donatieknop english

Recent heeft het Forum Standaardisatie een advies uitgebracht om openbare wifi-netwerken voor gastgebruik altijd veilig aan te bieden. Het onafhankelijke adviesorgaan beveelt aan om de veiligheid van wifi te verbeteren door gebruik van de standaard WPA2-Enterprise. Het advies geldt voor alle publieke en semi-publieke instellingen in Nederland en heeft daarmee impact op duizenden wifi-netwerken.

Het Forum Standaardisatie is hét adviesorgaan voor de publieke sector wat betreft gebruik van open standaarden. Alle standaarden die het Forum adviseert zijn grondig getoetst, verlagen het risico van internetfraude en gegevensmisbruik en verlagen de kosten, aldus de organisatie op haar eigen website. Aanleiding voor het advies was een aanvraag van Stichting Privacy First en de wifi-roaming aanbieder Publicroam, ruim een jaar geleden. Zij verzochten het Forum om WPA2-Enterprise als standaard te verplichten voor toegang tot gastwifi. Het Forum Standaardisatie besloot daarop om nader onderzoek te doen, met het huidige advies als resultaat.

Stoppen met onveilige gastwifi 

Paul Korremans, voorzitter van Privacy First, is zeer verheugd met het advies. Hij zegt hierover: “Het heeft even geduurd maar nu ligt er een duidelijk advies. Het Forum Standaardisatie roept op tot het veilig aanbieden van gastwifi, bij voorkeur met gebruik van de standaard WPA2-Enterprise. Dit advies schept duidelijkheid voor alle partijen die betrokken zijn bij het inrichten en beheren van openbare wifi-netwerken bij de overheid. Bovendien heeft het een bredere werking: het Forum zegt in onze ogen dat we moeten stoppen met onveilige gastwifi.”

Nederland voorloper 

Forum Standaardisatie nam haar besluit afgelopen zomer na meerdere expertrondes en een publieke consultatie. Het advies werd begin september toegevoegd aan de bestaande verplichting rond WPA2-Enterprise. Nederland is één van de eerste landen die een dergelijke verplichting kent.

WPA2-Enterprise 

Experts beschouwen de standaard WPA2-Enterprise (en de opvolger WPA3-Enterprise) als de meest geschikte methode om veilige toegang tot wifi te realiseren. De standaard is verplicht voor wifi-toegang voor overheidsmedewerkers en wordt breed toegepast in andere sectoren zoals het bedrijfsleven en in het onderwijs. Doordat het een al lang bestaande open standaard is, is deze breed beschikbaar en eenvoudig te implementeren.

Gepubliceerd in Online Privacy

Kort geding tegen massale privacyschending door ANPR-cameratoezicht 

Vast beleid van Stichting Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Privacy First deed dit de laatste jaren met succes tegen de centrale opslag van ieders vingerafdrukken onder de Paspoortwet, tegen de opslag van ieders communicatiegegevens onder de Wet bewaarplicht telecommunicatie en (in coalitieverband) tegen massale risicoprofilering door het Systeem Risico Indicatie (SyRI). Een actuele en urgente kwestie die zich bij uitstek voor een dergelijke rechtszaak leent betreft de Nederlandse wetgeving inzake automatische nummerplaatherkenning (Automatic Number Plate Recognition, ANPR) zoals die sinds 2019 geldt onder art. 126jj Sv. Onder deze wetgeving worden de kentekens van miljoenen auto's in Nederland (oftewel ieders reisbewegingen) continu vier weken in een centrale politiedatabank opgeslagen voor o.a. opsporing en vervolging, ongeacht of men ergens van verdacht wordt. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief, zo bleek o.a. uit vandaag verschenen evaluatierapporten van het WODC. Toezicht ontbreekt en het systeem kan eenvoudig worden misbruikt, zo bevestigde onderzoek door NRC Handelsblad onlangs. Privacy First heeft daarom een rechtszaak voorbereid om de ANPR-wetgeving buiten werking te laten stellen wegens strijd met Europees privacyrecht. Daartoe zal op 10 november as. bij de rechtbank Den Haag een kort geding van Privacy First tegen de Staat plaatsvinden. Via Pro Bono Connect heeft Privacy First het advocatenkantoor CMS ingeschakeld om deze zaak voor ons te voeren. Onze dagvaarding in kort geding vindt u HIER (pdf). Indien nodig volgt na dit kort geding tevens een bredere bodemprocedure. De huidige ANPR-wet vormt immers een massale privacyschending en hoort simpelweg niet thuis in een vrije democratische rechtsstaat. Gezien de Europese jurisprudentie terzake acht Privacy First de kans op een succesvolle rechtsgang buitengewoon hoog. 

Zaakgegevens: Stichting Privacy First vs. de Staat (Ministerie van Justitie en Veiligheid), woensdag 10 november 2021 11.00u, rechtbank Den Haag. Zaaknummer: C/09/617630 KG ZA 21-853. U bent van harte welkom om de rechtszitting bij te wonen (mits de zaalcapaciteit het toelaat). Een routebeschrijving vindt u hier

Wilt u ons graag steunen in deze zaak? Wordt dan donateur! Privacy First bestaat grotendeels uit vrijwilligers en is voor het voeren van rechtszaken geheel afhankelijk van sponsoring en donaties.

Gepubliceerd in Rechtszaken

Ondanks een dringende oproep van Stichting Privacy First aan de Tweede Kamer om het coronatoegangsbewijs te blokkeren, lijkt de Nederlandse invoering van de "coronapas" per 25 september 2021 helaas een feit. Privacy First verwacht dat dit zal leiden tot een tweedeling in de samenleving, discriminatie, uitsluiting van kwetsbare groepen en schending van ieders recht op privacy. De coronapas leidt bovendien tot vaccinatiedwang, wat in strijd is met ieders recht om geheel vrij te beschikken over zijn/haar eigen lichaam. Dit is onverenigbaar met het recht op lichamelijke integriteit en zelfbeschikking en voedt de ondermijning van ons vertrouwen in de democratische rechtsstaat, waarin deze fundamentele rechten verankerd zijn. 

Nu massale aantasting en schending van mensenrechten dreigt, is het aan de rechter om in te grijpen en de overheid te corrigeren. In lijn met onze statutaire doelstelling in het algemeen belang heeft de actuele rechtszaak van Bart Maes c.s. ter stopzetting van de coronapas daarom onze volledige steun. Privacy First hecht eraan daarbij te benadrukken dat hiermee geen statement wordt gemaakt tegen het vaccineren (integendeel), maar dat het van cruciaal belang is om juist in deze tijd ieders mensenrechten volledig te respecteren en te beschermen. Kritische geluiden, op welke grond dan ook, dienen serieus genomen te worden en niet op emotionele gronden terzijde geschoven te worden. Zowel op korte als lange termijn vormt dit de beste waarborg voor een open, vrije en gezonde samenleving.

Gepubliceerd in Wetgeving

Onderstaande oproep verzond Privacy First vandaag aan de Tweede Kamer: 


Geachte Kamerleden, 

Met grote afkeuring heeft Stichting Privacy First kennisgenomen van de geplande invoering van coronatoegangsbewijzen voor de horeca, evenementen en culturele instellingen. Dit zal leiden tot een tweedeling in de samenleving, uitsluiting van kwetsbare groepen en massale schending van ieders recht op privacy. Hieronder zal Privacy First dit kort toelichten.

Zware inbreuk op grondrechten

Het coronatoegangsbewijs (“coronapas”) vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, fysieke zelfbeschikking, lichamelijke integriteit en de vrijheid van beweging in combinatie met andere klassieke mensenrechten zoals het recht op deelname aan het culturele leven en diverse kinderrechten zoals het recht op recreatie. Iedere inperking van deze rechten dient strikt noodzakelijk, proportioneel en effectief te zijn. Bij de coronapas is dit tot op heden echter niet aangetoond en wordt de vereiste noodzakelijkheid in het algemeen belang simpelweg verondersteld. Privacyvriendelijker alternatieven om de maatschappij weer te kunnen openen en normaliseren lijken nooit serieus te zijn overwogen. Reeds om deze redenen kan de coronapas de mensenrechtelijke toets niet doorstaan en dient daarom te worden ingetrokken. In dit verband herinnert Privacy First u tevens graag aan landen zoals Engeland, België en Denemarken waar een vergelijkbare pas bewust niet is ingevoerd of inmiddels weer is afgeschaft. In Nederland is de laatste dagen een groot gebrek aan maatschappelijk draagvlak voor de coronapas gebleken en hebben vele duizenden ondernemers reeds laten weten hier niet aan te zullen meewerken. Privacy First verwacht dan ook dat invoering van de coronapas zal leiden tot massale burgerlijke ongehoorzaamheid en kansrijke rechtszaken tegen de Staat.

Sociale uitsluiting

De invoering van de coronapas is bovendien in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen of vaccineren, of een digitaal test- of vaccinatiebewijs zullen kunnen bemachtigen. Reeds tijdens onze Nationale Privacy Conferentie begin 2021 nam Privacy First het standpunt in dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking zou hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens nadrukkelijk stelling tegen de invoering van een coronapas. De genoemde maatschappelijke risico’s gelden des te sterker voor de vaccinatiedwang die het coronatoegangsbewijs impliceert. In dit verband herinnert Privacy First u graag aan het feit dat zowel uw Kamer als de Parlementaire Assemblée van de Raad van Europa zich tegen een directe of indirecte vaccinatieplicht hebben uitgesproken.[2] Daarnaast zal de coronapas precedentwerking kunnen krijgen voor andere medische aandoeningen en andere maatschappelijke sectoren, waardoor een veel breder scala aan sociaal-economische mensenrechten onder druk zal komen te staan. Om deze redenen roept Privacy First u op om de invoering van de coronapas te blokkeren.

Meervoudige privacyschending

Vanuit het perspectief van het recht op privacy gelden tevens een aantal specifieke bezwaren en vragen. Allereerst introduceert de coronapas een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens. Middels het verplicht tonen van een ID-bewijs naast de coronapas wordt een geheel nieuwe identificatieplicht in openbare gelegenheden gecreëerd. De bestaande anonimiteit in de openbare ruimte wordt daardoor opgeheven, met alle gevaren en risico’s van dien. Bovendien roept deze nieuwe identificatieplicht vragen op over de bevoegdheid van een ondernemer om de identiteit van een persoon vast te stellen en de gezondheidstoestand door middel van de coronapas te beoordelen.

De onderliggende wetgeving resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert. Niet het resultaat van de test moet immers bepalend zijn of de registratie van het testen onder de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er juist aansluiting is gezocht bij Wpg en/of Wgbo nu het gaat om het verkrijgen van een bewijs voor deelname aan de maatschappij en het niet een medische behandeling (Wgbo) noch publieke gezondheidstaak voor dat doel betreft. Hier zou de enige mogelijkheid voor verwerking van persoonsgegevens ten behoeve van het verkrijgen van een coronabewijs en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen en vaccineren een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.

Privacy vereist duidelijkheid

Veel andere zaken zijn en blijven voortdurend onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en in welke systemen, in hoeverre vindt internationale en Europese uitwisseling van gegevens plaats, welke partijen met welke doelen hebben toegang of kopiëren gegevens of zetten die in enorme nieuwe, nationale databases met onze gezondheidsgegevens? In hoeverre zal er sprake kunnen zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang worden bewaard? Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre is er überhaupt met enige serieuze aandacht nagedacht over decentrale, privacyvriendelijke technologieën en privacy by design, open source software, dataminimalisatie en anonimisering? Hoe lang zullen testbewijzen kosteloos blijven? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” naast de CoronaCheck app, namelijk een chip(kaart), met alle bezwaren en risico’s van dien? Waarom is er geen sprake geweest van een onafhankelijke Privacy Impact Assessment (PIA)? Hoe vaak moet het land nog accepteren dat nood- en spoedwetten lekkende privacygaten dichten, als onze overbelaste en onderbezette Autoriteit Persoonsgegevens al opmerkt dat er geen wettelijke grondslag voor verwerking is? Hoe zullen onvoorzien gebruik en misbruik, doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Waarom wordt het “gele boekje” niet geaccepteerd als privacyvriendelijk alternatief, zoals dat in andere landen wel gebeurt? Wat gebeurt er op de diverse testlocaties met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zal de coronapas weer worden afgeschaft? Met andere woorden: in hoeverre is dit daadwerkelijk "tijdelijk”?

In de optiek van Privacy First zal invoering van de coronapas slechts tot onwerkbare belasting van ondernemers, talloze wantoestanden en grote maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom om invoering van de coronapas te blokkeren. Bij gebreke hieraan behoudt Privacy First zich het recht voor om de wetgeving ter invoering van de coronapas aan internationaal en Europees recht te laten toetsen en door de rechter buiten werking te laten stellen. De voorbereidingen voor een dergelijke rechtszaak worden door ons en vele anderen reeds getroffen. 


Hoogachtend, 

Stichting Privacy First 

 

[1] Zie Nationale Privacy Conferentie 28 januari 2021, https://youtu.be/asEX1jy4Tv0?t=9378, vanaf 2u 36 min 18 sec.
[2] Zie Council of Europe, Parliamentary Assembly, Resolution 2361 (2021): Covid-19 vaccines: ethical, legal and practical considerations, https://pace.coe.int/en/files/29004/html, par. 7.3.1-7.3.2: “Ensure that citizens are informed that the vaccination is NOT mandatory and that no one is politically, socially, or otherwise pressured to get themselves vaccinated, if they do not wish to do so themselves; ensure that no one is discriminated against for not having been vaccinated, due to possible health risks or not wanting to be vaccinated.” Zie tevens o.a. Tweede Kamer, Motie van het lid Azarkan over geen coronavaccinatieplicht (28 oktober 2020), Kamerstuk 25295-676, https://zoek.officielebekendmakingen.nl/kst-25295-676.html: “De Kamer (...) spreekt uit dat er in de toekomst nooit sprake mag zijn van een directe of indirecte coronavaccinatieplicht”; Motie van het lid Azarkan over toegang tot publieke voorzieningen voor iedereen ongeacht vaccinatie- of teststatus (5 januari 2021), Kamerstuk 25295-864, https://zoek.officielebekendmakingen.nl/kst-25295-864.html: “De Kamer (...) verzoekt de regering om toegang tot publieke voorzieningen voor iedereen mogelijk te maken ongeacht vaccinatie- of teststatus.”

Een eerdere, vergelijkbare versie van dit commentaar verscheen reeds in maart 2021: 
https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1224-standpunt-privacy-first-inzake-concept-wetsvoorstel-testbewijzen-covid-19.html.

Gepubliceerd in Wetgeving

Op 28 januari 2022 (Europese Dag van de Privacy) worden door Stichting Privacy First weer de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

  1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

  2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

  3. categorie Overheidsdiensten (van de overheid voor burgers)

  4. Aanmoedigingsprijs voor een baanbrekende technologie, initiatief of persoon.


“Privacy komt steeds vaker in het nieuws. Dat heeft verschillende oorzaken. De belangrijkste is dat mensen er echt meer aandacht voor krijgen en begrijpen hoe hun vrijheid wordt beperkt, als anderen hun privacy niet respecteren. Maar ook de wereld verandert, mede door Corona. Dat leidt onder meer tot nuttige, spannende en innovatieve mogelijkheden. Maar ook tot nieuwe datalekken, onnodige en onhandige verwerkingen van persoonsgegevens en nieuwe inzichten. En toenemende onveiligheid door slimme criminelen en anderen die het op onze gegevens voorzien hebben. Gelukkig zijn er nog steeds de Nederlandse Privacy Awards, die de mooiste ontwikkelingen op het gebied van privacy laten zien, hoe het beter kan en hoe het innovatie kan helpen”
, aldus Wilmar Hendriks, voorzitter van de jury.

De voorwaarden voor deelname vindt u hier.


Bepalen van de genomineerden

Alle inzenders kunnen zich t/m 15 november 2021 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op de criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Medio december 2021 hoort u of u wel of niet tot de genomineerden behoort. Indien u genomineerd wordt ontvangt u van Privacy First een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden.


Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.


Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Wilmar Hendriks, founder Control Privacy en bestuurslid Privacy First (jury-voorzitter)
> Paul Korremans, voorzitter Privacy First 
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacyjurist en oprichter DePrivacyGuru
> Rion Rijker, privacy- en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting
> Magdalena Magala, Functionaris Gegevensbescherming, gemeente Zaanstad
> Mathieu Paapst, universitair docent IT-recht Rijksuniversiteit Groningen en projectlead cookiedatabase.org
> Jaap van der Wel, IT-deskundige en privacyjurist, managing partner Comfort Information Architects. 


Om te garanderen dat de verkiezing van de Awards objectief verloopt wordt uitgesloten dat een jurylid een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media en The Privacy Factory, in samenwerking met ECP.

Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

 

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards
vrijdag, 10 september 2021 11:04

Een uitdaging voor jou?

Privacy First zoekt ondersteuning bij Nederlandse Privacy Awards 

De jury van de Nederlandse Privacy Awards (NPA) is op zoek naar ondersteuning bij de voorbereiding, beoordeling en Awards-uitreiking op 28 januari 2022.

We zoeken ondersteuning tot begin februari 2022 en starten liefst z.s.m. 

Deze rol kost gemiddeld ongeveer een halve tot een hele dag per week en kan worden ingevuld als vrijwilligerswerk of als stage. Voor de ondersteuning is geen vergoeding beschikbaar, wel worden noodzakelijke kosten vergoed.

Wat moet je kunnen en wat is nodig voor het invullen van deze rol?
- Interesse en een zekere basiskennis van privacy, hetzij technisch hetzij juridisch;
- Organisatorisch talent die het proces van de jury overziet;
- Eigen initiatief, vooral in het plannen van het proces;
- Ondersteunen bij het organiseren van meetings, vooral digitaal;
- Inhoudelijk meedenken met selectie en beoordeling, wanneer de jury hieraan behoefte heeft (en soms ook gewoon spontaan);
- Contact hebben met pers, schrijven van juryteksten, websitebeheer van de Award-site;
- Creatief en praktisch meedenken met en mede organiseren van de prijsuitreiking.

Er zal veel digitaal gebeuren, maar deels ook op ons kantoor aan de Keizersgracht in Amsterdam. En uiteraard de uitreiking zelf in Nieuwspoort in Den Haag.

Wat ga je leren en meemaken?
- Privacy en de daaraan verbonden rechten, ontwikkelingen en standpunten zijn in een versnelde ontwikkeling terecht gekomen. Hier zit je met je neus bovenop;
- De NPA biedt dé gelegenheid voor organisaties, bedrijven en overheden om te laten zien wat voor positiefs zij in het kader van privacy kunnen betekenen;
- Door ervaren experts in de jury wordt beoordeeld wat echt impact heeft op bescherming van de persoonlijke levenssfeer en wat die impact is;
- Je helpt een groot event organiseren in Nieuwspoort, met veel bezoekers, als geïntegreerd onderdeel van het Nationale Privacy Congres met ECP, inclusief digitale streaming daarvan.

Kortom, de kans om een interessante, leerzame en nuttige bijdrage te leveren aan een positieve nationale bijeenkomst rond het actuele thema privacy.

Interesse? Stuur een mailbericht met je motivatie en een kort CV naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. ! 

 

FG7A4979m

 

Gepubliceerd in Nederlandse Privacy Awards

Het plan van het demissionaire kabinet om de NCTV ingrijpende surveillancebevoegdheden te geven, zou volgens het Platform Bescherming Burgerrechten in de ijskast moeten worden gezet zolang er nog geen nieuw kabinet is gevormd. “Het optuigen van een nieuwe inlichtingendienst is een stap die louter door een nieuwe regering zou kunnen worden genomen”, aldus het Platform in een brief aan de Tweede Kamer. 

In april 2021 onthulde NRC dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) zonder wettelijke bevoegdheid jarenlang burgers heeft gevolgd, dossiers over hen heeft aangelegd en deze met andere partijen heeft gedeeld. In reactie hierop heeft het demissionaire kabinet op stoom en kokend water ingezet op het legitimeren van deze praktijken middels een wetsvoorstel waarin de bevoegdheden van de NCTV worden verruimd.

Over dit voorstel, dat na een ongekend korte consultatieperiode nu bij de Raad van State ligt, schrijft het Platform Burgerrechten in een brief aan de Tweede Kamer dat het een demissionair kabinet ten principale niet aangaat om een voorstel in te dienen dat zo’n grote impact heeft op de grondrechten van burgers. Het voorstel zou dan ook controversieel moeten worden verklaard door de Kamer en pas weer moeten worden behandeld nadat een nieuwe regering is geïnstalleerd.

Het toch in behandeling nemen van dit voorstel zou bovendien een miskenning zijn van de zwaarwegende redenen voor het aftreden van het huidige kabinet. Een regering die is afgetreden omdat in de Toeslagenaffaire met onwettige surveillancemethoden de rechtsbescherming van duizenden gezinnen werd uitgehold, past het niet om een nieuw voorstel te doen dat zulke verregaande inbreuken op de grondrechten mogelijk maakt.

“Uit dit voorstel blijkt dat de laconieke houding inzake de privacy van burgers die kon leiden tot de Toeslagenaffaire, met het aftreden van dit kabinet niet is begraven. Het Platform acht het de verantwoordelijkheid van uw Kamer om de regering hierin een halt toe te roepen en deze niet toe te staan over haar graf heen te regeren. Het aftreden van het kabinet met alle zwaarwegende redenen die daaraan ten grondslag lagen, verliest betekenis als een dergelijk voorstel van datzelfde kabinet nu zou worden behandeld als ware het business as usual”, aldus Platform-secretaris Ronald Huissen. 

Lees HIER de brief die het Platform Burgerrechten aan de Tweede Kamer verstuurde (pdf).


Bron: https://bijvoorbaatverdacht.nl/wetsvoorstel-nctv-controversieel/, 30 juli 2021. 

 

Over het Platform Bescherming Burgerrechten

Het Platform Bescherming Burgerrechten is in 2009 opgericht op initiatief van het Humanistisch Verbond. Het Platform vormt sindsdien een netwerk en coalitie van organisaties (waaronder Privacy First) die elkaar vinden in het streven naar een betere waarborging en versterking van de burgerrechten in Nederland, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer en lichamelijke integriteit, digitale autonomie en controle over persoonsgegevens. Vanuit het Platform zijn sinds 2009 diverse succesvolle acties, rechtszaken en campagnes geïnitieerd en ontwikkeld, waaronder acties en rechtszaken tegen de verplichte afname en opslag van vingerafdrukken onder de Paspoortwet, de campagne SpecifiekeToestemming.nl over medische privacy, de rechtszaak tegen het Systeem Risico Indicatie (SyRI) en de bijbehorende Platform-campagne Bijvoorbaatverdacht.nl.

Gepubliceerd in Wetgeving

Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.

Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.

Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.

Bescherming van bijzondere persoonsgegevens

Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.

De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.

Hoe nu verder?

Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’.  Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.

Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.

Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.

Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.

Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.!

Gepubliceerd in Financiële privacy & PSD2

Sinds 2009 bestaat de controversiële Europese verplichting om vingerafdrukken in paspoorten op te nemen. Tot nu toe waren identiteitskaarten van deze Europese verplichting uitgezonderd. Desondanks werden sinds 2009 ook in Nederlandse identiteitskaarten vingerafdrukken opgenomen, maar wegens privacybezwaren werd deze Nederlandse verplichting per januari 2014 afgeschaft. Inmiddels bestaat er echter nieuwe Europese wetgeving waardoor de opname van vingerafdrukken in identiteitskaarten per 2 augustus 2021 alsnog weer verplicht wordt.

Nederlandse burgers kunnen tot 2 augustus as. nog een nieuwe identiteitskaart zonder vingerafdrukken aanvragen. Daarna niet meer, tenzij u "tijdelijk of permanent fysiek niet in staat bent om vingerafdrukken te laten afnemen."

Naar verwachting zal de Eerste Kamer op 13 juli as. debatteren en stemmen over de wijziging van de Paspoortwet i.v.m. de herintroductie van vingerafdrukken in Nederlandse identiteitskaarten. In dat verband stuurde Privacy First gisteren onderstaande email aan de Eerste Kamer:


Geachte Kamerleden,

Reeds sinds onze oprichting in 2008 verzet Stichting Privacy First zich tegen de verplichte afname van vingerafdrukken voor paspoorten en identiteitskaarten. Privacy First deed dit sinds de invoering van de nieuwe Paspoortwet in 2009 middels rechtszaken, campagnes, Wob-verzoeken, politieke lobby en activering van media. Ondanks daaropvolgende stopzetting van de (geplande) centrale opslag van vingerafdrukken in een nationale databank en bij gemeenten in 2011 worden ieders vingerafdrukken nog steeds afgenomen bij aanvraag van een paspoort en binnenkort ook (door de nieuwe Europese Verordening identiteitskaarten) alsnog weer bij Nederlandse identiteitskaarten nadat dit in 2014 afgeschaft was. Tot op heden zijn alle miljoenen afgenomen vingerafdrukken van vrijwel de gehele volwassen Nederlandse bevolking in de praktijk echter niet of nauwelijks gebruikt, aangezien e.e.a. reeds in 2009 technisch ondeugdelijk en onwerkbaar was gebleken. De verplichte afname van ieders vingerafdrukken onder de Paspoortwet vormt daarmee nog steeds de meest massale en langst voortdurende privacyschending die Nederland ooit gekend heeft. Na lezing van het huidige verslag van uw Kamer bij de wijziging van de Paspoortwet ter herinvoering van vingerafdrukken in identiteitskaarten, attendeert Privacy First u hierbij dan ook op onderstaande aandachtspunten. In dit verband verzoeken wij u om tégen de betreffende wetswijziging te stemmen, ook tegen het Europese beleid in. Immers:

  1. Reeds in mei 2016 heeft de Raad van State geoordeeld dat vingerafdrukken in Nederlandse identiteitskaarten in strijd zijn met het recht op privacy wegens gebrek aan noodzaak en proportionaliteit, zie https://www.raadvanstate.nl/pers/persberichten/tekst-persbericht.html?id=956 .
  2. Uit Wob-verzoeken van Privacy First is gebleken dat het te bestrijden fenomeen (look-alike fraude met paspoorten en identiteitskaarten) dusdanig kleinschalig is, dat verplichte afgifte van ieders vingerafdrukken ter bestrijding hiervan volstrekt disproportioneel en dus onrechtmatig is. Zie https://www.privacyfirst.nl/rechtszaken-1/wob-procedures/item/524-onthullende-cijfers-over-look-alike-fraude-met-nederlandse-reisdocumenten.html.
  3. Bij de vingerafdrukken in paspoorten en identiteitskaarten gold de laatste jaren een biometrisch foutenpercentage van maar liefst 30%, zie https://zoek.officielebekendmakingen.nl/kst-32317-163.html (staatssecretaris Teeven, 31 jan. 2013). Eerder gaf minister Donner een foutenpercentage van 21-25% toe: zie https://zoek.officielebekendmakingen.nl/kst-25764-47.html (27 april 2011). Hoe hoog zijn deze foutenpercentages anno 2021?
  4. Mede vanwege bovengenoemde hoge foutenpercentages worden de vingerafdrukken in paspoorten en identiteitskaarten tot op heden vrijwel niet gebruikt, noch in het binnenland, noch aan de grenzen of op luchthavens.
  5. Vanwege deze hoge foutenpercentages instrueerde voormalig staatssecretaris Bijleveld (BZK) reeds in september 2009 alle Nederlandse gemeenten om (in principe) geen vingerafdruk-verificaties uit te voeren bij de uitgifte van paspoorten en identiteitskaarten. Bij een “mismatch” dient het betreffende ID-document immers retour aan de paspoortfabrikant gezonden te worden, wat bij hoge aantallen tot snelle maatschappelijke ontwrichting zou leiden. Tevens maakte BZK zich in dit verband zorgen om grootschalige onrust en mogelijk geweld bij gemeentebalies. De betreffende zorgen en instructie van staatssecretaris Bijleveld gelden tot op heden nog steeds.
  6. Sinds 2016 lopen bij het Europees Hof voor de Rechten van de Mens in Straatsburg nog diverse individuele Nederlandse rechtszaken waarin de verplichte afgifte van vingerafdrukken voor paspoorten en ID-kaarten aangevochten wordt wegens strijd met art. 8 EVRM (recht op privacy).
  7. Voor mensen die om welke reden dan ook geen vingerafdrukken wensen af te geven (biometrisch gewetensbezwaarden, art. 9 EVRM) zou alsnog een uitzondering moeten worden bedongen.
  8. Mede om bovenstaande redenen worden sinds januari 2014 voor de Nederlandse identiteitskaart geen vingerafdrukken meer afgenomen. Het is aan uw Kamer om deze situatie te handhaven en tevens aan te dringen op afschaffing van vingerafdrukken voor paspoorten.

Zie voor achtergrondinformatie het WRR-rapport ‘Happy Landings’ dat Privacy First directeur Vincent Böhre schreef in 2010. Mede naar aanleiding van dit kritische rapport (en de grootschalige rechtszaak van Privacy First c.s. tegen de Paspoortwet) werd in 2011 de decentrale (gemeentelijke) opslag van vingerafdrukken grotendeels afgeschaft en werd de geplande centrale opslag van vingerafdrukken stopgezet.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar.

Hoogachtend,

Stichting Privacy First 


Media update: interview BNR Nieuwsradio 2 augustus 2021, https://www.bnr.nl/nieuws/technologie/10450184/identiteitskaart-voortaan-altijd-met-vingerafdrukken.

Gepubliceerd in Wetgeving
dinsdag, 18 mei 2021 10:22

Burgernet: privacy in het geding

Politie doet aan 24/7 tracking van burgers

Stichting Privacy First heeft de bescherming van de privacy bij Burgernet beoordeeld en maakt zich grote zorgen. Privacy First roept de Tweede Kamer op om te onderzoeken of het systeem van 24/7 tracking van burgers door de Politie wel in overeenstemming is met de beginselen van onze rechtsstaat.

Burgernet is een samenwerkingsverband tussen politie, gemeenten en burgers met als doel meer en sneller criminele zaken op te lossen. Bij inbraak, beroving, of een vermist persoon krijgen app-gebruikers in de omgeving van het incident een bericht van de politie om relevante informatie terug te koppelen.

Deze manier van werken betekent dat Burgernet 24/7 de locatiegegevens van alle deelnemers registreert. Daar dient uiteraard zeer zorgvuldig mee om te worden gegaan vanuit de AVG en de grondrechten van burgers. Privacy First heeft bekeken of er binnen Burgernet wel sprake is van die benodigde zorgvuldigheid, maar constateert verschillende problemen.

Van wie is Burgernet eigenlijk?

De wet schrijft voor dat altijd helder moet zijn welke (rechts)persoon de persoonsgegevens verwerkt. Dat is bij Burgernet niet het geval. Burgernet zat o.a. in een BV, In-Pact BV, maar die is inmiddels, volgens de Kamer van Koophandel, opgeheven. Maar waarom staat deze niet-bestaande BV bij de Burgernet app in de Apple store dan nog altijd vermeld als provider?

De website https://www.burgernet.nl vermeldt uitsluitend dat het een samenwerking is van burgers, gemeenten en politie. Contactgegevens ontbreken en het privacy statement van Burgernet vermeldt hier evenmin iets over. Burgernet lijkt inmiddels van de Politie te zijn, getuige onder meer een recente brief[1] en antwoorden[2] van demissionair minister Grapperhaus op Kamervragen, maar dit wordt binnen de app of de website van Burgernet nergens vermeld.

Geen (afdoende) toestemming voor 24/7 tracking

Voor het registreren en verwerken van locatiegegevens moet toestemming worden gevraagd. De app van Burgernet vraagt inderdaad toestemming om berichten te kunnen sturen die relevant zijn voor de buurt waarin de deelnemer zich bevindt. Volgens de AVG is gegeven toestemming echter pas geldig als het gaat om een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betreffende verwerking van persoonsgegevens wordt aanvaard. Privacy First meent dat eenieder die zich aanmeldt bij Burgernet moet worden verteld dat zijn/haar locatie door de Politie kan worden vastgesteld. Pas dan is er sprake van rechtsgeldige toestemming. Dat gebeurt nu echter nog niet.

Risico’s op ander gebruik van locatiegegevens

Het privacy statement van Burgernet vermeldt niet wat het doel is van de verwerking van persoonsgegevens, hoewel de AVG dat wel voorschrijft. Daarom is het niet duidelijk of Burgernet echt uitsluitend gegevens verzamelt en verwerkt ten behoeve van het versturen van alerteringen, of dat er meer mee gedaan wordt. De vraag rijst dan of de politie de locatiegegevens mogelijk ook voor andere doelen gebruikt. In dat verband valt op dat het privacy statement verwijst naar de Wet politiegegevens (Wpg). Dit doet vermoeden dat de persoonsgegevens mogelijk ook gebruikt worden voor andere politietaken. De politie kan in de verleiding komen om de locatiegegevens van de deelnemers van de Burgernet-app veel breder te gebruiken, zoals bijvoorbeeld bij voetbalrellen. Kan die goedbedoelende deelnemer aan Burgernet die daar toevallig in de buurt is, dan door gebruik van de app verdachte worden? En als dat zo is, volstaat dan een korte verwijzing naar de Wpg in het privacy statement? Privacy First meent van niet.

Niet voldaan aan het voorschrift van minimale gegevensverwerking

Burgernet geeft zelf aan dat er locatiegegevens verzameld worden met als doel om alleen relevante berichten te kunnen versturen. Het is onnavolgbaar waarom de app ook vraagt naar postcode en huisnummer; voor verzending van een alertering is iemands huidige verblijfplaats relevant, maar iemands privéadres in het geheel niet. Daarmee handelt Burgernet in strijd met het beginsel van dataminimalisatie. Daarnaast lijkt er binnen Burgernet geen Functionaris Gegevensbescherming te zijn, die hierop en op bovengenoemde zaken toezicht houdt.

Is het effect van dit alles behoorlijk beoordeeld?

De AVG schrijft ook voor dat bij gegevensverwerking waarbij nieuwe technologieën worden gebruikt, welke een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, altijd een behoorlijke analyse moet worden verricht van de mogelijke effecten. Nu de Politie via de Burgernet-app grootschalig gevoelige persoonsgegevens verzamelt en verwerkt met 24/7 tracking van Burgernet-leden, is een behoorlijke risicoanalyse volgens Europees recht verplicht. Privacy First heeft niet kunnen terugvinden dat een dergelijke grondige risicoanalyse ten aanzien van deze app ooit heeft plaatsgevonden. Privacy First vermoedt dat, als dat wel was gedaan, de app er heel anders uit zou hebben gezien.

Oproep aan Tweede Kamer

Privacy First roept de Tweede Kamer op om zo snel mogelijk een onafhankelijk onderzoek in te laten stellen naar de vraag (van) wie Burgernet tegenwoordig is, welke gegevens verzameld worden en waarom. Hierbij moet worden onderzocht of er wel voldaan wordt aan de huidige wetgeving. Tot slot vraagt Privacy First zich af of de doelen van Burgernet binnen een rechtsstaat niet beter gerealiseerd kunnen worden door de persoonsgegevens weg te halen bij de Politie.


[1] Zie brief d.d. 1 april 2021, Stand van zaken functionaliteit Alertering Vermist Kind, Kamerstukken II 2020-2021, 29668-57, p. 2, https://zoek.officielebekendmakingen.nl/kst-29668-57.html.

[2] Zie Antwoorden op vragen van de leden Kathmann en Van Nispen over het stopzetten van AMBER Alert, 4 mei 2021, Aanhangsel van de Handelingen II 2020-2021, nr. 2595, https://zoek.officielebekendmakingen.nl/ah-979655.

Gepubliceerd in Wetgeving
Pagina 1 van 15

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon