donatieknop english

Autoriteit Persoonsgegevens erkent massale privacyschending, maar weigert in te grijpen 

Na een jarenlange juridische strijd heeft de Autoriteit Persoonsgegevens (AP) recentelijk besloten om niet handhavend op te treden tegen de afvalpas van de gemeente Arnhem, terwijl diezelfde AP tegelijkertijd heeft erkend dat het actuele gebruik van deze afvalpas volledig in strijd is met de Wet bescherming persoonsgegevens. Naast Arnhem dreigt de afvalpas ook in talloze andere Nederlandse gemeenten te worden ingevoerd. De Arnhemse burger (de heer Michiel Jonker) die deze zaak de laatste jaren aanhangig maakte bij zowel de AP als bij de Raad van State, is hierdoor gedwongen om deze kwestie nu opnieuw aan de rechter voor te leggen ter beëindiging van deze flagrante privacyschending.

Afwijzing handhavingsverzoek wegens "bijzondere omstandigheid"

Nog voordat de gemeente Arnhem bijna drie jaar geleden een systeem van adresgebonden afvalpassen invoerde, werd de Autoriteit Persoonsgegevens er door de heer Jonker op attent gemaakt dat hiermee de privacy van alle Arnhemmers werd geschonden, in strijd met de Wet bescherming persoonsgegevens (Wbp).

De AP deed als toezichthouder en handhaver vervolgens twee jaar lang niets, terwijl Jonker juridische procedures voerde tot aan de Raad van State, die hem op 26 april 2016 in het gelijk stelde. Omdat de gemeente Arnhem vervolgens weigerde om gevolg te geven aan de uitspraak van de hoogste bestuursrechter, diende Jonker op 31 mei 2016 (opnieuw) een handhavingsverzoek in bij de AP.

Op 20 april jl. heeft de AP dit handhavingsverzoek afgewezen. Weliswaar constateerde de AP dat de gemeente al drie jaar lang in overtreding is, maar omdat de gemeente eind maart 2017 heeft besloten tot de invoering van DIFTAR (gedifferentieerde afvalheffing) per 1 januari 2018, ziet de AP dat als een "bijzondere omstandigheid" waardoor er alsnog kan worden afgezien van handhaving.

Gemeentelijk "bedrijfsmodel"

Per 1 juli 2014 installeerde de gemeente Arnhem op elke ondergrondse container voor restafval een scannersysteem, waardoor deze containers alleen nog geopend kunnen worden met een elektronisch pasje, gekoppeld aan de adresgegevens van de pashouder. De aldus verzamelde persoonsgegevens worden verwerkt in een centraal datasysteem van de gemeente (WIE biedt WAAR en WANNEER restafval aan). Volgens de gemeente is dat "nodig". Jonker bestrijdt dit. Hij wijst erop dat de noodzaak niet is aangetoond en dat er ook andere, privacyvriendelijke systemen mogelijk zijn, bijvoorbeeld met anonieme pasjes zonder uniek nummer.

In haar besluit tot afwijzing van Jonkers handhavingsverzoek bevestigt de AP dat de gemeente sinds juli 2014 zonder noodzaak persoonsgegevens over al haar inwoners heeft verzameld. Maar omdat die noodzaak er volgens de AP wel zal zijn vanaf 1 januari 2018, wanneer Arnhem het DIFTAR-systeem (gedifferentieerd afvaltarief) invoert, bestaat er nu volgens de AP "concreet uitzicht op legalisatie".

De door Jonker aangevoerde alternatieven worden door de AP verworpen omdat ze niet in overeenstemming zouden zijn met het "bedrijfsmodel" waarvoor de gemeente heeft gekozen. Ook voert de AP aan dat de verwerking van de persoonsgegevens "past" bij de publieke taakvervulling van de gemeente. De AP negeert daarmee het wettelijke criterium dat de verwerking van persoonsgegevens niet alleen moet passen bij, maar ook noodzakelijk moet zijn voor de uitvoering van een publieke taak.

Autoriteit Persoonsgegevens faciliteert privacyschending

Jonker: "Ook voor DIFTAR is verwerking van persoonsgegevens niet nodig. De AP stelt zich hier niet op als handhaver, maar als advocaat van de overtreder. Door de bescherming van een grondrecht ondergeschikt te maken aan de "bedrijfsmodellen" die organisaties kiezen, geeft de AP een vrijbrief aan zowel overheden als particuliere bedrijven om de wet op dit punt uit te schakelen. Op deze manier kan een overheid eerst illegaal persoonsgegevens verwerken, waarbij dan een nieuw "bedrijfsmodel" wordt ingevoerd, en vervolgens claimen dat het respecteren van de wettelijke eisen in strijd zou zijn met dit nieuwe "bedrijfsmodel". Dan blijft er van de rechtsstaat natuurlijk weinig over. Het is een voorbeeld van doorgeschoten neoliberalisme", aldus Jonker.

Jonker geeft aan bij de rechtbank in beroep te gaan tegen de afwijzing. "Ik zal aan de AP vragen of die instemt met een rechtstreeks beroep bij de rechter. Want tussen mij en de AP zijn er de afgelopen drie jaar wel voldoende argumenten gewisseld. Verdere vertraging is niet wenselijk."

Stichting Privacy First steunt de heer Jonker in deze zaak. Verzoeken om interviews met Jonker kunnen via Privacy First worden ingediend.

Update 2 mei 2017: zie ook https://www.security.nl/posting/513015/Toezichthouder+treedt+toch+niet+op+tegen+afvalpasjes+Arnhem
http://www.arnhem-direct.nl/berichten/autoriteit-persoonsgegevens-treedt-niet-op-tegen-afvalpas-gemeente-arnhem/
http://www.binnenlandsbestuur.nl/digitaal/nieuws/juridische-strijd-om-arnhemse-afvalpas-krijgt.9563035.lynkx 

Update 3 mei 2017: inmiddels heeft de AP e.e.a. gepubliceerd, zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-gemeente-arnhem-past-afvalsysteem-aan . Klik HIER voor het volledige AP-besluit (pdf).

Zie ook https://www.security.nl/posting/513266/AP%3A+Arnhem+schendt+privacywetgeving+met+huidig+afvalsysteem
https://www.computable.nl/artikel/nieuws/overheid/6013869/250449/arnhemse-afvalpas-in-strijd-met-privacyregels.html 

Zeer lezenswaardig artikel over DIFTAR in De Gelderlander: http://www.gelderlander.nl/arnhem/arnhem-haalt-je-privacy-uit-de-vuilnisbak~aec9ffa1/

Reactie gemeente Arnhem: https://www.arnhem.nl/actueel/alle_nieuwsberichten:R-hsF1b7T5SC7K5T8o4zOA/Reactie_gemeente_Arnhem_na_uitspraak_Autoriteit_Persoonsgegevens_over_afvalpas

Treffend commentaar op DIFTAR: https://maartenswebblog.wordpress.com/2017/03/04/diftar-het-nieuwe-systeem-van-afvalinzameling-in-arnhem/

Wordt vervolgd...

Gepubliceerd in Wetgeving

Vandaag is een historische dag in positieve én in negatieve zin: enerzijds zette het Europees Parlement vandaag een belangrijke privacystap vooruit met de aanname van de Algemene Verordening Gegevensbescherming. Anderzijds stemde het Europees Parlement vandaag in met massale opslag van Europese passagiersdata. Iedere vliegtuigpassagier wordt hierdoor een potentiële verdachte.  

De Algemene Verordening Gegevensbescherming zal de nationale privacywetgeving in alle EU-lidstaten (waaronder de Nederlandse Wet bescherming persoonsgegevens) gaan vervangen en grosso modo voor betere privacybescherming in de hele Europese Unie gaan zorgen. Zo worden Privacy Impact Assessments en Privacy by Design verplicht; twee belangrijke zaken waar Privacy First al jaren voor pleit. Fundamentele privacybeginselen als noodzakelijkheid, proportionaliteit en subsidiariteit (verplichte inzet van privacyvriendelijke alternatieven) worden sterker verankerd en beter uitgewerkt. Het is dan ook verbazingwekkend dat het Europees Parlement vandaag tegelijkertijd ook een andere maatregel heeft aangenomen waardoor deze beginselen juist met voeten getreden worden: de Europese Richtlijn Passagiersgegevens ('Passenger Name Records', PNR) inzake alle vliegtuigpassagiers binnen en buiten de Europese Unie. Onder deze PNR-richtlijn zullen de gegevens van alle Europese vliegtuigpassagiers 5 jaar lang in centrale overheidsdatabanken worden bewaard voor opsporing en vervolging van zware misdrijven, terrorismebestrijding, inlichtingenwerk, etc. Talloze reisgegevens (waaronder naam- en adresgegevens, telefoonnummers, bestemmingen, creditcardgegevens en zelfs maaltijdgegevens) van vele miljoenen mensen zullen daardoor jarenlang beschikbaar blijven voor politie, justitie en inlichtingendiensten t.b.v. datamining en profiling. In 99,99% van de gevallen betreft dit echter volstrekt onschuldige burgers, waaronder vooral vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Om deze reden bestond er de laatste jaren veel politieke weerstand tegen dit plan en werd het sinds 2010 reeds diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. Vorig jaar bleken ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europese Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de recente aanslagen in Parijs en Brussel lijken veel politieke bezwaren echter als sneeuw voor de zon verdwenen. Dit terwijl de juridisch vereiste "maatschappelijke noodzaak" en proportionaliteit van massale PNR-opslag nog steeds niet zijn aangetoond. In de optiek van Privacy First is de huidige PNR-richtlijn daarmee bij voorbaat onrechtmatig. Privacy First oriënteert zich momenteel dan ook op juridische stappen om deze richtlijn alsnog van tafel te krijgen, hetzij via de nationale rechter, hetzij middels een rechtstreeks beroep bij het Europese Hof van Justitie in Luxemburg. Tevens zal Privacy First blijven pleiten voor een privacyvriendelijker PNR-systeem, waarbij alleen verdachte personen worden geregistreerd en gemonitord en het gros van de reizigers met rust zal worden gelaten.

Klik HIER voor een eerder interview met Privacy First over dit onderwerp bij BNR Nieuwsradio en HIER voor eerder commentaar van Privacy First op Radio 1 (vanaf 3m50s).

Update: klik HIER voor een korte reactie van Privacy First gisteravond in het RTL Journaal (vanaf 6m50s), later die avond herhaald door Radio 1 (vanaf 2m15s).

RTL Nieuws 14april2016

© RTL Nieuws

Gepubliceerd in Wetgeving

Column door Bas Filippini, 
voorzitter Privacy First  

Big Data: oplossing voor welk probleem?

Het nieuwste speeltje van de aan informatie en controle verslaafde overheid en bedrijfsleven heet Big Data. Legers ambtenaren (van politie en justitie) en managers in het bedrijfsleven volgen momenteel allen dezelfde door Silicon Valley-bedrijven gesponsorde workshops, seminars en daaraan gekoppelde opleidingen en boeken. De hypnotiserende boodschap luidt dat Big Data de toekomst is, niet meer weg te denken is als oplossing voor alle problemen en dat het onontkoombaar is en we er maar mee te leven hebben. Sterker nog, dat we onze maatschappij hieraan moeten aanpassen. Dus onze principes van de democratische rechtsstaat, onze verhoudingen burger-overheid en burger-bedrijfsleven volledig moeten gaan veranderen, om “mee” te kunnen in de “noodzakelijke” veranderingen.

Profiling naar real-time

Centraal in Big Data-oplossingen staat het opslaan van alle mogelijk te vergaren gegevens van burgers in centrale databases om vervolgens vanuit data-analyse snel de “outliers” (afwijkingen van het groepspatroon) eruit te kunnen filteren. Dit filteren van afwijkingen ten opzichte van “standaard” of “normaal” gedrag wordt profiling genoemd. Profiling wordt niet alleen achteraf statisch ingezet, maar steeds meer dynamisch (voorspellend gedrag op basis van ingestelde triggers) en real-time. Met andere woorden, voordat je het weet worden burgers en consumenten in deze nieuwbenoemde revolutie voortdurend geregistreerd, gemonitord, geselecteerd op (potentieel en toekomstig) afwijkend gedrag, 24 uur per dag, real-time door overheid en bedrijfsleven.

Internet of Things

Aanvullend hierop wordt het “Internet of Things” in stelling gebracht. Een infrastructuur van (RFID-)chips in alle mogelijke gebruiksvoorwerpen die 24 uur per dag, overal ter wereld met elkaar in contact staan en informatie over het voorwerp, de gebruikers, locaties etc. etc. doorgeven en een volledige controlestructuur moeten gaan bewerkstelligen. Wederom als grote verlosser van al onze problemen gepresenteerd, maar in werkelijkheid een potentieel massavernietigingswapen tegen onze persoonlijke vrijheid.

Nietsontziende marketing- en lobbymachine

In de discussie met ambtenaren en bedrijfsleven valt telkens op dat deze door industriële lobby gedreven ontwikkeling als een soort nieuwe religie geen tegenstanders duldt. Het opslaan van alle informatie van dieren, vervolgens de burger en consument en nu dus ook alle gebruiksvoorwerpen is cruciaal om Big Data goed te kunnen laten functioneren, is het pandoer.

Hierbij wordt eraan voorbijgegaan dat deze data en informatie niet van hen is maar van diezelfde burger en consument. Uitgangspunt is dat de burger het allemaal wel prima vindt en dat de wet en regelgeving anders maar veranderd dienen te worden voor het heilige hogere doel. Er wordt een ongekend felle en nietsontziende lobby in Brussel en in nationale staten gevoerd om dit soort “total control” systemen fashionable en trendy te maken zonder rekening te houden met de basisprincipes van onze rechtsstaat.

Bijvoorbeeld het rechtsprincipe dat van iemand die niet met rede verdacht wordt van een strafbaar feit geen informatie en Big Data hoeven te worden bijgehouden. En dat er een strikte doelbinding moet zijn, dat noodzakelijke dataverzameling proportioneel voor dat doel moet zijn en dat dataminimalisatie en privacyvriendelijke alternatieven voorrang hebben.

Big Data: big maatschappelijke discussie

Privacy First ziet in Big Data eenzelfde gevaar voor de mensheid als kernenergie en nucleaire technologie. Hier moet dus zeer zorgvuldig mee worden omgegaan. Gaan we er een massavernietigingswapen tegen onze vrijheid van maken en het fundament onder onze democratische rechtsstaat wegslaan? Of gaan we juist vanuit een infrastructuur gebaseerd op Privacy by Design een aantal nuttige toepassingen op geselecteerde bestanden gebruiken? Dit is de wezenlijke vraag waar in onze ogen per direct een brede maatschappelijke discussie over gevoerd zou moeten worden.

Goedbedoelende ambtenaren willen 100% zekerheid

In de discussie met politie, justitie en Belastingdienst valt telkens op dat de incidentgedreven politieke waan van de dag regeert. Ambtenaren zijn er heilig van overtuigd dat er geen zaken opgelost kunnen worden zonder alle mogelijke informatie van burgers op te slaan, iedere burger als potentiële verdachte op de koop toenemend. Er wordt dan vaak een incidenteel geval bijgehaald zoals de Deventer moordzaak en andere zaken die opgelost zouden zijn door middel van reeds opgeslagen informatie.

Dat wij als samenleving accepteren dat een aantal zaken niet opgelost worden of met iets meer inspanning, moeite en goed speurwerk opgelost worden als dat de vrijheid van diezelfde samenleving openhoudt, wordt vergeten. In een normale bedrijfsvoering worden de bedrijfsprocessen ook niet veranderd vanwege één of twee incidenten, maar wordt het incident opgelost hetzij geaccepteerd als collateral damage. In normaal Nederlands: waar gehakt wordt vallen spaanders.

Total Control als utopie wordt gepresenteerd als “cool” door overheid en bedrijfsleven

Wij hebben momenteel nog geen enkel rapport of bewijs gevonden dat bepaalde zaken niet opgelost of voorkomen kunnen worden zonder het opslaan van alle reis- en verblijfdata, communicatie en andere gegevens van alle burgers vooraf. Anders dan dat het wel lekker “gemakkelijk” is voor het opsporingsapparaat. Dat echter zelfs terroristen niet kunnen worden geprofiled met behulp van Big Data wordt keer op keer bevestigd door deskundigen.

Daarentegen is er juist een overvloed aan rapporten over massale datalekken, gehackte databases waardoor gevoelige data op straat komen te liggen, fouten en gebrek aan samenwerking bij politie, justitie en geheime diensten, misbruik en function creep van informatie bij overheidsdiensten, NSA-schandalen en bedrijven die op slinkse wijze informatie van klanten misbruiken. Voor welk probleem precies gaan wij als maatschappij nu eerst een oplossing vinden, het eerste of het tweede?

Ik wil als burger geen overheid die mij in een elektronische gevangenis zet zodat diezelfde overheid 100% van alle mogelijke zaken kan controleren, voorkomen en oplossen. Wij moeten als vrije samenleving leren leven met zaken die niet opgelost worden, zolang dit niet structurele incidenten zijn. Het wordt hoog tijd dat deze discussie over veiligheid en vrijheid van de samenleving wordt gevoerd. Betaal ik als burger de overheid vanuit mijn vrijheidsdenken of ben ik er voor het veiligheidsdenken van de overheid?

Veel ambtenaren zijn vanuit het laatste principe met alle goede bedoelingen bezig de beste en mooiste elektronische gevangenis te bouwen vanuit Big data, Internet of Things en profiling. Daarbij zijn zij zich vaak onbewust van de potentiële gevaren van deze ontwikkelingen.

Privacyvervuiling negatief bijproduct van de informatierevolutie

Waar het negatieve bijproduct van de industriële revolutie milieuvervuiling was, is vrijheids- en privacyvervuiling het onlosmakelijke negatieve bijproduct van de informatierevolutie. Het wordt hoog tijd dat dit issue ook in deze hoedanigheid wordt opgepakt door de overheid en het bedrijfsleven en dat we de principes van onze democratische rechtsstaat die in enkele duizenden jaren zijn ontwikkeld niet binnen enkele jaren verloochenen voor zogenaamde oplossingen voor niet-bestaande problemen. Privacy First wil geen elektronische gevangenis om de kerstbonus van enkele miljardairs in Silicon Valley veilig te stellen en ziet daarentegen juist vele kansen in privacy-duurzame oplossingen met informatietechnologie. Laat systeemontwerpers liever dáár hun kerstbonus mee verdienen!

Naar een veilig en vrij Privacy Gidsland

Privacy First wil van Nederland een veilig Privacy Gidsland maken en als positief voorbeeld en referentiekader laten dienen voor de rest van de wereld. Wij zullen onze eigen weg moeten gaan waar andere landen continu het zwart-wit denken promoten en het niet zo nauw nemen met de principes van een democratische rechtsstaat. Vanuit onze basisprincipes wordt dan vervolgens nagedacht over uitvoering en beleid, met respect voor de positie van de individuele burger en de menselijke maat. Dan pas kun je gaan nadenken over in te passen technologie.

Uitgangspunt hierin is het neerzetten van duurzame en innovatieve technologische infrastructuren die vele decennia meekunnen, opgesteld vanuit “privacy by design” en “privacy enhancing technogy”.

Privacy First gaat daartoe graag het gesprek aan met overheid en bedrijfsleven. Voorkomen is immers beter dan genezen en “beter ten halve gekeerd dan ten hele gedwaald”. Daarbij mag privacy best wat kosten, het is immers een universeel mensenrecht en de hoeksteen van onze maatschappij! Niet alles is een kille berekening in spreadsheets en efficiency ten koste van de burger. De overheid is er nog steeds voor de burger en niet andersom. Dat besef is echter niet altijd aanwezig, zo is ons opgevallen. De grenzen worden door de overheid voortdurend opgezocht in het ongelijke speelveld met de burger. Het wordt hoog tijd dat hier een principiële streep in het zand getrokken wordt.


Update Privacy First:
zie https://www.security.nl/posting/453005/Privacy+First:+big+data+is+bedreiging+voor+rechtsstaat.

Gepubliceerd in Columns

Naar aanleiding van de recente aanslagen in Parijs werd Stichting Privacy First vandaag geïnterviewd door BNR Nieuwsradio. Hoe kan Nederland het beste op dit soort aanslagen reageren? Hoe kan terrorisme worden bestreden zonder dat de privacy van onschuldige burgers wordt opgeofferd? Beluister hieronder het hele interview met Vincent Böhre van Privacy First:



Bron: http://www.bnr.nl/?service=player&type=archief&fragment=20151120113610420 (deel 1) en http://www.bnr.nl/?service=player&type=archief&fragment=20151120114430300 (deel 2).

Gepubliceerd in Privacy First in de media

Wie in Eindhoven een avondje gaat stappen wordt continu in de gaten gehouden door "slim" cameratoezicht met microfoons en monitoring van social media. De gemeente, de politie en ICT-bedrijf Atos denken Eindhoven op deze manier veiliger te kunnen maken. Privacy First zet hier grote vraagtekens bij en overweegt juridische stappen. Hieronder een eerste reactie van Privacy First voorzitter Bas Filippini bij RTL Nieuws en een radio-interview met Filippini bij Omroep Brabant:

RTL 13nov2015 6

© RTL Nieuws

Interview Omroep Brabant, 12 november 2015:



Hieronder enkele eerdere nieuwsberichten over dit Orwelliaanse project:
http://www.nrcq.nl/2015/08/22/hoe-de-politie-misdaad-opspoort-nog-voordat-die-heeft-plaatsgevonden 
http://www.nrc.nl/handelsblad/2015/10/17/de-slimme-stad-kan-een-dom-idee-worden-1546062 
http://www.nrc.nl/nieuws/2015/10/16/techbedrijven-azen-massaal-op-nederlandse-steden-als-potentiele-klant 
http://www.ed.nl/regio/eindhoven/rennen-en-roepen-voor-test-sensorsystemen-op-stratumseind-1.5430984 

Gepubliceerd in Privacy First in de media

"Privacyvoorvechters hebben geen goed woord over voor de plannen van Achmea om verzekeringskortingen te geven in ruil voor persoonlijke gegevens. "Privacy-discriminatie" wordt genoemd, en het plan zou een "gevaarlijke ontwikkeling" zijn.

Privacy als ruilmiddel

De plannen van Achmea, maar ook intiatieven als die van ING om klantgegevens te verkopen, zorgen ervoor dat 'privacy een ruilmiddel wordt', stellen zowel Reinout Barth van PrivacyBarometer als Vincent Böhre van de stichting Privacy First.

Privacydiscriminatie

"Een dergelijk plan is privacydiscriminatie", zegt Böhre. "Het zorgt ervoor dat iemands privacy niet meer vanzelfsprekend is, maar iets dat is af te kopen. Daardoor betalen rijke mensen en mensen die geven om hun privacy méér voor een verzekering dan wie het niet uitmaakt."

Die conclusie ondersteunt ook Barth van PrivacyBarometer. "Privacy gaat zo geld kosten, terwijl het toch een recht blijft. Wil je dat echt een voorrecht maken voor mensen die het wel willen of kunnen betalen?"

Ook digitale burgerrechtenorganisatie Bits Of Freedom schrijft dat in een blogpost. "Privacy is niet dood, maar het wordt wel voor de rijken." BoF doelt daarmee niet op de korting, maar op het feit dat Achmea de gegevens voor 'een groter doel' verzamelt.

Vrijwillig of niet?

Dat klanten de keuze wel zelf kunnen maken, vinden zowel Barth als Böhre positief. "Dat is gelijk ook het enige positieve aan het plan", zegt die eerste. Böhre beaamt dat: "Dat het opt-in is, is goed. Maar dat moet het wel altijd blijven."

(...)

'Function creep'

Alle organisaties waarschuwen bovendien voor 'function creep', een term die betekent dat er iets anders met de gegevens gebeurt dan aanvankelijk de bedoeling was.

Zo kunnen alle gegevens door de politie of opsporingsdiensten worden opgevraagd. Barth (PrivacyBarometer): "Je neemt een kastje in je auto omdat je daarmee korting krijgt, maar later blijkt dat de politie die gegevens ook wel handig vindt voor opsporingsdoeleinden."

Veranderingen in de voorwaarden

Bovendien kan er in de toekomst van alles veranderen in de voorwaarden van de verzekeraar. Die kan bijvoorbeeld in een keer beslissen dat die gegevens nu ook door mogen worden verkocht, bijvoorbeeld aan adverteerders.

"Daar heb je dan niet voor getekend, maar die gegevens blijven jaren bewaard zodat ze alsnog gebruikt mogen worden."

(...)

Big data

De privacyvoorvechters zijn niet fel tegen 'big data', maar niet in de huidige vorm. Barth: "Big data is waardevol als je het niet toepast op de individuele gebruiker. Adviseer de overheid dan bijvoorbeeld welke gebieden onveilig zijn."

Niet persé slecht

Ook Böhre is niet persé tegen het plan van Achmea. Daar moeten echter wel waarborgen aan zitten. "Je moet de data uiteraard versleuteld opslaan", zegt hij. "Privacy by design, dus zorgen dat de anonimiteit wordt meegenomen in het ontwerp van het systeem. En je zult moeten zorgen dat iedere medewerker die bij de data kan grondig wordt gescreend.""

Bron: http://www.pcmweb.nl/nieuws/privacy-organisaties-fel-tegen-omstreden-plannen-achmea.html,
4 oktober 2015. 

Gepubliceerd in Privacy First in de media

Het draconische camerasysteem @MIGO-BORAS van de Koninklijke Marechaussee is Privacy First al jaren een doorn in het oog: miljoenen onschuldige burgers die per auto de Nederlandse landsgrenzen passeren worden door dit systeem ongemerkt gefotografeerd, gescreend en geprofiled. Behalve massale privacyschending is daarbij zeer waarschijnlijk ook sprake van verboden discriminatie naar nationaliteit: auto's met kentekens uit bepaalde (met name Oosteuropese) landen worden door het camerasysteem stelselmatig uit het verkeer geplukt en door motoragenten staande gehouden. Vaak blijkt vervolgens dat de betreffende automobilisten volkomen onschuldig zijn. Deze mensen voelen zich dan echter wel in hun privacy aangetast en ronduit gediscrimineerd. Privacy First ontvangt hierover al jaren kritische signalen, zelfs van buitenlandse ambassademedewerkers waar de betreffende burgers hun beklag doen. Hoog tijd dus om deze kwestie eens serieus aan de orde te stellen.

Deze week (18-19 augustus as.) wordt Nederland in Genève onder de loep genomen door het VN-Comité tegen Rassendiscriminatie. Een breed scala aan onderwerpen zal hierbij door het Comité kritisch beoordeeld worden. Om het Comité van de benodigde informatie te voorzien heeft onlangs een nationale coalitie van maatschappelijke organisaties/NGO's (onder leiding van het Nederlands Juristen Comité voor de Mensenrechten) een zogeheten schaduwrapportage over Nederland bij het Comité ingediend. Op initiatief van Privacy First is in deze rapportage ook het grenscontrole-systeem @MIGO-BORAS onder de aandacht van het Comité gebracht. Klik HIER voor de gehele Engelstalige rapportage in pdf; de passage over @MIGO-BORAS treft u aan op p. 26. De betreffende tekst staat hieronder integraal weergegeven.

Privacy First hoopt dat het Comité in Genève de Nederlandse regeringsdelegatie kritisch zal bevragen en opheldering, openheid en verbetering van haar beleid rond @MIGO-BORAS zal eisen. Daarbij is het uiteindelijke oordeel ("Concluding Observations") van het Comité weliswaar niet bindend, maar wel zeer gezaghebbend voor de mate waarin Nederland het VN-Verdrag tegen Rassendiscriminatie naleeft. Het Comité is immers het toezichthoudende orgaan van dit verdrag en als zodanig de hoogste instantie ter wereld om hierover te oordelen. Meer informatie over de Nederlandse sessie bij het Comité vindt u HIER. De sessie zal te zien zijn via http://www.treatybodywebcast.org (dinsdag 18 augustus, 15.00-18.00u & woensdag 19 augustus, 10.00-13.00u).


Comment with regard to Article 5(D)(I) of the International Convention on the Elimination of all Forms of Racial Discrimination (CERD)

@MIGO-BORAS (automatic border control)

In 2011, it became clear that the Dutch government had been planning to implement a highly privacy-invasive system of border control for years.[134] The new high-tech camera surveillance system, called @MIGO-BORAS, was due to become operational from January 1, 2012.[135] @MIGO-BORAS intended to photograph, screen and profile every vehicle crossing the Dutch-German or Dutch-Belgian border with the help of various (unknown) databases. In October 2011, the European Commission – under German pressure – started an investigation to assess whether @MIGO-BORAS complied with European Schengen and privacy regulations.[136] Consequently, the Dutch government scaled back the planned operational use of the system: instead of @MIGO-BORAS being operational 24/7, it was made operational up to six hours per day or 90 hours per month. After the European Commission provisionally concluded that the system did not contravene the rules that govern the EU's Schengen area in June 2012, @MIGO-BORAS was launched officially on August 1, 2012.[137]

The primary goals of the project are the detection of illegal immigration, human trafficking, identity fraud and narcotics control through camera surveillance and profiling. Critical profiling factors include the type and color of the vehicle, the number plate and country or region of origin.[138] Since April 2013, the @MIGO-BORAS camera system is also being used for law enforcement and criminal investigation purposes (including counter-terrorism) through Automatic Number Plate Recognition (ANPR).[139] However, many details of @MIGO-BORAS still remain confidential. No specific legislation around its implementation has been drafted and the Dutch Parliament has asked relatively few questions about the project. As far as the Dutch NGOs are currently aware, participating organizations include the Royal Military and Border Police (Koninklijke Marechaussee), the Dutch National Police, the Public Prosecution Service, the General Intelligence and Security Service (Algemene Inlichtingen- en Veiligheidsdienst or AIVD) and the Netherlands Organization for Applied Scientific Research ('TNO').

Reports show that the (effect of the) use of @MIGO-BORAS is likely to be discriminatory, as nationality seems to be a primary profiling criterion and most vehicles being stopped and searched originate from Eastern Europe.[140]

The NGOs request the Committee to urge the Netherlands to clarify the mandate, use and effects of the @MIGO-BORAS surveillance system and to introduce adequate legislation or guidelines to prevent the system from being used in a discriminatory manner or having discriminatory effects.

[134] See D. Tokmetzis, Staat bouwt digitale hekken aan de grenzen, Sargasso, 19 January 2011, sargasso.nl/archief/2011/01/19/staat-bouwt-digitale-hekken-aan-de-grenzen/; see also a summary of B. de Konings' subsequent speech at the CPDP Conference in Brussels, 26 January 2011, njcm.nl/site/newsposts/show/273.
[135] The Dutch/English acronym @MIGO-BORAS stands for 'Automatisch Mobiel Informatie Gestuurd Optreden' (Automatic Mobile Information-Driven Action) - Better Operational Results and Advanced Security.
[136] See e.g. 'Nut van nieuw camerasysteem langs de grenzen niet bewezen', NRC Handelsblad, 31 October 2011, nrc.nl/nieuws/2011/10/31/nut-van-nieuw-camerasysteem-langs-de-grenzen-niet-bewezen/; 'Duitsland kwaad over grenscameras', NOS, 30 November 2011, nos.nl/artikel/318196-duitsland-kwaad-over-grenscameras.html.
[137] See Kamerstukken II 2011/12, 32 317, no. 128; Kamerstukken II, 2012/13, 33 400-VII, no. 4, para. 247. See also 'Brussels defends Dutch border control project', EU Observer, 5 July 2012, euobserver.com/justice/116881.
[138] See e.g. Ministry of Security and Justice, Factsheet on the use of the @MIGO-BORAS system, 7 July 2012, government.nl/documents-and-publications/leaflets/2012/07/11/factsheet-on-the-use-of-the-amigo-boras-system.html.
[139] Kamerstukken II 2012/13, 19 637, no. 1647; Kamerstukken II, 2012/13, 29 754, no. 232; Kamerstukken II, 2013/14, 19 637, no. 1760; Kamerstukken II, 2013/14, 28 684, no. 411.
[140] See e.g. 'Een Roemeense Volvo voor jou', Volkskrant, 24 August 2012; volkskrant.nl/vk/nl/2844/Archief/archief/article/detail/3305474/2012/08/24/Een-Roemeense-Volvo-voor-jou.dhtml; 'Leers: grensbewaking voorbeeld voor Europa', Telegraaf, 23 August 2012, telegraaf.nl/binnenland/article20960146.ece; 'Geen grensbewaking, maar toezicht', Stentor, 24 August 2012, destentor.nl/2.2545/binnenland/geen-grensbewaking-maartoezicht-1.900394; 'Camerasysteem @migoboras maakt controles efficiënter', Gelderlander,16 March 2013; 'Grenzpolizei!', Reformatorisch Dagblad, 30 August 2014. See also Meijers Committee (standing committee of experts on international immigration, refugee and criminal law), Note on the Dutch surveillance system @migoboras (CM1208), 2 April 2012, p. 4, commissie-meijers.nl/commissiemeijers/pagina.asp?pagkey=149205, also available at http://www.statewatch.org/news/2012/apr/netherlands-meijers-cttee-surveiilance-system.pdf.

Update 28 augustus 2015: mede naar aanleiding van bovenstaande inbreng vaardigde het Comité vandaag de volgende algemene aanbeveling uit aan de Nederlandse regering: "The Committee recommends that the State party adopt the necessary measures to ensure that stop and search powers are not exercised in a discriminatory manner, and monitor compliance with such measures." Klik HIER voor het hele document in pdf (Concluding Observations, par. 14b.) Privacy First vertrouwt erop dat dit advies door de Nederlandse overheid (inclusief Koninklijke Marechaussee) zal worden nageleefd en dat de werking van het camerasysteem @MIGO-BORAS hierop zal worden aangepast.

Gepubliceerd in Profiling
dinsdag, 07 april 2015 16:46

Van trajectcontrole naar total control?

Column door Bas Filippini,
voorzitter Privacy First 

Rechtszaak tegen trajectcontrole

Op 28 april as. dient mijn rechtszaak tegen trajectcontroles boven de Nederlandse snelwegen en wellicht in de toekomst alle openbare wegen en weggetjes in Nederland. Trajectcontrole is ooit ingevoerd onder een algemene bepaling in de Politiewet. De vereiste specifieke wetgeving met privacywaarborgen ontbreekt sindsdien nog steeds. Het volgen van alle automobilisten in de openbare ruimte over een langere periode zonder redelijke verdenking van een strafbaar feit is in de optiek van Privacy First een zware inbreuk op de privacy en disproportioneel. Reden waarom dit middel in Duitsland verboden is. Ik heb bewust te hard gereden omdat ik wil aantonen dat de overheid met mijn boete middels trajectcontrole, zonder specifieke wettelijke basis, gebruik heeft gemaakt van onwettig bewijs en dat ik en alle andere Nederlanders onze boete(s) om deze reden terug moeten krijgen.

De laatste jaren wordt de burger vanuit techniek geconfronteerd met steeds meer nieuwe maatregelen van de overheid om diezelfde burger te kunnen controleren. In breder verband wil ik daarom van de rechter weten hoe ver we mogen gaan in Nederland met de controle en spionage van burgers in de openbare ruimte. En, als dit plaatsvindt, onder welke voorwaarden, met welke waarborgen en met welke technologie? De overheid heeft immers tot taak de privacy van burgers te beschermen en hierop alléén inbreuk te maken als dit per doelomschrijving strikt gerechtvaardigd is.

Inmiddels zijn we aangekomen op een kantelpunt waarin technologie leidend is en alle burgers in plaats van potentiële (buitenlandse) spionnen onderwerp van spionage zijn geworden (zie de onthullingen van Edward Snowden). Inkomsten, efficiency en controle zijn daarbij leidend voor de overheid.

In het kort hieronder mijn argumenten tegen trajectcontroles op een rij:

Wettelijke basis ontbreekt

Navraag inzake trajectcontrole leert dat er geen specifieke wettelijke basis voor bestaat. Trajectcontroles zijn ingevoerd onder een algemene politiebepaling (art. 3 Politiewet). Hiermee gaat gepaard dat er geen privacywaarborgen zijn voor de uitvoering van trajectcontroles, tegen misbruik van gegevens, doelbinding etc. Duidelijk toezicht op de gegevens is niet geregeld en ook is het onduidelijk wie er allemaal toegang tot de gegevens heeft en wat ermee gebeurt. Het beheer is neergelegd bij private partijen, waaronder een Amerikaans bedrijf (CSC) dat onder de Patriot Act valt.

Omkering van het klassieke rechtsprincipe

Trajectcontrole is een systeem dat uitgaat van 100% controle, oftewel total control. Bij total control worden middels profiling potentiële verdachten uit de database gefilterd. Met andere woorden, iedereen is een verdachte en wordt gevolgd, ook niet-hardrijders, keurige belastingbetalers etc. Waarvan je verdacht wordt, wordt niet meegedeeld. In een fatsoenlijke rechtsstaat word je echter pas gecontroleerd en gevolgd als je met rede verdacht bent van een strafbaar feit.

Overheid heeft taak privacy te beschermen

Het wordt door de huidige overheidsdienaren volkomen vergeten, maar de overheid staat ten dienste van de burger en niet andersom. Miljoenenverspillende technische speeltjes en experimenten van ICT-bedrijven zijn nog geen reden om deze taak te verzaken en de privacy van de burger niet serieus te nemen noch te beschermen. De overheid is inmiddels de grootste privacyschender en belangrijk hierin is dat de burger geen keuze meer heeft. Privacyschendende systemen en regelgeving worden opgedrongen aan de burger, die middels belastingen voor zijn/haar eigen controle betaalt. Bij commerciële bedrijven is er tenminste nog enige mate van keuzevrijheid, al zal de overheid hierin strak moeten regisseren en optreden waar nodig (zie Google, Facebook etc). Trajectcontrole is naar mijn mening een disproportionele maatregel naar de burger die geen overtreding begaat. Er zijn voldoende privacyvriendelijke alternatieven om op snelheidsovertredingen te controleren.

Trajectcontroles als onderdeel van total control

Trajectcontroles staan niet op zichzelf en zijn inmiddels onderdeel van een enorm controle-apparaat dat zijn weerga niet kent, denk aan ANPR (automatische nummerplaatherkenning), @MIGO BORAS (vriend van wie?) grenscontrole, elektronische slotgrachten rond steden, kentekenparkeren, OV-chipkaarten, reisdatabases, etc. Er wordt als het ware een elektronische gevangenis zonder weerga opgetuigd, waarbij wettelijke waarborgen ontbreken en kentekens en OV-chipkaarten fungeren als elektronische enkelbanden.

Dit staatsapparaat geeft het doorgeslagen controle- een efficiencydenken binnen de overheid weer, waarin de burger geen rol speelt en gewantrouwd wordt. Zoals de waard is... De controlewaanzin in de openbare ruimte gaat steeds verder en zal eindigen achter de voordeur van die verschrikkelijke en lastige burgers, middels slimme energiemeters en 2-weg elektronische apparatuur, sympathiek "The Internet of Things" genoemd. In werkelijkheid een paard van Troje en een democratisch monster, zeker in combinatie met een ander nieuw speeltje binnen de overheid, "Big Data".

Inmiddels heeft de overheid het Orwelliaans genoemde "Servicehuis Parkeer- en Verblijfsrechten" opgericht (dit is geen grap) waarin alle kentekens van alle parkeerders en in de toekomst alle reis- en verblijfsgegevens kunnen worden opgeslagen. De overheid die gaat bepalen wat mijn reis- en verblijfsrechten zijn, met invoering van kilometerheffing via een sluwe omweg? Of op basis van je type auto,  je rechtsverleden etc? Een verdere stap in centralisering van de total control organisatie ten behoeve van de eindejaarscijfers van enkele grote ICT-leveranciers, dat mag duidelijk zijn. Hoe meer centralisatie, hoe groter en ingewikkelder de projecten, hoe meer verspilling, onduidelijkheid en hoe hoger de winsten. Als het vervolgens niet toegestaan is in Nederland, dan tuigen we gewoon een werkgroep op die in Brussel hiervoor gaat lobbyen. Mooi voorbeeld is de gedwongen chip in de auto voor zogenaamde "bots-analyse" (eCall), nadat alle andere redenen geen hout sneden. Na de verplichtstelling via de EU om alle huis-, tuin- en keukendieren in Europa verplicht te chippen (enorme omzet voor twee chipleveranciers) is nu de auto aan de beurt met het kenteken als chip aan je oor, een echte "melkkoe" dus.

Function creep, oftewel het oprekken van grenzen (van fatsoen)

De burger en maatschappij worden continu weer verrast met nieuwe feiten en toepassingen van eerder voor andere doelen ingestelde controlemaatregelen. Waren de camera's er in eerste instantie voor veilig rijden, inmiddels is trajectcontrole een ordinaire boetemachine waaruit niet te ontsnappen valt en worden alle ANPR-gegevens realtime door de Politie gedeeld met de Belastingdienst. Liefst via geheime convenanten en werkgroepen, denk aan de werkgroep uitwisseling gegevens naar de politie waarbij de directeur van Translink (OV chipkaart) gezellig aanschuift. Ja, die chipkaart waarvan vervoersgegevens absoluut niet voor andere doelen gebruikt zouden worden. Het is kortom niet duidelijk wie er van welke gegevens gebruik maakt en wat er verder mee gebeurt. Gaan reis- en verblijfsgegevens inmiddels ook naar Sociale Zaken en andere ministeries, naar "de NSA kijkt met u mee" uitwisselingsprogramma's, etc? Voor wie waren we er ook alweer? Voor onszelf of die lastige burger? Waar blijft de menselijke maat in de doorgekoppelde en door centrale meldkamers overgenomen Nationale Politie zonder regionale kantoren? Waar is die buurtagent die zelfstandige beslissingen kan nemen op basis van de lokale en bekende omgeving en daarmee ook een grote preventieve werking heeft?

Vorming van een excuusmaatschappij: heb jij wel een geldig excuus of alibi?

Door de continue controle en profiling voelen burgers zich (on)gemerkt steeds meer bespied. Dit kan leiden tot zelfcensuur en een beperking van de vrije meningsuiting en dus de pluriformiteit van een gezonde democratische samenleving en rechtsstaat. Het is straks nodig om altijd een excuus te hebben. De continue profiling dwingt met andere woorden de burger in een positie om uit te moeten gaan leggen aan de overheid (Belastingdienst, Politie & Justitie, Sociale Zaken) waarom hij/zij ergens is geweest, hoe vaak en wat de reden daarvan ook weer was. De burger als continue verdachte en wee diegene die "afwijkend" gedrag vertoont ten opzichte van het "normaal" gedrag. Inmiddels gaat het die kant al op voor Nederlanders met een vinkje achter hun naam, kinddossier of geloofsovertuiging. Tevens worden automobilisten al steeds meer lastiggevallen over waar ze op welk tijdstip rijden en parkeren en of ze bereid zijn (nu nog vrijwillig) om van reisgedrag te veranderen. Privacy First krijgt hier steeds meer klachten over.

De overheid en enkele grote commerciële privacyschenders houden zelf niet van controle en wisselen uw en mijn gegevens inmiddels (via geheime convenanten) op grote schaal uit met de Belastingdienst, Politie en Justitie. Wordt er vervolgens een rechtzaak gewonnen door Privacy First en anderen, dan voelt diezelfde overheid zich niet geroepen iets met de uitspraak te doen. In Amsterdam start de meldtekst op parkeerautomaten nog steeds met de tekst dat het invoeren van het kenteken sinds 1 juli 2013 verplicht is en ook het opheffen van de Wet bewaarplicht telecomgegevens is geen reden voor de overheid om hier voortaan vanaf te zien. Er wordt duidelijk met twee maten gemeten.

Nederland Privacy Gidsland

Trajectcontrole is onderdeel van een veel grotere controlewaanzin van de overheid over niet met rede verdachte burgers, ontbeert een wettelijk kader en is daarmee onwettig en hoort maar op twee plaatsen thuis: in de prullenbak of in een dictatuur waar dit soort praktijken normaal zijn.

Privacy First staat voor het inzetten van slimme technologie om uitvoering te geven aan een juist beleid binnen wettelijke kaders door de overheid. In het geval van trajectcontrole door alleen overtreders te registreren en een goed wettelijk en uitvoeringskader in te stellen. Met een duidelijke eigen verantwoordelijkheid hierin en waarborgen van en voor de burger inzake het gebruik van zijn/haar gegevens. Privacy First staat voor een  "privacy by design" aanpak met inzet van "privacy enhanced technology" en "privacy impact analyses" om tot een goed beleid en uitvoering te komen. Met daarin de beste technologie, zodat Nederland hierin vooroploopt en internationaal Privacy Gidsland kan worden met een nieuw exportproduct. Dan kunnen de ICT-bedrijven gewoon blijven doorgroeien, maar dan wel met een privacyvriendelijk alternatief. Als lichtend voorbeeld voor de wereld!

Gepubliceerd in Columns

Al jaren probeert de Europese Commissie tevergeefs om een maatregel in te voeren waardoor iedere Europese vliegtuigpassagier bij voorbaat als potentiële terrorist beschouwd zal worden: in het zogeheten PNR-voorstel (Passenger Name Records) zullen allerlei persoonlijke gegevens van miljoenen Europese vliegtuigpassagiers massaal gedeeld worden met geheime diensten. De laatste jaren strandde dit voorstel van de Commissie telkens op privacybezwaren, en terecht: in een op vrijheid gebaseerde democratische rechtsstaat dient de overheid onschuldige burgers zoveel mogelijk met rust te laten en niet iedereen als potentiële terrorist in een centrale databank op te slaan. Na de aanslag in Parijs doet de Europese Commissie nu opnieuw een poging om dit draconische voorstel alsnog aangenomen te krijgen. Op BNR Nieuwsradio werd Privacy First om een reactie gevraagd. Beluister hieronder het hele fragment, inclusief reacties van luisteraars:

Gepubliceerd in Privacy First in de media

"Amsterdam wil de slimste stad van de wereld worden, door het gebruik van meta-data. Digitale sporen die we achterlaten als we bijvoorbeeld met onze ov-chipkaart inchecken voor de metro, of online kaartjes kopen voor een museum.

De gemeente wil met het project Amsterdam Smart City al deze digitale sporen gebruiken om de Amsterdammer slimmer te maken.

'Je laat de hele dag signalen achter als je met je telefoon over straat loopt', vertelt Ger Baron van Amsterdam Smart City. 'En al deze signalen zijn te gebruiken voor heel veel slimme toepassingen in de stad. Een mooi voorbeeld is een project wat nu op IJburg speelt. Traffic Link heet het. Met deze app kunnen bewoners van IJburg zien wat het ideale moment voor hen is om van huis te vertrekken naar werk of school'.

Privacy
Ja, dit klinkt natuurlijk prachtig. Maar heeft het gebruik van deze data niet allerhande gevolgen voor je privacy? Vincent Böhre, Privacy First, erkent dat iedereen constant sporen achterlaat. 'Het kan zijn dat gegevens uit die sporen worden gebruikt. Maar dan moet je daar wel vooraf toestemming voor hebben gegeven.'"

Klik HIER voor het hele item over dit onderwerp in het AT5 journaal van 12 januari 2015.

Gepubliceerd in Privacy First in de media
Pagina 3 van 9

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon