donatieknop english
donderdag, 11 februari 2016 08:11

Politie wil alle computers kunnen hacken

Vandaag vindt in de Tweede Kamer een belangrijke hoorzitting plaats over het wetsvoorstel Computercriminaliteit III. In dit kader leverde Privacy First gisteren kritische inbreng aan relevante Kamerleden. Enkele passages uit onze brief verschenen vanochtend in De Telegraaf, klik HIER. Hieronder de volledige tekst van onze brief (klik HIER voor de originele versie in pdf):

Geachte leden van de Tweede Kamer,

Morgen vindt een hoorzitting plaats over het wetsvoorstel Computercriminaliteit III. Door dit wetsvoorstel dreigt de overheid zelf de grootste cybercrimineel te worden. Privacy First zet hieronder kort uiteen waarom.

Pacemakers hacken

Onder het wetsvoorstel krijgt de politie de bevoegdheid om vrijwel alle computers die op internet aangesloten zijn te kunnen hacken, inclusief smartphones, televisies, fototoestellen, autonavigatie, boordcomputers, medische systemen, etc. etc. De politie wil zelfs pacemakers kunnen hacken, zo blijkt uit p. 86 van de Memorie van Toelichting bij het wetsvoorstel. Geen enkel apparaat wordt uitgesloten. Enige voorwaarde lijkt slechts te zijn dat het betreffende apparaat in verbinding staat met het internet. Met het 'Internet of Things' in zicht (waarbij vrijwel de hele maatschappij op internet aangesloten kan worden, tot en met sportschoenen en koelkasten aan toe) is deze bevoegdheid ronduit totalitair. Het zal dan ook slechts een kwestie van tijd zijn voordat de hackbevoegdheden in dit wetsvoorstel voor allerlei onvoorziene doelen worden gebruikt en misbruikt. Het huidige wetsvoorstel beperkt dit totaal niet en laat er juist alle ruimte toe. Reeds op basis hiervan dient het wetsvoorstel verworpen te worden.

Disaster by legal design

In politiekringen wordt de doelverschuiving (function creep) die in dit wetsvoorstel ingebakken zit juist beoogd, zo weet Privacy First uit betrouwbare bron. Bijvoorbeeld om auto’s op afstand te kunnen hacken en stilzetten (politiefuik op afstand). Technisch is dit prima mogelijk te maken en het wetsvoorstel verbiedt dit ook niet. De risico’s hiervan voor de verkeersveiligheid (met name ook van onschuldige inzittenden en omstanders) zijn echter enorm. Hetzelfde geldt voor computers in ziekenhuizen, industrie, vitale infrastructuur, etc. Waarom legt het wetsvoorstel in dit opzicht geen enkele beperking op?

Noodzaak ontbreekt

De internationaalrechtelijk vereiste “maatschappelijke noodzaak” en proportionaliteit van dit wetsvoorstel zijn ver te zoeken, zo heeft zelfs het doorgaans coulante College Bescherming Persoonsgegevens (nu Autoriteit Persoonsgegevens) begin 2014 terecht gesteld. Vervolgens lag dit controversiële wetsvoorstel enkele jaren stil, maar lijkt nu alsnog opeens door de Tweede Kamer heen te worden gejaagd. Vanwaar opeens deze haast?

Iedere burger vogelvrij

Door dit wetsvoorstel lijkt ieders computer, tablet, smartphone etc. (zelfs in het buitenland!) vogelvrij te worden verklaard. De hackbevoegdheid in het wetsvoorstel beperkt zich immers niet tot de apparatuur van verdachten, maar ook tot daarmee in verbinding staande apparatuur van onschuldige, nietsvermoedende burgers. Iedere burger als potentieel target van de overheid. Hadden we de laatste jaren nu juist niet geleerd dat dit geen heilzame weg is voor een democratische rechtsstaat?

Kruispunt

Nederland staat momenteel op een kruispunt. Welk voorbeeld willen we voor de rest van de wereld zijn? Ons land heeft alle randvoorwaarden om van Nederland een veilig Privacy Gidsland te kunnen maken. Het huidige wetsvoorstel vormt echter een typische bouwsteen voor een politiestaat, niet voor een democratische, op vrijheid en vertrouwen gebaseerde rechtsstaat. Bij de internetconsultatie van een eerdere versie van dit wetsvoorstel in 2013 heeft Privacy First dit ook al gesteld. Afgezien van de latere schrapping van het decryptiebevel uit het wetsvoorstel is het treurig om te moeten constateren dat er sindsdien weinig veranderd is. Privacy First pleit voor privacy by design, niet alleen middels techniek, maar ook middels privacyvriendelijke wetgeving en beleid. Door dit wetsvoorstel raakt de overheid echter gebaat bij suboptimale, door de overheid te kraken ICT-beveiliging. Daarmee zet de overheid koers richting een maatschappij waarin ieders privacy illusoir wordt.

Privacy Impact Assessment ontbreekt

Nog steeds is er bij dit wetsvoorstel geen sprake van een grondige en onafhankelijke Privacy Impact Assessment (PIA). De bijbehorende “PIA” is niet meer dan een oppervlakkig afvinklijstje en is de term PIA niet waard. Ook de privacyparagraaf in de Memorie van Toelichting is flinterdun en slechts bedoeld om het wetsvoorstel te legitimeren. Gezien de veiligheidsrisico’s van dit wetsvoorstel ligt bovendien een Security Impact Assessment voor de hand. Bij deze stand van zaken kan Privacy First dit wetsvoorstel dan ook überhaupt niet serieus nemen.

Tweede Kamer aan zet

Mocht het huidige wetsvoorstel ongewijzigd beide Kamers passeren, dan zal Privacy First niet aarzelen om het door de rechter onrechtmatig te laten verklaren. Het is nu aan de Tweede Kamer om het niet zover te laten komen.

Gepubliceerd in Online Privacy

"Dat klinkt als een sympathieke maatregel, maar niet iedereen is even enthousiast. "Het is een beetje hypocriet."

Vorige week was Reuters kritisch over het optreden van Microsoft in 2011. Twee oud-medewerkers vertelden het persbureau dat ze wisten dat de Chinese overheid onder andere Tibetaanse minderheden aanviel, maar nalieten de desbetreffende mensen in te lichten.

Mede hierdoor maakte Microsoft vandaag bekend gebruikers van haar diensten een melding te zullen sturen als ze worden gehackt door bedrijven of overheden.

Kritisch
Dat klinkt misschien als goed nieuws, maar Vincent Böhre van stichting Privacy First is kritisch. "Vanaf morgen geldt voor Nederlandse bedrijven een meldplicht datalekken. Die houdt in dat een inbraak waarbij persoonsgegevens gestolen of misbruikt worden, gemeld moet worden aan het College bescherming persoonsgegevens (CBP) en bij de klanten om wie het gaat." Bedrijven moeten het dus sowieso al melden als je bent gehackt.

Toegang tot gegevens
Ook over het melden van door overheden uitgevoerde hacks is Böhre sceptisch. "Het is een beetje hypocriet. We vragen ons af of het ook voor onze eigen overheid en andere Westerse overheden zal gelden." Nu heeft bijvoorbeeld de NSA nog gewoon toegang tot gegevens van Microsoft.

Grote ICT-bedrijven als Facebook en Twitter gingen Microsoft voor. Böhre: "Die doen dit inderdaad al jaren, dus vernieuwend is het niet.""

Bron: http://www.bnr.nl/incoming/171660-1512/microsoft-gaat-het-je-vertellen-als-je-wordt-gehackt, 31 december 2015.

Gepubliceerd in Privacy First in de media

"Vier Nederlandse burgerrechtenorganisaties dreigen Facebook voor de rechter te slepen, als het sociale netwerk niet stopt met het verzenden van privégegevens naar de Verenigde Staten.

In een brief aan Facebook-directeur Mark Zuckerberg beklagen onder meer Bits of Freedom en Privacy First zich erover dat het bedrijf zich niet heeft gemengd in de discussie over het afgeschafte Safe Harbor-verdrag tussen de VS en de EU.

In dat dataverdrag maakten de regio's afspraken over de opslag van persoonsgegevens op elkaars grondgebied. Door het Safe Harbor-verdrag konden bedrijven als Facebook, Google en Twitter onder bepaalde voorwaarden gegevens van Europeanen opslaan in de VS.

Het Europees Hof van Justitie besloot onlangs echter dat het verdrag ongeldig is, onder meer omdat de VS onvoldoende bescherming biedt voor Europese persoonsgegevens. De EU en VS zitten momenteel om tafel om een nieuw verdrag op te stellen.

Ondertussen gaat Facebook echter verder met het opslaan van Europese persoonsgegevens op servers in de VS. Het bedrijf beroept zich daarvoor op standaardcontracten, die volgens de schrijvers van de brief ook niet meer geldig zijn.

Dialoog

"Zolang er geen passend beschermingsniveau is in de VS, is doorgifte duidelijk in strijd met het EU-privacyrecht", zegt voorzitter Bas Filippini van Privacy First.

"Wij nodigen Facebook uit om in het openbaar deel te nemen aan een betekenisvolle en transparante dialoog met als doel om een oplossing te vinden", staat in de brief, die Facebook een deadline van 15 januari 2016 stelt voor het vinden van een goede oplossing.

Als dat niet lukt, zeggen de organisaties een kort geding te starten om ervoor te zorgen dat Facebook de doorgifte van gegevens naar de VS helemaal stopt. De eis geldt ook voor de dochterdiensten Instagram en Whatsapp.

Mechanismen

Facebook laat in een reactie weten dat het bedrijf "dezelfde mechanismen als duizenden andere bedrijven in de EU" gebruikt om gegevens "rechtmatig te verstrekken".

"Wij geloven dat een nieuwe Safe Harbor-overeenkomst met adequate en passende waarborgen voor Europese burgers de beste oplossing is voor de ontstane situatie", aldus een woordvoerder van Facebook.

De socialenetwerksite zegt vertrouwen te hebben dat onderhandelingen over een nieuw verdrag door de autoriteiten van de EU en de VS zullen leiden tot een oplossing.

Schrems

Ook de Oostenrijkse rechtenstudent Max Schrems eist in meerdere procedures tegen Facebook dat het bedrijf de privacy van gebruikers beter beschermt, en dat de datadoorgifte aan de VS wordt gestopt. Door een van de klachten van Schrems kwam het Europees Hof tot zijn oordeel over het Safe Harbor-akkoord."

Bron: http://www.nu.nl/internet/4183232/nederlandse-privacy-organisaties-dreigen-facebook-met-rechtszaak.html

Zie ook de volgende nieuwsbronnen:
http://nos.nl/artikel/2075316-facebook-stop-met-opslaan-data-europeanen-in-vs.html
http://www.nrc.nl/nieuws/2015/12/15/nederlandse-organisaties-dreigen-met-rechtzaak-tegen-facebook
http://www.volkskrant.nl/tech/privacyorganisaties-facebook-moet-stoppen-met-datadoorgifte-naar-vs~a4208407/ 
http://www.telegraaf.nl/digitaal/24880159/__Privacyvechters_dreigen_Facebook_met_rechtszaak__.html
http://www.telecompaper.com/nieuws/privacy-organisaties-dreigen-met-proces-tegen-facebook--1119055 
https://www.security.nl/posting/454590/Nederlandse+privacyorganisaties+dreigen+Facebook+met+rechter
http://nieuws.tpo.nl/kort-nieuws/2015/12/15/organisaties-dreigen-facebook-met-rechter/ 
http://tweakers.net/nieuws/106862/privacyorganisaties-sommeren-facebook-te-stoppen-met-datadoorgifte-naar-vs.html
http://www.ravage-webzine.nl/2015/12/15/privacyclubs-stellen-facebook-een-ultimatum/

Gepubliceerd in Privacy First in de media

Vandaag verzoekt Privacy First samen met drie andere Nederlandse mensenrechtenorganisaties en een aantal individuele gebruikers van Facebook, WhatsApp en Instagram aan Mark Zuckerberg om stelling te nemen in het publieke debat over de gevolgen van de uitspraak van het Europese Hof van Justitie in de zaak Schrems.

Het Europese Hof van Justitie vernietigde op 6 oktober 2015 het Safe Harbour-besluit dat de grondslag was voor de doorgifte van persoonsgegevens vanuit de EU naar de VS door Facebook. Het Hof van Justitie oordeelde dat de wetgeving in de VS tekortschiet omdat het geen beschermingsniveau biedt dat vergelijkbaar is met dat in de EU. Zo heeft de NSA toegang tot de Facebook-content van gebruikers in de EU, zonder dat die enige rechtsbescherming hebben. Volgens het Hof van Justitie is dit een inbreuk op de essentie van het fundamentele recht op privacy. Deze problemen zijn nog steeds niet opgelost.

Na de uitspraak is Facebook doorgegaan met de doorgifte van persoonsgegevens vanuit de EU naar de VS. Bas Filippini van Privacy First: "Zolang er geen passend beschermingsniveau is in de VS, is doorgifte duidelijk in strijd met het EU-privacyrecht. Dat is een schending van de privacy van miljoenen gebruikers. Als dit niet binnenkort wordt opgelost, zullen wij juridische stappen ondernemen."

Tot op heden heeft Facebook zich opvallend afzijdig gehouden van het publieke debat na het vonnis van het Hof van Justitie. Ton Siedsma van Bits of Freedom: "Wij verzoeken Facebook om zich publiekelijk te mengen in het debat over de oplossing van dit probleem, en om druk te zetten op de autoriteiten om zo’n oplossing te bereiken. Het zou goed zijn als Facebook haar huidige en toekomstige beleid over de doorgifte van persoonsgegevens publiekelijk bekend zou maken."

Facebook ontving vandaag een sommatiebriefpdf, met als deadline 15 januari 2016 om een oplossing te vinden. Als die niet bereikt wordt, zal een kort geding tegen Facebook aanhangig worden gemaakt bij de Rechtbank Den Haag, met als eis dat Facebook per direct stopt met de doorgifte van persoonsgegevens naar de VS. Dit betreft alle diensten van Facebook, inclusief WhatsApp en Instagram.

"Zo lang de VS geen passende bescherming biedt tegen mass surveillance, mogen persoonsgegevens niet worden doorgegeven naar de VS. Een rechtszaak tegen Facebook onderstreept de urgentie om dit op te lossen", zegt Jelle Klaas van het Public Interest Litigation Project (PILP, NJCM). "Ons doel is niet om de computerschermen van miljoenen gebruikers op zwart te zetten, maar om het niveau van privacybescherming te verhogen. Hopelijk vinden de wetgevers snel een oplossing."

Klik HIERpdf(pdf) voor de volledige sommatiebrief van Privacy First c.s. aan Facebook.

Update 21 januari 2016: vlak voor het verstrijken van de deadline reageerde Facebook per fax op onze sommatiebrief, klik HIERpdf (pdf). Ondanks de ongeldigheid van Safe Harbour bestaat volgens Facebook nog steeds een bruikbare rechtsbasis voor de doorgifte van persoonsgegevens vanuit de EU naar de VS. Privacy First c.s. betwisten dit en hebben vandaag een reactie naar Facebook gestuurd, klik HIERpdf (pdf).

Na onze sommatiebrief nam Facebook publiekelijk stelling in de discussie over een nieuw voorgestelde surveillance-wet in Engeland:

“Governments should not be able to compel the production of private communications content absent authorization from an independent and impartial judicial official. (...) Surveillance laws should not permit bulk collection of information. The principles require that the Government specifically identify the individuals or accounts to be targeted and should expressly prohibit bulk surveillance.” Aldus Facebook.

Precies op deze aspecten schiet de rechtsbescherming in de VS volgens het Europese Hof van Justitie echter tekort. In onze brief van hedenmiddag hebben Privacy First c.s. Facebook daarom verzocht haar standpunt ook uit te dragen in het debat over mass surveillance in de VS. Over dit onderwerp vinden momenteel onderhandelingen plaats tussen de EU en de VS. Het zou goed zijn als Facebook zich daar inhoudelijk in mengt, in lijn met het standpunt dat Facebook heeft over het Engelse wetsvoorstel.

Als er niet op korte termijn een oplossing wordt gevonden voor de fundamentele privacyproblemen waar het Europese Hof van Justitie op heeft gewezen, overwegen Privacy First c.s. om een kort geding aanhangig te maken bij de rechtbank Den Haag.

Gepubliceerd in Rechtszaken

"Privacywaakhonden en ict'ers verontrust

Een nieuwe conceptwet geeft de politie verregaande bevoegdheden om in computers te kunnen inbreken. Privacywaakhonden en ict-experts vinden die wet veel te ver gaan. ,,De aanslagen in Parijs worden gebruikt om een politiestaat in te voeren."

Vlak voor het weekend begon, gooide de ministerraad er afgelopen vrijdagmiddag nog snel een belangrijk persbericht uit. Ministers Ard van der Steur (Veiligheid en Justitie) en Ronald Plasterk (Binnenlandse Zaken) dienen vier wetsvoorstellen uit het actieprogramma Integrale aanpak Jihadisme in bij de Tweede Kamer. De maatregelen om het Jihadisme te bestrijden, zijn van groot belang, onderstreept de regering.

Onderdeel van die maatregelen is een uitbreiding van de bevoegdheden om onderzoek te doen in computers van criminelen en terroristen. De naam van het wetsvoorstel staat niet vermeld in het persbericht, maar desgevraagd bevestigt het ministerie van Veiligheid en Justitie dat het gaat om de wet Computercriminaliteit III, die al sinds 2013 in de maak is. De omstreden wet kan met steun van VVD en PvdA rekenen op een meerderheid in de Tweede Kamer. Maar die partijen zullen andere partijen nodig hebben om de wet door de Eerste Kamer te loodsen.

Webcams

De conceptwet geeft de politie ongekend veel bevoegdheden. Ze mag stiekem inbreken in computers, data kopiëren, toevoegen en wissen. De politie mag meekijken met webcams, afluisteren via de microfoon van een computer en live meekijken wat iemand typt. Er mag zelfs worden ingebroken bij onschuldige derden om bij een verdachte uit te komen. Privacyorganisatie Bits of Freedom spreekt van de meest verregaande wet ter wereld op dit gebied.

De conceptwet heeft dan ook tientallen bezorgde reacties opgeleverd van hoogleraren, ict'ers en privacywatchers. En ook nu klinkt kritiek. ,,Een overheid die mag inbreken in systemen en computers om zo aan informatie te komen, begeeft zich op glad ijs," meent voorzitter Lotte de Bruijn van branchevereniging Nederland ICT. ,,Stel dat de politie het recht zou hebben om zich zonder toestemming toegang te verschaffen tot woningen, zouden we dat accepteren? Ook al zouden ze daarmee verdachte buren kunnen afluisteren? Ik denk het niet."

Anderen vinden het bezwaarlijk dat de overheid baat heeft bij softwarelekken, om zo andermans computer binnen te komen. ,,Als de overheid te weten komt dat in veelgebruikte software een lek zit, kan ze dat geheim houden zodat de politie dat lek eerst mag misbruiken. Daarmee maakt de minister de hele maatschappij onveiliger, in plaats van veiliger," zegt Rejo Zenger van Bits of Freedom.

Ongepast

Zenger vindt het niet chic dat de wet nu in het kader van terrorismebestrijding aan de Kamer wordt gepresenteerd. ,,Het is absoluut ongepast dat de minister van Veiligheid en Justitie de aanslagen in Parijs gebruikt voor het doordrukken van zijn wetsvoorstel. De minister wil al lang de bevoegdheden van de politie uitbreiden. Dat verdient een grondig debat in het parlement, zonder dat dit heel erg wordt gestuurd door de gebeurtenissen in Parijs." Voorzitter Bas Filippini van Privacy First noemt de maatregelen zelfs het doodknuppelen van de rechtsstaat. ,,Na de aanslagen in Parijs wordt jacht gemaakt op snotneuzen van tussen de 20 en 30 jaar. In plaats van dat politie- en inlichtingendiensten zich schamen dat ze die mannen niet beter in beeld hadden, stelt Nederland voor om 16 miljoen burgers onder de knoet te houden. Een politiestaat, daar moeten we niet naartoe willen.""

Bron: Algemeen Dagblad 30 november 2015, p. 5. Tevens gepubliceerd in AD/Rotterdams Dagblad, AD/Haagsche Courant, AD/Utrechts Nieuwsblad, AD/Amersfoortse Courant, AD/De Dordtenaar, AD/Groene Hart, AD/Rivierenland, BN/De Stem, Dagblad Tubantia/Twentsche Courant, De Stentor/Gelders Dagblad, De Gelderlander, Eindhovens Dagblad, Provinciale Zeeuwse Courant en o.a. online op http://www.ad.nl/ad/nl/1012/Nederland/article/detail/4198274/2015/11/30/Nieuwe-wet-opent-alle-computers-voor-politie.dhtml.

Lees HIER de eerdere kritiek van Privacy First op dit draconische wetsvoorstel.

Gepubliceerd in Privacy First in de media
vrijdag, 31 juli 2015 13:48

Belgische 'opt-in' bij WiFi-tracking

Deze week werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:


Klik HIER voor een eerdere discussie met Privacy First over dit onderwerp op Radio 1.

Gepubliceerd in Online Privacy

Vandaag werd bekend dat, als het aan de Belgische Privacycommissie ligt, in België voortaan een opt-in i.p.v. opt-out geldt bij WiFi-tracking in winkels en andere openbare gelegenheden. Om aan de hand van WiFi-signalen van mobiele telefoons getraceerd te kunnen worden door bedrijven zullen mensen in België dus vooraf geïnformeerd moeten worden en toestemming moeten geven. Dit i.p.v. toestemming of bezwaar achteraf (opt-out) zoals die momenteel in Nederland lijkt te gelden en gedoogd lijkt te worden door het Nederlandse College Bescherming Persoonsgegevens (CBP). België gaat hiermee dus een stap verder dan Nederland, en dat is goed nieuws. Nieuws dat in Nederland navolging verdient. Hieronder een korte eerste reactie van Privacy First op BNR Nieuwsradio:



Bron: http://www.bnr.nl/?service=player&type=archief&fragment=2015073017205560.
Klik HIER voor een eerdere discussie met Privacy First over dit onderwerp op Radio 1.

Gepubliceerd in Privacy First in de media

Enkele fragmenten uit een artikel door TNO-wetenschapper David Langley in het FD van zaterdag 25 juli 2015:

"Met draadloos verbonden dingen — het 'internet of things'— valt geld te verdienen. Vermijd de valkuil om voor één productvariant te kiezen en smeed allianties buiten de eigen sector. En let op: wetgeving voor privacybescherming biedt kansen.

Wereldwijd zijn technologieontwikkelaars hard bezig met het 'internet of things', waar fysieke objecten als auto's, kleren en zelfs koeien met internet worden verbonden. Ook veel Nederlandse ondernemers hebben het gevoel dat ze de innovatiekansen met beide handen moeten aanpakken. De vraag is alleen: hoe?

(...)

Naast deze zakelijke overwegingen ontstaan er door het internet of things nieuwe maatschappelijke vraagstukken waarmee ondernemers rekening moeten houden. Een daarvan is wetgeving rond het gebruik van de gigantische en almaar uitdijende hoeveelheid data die wordt geproduceerd. In een opmerkelijke rechtszaak, die grote invloed kan hebben, stapte Bas Filippini van het Nederlandse Privacy First naar het Europese Hof voor de Rechten van de Mens om in het geweer te komen tegen privacyschending door een voorloper van het internet of things: de trajectcontroles op snelwegen. Omdat de snelheid van alle automobilisten continu wordt gevolgd, belandt, aldus Filippini, 'iedere automobilist [...] nu in een politiedatabank als potentiële verdachte en Joost mag weten hoe die data gebruikt worden.' Dit is strijdig met het hard bevochten principe van onze democratische rechtsstaat: er mag pas privacyinbreuk worden gemaakt als er een concrete aanwijzing van een strafbaar feit is. Het is een opmerkelijke zaak omdat binnenkort niet alleen ons rijgedrag, maar, door het internet of things, al ons fysiek gedrag door vele organisaties in binnen- en buitenland op de voet zal worden gevolgd, nog veel meer dan nu al, via onze mobiele telefoons, het geval is.

'Privacy is ouderwets'

Sommigen, zoals de futuroloog Jeremy Rifkin, beweren dat privacy een ouderwets idee is, een eigenaardigheid van het industriële tijdperk. Maar toch vinden veel mensen het geen prettig idee wanneer organisaties en onbekenden vrijwel onbeperkt inzage hebben in hun levens.

Er komt nieuwe EU-wetgeving, de Algemene Verordening Gegevensbescherming, die de privacywetgeving bijwerkt naar de kenmerken van digitale technologieën. De toegestane verwerking van gegevens via het internet of things kan daardoor drastisch beperkt worden. Verwerking mag in veel gevallen alleen met toestemming van de burger. Wat blijft er van het internet of things over wanneer burgers deze toestemming massaal weigeren?

Dit probleem biedt ook een innovatiekans voor Nederland. We kunnen met ideeën komen voor toepassingen waarin de bescherming van onze data in het ontwerp ingebouwd is. Waar ieder individu zelf kiest waarvoor zijn of haar data gebruikt worden op basis van de voordelen die de persoon zelf ziet. Dit past niet in het Facebook- en Googlemodel van vrije commerciële toegang tot persoonlijke data, maar het kan wel de toekomst van het internet of things worden.

(...) Zo kan Nederland een voorloper worden, in plaats van dat andere landen ons achter zich laten."

Bron: Financieel Dagblad 25 juli 2015, rubriek Anders denken, p. 5. Het volledige artikel is gratis online beschikbaar op http://fd.nl/fd-outlook/1112133/nieuwste-technologiestap-vraagt-om-aanvalsplan.

Gepubliceerd in Privacy First in de media

"Wanneer een politieagent je daarom vraagt, moet je jezelf in Nederland kunnen identificeren door een geldig identiteitsbewijs te laten zien. Ook de kassière bij de supermarkt kan je daarom vragen, maar alleen wanneer je alcohol wilt kopen en er twijfel is over je leeftijd. Met je identiteitsbewijs toon je dan hoe oud je bent en even later loop je tevreden de winkel uit.

Online ontbreekt zo'n middel om jezelf te identificeren en vooral bedrijven vinden dat lastig. Want met wie doen ze eigenlijk zaken? In Nederland hebben we wel DigiD, maar dat wordt eigenlijk alleen gebruikt door de overheid. Bij DigiD kies je zelf een gebruikersnaam en wachtwoord, dat bij de registratie wordt gekoppeld aan jouw burgerservicenummer: het unieke nummer van iedere persoon in de Basisregistratie Personen (BRP). Log je verolgens met je DigiD in op een website van de overheid, dan weet die overheid met wie het op dat moment zaken doet. In 2014 logden de 12 miljoen uitgegeven DigiD's samen 158 miljoen keer in.

DigiD is hiermee voor de overheid een succes, maar alle andere organisaties en bedrijven staan met lege handen. Webshops willen graag weten of hun klant wel de persoon is die hij zegt te zijn, of hij oud genoeg is, en kredietwaardig. Volgens branchevereniging Thuiswinkel.org hebben de ruim 45.000 Nederlandse webwinkels daarom momenteel maar één grote vraag: waar blijft eID? eID Stelsel is de naam voor de opvolger van DigiD, die de Nederlandse overheid nu aan het ontwikkelen is. eID moet alle benodigde manieren van online identificatie tussen burgers, overheid én bedrijven mogelijk maken.

(...)

In het programma eID (www.eid-stelsel.nl) werkt de overheid samen met wetenschappers en bedrijfsleven aan het nieuwe stelsel dat in 2017 klaar moet zijn. (...) Binnenkort starten enkele pilots, waarbij een klein groepje consumenten inlogt bij overheidsdiensten en commerciële diensten met een identificatiemiddel dat voldoet aan het nieuwe stelsel. Het voordeel van dit nieuwe stelsel is dat het identificatiemiddel niet door de overheid uitgegeven hoeft te zijn; bedrijven kunnen ook identificatiemiddelen uitgeven, bijvoorbeeld een klantenkaart of een app op je smartphone. De identiteit van de burger staat daarom online en is op afroep beschikbaar. Een naam voor het nieuwe stelsel is er ook al, Idensys. (...)

Om vaart te maken en omdat bedrijven niet willen investeren in weer een nieuw identificatiesysteem, is besloten het nieuwe stelsel te bouwen als uitbreiding op eHerkenning (www.eherkenning.nl). eHerkenning is 'de DigiD voor bedrijven', maar is anders dan DigiD geen overheidsdienst maar alleen een afsprakenstelsel. De overheid beheert het stelsel, voornamelijk bedrijven voeren het uit.

Hoewel websites straks gewoon een Idensys-login krijgen zoals ze nu een DigiD-knop hebben, werkt het verder helemaal anders dan DigiD én eID ooit was gedacht te werken. Komt bij DigiD de identificatie van de overheid, bij eHerkenning en dadelijk dus ook bij Idensys komt die van een makelaar, een tussenpartij. Deze 'ídentity provider' kent jou en met hem heb je afgesproken hoe jij je wilt identificeren, met een smartcard, je smartphone of toch gewoon gebruikersnaam en wachtwoord. Klopt de identificatie, dan krijgt die makelaar een pseudoniem voor jou en daarmee kan hij vervolgens kijken of jij gemachtigd bent de dienst te gebruiken waarvoor je wilt inloggen. Dat kijken doet hij in het BSN-koppelregister waarin de pseudoniemen gekoppeld zijn aan de Burgerservicenummers. De makelaar is dus allesbepalend inzake de veiligheid en het BSN-koppelregister als het gaat om privacy.

Om Idensys te baseren op eHerkenning is niet onomstreden. Een 'netwerkgebaseerd identiteitsmodel' zoals Idensys kenmerkt zich door veel schakels die allemaal vertrouwd moeten worden. De meest verdachte schakel is de makelaar, een marktpartij en de enige die alle transacties ziet. Weliswaar ziet hij niet wat er in de transactie gebeurt, maar hij weet wel met welke diensten iedere 'pseudoniem' zaken doet. (...) Ook ontbreekt [vooralsnog] de optie om anoniem diensten te gebruiken, iets wat bijvoorbeeld bij online medische diensten zeker wenselijk is. (...)

Waar blijft het debat?

Door de keuzes die bij Idensys worden gemaakt, zou je een publiek debat verwachten, maar dat ontbreekt volledig. Het College Bescherming Persoonsgegevens ontbreekt in de eID-werkgroepen en kon ons niet vertellen bij eID betrokken te zijn. "Ook Privacy First is niet betrokken en ook nog nooit gevraagd", zegt Vincent Böhre van Privacy First. "Blijkbaar wil men eerst een heel project afronden. Terwijl men nu door een privacy-kritische club te laten meepraten, fouten voorkomt en uiteindelijk maatschappelijk draagvlak creëert." Privacy First is voorstander van een opt-in waarbij mensen de keuze houden om het eID-systeem te gebruiken of niet. "De overheid mag niet eisen dat burgers hun zaken digitaal afhandelen en dat via een eID doen, de Algemene wet bestuursrecht verbiedt dat. Veel mensen in Nederland hebben geen computer of internet, de manier zonder eID moet daarom blijven bestaan", zegt Böhre. (...)"

Bron: Computer!Totaal, juli/augustus 2015, pp. 54-58 (openbare preview).

Gepubliceerd in Privacy First in de media

"(...) Sinds eind 2009 is in Nederland de Wet Bewaarplicht Telecommunicatiegegevens (WBT) van kracht. Deze wet verplicht internet- en telefonieproviders gegevens over het communicatiegedrag van hun klanten op te slaan en te bewaren, zodat het opvragen ervan mogelijk wordt door overheden. BIT was destijds al tegen dit plan, net als diverse privacy- en burgerrechtenvoorvechters zoals Bits of Freedom en Privacy First (...). Hoewel - vergeleken met het aantal verzoeken bij een consumenten provider - het aantal verzoeken bij een zakelijke internet provider zoals BIT relatief laag is, is de ISP zeer kritisch over deze wet die het opslaan van dergelijke gegevens verplicht en het opvragen ervan mogelijk maakt. Deze wet zal binnenkort in de Tweede Kamer geëvalueerd worden. (...)"

Bron: http://www.marqit.nl/newsitem/12680/bit-geeft-openheid-over-data-en-ntd-verzoeken-via-transparancy-report-2013, 25 februari 2014.

Gepubliceerd in Privacy First in de media
Pagina 2 van 3

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon