donatieknop english

De nieuwe EPD-wet van minister Schippers schept al een jaar verwarring in de Eerste Kamer. Voor patiënt noch arts is het duidelijk wie straks na het geven van toestemming medische gegevens kan raadplegen. Na twee jaar troebele discussie, wil de minister de patiënt het allemaal zelf laten regelen. Daarmee gaat ze ten onrechte de fundamentele privacydiscussie uit de weg.

Het wetsvoorstel dat de juridische basis moet gaan vormen voor het privaat doorgestarte Elektronisch Patiëntendossier (wetsvoorstel 33509) wordt inmiddels al een jaar aangehouden door de Eerste Kamer. De Senaat heeft gegronde twijfels bij het wetsvoorstel, dat onder meer moet gaan regelen hoe een vertrouwelijke behandelrelatie moet worden gewaarborgd bij het digitaal toegankelijk maken van medische gegevens. Begin april jl. nodigden Eerste Kamerleden voor de tweede maal een panel met deskundigen uit die hun commentaar op het wetsvoorstel mochten leveren. SpecifiekeToestemming.nl was één van de genodigden bij deze recente expert-meeting en leverde voorafgaand aan de bijeenkomst schriftelijke input (PDF).

SpecifiekeToestemming.nl

SpecifiekeToestemming.nl is een onafhankelijke campagne die na de indiening van het wetsvoorstel in 2014 werd gelanceerd op initiatief van Stichting Privacy First en het Platform Bescherming Burgerrechten. Kern van deze campagne is dat specifieke toestemming (weer) het leidende beginsel moet worden bij de uitwisseling van medische gegevens. De campagne wordt gesteund door talrijke maatschappelijke organisaties, zorgverleners en andere professionals. 

EPD alsnog van wettelijke basis voorzien

Het huidige wetsvoorstel van minister Schippers is in de eerste plaats bedoeld om het LSP-systeem (Landelijk Schakelpunt) waarvoor de Eerste Kamer de wetgeving in 2011 unaniem verwierp, alsnog van een wettelijke basis te voorzien. SpecifiekeToestemming.nl woordvoerder Vincent Böhre stelde tijdens de expert-meeting: “De infrastructuur van het EPD werd door private partijen doorgestart in de vorm van het Landelijk Schakelpunt. Zo zagen wij het destijds en zo zien wij het nog steeds grotendeels, met alle manco’s die destijds in de infrastructuur zaten en nog steeds zitten. In onze optiek is de infrastructuur te grootschalig en inherent onveilig, met generieke, ongerichte en onbepaalde toestemming.”

SpecifiekeToestemming.nl wijst sinds de indiening van het wetsvoorstel op de onoverzichtelijke toestemming die patiënten volgens de nieuwe EPD-wet kunnen geven. Mede onder druk van deze campagne werd het geven van generieke (brede, ongerichte) toestemming in 2014 door de Tweede Kamer uit de wet gehaald. Een stap in de goede richting.

Gegoochel met termen

Sinds de Tweede Kamer generieke toestemming schrapte, werd de wet echter alleen maar ingewikkelder. Minister Schippers introduceerde een nieuwe vorm van toestemming genaamd “gespecificeerde toestemming”, die veel vragen opriep tijdens de behandeling in de Senaat en de aldaar gehouden expert-meetings. Wie het wetsartikel (15a) over "gespecificeerde toestemming" nauwkeurig bekijkt, moet concluderen dat dit nog steeds een zeer brede, onoverzichtelijke toestemming kan betekenen die de oorspronkelijke bezwaren tegen generieke toestemming niet wegneemt.

Bovendien, zo moest minister Schippers later zelf ook vaststellen, zijn huidige systemen (lees: het LSP) in hun ontwerp niet uitgerust om iets anders dan generieke toestemming mogelijk te maken – zo ook haar eigen “gespecificeerde toestemming”. Totdat dat zover is, wil de minister dat “gedurende een driejarige overgangsperiode een generiek ‘ja’ of ‘nee’ volstaat”, zo schreef ze in december 2015 aan de Eerste Kamer. Met andere woorden: als het aan de minister ligt, wordt generieke toestemming alsnog de standaard wijze van toestemming geven.

Gevoelig punt geraakt

SpecifiekeToestemming.nl schreef hierover een brief aan de Eerste Kamer, waarin ze erop wees dat generieke toestemming, ook voor drie jaar, onacceptabel was, daarbij verwijzend naar het amendement van de Tweede Kamer dat generieke toestemming uit het wetsvoorstel schrapte. In reactie daarop stelde de minister juist weer dat het helemaal niet de bedoeling was dat er generieke toestemming werd gevraagd: “Het is niet zo dat de toestemmingsvraag generiek is. [...] Wel kan het antwoord op de toestemmingsvraag generiek zijn,” aldus de minister. Volgens SpecifiekeToestemming.nl is dit een onbegrijpelijke redenering, die illustreert in welke bochten de uitleg van dit wetsvoorstel moet worden gewrongen om de onoverzichtelijke toestemming die minister Schippers wil invoeren, alsnog te legitimeren. Een generiek antwoord op een specifieke vraag is immers een contradictio in terminis. SpecifiekeToestemming.nl woordvoerder Vincent Böhre zei hierover tijdens de expert-meeting: “Met alle respect, haar brief komt op mij over als gegoochel met termen, waardoor het alleen maar onduidelijker wordt. Wij vinden het standpunt van de minister hierover onbegrijpelijk. We hadden met onze brief aan de Eerste Kamer blijkbaar een gevoelig punt geraakt.”

Volgens minister Schippers is de vraag “mag ik uw medische gegevens toegankelijk maken voor alle op het systeem aangesloten zorgverleners?” overigens een specifieke vraag, zo blijkt uit haar brief. SpecifiekeToestemming.nl is het hier volstrekt mee oneens. Als een patiënt een dergelijke vraag met “ja” beantwoordt, geeft deze immers een brede, ongerichte toestemming waarbij op voorhand niet duidelijk is wie voor welke reden toegang kan krijgen tot welke gegevens – kortom, weinig specifiek.

Overhaast patiëntportaal ingevoerd

De hele discussie over generiek, gespecificeerd en specifiek toestemming vragen of geven wordt door minister Schippers echter gelaten voor wat ze is. In haar laatste uitgebreide brief slaat ze een nieuwe richting in als het gaat om het uiteindelijke doel van deze wet: in de toekomst moet de patiënt de volledige regie krijgen over wie toegang heeft tot welke medische gegevens. Dit moet gaan gebeuren via een online patiëntportaal, zo blijkt uit het voorstel van de minister.

“Wij vinden dat een onverantwoorde verschuiving van de verantwoordelijkheid en ook van de aansprakelijkheid in sommige gevallen”, stelde Böhre hierover tijdens de expertmeeting. De regie over de inhoud en de toegang van het zorgdossier dient volgens SpecifiekeToestemming.nl in de eerste plaats bij arts en patiënt gezamenlijk te blijven, zoals het medisch beroepsgeheim en de wetgeving rondom patiëntprivacy voorschrijven. Als de patiënt dit allemaal zelf moet gaan regelen, krijgt deze een (te) grote verantwoordelijkheid die in de praktijk snel fout kan uitpakken – zowel wat betreft de toegankelijkheid van gegevens, maar ook het niet toegankelijk zijn van gegevens terwijl dat wel nodig is.

De huidige wetgeving regelt dat de arts de patiënt gericht toestemming vraagt, en dat zou het uitgangspunt moeten blijven volgens SpecifiekeToestemming.nl. De zorgverlener is vrijwel altijd beter op de hoogte van welke gegevens relevant zijn voor een zorgvraag, en is bovendien wettelijk en tuchtrechtelijk aansprakelijk voor de kwaliteit en vertrouwelijkheid van deze informatie. Dit is een verantwoordelijkheid die je niet zomaar kunt overdragen aan een patiënt – zeker niet iedere patiënt. Door een portaal met eigen beheer niet als extra mogelijkheid maar als norm te stellen, worden de voordelen van patiënten die hier baat bij hebben ondergesneeuwd door de risico’s van een onverantwoord beheer.

Bovendien ontwijkt Schippers, door volledig in te zetten op eigen regie, de fundamentele discussie over de reikwijdte en overzichtelijkheid van de toestemming, die overigens ook bij de invoering van een patiëntenportaal noodzakelijk is. Voor zo’n toepassing, die plaatsvindt buiten de directe zorg, zou alleen al een apart wetsvoorstel moeten worden geschreven. Het wetsvoorstel zoals minister Schippers dat nu heeft voorgelegd bevat immers geen beschermend kader voor het ontwikkelen van een “patiëntgeheim” en alle kwesties omtrent verantwoordelijkheid en aansprakelijkheid die voor een dergelijk systeem noodzakelijk zijn.

Documenten:

Schriftelijke input SpecifiekeToestemming.nl t.b.v. expert-meeting Eerste Kamer 5 april 2016

Woordelijk verslag expert-meeting Eerste Kamer 5 april 2016

Brief en begeleidend schrijven van minister Schippers d.d. 8 maart 2016 aan Tweede Kamer ter reactie op brief SpecifiekeToestemming.nl aan Eerste Kamer d.d. 18 januari 2016.

Gepubliceerd in Medische privacy

Onlangs diende bij de Raad van State een opvallende rechtszaak van een individuele Arnhemmer tegen de lokale afvalpas. In steeds meer Nederlandse gemeenten kunnen burgers hun huisvuil alleen nog met behulp van een gepersonaliseerde afvalpas in ondergrondse vuilniscontainers deponeren. Dit is in strijd met het recht op privacy. 

Geen anonieme pas

Iedere afvalpas is gekoppeld aan een individueel huisadres. Hierdoor kunnen gemeenten precies nagaan wie waar en wanneer zijn/haar vuilnis weggooit en daarmee ook inzage hebben in ieders levenspatroon, zoals wanneer iemand doorgaans thuis of afwezig is of op vakantie is. Zeer gevoelige data dus, bijvoorbeeld voor hackers en inbrekers. De Arnhemmer Michiel Jonker beschouwt dit terecht als een schending van zijn recht op privacy. Voor het gebruik van huisvuilcontainers is immers geen huisvuilpas "op naam" nodig; een anonieme huisvuilpas is daartoe voldoende.

Geen besluit

Tijdens de (door Privacy First en media bijgewoonde) rechtszitting kon de gemeente Arnhem niet beargumenteren waarom voor dit type huisvuilpas gekozen was i.p.v. een privacyvriendelijk, anoniem alternatief. Desgevraagd kon de gemeente Arnhem de rechters ook niet goed vertellen voor welke doelen de informatie van de huisvuilpas wordt gebruikt. Op de vraag van de rechters welk gemeentelijk besluit er aan de invoering van de huisvuilpas ten grondslag lag, bleef het in de rechtszaal eveneens pijnlijk stil.

Kafka

Wegens het gebrek aan een deugdelijk invoeringsbesluit had de rechtbank Gelderland eerder de persoonlijke kennisgeving aan alle Arnhemmers (per brief) over de invoering van de huisvuilpas als dergelijk besluit aangemerkt. De nieuwe huisvuilpas vormt immers een inbreuk op hun recht op privacy en zonder formeel besluit terzake zou er een gat in de rechtsbescherming ontstaan. Om een dergelijke maatregel te kunnen aanvechten is namelijk een bestuursrechtelijke rechtsingang nodig: een formeel besluit waartegen bezwaar en beroep openstaat. Zo'n besluit bestaat in Arnhem (en ook in andere gemeenten?) echter niet. Dus bevinden de Arnhemmers zich met hun vuilnis in een juridisch niemandsland. Privacy First betreurt het dat de Raad van State dit niet heeft willen 'repareren' (zoals de rechtbank eerder wel deed) en de heer Jonker nu met een formalistisch kluitje in het riet stuurt. Onbegrijpelijk is bovendien het oordeel van de Raad van State dat de huisvuilpas "geen rechtsgevolg" zou hebben. Gezien de onmiskenbare aantasting van het recht op privacy door de huisvuilpas is dit standpunt van de Raad van State simpelweg onhoudbaar.  

Straatsburg

Hierdoor is de heer Jonker na twee jaar procederen weer terug bij af. Via media-bronnen begreep Privacy First dat de woordvoerder van de Raad van State de zaak had verwezen naar de civiele rechter. Probleem is echter dat de civiele rechter dit soort zaken de laatste jaren juist naar de bestuursrechter verwijst. Hierdoor dreigt dubbele niet-ontvankelijkheid. Bovendien vergt civielrechtelijk procederen meestal een dure advocaat en een lange, complexe rechtsgang. Privacy First zal de heer Jonker dan ook adviseren om deze zaak voort te zetten bij het Europees Hof voor de Rechten van de Mens in Straatsburg wegens schending van art. 6, 8 en 13 EVRM (recht op toegang tot de rechter en een effectief rechtsmiddel, alsmede schending van het recht op privacy). Capabele advocaten die de heer Jonker hierin graag pro deo zouden willen bijstaan kunnen zich vanaf heden melden bij Privacy First.

Gemeenteraad aan zet

Privacy First hoopt tevens dat de Arnhemse gemeenteraad spoedig orde op zaken zal stellen. Zolang aan de Arnhemse afvalpas geen deugdelijk, met privacywaarborgen omgeven besluit ten grondslag ligt of zolang deze pas niet vervangen wordt door een privacyvriendelijk alternatief, kan het Arnhemmers immers moeilijk verweten worden als zij hun afvalpas voortaan thuis laten en hun vuilniszak naast de container dumpen.

Klik HIER voor de volledige uitspraak van de Raad van State d.d. 26 april jl.

Hieronder een overzicht van media tot nu toe, inclusief commentaar Privacy First:
http://www.volkskrant.nl/binnenland/digitaal-gesnuffel-in-de-moderne-vuilnisbak~a4303367/
http://www.rtlz.nl/tech/gemeente-mag-burgers-volgen-bij-weggooien-afval
http://www.gelderlander.nl/regio/arnhem-e-o/arnhem/rvs-oordeelt-niet-in-kafka%C3%ABske-uitspraak-over-arnhems-afvalpasje-1.5963198
http://www.telegraaf.nl/binnenland/25676495/___Spionage__bij_afvaldumping_mag__.html
http://www.omroepgelderland.nl/nieuws/2109046/Arnhemmer-blijft-doorknokken-voor-huisvuilprivacy
https://www.security.nl/posting/469014/Uitspraak+RvS+over+privacyschending+bij+inzamelen+huisvuil http://www.binnenlandsbestuur.nl/digitaal/nieuws/rvs-keurt-adres-gekoppelde-afvalpas-arnhem-goed.9533170.lynkx

Voorafgaand en na de rechtszitting: 
https://www.privacynieuws.nl/nieuwsoverzicht/binnenlands-nieuws/politiek-en-overheid/16920-raad-van-state-beoordeelt-privacy-schending-bij-gemeentelijke-inzameling-van-huishoudelijk-afval-in-arnhem.html 
http://www.radio1.nl/item/347552 (2 delen)
http://www.bnr.nl/?service=player&type=archief&fragment=20160310071750300 (vooruitblik Brenno de Winter)
http://www.gelderlander.nl/regio/arnhem-e-o/arnhem/arnhemmer-koppeling-afvalpas-aan-woonadres-schendt-privacy-1.5810647 
http://motherboard.vice.com/nl/read/deze-arnhemmer-probeert-te-voorkomen-dat-je-privacy-bij-het-vuilnis-komt-te-ligg
http://www.gelderlander.nl/regio/arnhem-e-o/arnhem/arnhem-gebruikt-persoonlijke-gegevens-afvalpas-niet-1.5823992

Gepubliceerd in Privacy First in de media

Vandaag is een historische dag in positieve én in negatieve zin: enerzijds zette het Europees Parlement vandaag een belangrijke privacystap vooruit met de aanname van de Algemene Verordening Gegevensbescherming. Anderzijds stemde het Europees Parlement vandaag in met massale opslag van Europese passagiersdata. Iedere vliegtuigpassagier wordt hierdoor een potentiële verdachte.  

De Algemene Verordening Gegevensbescherming zal de nationale privacywetgeving in alle EU-lidstaten (waaronder de Nederlandse Wet bescherming persoonsgegevens) gaan vervangen en grosso modo voor betere privacybescherming in de hele Europese Unie gaan zorgen. Zo worden Privacy Impact Assessments en Privacy by Design verplicht; twee belangrijke zaken waar Privacy First al jaren voor pleit. Fundamentele privacybeginselen als noodzakelijkheid, proportionaliteit en subsidiariteit (verplichte inzet van privacyvriendelijke alternatieven) worden sterker verankerd en beter uitgewerkt. Het is dan ook verbazingwekkend dat het Europees Parlement vandaag tegelijkertijd ook een andere maatregel heeft aangenomen waardoor deze beginselen juist met voeten getreden worden: de Europese Richtlijn Passagiersgegevens ('Passenger Name Records', PNR) inzake alle vliegtuigpassagiers binnen en buiten de Europese Unie. Onder deze PNR-richtlijn zullen de gegevens van alle Europese vliegtuigpassagiers 5 jaar lang in centrale overheidsdatabanken worden bewaard voor opsporing en vervolging van zware misdrijven, terrorismebestrijding, inlichtingenwerk, etc. Talloze reisgegevens (waaronder naam- en adresgegevens, telefoonnummers, bestemmingen, creditcardgegevens en zelfs maaltijdgegevens) van vele miljoenen mensen zullen daardoor jarenlang beschikbaar blijven voor politie, justitie en inlichtingendiensten t.b.v. datamining en profiling. In 99,99% van de gevallen betreft dit echter volstrekt onschuldige burgers, waaronder vooral vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging. Om deze reden bestond er de laatste jaren veel politieke weerstand tegen dit plan en werd het sinds 2010 reeds diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. Vorig jaar bleken ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. VVD en PvdA spraken destijds van een "vakantieregister" en dreigden zélf naar het Europese Hof van Justitie te stappen als de Europese PNR-richtlijn zou worden aangenomen. Na de recente aanslagen in Parijs en Brussel lijken veel politieke bezwaren echter als sneeuw voor de zon verdwenen. Dit terwijl de juridisch vereiste "maatschappelijke noodzaak" en proportionaliteit van massale PNR-opslag nog steeds niet zijn aangetoond. In de optiek van Privacy First is de huidige PNR-richtlijn daarmee bij voorbaat onrechtmatig. Privacy First oriënteert zich momenteel dan ook op juridische stappen om deze richtlijn alsnog van tafel te krijgen, hetzij via de nationale rechter, hetzij middels een rechtstreeks beroep bij het Europese Hof van Justitie in Luxemburg. Tevens zal Privacy First blijven pleiten voor een privacyvriendelijker PNR-systeem, waarbij alleen verdachte personen worden geregistreerd en gemonitord en het gros van de reizigers met rust zal worden gelaten.

Klik HIER voor een eerder interview met Privacy First over dit onderwerp bij BNR Nieuwsradio en HIER voor eerder commentaar van Privacy First op Radio 1 (vanaf 3m50s).

Update: klik HIER voor een korte reactie van Privacy First gisteravond in het RTL Journaal (vanaf 6m50s), later die avond herhaald door Radio 1 (vanaf 2m15s).

RTL Nieuws 14april2016

© RTL Nieuws

Gepubliceerd in Wetgeving

BNR: "De namen van personen in de Panama Papers mogen niet openbaar gemaakt worden. Dat zegt privacy-organisatie Privacy First. Het zou teveel schade aanrichten.

Over een paar weken zet het consortium van onderzoeksjournalisten ICIJ de gegevens online. Daarmee worden honderden belastingontwijkende Nederlanders mogelijk onterecht aan de schandpaal genageld, vreest Privacy First.

Volgens Bas Filippini, voorzitter van Privacy First, heeft een groot deel van de mensen niks illegaals gedaan, maar gaan zij wel veel schade ondervinden als ze zo neergezet worden. Ze worden volgens hem gecriminaliseerd. Schuldig bevonden voordat überhaupt onderzoek gedaan is. "Dat doen we niet eens bij echte criminelen. Terwijl het hier gaat om een industrie die legaal is. "

In de ogen van Filippini is het aan de overheid en justitie om te onderzoeken of de mensen die op de lijst staan te checken, niet aan onderzoeksjournalisten. "Dat mensen deze constructies gebruiken voor witwassen en andere illegale zaken is duidelijk. Maar nu wordt suggestie gemaakt dat mensen die voorkomen in de Panama Papers gebruik maken van een constructie die niet legaal is.""

Bron: http://www.bnr.nl/nieuws/194822-1604/privacy-first-maak-namen-panama-papers-niet-openbaar, 7 april 2016. Audio: klik HIER of beluister hieronder het volledige interview met Privacy First voorzitter Bas Filippini:

Gepubliceerd in Privacy First in de media

In de visie van Privacy First omvat het recht op privacy ook het recht op anonieme betaling. Dit recht staat de laatste jaren echter steeds meer onder druk. Contant geld wordt meer en meer uitgebannen, zonder dat daar anonieme digitale alternatieven voor in de plaats komen. In hoeverre bestaat er een recht op contante of anderszins anonieme betaling? Hoe kan dit recht juridisch worden versterkt en technisch worden gerealiseerd?

Over deze en andere vragen debatteert Privacy First op 7 april as. onder leiding van moderator Ancilla Tilia (columnist FD) met een viertal gastsprekers: Vincent Jansen (Innopay – Payments & Digital Identity), Bram Scholten (DNB), Eric Verheul (KeyControls/Radboud University) en Olivier Oosterbaan (Leopold Meijnen Oosterbaan Advocaten). De avond wordt geopend door Privacy First voorzitter Bas Filippini. Na afloop van het publieksdebat sluiten we af met een borrel.

Iedereen is welkom en toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: donderdag 7 april 2016, 20.00-22.00u (inloop vanaf 19.30u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Betonnen Zaal, begane grond). Dit is tevens de kantoorlocatie van Privacy First. Een routebeschrijving vindt u HIER.

Klik HIER voor de uitnodiging die Privacy First onlangs aan haar netwerk verzond. Wilt u voortaan ook een uitnodiging voor onze evenementen ontvangen? Stuur ons dan een bericht, dan zetten wij u op onze mailinglist! Bent u overigens al donateur van Privacy First? Dit kan ook anoniem! ;)

Gepubliceerd in Evenementen

"Boordcomputers gemakkelijk te kraken. Tweede Kamer bespreekt wetsvoorstel.

Auto's dreigen speelbal te worden van cybercriminelen en de politie. Dat komt omdat de computersystemen aan boord kinderlijk eenvoudig te kraken zijn. De ANWB en verschillende privacyorganisaties maken zich daar grote zorgen over.

De auto- en privacyorganisaties vrezen dat agenten auto's op de snelweg van afstand kunnen stopzetten, met alle gevaren voor de overige weggebruikers van dien.

Vandaag wordt in de Tweede Kamer gesproken over het wetsvoorstel Computercriminaliteit, waarin is opgenomen dat de politie de mogelijkheid krijgt om vrijwel alle computers die op internet aangesloten zijn, te kunnen hacken. De ANWB vreest dat de politie door het hacken van boordcomputers auto's op afstand staande kan houden.

„Dat kan bijvoorbeeld als alternatief voor het creëren van een filefuik gebeuren", zegt directeur Frits van Bruggen van de ANWB. „De ANWB vindt dit zowel vanuit het oogpunt van verkeersveiligheid als privacybescherming zeer zorgelijk. Daarnaast werkt brede toegankelijkheid van genoemde systemen voertuigcriminaliteit in de hand."

Het ministerie van Veiligheid en Justitie erkent dat navigatiesystemen en boordcomputers gehackt kunnen worden. (...) Hoewel het hacken van auto's voor velen als sciencefiction klinkt, is het dichterbij dan ooit, juist omdat er steeds meer geavanceerde apparatuur in auto's wordt geplaatst. „Technisch is het absoluut mogelijk om een auto tot stilstand te brengen via een hack", zegt privacyonderzoeker Jaap-Henk Hoepman van de Radboud Universiteit. „In Amerika is dat recentelijk al gebeurd."

Volgens deskundigen als Wim van Campen is hacken van auto's bijzonder gemakkelijk, omdat de meeste autofabrikanten geen of nauwelijks aandacht hebben voor de beveiliging van de systemen aan boord. (...)

Privacyorganisaties Bits of Freedom en Privacy First zijn eveneens fel gekant tegen het wetsvoorstel. Volgens de belangenclubs zijn de maatschappelijke noodzaak en proportionaliteit ver te zoeken. „De hackbevoegdheid in het wetsvoorstel beperkt zich immers niet tot apparaten van verdachten, maar ook tot daarmee in verbinding staande apparatuur van onschuldige, nietsvermoedende burgers. De minister sluit in de memorie van toelichting zelfs niet uit dat pacemakers worden gehackt.""

 

Bron: Telegraaf 11 februari 2016, sectie Binnenland, p. 10. Tevens online beschikbaar, klik HIER.

Gepubliceerd in Privacy First in de media
donderdag, 11 februari 2016 08:11

Politie wil alle computers kunnen hacken

Vandaag vindt in de Tweede Kamer een belangrijke hoorzitting plaats over het wetsvoorstel Computercriminaliteit III. In dit kader leverde Privacy First gisteren kritische inbreng aan relevante Kamerleden. Enkele passages uit onze brief verschenen vanochtend in De Telegraaf, klik HIER. Hieronder de volledige tekst van onze brief (klik HIER voor de originele versie in pdf):

Geachte leden van de Tweede Kamer,

Morgen vindt een hoorzitting plaats over het wetsvoorstel Computercriminaliteit III. Door dit wetsvoorstel dreigt de overheid zelf de grootste cybercrimineel te worden. Privacy First zet hieronder kort uiteen waarom.

Pacemakers hacken

Onder het wetsvoorstel krijgt de politie de bevoegdheid om vrijwel alle computers die op internet aangesloten zijn te kunnen hacken, inclusief smartphones, televisies, fototoestellen, autonavigatie, boordcomputers, medische systemen, etc. etc. De politie wil zelfs pacemakers kunnen hacken, zo blijkt uit p. 86 van de Memorie van Toelichting bij het wetsvoorstel. Geen enkel apparaat wordt uitgesloten. Enige voorwaarde lijkt slechts te zijn dat het betreffende apparaat in verbinding staat met het internet. Met het 'Internet of Things' in zicht (waarbij vrijwel de hele maatschappij op internet aangesloten kan worden, tot en met sportschoenen en koelkasten aan toe) is deze bevoegdheid ronduit totalitair. Het zal dan ook slechts een kwestie van tijd zijn voordat de hackbevoegdheden in dit wetsvoorstel voor allerlei onvoorziene doelen worden gebruikt en misbruikt. Het huidige wetsvoorstel beperkt dit totaal niet en laat er juist alle ruimte toe. Reeds op basis hiervan dient het wetsvoorstel verworpen te worden.

Disaster by legal design

In politiekringen wordt de doelverschuiving (function creep) die in dit wetsvoorstel ingebakken zit juist beoogd, zo weet Privacy First uit betrouwbare bron. Bijvoorbeeld om auto’s op afstand te kunnen hacken en stilzetten (politiefuik op afstand). Technisch is dit prima mogelijk te maken en het wetsvoorstel verbiedt dit ook niet. De risico’s hiervan voor de verkeersveiligheid (met name ook van onschuldige inzittenden en omstanders) zijn echter enorm. Hetzelfde geldt voor computers in ziekenhuizen, industrie, vitale infrastructuur, etc. Waarom legt het wetsvoorstel in dit opzicht geen enkele beperking op?

Noodzaak ontbreekt

De internationaalrechtelijk vereiste “maatschappelijke noodzaak” en proportionaliteit van dit wetsvoorstel zijn ver te zoeken, zo heeft zelfs het doorgaans coulante College Bescherming Persoonsgegevens (nu Autoriteit Persoonsgegevens) begin 2014 terecht gesteld. Vervolgens lag dit controversiële wetsvoorstel enkele jaren stil, maar lijkt nu alsnog opeens door de Tweede Kamer heen te worden gejaagd. Vanwaar opeens deze haast?

Iedere burger vogelvrij

Door dit wetsvoorstel lijkt ieders computer, tablet, smartphone etc. (zelfs in het buitenland!) vogelvrij te worden verklaard. De hackbevoegdheid in het wetsvoorstel beperkt zich immers niet tot de apparatuur van verdachten, maar ook tot daarmee in verbinding staande apparatuur van onschuldige, nietsvermoedende burgers. Iedere burger als potentieel target van de overheid. Hadden we de laatste jaren nu juist niet geleerd dat dit geen heilzame weg is voor een democratische rechtsstaat?

Kruispunt

Nederland staat momenteel op een kruispunt. Welk voorbeeld willen we voor de rest van de wereld zijn? Ons land heeft alle randvoorwaarden om van Nederland een veilig Privacy Gidsland te kunnen maken. Het huidige wetsvoorstel vormt echter een typische bouwsteen voor een politiestaat, niet voor een democratische, op vrijheid en vertrouwen gebaseerde rechtsstaat. Bij de internetconsultatie van een eerdere versie van dit wetsvoorstel in 2013 heeft Privacy First dit ook al gesteld. Afgezien van de latere schrapping van het decryptiebevel uit het wetsvoorstel is het treurig om te moeten constateren dat er sindsdien weinig veranderd is. Privacy First pleit voor privacy by design, niet alleen middels techniek, maar ook middels privacyvriendelijke wetgeving en beleid. Door dit wetsvoorstel raakt de overheid echter gebaat bij suboptimale, door de overheid te kraken ICT-beveiliging. Daarmee zet de overheid koers richting een maatschappij waarin ieders privacy illusoir wordt.

Privacy Impact Assessment ontbreekt

Nog steeds is er bij dit wetsvoorstel geen sprake van een grondige en onafhankelijke Privacy Impact Assessment (PIA). De bijbehorende “PIA” is niet meer dan een oppervlakkig afvinklijstje en is de term PIA niet waard. Ook de privacyparagraaf in de Memorie van Toelichting is flinterdun en slechts bedoeld om het wetsvoorstel te legitimeren. Gezien de veiligheidsrisico’s van dit wetsvoorstel ligt bovendien een Security Impact Assessment voor de hand. Bij deze stand van zaken kan Privacy First dit wetsvoorstel dan ook überhaupt niet serieus nemen.

Tweede Kamer aan zet

Mocht het huidige wetsvoorstel ongewijzigd beide Kamers passeren, dan zal Privacy First niet aarzelen om het door de rechter onrechtmatig te laten verklaren. Het is nu aan de Tweede Kamer om het niet zover te laten komen.

Gepubliceerd in Online Privacy

Minister Schippers van Volksgezondheid wil generieke toestemming voorlopig de standaard maken in haar nieuwe EPD-wet, waardoor met een eenmalige toestemming patiëntendossiers toegankelijk worden voor alle op het systeem aangesloten zorgverleners. Ze gaat daarmee voorbij aan de wens van de Tweede Kamer, die deze toestemmingsvorm wegens privacybezwaren schrapte uit het oorspronkelijke wetsvoorstel. Dat mag de Eerste Kamer niet laten gebeuren, schrijft onze campagne Specifieke Toestemming in een brief aan de Senaat, die zich binnenkort over het wetsvoorstel buigt.

Het wetsvoorstel Cliëntenrechten bij elektronische gegevensverwerking (33509) is de opvolger van de Wet-EPD, die in 2011 wegens privacybezwaren unaniem werd verworpen door de Eerste Kamer. Dossiers werden toegankelijk voor tienduizenden zorgverleners en hun medewerkers, zonder voorafgaande check van de dossierhoudende arts.

In de nieuwe EPD-wet die Schippers in 2014 presenteerde, moesten patiënten weliswaar vooraf toestemming geven om hun gegevens beschikbaar te stellen, maar was deze toestemming zo breed dat zowel arts als patiënt geen zicht hadden op wie welke gegevens met welk doel kon raadplegen. De Tweede Kamer vond dat onaanvaardbaar. Generieke toestemming, oftewel met een eenmalige toestemming alle op een systeem aangesloten zorgverleners toegang verschaffen, werd in juli 2014 uit het wetsvoorstel geschrapt.

In reactie hierop presenteerde de minister een nieuwe toestemmingsvorm: gespecificeerde toestemming. Anders dan deze term doet vermoeden, komt ook deze vorm van toestemming neer op een carte blanche, zo beargumenteerde Specifieke Toestemming al eerder uitgebreid naar de Eerste Kamer. In de expertmeetings en behandelingen in de Senaat bleek vervolgens dat ook Eerste Kamerleden nog veel vraagtekens hadden bij Schippers’ gespecificeerde toestemming.

Die bezwaren lijken echter voorbarig, nu deze vorm van toestemming überhaupt niet realiseerbaar blijkt. Huidige systemen om medische gegevens mee uit te wisselen, waarvan het Landelijk Schakelpunt (LSP, het voormalige EPD) het bekendst is, zijn namelijk in hun ontwerp niet ingericht om patiënten specifiek gegevens te laten delen (ook niet met gespecificeerde toestemming), zo informeerde de minister de Tweede Kamer in december jl. Voor er een manier is om gerichter gegevens beschikbaar te stellen, wil de minister dat patiënten in ieder geval drie jaar lang alsnog een brede, generieke toestemming kunnen geven, die, eenmaal gegeven, ook daarna geldig blijft.

Fundamentele bezwaren Eerste en Tweede Kamer genegeerd

De campagne Specifieke Toestemming volgt het wetsvoorstel al sinds haar introductie op de voet, en wees de Eerste Kamer begin deze week in een brief met klem op de fundamentele bezwaren die er kleven aan generieke toestemming.

“Specifieke Toestemming vindt dat de huidige wetgeving – Wgbo en Wbp – een goede basis is voor het vragen van toestemming in de zorg, en vindt generieke toestemming – ook ‘tijdelijk’ voor drie jaar – onacceptabel. Generieke toestemming kan door onoverzichtelijkheid voor zowel patiënt als dossierhoudend arts niet voldoen aan de eisen die wet en verdrag stellen aan het delen van medische gegevens”, zo stelde de campagne al eerder.

Onze campagne stelt aan Senaatsleden voor dat ofwel alle artikelen over toestemming uit het wetsvoorstel worden geschrapt zodat er op basis van al bestaande wetgeving medische gegevens kunnen worden gedeeld, óf dat de behandeling van het wetsvoorstel wordt uitgesteld totdat duidelijk is welke gevolgen de gespecificeerde toestemming van de minister heeft voor de privacy van patiënten.

De Eerste Kamer hield gisteren een zogeheten nadere procedure over het wetsvoorstel, en besloot daarin de verdere behandeling te laten afhangen van de termijn en de wijze waarop de Eerste Kamer zich kan laten informeren over nog bij de Kamer levende vragen. De campagne Specifieke Toestemming zal de Eerste Kamer te zijner tijd van nadere inbreng voorzien.

Download HIER de brief die Specifieke Toestemming begin deze week naar de Eerste Kamer stuurde (pdf) en klik HIER voor bovenstaand bericht zoals gisteren gepubliceerd op de campagne-website.

Gepubliceerd in Medische privacy

"Stel het elektronisch patiëntendossier uit, want het is nog niet haalbaar. Dat zegt artsenverbond KNMG dinsdag, op de dag dat de Eerste Kamer over de plannen praat.

In het voorstel staat dat patiënten moeten kunnen aangeven wie welke informatie over hen mag zien. ''Die vereisten zijn op dit moment niet uitvoerbaar'', aldus de KNMG.

De huisartsenvereniging (LHV) had vorige week ook voor uitstel gepleit. De beide organisaties willen dat er eerst onderzoek komt of het bepalen wie wat mag zien gevolgen heeft voor de 'zorgpraktijk'.

In de loop van 2017 moet dat duidelijk worden. Pas dan zou de Eerste Kamer het voorstel moeten behandelen, vinden artsen en huisartsen.

Privacy First

Ook de groepering Privacy First ziet niets in de plannen. Tot de tijd dat gerichte toestemming kan, wil de minister namelijk dat mensen algemene toestemming geven, dus dat elke zorgverlener toegang krijgt tot alle medische gegevens.

Onacceptabel, vindt Privacy First. Daarom zou de Eerste Kamer de wet moeten aanpassen of uitstellen.

 

Bron: http://www.nu.nl/binnenland/4200100/artsen-pleiten-uitstel-elektronisch-patientendossier.html, 19 januari 2016 (via ANP). Tevens gepubliceerd op http://www.ad.nl/ad/nl/1012/Nederland/article/detail/4228235/2016/01/19/Artsen-Patientendossier-is-nog-niet-haalbaar.dhtml, http://www.gelderlander.nl/algemeen/specials/gezond-en-wetenschap/artsen-pati%C3%ABntendossier-is-nog-niet-haalbaar-1.5641229, http://www.bndestem.nl/algemeen/specials/gezond-en-wetenschap/artsen-pati%C3%ABntendossier-is-nog-niet-haalbaar-1.5641229, http://www.ed.nl/algemeen/specials/gezond-en-wetenschap/artsen-patiëntendossier-is-nog-niet-haalbaar-1.5641229, http://www.automatiseringgids.nl/nieuws/2016/03/artsen-patientendossier-is-nog-niet-haalbaar, http://www.skipr.nl/actueel/id25179-artsen-patientendossier-is-nog-niet-haalbaar.html, http://www.radartv.nl/nieuws/archief/detail/article/artsen-patientendossier-is-nog-niet-haalbaar/, etc.

Gepubliceerd in Privacy First in de media

"Privacy, en het gebrek eraan, was een onderwerp dat vorig jaar bijna dagelijks in het nieuws kwam en gezien de resultaten van de poll verwachten de lezers van Security.NL dat privacy ook in 2016 weer veelvuldig de actualiteit zal beheersen.

Aanleiding voor Security.NL om drie organisaties die zich inzetten voor privacy, zowel buiten als op het internet, te vragen welke zaken dit jaar het nieuws zullen beheersen. Daarnaast zullen Bits of Freedom, Privacy Barometer en Stichting Privacy First laten weten waar ze zich op gaan richten en wat je dit jaar absoluut moet doen op het gebied van privacy.

Wetgeving

Alle drie de organisaties zien vooral voor de wetgever een belangrijke rol weggelegd als het om privacy gaat. "Komend jaar zal er vanuit de politiek al voorgesorteerd worden voor de verkiezingen in maart 2017. Het wetsvoorstel voor inbraakbevoegdheid voor de politie is net naar de Tweede Kamer gestuurd, maar het is maar de vraag of het kabinet het met andere gevoelige wetsvoorstellen nog aandurft. Zo is het uitbreiden van bevoegdheden voor de AIVD en MIVD zeer controversieel en dat wetsvoorstel staat ook niet genoemd op de lijst voor de komende maanden", zegt Reinout Barth van Privacy Barometer.

Daphne van der Kroft van Bits of Freedom stelt dat er de komende maanden in verschillende Europese landen voorstellen zullen verschijnen om massasurveillance door geheime diensten mogelijk te maken. "In Nederland gebeurt dat in de vernieuwing van de Wet op de inlichtingen- en veiligheidsdiensten. Het wordt spannend of ook onschuldige burgers daar de dupe van zullen worden", zo laat ze weten. Vincent Böhre van Privacy First kijkt onder andere naar de rol van privacy bij lokale overheden. "Met name de gemeenten zullen nadat de eerste stofwolken van de decentralisaties zijn neergedaald nog eens goed moeten nadenken hoe ze duurzaam met persoonsgegevens kunnen omgaan."

Meldplicht Datalekken

Ook verwachten alle drie de organisaties het nodige van de Europese privacywetgeving en de Meldplicht Datalekken die sinds 1 januari van kracht is. "Bedrijven en overheden zullen een tandje bij moeten zetten om aan de nieuwe regels te voldoen nu deze definitief zijn. De Wet Meldplicht Datalekken was een aardig voorproefje van wat komen gaat, bij veel organisaties bleek dat toch wel een big issue”, merkt Böhre op. In Nederland kan de Autoriteit Persoonsgegevens bij datalekken boetes van 820.000 euro uitdelen. Iets dat zeker impact zal hebben, aldus Van der Kroft. "Dat gaat betekenen dat bedrijven nu veel meer geneigd zullen zijn zich netter aan de wet te houden."

Bits of Freedom en Privacy First noemen ook het nieuwe privacy-akkoord dat tussen de Verenigde Staten en Europa moet worden gesloten, aangezien de Safe Harbour-overeenkomst vorig jaar ongeldig werd verklaard. "Tot nog toe zijn dat heel moeilijke onderhandelingen. We zijn benieuwd wat daaruit komt!”, laat Van der Kroft weten.

Volgens Barth zijn er daarnaast nog twee aandachtsgebieden die wat onder de radar zitten. Het gaat om de ontwikkelingen op het nieuwe eID-systeem als opvolger van DigiD. “Kunnen we straks nog anoniem het internet op of zullen we bij elke webshop of website ons moeten identificeren met het eID?”, vraagt hij zich af. Een ander punt zijn de leerlinggegevens die door uitgevers worden verzameld. "Sander Dekker [staatssecretaris van Onderwijs - red.] doet er luchtig over, maar dat uitgevers het gehele studiegedrag inclusief resultaten op BSN-nummer kunnen volgen is een flinke privacyschending, want zijn die gegevens voor de uitgever wel noodzakelijk? De visie van Dekker kan nog een flink debat in Tweede Kamer of bij ouders opleveren", verwacht Barth.

Speerpunten

Dat privacy op steeds meer plekken een rol speelt blijkt wel uit de verschillende punten waar de privacyorganisaties zich dit jaar mee gaan bezighouden. Bits of Freedom richt zich op verschillende wetsvoorstellen. "Het hackvoorstel moet van tafel. Als de politie wil kunnen hacken, heeft zij belang bij kwetsbaarheden in systemen. Daarmee wordt de internetter dus uiteindelijk alleen maar onveiliger. Dat willen we voorkomen”, zegt Van der Kroft. Ook wil de privacyvoorvechter het nieuwe voorstel voor de Bewaarplicht stoppen en dat het ongericht aftappen van de kabel door de geheime diensten uit het nieuwe voorstel voor de Wet op de inlichtingen- en veiligheidsdiensten wordt gehaald.

Bij Privacy First staan andere onderwerpen op de agenda. De stichting gaat zich richten op anonimiteit in de openbare ruimte, zoals cameratoezicht, ANPR (automatisch kentekenherkenning) en kentekenparkeren, Big Data en profiling, medische privacy en 'slimme' energiemeters. Verder verwacht Privacy First verschillende rechtszaken voort te zetten, waaronder 'Burgers tegen Plasterk', en nieuwe rechtszaken te starten, mogelijk tegen Facebook en ANPR.

Privacytips

Als het om privacybescherming gaat ligt de bal niet alleen bij privacyorganisaties. Er is genoeg dat burgers en internetgebruikers kunnen doen. Van der Kroft wijst daarbij naar de toolbox van Bits of Freedom, die verschillende privacytools bevat. Böhre van Privacy First combineert bewustzijn en techniek. "Behandel privacy net als je auto of tandarts en neem periodiek de tijd om na te gaan of je instellingen, programma's etc. nog op orde zijn en doen wat jij wilt", adviseert hij. Ook raadt hij aan om advertenties en trackingcookies te blokkeren en privacyorganisaties te steunen.

Privacy Barometer zet vooral in op bewustzijn. "De belangrijkste tip die we zouden willen meegeven is: probeer jezelf en je omgeving bewust te maken over al de persoonsgegevens die je deelt en met wie. We geven sommige bedrijven ongekend veel macht door in hun fuik te zwemmen en hen onze diepste geheimen toe te vertrouwen. Wil je Facebook en Whatsapp zo machtig maken dat het steeds moeilijker wordt zonder hen je leven te kunnen leiden?”, stelt Barth de vraag. “Laat grote internetbedrijven niet de baas over ons worden. Maak mensen bewust over persoonsgegevens, zoek alternatieven en promoot de mooiste daarvan in je eigen omgeving.""

Bron: https://www.security.nl/posting/457026/Privacy+in+2016%3A+van+wetgeving+tot+bewustzijn, 9 januari 2016.

Gepubliceerd in Privacy First in de media
Pagina 9 van 33

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon