donatieknop english

Privacy First verschijnt regelmatig in de media, maar meestal zijn dit slechts korte fragmenten, soundbites of oneliners uit langere interviews. Café Weltschmerz vormt hierop een interessante uitzondering: hier neemt men nog de tijd om belangrijke (soms controversiële) onderwerpen uitgebreid te bespreken. Recentelijk sprak Privacy First voorzitter Bas Filippini in Café Weltschmerz over de geplande Corona-noodwet en de Corona-crisis, het belang van het recht op privacy, de rol van technologie en media in onze samenleving en het (dis)functioneren van onze huidige democratie. Bekijk hieronder het hele interview. Een eerder gesprek met Privacy First in Café Weltschmerz vindt u hier.

Gepubliceerd in Privacy First in de media

Met grote zorg heeft Stichting Privacy First kennisgenomen van de nieuwe Corona-noodwet zoals die gisteren door het kabinet is ingediend bij de Tweede Kamer. Privacy First acht deze wet volstrekt overbodig, ondemocratisch, maatschappelijk ontwrichtend en juridisch onrechtmatig. Hieronder zal Privacy First dit kort toelichten.

Geen nood, dus geen grond voor noodwetgeving

Bij de indiening van noodwetgeving dient allereerst sprake te zijn van een noodsituatie. Het Corona-virus lijkt inmiddels echter grotendeels uit de Nederlandse samenleving verdwenen. Er is in Nederland allang geen sprake meer van een (dreigende) noodsituatie qua zorgcapaciteit. Dus bestaat er geen enkele aanleiding voor het indienen (laat staan parlementair behandelen en goedkeuren) van de Corona-noodwet zoals die vandaag door het kabinet bij het parlement is ingediend. Naar verwachting zal deze situatie ook niet veranderen. Privacy First adviseert de Tweede Kamer daarom om deze noodwet te verwerpen.

In plaats van invoering nieuwe noodwet dienen huidige noodverordeningen te worden ingetrokken

De huidige noodverordeningen zijn reeds te lang van kracht, zijn ondemocratisch en ongrondwettelijk. Zowel de gemeenteraden als het parlement staan hierbij buitenspel. Onlangs betoogde Privacy First daarom in de Telegraaf dat alle noodverordeningen per direct dienen te worden ingetrokken. Vervolgens dient het huidige stelsel van noodverordeningen te worden geanalyseerd en gedemocratiseerd. Een eventuele nieuwe lockdown zou wettelijk alleen mogelijk moeten zijn als tenminste 75% van beide Kamers ermee instemt.

Corona-crisis vergt een gerichte aanpak op lokaal i.p.v. nationaal niveau

Het Corona-virus laat zich niet bestrijden met een “one size fits all” maatregel zoals de voorgestelde noodwet. Zoals ook in Duitsland steeds vaker wordt betoogd vergt dit geen eenzijdige nationale wetgeving, maar specifieke, tijdelijke ingrepen op lokaal niveau, mits strikt noodzakelijk en proportioneel, met lokale democratische goedkeuring vooraf en de mogelijkheid van toetsing door de rechter.

Noodwet is in strijd met de Grondwet en mensenrechten

De eerste concept-versie van de noodwet was een juridisch gedrocht dat de toets aan de Grondwet en de mensenrechten (waaronder het recht op privacy, het huisrecht en de vrijheid van beweging) op geen enkele wijze kon doorstaan. Dit heeft in de maatschappij terecht tot grote onrust, weerstand en rechtszaken geleid. Desondanks maakt het kabinet nu geen pas op de plaats, maar drukt haar totalitaire noodwet-agenda onverminderd door. Privacy First verwacht dat dit de bestaande maatschappelijke onrust verder zal aanwakkeren en zich als een veenbrand door onze samenleving zal blijven verspreiden. Door de nieuwe noodwet dreigen immers nog steeds de volgende draconische maatregelen:

- Juridisch verplichte “veilige afstand” tussen vrijwel iedereen die niet op hetzelfde adres woont. Volstrekt onnodig dreigt hierdoor de “anderhalvemetersamenleving” juridisch verankerd te worden. Dit kan onze samenleving duurzaam ontwrichten. Dit terwijl de ervaring inmiddels leert dat een vrijwillig beroep op de sociale verantwoordelijkheid van mensen ruim voldoende is.

- Regeren per decreet door de minister(s). In de voorgestelde noodwet wordt dit de standaard praktijk en wordt het parlement grotendeels vleugellam gemaakt (zie o.a. art. 58c en bijbehorende toelichting). Dit geldt zelfs voor kwesties die buiten de noodwet vallen. In art. 58s wordt dit eufemistisch een “vangnet” genoemd: “Indien zich een omstandigheid voordoet waarvoor de (...) geldende maatregelen niet toereikend zijn, kunnen bij ministeriële regeling andere maatregelen worden genomen die de kans op verspreiding van het [Coronavirus] redelijkerwijze beperken.” Dit vormt simpelweg een recept voor toekomstig machtsmisbruik op een breed scala aan onderwerpen. 

- Verbod op groepsvorming, evenementen, verplichte hygiënemaatregelen en beschermingsmiddelen, beroepsverboden, verbod op personenvervoer, onderwijs, kinderopvang etc.

- Alles op straffe van hoge boetes en een strafblad.

- De beruchte Corona-app staat weliswaar niet meer in de nieuwe noodwet, maar zal in een apart wetsvoorstel alsnog juridisch verankerd worden. Daarmee blijft de dreiging van massale invoering van deze surveillance app onverminderd hoog.

Privacy First zal alle noodzakelijke maatregelen tegen deze noodwet treffen

Privacy First zal allereerst langs politieke weg de ingediende noodwet verder onschadelijk trachten te maken. In coalitie met andere relevante organisaties zal Privacy First tevens de mogelijkheden verkennen om eventuele inwerkingtreding van deze noodwet juridisch te verhinderen of de noodwet buiten werking te laten stellen.

Gepubliceerd in Wetgeving

Deze week vond in de Eerste Kamer een zeer kritische deskundigenbijeenkomst plaats over een relatief complex maar belangrijk onderwerp: de nieuwe Wet digitale overheid. Door deze wet zal o.a. het verouderde DigiD vervangen worden door nieuwe digitale eID-middelen voor burgers om bij de overheid te kunnen inloggen en zaken te kunnen regelen. Aan de huidige opzet van de nieuwe wet en de bijbehorende infrastructuur kleven echter een aantal privacyrisico's. De Eerste Kamer had daarom Privacy First voor deze gelegenheid uitgenodigd om een position paper in te dienen en spreker te zijn. Klik HIER voor het volledige programma, alle sprekers en position papers. Hieronder volgt de volledige tekst van onze inbreng en het videoverslag van de gehele bijeenkomst:

Position paper:

Geachte Kamerleden,

Dank voor uw uitnodiging om deel te nemen aan de deskundigenbijeenkomst over de Wet digitale overheid (Wdo). Stichting Privacy First heeft een aantal kritische kanttekeningen bij deze wet. Hieronder zullen wij dit kort uiteenzetten.

Allereerst wil Privacy First in dit verband graag benadrukken dat burgers te allen tijde het recht hebben, en zullen moeten blijven hebben, om langs niet-digitale weg met de overheid te communiceren of zaken te doen, hetzij telefonisch, op papier of in persoon. Voor grote groepen in de samenleving is en blijft dit cruciaal voor hun maatschappelijke participatie. Bovendien biedt de ‘klassieke’ analoge ruimte vaak betere privacybescherming dan het digitale domein.

Dit brengt ons op ons voornaamste punt van zorg inzake de Wet digitale overheid, namelijk eID. Bij een gecentraliseerde infrastructuur kunnen eID-bedrijven die de certificaten (sleutels) verstrekken precies zien waar mensen inloggen. Daarnaast zijn er certificaten (digitale handtekeningen) voor het ondertekenen van documenten en bestaat het risico dat bedrijven exact kunnen weten welke documenten mensen ondertekenen. Dit leidt tot talloze privacyrisico’s, zeker waar het privacygevoelige transacties (en dus gevoelige persoonsgegevens) betreft. Wat is het verdienmodel van deze bedrijven? En wat kunnen zij doen met al deze gegevens, ook via platforms zoals Facebook en Google?

Dit pleit voor een decentrale i.p.v. centrale architectuur met dataminimalisatie en privacy by design. Dat brengt ons op een actueel onderwerp dat bij deze wet van belang is, namelijk de invoering van een op attributen gebaseerd stelsel naast het eID-stelsel. Biedt de huidige Wdo meer controle over het afschermen van persoonsidentificatiegegevens en beschermt het de privacy van de burger? Ons antwoord is nee. In 2017 was men daar dichterbij dan nu. De Wdo kent een lange aanloop en is van een uitwerking van een infrastructuur voor digitale overheidsdienstverlening versmald tot een “Wet op de inlogmiddelen”. In 2017 was het streven nog deels om te komen tot een raamwet voor een op attributen gebaseerd stelsel. In de eerdere versie van de wet werd daarom nog duidelijk onderscheid gemaakt tussen identificatie/authenticatiediensten enerzijds en attributendiensten anderzijds. De definitie was eens: “De attributendienst is een partij die ten behoeve van elektronische dienstverlening een verklaring afgeeft over bepaalde kenmerken of gegevens van een natuurlijke persoon (bijvoorbeeld leeftijd of beroep) of een rechtspersoon (bijvoorbeeld erkend bedrijf).”

Tevens zou deze dienst zowel door een overheidsorganisatie als door een private partij geleverd kunnen worden en moest er iets worden geregeld voor erkenning. Men stelde in de Memorie van Toelichting: “Aan attributendiensten worden in op basis van dit wetsvoorstel vast te stellen uitvoeringsregelgeving technische en organisatorische eisen gesteld en er wordt voorzien in een erkenningsstelsel, op gelijke wijze als bij authenticatiediensten. Op dit moment zijn er nog geen publieke en private attributendiensten operationeel, maar met uitbreiding van de digitale dienstverlening zal ook de behoefte aan elektronische ondersteuning van deze functie toenemen. Deze attributendiensten kunnen publiek of privaat zijn. Te denken valt bijvoorbeeld aan een generieke attributendienst die leeftijdsverificatie mogelijk maakt op basis van de basisregistratie personen. Tot nu toe verrichten publieke dienstverleners waar nodig zelf de leeftijdscontrole aan de hand van de eigen klantadministratie (die in de regel is afgeleid van de BRP). Het wetsvoorstel bevat een basis voor het stellen van technische en organisatorische eisen aan publieke en private attributendiensten. Of in de toekomst behoefte bestaat aan een publieke attributendiensten is nog onderwerp van onderzoek.”

De realisatie van die toekomst en behoefte lijkt nu te zijn geblokkeerd. Terwijl die behoefte er inmiddels vooral bij gemeenten wel is. Ook zij waren in 2017 nog overtuigd dat je iemand niet hoefde te identificeren om deel te nemen aan, bijvoorbeeld, een online peiling. De huidige Wdo ondersteunt dat echter niet. De definitie van attributendienst is immers geschrapt uit de Wet en op grond van art. 12 Wdo is de ministeriële aanwijsbevoegdheid beperkt tot het aanwijzen van een attribuut dat naar het oordeel van de Minister van belang is voor de identificatie van ondernemingen of rechtspersonen.

Het idee dat kenmerken/attributen een belangrijke rol spelen in het terugdringen van de online-identificatiedrift van publieke organisaties is in zijn geheel verloren gegaan. Qua privacy en dataminimalisatie is dit een grote misser. Dikwijls volstaat immers dat ik aantoon wat ik ben (inwoner van Amsterdam) in plaats van wie ik ben op basis van mijn BSN. In de huidige afgeslankte Wdo ontbreekt hiervoor het wettelijke kader. Alles is gericht op authenticatie en het verstrekken van persoonsidentificatiegegevens. Dit terwijl de wet eerder wel ruimte bood om met attributen toegang te krijgen tot digitale dienstverlening. Een actueel voorbeeld hiervan is overigens IRMA, dat begin 2018 de allereerste Nederlandse Privacy Award won.

Deze wet is dus een gemiste kans om als aanvulling op de eIDAS-verordening te dienen en een op attributen gebaseerd privacy-centrisch eID-stelsel in Nederland neer te zetten. Integendeel: met deze wet worden met een waaier aan regelingen juist hoge drempels opgeworpen voor private partijen (waaronder stichtingen) om goede, privacyvriendelijke middelen en voorzieningen te laten erkennen en aan te bieden aan burgers.

Privacy First betreurt dit en hoopt dat uw Kamer hier alsnog positieve veranderingen in zal kunnen bewerkstelligen.

Hoogachtend,

Stichting Privacy First

Mondelinge toelichting:

Geachte Kamerleden,

Nogmaals dank voor uw uitnodiging om aan deze bijeenkomst deel te nemen. Onze voornaamste punten van kritiek op de huidige Wet digitale overheid hebben wij reeds uiteengezet in onze position paper. Kort gezegd gaat het daarbij voornamelijk om de kwetsbaarheden en privacyrisico’s van het nieuwe eID-stelsel, waaronder de volgende aspecten:

- De centrale i.p.v. decentrale opzet van de infrastructuur. Over het algemeen is een centrale opzet riskanter en onveiliger dan een decentrale architectuur. Een decentrale opzet is ook meer in lijn met moderne privacyvereisten zoals dataminimalisatie en privacy by design. Bovendien leent dit zich minder goed voor grootschalige hacks of heimelijke toegang, massale datalekken en function creep, oftewel sluipende doelverschuiving. Niet voor niets is er de laatste jaren in diverse gevoelige domeinen een ontwikkeling van centrale naar decentrale infrastructuren zichtbaar, bijvoorbeeld op het terrein van biometrie en in de medische wereld. Ook bij een uitermate gevoelig persoonsgegeven als het BSN en allerlei gevoelige transacties tussen burgers, bedrijven en overheden zou dus bij uitstek voor een decentrale opzet gekozen moeten worden. Dat zou ook meer passen bij het idee van informationele zelfbeschikking en de slogan ‘Regie op gegevens’ van het ministerie van Binnenlandse Zaken zelf.

- In dit verband is het een gemiste kans dat het wettelijk kader tot op heden onvoldoende gebaseerd is op een stelsel dat werkt aan de hand van minimale attributen (d.w.z. relevante kenmerken) van personen i.p.v volledige identificatie waarbij veel meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Een actueel voorbeeld van een dergelijk privacyvriendelijk alternatief is IRMA (I Reveal My Attributes) dat op 28 januari 2018, de Europese Dag van de Privacy, de allereerste Nederlandse Privacy Award won. Vanuit gemeenten, en wellicht ook andere overheden, lijkt daar ook steeds meer behoefte aan. Waarom wordt dit tot op heden niet wettelijk gefaciliteerd?

- Een ander aspect dat wij in onze position paper abusievelijk onvermeld hadden gelaten, is dat eID-middelen open source dienen te zijn. Dat is immers de meest effectieve manier om onbetrouwbare partijen buiten de deur te houden en de veiligheid en privacy te waarborgen. Open source zou daarom als harde eis toegevoegd moeten worden voor de toelating van eID-middelen.

- Tevens zouden wij hier graag nogmaals willen benadrukken dat het eID-stelsel zoals nu in de Wet digitale overheid beoogd is, per definitie enorme risico’s voor de privacy van burgers teweeg zal brengen, gezien de commerciële aard van nieuwe eID-aanbieders, waaronder techbedrijven met dubieuze businessmodellen en schimmige profileringspraktijken. Deze risico’s lijken in dit wetstraject nog niet te zijn geadresseerd. Dit dient alsnog op democratische en toekomstbestendige wijze te gebeuren op het niveau van de parlementaire wet zelf en niet in lagere, bestuurlijke regelgeving.

Dank voor uw aandacht.

(...)

Tijdens de bijeenkomst werden door de Kamerleden talloze kritische vragen gesteld, zie onderstaand videoverslag. Mede naar aanleiding van deze bijeenkomst is de Eerste Kamer voornemens om de verdere behandeling van de Wet digitale overheid tot na de zomer uit te stellen.

Gepubliceerd in Wetgeving
maandag, 29 juni 2020 10:30

Grondrechten van burgers op het spel

Opiniestuk Telegraaf

De noodwet die het kabinet wil invoeren ondermijnt de grondwettelijke rechten van burgers en is daardoor volledig buitensporig. Het zogenoemde dashboard, aangestuurd door technocraten in plaats van democraten, zet de maatregelen om in permanente noodwetgeving. Waar ging de lockdown ook al weer over? Over capaciteitsvergroting in de gezondheidszorg. Over 'samen'. Niet over dwang en controle.

Over de uitgangspunten is geen brede maatschappelijke discussie geweest en de basis is nog steeds het nieuwe abnormaal: social distancing en de anderhalvemetersamenleving. Tevens gaat de wet uit van gewenste of verplichte “sociale gedragsregels”. Welke gedragsregels zijn dat? En van wie? Alsof alle 17 miljoen Nederlanders hier consensus over hebben.

Willekeur

Door het ministerieel decreet is deze wet onderhevig aan totale willekeur, op elk moment. Als de “gedragsregel” morgen is dat wij in zwembroek naar ons werk moeten komen, dan moeten we morgen in zwembroek naar ons werk. Ook biedt het decreet aan de repressiekant een open einde voor machtsmisbruik.

Naast het uitschakelen van het democratisch proces geeft deze wet tevens ruim baan aan het RIVM, dat weer de lijn van wereldgezondheidsorganisatie WHO volgt. De WHO is veel legitimiteit kwijt vanwege agendakaping door roofkapitalisten en staatsregimes, het uittreden van de VS en het klakkeloos opvolgen van resultaten uit frauduleuze onderzoeken in de vakliteratuur. Er is nog maar één waarheid: die van de ongekozen WHO. Geen prettig vooruitzicht als dat de norm wordt, vastgelegd in wetgeving.

Het kabinet claimt dat de crisis alleen onder bedwang kan worden gehouden vanuit de toepassing van informatietechnologie en apps. Maar de corona-app kan uitmonden in een sociale deug-app, een toekomstig biometrisch paspoort dat bepaalt waar je wel en niet welkom bent. Het is de voorkant van een digitale controle-infrastructuur. De minister werkt nu samen met Apple, Google en de Belastingdienst. Worden er automatische 1,5-meterboetes voorbereid op basis van locatiegegevens van de grootste privacyschenders van de afgelopen jaren? En dat met de vervalbepaling van liefst een jaar?

Huisvrederecht

In de praktijk betekent deze voorgestelde wet dat het huisvrederecht wordt opgeheven en de bevoegdheden van ambtenaren (lees BOA’s) verder uitgebreid. Iedereen die niet de bewoner is, kan worden opgepakt, beboet of weggestuurd. Ook omstandigheden in het huis kunnen aanleiding zijn tot optreden.

De wet gaat verder uit van diverse verboden op samenkomsten, bezoeken afleggen, reizen, verblijven tot en met het verbieden van handen schudden! Verder zijn er tal van mogelijke eisen aan beschermende middelen en hygiëne, mogelijk uit te breiden naar (verplichte) quarantaine, behandelingen en vaccinatie.

Ondemocratisch

De noodverordeningen zijn al veel te lang van kracht, in strijd met de Grondwet en ondemocratisch. Zowel de gemeenteraden als het parlement staan buitenspel. Dus: hef alle noodverordeningen per direct op, analyseer de tekortkomingen, maak er beleid op en democratiseer dat. En maak een eventuele nieuwe lockdown wettelijk alleen mogelijk als 75% van de Kamer ermee instemt.

Uitstel moet afstel worden.

Wie gaat slapen in een democratie, kan wakker worden in een dictatuur.

Bas Filippini,
voorzitter Privacy First

Gepubliceerd in de zaterdageditie van De Telegraaf, 27 juni 2020: https://www.telegraaf.nl/watuzegt/2035082270/grondrechten-van-burgers-op-het-spel.

Gepubliceerd in Columns

Begin 2021 worden door Stichting Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt.

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd kunnen worden:

  1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

  2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

  3. categorie Overheidsdiensten (van de overheid voor burgers)

  4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

“De Coronacrisis laat zien, naast natuurlijk gezondheid en zorg, hoe actueel het belang van zorgvuldige omgang met persoonsgegevens is. Technische mogelijkheden, politieke ambities, commercieel streven en zorgwensen moeten voortdurend tegen het licht gehouden worden qua privacy. Niet omdat we tegen ontwikkeling zijn, maar omdat die respect voor de persoonlijke levenssfeer moet hebben. Deze positieve en constructieve benadering van privacy is de essentie van de Nederlandse Privacy Awards”, aldus Wilmar Hendriks, voorzitter van de jury.


Voorwaarden voor deelname

Voorwaarde voor deelname is dat u reeds met uw privacy-innovatie aan de slag bent. U bent de ideefase voorbij en kunt al iets van het project in uitvoering laten zien. U zorgt met uw project voor inspiratie bij andere organisaties waardoor privacy niet wordt gezien als een belemmering, maar als een kans!

De eerste selectie bestaat uit een screening waarop met de volgende zaken wordt omgegaan:

Ten aanzien van het product, proces of dienst:

Waardering van privacy

De Nederlandse Privacy Awards zijn gericht op een positieve(re) waardering van gegevensbescherming. Het product, proces of dienst levert hierop merkbare toegevoegde waarde.

Maatschappelijke impact

In hoeverre draagt het product, proces of dienst merkbaar bij aan de privacybescherming van de consument/gebruiker/burger? Staat de betrokkene hierin centraal? Welke maatschappelijke waarde wordt hiermee ondersteund? Is daarbij aandacht voor ethische aspecten en de maatschappelijke impact?

Innovatief vermogen

Is of biedt het product, proces of dienst een noviteit op privacygebied en heeft het zich in de markt nog niet uitgebreid technisch en/of commercieel bewezen? Is het voldoende innovatief en onderscheidend van bestaande commerciële producten of diensten of maatschappelijke dienstverlening?

Zelfredzaamheid

Is het product, proces of dienst binnen een reële termijn (ca 3 jaar) economisch realiseerbaar? Is er een businessmodel? Voor overheidsgerelateerde inzendingen: is er voldoende politiek, bestuurlijk en maatschappelijk draagvlak (te realiseren)?

Risicoanalyse

Is voor het product, proces of dienst een risico-analyse uitgevoerd (uitgaande van de (beoogde) verwerking)? Zijn daarbij waar nodig mitigerende maatregelen genomen? Welke?

Ten aanzien van de inzendende organisatie:

Privacyverantwoordelijke

Heeft de inzendende organisatie een FG (als dit verplicht is) of is er een privacyadviseur?

Privacy policy

Wordt een privacy policy gecommuniceerd en toegepast wanneer persoonsgegevens worden verwerkt?

Privacy awareness

Is privacy awareness herkenbaar in de beginselen van de organisatie? In hoeverre worden stakeholders betrokken bij ontwikkeling, ontwerp en uitvoering?


Bepalen van de genomineerden

Organisaties kunnen zich t/m 1 oktober 2020 aanmelden voor de Awards door een email met korte toelichting over het betreffende Privacy Project en antwoord op bovengenoemde criteria te sturen naar Privacy First via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.Medio december 2020 hoort u of u tot de genomineerden behoort. De mogelijkheid bestaat dat de jury een aangekondigd (vertrouwelijk) bedrijfsbezoek aan de genomineerden zal brengen. Indien u genomineerd wordt ontvangt u van Privacy First tevens een uitnodiging om een korte pitch tijdens de Awards-uitreiking voor te bereiden. 


Voorschriften pitch

● Maximaal 3 minuten

● U gebruikt een Powerpoint presentatie (maximaal 3 sheets)

● De presentatie bevat in ieder geval de volgende onderdelen:

   o Organisatienaam

   o Privacy project omschrijving

   o Doel en behaalde resultaten.


Jury

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

> Wilmar Hendriks, founder Control Privacy en lid Raad van Advies Privacy First (jury-voorzitter)
> Bas Filippini, oprichter en voorzitter Privacy First
> Paul Korremans, data protection & security professional, Comfort Information Architects, tevens bestuurslid Privacy First 
> Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
> Alex Commandeur, senior adviseur BMC Advies
> Melanie Rieback, CEO en co-founder Radically Open Security
> Nico Mookhoek, privacy jurist en eigenaar NMLA
> Piek Visser-Knijff, data-ethicus en eigenaar Filosofie in actie
> Rion Rijker, privacy en informatiebeveiliging expert en IT-jurist, partner Fresa Consulting.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie of een organisatie waar een jurylid een belang bij heeft.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u graag (media)partner of sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

FG7A4979m

Gepubliceerd in Nederlandse Privacy Awards

Op zondag 21 juni 2020 werd op het Malieveld in Den Haag door de groepering Viruswaarheid.nl een grootschalig protest tegen de Corona-noodwetgeving georganiseerd. Vele duizenden mensen waren van plan om hier vreedzaam voor hun vrijheid te komen demonstreren. Ondanks een onterecht verbod op deze demonstratie gaven diverse sprekers die voor deze gelegenheid waren uitgenodigd alsnog acte de présence, waaronder Privacy First voorzitter Bas Filippini. Bekijk hieronder zijn gehele toespraak. In de aanloop naar deze demonstratie verscheen Privacy First tevens in het NOS Journaal.

Privacy First zal zich met alle politieke en juridische middelen blijven verzetten tegen totalitaire noodwetgeving, waaronder de Corona-spoedwet. Steunt u ons hierin? Wordt dan donateur van Privacy First!

Update 10 augustus 2020: klik hier voor de Engelstalig nagesynchroniseerde versie van de toespraak.

Gepubliceerd in Wetgeving

Aankomende dinsdag 16 juni 2020 staat op de agenda van de Eerste Kamer het aannemen van de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’: https://www.eerstekamer.nl/wetsvoorstel/35179_implementatiewet_registratie . Die wet wijzigt onder andere de Handelsregisterwet 2007. In het Handelsregister van de KvK komt dan informatie over de uiteindelijk belanghebbende (‘ultimate beneficial owners’ / ‘UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Deze informatie wordt dan dus openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.

Europese richtlijn

Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel.

Massale privacyschending

Hierbij rijst de vraag of het middel het doel niet voorbijschiet. Het openbaar maken van de persoonsgegevens van UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. Het allergrootste deel van de UBO’s heeft immers niets te maken met witwassen of financiering van terrorisme. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor de overheidsdiensten die zich bezig houden met de bestrijding van witwassen en de bestrijding van de financiering van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken.

De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is: https://edps.europa.eu/sites/edp/files/publication/17-02-02_opinion_aml_en.pdf . Maar dat oordeel heeft niet geleid tot aanpassing van de Richtlijn.

Juridische stappen

Privacy First overweegt om juridische stappen tegen het UBO-register te nemen wegens schending van het Europees privacyrecht. Zou u (of uw organisatie) graag als mede-eiser aan een dergelijke rechtszaak tegen het UBO-register willen deelnemen of Privacy First hierin financieel willen steunen? Neem dan contact met ons op of wordt donateur!

Gepubliceerd in Wetgeving

Hoe digitaliseren we de uitwisseling van medische gegevens? Die vraag speelt nu ongeveer vijftien jaar. Voor het eerst heeft de Minister een pragmatische, doordachte en integrale analyse gemaakt van wat er werkelijk nodig is om dit te bereiken. Op hoofdlijnen acht Privacy First dit wetsvoorstel het beste dat we ooit op dit dossier hebben gezien. In de uitwerking zien we nog wel risico’s.

Het succes zal afhangen van het doorzettingsvermogen van het Ministerie van VWS en de mate waarin het in staat is partijen in het zorgveld voorbij hun eigen horizon te laten kijken.

De behandelrelatie staat centraal

Op aangeven van de Patiëntenfederatie besloot Minister Schippers eind 2015 tot ‘regie voor de patiënt’ in het medisch dossier.

Privacy First acht het 'centraal stellen van de patiënt' een fundamentele denkfout. Het doet te weinig recht aan de meerwaarde die een zorgverlener biedt en diens verantwoordelijkheid in het bewaken van de kwaliteit van de zorg. Het is het zorgproces dat centraal dient te staan. Arts en patiënt voeren samen, in onderling vertrouwen, de regie.

Tot onze opluchting slaat de Minister met dit wetsvoorstel een andere weg in (zie concept-memorie van toelichting §2.3.4, p.11). De behandelrelatie wordt de voornaamste grondslag voor de uitwisseling van gegevens, in lijn met het zorgproces en de WGBO. Dit biedt enorme kansen voor een efficiënte en effectieve uitwisseling van gegevens, met de best denkbare privacybescherming.

Patiënten worden verlost van het bijhouden van toestemmingen en het belang van het kopiëren van gegevens naar een PGO neemt af.

Decentrale uitwisseling van gegevens

Het verzet van Privacy First heeft zich de afgelopen jaren vooral gericht tegen de gecentraliseerde wijze waarop de toegang tot medische gegevens is geregeld.

De concept-memorie van toelichting stelt (3.3.2, p.11):

"de norm mag er niet toe leiden dat het uitwisselen van gegevens enkel kan via een elektronisch uitwisselingssysteem als bedoeld in de Wabvpz (art 15a, red.)."

Met deze wet krijgen patiënten straks de keuze voor een decentraal alternatief dat de uitwisseling van medische gegevens eenvoudiger, efficiënter, doelmatiger, veiliger en privacyvriendelijk maakt. Privacy First acht het cruciaal dat de Minister recente initiatieven van marktpartijen (zoals NUTS en Whitebox) gaat ondersteunen, zodat een open en vrij te gebruiken standaard ontstaat.

Trage normering en certificering via NEN

Het ontwikkelen van een NEN-norm is een zwaar geprotocolleerd proces met doorgaans een doorlooptijd van enkele jaren. De NEN-normeringsprocedures kenmerken zich ook niet door grote openheid; hoe bijvoorbeeld werkt het proces van benoemingen van de diverse commissies die in het wetsvoorstel genoemd worden?

Bovendien kunnen de NEN-normeringsprocessen onderdeel van lobby’s worden. Grote geïnstitutionaliseerde IT-leveranciers hebben meer invloed op dit proces en zullen hun dominante marktpositie willen behouden. De vraag is of elke belanghebbende organisatie (zoals burgerrechtenorganisaties, universiteiten en kleinere IT-bedrijven) afdoende bij kan dragen aan de normeringsprocessen.

Het Ministerie zal erop moeten toezien dat de normering een open en transparant proces is, waarin over de volledige breedte van het speelveld stakeholders betrokken worden bij de ontwikkeling van technische standaarden.

Daarnaast wordt software 'agile' ontwikkeld. Korte tijden tussen verschillende releases stellen ontwikkelaars in staat zich aan te passen aan nieuwe technologische ontwikkelingen. Complexe, of te gedetailleerde certificeringseisen kunnen hierdoor innovatie belemmeren. Hierover zou de memorie van toelichting meer duidelijkheid moeten bieden.

De ‘spoedsituatie’ ontbreekt in de wet

Zorgverlening vindt doorgaans plaats op basis van een doorverwijzing: er is een behandelrelatie conform de WGBO. De enige uitzondering op die regel is de 'spoedsituatie'. Belandt een patiënt op de Spoedeisende Hulp (SEH), dan is er nog geen behandelrelatie en derhalve geen grondslag voor toegang tot medische gegevens.

De Minister heeft deze situatie buiten het wetsvoorstel gehouden. In zijn brief van 20 december 2019 wordt duidelijk dat hij geen alternatief heeft voor het gebruik van een gecentraliseerd systeem (zoals het Landelijk Schakelpunt, LSP), met alle risico’s van dien. Een vergelijkbare aanpak zien we nu met de COVID-19 opt-out (door het Ministerie eufemistisch “opt-in” genoemd), waardoor iedere patiënt alsnog standaard in het LSP is opgenomen.

Privacy First vindt deze situatie bijzonder zorgelijk, vooral omdat dit voor patiënten betekent dat zij alsnog (indirect) gedwongen worden deel te nemen aan een ‘uitwisselingssysteem’, zoals bedoeld in Art 15a Wabvpz.

Een alternatieve oplossing met gebruik van een uitgeprinte toegangscode is eenvoudiger, veiliger, goedkoper, privacyvriendelijk en te combineren met zowel een decentrale als een gecentraliseerde architectuur. Alleen de patiënt en het systeem van de arts kennen de code en bij verlies kan eenvoudig een nieuwe worden aangemaakt. Wie toegang heeft tot het spoeddossier en wat daarin staat, kan worden ingesteld in het systeem van de arts.

Minimaal dient dit gat in de wet te worden gedicht, door de ‘spoedsituatie’ expliciet op te nemen in de memorie van Toelichting (§3.3.2, p.11).

De volledige inbreng van Privacy First bij het concept-wetsvoorstel staat op de website internetconsultatie.nl.

Gepubliceerd in Medische privacy

Column

In een eerdere column heb ik aangegeven dat deze draconische noodwet de grondwettelijke rechten van burgers ondermijnt en middels een dashboard, aangestuurd door technocraten in plaats van democraten, omgezet wordt in permanente noodwetgeving.

Nederland na 1 juli conform het kabinet:

Jan heeft een verjaardagspartijtje en nodigt zijn ouders, vrienden en bekenden uit. In de supermarkt maakt hij een praatje met een bekende, die zijn app wil checken alvorens het gesprek aan te gaan. Jan voelt zich sociaal onder druk gezet om ook een app te installeren. Buitengekomen krijgt hij van een BOA twee bekeuringen: één voor het schenden van de 1,5 meter en de andere voor het geven van een hand aan een andere bekende die hij tegenkwam. Tevens wordt hem gewezen op zijn leeftijd: hij valt in een risico-categorie.

Hij moet in quarantaine want er verschijnt een rood signaal op zijn net geïnstalleerde app. Hij mag niet meer reizen op straffe van een boete. Hij gaat toch nog even naar het verzorgingstehuis waar zijn ouders zitten maar daar wordt hem de toegang geweigerd. 's Avonds op de borrel thuis wordt aangebeld door twee BOA’s, die uitgerust met wapenstok en pepperspray zijn woning ingaan om te controleren of iedereen zich aan de regels houdt. Aangezien dat niet het geval is krijgen alle aanwezigen een bekeuring en Jan als organisator op de besloten plaats (zijn eigen huis) een zwaardere boete of 2 maanden celstraf. Allen hebben nu een strafblad. Iedereen die geen bewoner is moet vertrekken. Ook zijn nieuwe vriendin, die immers niet in het huis woont en zijn kinderen die bij zijn ex staan ingeschreven.

Heerlijk! Allemaal bij wet geregeld. Wat een geruststelling. Staatsterrorisme.

De eerste opzet van de nieuwe noodwet is schokkend. Enerzijds vanwege het amateurisme in de wetgevingsteksten (afgelopen 10 jaar heb ik niet eerder dergelijk broddelwerk gezien) en anderzijds vanwege de uitgangspunten en inhoud. Het start al met de uitgangspunten, welke veelal gebaseerd zijn op de waan van de dag en niet in het licht staan van onze democratische staatsinrichting:

  • Het classificeren van de huidige epidemie als klasse A epidemie. Wellicht gold dat een aantal maanden geleden. Inmiddels is dit op basis van de huidige ervaringscijfers en ontwikkelingen totaal geen proportionele stelling. Gezien het feit dat de besluitvorming in de Taskforce geheim is en er geen Wob-verzoeken worden ingewilligd is er sprake van willekeur in de aanpak en classificatie.
  • De Orwelliaanse framing inzake social distancing als basis voor “sociale (gewenste) gedragsregels”. Notabene social responsibility onder de burgers heeft de uitbraak onder controle gebracht. Deze wet gaat dus nog steeds uit van de Newspeak anderhalve-meter-samenleving die extreme beperking van de bewegingsvrijheid in onze samenleving tot gevolg heeft.
  • De mogelijkheid inzake flexibel meebewegen en aanpassen aan de situatie onder ministerieel decreet, dus buiten de parlementaire checks en balances. Dit biedt aan de repressiekant een carte blanche voor machtsmisbruik en “function creep”, met andere woorden het steeds verder oprekken van de bevoegdheden en repressie.
  • De centrale en benoemde rol van het RIVM in deze wet en indirect de WHO. De WHO, die meerdere foute inschattingen heeft gemaakt en waarvan de legitimiteit steeds meer ontbreekt door de invloed van enkele grote geldschieters uit dictatoriale regimes en de industrie alsmede de uittreding van de VS. Met als gevolg richtlijnen gebaseerd op bijvoorbeeld een frauduleuze en teruggetrokken publicatie in The Lancet inzake mogelijke goedkope medicijnen. De WHO richtlijnen, door enkelen bepaald, worden op deze wijze direct omgezet in onze wetgeving.
  • De claim dat de crisis vooral onder bedwang is vanuit de toepassing en inzet van digitale (ondersteunende) middelen in plaats van de social responsibility van de burger en de capaciteitsvergroting in de zorg.
  • In de memorie van toelichting vele pagina’s over de Corona-app die er blijkbaar MOET komen. Vanuit de politiek geïnspireerde uitgangspunten is dit de start van een social credit app en dito systeem met uiteindelijk biometrische identificatie als toegangspaspoort naar de maatschappij. Vooral voor reizen en verblijven. Tevens is de app de voorkant van een digitale surveillance infrastructuur.
  • Een vervalbepaling van 1 jaar (!) zodat de noodwetgeving structurele wetgeving wordt.

Vervolgens de zaken die deze wet onder dwang wil afdwingen (gevangenisstraf 1 tot 6 maanden en geldboetes en strafblad):

  • Huisvredebreuk opheffen. Het huis en erf als besloten plaats. Iedereen die niet de bewoner is kan opgepakt en weggestuurd worden. Ook omstandigheden in het huis kunnen aanleiding zijn tot optreden.
  • Uitbreiding en vastlegging bijzondere opsporingsbevoegdheid ambtenaren in de wet geregeld.
  • De risico-inschatting welke nu al tot willekeur en discriminatie leidt, te beginnen met leeftijd met later toevoegingen van andere kenmerken van “gevaar”.
  • Groepsbijeenkomsten waarvan ingeschat wordt dat de “sociale norm” niet gehandhaafd kan worden.
  • Mate en tijdsduur van contact tussen burgers, handen schudden verboden.
  • Reisverbod middels personenvervoer, wellicht uit te breiden met gebruik eigen auto?
  • Bezoekverbod zieken en behoeftigen.
  • Eisen aan beschermende middelen en hygiëne, uit te breiden naar (verplichte) quarantaine, behandelingen en vaccinatie.

Deze wet is een belediging naar alle burgers die vanuit social responsibility weken thuis hebben gezeten om het capaciteitsprobleem in de gezondheidszorg op te lossen (weet u het nog, de reden voor dit alles?). Tevens een belediging naar alle professionele beleidsmakers en rechtswetenschappers die onze rechtsstaat dagelijks vertegenwoordigen en vormgeven. Het bewust aanpassen van wetgeving om structureel de vrijheden van burgers te onderdrukken is staatsterreur en niets anders. Dat is deze wet van dit kabinet: staatsterreur. Ondoordacht en onverantwoordelijk naar de toekomst. Deze wet is fout en stuurt van samen-leving naar apart-leving. Een dergelijke noodwet mag er nooit komen. Dit gaat alleen maar over dwang en controle conform het Chinese model en de afbraak van onze rechtsstaat.

Vanuit deze wet wordt de burger onder andere voor de volgende zaken beboet:

1 maand / geldboete categorie 1

  • 1,5 meter verbod
  • Groepsvorming
  • Publieke plaatsen betreden die niet geopend zijn
  • Deelname aan verboden evenementen.

2 maanden / geldboete categorie 2

  • Overtreding organisatoren in publieke plaatsen
  • Overtreding houders van evenementen
  • Hygiëne/beschermingsovertredingen
  • Overtreding op aanvullende beperkende regels die gesteld worden
  • Overtredingen achter de voordeur indien vrees voor besmetting
  • Overtreding van niet-bewoners en uithuiszetting
  • Overtreding woonzorg bezoek
  • Overtreding toegang kinderopvang
  • Overtreding scholensluiting
  • Specifieke bedrijfssluitingen
  • Diverse overtredingen van bedrijven die zich niet aan de regels houden.

3 maanden / geldboete categorie 3

  • Het (onder druk) verplichten van apps die tracen en tracken buiten de GGD om.


Bas Filippini,
voorzitter Privacy First

Gepubliceerd in Columns

Deze week behandelt de Tweede Kamer een "tijdelijke" Corona-noodwet waardoor de bewegingen van iedereen in Nederland voortaan "anoniem" in kaart gebracht kunnen worden. Eerder uitte Privacy First reeds kritiek op dit plan in een uitzending van Nieuwsuur. In vervolg hierop verzond Privacy First vandaag onderstaande brief aan de Tweede Kamer:


Geachte Kamerleden,

Met grote zorg heeft Stichting Privacy First kennisgenomen van het “tijdelijke” wetsvoorstel informatieverstrekking RIVM i.v.m. COVID-19. Privacy First adviseert u om dit wetsvoorstel te verwerpen wegens de volgende fundamentele bezwaren en risico’s:

Strijdig met fundamentele bestuurlijke en privacy principes

- De maatschappelijke noodzaak voor dit wetsvoorstel ontbreekt. Het Corona-virus ebt momenteel immers weg uit de Nederlandse samenleving. Andere vormen van monitoring zijn reeds voldoende effectief gebleken. De noodzaak voor dit wetsvoorstel is niet aangetoond, en net zomin bestaan er voorbeelden uit het buitenland waar toepassing van vergelijkbare technieken een wezenlijke bijdrage leverde.
- Het wetsvoorstel is volstrekt disproportioneel, want het omvat alle telecom-locatiedata in heel Nederland. Van enige differentiatie is geen sprake. Hetzelfde geldt voor dataminimalisatie: een steekproef zou kunnen volstaan.
- Het wetsvoorstel werkt met terugwerkende kracht vanaf 1 januari 2020. Dit is in strijd met de rechtszekerheid en het legaliteitsbeginsel, zeker omdat deze datum ver vóór de Nederlandse ‘start’ van de pandemie ligt (11 maart).
- De in het wetsvoorstel gekozen systematiek van nadere aanwijzingen door de Minister is ronduit ondemocratisch. Het holt de democratische rechtsstaat en toezicht door de volksvertegenwoordiging verder uit.
- In het wetsvoorstel wordt niet gerept over privacy-by-design of hoe dit toegepast zal worden, terwijl dat juist bij dit wetsvoorstel aan de orde zou moeten zijn.

Alternatieven zijn minder invasief: subsidiariteit

- Privacyvriendelijker alternatieven zijn door de staatssecretaris onvoldoende onderzocht. Heeft zij hierin wel interesse?
- Data bij telecomproviders worden gepseudonimiseerd met een uniek ID-nummer en als zodanig aangeleverd bij het CBS. Massale aantallen gevoelige persoonsgegevens worden hierdoor enorm kwetsbaar. Anonimisering door het CBS gebeurt pas in een later stadium.
- De data worden bij gebruik gefilterd op geografische herkomst. Dit creëert een risico van verboden discriminatie naar nationaliteit.
- Onduidelijk is of men de gebruikte data bij CBS of RIVM zal willen “verrijken” met andere data, met function creep (doelverschuiving) en mogelijk data-misbruik tot gevolg.

Transparantie en onafhankelijk toezicht ontbreken

- De Privacy Impact Assessment (PIA) bij het wetsvoorstel is vooralsnog niet openbaar.
- Onafhankelijk toezicht op de maatregelen en effecten (door een rechter of onafhankelijke commissie) ontbreekt.
- De AVG is wellicht slechts deels op het wetsvoorstel van toepassing, aangezien anonieme data en statistieken van de werking van de AVG uitgezonderd zijn. Dit veroorzaakt nieuwe risico’s op data-misbruik, slechte beveiliging, datalekken etc. Algemene privacy-beginselen zouden daarom in elk geval van toepassing verklaard moeten worden.

Structurele wijzigingen en chilling effect

- Dit wetsvoorstel lijkt nu formeel tijdelijk, maar de geschiedenis rond dergelijke wetgeving leert dat het hoogstwaarschijnlijk permanent zal worden.
- Ongeacht de “anonimiteit” van e.e.a. zullen veel mensen zich door dit wetsvoorstel gemonitord gaan wanen en zich onnatuurlijk gaan gedragen. Het risico van een maatschappelijk chilling effect is enorm.

Gebrekkige methode met grote impact

- De effectiviteit van het wetsvoorstel is onbekend. Het wetsvoorstel vormt in wezen dus een massaal experiment. De Nederlandse maatschappij is echter niet bedoeld als levend laboratorium.
- Anonieme data kunnen middels koppeling alsnog herleidbaar blijken. Ook bij de gekozen drempelwaarde van minimaal 15 eenheden per datapunt is het risico van unieke “singling out” en identificatie waarschijnlijk nog steeds te groot.
- Het wetsvoorstel leidt tot valse signalen en blinde vlekken door mensen met meerdere telefoons, kwetsbare groepen zonder telefoon etc.
- Er is een groot risico op function creep (doelverschuiving), heimelijk gebruik en misbruik van data door andere overheidsdiensten (waaronder AIVD), toekomstige overheden, internationale uitwisseling etc.
- Naast het recht op privacy komen ook andere mensenrechten door dit wetsvoorstel onder druk te staan, waaronder de vrijheid van beweging en het recht op demonstratie. Dit wetsvoorstel kan gemakkelijk leiden tot structurele crowd control die niet past in een democratische samenleving.

Specifieke toestemming vooraf

Naast bovenstaande bezwaren en risico’s betwijfelt Privacy First of het gebruik van telecomdata zoals door dit wetsvoorstel beoogd voor telecom-providers überhaupt rechtmatig is. In de optiek van Privacy First zou daartoe tenminste sprake moeten zijn van expliciete, specifieke toestemming vooraf (opt-in) door de klant in kwestie, danwel van de mogelijkheid van een opt-out achteraf en het individuele recht op verwijdering van alle data.

Het is aan u als Kamerleden om onze maatschappij voor dit wetsvoorstel te behoeden. Bij gebreke daarvan behoudt Privacy First zich het recht voor om juridische stappen inzake deze wet te nemen.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

Gepubliceerd in Wetgeving
Pagina 1 van 69

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon