donatieknop english
dinsdag, 27 februari 2018 15:37

Verslag van Nationale Privacy Conferentie 2018

NATIONALE PRIVACY CONFERENTIE 2018 

Op dinsdag 30 januari 2018 organiseerden ECP|Platform voor de InformatieSamenleving en Privacy First in het Amsterdamse Volkshotel gezamenlijk de allereerste Nationale Privacy Conferentie. Met de snelle digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Tijdens de conferentie probeerden wij gezamenlijk antwoorden op deze vragen te vinden.

SPREKERS

Aleid Wolfsen (Autoriteit Persoonsgegevens)

NPC2018 009 web 1020px

Onze eerste keynote speaker was Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. Hij begon zijn presentatie met het filmpje dat te vinden is op www.hulpbijprivacy.nl, de nieuwe campagne van de Autoriteit Persoonsgegevens over de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking treedt. Dit is een bewustmakingscampagne voor iedereen over de rechten en plichten die voortvloeien uit de nieuwe Europese privacywetgeving.

De huidige Wet bescherming persoonsgegevens (Wbp) wordt ingetrokken, want die wet is verouderd en niet up-to-date met de huidige digitale samenleving. De Algemene Verordening Gegevensbescherming is technologieneutraal en voorziet in die behoefte.

Het recht op privacy is een grondrecht en is ook in verschillende Europese verdragen opgenomen. Dit recht wordt door de EU uitgewerkt in wetgeving door middel van richtlijnen en verordeningen. De Algemene Verordening Gegevensbescherming heeft directe werking in de lidstaten.

“Als we praten over privacy, dan praten we ook over de fundamenten van de Nederlandse rechtsorde. Als je het privacyrecht van mensen schendt, dan raak je die fundamenten. En die fundamenten van de Nederlandse rechtsorde zijn 1) gelijkheid, 2) solidariteit, 3) de klassieke vrijheidsrechten en als laatste de democratische rechtsstaat.”

Privacy was vroeger een stuk eenvoudiger, je deed bijvoorbeeld de gordijnen dicht en niemand kon zien wat je op tv keek of welke boeken je in de kast had staan. Het privacyrecht wordt alsmaar belangrijker, aangezien alle gegevens kunnen worden opgeslagen en aan elkaar kunnen worden gekoppeld. Wanneer we zouden kijken in de telefoon van de bezoekers van deze conferentie en zouden opzoeken wat hun laatste zoektermen waren in een zoekmachine, dan zouden we wellicht meer weten over de bezoekers dan zijn/haar partner en ook meer weten over je gezondheid dan je huisarts. Daarom is het zo belangrijk dat er nu in Europees recht is vastgelegd dat je persoonsgegevens worden beschermd.

Waar gaat het nou eigenlijk om bij privacy?
Privacy is bescherming tegen een almachtige, alwetende overheid. Het recht om met rust gelaten te worden, om onbevangen overal jezelf kunnen zijn, zonder dat je gevolgd wordt en bespied wordt of dat overal camera’s hangen. Dat je als vrij burger, in een vrij land, vrij kunt leven. Dat je alleen maar prijsgeeft waarvan jij denkt dat dat prijsgegeven moet worden. Daarom wordt dataprotectie per dag alsmaar belangrijker.

De drie pijlers onder de AVG
De eerste pijler is versterking en verbreding van de privacyrechten van mensen. Zoals het recht op inzage, de toestemming wordt strenger, recht op correctie, recht op vergetelheid, dataportabiliteit en het recht om te kunnen klagen. Als je vanaf 25 mei as. denkt dat je onrecht wordt aangedaan, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen en die klacht gaat de Autoriteit verplicht behandelen. Want als tweede pijler heeft de Autoriteit Persoonsgegevens als Europese privacytoezichthouder meer bevoegdheden gekregen. Indien de Autoriteit oordeelt dat bepaald handelen onrechtmatig was, dan zal de Autoriteit ook optreden. Dit kan door middel van een waarschuwing, maar ook door het opleggen van (draconische) boetes.

Als derde pijler: meer verantwoordelijkheden voor organisaties. De plicht om gegevensverwerkingen te melden bij de Autoriteit komt te vervallen, want elke overheid en bedrijf verwerkt inmiddels gegevens. Organisaties moeten wel een register bij gaan houden met wat ze verwerken en dit moet je ook kunnen verantwoorden. Elke overheidsinstelling en sommige private organisaties zijn verplicht om een Functionaris Gegevensbescherming aan te stellen. Daarnaast moeten bedrijven en overheden een Privacy Impact Assessment doen. Twee andere belangrijke beginselen voor verwerkingsverantwoordelijken zijn privacy by design – als je iets gaat ontwikkelen dan moet dat privacyvriendelijk worden ontwikkeld – en privacy by default.

Wat betekent de wet voor de toezichthouder?
De Autoriteit Persoonsgegevens is verantwoordelijk voor het toezicht en de handhaving van de wet, krijgt steviger boetebevoegdheden, internationale samenwerking, grensoverschrijdende bevoegdheden, voorlichting voor het algemeen publiek en aan organisaties.

Wanneer is een Functionaris Gegevensbescherming verplicht?
Overheden en publieke organisaties zijn altijd verplicht een functionaris gegevensbescherming te hebben. Daarnaast ook wanneer een organisatie bijzondere persoonsgegevens verwerkt, zoals een zorginstelling, of indien je grootschalig mensen observeert.

NPC2018 015 web 1020px

Antwoorden op vragen uit het publiek:

Wat gebeurt er met het geld van de boetes?
Deze gaan terug naar de Rijkskas, naar de algemene middelen.

Kunt u meer vertellen over de Uitvoeringswet van de AVG en heeft het invloed op Europese samenwerking?
De Uitvoeringswet ligt momenteel nog bij de Tweede Kamer. Nederland probeert de AVG zo neutraal mogelijk te implementeren, want hoe meer we zouden afwijken, hoe moeilijker het zou worden om op Europees niveau samen te werken.

Is er een overgangstermijn voor de handhaving?
Nee, er is geen overgangstermijn, want de inwerkingtreding heeft al heel lang geduurd. In 2016 is er nog twee jaar extra gegeven voor de inwerkingtreding zodat bedrijven compliant met de AVG kunnen worden.

Klik HIER voor de presentatie van Aleid Wolfsen (pdf).

Gerrit-Jan Zwenne (Universiteit Leiden)

NPC2018 017 web 1020px

De tweede keynote speaker was Gerrit-Jan Zwenne, als hoogleraar verbonden aan het eLaw Centrum voor Recht en Digitale Technologie van de Universiteit Leiden. Zwenne plaatste in zijn betoog een aantal kanttekeningen bij de privacywetgeving en begon met een citaat van Niels Bohr: “It’s hard to make predictions. Especially about the future.” Onze wetgever doet voorspellingen over de toekomst en technologische ontwikkelingen. Wat was het begin van het moderne denken over privacy? In vrijwel alle scripties die Zwenne voorbij ziet komen staat een voetnoot of citaat uit een belangrijke publicatie uit 1890 door Samuel Warren en Louis Brandeis in de Harvard Law Review. Zij schreven een artikel over the right to be left alone naar aanleiding van een technologische ontwikkeling, namelijk het draagbare fototoestel. Een aantal andere ontwikkelingen, zoals de trein en de krantenpers, zorgden ervoor dat een beeld binnen aanzienlijke tijd het hele continent kon bereiken. Hierover dachten Samuel Warren en Louis Brandeis na: zou dit allemaal zomaar mogen, je zou toch het recht moeten hebben om met rust gelaten te worden?

Waar komt onze eigen huidige privacywetgeving vandaan? Ook dat is een reactie op technologische ontwikkelingen en dan denken we vooral aan de computer. Al in de jaren 50 zorgden computers voor vrees over wat er met de gegevens gebeurde. Begin jaren 70 richtte de maatschappelijke discussie zich op het profileren door middel van computers. Moeten we het machtsevenwicht dat is verstoord door computers, doordat gegevens worden vastgelegd, reguleren door middel van wetgeving en de burger rechten geven over wat er is vastgelegd in die computer? In Nederland werd toen de Commissie Koopmans ingesteld, deze heeft een rapport geschreven dat is behandeld in de Tweede Kamer, maar daar is vervolgens niks mee gedaan. In Duitsland is toen wel wetgeving gekomen, als directe reactie op de technologische ontwikkelingen. Uiteindelijk is dat de basis geweest voor de Europese Privacyrichtlijn (95/46/EC) en onze Wet bescherming persoonsgegevens (Wbp). Bij nieuwe wetgeving probeer je te voorspellen wat de komende technologische ontwikkelingen zijn, aangezien je wilt dat de wet toekomstbestendig is. In het juridische domein lossen we dat op door open begrippen en vage normen. We bedenken nieuwe rechten en soms zijn die experimenteel. Een gewaagd en interessant experiment is het recht op vergetelheid. Dat is eigenlijk een wat merkwaardig experiment; we hebben nog geen idee wat dat betekent voor onze samenleving. En het is ook te ongenuanceerd. Daarnaast is er dataportabiliteit, waarbij je gegevens van de ene partij kan overdragen naar een andere partij. De partijen moeten de gegevens helder aan de consument verstrekken, vaak zul je hierbij eigen ‘kluisjes’ krijgen bij bedrijven, mijn-telecomprovider, mijn-muziekdienst, mijn-energiedienst. En daaraan kleven ook privacyrisico’s, onder andere qua beveiliging en ook wanneer je van de ene partij wilt overstappen naar een ander. Dit kan al snel via één klik, maar je wilt hierbij ook een sterke authenticatie.

Het recht op vergetelheid
De Chinese keizer Qin Shi Huangdi liet alle boeken van vorige regimes verbranden. Dat is het gevoel dat Gerrit-Jan Zwenne een beetje heeft bij het recht op vergetelheid. Is het een goed idee dat we de geschiedenis op die manier gaan herschrijven? Inmiddels is hij wat genuanceerder, in de tijd van Big Data, dat we iets moeten hebben wat lijkt op het recht op vergetelheid, maar wellicht is het nu nog te absoluut. Misschien moet het vergeetrecht gelden voor vijf of tien jaar en daarna krijg je een jaar van te voren een mededeling, mocht je het langer willen laten gelden, dat je een nieuw verzoek moet doen. We moeten die rechten in balans brengen met het recht op informatie en het recht op vrijheid van meningsuiting. Zo’n absoluut vergeetrecht is niet alleen onhoudbaar, via bijvoorbeeld een VPN in de Verenigde Staten vind je de informatie toch wel weer, maar het is ook niet wenselijk. Het vergeetrecht is nog onvoldoende doordacht.

Er zijn volgens Zwenne nog meer gebreken in de privacywetgeving aan te wijzen. Deze definitie kent u natuurlijk: “’personal data’ means any information relating to an identified or identifiable natural person”. Dit is een kernbegrip uit de AVG en de Wbp en het is toch raar dat mensen met verstand van data, met verstand van informatie, zich afvragen waarom wij dat zo definiëren. Mensen met verstand van informatie definiëren informatie immers aan de hand van data. In de privacywetgeving wordt dat omgedraaid en dat kan helemaal niet, aldus Zwenne.

Klik HIER voor de presentatie van Gerrit-Jan Zwenne (pdf).

 “Onderzoeker”

NPC2018 019 web 1020px

Plots kwam een onderzoeker de zaal binnen. Op een ludieke manier testte hij de bereidwilligheid van aanwezigen om hun mobiele telefoon af te geven aan hun buurman of buurvrouw. Met de vragen die hij stelde probeerde hij in kaart te brengen welke informatie je wel wilt delen en welke niet. Het publiek van deze conferentie was op haar hoede en deelde weinig. De onderzoeker was een acteur van “Wat we doen”; een theatergroep die een maatschappelijk thema (dit keer privacy) onder de aandacht wil brengen van o.a. scholieren. Voor meer informatie hierover verwijzen we graag naar https://watwedoen.nl/.

Jaap-Henk Hoepman (Radboud Universiteit)

NPC2018 028 web 1020px

De derde spreker van de dag was Jaap-Henk Hoepman, directeur van het Privacy & Identity Lab aan de Radboud Universiteit Nijmegen. Hoepman sprak met name over privacy by design:

Voor veel mensen is privacy by design een vaag begrip. Het gaat erom dat je privacyaspecten meeneemt in het hele ontwikkeltraject van systemen. Vanaf het moment dat je gaat nadenken van het concept van het systeem, tot het ontwerp en daarna de implementatie. Dat maakt privacy eigenlijk een soort software quality attribute, vergelijkbaar met security en performance. Daarnaast is privacy by design een proces, omdat het door het gehele ontwikkelproces moet worden meegenomen.

Waarom is privacy by design belangrijk?
Privacy by design beperkt privacy-risico’s en daarmee ook eventuele reputatieschade of herstelkosten. Wie verkleint, vermindert of voorkomt kan deze schade beperken, onder het motto: “Wat je niet hebt kun je ook niet verliezen.” Een ander aspect dat onderbelicht is, is dat het nieuwe business mogelijk maakt, net zoals security by design internetbankieren mogelijk maakt. Privacy by design is noodzakelijk als je dingen in bijvoorbeeld de zorg, Internet of Things of Quantified Self voor elkaar wilt krijgen op een verantwoorde manier. En als laatste waarom privacy by design noodzakelijk is, is omdat het een vereiste is uit de AVG.

In Nijmegen heeft men nagedacht over privacy design strategies waarin vage juridische normen worden vertaald naar een achttal (technische) ontwerpeisen. Dit zijn acht onderwerpen waar je als techneut over moet praten met de business en de juridische afdeling als het gaat om het ontwerp van het systeem.

Data georiënteerde strategieën
Als je kijkt naar een informatieverwerkend systeem als een database, waarbij gegevens worden verzameld over individuen, en over die individuen worden verschillende attributen verzameld, zoals leeftijd, adres, naam et cetera, dan is minimaliseren één van de eerste dingen die je kunt doen, dus niet alle mogelijke attributen verzamelen, maar daar een selectie uit maken. Als tweede kan je attributen in verschillende databases stoppen, zodat data niet gecombineerd kunnen worden. Het derde wat je kan doen is gegevens abstraheren, door bijvoorbeeld te registreren of iemand ouder is dan achttien in plaats van de specifieke leeftijd. En het laatste wat je kunt doen, bij een kleinere database, is deze adequaat te beschermen.

Proces-georiënteerde strategieën
Ten eerste: informeer gebruikers over de verwerking van hun persoonsgegevens. Geef vervolgens gebruikers controle over de verwerking van hun persoonsgegevens. Daarna committeer je aan een privacyvriendelijke verwerking van persoonsgegevens en dwingt dit af. En als laatste toon je aan dat je op een privacyvriendelijke wijze persoonsgegevens verwerkt.

Het scheiden van gegevens
Het is belangrijk om na te denken over het fysiek scheiden van gegevens en na te denken over een ontwerp van een systeem waarin deze gegevens niet centraal worden verzameld, maar op bijvoorbeeld individuele apparaten van gebruikers. Een interessant voorbeeld hiervan is de mogelijkheid op een iPhone om op basis van gezichtsherkenning automatisch mappen aan te laten maken en foto’s te selecteren; dit gebeurt op de smartphone zelf en niet in een centraal systeem. Een ander goed voorbeeld hiervan heeft betrekking op social media. Facebook is centraal georganiseerd: alle informatie staat centraal opgeslagen bij Facebook. Maar als je kijkt naar de functionaliteit, namelijk het directe contact met vrienden en kennissen, dan zou je dit ook peer-to-peer kunnen doen. En dat dan de gegevens die je wilt delen op je eigen smartphone staan en dat je die direct deelt met de smartphone van vrienden en kennissen. Dat is een hele andere manier van denken, en hierover kun je nadenken bij de ontwikkeling van elk systeem.

Gegevens abstraheren
Dit houdt in dat je gegevens niet in detail verwerkt, maar dit meer in abstracto doet. Een van de triviale voorbeelden waarin dit is toegepast is in de slimme energiemeter. Bij de eerste slimme meter was het idee nog dat je gebruik realtime zou worden doorgegeven aan de leverancier. Dit gaf veel ophef, omdat dat veel informatie prijsgeeft over je persoonlijke levenssfeer. Daarom verzamelt de slimme meter nu je verbruik en geeft het totaal elke drie maanden door. Andere voorbeelden zijn leeftijdsverificatie: als je alleen hoeft te weten of iemand ouder is dan achttien, dan heb je niet per se de geboortedatum nodig.

Informeren
Zorg ervoor dat gebruikers direct op een makkelijke manier inzage hebben in de gegevens die jij van hen hebt verzameld. De meeste bedrijven hebben inmiddels wel een portal zoals mijn-internetprovider, mijn-telefoonprovider et cetera, waarbij gebruikers worden geïnformeerd.

Op de latere vraag vanuit de congresorganisatie wat Hoepmans ervaring was van deze middag antwoordde hij: “Goed te zien dat er steeds meer privacyvriendelijke oplossingen op de markt komen. Privacy by design is vooral een kwestie van *willen* en dan doen. Wel is extra aandacht nodig voor een goede uitwisseling van kennis tussen de verschillende partijen: er is in de techniek veel meer mogelijk dan de meeste organisaties weten. Daardoor blijven potentieel super-privacyvriendelijke oplossingen liggen.”

Klik HIER voor de presentatie van Jaap-Henk Hoepman (pdf).

Panel

Moderator Marjolijn Bonthuis (ECP) onderwierp het panel aan een aantal stellingen. De reactie van het publiek op de stellingen was vaak eensgezind, maar soms ook verschillend van mening. Vanuit het panel reageerde Tim Toornvliet (Nederland ICT) later als volgt: “Ik vond het een mooie mix van privacy-experts en privacy voorvechters. Het was inspirerend om te zien hoe de genomineerden met innovatieve technische oplossingen de privacy van gebruikers willen verbeteren”.  “Privacy is springlevend!” is een uitspraak van panellid Lennart Huizing (Privacy Company). Hij vond het heel grappig dat de reactie van de zaal op de stelling ‘privacy is belangrijker dan veiligheid’ massaal was: “dat is een valse dichotomie!” Dan heb je een interessant publiek gevonden... Het tastbare ongemak rondom het afgeven van mobieltjes aan de buurman vond hij ook heel boeiend.

NPC2018 005 web 1020px

NPC2018 033 web 1020px

  

Nederlandse Privacy Awards

NPA logo color horizontal L

Genomineerden

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen:
IRMA (I Reveal My Attributes)
Schluss

Bedrijfsoplossingen:
TrustTester
Personal Health Train

Overheidsdiensten:
Jeugd Implementatieplan Privacy (gemeente Amsterdam)

Na de discussie met panel en publiek kregen de vijf genomineerden de kans om hun verhaal te vertellen: Schluss, Personal Health Train, IRMA, TrustTester en Jeugd Implementatieplan Privacy (gemeente Amsterdam) deelden hun mooie initiatieven met de zaal.

Presentaties

IRMA (pdf) https://www.youtube.com/watch?v=q6IihEQFPys

Schluss (pdf) https://www.youtube.com/watch?v=f-cU5Izs5EI

TrustTester (pdf) https://www.youtube.com/watch?v=JCivU3LQg-8

Personal Health Train (pdf) https://www.youtube.com/watch?v=Sn-KK4reRGg

Jeugd Implementatieplan Privacy, gemeente Amsterdam (pdf)

Winnaars

Na afloop van de Award-pitches door de genomineerden nam juryvoorzitter Bas Filippini (Privacy First) het woord en kon Bart Jacobs van IRMA de felbegeerde allereerste Nederlandse Privacy Award in ontvangst nemen. IRMA (I Reveal My Attributes) is een state-of-the-art open source identity platform waarin gebruikers zich middels een app kunnen authenticeren op basis van één of meer kenmerken vanuit hun verschillende rollen (contextuele authenticatie). Deze authenticatie is niet identificerend: door gebruik te maken van een 1-op-1 relatie tussen gebruiker en dienstverlener zijn zogenaamde “brokers” niet meer nodig en kan de gebruiker anoniem gebruikmaken van diensten, zonder wachtwoord en met een minimum aan benodigde kenmerken (“attributes’). Het systeem is ontwikkeld door de Digital Security onderzoeksgroep van de Radboud Universiteit Nijmegen. Sinds eind 2016 is IRMA ondergebracht bij de onafhankelijke stichting Privacy by Design.

De jury prijst de ontwikkeling van IRMA vanuit de academische wereld als algemeen bruikbare privacy by design toepassing voor zowel de private als de publieke sector. Als middel voor privacyvriendelijke authenticatie spreken het grote innovatieve vermogen van de gehanteerde open-source techniek, de directe inzetbaarheid en de potentiële maatschappelijke impact van IRMA de jury enorm aan.

In het bredere kader van Nederland Privacy Gidsland is IRMA door de jury daarom unaniem gekozen als winnaar van de Nederlandse Privacy Awards 2018.

‘Sleepwet-studenten’

Op initiatief van vijf Amsterdamse studenten wordt op 21 maart as. een nationaal referendum gehouden over de controversiële nieuwe Wet op de inlichtingen- en veiligheidsdiensten (‘Sleepwet’). Ongeacht de uitkomst van dit referendum zal dit leiden tot een hoger (en waarschijnlijk kritischer) Nederlands privacybewustzijn. Reeds dit feit vormde voor de jury unaniem reden om deze studenten te belonen met een Nederlandse Privacy Award (Aanmoedigingsprijs).

Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

NPC2018 043 web 1020px e3

V.l.n.r.: Paul Korremans (jurylid), Luca van der Kamp (referendumstudenten), Esther Bloemen (Personal Health Train), Nina Boelsums (referendumstudenten), Bas Filippini (jury-voorzitter), Bart Jacobs (IRMA), Arjan van Diemen (TrustTester), Marie-José Hoefmans (Schluss) en Wilmar Hendriks (Jeugd Implementatieplan Privacy, gemeente Amsterdam). 

De middag werd afgesloten met een borrel waar de winnaars de felicitaties in ontvangst namen en de sprekers hun verhaal verder toelichtten. Deze editie smaakt naar meer! Binnenkort volgt meer informatie over volgend jaar.

Voor meer informatie over de privacy by design community verwijzen we graag naar https://ecp.nl/community-privacy-by-design.

Tot de volgende editie!

Privacy First en ECP | Platform voor de InformatieSamenleving

FG7A4979m

Privacy First organiseerde deze editie van de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en Adessium Foundation, in samenwerking met ECP. Wilt u ook partner van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Gepubliceerd in Evenementen

15 maart 2018: het Privacy First Sleepwet Debat

In het kader van het aanstaande referendum nodigt Stichting Privacy First u graag uit voor een kritisch publieksdebat over de privacy-aspecten rond de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, de zogeheten ‘Sleepwet’. Dit debat zal plaatsvinden op donderdagavond 15 maart as. in het Parool Theater in Amsterdam (tegenover onze kantoorlocatie). Voor deze avond hebben wij drie sprekers uitgenodigd: Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Nine de Vries (Amnesty International Nederland) en Otto Volgenant (Boekx Advocaten). De moderator van de avond is Bart de Koning (onderzoeksjournalist op het gebied van privacy en veiligheid). Tijdens het debat is er veel ruimte voor discussie tussen de sprekers onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een succesvol referendum!

Iedereen is welkom, toegang is gratis. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 15 maart 2018, 19.30-21.30u (inloop vanaf 19.00u), borrel na afloop.
Locatie: Parool Theater, Wibautstraat 131D te Amsterdam (naast The Student Hotel).
Een routebeschrijving vindt u hier.

Klik HIER voor de uitnodiging zoals Privacy First die vandaag aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

uitnodiging Sleepwetdebat PrivacyFirst 15maart2018

 

Update 16 maart 2018: bekijk hieronder de volledige video van het publieksdebat!  

Gepubliceerd in Evenementen

Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld?


Publieksdebat Kinderen en Privacy                                  
Foto's: Bertus Gerssen

Op 17 januari 2018 vond de Nieuwjaarsborrel van Privacy First en ons publieksdebat Kinderen & Privacy plaats in het Volkshotel, tevens kantoorlocatie van Privacy First, te Amsterdam. Deze avond stond grotendeels in het teken van een thema dat Privacy First steeds meer zorgen baart: de privacy van onze kinderen in een wereld die steeds verder digitaliseert, met name in het onderwijs. Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld? Welke gegevensverwerkingen vinden in het onderwijs plaats, welke risico’s kleven hieraan en welke maatregelen kunnen worden getroffen om de privacy van leerlingen te waarborgen? Achtereenvolgens kwamen Bas Filippini (voorzitter Privacy First), Huib Gardeniers (Net2Legal), Simone van Dijk (Privacy First), Arda Gerkens (Eerste Kamer en Meldpunt kinderporno op internet) en Iris Hoen (Wille Donker Advocaten) aan het woord. Hieronder ons verslag:

Bas Filippini – voorzitter Privacy First

Privacy First NjrsBorrel 01


Privacy First is nu negen jaar bezig en heeft in 2017 structurele fondsen gekregen van o.a. Stichting Democratie en Media en Adessium Foundation. Dat geeft ons ruimte om te investeren in de organisatie, hierdoor hebben we het afgelopen jaar kunnen uitbreiden en Robbie van Herwerden aangenomen voor structurele research. Dit geeft ons een basis om de discussie zo feitelijk mogelijk te voeren in een debat waar de emotie vaak hoog oploopt. Verder is ons bestuur uitgebreid met Paul Korremans, waardoor wij dichterbij komen tot een driekoppig bestuur. 
 
Onze aandacht is afgelopen jaar vooral uitgegaan naar politieke lobby omtrent de onderwerpen Automatische Nummerplaatherkenning (ANPR), de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of Sleepwet), het wetsvoorstel Computercriminaliteit III ('politie-hackwet'), het Systeem Risico Indicatie (SyRI, risicoprofilering) en horizontale privacy, oftewel privacy tussen mensen onderling. Wij hebben ons ingezet voor het referendum tegen de Sleepwet en hebben input geleverd over de Nederlandse privacysituatie bij de VN Mensenrechtenraad. Daarnaast zijn er in 2017 ook rechtszaken gevoerd of ondersteund door Privacy First, onder meer rond de Arnhemse afvalpas, de OV-chipkaart, EPD/LSP, de zaak 'Burgers tegen Plasterk', trajectcontroles, kentekenparkeren en het recht op contante of anonieme betaling.

Wij denken mee met de banken over PSD2; we zijn van mening dat hier niet goed over is nagedacht en vinden het een heikel punt dat er in de uitgewisselde bankgegevens ook bankgegevens van derden staan. In 2018 komt de AVG (Algemene Verordening Gegevensbescherming), waarbij wij toejuichen dat hierdoor de belangstelling voor privacy is toegenomen. Aan de andere kant moeten we wel uitkijken dat we niet denken dat we er met de AVG wel zijn. De discussie dreigt zich te versmallen tot ‘privacy = data’. Privacy is echter meer dan dat. Het is de principiële basis van onze democratische rechtsstaat.

Kinderen en Privacy

We gaan momenteel richting een surveillance maatschappij met een Digital Life File vanaf de geboorte. Het is echter belangrijk voor de mens dat je fouten kan en mag maken en dat je van je fouten kan en mag leren. Dat verschoningsrecht dat je niet over 5, 10 of 15 jaar nog met een foutje dat je ooit hebt gemaakt wordt geconfronteerd, hoort erbij in het leerproces. De vragen die wij ons stellen zijn: wat gebeurt er momenteel op het gebied van kinderen en privacy, wat zijn hier de regels precies en hoe wordt daarmee om gegaan? Als we kinderen meer privacybewustzijn meegeven, kunnen ze beter omgaan met sociale media.

Huib Gardeniers – Net2Legal

Privacy First NjrsBorrel 02
Huib Gardeniers was moderator tijdens de avond. Gardeniers is sinds eind jaren '80 al betrokken bij het onderwerp privacy. Sinds die jaren is het onderwerp gegroeid en is het bewustzijn gegroeid, maar we zijn nog niet uit de essentiële vraagstukken. Juristen hebben dit onderwerp 'gekaapt', maar privacy gaat niet over juristerij. Privacy is meer dan dataprotectie alleen. Privacy is ook ethiek.

Eén van Gardeniers' nevenactiviteiten was dat hij door een ministerie was gevraagd om een Tafel voor privacy voor te zitten in het kader van een doorbraakproject ‘ICT en onderwijs’. Dit was een breed project om ICT te stimuleren in het onderwijs. Hij vond het een zeer interessante ontwikkeling, waarbij hij het idee had dat de verschillende partijen aan tafel niet goed door hadden wat de anderen deden. De verschillende partijen uit het onderwijs, zoals de VO-raad, PO-raad, leveranciers en scholen zaten over dit onderwerp voor het eerst om de tafel naar elkaar te luisteren. Hieruit kwam eigenlijk naar voren dat niemand precies wist wie nou eigenlijk wat met de verzamelde gegevens mocht doen. Dit was dan ook één van de aanbevelingen die werd gedaan. Het werd al snel opgepikt door de pers en hieruit volgden Kamervragen en werd door de Minister aangegeven dat er binnen drie maanden een Convenant moest komen. Dit Convenant kenmerkt zich eigenlijk door één ding en dat is rolverdeling. De essentie is dat scholen verantwoordelijk zijn voor de eigen gegevens en dat de uitgevers, leveranciers, distribiteurs en schoolinformatiesystemen de uitvoerders zijn van de scholen. Die kunnen dus niet zelfstandig bepalen wat ermee gebeurt. Kort gezegd: wie is verantwoordelijk en wie mag wat precies met de gegevens doen. Dit Convenant is breed opgepakt, maar er moet nog veel meer gebeuren in dit traject.

Er wordt vaak gekeken naar andere partijen, zoals de school en leveranciers. Maar vaak hebben we het niet over de ouders zelf. En daar wringt de schoen ook een beetje. We stappen wat te makkelijk over onszelf heen. Ter illustratie wordt een fragment uit Black Mirror, een serie van Netflix, vertoond. Dit laat zien dat, als reactie op de angst van een ouder, vaak controle volgt.

Zo ook met schoolinformatiesystemen zoals Magister, waarmee je als ouder online met je kind kunt meekijken. Daarbij bestaat een app waarmee je pushberichten kunt krijgen wanneer er nieuwe cijfers zijn en wanneer er afwezigheid is (spijbelen). Er zijn ouders die dat gebruiken en alles de hele tijd controleren. Oftewel: er gebeurt genoeg om ons heen waar we zelf invloed op hebben. 

Simone van Dijk – Privacy First

Privacy First NjrsBorrel 14e2
Simone is een bezorgde moeder en soms ook wel een angstige moeder, als ze ziet welke mogelijkheden er zijn om kinderen te volgen en dat daarvan ook gebruik wordt gemaakt. Ze maakt zich zorgen om de privacy van haar kind en dan vooral het gebrek daaraan. Ze is altijd al bezig geweest met privacy. Een voorbeeld uit het leven gegrepen was onlangs bij de Hema: “Wilt u een Hema klantenkaart?” “Nee dank u.” “Waarom wilt u dat niet? Maar dan krijgt u korting!” “Dat maakt mij niet uit.” “Maar waarom wilt u dat dan niet?” “Nou, gewoon omdat ik mijn gegevens niet aan u wil geven.” Waarop de kassière zei: “Nou mevrouw, ik ben benieuwd wat u dan van plan bent.” Misschien dat ze de volgende keer vraagt: “Nou mevrouw, mag ik dan uw adres, telefoonnummer en e-mail en doe gelijk ook maar de gegevens van uw kinderen. Waar zitten die op school?” Waarop waarschijnlijk al snel de beveiliging naar haar toe zou komen, om te vragen om te stoppen met intimiderend gedrag.

En dat gebeurt ook als ouder. Toen het kind van Simone naar school ging, kwam ze in aanraking met de digitalisering van het onderwijs en kwam ze in allerlei situaties terecht over de privacy van haar kind. En als je de privacy van je kind wilt beschermen, word je dat niet in dank afgenomen. De school vond de privacy niet zo heel belangrijk en de vragen waren vooral maar vervelend, en ook een reden om voor een andere school te kiezen. Maar toch wilde ze weten wat er precies allemaal van haar kind was opgeslagen. Hierop kreeg ze geen antwoord van de directrice, maar wel van de overkoepelende directeur van de scholengemeenschap, met het verzoek om de directrice niet meer met dit soort onzin lastig te vallen.

Zo ook met de gegevens die zijn opgeslagen bij de bibliotheek, waarover Simone onlangs een column voor Privacy First heeft geschreven. Ze had aangegeven dat ze niet wilde dat haar kind werd ingeschreven en dat er werd bijgehouden welke boeken er werden gelezen. Als tussenoplossing mocht haar kind even op de kaart van de docent boeken lenen, maar al snel werd het ultimatum gesteld dat haar kind mee kon doen of niet. Ondanks dat hiervoor geen toestemming was verleend, is haar kind alsnog ingeschreven bij de bibliotheek. De gegevens die hierbij werden opgeslagen waren niet alleen naam en adres, maar ook de schoolgroep. Waarom moet de bibliotheek dit weten? Als een kind blijft zitten, is dit dan ook meteen bij de bibliotheek bekend en bij wie eigenlijk nog meer? Wanneer je als ouder met deze partijen spreekt, zoals de bibliotheek en de softwareleverancier, dan wordt er lacherig over gedaan, "wat wilt u nou eigenlijk" en "u vindt het toch ook belangrijk dat uw kind boeken leest"? En dat is ook zeker belangrijk, maar nog belangrijker is dat er niet stelselmatig wordt vastgelegd welke boeken er worden geleend en dat anderen, zoals de leraar, dat kunnen zien en ook nog met derde partijen kan worden gedeeld. Men vindt het raar als je daar vragen over stelt. Je wordt als ouder neergezet als zeurpiet, maar als je ziet wat die partijen allemaal van een kind willen weten, dan ben je geen zeurpiet.

Als ouder wil Simone zelf de beschikking hebben over de gegevens van haar en haar kind. Zonder dat daarover discussies moeten worden gevoerd, en waarbij er een keuze is welke gegevens worden verwerkt. Je wordt als ouder gedwongen om in de digitalisering mee te gaan. Simone is inmiddels actief bij Privacy First en heeft als missie om ouders bewust te maken. En daarbij ook te kijken naar de scholen, bibliotheken et cetera, dat die zich bewust worden van wat zij precies verwerken en of dat allemaal wel nodig is. "Kijk eens vanuit het belang van het kind in plaats van wat wettelijk mag!"

Lees ook de columns die Simone voor Privacy First heeft geschreven:
Het begon eigenlijk al in de peuterklas
Is digitalisering in het onderwijs nou echt wel nodig?
Big Brother in de bibliotheek 

Arda Gerkens – Eerste Kamer en Meldpunt kinderporno op internet

Privacy First NjrsBorrel 15
Vaak wordt geroepen ‘de jeugd heeft de toekomst’. Deze uitspraak wordt vaak gebruikt door wat oudere mensen, maar Arda Gerkens gebruikt hem niet meer. Vooral omdat deze uitspraak verre van waar is wat de digitale wereld betreft. We zeggen al snel dat kinderen veel beter weten en sneller kunnen dan de oudere generatie als het om internet gaat. We laten belangrijke beslissingen over aan kinderen, omdat het tempo waarin we ons begeven te snel gaat. Het vergt tijd en aandacht om de consequenties van de digitale wereld te bevatten en die tijd en aandacht hebben we te weinig. We laten onze kinderen los in een wereld die wij eigenlijk niet kunnen overzien.

Het is toch ook heel schattig om een kindje te zien spelen met een iPad? Zoals in de reclame van KPN, waarbij het kleintje opeens praat met opa aan de andere kant van de wereld. Gezellig kletsen met opa, de zon komt op, contact met elkaar, mooi toch? Arda vindt dat ook heel mooi, maar is wel blij dat dat kindje opa heeft aangeklikt en geen andere persoon die misschien hele andere bedoelingen heeft. Want dat gebeurt wel, dat kinderen worden verleid via een iPad tot het doen van andere dingen. Dat ziet Arda in haar werk en dat gebeurt ook dichtbij.

Wie had vroeger een dagboek? En wat was daarbij belangrijk? Een slotje, want wat je daarin schreef moest wel privé blijven. En eigenlijk heeft nooit iemand anders in dat dagboek gelezen. Dat komt niet per se door dat slotje, want dat is eigenlijk maar een lamlendig ding en geen goede beveiliging. Je beslist zelf wie daarin mag lezen en wat je eruit vertelt. Over deze informatie heb je controle. En die controle zijn we nu kwijt en dat is geen doemdenken, dat is een feit. Die controle zijn we al op vroege leeftijd kwijt, want we gebruiken webcams als babyfoon of een webcam op de crèche en iedere beweging van kinderen wordt daarmee steeds vaker geregistreerd.

Als ouder ken je ongetwijfeld dat moment, waarop je even om de hoek komt kijken terwijl je kind aan het spelen is, en je kind waant zich op dat moment onbespied. Dat is een prachtig moment en dan zie je zo’n individu, zo’n mens, in al zijn onschuld. Het duurt vaak maar heel even totdat het kind beseft dat er wordt gekeken en dan is het weg. Dat prachtige moment om onbespied te kunnen zijn is pure onschuld wat je dan ziet. Het gedrag dat wij hebben verandert als wij ons bewust zijn van de omgeving waarin wij ons bevinden. Straks kijkt de hele wereld mee als een kind verzonken is in het spel. Dat besef je misschien niet direct als kind, maar later als je ouder wordt wel. En de vraag is, wat doet die kennis met de ontwikkeling van het kind? Wat nou als die beelden van het schoolplein, waarop je huppelend alsof je op een paardje zit te zien was of shaggies rokend en hangend tegen de muur, nu zouden verschijnen op YouTube? Zou je erom lachen of je ervoor schamen? De oudere generatie zou het niet weten, want die beelden zijn er niet. Deze beelden zitten in ons geheugen op een hele mooie plek.

De jeugd heeft de toekomst helemaal niet, die toekomst wordt uit handen gegeven door ons. Als ouders en als opvoeders beslissen wij nu welke informatie over hun leven gedeeld wordt. Informatie die onuitwisbaar is, steeds op kan duiken, die verkeerde interpretaties teweeg kan brengen. Een fout in de interpretatie en je toekomst kan in duigen liggen. En ook dat is geen doemdenken, dat is een realistisch scenario. We hebben niet allemaal een vrije keuze om die beslissing te maken, vooral niet als we niet kunnen overzien wat de consequenties zijn om bijvoorbeeld een webcam te gebruiken. En als ouders hierover niet goed geïnformeerd zijn en hierover ook geen goed geïnformeerde keuzes kunnen maken.

En dan nog spreekt Arda wekelijks ouders die hun kinderen hebben meegegeven wat de risico’s van sexting zijn en dan nog hebben die kinderen dat gedaan. Dus zelfs bij geïnformeerde ouders, die hun kinderen zeer goed begeleiden hierin, zie je toch dat het mis kan gaan.

Wat deze digitalisering eigenlijk met ons doet, dat weten we eigenlijk niet. Het is een ontwikkeling die erg snel gaat en het is een ontwikkeling die het denken van de mens voorbijstreeft en daarbij geven we ook een stuk controle uit handen. De jeugd heeft de toekomst niet, die toekomst ligt bij ons. Wij vormen de toekomst en leggen de basis, dus moeten wij gaan nadenken over de mogelijke consequenties van onze keuzes. Alle scenario’s bezien, rust inbouwen, ethische dilemma’s afwegen en niet alles overlaten aan de markt. Wij kunnen ervoor zorgen dat kinderen controle houden over hun eigen leven, over hun gedachten, over hun spel, over hun misstappen en over hun successen. Daarmee kunnen ze in vrijheid leven en hun eigen keuzes maken. 

Iris Hoen – Wille Donker Advocaten

Privacy First NjrsBorrel 17
De nieuwe Algemene Verordening Gegevensbescherming (AVG) zit barstens vol ethiek, dat heeft Iris Hoen ook bepleit bij het recente symposium van de Nederlandse Vereniging voor Onderwijsrecht. De AVG bevat veel gecodificeerde ethiek uit mensenrechtenverdragen en OESO-rechtsbeginselen. Iris is de AVG daarmee ook steeds mooier gaan vinden. Ondanks alle mankementen die ongetwijfeld genoemd kunnen worden, zit die AVG nog niet zo gek in elkaar. Ze is het eens met de andere sprekers dat privacy meer is dan gegevensbeschermingsrecht, maar zonder gegevensbeschermingsrecht hebben we in deze gedigitaliseerde maatschappij in ieder geval geen privacy.

Het onderwijs heeft veel te maken met privacy en daarmee ook met de AVG. Iris werkt nu 15 jaar als privacyjurist en advocaat. Het onderwijs heeft te maken met complexe situaties, maar ze ziet dat de wil er is bij scholen om het goed te regelen. Daarbij assisteert ze ook honderden schoolbesturen bij het implementeren van de AVG, waarbij ook ethische vragen naar voren komen.

Wat lastig is voor scholen, is dat zij geen eilandje op zichzelf zijn, maar dat zij vastzitten aan een heleboel partners. Ze zitten verplicht in allerlei samenwerkingsverbanden en scholen moeten verplicht informatie opvragen en leveren aan de Onderwijsinspectie. Kortom: scholen zijn een spin in een web, waarbij zij volgens de wet allerlei gegevens moeten opvragen en delen.

Het begint al met de aanmelding van een kind op school. Op het aanmeldformulier staan allerlei vragen en scholen zijn nu wel kritisch hiernaar aan het kijken. Wat moet er wel op het formulier en wat kan eraf? Voorheen vroegen scholen alles waarvan ze dachten dat het ooit handig zou kunnen zijn. Nu zijn scholen hierop teruggekomen en denken: misschien hoeven we dat helemaal niet te vragen.

Waar de wet zegt dat de school ook informatie mag opvragen, zonder voorafgaande toestemming van ouders, bij voorschoolse educatie zoals peuterspeelzalen, dat mag. Dat moeten ze ook, want scholen zijn sinds 2014 verantwoordelijk gemaakt voor passend onderwijs. Als je dat afhankelijk maakt van de toestemming van ouders, dan houdt het al op, dan wordt het moeilijk voor een school om passend onderwijs aan te bieden. Dat betekent niet dat scholen zomaar kunnen ‘shoppen’ naar informatie: voor het opvragen van informatie bij andere instanties is nog steeds toestemming van de ouders nodig.

Scholen hebben een informatieverplichting aan ouders om te vertellen hoe ze ontvangen informatie verwerken. De AVG maakt een onderscheid tussen informatie die ze van ouders zelf krijgen en informatie van andere partijen. Scholen verwerken ook veel bijzondere persoonsgegevens, met name gezondheidsgegevens. Gezondheidsgegevens vormen een breed begrip onder de AVG en daaronder valt bijvoorbeeld ook IQ en medische aandoeningen, maar ook of een kind een bril draagt. En dat schrijft de school allemaal op, met betrekking tot de bril alleen al om bijvoorbeeld aan de gymleraar te kunnen laten weten dat een kind zonder bril moet oppassen met balspelen.

De leerlingprestaties moeten door de school worden opgeslagen, want de school moet een studentvolgsysteem hebben. Doet de school dat niet, dan komt er geen bekostiging. De AVG zegt in eerste instantie: het verwerken van bijzondere persoonsgegevens mag niet. Tenzij er toestemming is van de ouders of er een wettelijke uitzondering van toepassing is. De Uitvoeringswet van de AVG geeft twee uitzonderingen voor scholen en samenwerkingsverbanden om gezondheidsgegevens te verwerken met het oog op speciale begeleiding van kinderen. Maar wat houdt speciale begeleiding van leerlingen precies in? Het is voor scholen niet makkelijk om die afweging te maken: wat mag wel en wat mag niet? De AVG geeft daar dan ook niet direct antwoord op en is meer een open normenkader, waarbij scholen hun eigen afwegingen moeten maken en zich vooral moeten verantwoorden aan betrokkenen, de Autoriteit Persoonsgegevens, stakeholders en de medezeggenschapsraad. De medezeggenschapsraad heeft een instemmingsrecht op regelingen die de verwerking van persoonsgegevens betreffen. Dus moet de medezeggenschapsraad worden betrokken bij die afwegingen.

Als een school merkt dat er extra begeleiding nodig is, dan moet de school verplicht advies vragen aan deskundigen. Vroeger werd een leerlingendossier dan vaak even doorgemaild naar een samenwerkingsverband. Scholen hebben in toenemende mate software waarbij gegevens geanonimiseerd worden geüpload en een samenwerkingsverband het leerlingendossier weer anoniem kan downloaden. Scholen konden vroeger geen advies vragen zonder het BSN-nummer door te geven, ook al mocht dat officieel niet, want anders werkte het systeem niet. Scholen willen best wel en het is niet allemaal onwil, maar de systemen werken niet altijd mee. Overigens heeft dit wel de aandacht. Kennisnet (een kennisinstituut op het gebied van ICT en privacy voor de onderwijssector) zit bijvoorbeeld met al die leveranciers om tafel om die softwarepakketten aan te passen, zodat ze wel in lijn zijn met de AVG.

In advies aan scholen wordt aangegeven dat scholen moeten nadenken op basis van welke grondslag zij gegevens opvragen en verwerken en of ze hiervoor toestemming nodig hebben van ouders. En om werk te maken van de informatievoorziening en aan te geven waarom gegevens worden verwerkt, welke gegevens daarvoor worden gebruikt en of al die gegevens wel nodig zijn en of het niet een onsje minder kan. Daarnaast welke systemen er worden gebruikt en of die goed te beveiligen zijn. En met wie worden de gegevens gedeeld, kan het niet onder een pseudoniem? Ook door deze afwegingen in een reglement te verankeren en ouders hierover te informeren. Iris Hoen is ervan overtuigd dat als ouders goed geïnformeerd zijn, ze ook minder snel de neiging hebben om nee te zeggen, omdat het ook vaak in het belang van het kind is dat er een advies komt in hun ondersteuningsbehoefte.

Als een kind van school wisselt dan is de school verplicht om het onderwijsrapport mee te sturen. Daarnaast hebben ook toegang tot de leerlinggegevens: de leerplichtambtenaar, de GGD en de gemeente. Op basis van de wet mogen zij gegevens opvragen bij de school. Sinds augustus 2017 hoeft de GGD dat niet meer via de school op te vragen, maar krijgt die informatie rechtstreeks via DUO. De verplichtingen van de school om gegevens te delen staan in de sectorale onderwijswetten die tevens de bekostigingsvoorwaarden zijn. En dan zie je gelijk ook de klem waarin scholen zitten.

De psychologen en orthopedagogen werken in veel gevallen niet in dienst van de school en werken ook niet voor de school. Het zijn partners, en die zijn zelf verwerkingsverantwoordelijke onder de AVG. Dus het is ook niet de school die recht heeft op toegang tot die informatie, het is aan de ouder om te bepalen welke informatie er precies wordt gedeeld met scholen. Iris adviseert scholen dan ook om gebruik te maken van alleen de conclusies van de rapporten, want het is vaak niet nodig om het medisch dossier te hebben. Als een kind is gediagnosticeerd met ADHD, heb je genoeg aan de onderwijskundige aanbevelingen, daarvoor hoef je niet het gehele rapport te hebben. Met een pinda-allergie kan het anders zijn en dan is het wel verstandig dat die informatie beschikbaar is bij alle docenten.

Dit is een kort inkijkje in het werk van Iris Hoen, waarbij de scholen vaak aan haar vragen ‘wat mag ik’ en die zij beantwoordt met de wedervraag: "wat zou wijs zijn om te doen en ethisch om te doen. Neem dat als vertrekpunt en ga dan kijken of dat past binnen het wettelijk kader." Dat is een aanpak die aanslaat.

Een greep uit de vragen vanuit het publiek aan de gastsprekers:

Q: Vraag aan Iris Hoen: wordt een kind nog iets gevraagd en wanneer moet die zelf toestemming geven?
A: Een kind is minderjarig en valt daarmee onder het gezag van de ouders en die bepalen en zijn aanspreekpunt voor de school, niet het kind zelf, dat is het wettelijk stelsel. Als het kind 16 wordt, wordt het kind – en niet langer de ouder- toestemming gevraagd voor bepaalde gegevensverwerkingen. Het gaat om gegevensverwerkingen die alleen plaats mogen vinden met voorafgaande toestemming. Het is belangrijk om te onderkennen dat scholen niet voor alle gegevensverwerkingen aan ouders voorafgaande toestemming hoeven te vragen en dat dus ook niet gaan doen als hun kind 16 wordt. Arda Gerkens merkt hierbij op dat scholen vaak vanaf groep 8 kinderen zelf betrekken bij de ontwikkeling van het kind en ook betrekken bij oudergesprekken en dergelijke.

Q: Hoe zit het met leerlingvolgsystemen, is dat open source, waar staan die gegevens opgeslagen, etc.?
A: Iris Hoen geeft hierop het antwoord dat er verschillende soorten leerlingvolgsystemen zijn, waarvan de grootsten Magister en ParnasSys zijn. De servers van Magister staan in Groningen. Die gegevens blijven daar en gaan niet naar het buitenland. Scholen moeten meer vragen stellen dan enkel waar de servers staan, maar ook of de gegevensverwerkingen veilig plaatsvinden. Over het instellen van de toegang: Magister kent nog te weinig mogelijkheden om de software optimaal in te stellen. Zo moet verwijdering nog handmatig plaatsvinden. Ook de interne toegangsverlening zou volgens Iris Hoen beter kunnen.

 

Klik HIER voor de uitnodiging (pdf) die Privacy First voor dit evenement aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist! 

Gepubliceerd in Evenementen
dinsdag, 23 januari 2018 13:01

Nationale Privacy Conferentie 2018

Nationale Privacy Conferentie 2018

Hét privacy congres van Nederland!

Op dinsdag 30 januari 2018 organiseren ECP|Platform voor de InformatieSamenleving en Privacy First gezamenlijk de allereerste Nationale Privacy Conferentie. De Nationale Privacy Conferentie brengt relevante spelers samen en biedt u de gelegenheid te leren van de fine fleur van het Nederlandse privacyveld. Tijdens deze conferentie worden ook de Nederlandse Privacy Awards uitgereikt aan bedrijven en overheden die hebben laten zien dat zij privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm maken.

Privacy als missie

Met de digitalisering van onze maatschappij staat het recht op privacy in toenemende mate onder druk. Hoe kunnen wij als samenleving digitaliseren én onze privacy behouden en versterken? Hoe zou Nederland zich kunnen ontwikkelen tot internationaal Privacy Gidsland? Privacy First en ECP gaan graag samen met u deze uitdaging aan en bieden u daartoe met deze conferentie de nodige kennis en inspiratie.

Nederlandse Privacy Awards

Tijdens de conferentie worden de nieuwe Nederlandse Privacy Awards uitgereikt. Privacy is immers méér dan louter compliance: duurzame privacy vergt bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. Privacy by design vormt daartoe de sleutel.

Nominaties

Uit de inzendingen heeft de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Consumentenoplossingen: Bedrijfsoplossingen: Overheidsdiensten:
IRMA (I Reveal My Attributes) TrustTester Jeugd Implementatieplan Privacy (gemeente Amsterdam)
Schluss Personal Health Train  

 
Naast deze genomineerden kan de jury op eigen initiatief een Aanmoedigingsprijs uitreiken t.b.v. een baanbrekende technologie of persoon.

Tijdens de conferentie worden de genomineerde projecten aan het publiek gepresenteerd. De vakjury maakt vervolgens bekend wie de winnaars zijn van de Nederlandse Privacy Awards 2018.


Het congresprogramma ziet er als volgt uit:

13:00u Inloop

13:30u Start congres

13:35u Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens

14:05u Gerrit-Jan Zwenne, hoogleraar Recht en de Informatiemaatschappij (Universiteit Leiden)

14:35u Sell me your secret (theatergroep Stichting WAT WE DOEN)

14:45u Break

15.00u Jaap-Henk Hoepman, associate Professor Privacy by Design (Radboud Universiteit)

15.30u Paneldebat en publieksdiscussie

16:15u Uitreiking Nederlandse Privacy Awards

17:00u Afsluitende borrel

 

Aanmelden

U kunt zich aanmelden voor deze conferentie door het inschrijfformulier op de website van ECP in te vullen. Nadat u zich heeft aangemeld, krijgt u de uitnodiging met het volledige programma per email toegestuurd. NB: het aantal beschikbare plaatsen is reeds beperkt, wees er dus tijdig bij!


Nationale Privacy Conferentie

Datum: dinsdag 30 januari 2018
Locatie: Volkshotel Amsterdam (zaal Riet), klik HIER voor een routebeschrijving
Tijd: 13.30 – 18.00u.

Gepubliceerd in Evenementen
donderdag, 28 december 2017 11:40

Nieuwjaarsborrel en publieksdebat Privacy First

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 17 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van een thema dat Privacy First steeds meer zorgen baart: de privacy van onze kinderen in een wereld die steeds verder digitaliseert, met name in het onderwijs. Hoe kunnen kinderen zich nog vrij en veilig ontwikkelen in een leeromgeving waar alles over hen digitaal wordt opgeslagen en kan worden uitgewisseld? Welke gegevensverwerkingen vinden in het onderwijs plaats, welke risico’s kleven hieraan en welke maatregelen kunnen worden getroffen om de privacy van leerlingen te waarborgen?

Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen Arda Gerkens (Eerste Kamer), Huib Gardeniers (Net2Legal), Iris Hoen (Wille Donker Advocaten) en Simone van Dijk (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2018!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 17 januari 2018, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond).
Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Gepubliceerd in Evenementen

Op 19 januari 2017 organiseerde Stichting Privacy First op haar kantoorlocatie in het Amsterdamse Volkshotel haar jaarlijkse Nieuwjaarsborrel annex debatavond, klik HIER voor de uitnodiging en openbare aankondiging vooraf. Dit evenement stond ditmaal grotendeels in het teken van de ‘Shared Democracy’: na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor verdere vernieuwing en meer burgerparticipatie: Shared Democracy, democratie 3.0! In zijn Nieuwjaarstoespraak gaf Privacy First voorzitter Bas Filippini hierop onze visie:

Shared Democracy

“Privacy First staat voor eigen keuzes in een vrije omgeving. Wij werken daarbij vanuit de klassieke principes van een democratische rechtsstaat en internationale verdragen. Dat doen wij onder meer door het voeren van rechtszaken, waaronder onze lopende zaken tegen kentekenparkeren en voor het recht op anonieme, contante betaling. Daarnaast zijn nieuwe zaken tegen automatische nummerplaatherkenning (ANPR) en het Systeem Risico Indicatie (SyRI) in de maak. We werken daarin samen met andere organisaties en advocatenkantoren. Naast onze rechtszaken voeren we voortdurend stille diplomatie richting alle relevante partijen.

Privacy staat nationaal en internationaal nog steeds onder druk en komt steeds meer onder druk te staan. Er is de laatste 15 jaar sprake van steeds minder vrijheid in plaats van meer vrijheid, zowel qua mobiliteit als in de financiële en medische sfeer. Onze conclusie na zeven jaar rechtszaken voeren is dat de huidige rechtsstaat onder druk staat en zich moeilijk kan verdedigen tegen erosie van binnenuit. Rechters hebben vaak moeite met principiële rechtszaken: ze durven het fundamentele privacyprobleem niet aan te pakken en willen zich enkel uitspreken over randzaken.

Onze huidige parlementaire democratie is nodig aan vernieuwing toe. Na de democratie 1.0 uit het oude Athene en onze huidige democratie 2.0 uit de 19e eeuw is het tijd voor een nieuw model: democratie 3.0. In die nieuwe democratie zou veel meer rekening gehouden moeten worden met moderne ontwikkelingen die onze democratie dreigen te ondermijnen. Privacy First wil graag naar een Shared Democracy 3.0 waarin de krachten die onze huidige democratie bedreigen juist ingezet kunnen worden voor een nieuwe, duurzame en democratische samenleving. Zo is er de veranderende rol van de media als vierde macht, waaronder social media en alternatieve media, die bepalen wat “het nieuws” is en wat “wel en niet waar” is. Daarnaast de veranderende rol van de burger: hoe zou je de burger meer kunnen betrekken bij burgerparticipatie en meer verantwoordelijkheden kunnen geven? En hoe kan je nieuwe technologie inzetten? Denk bijvoorbeeld aan elektronische platformen en blockchain technologie. Zoals de industriële revolutie milieuvervuiling veroorzaakte, zo veroorzaakt de informatierevolutie vrijheidsvervuiling en privacyvervuiling. Hoe kunnen we 'privacy by design' zo inzetten dat dit de democratie versterkt?

De macht van de overheid tegenover de burger is niet meer proportioneel. Er moet dus een machtsverdeling gaan plaatsvinden door onder andere meer burgerparticipatie. Hierdoor zal ook de overheid dichter bij de burger komen te staan, zowel op nationaal als op Europees niveau.

Op een vrij en privacyvriendelijk 2017!”

‘Hoeveel vrijheid gaan wij nog inleveren voor onze veiligheid? 100% veiligheid = 0% vrijheid’  Bas Filippini


Vervolgens hield ICT-onderzoeker Brenno de Winter een even boeiende als vermakelijke presentatie over actuele problemen rondom privacy, informatiebeveiliging en de huidige kloof tussen burger en bestuur:

Digitale stormvloed

“We zijn zo goed in digitaliseren geworden, dat we niet meer hoeven te werken. We checken zelf onze koffers in, kunnen binnenkort ook een winkel binnenlopen en inchecken, onze artikelen pakken, weer de winkel uitlopen en automatisch betaald hebben, een zelfrijdende taxi nemen, etcetera. Dat is een economische maatregel, met als groot voordeel dat we geen personeel meer nodig hebben. Het industriële tijdperk is voorbij. Wij zijn niet meer nodig. Waarom is dat zo bedreigend? Ik moet wel aan het eind van de maand de hypotheek kunnen betalen...

De Titanic had een paar eigenschappen die onze software-industrie ook heeft. De eerste eigenschap is dat we standaard een niveau proberen te creëren van een bepaalde veiligheid. En hoe meer veiligheidsmaatregelen je neemt (zoals sloepen aan een boot), hoe onzekerder mensen worden over de veiligheid. Daarnaast was er de keuze tussen een reddingsvest of een sloep, maar mensen met een reddingsvest stapten alsnog in een sloep, en als laatste kunnen we om hulp roepen als het mis gaat, maar dan hopen we wel gehoord te worden. We zijn op zoek naar een 'safety of life at sea', maar dan met data. We zullen moeten leren van de incidenten die we in het verleden hebben meegemaakt.

We zijn in de informatiemaatschappij nog heel erg onvolwassen. Bij data zijn er een heleboel risico’s die we niet kunnen voorzien. Gelukkig gaan er een heleboel dingen goed, zoals dat we veel ervaring hebben met de meldplicht van datalekken. Maar een van de dingen die veel gebeuren is dat er veel persoonsgegevens door een wasstraat worden gehaald, zodat het geen persoonsgegevens meer zijn. Die worden vervolgens doorgestuurd naar bijvoorbeeld Amerika en dan weer gekoppeld met gegevens uit Big Data, waardoor het wel weer persoonsgegevens zijn.

Het wordt tijd dat we dingen anders gaan benaderen. Waarom zien we onze persoonsgegevens niet meer als ons eigendom? Wanneer we persoonsgegevens (weer) als eigendom gaan zien, dan zullen we ook eisen dat indien we het uit handen geven, onze data goed beveiligd wordt. Als Google geld verdient aan mijn gegevens, dan hoor ik een businesspartner van ze te zijn. Daarnaast is de discussie veiligheid versus privacy een oneerlijke discussie. We weten namelijk niet wat er tegenover staat wanneer ik mijn privacy inlever. Het gaat er niet om of je wel of niet iets te verbergen hebt. Het gaat erom hoe jij omgaat met wat van jou is. Wanneer privacy wordt geschonden, dan worden meestal de andere mensenrechten in het kielzog meegenomen.”


Vervolgens was er een uitgebreid debat met het publiek (de opkomst overtrof de zaalcapaciteit), gevolgd door een gezellige borrel waar wij samen konden proosten op een privacyvriendelijk 2017.

Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Meld u dan aan voor onze mailinglist! Bent u al donateur van Privacy First? Hoe meer donaties Privacy First ontvangt, hoe meer van deze evenementen Privacy First zal kunnen organiseren en hoe sneller Nederland zich zal kunnen ontwikkelen tot Privacy Gidsland.

Gepubliceerd in Evenementen

Stichting Privacy First nodigt u graag uit voor haar Nieuwjaarsreceptie! Deze zal plaatsvinden op donderdagavond 19 januari as. op onze kantoorlocatie in Amsterdam. De avond zal grotendeels in het teken staan van de Shared Democracy: na Athene (democratie 1.0) en onze huidige 19e-eeuwse parlementaire democratie (2.0) is het in de optiek van Privacy First hoog tijd voor verdere vernieuwing en burgerparticipatie: Shared Democracy, democratie 3.0! In zijn Nieuwjaarstoespraak zal Privacy First voorzitter Bas Filippini hier onze visie op geven. Vervolgens vertelt ICT-onderzoeker Brenno de Winter over de problemen rond privacy, informatiebeveiliging en de huidige kloof tussen burger en bestuur. In zijn nieuwe boek Digitale Stormvloed legt hij pijnlijk bloot hoe informatiebeveiliging en privacybescherming tekortschieten en hoe we als samenleving kunnen sturen naar werkbare oplossingen.

Hoe kunnen we de Shared Democracy gebruiken om oplossingen te verwezenlijken? Graag gaan wij hierover met u in debat om gezamenlijk tot mogelijke antwoorden te komen, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2017!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 19 januari 2017, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Een routebeschrijving vindt u op www.volkshotel.nl/nl/#locatie.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

uitnodiging PrivacyFirst jan2017

Gepubliceerd in Evenementen

Privacy First is een politiek neutrale organisatie. Wel is Privacy First altijd graag bereid om met iedere politicus in gesprek te gaan of als spreker op te treden bij een politiek symposium. Daarbij zonderen wij geen enkele persoon of partij uit: de ervaring leert ons juist dat gesprekken of optredens bij onze "privacy-opponenten" vaak wederzijds het meest leerzaam, nuttig en inspirerend zijn. Vaak blijkt er sprake van gedeelde principes, visies en idealen. Zo kreeg Privacy First dit jaar onder meer het podium bij GroenLinks, maar ook bij de SGP Jongeren. Hieronder een voorbeeld van een toespraak die Privacy First voorzitter Bas Filippini eerder dit jaar gaf bij het D66-symposium "Privacy van de 19de naar de 21ste eeuw":


"Een definitie van privacy is niet eenvoudig te geven. Privacy First ziet de definitie van privacy vanuit een democratische rechtsstaat. Voor ons is privacy persoonlijke vrijheid en zodoende de basis van de democratische rechtsstaat. Als het in het klein al niet goed gaat met onze vrijheid, wat is dan het resultaat in het groot?

Tijdens de voorbereidingen voor deze presentatie waren twee zaken belangrijk. Ten eerste is daar de recente Big Brother-brief van minister Van der Steur. Dat is precies de richting waarop het volgens ons niet op moet gaan, want die brief is ingegeven door incidenten en de politieke waan van de dag. Er vond in Brussel een aanslag plaats en vervolgens komt de minister met allerlei voorstellen om de vrijheid nog verder te beknotten en in te perken. Deze brief is op 24 juni naar de Tweede Kamer gestuurd. Eerder dit jaar vergeleek Alexander Pechtold bij Nieuwsuur de privacy-beweging met de anti-houtzagerijbeweging uit de 17de eeuw. Ik dacht dat D66 juist pro privacy was, dan verwacht je zo’n vergelijking niet van de voorman. En voor privacy zijn is dus niet tegen vooruitgang zijn!

Discussies kunnen wel degelijk voor de privacy en voor de vooruitgang worden gevoerd, want dat kan prima samengaan. Sterker nog, als je er goed over nadenkt, dan kun je de rechtsstaat enorm versterken met behulp van technologie. Privacy First pleit voor eigen keuzes in een vrije omgeving. Het is zodoende belangrijk dat die omgeving ook vrij blijft.

De burger nemen wij als zelfstandig individu serieus. 47% van onze bevolking heeft inmiddels minimaal een HBO-opleiding en ook zonder opleiding kunnen burgers grote verantwoordelijkheid aan.

Wij hebben enorme verkeersstromen in Nederland en dat gaat vrijwel altijd goed, omdat wij daaraan meedoen vanuit vertrouwen in elkaar. Wij gaan dus niet uit van wantrouwen. Met vertrouwen gaat het altijd wel goed en valt veel uiteindelijk ook wel mee. Als je de hele dag naar incidenten gaat kijken, bijvoorbeeld als je werkt in een ziekenhuis, dan zie je de hele dag patiënten en wat er mis gaat. Zo werkt dat bij politie en justitie ook een beetje, is onze ervaring. Vervolgens komt er een leverancier van nieuwe technologie en we gaan prachtige speeltjes implementeren en daar moeten we ook nog wat voor organiseren. Dan komt men erachter dat er ook nog wetgeving is of dat sommige technologie helemaal niet voldoet aan de principes van de rechtsstaat. Om dan vervolgens de wetgeving maar aan te passen! Bas Filippini

In een rechtsstaat zoals ik ernaar kijk, zou je eerst moeten kijken naar de principes, dan naar wetgeving, daarna naar de uitvoering en dan pas kijk je naar wat je kunt ondersteunen met slimme technologie. Aansluitend bij Alexander Pechtold, het internet is bij uitstek het platform waar vraag en aanbod bij elkaar kunnen komen. Gebruik als overheid daarom het internet om de actieve participatie van burgers te gaan vergroten. En niet met het platgeslagen uitgangspunt dat een referendum slechts bestaat uit ‘ja’ of nee’. Hebben wij weleens een goede discussie met z’n allen gevoerd over welke typen referenda er zouden kunnen zijn? Welke typen van elektronische burgerparticipatie zouden er mogelijk kunnen zijn? En met welke technieken? Wat zijn de voors en tegens ervan? Als je een ideeënbus hiervoor opent bij een willekeurige krant, dan komen er ook ontzettend veel ideeën van burgers. Hoe vergroot je burgerparticipatie? Kijk ook naar andere landen, kijk ook naar Zwitserland. Daar wordt burgerparticipatie serieus genomen. Daar krijgen de burgers aan het begin van het jaar een hele waslijst om keuzes te maken. Ik zeg niet dat dat het Walhalla is, maar ik vind wel dat je naar alle mogelijkheden moet kijken hoe je informatietechnologie kunt gaan inzetten ter versterking van onze democratie die eigenlijk pas honderd jaar een beetje op ons huidige niveau functioneert. Daarvoor hebben we elkaar tweeduizend jaar de koppen ingeslagen.

Laten wij weer eens kijken naar die waan van de dag. Terrorisme wordt inmiddels gelijkgesteld met criminaliteit in de Big Brother-brief van Van de Steur. Wij zien een enorm glijdende schaal in aanvullingen en uitbreidingen op ingevoerde wetgeving voor terrorisme, de zogenaamde ‘function creep’. Heel veel maatregelen worden in eerste instantie ingevoerd met een legitieme reden. Een crimineel doet iets, maar ik vraag me altijd af hoe vaak dat voorkomt en of alle processen van de organisatie daarvoor moeten worden aangepast. In het bedrijfsleven passen we ook niet de gehele organisatie aan op een enkele uitzondering. Daar zeggen wij dat uitzonderingen de regel bevestigen. Uitzonderingen bevestigen de regel dat wij in onze democratie uitgaan van liefde, vertrouwen en vrijheid in plaats van angst, haat en controle. Ik zie de laatste drie woorden als standaard-pandoer om de democratie aan te tasten.

Even praktisch, want wat staat onder andere in de Big Brother-brief van minister Van der Steur? Dat alle kentekens gedurende vier weken zullen worden opgeslagen. Het is een sleepnetverhaal. Big Data, Internet of Things, dat zijn zaken waar die ministeries blijkbaar toch enorm opgewonden van raken. Maar dat zijn enorme atoombommen voor onze persoonlijke vrijheid die tot gedragsveranderingen kunnen leiden en ‘chilling’ effecten kunnen veroorzaken in de maatschappij. Het lijkt soms net alsof mensen niet goed weten aan welk hendeltje zij eigenlijk trekken. Wij noemen dat ‘goedbedoeld amateurisme’ als je dit soort zaken gaat implementeren.

Verder hebben wij daar het registreren van negatief gedrag, het elimineren van anoniem bellen en nog veel meer. Op basis van allerlei wiskundige formules kunnen wij allerlei bewegingen zien, zoals energieverbruik gekoppeld aan de kentekens in Nederland, waardoor wij precies kunnen zien of jij in het gevarengebied valt. Oftewel of je de volgende bent in het rijtje fraudeurs, mogelijke fraudeurs etcetera. Deze tendens wordt ondersteund door campagnes van het bedrijfsleven dat het ‘cool’ is om met deze zaken bezig te zijn, namelijk het inruilen van je eigen privacy en integriteit voor diensten van de overheid en het bedrijfsleven. Ik vind dat principes die zo basaal voor onze maatschappij zijn, geen ruilmiddel mogen zijn om dienstverlening te krijgen.

Maar denk ook aan discriminatie. Mijn anonieme OV-chipkaart geeft namelijk geen recht op kortingen. Dat is eigenlijk discriminatie van mensen die voor privacy gaan. De drie basisprincipes van liefde, vrijheid en vertrouwen lijken hele softe begrippen, maar als je er goed naar kijkt, dan zijn die begrippen veel harder en veel basaler om juist harde uitvoering te garanderen. Denk ook aan de NSA en de minachting die zij hebben voor de burger, welke als ‘zombies’ uit 1984 worden neergezet. Dat ging niet over spionnen, maar over de eigen burgers. De burger is er dus voor de overheid, terwijl wij dachten dat de overheid er juist voor de burger was. D66 30juni2016 5

Je zult zodoende duidelijke ‘checks and balances’ moeten inzetten, omdat er sprake is van een ongelijk speelveld tussen enerzijds de individuele burger en anderzijds het bedrijfsleven en de overheid met heel veel geld. Wij hebben goede advocaten en voeren regelmatig rechtszaken die handen vol met geld kosten. En dan zie je dus hoe moeilijk het is om als individu zaken te veranderen in een rechtsstaat. Wij pleiten er zodoende ook voor om dat makkelijker te gaan maken.

Wij geloven in onze missie ‘Nederland Privacy Gidsland’. Ik maak graag een vergelijking tussen ‘straat-terrorisme’ en ‘staats-terrorisme’. Dat laatste wordt gerealiseerd door langdurige vrijheidsbeperking in telkens weer nieuwe wetgeving. Het gaat in ‘slices’ en tel je die allemaal bij elkaar op, dan krijg je een heel naar gevoel, een beetje een ongemakkelijk gevoel. Je ziet een elektronische gevangenis, een uitstekende elektronische gevangenis die prachtig is gemaakt en de meest efficiënte ter wereld is. Maar daar hebben wij niet om gevraagd. Mag dat óók?

Hoog tijd dus voor politieke actie. Het is nu tijd voor een echte maatschappelijke discussie over de inzet van hi-tech middelen en platformen én met privacyvriendelijke technologie. En ik denk dat wij daar als Nederland goede sier mee kunnen maken, ook economisch. Want net als bij duurzaamheid is aan privacy geld te verdienen.

Ik denk dus dat actievoeren nieuwe stijl ook bedrijfsmatig kan zijn. Het hoeft niet altijd een lampionnentocht in de Himalaya te zijn, want dat vergeet men vaak de volgende dag. Ik wil de middelen van onze rechtsstaat inzetten en dat zijn niet alleen rechtszaken, maar ook politieke lobby en informele gesprekken vanuit een positieve grondhouding. Wij gaan zodoende voor Nederland Privacy Gidsland in plaats van overal tegen te zijn!"


Onlangs verscheen in het D66-magazine 'Idee' tevens een uitgebreid interview met Privacy First directeur en jurist Vincent Böhre; klik HIER voor het hele interview (pdf).

Gepubliceerd in Columns

In hoeverre bestaat er een recht op contante of anderszins anonieme betaling? Hoe kan dit recht juridisch worden versterkt en technisch worden gerealiseerd?

Op donderdagavond 7 april 2016 vond op de kantoorlocatie van Privacy First (Volkshotel, Amsterdam) een enerverend publieksdebat plaats over het recht op anonieme betaling. Privacy First organiseerde dit debat omdat anoniem betalen steeds meer onder druk komt te staan. Contant betalen wordt uitgebannen, zonder dat daar anonieme digitale alternatieven voor in de plaats komen.

Privacy First voorzitter Bas Filippini opende de avond en het debat werd geleid door moderator Ancilla Tilia (columnist FD). Voor het debat waren een viertal gastsprekers uitgenodigd: Vincent Jansen (Innopay – Payments & Digital Identity), Bram Scholten (DNB), Eric Verheul (KeyControls/Radboud Universiteit Nijmegen) en Olivier Oosterbaan (Leopold Meijnen Oosterbaan Advocaten).

Publieksdebat onder leiding van Ancilla Tilia

Ancilla Tilia begon de avond met haar column voor het Financieel Dagblad ‘Ik ben niet mijn bankrekening’, waarin zij zich afvraagt: ‘Wie komt er op voor het behoud van contant geld?’


Bas Filippini – voorzitter Privacy First

Vervolgens was het woord aan Privacy First voorzitter Bas Filippini. In zijn voorwoord benadrukte Filippini dat privacy niet alleen zij aan zij staat met veiligheid, maar dat het een basisprincipe is van onze democratische rechtsstaat. Het is een fundamenteel recht om anoniem te kunnen zijn in de openbare ruimte. Het recht op anonieme betaling vormt hier een belangrijk onderdeel van. We zijn de laatste jaren echter gegaan van ‘Cash is King naar Cash is Crimineel’. Filippini is benieuwd of er privacyvriendelijke alternatieven bestaan voor bankbiljetten en klinkende munten, en om te kijken of technologie het principe van anoniem betalen kan ondersteunen in plaats van ondermijnen.

Cash is king


Olivier Oosterbaan – Leopold Meijnen Oosterbaan Advocaten

Olivier Oosterbaan zet zich onder meer in voor privacy en tegen identiteitsdiefstal. Tijdens het publieksdebat legt hij een paar mogelijke verwerkingsgrondslagen uit in het kader van de Wet bescherming persoonsgegevens en de balans met de bescherming van de persoonlijke levenssfeer. Zo vertelt hij wie er mogelijk allemaal bij een parkeertransactie betrokken zijn en welke gegevens er worden gedeeld. Daarnaast laat je hiermee de gemeente weten dat je op een bepaalde plek gedurende een bepaalde periode bent geweest. Maar ook bij sommige winkels kan je alleen nog met pin betalen en laat je de bank daardoor weten dat je op een bepaalde plek bent geweest.


Vincent Jansen – InnoPay en Digital Identity

Vincent specialiseert zich in innovatief betalen en dat heeft in zijn kader weinig met cash geld te maken. Hij geeft een inleiding over context: hoe meer context je geeft aan een betaling, hoe minder anoniem je zult zijn.

Cash geld
In deze context: hoe vaker je bij een winkel komt, hoe meer informatie je deelt met de ontvangende partij, bijvoorbeeld wanneer je elke week bij je lievelingskoffietentje komt: op den duur weet men dat je daar elke week een lekkere latte macchiato komt halen. Door meer context te geven verdwijnt een deel van je anonimiteit.

Pinnen
Wanneer je gaat pinnen, krijgt de ontvangende partij informatie: op het bonnetje staan bijvoorbeeld de laatste cijfers van je bankrekeningnummer en je pasnummer. Hierdoor kan de ontvangende partij weten dat je een terugkerende klant bent. Als klant krijg je niet veel meer informatie dan wanneer je contant betaalt: je weet bijvoorbeeld de naam van de winkel en waar deze gevestigd is. Het verschil tussen pinnen en contant betalen is dus voornamelijk dat er een betaaldienstverlener tussen zit, die moet weten wie er wil betalen en aan wie er betaald moet worden. Hierbij dient de betaaldienstverlener te weten op welke tijd en bij welke vestiging je bijvoorbeeld bent en daarbij ontstaat een hele hoop data.

Overschrijving
Hoe zit het dan bij betaling door middel van overschrijving? Hierbij heb je indien je geld wilt overmaken veel informatie nodig van de begunstigde. Wat opmerkelijk is, is dat de begunstigde ook veel informatie krijgt, zoals het rekeningnummer, de tenaamstelling en ook de adresgegevens en woonplaats van de verzender.

Trends

  • Crypto-currency als trend, het fenomeen dat je eigenlijk een soort van online cash kunt hebben. Dit is niet anoniem, maar een zekere vorm van pseudonimiteit waar geen bank tussen zit en waar we met zijn allen vaststellen wie het geld heeft en waar het zich bevindt. Het is een trend die relatief jong is, maar waar veel potentie in zit, in de vorm van het hebben van 'digitaal cash'.

  • Een ander fenomeen is om reguliere transacties in de huidige betaalstructuur te pseudonimiseren. Dit is een generieke trend, waarbij gegevens niet meer te relateren zijn en waarbij er minder statische gegevens met de transactie worden meegegeven.

  • Een andere trend vanuit de Europese Commissie is de Payment Service Directive die in 2018 van kracht zal zijn. Hierbij krijgen banken de opdracht om, als de klant dat wil, een rekening open te stellen voor betaaldiensten en informatiediensten. Anders gezegd: ik moet een provider vertellen dat jij namens mij naar mijn afschriften kunt kijken, in al mijn bankrekeningen, om bijvoorbeeld mijn budgetcoach te worden. Wat er echter waarschijnlijk gaat gebeuren is dat bankgegevens elders geraadpleegd kunnen worden en zullen worden opgeslagen.

  • De laatste trend die benoemd wordt is Social Payments, voornamelijk in de peer-to-peer sfeer dat betalen steeds meer een onderdeel wordt van interactie en dat het juist heel 'cool' en leuk kan zijn om een betaling te verrijken met context. Zodat het gaat leven in de bankomgeving, door te vermelden waarom je betaalt, waar het was en hierbij bijvoorbeeld een leuke foto te plaatsen. Een ander fenomeen is dat IBANS (wat lastige dingen zijn) mogelijk vervangen zullen worden door 06-nummers en e-mailadressen, die ook weer extra herleidbaarheid met zich meebrengen.

Wie komt er op voor contant geld

Bram Scholten – De Nederlandsche Bank

Sinds 2012 maakt De Nederlandsche Bank (DNB) zich zorgen over de druk op contant geld. In de jaarverslagen van DNB wordt het belang van contant geld dan ook onderstreept. Bram Scholten stelt dat contant geld een bescherming van privacy geeft. Hij citeert uit het DNB jaarverslag van 2012: ‘In deze tijd waarin de samenleving langs elektronische weg steeds meer de persoonlijke levenssfeer binnendringt blijft daaraan behoefte bestaan’. De Nederlandsche Bank heeft zich ingezet om met marktpartijen zoals Detailhandel Nederland en de Nederlandse Betaalvereniging, die de banken vertegenwoordigd, in november 2015 in het Maatschappelijk Overleg Betalingsverkeer (MOB) in eigen kring uit te dragen dat voor toonbankbetalingen (betalingen buiten de deur) contant betalen mogelijk blijft. Daarmee wordt dus afstand genomen van het feit dat er soms geen contante betalingen meer mogelijk zouden zijn. De Nederlandsche Bank heeft gemeten dat de helft van alle betalingen nog met contant geld wordt gedaan.

Contant geld is positief

Contant betalen is natuurlijk een mogelijkheid om anoniem te betalen. Als wij een recht zouden hebben om contant te betalen, dan zouden wij ook een rechtmatige mogelijkheid hebben om anoniem te betalen. In wezen is het zo dat in het Burgerlijk Wetboek contant betalen als de gewone manier van betalen wordt beschreven. Er moeten in principe nadere afspraken gemaakt worden om af te wijken van de wet om contant te betalen. In het rapport van het MOB is dan ook gesteld dat met name in situaties waarin er sprake is van een lokaal monopolie, zoals een apotheek in een gebied waar geen andere apotheken zijn, als je daar niet contant zou kunnen betalen, dan zou dit bepaalde mensen kunnen duperen, omdat mensen niet meer kunnen krijgen wat ze nodig hebben. Het MOB ziet dit als onwenselijk en vraagt zich ook af of het rechtmatig is om contant geld te weigeren. Dit is een open vraag en in wezen ook een vraag op het gebied van Europees recht, omdat op Europees niveau is vastgelegd dat contant geld een wettig betaalmiddel is. Er bestaat echter nog geen jurisprudentie van het Europees Hof van Justitie hoe dit moet worden toegepast en wat het begrip 'wettig betaalmiddel' precies inhoudt. Dat leent zich dus wellicht voor een proefproces.

Contant is anoniem

Eric Verheul – Radboud Universiteit Nijmegen & Digital Security Group

Eric hield een presentatie over online betalen en online aanloggen. Wat gebeurt er precies wanneer je iets afrekent in een webshop? Bijvoorbeeld: Jan Jansen koopt iets in een webshop, wat hij precies aanschaft kan iets zeggen over hem als persoon, misschien is het wel iets waarvoor hij zich schaamt en waarvan hij niet wil dat iedereen het weet. Het zou ook kunnen dat die informatie bijzondere persoonsgegevens bevat. Wanneer je online betaalt, dan weet de bank wie jij bent en aan wie je betaalt. Dit kan vanuit privacy-oogpunt nadelig zijn, maar qua veiligheid prettig zijn. Hierdoor kan een bank bijvoorbeeld zien dat een betaling frauduleus is en deze betaling stopzetten. Daarnaast kan het voor de webshop handig zijn om je rekeningnummer te weten, wanneer zij bijvoorbeeld geld terug willen storten.

Dit staat in relatie met een online applicatie: je hebt bijvoorbeeld DigiD om te kunnen inloggen bij de Belastingdienst. Daarbij geldt dezelfde problematiek als met online betalingen, omdat je hierbij jezelf identificeert met bijvoorbeeld je naam of in sommige gevallen een pseudoniem. Zo’n toegangsdienst weet jouw identiteit en tot welke website jij toegang zoekt. En zo’n toegangsdienst zou bijvoorbeeld gehackt kunnen worden. Steeds meer zorginstellingen gaan werken met DigiD, maar hoe wenselijk is het dat DigiD weet dat jij een GGZ-instelling bezoekt? En wat als bijvoorbeeld een bank zo’n toegangsdienst verleent, hoe wenselijk is het dat zo’n partij dat allemaal weet? In de parallel met de fysieke wereld: dan weet iemand welke fysieke winkels jij allemaal bezoekt. Digitaal is het momenteel heel vanzelfsprekend dat dat allemaal zo gaat.

In 2014 hebben we een nieuwe techniek ontwikkeld: polymorfe pseudonimisering. Het werkt eigenlijk op dezelfde manier als bijvoorbeeld DigiD of een andere toegangsdienst, je moet alleen een speciale kaart laten zien en het bijzondere van die kaart is dat de toegangsdienst die die kaart leest niet je identiteit kan achterhalen, maar alleen versleutelde pseudoniemen kan aflezen. Hiermee verleent de toegangsdienst wel toegang tot een website, de website die je bezoekt weet met wie hij te maken heeft, maar de toegangsdienst heeft niet meer jouw (persoons)gegevens. Deze dienst zou je ook kunnen gebruiken voor online betalen, door bijvoorbeeld een encrypted e-wallet te vullen met geld. Met een bank kun je wel geld overmaken naar die e-wallet, maar de bank weet niet meer met wie hij precies te maken heeft, omdat de e-wallet is gepseudonimiseerd.


Na afloop van de inleidingen en presentaties volgde een publieksdebat, waarbij diverse vragen werden beantwoord en enkele aanbevelingen werden gegeven:

Aanbevelingen:

  • Kijk naar het digitale betalingsverkeer en hoe dit privacyvriendelijker gemaakt kan worden.
  • Contant betalen moet mogelijk blijven voor toonbankbetalingen (betalingen buiten de deur).

Een greep uit de vragen vanuit het publiek aan de gastsprekers:

In hoeverre is een prepaid creditcard een anoniem betaalmiddel?

  • Voor een prepaid creditcard wordt identificatie gevraagd.
  • Vaak moet ook een prepaid creditcard worden geactiveerd voor specifieke betalingen.

Hoe staan jullie er tegenover dat het briefje van 500 euro wordt uitgefaseerd?

  • Het zal niet nuttig zijn in het kader van terrorismebestrijding.

 

Klik HIER voor de uitnodiging (pdf) die Privacy First voor dit evenement aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist!

Gepubliceerd in Evenementen

In de visie van Privacy First omvat het recht op privacy ook het recht op anonieme betaling. Dit recht staat de laatste jaren echter steeds meer onder druk. Contant geld wordt meer en meer uitgebannen, zonder dat daar anonieme digitale alternatieven voor in de plaats komen. In hoeverre bestaat er een recht op contante of anderszins anonieme betaling? Hoe kan dit recht juridisch worden versterkt en technisch worden gerealiseerd?

Over deze en andere vragen debatteert Privacy First op 7 april as. onder leiding van moderator Ancilla Tilia (columnist FD) met een viertal gastsprekers: Vincent Jansen (Innopay – Payments & Digital Identity), Bram Scholten (DNB), Eric Verheul (KeyControls/Radboud University) en Olivier Oosterbaan (Leopold Meijnen Oosterbaan Advocaten). De avond wordt geopend door Privacy First voorzitter Bas Filippini. Na afloop van het publieksdebat sluiten we af met een borrel.

Iedereen is welkom en toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 7 april 2016, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Dit is tevens de kantoorlocatie van Privacy First. Een routebeschrijving vindt u HIER.

Klik HIER voor de uitnodiging die Privacy First onlangs aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist! Bent u overigens al donateur van Privacy First? Dit kan ook anoniem! ;)

Gepubliceerd in Evenementen
Pagina 2 van 4

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon