donatieknop english

Deze week behandelt de Tweede Kamer een "tijdelijke" Corona-noodwet waardoor de bewegingen van iedereen in Nederland voortaan "anoniem" in kaart gebracht kunnen worden. Eerder uitte Privacy First reeds kritiek op dit plan in een uitzending van Nieuwsuur. In vervolg hierop verzond Privacy First vandaag onderstaande brief aan de Tweede Kamer:


Geachte Kamerleden,

Met grote zorg heeft Stichting Privacy First kennisgenomen van het “tijdelijke” wetsvoorstel informatieverstrekking RIVM i.v.m. COVID-19. Privacy First adviseert u om dit wetsvoorstel te verwerpen wegens de volgende fundamentele bezwaren en risico’s:

Strijdig met fundamentele bestuurlijke en privacy principes

- De maatschappelijke noodzaak voor dit wetsvoorstel ontbreekt. Het Corona-virus ebt momenteel immers weg uit de Nederlandse samenleving. Andere vormen van monitoring zijn reeds voldoende effectief gebleken. De noodzaak voor dit wetsvoorstel is niet aangetoond, en net zomin bestaan er voorbeelden uit het buitenland waar toepassing van vergelijkbare technieken een wezenlijke bijdrage leverde.
- Het wetsvoorstel is volstrekt disproportioneel, want het omvat alle telecom-locatiedata in heel Nederland. Van enige differentiatie is geen sprake. Hetzelfde geldt voor dataminimalisatie: een steekproef zou kunnen volstaan.
- Het wetsvoorstel werkt met terugwerkende kracht vanaf 1 januari 2020. Dit is in strijd met de rechtszekerheid en het legaliteitsbeginsel, zeker omdat deze datum ver vóór de Nederlandse ‘start’ van de pandemie ligt (11 maart).
- De in het wetsvoorstel gekozen systematiek van nadere aanwijzingen door de Minister is ronduit ondemocratisch. Het holt de democratische rechtsstaat en toezicht door de volksvertegenwoordiging verder uit.
- In het wetsvoorstel wordt niet gerept over privacy-by-design of hoe dit toegepast zal worden, terwijl dat juist bij dit wetsvoorstel aan de orde zou moeten zijn.

Alternatieven zijn minder invasief: subsidiariteit

- Privacyvriendelijker alternatieven zijn door de staatssecretaris onvoldoende onderzocht. Heeft zij hierin wel interesse?
- Data bij telecomproviders worden gepseudonimiseerd met een uniek ID-nummer en als zodanig aangeleverd bij het CBS. Massale aantallen gevoelige persoonsgegevens worden hierdoor enorm kwetsbaar. Anonimisering door het CBS gebeurt pas in een later stadium.
- De data worden bij gebruik gefilterd op geografische herkomst. Dit creëert een risico van verboden discriminatie naar nationaliteit.
- Onduidelijk is of men de gebruikte data bij CBS of RIVM zal willen “verrijken” met andere data, met function creep (doelverschuiving) en mogelijk data-misbruik tot gevolg.

Transparantie en onafhankelijk toezicht ontbreken

- De Privacy Impact Assessment (PIA) bij het wetsvoorstel is vooralsnog niet openbaar.
- Onafhankelijk toezicht op de maatregelen en effecten (door een rechter of onafhankelijke commissie) ontbreekt.
- De AVG is wellicht slechts deels op het wetsvoorstel van toepassing, aangezien anonieme data en statistieken van de werking van de AVG uitgezonderd zijn. Dit veroorzaakt nieuwe risico’s op data-misbruik, slechte beveiliging, datalekken etc. Algemene privacy-beginselen zouden daarom in elk geval van toepassing verklaard moeten worden.

Structurele wijzigingen en chilling effect

- Dit wetsvoorstel lijkt nu formeel tijdelijk, maar de geschiedenis rond dergelijke wetgeving leert dat het hoogstwaarschijnlijk permanent zal worden.
- Ongeacht de “anonimiteit” van e.e.a. zullen veel mensen zich door dit wetsvoorstel gemonitord gaan wanen en zich onnatuurlijk gaan gedragen. Het risico van een maatschappelijk chilling effect is enorm.

Gebrekkige methode met grote impact

- De effectiviteit van het wetsvoorstel is onbekend. Het wetsvoorstel vormt in wezen dus een massaal experiment. De Nederlandse maatschappij is echter niet bedoeld als levend laboratorium.
- Anonieme data kunnen middels koppeling alsnog herleidbaar blijken. Ook bij de gekozen drempelwaarde van minimaal 15 eenheden per datapunt is het risico van unieke “singling out” en identificatie waarschijnlijk nog steeds te groot.
- Het wetsvoorstel leidt tot valse signalen en blinde vlekken door mensen met meerdere telefoons, kwetsbare groepen zonder telefoon etc.
- Er is een groot risico op function creep (doelverschuiving), heimelijk gebruik en misbruik van data door andere overheidsdiensten (waaronder AIVD), toekomstige overheden, internationale uitwisseling etc.
- Naast het recht op privacy komen ook andere mensenrechten door dit wetsvoorstel onder druk te staan, waaronder de vrijheid van beweging en het recht op demonstratie. Dit wetsvoorstel kan gemakkelijk leiden tot structurele crowd control die niet past in een democratische samenleving.

Specifieke toestemming vooraf

Naast bovenstaande bezwaren en risico’s betwijfelt Privacy First of het gebruik van telecomdata zoals door dit wetsvoorstel beoogd voor telecom-providers überhaupt rechtmatig is. In de optiek van Privacy First zou daartoe tenminste sprake moeten zijn van expliciete, specifieke toestemming vooraf (opt-in) door de klant in kwestie, danwel van de mogelijkheid van een opt-out achteraf en het individuele recht op verwijdering van alle data.

Het is aan u als Kamerleden om onze maatschappij voor dit wetsvoorstel te behoeden. Bij gebreke daarvan behoudt Privacy First zich het recht voor om juridische stappen inzake deze wet te nemen.

Voor nadere informatie of vragen met betrekking tot bovenstaande is Privacy First te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Hoogachtend,

Stichting Privacy First

Gepubliceerd in Wetgeving

Column

Het accepteren van de Orwelliaanse Newspeak “nieuwe normaal anderhalve meter samenleving” leidt automatisch tot het accepteren van de absurde handhaving ervan. Aangezien dit niet overeenstemt met de Grondwet is de Raad van State geraadpleegd. Talloze ongrondwettelijke maatregelen dreigen nu in een noodwet te worden verankerd. De wereld op zijn kop. Hoe voorkomen wij dat we in een onmenselijke en niet vrije, ondemocratische samenleving terechtkomen? Hieronder diverse ongrondwettelijke maatregelen die in een noodwet dreigen te worden opgenomen op een rij:

  • Implementatie van een surveillance infrastructuur:
    - Ondersteund door Corona- en andere apps
    - Tracking en tracing van burgers middels telecomdata en smartphones
    - BOA’s die onzinnige maatregelen moeten handhaven uitrusten met wapens
    - Reizen op basis van checks en gezondheidsverklaringen

  • Lichamelijke integriteit:
    - Ondermijning en afschaffen van het medisch (beroeps)geheim
    - Verplichte medische behandeling en vaccinatie / biometrische registratie

  • Anonimiteit in de openbare ruimte:
    - 1,5 meter controle met linten, strepen, cirkels etc
    - Scan-auto’s voor parkeren om burgers te traceren
    - Registratie van alle vrijetijdsbesteding in horeca, sport, theater, musea etc
    - Strafblad bij overtredingen
    - Gezichtsbedekking in openbare gelegenheden
    - Ongefundeerde ondermijning van het gebruik van cash geld

  • Recht van samenkomst beperkt en onder druk:
    - Demonstraties effectief onmogelijk
    - Grote politieke bijeenkomsten onmogelijk
    - Geloofsbelijding en sociale structuren onder druk

  • Huisvredebreuk:
    - Ingrijpen achter de voordeur middels kliklijnen, BOA’s en politie-controles
  • Functioneren van democratische rechtsstaat:
    - Weigering om Wob-verzoeken in behandeling te nemen
    - Beperking van rechten van verdachten en advocaten
    - Beperking van openbare rechtszittingen 
    - Functioneren Eerste en Tweede Kamer onder druk
    - Censuur door (sociale) media bij afwijking van officiële narratives.

En als uitsmijter: een onderzoek naar het uitstellen van de verkiezingen…

Dit is volgens mij niet wat wij als burgers willen: een semi-rechtsstaat op basis van een dashboard, aangestuurd door technocraten. Van lockdown naar lockdown onder structurele noodwetgeving. Voor wat nu blijkt een klein percentage sterfgevallen, vaak met een multiple cause. Waar zijn we in vredesnaam mee bezig?

Privacy First gaat uit van eigen keuzes in een vrije omgeving. Wij zijn voor social responsability, niet voor structurele social distancing. Weg met de noodwet en terug naar een menselijke, open en vrije samenleving!


Bas Filippini,
voorzitter Privacy First

Gepubliceerd in Columns

Gisteren hield de Tweede Kamer een kritische hoorzitting ("rondetafelgesprek") over de inmiddels beruchte "Corona-app". De Tweede Kamer had voor deze gelegenheid diverse experts en organisaties (waaronder Privacy First) uitgenodigd om position papers in te dienen en aan de hoorzitting deel te nemen. Hieronder volgt de volledige tekst van onze position paper en spreektekst. Een video van de gehele hoorzitting staat HIER online. Klik HIER voor het programma, alle sprekers en position papers.

Geachte Kamerleden,

Dank voor uw uitnodiging om deel te nemen aan de rondetafelbijeenkomst inzake de zogeheten Corona-app. In de optiek van Stichting Privacy First vormt een dergelijke app een bedreiging voor ieders privacy. Hieronder zullen wij dit kort toelichten.

Gebrek aan noodzaak en effectiviteit

Met grote zorg heeft Privacy First kennisgenomen van het voornemen van de Nederlandse overheid om een contact-traceerapp te gaan inzetten ter bestrijding van het Corona-virus. De maatschappelijke noodzaak van een dergelijke app is tot op heden niet aangetoond. Ervaringen vanuit het buitenland laten bovendien zien dat aan het nut en de effectiviteit ervan ernstig kan worden getwijfeld. Mogelijk werken deze apps zelfs contra-productief, aangezien de inzet ervan tot schijnveiligheid leidt. Daarnaast wordt de meest kwetsbare doelgroep (ouderen) met dit middel nauwelijks bereikt. Alleen al om deze redenen zou van de inzet van “Corona apps” moeten worden afgezien.

Surveillance maatschappij

Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg.

Risico’s op misbruik

Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. Het risico van heimelijke toegang, hacking, datalekken en misbruik is met name groot bij centrale i.p.v. decentrale (persoonlijke) opslag en bij gebrek aan open source software. Tegelijkertijd biedt ook louter persoonlijke opslag geen enkele garantie tegen misbruik, afhankelijk van technische kwetsbaarheden of aanwezige malware en spyware. In handen van criminele organisaties vormen de verzamelde data bovendien een goudmijn voor criminele activiteiten.

Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen. Dus adviseert Privacy First uw Kamer om er bij het kabinet op aan te dringen niet tot de inzet van dergelijke apps over te gaan.

Testen i.p.v. appen

Vanuit de beginselen van proportionaliteit en subsidiariteit in de strijd tegen het Corona-virus bestaat volgens Privacy First een betere en effectievere oplossing, namelijk het grootschalig testen van de bevolking op het virus en op immuniteit. De benodigde testcapaciteit dient daartoe zo spoedig mogelijk beschikbaar te zijn.

Haastige spoed, zelden goed

Mocht ondanks bovenstaande bezwaren alsnog besloten worden tot de inzet van “Corona apps”, dan kan dit pas gebeuren na een zorgvuldig maatschappelijk en democratisch proces met voldoende kritische, objectieve en onafhankelijke toetsing. Tot op heden is hier geen sprake van geweest, getuige de ontwikkelingen de afgelopen dagen. Privacy First adviseert uw Kamer in dit verband om het kabinet een pas op de plaats te laten maken en een moratorium op de inzet van “Corona apps” in te stellen.

Privacy by design

Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem, tijdelijk en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.

Hoogachtend,

Stichting Privacy First
(...)


Geachte kamerleden,

U heeft onze position paper, hierbij onze mondelinge toelichting.

Allereerst: Privacy First is fel tegen iedere surveillance infrastructuur, met of zonder app.

Wij kijken hierbij naar drie juridische principes:

  •  Legitieme doelbinding.
    - Wat is het probleem?
    - Hoe groot is het probleem?
    - Wat zijn mogelijke doelstellingen en hoe kunnen we deze meten en bereiken?

    De eerste vraag kunnen we al niet beantwoorden, we meten namelijk onvolledig en selectief. De totaal geïnfecteerde populatie is onbekend, de mensen die genezen zijn niet bekend en worden niet gerapporteerd. Wel worden we angst aangejaagd vanuit emotie en selectieve rapportages: sterfgevallen (met daarin multiple oorzaken) en IC-opnames.

    Laat ons punt duidelijk zijn, we zullen eerst het probleem in kaart moeten brengen voordat we het over conclusies en oplossingen hebben. Niet alleen de IT’ers en virologen, maar juist filosofen, rechtswetenschappers, sociologen, ondernemers en een brede vertegenwoordiging van onze samenleving moeten hierin betrokken zijn.

  • Noodzaak en proportionaliteit. Feitelijk hebben we een capaciteitsprobleem in de zorg inzake IC-capaciteit, materialen, mensen en testcapaciteit. Dan lijkt het ons duidelijk waar we de aandacht op moeten richten, ook voor toekomstige uitbraken. Test de gehele bevolking op besmetting en immuniteit zodat we het echte probleem kunnen vaststellen. 97% van de bevolking heeft helemaal niets. Zorg voor scheiding en verzorging van de kwetsbare groepen. Stop met crisis-communicatie en start met crisis-management. En neem alle behandelmethoden serieus, ook die waar niets aan verdiend kan worden door Big Pharma of Big IT.

  • Subsidiariteit. Als we het probleem kennen, wat zijn dan de oplossingen? Extra handjes tijdelijk bij de GGD? Bouwen van een IC-ziekenhuis speciaal voor deze situaties? Testcapaciteit verhogen om door cijfers onderbouwde beslissingen te kunnen nemen? Dit kan allemaal binnen ons huidige zorgsysteem, met de huisarts als aanspreekpunt.

Wij hebben deze regering vanuit vertrouwen 6 weken de tijd gegeven hun zaakjes op orde te krijgen en wat krijgen we terug? Wantrouwen en controlemiddelen. En nog steeds tekorten in middelen! Dus fix the fundamentals, regel behandel- en testcapaciteit en stop met het bouwen van technische speeltjes en draconische apps uit dictatoriale regimes in Azië. En haal Nederland zo snel mogelijk uit deze verlengde lockdown. Voor Privacy First geen 1,5-meter-samenleving als nieuwe normaal, maar een gezond-verstand-samenleving. Vanuit vertrouwen in een volwassen burger.

Gepubliceerd in Medische privacy
zaterdag, 11 april 2020 16:54

Corona app: zegen of vloek?

Opiniestuk Telegraaf

Horror-app leidt tot meer angst en wantrouwen

Vanuit Privacy First zijn wij fel tegen iedere surveillance-app en al zeker niet een die het medisch beroepsgeheim ondermijnt. Een mobiel EPD (elektronisch patiëntendossier) waarin iedere burger een potentiele verdachte is en tevens en masse alle bewegingen worden nagegaan, levert in onze ogen schijnverdenkingen en -zekerheden op, verdachtmakingen, stigmatisering en zelfcensuur. Dit vormt een enorme inbreuk op ieders bewegingsvrijheid, om nog maar niet te spreken van datalekken en hacking. Tevens zal het niet bij deze app blijven: er zijn meer (toekomstige) ziekten en gedrag in kaart te brengen. En waarom dan niet meteen het hele dossier, gekoppeld aan triage? De geschiedenis leert dat dit soort maatregelen nooit worden teruggedraaid en alleen maar worden uitgebreid.

In ons rechtssysteem is het heel simpel. We gaan uit van legitieme doelbinding, oftewel: wat is het probleem, wat is het doel en hoe kunnen we dit bereiken? De eerste vraag kunnen we al niet beantwoorden; we meten namelijk vrijwel niet. De bevolking wordt dagelijks angst aangejaagd op basis van zeer selectieve cijfers inzake intensivecare-opnames en sterfgevallen. De totale besmette populatie is onbekend en het aantal mensen dat geneest wordt niet gerapporteerd. Wat we hier zien is een crisis aangejaagd door emotie bij gebrek aan cijfers. En dan is een app de oplossing? Waarvoor precies?

Naast doelbinding zijn noodzaak en proportionaliteit (is er een redelijke verhouding tussen het middel en het doel?) cruciaal. In deze crisis is het grootste probleem een capaciteitsprobleem in de gezondheidszorg. Dan lijkt me duidelijk waar de aandacht naartoe moet gaan: capaciteitsuitbreiding met man en macht. Mensen, ic-bedden, mondkapjes, kleding, beademingsapparatuur et cetera. En natuurlijk testcapaciteit voor de gehele bevolking, zowel op infectie als op antilichamen. Zo komen we tot feiten en het vaststellen van het echte probleem. Volgens de laatste schattingen heeft 95% van onze bevolking helemaal niets en die zou nu continu met een app gecontroleerd moeten worden?

Een ander vereiste is subsidiariteit: wat zijn de alternatieve oplossingen voor een dergelijke horror-app, die alleen maar leidt tot meer angst en wantrouwen? Welke privacyvriendelijke alternatieven zijn er? Onze overheid krijgt nu vanuit vertrouwen zes weken de tijd om zijn zaakjes op orde te krijgen en de burger heeft daarom het recht om iets terug te krijgen. Welke behandelmethoden en testmiddelen zijn reeds voorhanden die de burger weer vertrouwen kunnen geven?

Alle opties dienen te worden onderbouwd met cijfers. En testen kan gewoon via ons huidige gezondheidssysteem, dus via de huisarts. Niks nieuws onder de zon. Indien iemand besmet getest wordt, kan die in overleg met de huisarts of wellicht de GGD zelf actie ondernemen. Via dezelfde huisarts kan een burger natuurlijk altijd op basis van vrijwilligheid medische gegevens delen (eventueel via een privacyvriendelijke app) om anderen te helpen in het vinden van de beste behandelmethode. Uit onze analyse blijkt echter dat anonieme apps vrijwel onmogelijk zijn.

Dus fix the fundamentals, test en los het echte probleem op in plaats van apps te bouwen. Dan kunnen we op 28 april weer aan het werk en applaudiseren voor alle ondernemende Nederlanders die deze operatie uiteindelijk financieren.

Bas Filippini,
voorzitter Privacy First

Gepubliceerd in de zaterdageditie van De Telegraaf, 11 april 2020: https://www.telegraaf.nl/watuzegt/805422902/de-kwestie-zijn-corona-apps-een-zegen-of-een-vloek.

Gepubliceerd in Columns

Met grote zorg heeft Privacy First gisteren kennisgenomen van het voornemen van de Nederlandse overheid om speciale apps te gaan inzetten ter bestrijding van de Corona-crisis. Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg. Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. In handen van criminele organisaties vormen deze data bovendien een goudmijn voor criminele activiteiten. Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen.

Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.

Gepubliceerd in Wetgeving

Autoriteit Persoonsgegevens weigert te onderzoeken of te handhaven

Op 6 maart jl. heeft OV-reiziger Michiel Jonker hoger beroep ingediend bij de Raad van State inzake de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

  1. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt;
  2. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
  3. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.
  4. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds uitwees dat er geen sprake was van enige overtreding. Jonker bestrijdt dat, omdat er ofwel zonder aangetoonde noodzaak persoonsgegevens worden verwerkt (1, 2, 4), ofwel zonder aangetoonde noodzaak reizigers die hun privacy willen behouden, worden gediscrimineerd ten opzichte van reizigers die hun persoonsgegevens afstaan (3).

Met betrekking tot de verkoop van internationale treintickets (2) heeft Jonker in februari 2020 geconstateerd dat NS ter zitting van de rechtbank (op 16 december 2019) heeft gezwegen over het feit dat er bij veel internationale tickets die NS aan klanten verkoopt, sinds november 2019 wel degelijk van klanten geëist wordt dat zij hun naam en soms ook hun geboortedatum door NS laten verwerken in een digitaal systeem. Het eerdere "ATB-systeem" waarmee voorheen anoniem tickets konden worden verstrekt is toen uitgeschakeld, en nu moeten klanten verplicht met het zogeheten "Atlantis"-systeem een "Homeprint" aanschaffen.

Jonker: "NS vindt van zichzelf dat NS daar niet verantwoordelijk voor is, omdat dit in opdracht zou gebeuren van buitenlandse vervoerbedrijven. Maar NS is als verwerker wel mede-verantwoordelijk en moet zich aan de AVG houden. De AP heeft zichzelf eerst ten onrechte onbevoegd verklaard op dit punt. Toen ik dat had ontzenuwd, vond de AP opeens dat mijn handhavingsverzoek hier niet over ging. En de rechtbank zei vervolgens dat mijn handhavingsverzoek "te onbepaald" was, hoewel ik aan de AP specifiek materiaal had aangeleverd waaruit bleek dat het anonieme systeem zou worden uitgeschakeld. Ze draaien zich in duizend bochten om redenen te vinden om mijn handhavingsverzoek af te wijzen."

Om het risico te verminderen dat het ATB-systeem niet technisch ontmanteld wordt voordat de AP alsnog onderzoek heeft gedaan, heeft Jonker bij de Raad van State tevens een verzoek om voorlopige voorziening ingediend (een soort kort geding). Hij wil dat de rechter de AP opdraagt om de privacyvriendelijke infrastructuur van het ATB-systeem te beschermen zolang er nog geen onderzoek is gedaan. Het verzoek zal vooralsnog op 30 april 2020 door de Raad van State worden behandeld.

Bij Connexxion is volgens Jonker ten eerste niet aangetoond dat de "sociale veiligheid" op buslijnen in zijn regio gevaar loopt, en ten tweede is er volgens hem ook niet aangetoond dat het weigeren van contante betaling, als één maatregel in een pakket van 23 maatregelen, op die lijnen effect heeft op de veiligheid. Jonker: "Ze roepen het woord 'veiligheid' en vinden dat ze dan voor alle buslijnen in heel Nederland iets hebben aangetoond. Maar dan kan ik net zo goed gaan roepen dat alle CV-ketels gevaarlijk zijn en daarom moeten worden afgeschaft. Deze quasi-paranoia van een club van overheden en vervoerbedrijven die al onze persoonlijke OV-data in handen wil krijgen, wordt door de AP en de Rechtbank Gelderland klakkeloos geaccepteerd. Dat is in strijd met artikel 5 AVG, waarin staat dat er een noodzaak en een welbepaald doel moeten worden aangetoond."

Het volledige hoger-beroepschrift van Jonker staat HIER online (getiteld "Lof der individualiteit - privacy, connectiviteit en autoritair denken", 191 pp).

Jonker wordt in beide zaken gesteund door Privacy First en Maatschappij Voor Beter OV (www.voorbeterov.nl).

(door omstandigheden is dit bericht met vertraging gepubliceerd)

Update 26 juni 2020: de voorzieningenrechter bij de Raad van State heeft op 12 juni jl. uitspraak gedaan en Jonkers verzoek afgewezen. Voor de uitspraak, zie https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RVS:2020:1379. Jonker: "Het is jammer, maar in ieder geval heeft mijn verzoek om voorlopige voorziening ertoe geleid dat de voorzieningenrechter vragen aan NS heeft gesteld die de AP nooit wilde stellen. Uit het antwoord van NS blijkt dat er al in 2018 door NS en andere vervoerbedrijven een besluit is genomen om het privacyvriendelijke ATB-systeem voor ticketverkoop te gaan afschaffen. Vanwege het door mij betaalde griffierecht is het wel erg duur om als burger op die manier aan waarheidsvinding te moeten doen, omdat de AP haar taak op dat punt niet wil vervullen. Maar nu dit feit bekend is, kan ik dat meenemen in de bodemprocedure."

In de bodemprocedure heeft Jonker naar aanleiding van de uitspraak van de voorzieningenrechter op 22 juni jl. een nadere motivering ingediend, waarin de reikwijdte van zijn handhavingsverzoek centraal staat. Voor de tekst van die motivering, klik HIER (pdf).

Gepubliceerd in Mobiliteit

Michiel Jonker: "Contante betaling waarborgt de privacy van bioscoopbezoekers."

De Arnhemse privacy-activist Michiel Jonker heeft bij de Rechtbank Gelderland beroep ingediend tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. De bioscoop eist sinds de verhuizing naar een pand dat miljoenen heeft gekost, pinbetaling bij aankoop van filmkaartjes aan de kassa. Daarmee dwingt de bioscoop bezoekers tot het laten verwerken van hun persoonsgegevens.

Jonker is het daar niet mee eens en heeft om die reden in augustus 2018 een handhavingsverzoek bij de AP ingediend. De AP heeft dat verzoek in november 2019 afgewezen omdat volgens de AP niemand verplicht is om contant geld als wettig betaalmiddel te accepteren. Ook stelt de AP dat de bioscoop middels haar algemene voorwaarden een "contract" met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.

Volgens Jonker is er in geval van toonbankbetalingen in een aantal gevallen echter wel degelijk een plicht om contant geld te accepteren. Hij beroept zich daarbij op informatie van een expert van de Nederlandsche Bank. "Focus Filmtheater is een arthouse-bioscoop die films vertoont over gevoelige onderwerpen, en wordt nota bene voor een deel met gemeenschapsgeld gefinancierd," zegt Jonker. "Het gaat hier om de maatschappelijke participatie van mensen. Het moet niet mogelijk zijn dat achteraf door middel van profilering wordt achterhaald voor welke films iemand in de loop der tijd belangstelling heeft getoond. Als deze bioscoop privacyvriendelijke contante betaling mag weigeren, dan is dat het signaal dat iedereen afhankelijk mag worden gemaakt van niet-anonieme methoden om betalingen te doen - via pin of via internet. Dan moet je gaan nadenken wat andere mensen, autoriteiten of geautomatiseerde systemen voor conclusies kunnen trekken over jouw keuze om wel of niet bepaalde films te zien. Dat geeft aan deze zaak een grote lading."

In de documenten die Jonker in de bezwaarprocedure heeft opgevraagd, heeft hij ook aanwijzingen aangetroffen dat er onvoldoende waarborgen zijn met betrekking tot de persoonsgegevens die via de website van de bioscoop worden verzameld. "Als je een bioscoopkaartje koopt, kunnen je gegevens worden verwerkt door op zijn minst zeven bedrijven in vijf landen. Eén van die bedrijven is Google, en de kleine lettertjes in de algemene voorwaarden van Google geven dat bedrijf zeer veel vrijheid om de verzamelde gegevens met derden te delen in zo'n beetje alle landen ter wereld. Het is niet duidelijk of er tijdige en adequate anonimisering plaatsvindt. Zoals het er nu staat, is het een vrijbrief voor privacy-aantasting."

Voor de volledige tekst van Jonkers beroepschrift, klik HIER (pdf, 94 pp).

Privacy First steunt Jonker in deze zaak.

Media:
Security.nl, 7 januari 2020: Rechtszaak over Arnhemse bioscoop die contant geld weigert
Privacyweb, 7 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
Sargasso.nl, 8 januari 2020: Rechtszaak tegen weigering contant geld door bioscoop
FOK Nieuws, 8 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
AVROTROS Radar, 8 januari 2020: Niet contant kunnen betalen: inbreuk op je privacy? (inclusief opiniepoll)
Potkaars.nl, 8 januari 2020: Michiel Jonker - War on Cash in de Bioscoop (video-interview en podcast) 
Café Weltschmerz, 8 januari 2020: Profileren op basis van bioscoopbezoek – Rico Brouwer en Michiel Jonker (video-interview)
Emerce, 10 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
De Gelderlander, 16 januari 2020: Privacystrijder blijft vechten voor betalen met contant geld bij filmhuis in Arnhem
FOK Nieuws, 17 januari 2020: Q&A met privacy-activist Michiel Jonker.
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie.

Gepubliceerd in Financiële privacy & PSD2

Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 8 januari as. in het Volkshotel in Amsterdam. De avond zal grotendeels in het teken staan van het thema Blockchain en financiële privacy. Welke actuele ontwikkelingen vinden er op dit vlak plaats? Hoe verhouden die ontwikkelingen zich tot het recht op privacy? Hoe kan blockchain zo worden ontworpen en gereguleerd dat publieke waarden als privacy, transparantie en vertrouwen erdoor worden versterkt? En welke rol zou Privacy First hierbij kunnen spelen? Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen juridisch expert Jurgen Goossens (Universiteit Tilburg), financieel expert Simon Lelieveldt en Martijn van der Veen (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2020!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 8 januari 2020, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

uitnodiging PrivacyFirst 8jan2020

Gepubliceerd in Financiële privacy & PSD2

Rechtbank behandelt beroep van OV-reiziger inzake vier structurele privacy-inbreuken. Autoriteit Persoonsgegevens weigert deze inbreuken te onderzoeken of te handhaven.

Op 16 december 2019 zal de Rechtbank Gelderland in twee direct op elkaar volgende rechtszittingen de beroepen van Michiel Jonker behandelen tegen de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

  1. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.
  2. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt.
  3. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken.
  4. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds zou hebben uitgewezen dat er geen sprake was van enige overtreding. Volgens de AP is de verwerking van persoonsgegevens in sommige gevallen niet aangetoond en zou daar dus geen sprake van zijn (2, 3, 4). Met betrekking tot de verkoop van internationale tickets van buitenlandse vervoerbedrijven door NS verklaarde de AP zichzelf eerst ten onrechte onbevoegd, maar beweert nu, nadat Jonker daartegen bezwaar maakte, dat Jonker op dit punt niet om handhaving zou hebben verzocht. Met betrekking tot de weigering van contante betaling in de bus (1) vindt de AP dat de inbreuk op de privacy acceptabel is. Ook wekt de AP, in navolging van Connexxion, de schijn dat er allerlei andere privacyvriendelijke betaalmogelijkheden voorhanden zijn, terwijl er in Jonkers woonplaats Arnhem slechts één plek is waar dat kan, maar dan wel tegen betaling van een extra toeslag. Jonker vindt dat er op die manier sprake is van privacy-discriminatie: het nadelig behandelen van mensen die met privacy willen blijven reizen.

Jonker: "Het gaat in deze zaken om drie dingen. Ten eerste dat mensen met behoud van privacy van het openbaar vervoer gebruik kunnen maken, niet alleen in een vergezochte theorie, maar ook gewoon in de dagelijkse praktijk. Het gaat er dan om dat er voldoende verkooppunten zijn waar je contant kunt betalen voor alle soorten vervoerbewijzen, en zonder dat je een extra toeslag hoeft te betalen ten opzichte van reizigers die er noodgedwongen in berusten dat hun persoonsgegevens zonder hun instemming worden verwerkt. En dat vervoerbedrijven ook geen reizigers misleiden, of stiekem hun gegevens verzamelen.

Ten tweede gaat het erom dat vervoerbedrijven niet met willekeur persoonsgegevens mogen verzamelen, als ze maar met wat algemene kreten zwaaien, bijvoorbeeld "veiligheid" of "fraudepreventie", zonder duidelijk te maken om welk specifiek, concreet probleem het nu eigenlijk gaat.

Ten derde gaat het erom dat de AP als toezichthouder en handhaver niet zomaar mag weigeren om iets te onderzoeken. Nu trekt de AP uit haar eigen weigering om het te onderzoeken, de conclusie dat er dus niks aan de hand is. Dat is alsof een politie-agent na de melding van een inbraak weigert het betreffende huis binnen te stappen, maar in plaats daarvan zegt: ik ga daar niet naar binnen, dus ik zie geen inbraak, dus er is geen inbraak, dus ik hoef daar niet naar binnen te gaan. Daar is een heel simpel woord voor: wegkijken. Veel Nederlandse toezichthouders, waaronder de AP, hebben nogal de neiging weg te kijken en op die manier aan struisvogelpolitiek te doen. Maar we betalen die toezichthouders wel van ons belastinggeld. Dat doen we niet om ze te laten wegkijken."

Gevraagd of hij bijvoorbeeld "veiligheid" dan geen serieus thema vindt, antwoordt Jonker: "Natuurlijk vind ik dat een serieus thema. Juist daarom verdient het een serieuze behandeling. Maar dat is iets heel anders dan het thema veiligheid misbruiken om precies te gaan bijhouden welke routes miljoenen onschuldige reizigers op welke momenten afleggen. Ik ben voor een serieuze analyse van concrete veiligheidsproblemen, gevolgd door maatwerk om die specifieke problemen ook echt tegen te gaan. Connexxion heeft niet aannemelijk gemaakt dat contante betaling de veiligheid op zelfs maar één buslijn in de regio serieus in gevaar zou brengen. Ik woon al meer dan twintig jaar in Arnhem. Ik ging met lijn 3 naar de dierentuin, op een mooie, zonnige ochtend. Nooit geweten dat dat onveilig was... Het moet proportioneel blijven. Maar proportionaliteit kan heel subjectief worden opgevat. Dan mag je als vervoerbedrijf alles van reizigers eisen. Dat is op dit moment de basishouding van de AP. Als vervoerbedrijven iets willen, vindt de AP het dus nodig, en wil daarom niet handhaven of serieus onderzoeken."

Gevraagd naar zijn verwachtingen over de rechtszaken, antwoordt Jonker: "Sinds de uitspraken van de Rechtbank Gelderland in twee andere beroepsprocedures, op 5 september van dit jaar, ben ik zeer sceptisch over de kwaliteit van de rechtspraak van deze instantie. Tegen die uitspraken ben ik in hoger beroep gegaan bij de Raad van State. Ik heb de rechtbank verzocht om met de behandeling van deze nieuwe zaken te wachten tot de Raad van State uitspraak heeft gedaan, om een zinloze herhaling van zetten te voorkomen. Ook zijn er inmiddels prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie over reisgegevens van OV-gebruikers. Dat wil ik ook graag afwachten, om alle partijen tijd en geld te besparen. Maar de rechtbank heeft dat verzoek helaas meteen afgewezen."

De rechtszittingen vinden plaats op 16 december 2019 om 10:30 uur in de Rechtbank Gelderland, Walburgstraat 2-4 te Arnhem. Klik HIER voor het beroepschrift van Jonker in de zaak over de weigering van contante betaling in de bus door vervoerbedrijf Connexxion (pdf).

Jonker wordt in beide zaken gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Update 17 december 2019: de twee rechtszaken werden op 16 december jl. behandeld door een meervoudige kamer van de rechtbank. Een vertegenwoordiger van Privacy First was als toehoorder aanwezig. Jonker had een enkele pleitnota voor beide zittingen gemaakt, maar de rechter stond hem niet toe die voor te lezen. Desgevraagd verwees de voorzittende rechter naar het "te ruste leggen" van de zogeheten "Nieuwe zaaksbehandeling" per 13 februari 2018, en gaf aan dat de rechtbank inmiddels werkt aan de hand van de zogeheten "professionele standaard", waarin niet meer is voorzien in de mogelijkheid voor partijen om een schriftelijk voorbereid pleidooi te houden. Jonker: "Natuurlijk moest ik daar ter zitting in berusten, immers de rechter bepaalt wat er ter zitting mag worden ingebracht. Maar het is een teken aan de wand hoe het er met onze rechtspraak voorstaat. Mijns inziens is het weigeren van pleidooien in strijd met artikel 6 van het EVRM (recht op een eerlijk proces), omdat in zo'n pleidooi de omstandigheden van het concrete geval en de ethische implicaties daarvan rechtstreeks kunnen worden verduidelijkt en bespreekbaar gemaakt. Achteraf heb ik op internet proberen na te gaan wat daarover te vinden is. In een publicatie van het Ministerie van Binnenlandse Zaken uit 2015 ("De praktijk van de Nieuwe zaaksbehandeling in het bestuursrecht") bleek dat sommige rechters mijn mening op dit punt delen." Voor de pleitnota van Jonker, klik HIER (pdf).

Tijdens beide zittingen werd eerst Jonkers verzoek behandeld om de zaken aan te houden in afwachting van uitspraken van het Hof van Justitie van de EU (HvJ EU) en de Afdeling bestuursrechtspraak van de Raad van State (ABRvS) over met name de eisen die moeten worden gesteld aan het aantonen van een noodzaak voor de verwerking van persoonsgegevens in het openbaar vervoer. De AP, NS en Connexxion zagen geen aanleiding om de zaken aan te houden. De rechtbank gaat het overwegen en zal partijen t.z.t. op de hoogte stellen van zijn standpunt.

In de eerste zitting kwam naast de vraag of er een noodzaak voor de privacy-inbreuken is aangetoond, ook de vraag aan de orde naar de precieze omvang van de verantwoordelijkheid van verwerkingsverantwoordelijken zoals NS. Is NS verantwoordelijk voor het gedrag van haar eigen baliemedewerkers, als die zonder noodzaak NAW-gegevens opeisen bij de aankoop van internationale treintickets? Jonker betoogde van wel, en op dit punt leek de AP het met hem eens te zijn. Daarnaast betoogde Jonker dat de verantwoordelijkheid voor gegevensverwerking niet mag worden zoekgemaakt tussen (binnenlandse of buitenlandse) "verwerkingsverantwoordelijken" en "verwerkers".

Voor het eerst deed NS zelf een uitspraak over het doel waarmee NS legitimatie eist wanneer iemand het restsaldo op een anonieme OV-chipkaart terugvraagt. Volgens NS is dat om een "drempelverhogend effect" te creëren om personen af te schrikken die een gestolen anonieme OV-chipkaart proberen in te leveren. Jonker wees erop dat, als dit klopt, er sprake is van een illegale handeling van NS, omdat het eisen van legitimatie om mensen af te schrikken, niet rechtmatig is en NS daartoe ook niet bevoegd is. Ook wees Jonker erop dat in geval van het teruggeven van saldo van meer dan dertig euro, er in opdracht van NS wel degelijk persoonsgegevens worden verwerkt, namelijk door Translink Systems (TLS).

Met betrekking tot het in rekening brengen van zogeheten "servicekosten" bij het contant betalen voor het opladen van anonieme OV-chipkaarten met bankbiljetten aan de balie, zonder dat er gelijkwaardige, privacyvriendelijke alternatieven zijn, werden er geen nieuwe argumenten ingebracht.

In de tweede rechtszitting ging het onder andere over de vraag of de noodzakelijkheid voor het verwerken van persoonsgegevens ten behoeve van de uitvoering van een contract (art. 6 lid 1 onder b AVG) afgeleid kan worden uit willekeurige, algemeen geformuleerde doelen die een verwerkingsverantwoordelijke (Connexxion) heeft vastgesteld, of dat er ook sprake moet zijn van een objectiveerbare, materiële noodzaak. Jonker betoogde dat uit de aangeleverde documentatie geen noodzaak viel af te leiden voor het weigeren van contant geld in de regio Arnhem-Nijmegen. Connexxion betoogde dat het niet nodig was om zo'n noodzaak voor deze regio aan te tonen, en zelfs niet eens om een "risicoprofiel per regio of per buslijn" op te stellen. Ook zag Connexxion voor zichzelf geen plicht of verantwoordelijkheid om te zorgen voor alternatieve, toegankelijke manieren voor privacyvriendelijk betalen. Dit omdat de verkooppunten volgens Connexxion niet door haarzelf worden bepaald, maar door de Stadsregio Arnhem-Nijmegen. Jonker betoogde dat een verwerkingsverantwoordelijke bij het treffen van maatregelen die een inbreuk vormen op de privacy, zelf verantwoordelijk blijft voor het zorgen voor een alternatief (subsidiariteitsbeginsel).

Ten slotte wees Connexxion erop dat Jonker niet verplicht is om het OV te gebruiken. Jonker reageerde dat het OV geen "winkel met prullaria" is, maar een essentiële publieke nutsfunctie waarvan hij en talloze andere mensen afhankelijk zijn om maatschappelijk te kunnen participeren.

Voorafgaand aan de zitting had Connexxion schriftelijk verzocht om Jonker te veroordelen tot het vergoeden van haar proceskosten vanwege "kennelijk onredelijk gebruik van het procesrecht". Na een vraag hierover van één van de rechters trok Connexxion dat verzoek aan het eind van de zitting in.

Gevraagd naar zijn indruk over de zittingen, zei Jonker: "Als je kijkt naar de letter van de wet en de bedoeling van de wetgever, sta ik sterk. Maar ik weet inmiddels uit ervaring dat dat niet alles zegt over de uitkomst van rechtszaken. Het zal er mede van afhangen of de rechters bereid zijn om niet alleen te kijken naar theoretische, algemene, niet-onderbouwde verhalen van NS en Connexxion, maar ook naar hoe het in de feitelijke praktijk functioneert, en naar de manier waarop de verschillende inbreuken op de privacy elkaar versterken. Cumulatief ontstaan er daardoor grote effecten waardoor er van de privacy weinig overblijft."

Update 6 februari 2020: de rechtbank Gelderland heeft op 4 februari jl. uitspraak gedaan in beide zaken, en deze op 5 februari gepubliceerd. De rechtbank verklaarde beide beroepen ongegrond, waarbij de rechtbank de argumentaties van de AP volgde.

Jonker: "Wat ik al vermoedde, is opnieuw gebeurd: de rechtbank heeft de argumentatie van de AP overgenomen en herhaalt die nog eens, maar gaat niet in op argumenten die ik daartegenin heb gebracht. Daar zwijgt de rechtbank over, of hij verwerpt ze zonder inhoudelijk te onderbouwen waarom.

Gevraagd naar een voorbeeld, antwoordt Jonker: "Als het bijvoorbeeld gaat om de weigering van contante betaling in de bus, dan verwijst de rechtbank, net als de AP, naar een door een conglomeraat van overheden en vervoerbedrijven gezamenlijk opgesteld "Actieprogramma Sociale Veiligheid in het OV", maar negeert wat ik over de inhoud van dat plan heb gezegd. Ik heb aangevoerd dat uit dat de tekst van dat plan geen noodzaak blijkt voor de weigering van contante betaling in de bus. De rechtbank stelt: er is een plan, daarin wordt een doel genoemd, en dus is de verwerking van persoonsgegevens nodig. Dat is geen rechtspraak, maar het napraten van een bestuursorgaan. De rechtbank stelt zich op deze manier niet op als een onafhankelijke uitlegger van de wet, maar als een verlengstuk van een conglomeraat van polder-organisaties, en als advocaat van de bestuurlijke consensus die binnen dat conglomeraat is gevormd. Die consensus is kennelijk dat reële privacy, zoals die tot 2014 in het OV bestond, mag en moet worden afgeschaft. Als de bestuursrechtspraak zo functioneert, kun je de scheiding der machten net zo goed opheffen. En dan kan ik beter mijn wetskennis aan de wilgen hangen en me omscholen door middel van een cursus 'Hoe kom ik in het gevlei bij machthebbers'. We zien hier dat de afbraak van de rechtsstaat zich in het hoofd van de rechters al voltrokken heeft, zonder dat zij dat zelf willen beseffen."

Gevraagd naar zijn volgende stappen, geeft Jonker aan in hoger beroep te zullen gaan bij de Raad van State. "Ik had verzocht om beide zaken aan te houden in afwachting van een uitspraak van de Raad van State in de zaak over privacy in het OV waarover de rechtbank op 5 september vorig jaar uitspraak deed, omdat die op enkele cruciale punten overlapt met de huidige zaak. De rechtbank heeft dat verzoek afgewezen omdat de zaken niet op alle punten met elkaar overeenkomen. Maar dat was ook niet mijn betoog. Het gaat immers om verschillende zaken. Ik had betoogd dat de uitkomst van de huidige zaken voorspelbaar is als de Raad van State mijn hoger beroep ongegrond zou verklaren, en dat het dus zin had om af te wachten of dat gebeurt. Maar nu ben ik dus genoodzaakt om voorafgaand daaraan weer twee separate procedures bij de Raad van State aan te spannen, en daarvoor griffierechten te betalen. Op deze manier werpt de rechtbank voor de burger een zo groot mogelijke hindernis op om tot zijn recht te komen. Deze mentaliteit is een zorgwekkende ontwikkeling met het oog op het behoud van de rechtsstaat. Het enige wat ik nu kan doen, is hopen dat de Afdeling bestuursrechtspraak van de Raad van State anders met de materie omgaat, en dat ondertussen de publieke opinie in toenemende mate wakker wordt over wat hier aan het gebeuren is. Niet alleen met onze privacy, maar ook met onze rechtsstaat."

Zie voor de volledige uitspraken van de rechtbank op rechtspraak.nl ECLI:NL:RBGEL:2020:619 en ECLI:NL:RBGEL:2020:622.

Media:
Omroep Gelderland, 5 februari 2020: Arnhemse privacystrijder krijgt van rechter ongelijk over anoniem reizen
De Gelderlander, 5 februari 2020: Arnhemse privacyvechter Jonker vangt bot in zaak over anoniem reizen met het ov
Security.nl, 5 februari 2020: Arnhemmer verliest zaken over privacy in het openbaar vervoer
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie.

Update 10 maart 2020: op 6 maart jl. heeft Jonker bij de Afdeling bestuursrechtspraak van de Raad van State hoger beroep ingediend tegen de beide uitspraken van de rechtbank. In zijn hoger beroep gaat Jonker ook in op fundamentele vragen met betrekking tot "connectiviteit" en "autoritair denken". Jonker: "Na de uitspraken van de rechtbank op 4 februari jongstleden, was het me duidelijk dat er sprake is van twee fundamentele problemen als het gaat om rechtspraak over privacy. Het eerste probleem is de trend om de digitalisering van alles kritiekloos te omarmen, in plaats van daarin bewuste keuzes te maken: wat wel, en wat (nog) niet? En zo ja, hoe kan privacy dan op een reële manier worden gewaarborgd? Dat wordt dan 'connectiviteit' genoemd. Helaas hollen niet alleen bedrijven en ministeries achter die trend aan, maar ook de toezichthouder en sommige rechters.

Het tweede probleem is de autoritaire manier van denken die daarmee gepaard gaat, maar waarvan de toezichthouder en sommige rechters zich onvoldoende bewust lijken te zijn. De mens wordt gereduceerd tot een instrument voor de verwezenlijking van digitale ambities, en wordt dan niet langer gezien als een individu met een vrije wil, verantwoordelijkheid en rechten. In combinatie met elkaar leiden deze twee trends tot een totalitaire inrichting van de maatschappij, als er niet tijdig grenzen aan worden gesteld. Ik hoop dat de Raad van State dat nu zal doen, met verwijzing naar artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Dat beschermt het privéleven, wat meer is dan alleen persoonsgegevens."

Daarnaast heeft Jonker voor één van de vier onderdelen van zijn hoger beroep tevens een verzoek om voorlopige voorziening ingediend, waarin hij de Raad van State verzoekt om de AP te gelasten snel in te grijpen om het technisch buiten werking stellen van het zogeheten "ATB-systeem" voor de verkoop van internationale treintickets vooralsnog te stoppen, totdat de AP daar onderzoek naar heeft gedaan, in samenwerking met andere toezichthouders binnen de EU.

Jonker: "De AP en de rechtbank hebben feiten genegeerd die ik al op 31 januari 2019 onder de aandacht van de AP bracht, namelijk dat NS en andere railvervoerbedrijven aantoonbaar voornemens waren het ATB-systeem af te schaffen. Met dat systeem worden al tientallen jaren privacyvriendelijke, internationale treintickets verkocht. In februari 2020 bleek mij dat het ATB-systeem in november 2019 is afgeschaft. Als gevolg daarvan word ik nu verplicht om bij treinreizen naar Duitsland of Frankrijk mijn naam op te geven als ik een ticket koop, en die naam wordt dan verwerkt in een systeem. Als ik naar Frankrijk ga moet ik ook nog mijn geboortedatum opgeven. In de rechtszitting op 16 december 2019 heeft NS daar echter over gezwegen. Op die manier heeft NS niet alleen in samenwerking met andere vervoerbedrijven de privacy bij die tickets afgeschaft, maar ook heeft NS de rechtbank op dit punt willens en wetens misleid. Ik wil dat de Raad van State de AP verplicht om de afschaffing van het ATB-systeem nu alsnog te gaan onderzoeken, en om van de vervoerbedrijven te verlangen dat die het ATB-systeem als infrastructuur technisch in stand houden totdat het onderzoek is voltooid, zodat er geen onomkeerbare situatie ontstaat."

Voor het volledige hoger-beroepschrift van Jonker, getiteld "Lof der individualiteit - privacy, connectiviteit en autoritair denken", klik HIER (pdf, 191 pp).

Gepubliceerd in Mobiliteit

Deze week vond in de Tweede Kamer (Vaste commissie voor Infrastructuur en Waterstaat) een interessant 'rondetafelgesprek' plaats over de toegang tot data in het openbaar vervoer. Naarmate de hoeveelheid data (waaronder persoonsgegevens) in het openbaar vervoer toeneemt, is er sprake van een toenemende druk om deze data met diverse partijen te delen en voor allerlei doelen te gaan gebruiken. Dit staat op gespannen voet met het recht op privacy van de individuele reiziger. Privacy First maakt zich al jaren sterk voor het recht op privacy en anonimiteit in het openbare domein, waaronder het openbaar vervoer. Wij reageerden daarom direct positief op de uitnodiging van de Tweede Kamer om aan dit rondetafelgesprek deel te nemen. Aan alle deelnemers werd verzocht om vooraf hun voornaamste standpunten kenbaar te maken middels korte position papers (maximaal twee A4). Klik HIER voor de position paper van Privacy First (pdf) en HIER voor de position papers van de overige genodigden, waaronder CBS, Translink en reizigersvereniging Rover. De belangrijkste standpunten van Privacy First luiden als volgt:

1. Iedere reiziger heeft recht op anonimiteit in het openbaar vervoer.
2. Alleen geanonimiseerde, geaggregeerde data mogen - onder strikte waarborgen - gedeeld worden.
3. Geen massa-surveillance in het openbaar vervoer.
4. Transparantie bij privacy-inbreuken.
5. Privacy-waarborgen bij reizigersonderzoek.
6. Aantoonbaar gebruik van privacy by design.

Privacy First maakte van de gelegenheid gebruik door voor het rondetafelgesprek een OV-ervaringsdeskundige bij uitstek af te vaardigen: privacy-activist Michiel Jonker voerde namens ons het woord. Enig gevoel van urgentie ten aanzien van privacy bleek bij de aanwezige Kamerleden en overige genodigden echter grotendeels afwezig, aldus Jonker in zijn eerste reactie na afloop. Zijn algehele kritische impressie van het rondetafelgesprek zal Privacy First spoedig op deze pagina publiceren. Hieronder kunt u alvast de video van de volledige sessie terugkijken en uw eigen conclusies trekken.

Update 8 oktober 2019: lees HIER de gehele impressie en analyse die Michiel Jonker (op persoonlijke titel) schreef naar aanleiding van het rondetafelgesprek op 10 september jl. (pdf, 67 pp).

Gepubliceerd in Mobiliteit
Pagina 1 van 16

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon