedrijven kunnen worden opgelegd inclusief strafblad en onthouding van een verklaring omtrent gedrag (denk aan hypotheek, opstarten bedrijf etc) blijven van kracht. De minister kan de boetes middels een last onder dwangsom verder opvoeren.

- De looptijd van 6 maanden die per koninklijk besluit telkens met 3 maanden verlengd kan worden. Daarnaast kunnen individuele maatregelen langer doorlopen. Het kabinet kan zonder toetsing of duidelijke criteria de noodwet op elk moment van kracht laten zijn.

Professor Wim Voermans heeft deze zaken uitstekend verwoord in zijn weblog. Privacy First adviseert daarom dit huidige wetsvoorstel niet aan te nemen.

Indien alsnog een dergelijke wet noodzakelijk wordt geacht, zou het moeten gaan om een proces/kaderwet vanuit de volgende condities:

Algemeen

1) Het uitgangspunt moet een brede noodwet voor algemene noodsituaties zijn. Vanuit volledige transparantie in uitgangspunten, doelstellingen en meetmethoden.

Democratische toetsing 

2) De Tweede Kamer moet een normaal bekrachtigings- en amendementsrecht hebben met een ruime meerderheid van stemmen en dit geldt ook voor instemming van de gemeenteraden voor plaatselijke regelingen. Het ministerieel decreet moet uit deze wet.

3) Alle mogelijke maatregelen in de vorm van ministeriële regelingen die een inbreuk (kunnen) vormen op grondrechten moeten voorgelegd worden aan de Eerste en Tweede Kamer en met een ruime meerderheid van tweederde in stemming worden gebracht. Denk hierbij onder andere aan:
a. Structurele invoering van abnormale sociale normen
b. Een nieuwe (plaatselijke) lockdown
c. De inperking van het demonstratierecht (denk aan framing als “evenement”) 
d. Uitstel van verkiezingen
e. Uitbreiding van bestrijdingsmaatregelen en quarantaine
f. Maatregelen inzake verplichte opname, medicatie en vaccinatie
g. Maatregelen achter de voordeur
h. De beperking van personenvervoer en reis- en verblijfsmogelijkheden van burgers
i. De inzet en gebruik van biometrische gezondheidsapps of middelen als toegang tot de samenleving
j. Het verplicht tracken en tracen van burgers
k. Het bezoekrecht in verpleeg- en verzorgingstehuizen
l. Etc.

4) Toetsing door beide Kamers dient te geschieden op basis van een legitieme doelstelling, strikte noodzaak, proportionaliteit en subsidiariteit en onderbouwd door transparante en heldere criteria. Daarnaast moeten andere vakgebieden meegenomen worden inzake de economische en sociale effecten van maatregelen.

5) De gemeenteraden moeten op lokaal niveau regelingen kunnen toetsen en plaatselijk implementeren.

6) Boetes herijken, gevangenisstraffen en strafblad eruit en/of opnieuw bepalen waar mogelijk.

Crisis Management Teams 

7) De rol van wetenschappelijke adviescolleges zoals in deze wet het RIVM / WHO moet sterk worden teruggebracht en onderdeel zijn van een veel breder platform van vertegenwoordigers in de samenleving. Tevens moeten alle leden van het in te stellen crisisteam en onderliggende teams gescreend worden op (dwars)verbanden met het (medisch) industrieel complex of andere (in)directe zakelijke belangen.

Transparantie

8) Het gebruik van een technocratisch dashboard en digitale ondersteuningsmiddelen en het werken met data en cijfers dient volledig transparant te zijn voor elke burger inclusief de onderliggende uitgangspunten en databronnen. Deze dienen op een speciale website voor alle burgers en het parlement real-time beschikbaar te zijn, met eenduidige rapportages inzake het totale beeld van het aantal besmettingen, immuniteit, opnames, mortaliteit en multiple causes in relatie tot een eenduidige doelstelling.

Anti-censuur bepaling 

9) Alle mogelijke behandelmethoden, medicatie en vaccinatie-onderzoeken en resultaten dienen te worden bijgehouden en gepubliceerd op een speciale website, voorzien van peer reviews en studies die volledig onafhankelijk zijn. Inbreng van andere specialismen binnen de samenleving moet kunnen worden toegevoegd. De één waarheid narrative van de WHO en andere beïnvloeders van beleid moet zoveel mogelijk worden voorkomen.

Verhoging directe controleerbaarheid en transparantie overheid

10) In het kader van de transparantie dienen WOB-verzoeken versneld te worden afgewikkeld. Hiervoor moet extra capaciteit worden gereserveerd.

Europese aanbestedingen & afrekenbaarheid beleid 

11) De minister / kabinet heeft de verplichting vooruitlopend op een mogelijke nieuwe crisissituatie de capaciteit in de gezondheidszorg op peil te hebben en een duidelijke begroting met daarin alle te maken kosten, ook voor inkoop van medicatie en behandelmethoden of vaccins transparant te vermelden en waar nodig te verantwoorden door goedkeuring van de Eerste en Tweede Kamer. Uitgangspunt voor alle maatregelen is immers altijd de capaciteit in de gezondheidszorg geweest!

Looptijd wet en onderliggende maatregelen

12) De looptijd van een noodwet mag nooit langer zijn dan maximaal 3 maanden (minder mag ook) na goedkeuring van het parlement en verlenging moet worden aangevraagd bij de Eerste en Tweede Kamer met een ruime meerderheid van minimaal tweederde stemmen. 

13) De looptijd van een door de Kamers goedgekeurde ministeriële regeling mag nooit langer zijn dan maximaal 6 weken. Daarna moet verlenging aangevraagd worden bij de Eerste en Tweede Kamer met een ruime meerderheid van minimaal tweederde stemmen.

Kortom: van machtigingswet naar bekrachtigingswet. Nu het kabinet de maatregelen niet meer kan uitleggen aan de burger komt het kabinet met een agenda van angst, dwang en controle. Aangevuld met onvolledige informatie en rapportages. Terwijl juist liefde voor de medemens en het vertrouwen en vrijheid van de zelfstandig denkende burger de capaciteit in de gezondheidszorg heeft gered.

De door het kabinet voorgestelde muilkorfwet voor parlement en burger is ongekend en ongrondwettelijk. Wij doen hierbij dan ook een klemmend beroep op uw eigen verantwoordelijkheid als Kamerlid, ook voor uw kinderen en toekomstige generaties, om de vrijheid hoog te houden en tegen deze wet te stemmen, ook als dat tegen de lijn van uw eigen fractie ingaat.

Privacy First is graag bereid om hierover met het parlement en het kabinet in overleg te treden.

Bas Filippini,
voorzitter Privacy First

Zie voor een verkorte versie van deze brief als videoboodschap https://www.youtube.com/watch?v=XddPI5rVqD8

Gepubliceerd in Wetgeving

Privacy First verschijnt regelmatig in de media, maar meestal zijn dit slechts korte fragmenten, soundbites of oneliners uit langere interviews. Café Weltschmerz vormt hierop een interessante uitzondering: hier neemt men nog de tijd om belangrijke (soms controversiële) onderwerpen uitgebreid te bespreken. Recentelijk sprak Privacy First voorzitter Bas Filippini in Café Weltschmerz over de geplande Corona-noodwet en de Corona-crisis, het belang van het recht op privacy, de rol van technologie en media in onze samenleving en het (dis)functioneren van onze huidige democratie. Bekijk hieronder het hele interview. Een eerder gesprek met Privacy First in Café Weltschmerz vindt u hier.

Gepubliceerd in Privacy First in de media

Met grote zorg heeft Stichting Privacy First kennisgenomen van de nieuwe Corona-noodwet zoals die gisteren door het kabinet is ingediend bij de Tweede Kamer. Privacy First acht deze wet volstrekt overbodig, ondemocratisch, maatschappelijk ontwrichtend en juridisch onrechtmatig. Hieronder zal Privacy First dit kort toelichten.

Geen nood, dus geen grond voor noodwetgeving

Bij de indiening van noodwetgeving dient allereerst sprake te zijn van een noodsituatie. Het Corona-virus lijkt inmiddels echter grotendeels uit de Nederlandse samenleving verdwenen. Er is in Nederland allang geen sprake meer van een (dreigende) noodsituatie qua zorgcapaciteit. Dus bestaat er geen enkele aanleiding voor het indienen (laat staan parlementair behandelen en goedkeuren) van de Corona-noodwet zoals die vandaag door het kabinet bij het parlement is ingediend. Naar verwachting zal deze situatie ook niet veranderen. Privacy First adviseert de Tweede Kamer daarom om deze noodwet te verwerpen.

In plaats van invoering nieuwe noodwet dienen huidige noodverordeningen te worden ingetrokken

De huidige noodverordeningen zijn reeds te lang van kracht, zijn ondemocratisch en ongrondwettelijk. Zowel de gemeenteraden als het parlement staan hierbij buitenspel. Onlangs betoogde Privacy First daarom in de Telegraaf dat alle noodverordeningen per direct dienen te worden ingetrokken. Vervolgens dient het huidige stelsel van noodverordeningen te worden geanalyseerd en gedemocratiseerd. Een eventuele nieuwe lockdown zou wettelijk alleen mogelijk moeten zijn als tenminste 75% van beide Kamers ermee instemt.

Corona-crisis vergt een gerichte aanpak op lokaal i.p.v. nationaal niveau

Het Corona-virus laat zich niet bestrijden met een “one size fits all” maatregel zoals de voorgestelde noodwet. Zoals ook in Duitsland steeds vaker wordt betoogd vergt dit geen eenzijdige nationale wetgeving, maar specifieke, tijdelijke ingrepen op lokaal niveau, mits strikt noodzakelijk en proportioneel, met lokale democratische goedkeuring vooraf en de mogelijkheid van toetsing door de rechter.

Noodwet is in strijd met de Grondwet en mensenrechten

De eerste concept-versie van de noodwet was een juridisch gedrocht dat de toets aan de Grondwet en de mensenrechten (waaronder het recht op privacy, het huisrecht en de vrijheid van beweging) op geen enkele wijze kon doorstaan. Dit heeft in de maatschappij terecht tot grote onrust, weerstand en rechtszaken geleid. Desondanks maakt het kabinet nu geen pas op de plaats, maar drukt haar totalitaire noodwet-agenda onverminderd door. Privacy First verwacht dat dit de bestaande maatschappelijke onrust verder zal aanwakkeren en zich als een veenbrand door onze samenleving zal blijven verspreiden. Door de nieuwe noodwet dreigen immers nog steeds de volgende draconische maatregelen:

- Juridisch verplichte “veilige afstand” tussen vrijwel iedereen die niet op hetzelfde adres woont. Volstrekt onnodig dreigt hierdoor de “anderhalvemetersamenleving” juridisch verankerd te worden. Dit kan onze samenleving duurzaam ontwrichten. Dit terwijl de ervaring inmiddels leert dat een vrijwillig beroep op de sociale verantwoordelijkheid van mensen ruim voldoende is.

- Regeren per decreet door de minister(s). In de voorgestelde noodwet wordt dit de standaard praktijk en wordt het parlement grotendeels vleugellam gemaakt (zie o.a. art. 58c en bijbehorende toelichting). Dit geldt zelfs voor kwesties die buiten de noodwet vallen. In art. 58s wordt dit eufemistisch een “vangnet” genoemd: “Indien zich een omstandigheid voordoet waarvoor de (...) geldende maatregelen niet toereikend zijn, kunnen bij ministeriële regeling andere maatregelen worden genomen die de kans op verspreiding van het [Coronavirus] redelijkerwijze beperken.” Dit vormt simpelweg een recept voor toekomstig machtsmisbruik op een breed scala aan onderwerpen. 

- Verbod op groepsvorming, evenementen, verplichte hygiënemaatregelen en beschermingsmiddelen, beroepsverboden, verbod op personenvervoer, onderwijs, kinderopvang etc.

- Alles op straffe van hoge boetes en een strafblad.

- De beruchte Corona-app staat weliswaar niet meer in de nieuwe noodwet, maar zal in een apart wetsvoorstel alsnog juridisch verankerd worden. Daarmee blijft de dreiging van massale invoering van deze surveillance app onverminderd hoog.

Privacy First zal alle noodzakelijke maatregelen tegen deze noodwet treffen

Privacy First zal allereerst langs politieke weg de ingediende noodwet verder onschadelijk trachten te maken. In coalitie met andere relevante organisaties zal Privacy First tevens de mogelijkheden verkennen om eventuele inwerkingtreding van deze noodwet juridisch te verhinderen of de noodwet buiten werking te laten stellen.

Gepubliceerd in Wetgeving

Deze week vond in de Eerste Kamer een zeer kritische deskundigenbijeenkomst plaats over een relatief complex maar belangrijk onderwerp: de nieuwe Wet digitale overheid. Door deze wet zal o.a. het verouderde DigiD vervangen worden door nieuwe digitale eID-middelen voor burgers om bij de overheid te kunnen inloggen en zaken te kunnen regelen. Aan de huidige opzet van de nieuwe wet en de bijbehorende infrastructuur kleven echter een aantal privacyrisico's. De Eerste Kamer had daarom Privacy First voor deze gelegenheid uitgenodigd om een position paper in te dienen en spreker te zijn. Klik HIER voor het volledige programma, alle sprekers en position papers. Hieronder volgt de volledige tekst van onze inbreng en het videoverslag van de gehele bijeenkomst:

Position paper:

Geachte Kamerleden,

Dank voor uw uitnodiging om deel te nemen aan de deskundigenbijeenkomst over de Wet digitale overheid (Wdo). Stichting Privacy First heeft een aantal kritische kanttekeningen bij deze wet. Hieronder zullen wij dit kort uiteenzetten.

Allereerst wil Privacy First in dit verband graag benadrukken dat burgers te allen tijde het recht hebben, en zullen moeten blijven hebben, om langs niet-digitale weg met de overheid te communiceren of zaken te doen, hetzij telefonisch, op papier of in persoon. Voor grote groepen in de samenleving is en blijft dit cruciaal voor hun maatschappelijke participatie. Bovendien biedt de ‘klassieke’ analoge ruimte vaak betere privacybescherming dan het digitale domein.

Dit brengt ons op ons voornaamste punt van zorg inzake de Wet digitale overheid, namelijk eID. Bij een gecentraliseerde infrastructuur kunnen eID-bedrijven die de certificaten (sleutels) verstrekken precies zien waar mensen inloggen. Daarnaast zijn er certificaten (digitale handtekeningen) voor het ondertekenen van documenten en bestaat het risico dat bedrijven exact kunnen weten welke documenten mensen ondertekenen. Dit leidt tot talloze privacyrisico’s, zeker waar het privacygevoelige transacties (en dus gevoelige persoonsgegevens) betreft. Wat is het verdienmodel van deze bedrijven? En wat kunnen zij doen met al deze gegevens, ook via platforms zoals Facebook en Google?

Dit pleit voor een decentrale i.p.v. centrale architectuur met dataminimalisatie en privacy by design. Dat brengt ons op een actueel onderwerp dat bij deze wet van belang is, namelijk de invoering van een op attributen gebaseerd stelsel naast het eID-stelsel. Biedt de huidige Wdo meer controle over het afschermen van persoonsidentificatiegegevens en beschermt het de privacy van de burger? Ons antwoord is nee. In 2017 was men daar dichterbij dan nu. De Wdo kent een lange aanloop en is van een uitwerking van een infrastructuur voor digitale overheidsdienstverlening versmald tot een “Wet op de inlogmiddelen”. In 2017 was het streven nog deels om te komen tot een raamwet voor een op attributen gebaseerd stelsel. In de eerdere versie van de wet werd daarom nog duidelijk onderscheid gemaakt tussen identificatie/authenticatiediensten enerzijds en attributendiensten anderzijds. De definitie was eens: “De attributendienst is een partij die ten behoeve van elektronische dienstverlening een verklaring afgeeft over bepaalde kenmerken of gegevens van een natuurlijke persoon (bijvoorbeeld leeftijd of beroep) of een rechtspersoon (bijvoorbeeld erkend bedrijf).”

Tevens zou deze dienst zowel door een overheidsorganisatie als door een private partij geleverd kunnen worden en moest er iets worden geregeld voor erkenning. Men stelde in de Memorie van Toelichting: “Aan attributendiensten worden in op basis van dit wetsvoorstel vast te stellen uitvoeringsregelgeving technische en organisatorische eisen gesteld en er wordt voorzien in een erkenningsstelsel, op gelijke wijze als bij authenticatiediensten. Op dit moment zijn er nog geen publieke en private attributendiensten operationeel, maar met uitbreiding van de digitale dienstverlening zal ook de behoefte aan elektronische ondersteuning van deze functie toenemen. Deze attributendiensten kunnen publiek of privaat zijn. Te denken valt bijvoorbeeld aan een generieke attributendienst die leeftijdsverificatie mogelijk maakt op basis van de basisregistratie personen. Tot nu toe verrichten publieke dienstverleners waar nodig zelf de leeftijdscontrole aan de hand van de eigen klantadministratie (die in de regel is afgeleid van de BRP). Het wetsvoorstel bevat een basis voor het stellen van technische en organisatorische eisen aan publieke en private attributendiensten. Of in de toekomst behoefte bestaat aan een publieke attributendiensten is nog onderwerp van onderzoek.”

De realisatie van die toekomst en behoefte lijkt nu te zijn geblokkeerd. Terwijl die behoefte er inmiddels vooral bij gemeenten wel is. Ook zij waren in 2017 nog overtuigd dat je iemand niet hoefde te identificeren om deel te nemen aan, bijvoorbeeld, een online peiling. De huidige Wdo ondersteunt dat echter niet. De definitie van attributendienst is immers geschrapt uit de Wet en op grond van art. 12 Wdo is de ministeriële aanwijsbevoegdheid beperkt tot het aanwijzen van een attribuut dat naar het oordeel van de Minister van belang is voor de identificatie van ondernemingen of rechtspersonen.

Het idee dat kenmerken/attributen een belangrijke rol spelen in het terugdringen van de online-identificatiedrift van publieke organisaties is in zijn geheel verloren gegaan. Qua privacy en dataminimalisatie is dit een grote misser. Dikwijls volstaat immers dat ik aantoon wat ik ben (inwoner van Amsterdam) in plaats van wie ik ben op basis van mijn BSN. In de huidige afgeslankte Wdo ontbreekt hiervoor het wettelijke kader. Alles is gericht op authenticatie en het verstrekken van persoonsidentificatiegegevens. Dit terwijl de wet eerder wel ruimte bood om met attributen toegang te krijgen tot digitale dienstverlening. Een actueel voorbeeld hiervan is overigens IRMA, dat begin 2018 de allereerste Nederlandse Privacy Award won.

Deze wet is dus een gemiste kans om als aanvulling op de eIDAS-verordening te dienen en een op attributen gebaseerd privacy-centrisch eID-stelsel in Nederland neer te zetten. Integendeel: met deze wet worden met een waaier aan regelingen juist hoge drempels opgeworpen voor private partijen (waaronder stichtingen) om goede, privacyvriendelijke middelen en voorzieningen te laten erkennen en aan te bieden aan burgers.

Privacy First betreurt dit en hoopt dat uw Kamer hier alsnog positieve veranderingen in zal kunnen bewerkstelligen.

Hoogachtend,

Stichting Privacy First

Mondelinge toelichting:

Geachte Kamerleden,

Nogmaals dank voor uw uitnodiging om aan deze bijeenkomst deel te nemen. Onze voornaamste punten van kritiek op de huidige Wet digitale overheid hebben wij reeds uiteengezet in onze position paper. Kort gezegd gaat het daarbij voornamelijk om de kwetsbaarheden en privacyrisico’s van het nieuwe eID-stelsel, waaronder de volgende aspecten:

- De centrale i.p.v. decentrale opzet van de infrastructuur. Over het algemeen is een centrale opzet riskanter en onveiliger dan een decentrale architectuur. Een decentrale opzet is ook meer in lijn met moderne privacyvereisten zoals dataminimalisatie en privacy by design. Bovendien leent dit zich minder goed voor grootschalige hacks of heimelijke toegang, massale datalekken en function creep, oftewel sluipende doelverschuiving. Niet voor niets is er de laatste jaren in diverse gevoelige domeinen een ontwikkeling van centrale naar decentrale infrastructuren zichtbaar, bijvoorbeeld op het terrein van biometrie en in de medische wereld. Ook bij een uitermate gevoelig persoonsgegeven als het BSN en allerlei gevoelige transacties tussen burgers, bedrijven en overheden zou dus bij uitstek voor een decentrale opzet gekozen moeten worden. Dat zou ook meer passen bij het idee van informationele zelfbeschikking en de slogan ‘Regie op gegevens’ van het ministerie van Binnenlandse Zaken zelf.

- In dit verband is het een gemiste kans dat het wettelijk kader tot op heden onvoldoende gebaseerd is op een stelsel dat werkt aan de hand van minimale attributen (d.w.z. relevante kenmerken) van personen i.p.v volledige identificatie waarbij veel meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Een actueel voorbeeld van een dergelijk privacyvriendelijk alternatief is IRMA (I Reveal My Attributes) dat op 28 januari 2018, de Europese Dag van de Privacy, de allereerste Nederlandse Privacy Award won. Vanuit gemeenten, en wellicht ook andere overheden, lijkt daar ook steeds meer behoefte aan. Waarom wordt dit tot op heden niet wettelijk gefaciliteerd?

- Een ander aspect dat wij in onze position paper abusievelijk onvermeld hadden gelaten, is dat eID-middelen open source dienen te zijn. Dat is immers de meest effectieve manier om onbetrouwbare partijen buiten de deur te houden en de veiligheid en privacy te waarborgen. Open source zou daarom als harde eis toegevoegd moeten worden voor de toelating van eID-middelen.

- Tevens zouden wij hier graag nogmaals willen benadrukken dat het eID-stelsel zoals nu in de Wet digitale overheid beoogd is, per definitie enorme risico’s voor de privacy van burgers teweeg zal brengen, gezien de commerciële aard van nieuwe eID-aanbieders, waaronder techbedrijven met dubieuze businessmodellen en schimmige profileringspraktijken. Deze risico’s lijken in dit wetstraject nog niet te zijn geadresseerd. Dit dient alsnog op democratische en toekomstbestendige wijze te gebeuren op het niveau van de parlementaire wet zelf en niet in lagere, bestuurlijke regelgeving.

Dank voor uw aandacht.

(...)

Tijdens de bijeenkomst werden door de Kamerleden talloze kritische vragen gesteld, zie onderstaand videoverslag. Mede naar aanleiding van deze bijeenkomst is de Eerste Kamer voornemens om de verdere behandeling van de Wet digitale overheid tot na de zomer uit te stellen.

Gepubliceerd in Wetgeving
Pagina 2 van 10

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon