donatieknop english

Privacyschending d.m.v. vingerscan lijkt op schimmel

Gastcolumn door Alfred Blokhuizen


Schimmel heeft als eigenschap dat het meer en meer wordt als je het niet bestrijdt. Het woekert voort alsof het een lieve lust is. Om schimmel te stoppen is een grote schoonmaak nodig met sterke middelen. Dat gaat zeker op voor het gebruik van vingerafdrukken!

Gemakkelijk

Je hoort steeds vaker dat bedrijven en instellingen vingerscanapparatuur gebruiken voor identificatie of urenregistratie. Men gebruikt dan termen als “gemakkelijk” en “secuur”. Uiteraard in het belang van de ondernemer of instelling. Dat is heel opmerkelijk, want het mag niet. Je komt het overal tegen, maar niemand slaat alarm. Ook de media niet, tot mijn verbazing. Het lijkt heel gewoon geworden, terwijl de wetgeving juist in 2018 enorm is aangescherpt.

Fluitje van een cent

Vingerafdrukken vallen onder biometrische gegevens. De wetgeving daarover is behoorlijk streng en straffen op misbruik behoorlijk hoog. En dat is heel logisch, want met biometrische gegevens kun je knap lelijke dingen doen. Zeker bij vingerafdrukken. Want die zijn buitengewoon gemakkelijk te vervalsen, een fluitje van een cent. Je zal maar slachtoffer worden van iemand die je afdruk kopieert. Dan zijn de rapen echt gaar.

Kerncentrale

De wetgeving is glashelder en de uitspraken van de rechter ook. Je mag geen biometrische gegevens afnemen, opslaan, delen en gebruiken. Slechts in zeer beperkte gevallen mag dat wel. Maar dan gaat het echt over zaken als bijvoorbeeld de beveiliging van de kerncentrale van Borssele. Dus niet voor het openen van de kassa, toegang bij een bedrijf of urenregistratie. Daar moet altijd worden gekozen voor een minder ingrijpend identificatiemiddel, zoals een pasje, pincode of tag. Wat is er eigenlijk mis met een pasje of tag?

Toestemming

Bedrijven - vooral de verkopers van de vingerscanapparatuur - schermen met het argument dat het wel mag met de toestemming van de werknemers van een bedrijf. Ook zeggen ze dat de vingerafdruk wordt versleuteld. Zo’n verkopend bedrijf neemt echter nooit de verantwoordelijkheid voor de financiële gevolgen als het misloopt bij de rechter. De Autoriteit Persoonsgegevens en staatssecretaris Van Ark (Sociale Zaken) zijn er duidelijk over. Als er sprake is van een of andere vorm van gezagsverhouding of afhankelijkheid wordt een vingerafdruk niet met 100% zekerheid vrijwillig afgegeven en dus mag het niet! Als bedrijf moet je het eigenlijk ook gewoon niet willen. Gemak is nooit een goed argument om de regelgeving te ontduiken of terzijde te schuiven. Het risico van misbruik is veel te groot.

Ontsporing bij de overheid

De ernstigste ontsporing van het gebruik van de vingerafdruk heeft plaatsgevonden bij de gemeente Nissewaard. Nota bene de overheid zelve, u weet wel: de medewetgever. Een zaak waarbij de FNV een handhavingsverzoek heeft ingediend (bestuursrechtelijke aangifte). Bijstandsgerechtigden, en alleen deze mensen en dus niet de ambtenaren, werden verplicht om hun vingerafdruk af te staan als ze zonder loon te werk werden gesteld bij een “sociale werkplaats”. In documenten van de gemeente Nissewaard zelf stonden dwingende teksten en toespelingen op financiële sancties als men de vingerafdruk niet afgaf. Tot op de dag van vandaag wil deze gemeente geen excuses maken aan de uitkeringsgerechtigden voor het gebruik van de vingerafdruk en wil men er niet over praten.

Rol brancheorganisaties

Ondernemers kloppen soms aan bij hun brancheorganisatie met de vraag of het afnemen van biometrische gegevens mag. Ondernemers in bijvoorbeeld de horeca zeggen dan dat hun brancheorganisatie Koninklijke Horeca Nederland heeft gezegd dat het mag. Desgevraagd is men daar na confrontatie met uitspraken van de Autoriteit Persoonsgegevens en rechters echter een stuk genuanceerder over. Maar eigenlijk moet zo’n brancheorganisatie glashelder zijn. Ze zouden de leden moeten adviseren: doe het niet, verzin geen trucjes, u kunt zeer hoge boetes tegemoetzien!

Privacyschending lijkt dus wel schimmel. Als het niet wordt bestreden overwoekert en bederft het alles. Dat vraagt om stevige bestrijding. Dat moet vanuit de maatschappij zelf, maar zeker ook vanuit de Autoriteit Persoonsgegevens. Nu is het net of privacyschending gewoon mag. Dat mag niet, het is strafbaar!

 

Meer informatie:

Gemeente Nissewaard https://www.binnenlandsbestuur.nl/sociaal/nieuws/gemeenten-behandelden-werklozen-mogelijk.10497725.lynkx

Handhavingsverzoek FNV https://alfredblokhuizen.nl/wp-content/uploads/2019/10/Handhavingsverzoek-AP-12-8-2019-anoniem.pdf

Vonnis Manfield https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2019:6005

Restaurantketen de Watertuin https://www.rijnmond.nl/nieuws/186633/UPDATE-Restaurantketen-gebruikt-onterecht-vingerscan

Vingerafdruk stelen, fluitje van een cent https://www.mediamatic.net/nl/page/16697/een-vingerafdruk-stelen-en-namaken-is-een-fluitje-van-een-cent

Gepubliceerd in Biometrie

Fundamentele rechtszaak tegen massale risicoprofilering van onverdachte burgers

Op dinsdag 29 oktober as. om 9.30 uur vindt in de Rechtbank Den Haag de rechtszitting plaats in de bodemprocedure van een brede coalitie van maatschappelijke organisaties tegen het Systeem Risico Indicatie (SyRI). SyRI licht met geheime algoritmen complete woonwijken door om burgers te profileren op het risico dat ze frauderen met sociale voorzieningen. Volgens de coalitie van eisers vormt dit systeem een bedreiging voor de rechtsstaat en moet SyRI onrechtmatig worden verklaard.

De groep eisers, bestaande uit de Stichting Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Stichting Privacy First, Stichting KDVP en de Landelijke Cliëntenraad, daagde in maart 2018 het Ministerie van Sociale Zaken voor de rechter. Auteurs Tommy Wieringa en Maxim Februari, die zich eerder zeer kritisch uitspraken over SyRI, sloten zich op persoonlijke titel bij de procedure aan. In juli 2018 voegde ook FNV zich bij de coalitie.

De partijen laten zich vertegenwoordigen door Anton Ekker (Ekker Advocatuur) en Douwe Linders (SOLV Advocaten). De zaak wordt gecoördineerd door het Public Interest Litigation Project (PILP) van het NJCM.

Sleepnetmethode op onverdachte burgers

SyRI koppelt op grote schaal persoonsgegevens van burgers uit overheidsdatabases. De centraal bijeengebrachte gegevens worden vervolgens geanalyseerd met geheime algoritmen. Dit moet uitwijzen of burgers een risico vormen om zich schuldig te maken aan één van de vele fraudevormen en overtredingen die het systeem bestrijkt. Leidt de analyse van SyRI tot een risicomelding, dan wordt een burger opgenomen in het zogeheten Register Risicomeldingen, dat inzichtelijk is voor overheidsinstanties.

Met deze sleepnetmethode licht SyRI alle inwoners van een wijk of gebied door. Hiervoor gebruikt het systeem vrijwel alle gegevens die overheden over burgers bewaren. Het gaat om 17 datacategorieën, die tezamen een zeer indringend en volledig beeld geven van iemands privéleven. Op dit moment beslaat SyRI de databases van de Belastingdienst, de Inspectie SZW, UWV, SVB, gemeenten en IND. Volgens de Raad van State, dat een negatief advies gaf over het SyRI-wetsvoorstel, viel er nauwelijks een gegeven te bedenken dat niet binnen de reikwijdte van het systeem valt. Voormalig voorzitter Kohnstamm van de Autoriteit Persoonsgegevens, die eveneens negatief advies over het systeem uitbracht, noemde de aanname van de SyRI-wetgeving destijds “dramatisch”.

Bedreiging voor de rechtsstaat

SyRI is volgens de eisende partijen een black box met grote risico’s voor de democratische rechtsstaat. Het is voor een burger die zonder aanleiding door SyRI kan worden doorgelicht volstrekt onduidelijk welke gegevens daarvoor worden gebruikt, welke analyses daarmee worden uitgevoerd en wat hem of haar al dan niet tot 'risico' maakt. Bovendien zijn burgers door de heimelijke werking van SyRI ook niet in staat om een onjuiste risicomelding te weerleggen. De rechtsgang en de daarbij horende procedures worden met de inzet van SyRI ondoorzichtig.

SyRI ondermijnt daarmee de vertrouwensrelatie tussen de overheid en haar burgers; deze burgers zijn in feite bij voorbaat verdacht. Vrijwel alle informatie die ze delen met de overheid, vaak om in aanmerking te komen voor basale voorzieningen, kan zonder verdachtmaking of voorafgaand vermoeden op heimelijke wijze tegen hen worden gebruikt.

De partijen bij deze procedure zijn niet tegen het bestrijden van fraude door de overheid. Zij vinden alleen dat dit op grond van een concrete verdenking dient te gebeuren. Er mag niet middels sleepnetacties in het privéleven van niet-verdachte Nederlandse burgers worden gezocht naar mogelijke risico's op fraude. Deze disproportionele methode doet volgens de eisende partijen meer kwaad dan goed. Er bestaan betere en minder ingrijpende vormen van fraudebestrijding dan SyRI.

Nog niet één fraudeur opgespoord

De in totaal vijf SyRI-onderzoeken die sinds de wettelijke invoering werden aangekondigd, hebben inmiddels tienduizenden burgers binnenstebuiten gekeerd, maar spoorden tot nu toe nog niet één fraudeur op. Dit werd eind juni 2019 onthuld door de Volkskrant, die de hand wist te leggen op evaluaties van SyRI-onderzoeken. De onderzoeken mislukten doordat de analyses niet klopten, door gebrek aan capaciteit en tijd bij de uitvoerende instanties, maar ook omdat er binnen de overheid onenigheid is over SyRI.

Zo trok burgemeester Aboutaleb van Rotterdam afgelopen zomer de stekker uit het SyRI-onderzoek in twee wijken in Rotterdam-Zuid, omdat het Ministerie in tegenstelling tot de gemeente ook politiegegevens en zorggegevens wilde gebruiken bij het onderzoek. De inzet van SyRI leidde tevens tot protest onder de inwoners van de wijken, die duidelijk lieten merken zich beledigd en oneerlijk behandeld te voelen.

VN uit zorgen over SyRI

De VN-rapporteur op het gebied van extreme armoede en mensenrechten Philip Alston schreef de rechtbank eerder deze maand aan over zijn zorgen omtrent SyRI en verzocht de rechters met klem de zaak grondig te beoordelen. Volgens de rapporteur zijn er meerdere fundamentele rechten in het geding. SyRI wordt in de brief beschreven als een digitaal equivalent van een sociaal rechercheur die elk huishouden in een gebied zonder toestemming bezoekt en doorzoekt op frauduleuze zaken; in de analoge wereld zou zo’n massale klopjacht direct tot grote weerstand leiden, maar bij een digitaal instrument als SyRI wordt ten onrechte een ‘wat niet weet, wat niet deert’ mentaliteit gehanteerd.

Praktische informatie

De zitting is openbaar toegankelijk voor het publiek en zal plaatsvinden op dinsdag 29 oktober as. vanaf 9.30u in het Paleis van Justitie, Prins Clauslaan 60 in Den Haag. Privacy First nodigt u van harte uit om de zitting bij te wonen. Zaaknummer: C/09/550982 HA ZA 18/388 (Nederlands Juristen Comité c.s./Staat). Klik HIER voor een routebeschrijving.

Bron: campagnewebsite Bijvoorbaatverdacht.nl.

Update 20 november 2019: de uitspraak van de rechtbank staat vooralsnog gepland op 5 februari 2020 om 10.00u. De pleitnota van onze advocaten kunt u HIER downloaden (pdf).

Gepubliceerd in Rechtszaken

Masterclass Privacy – The Next Step: privacy bekeken vanuit juridisch, technologisch, economisch, psychologisch en ethisch perspectief

Vanaf 30 oktober t/m 11 december 2019 vindt bij de UvA Academy een speciale Masterclass plaats over privacy, genaamd The Next Step. De Masterclass is geschikt voor privacy professionals zoals privacy officers, functionarissen gegevensbescherming, cybersecurity specialisten, marketeers, advocaten, juristen, beleidsmedewerkers, managers en adviseurs die te maken hebben met juridische, economische, ethische, technische en organisatorische vraagstukken en verandertrajecten met betrekking tot privacy en de verwerking, opslag en gebruik van persoonsgegevens.

In zeven modules worden talrijke privacyonderwerpen onderwezen door diverse vakdocenten. In week 7 zal Privacy First meedoen aan het Lagerhuisdebat.

De Masterclass zal onder andere ingaan op:

  • Wat is privacy?
  • Wat zijn de achtergronden en veranderingen in wet- en regelgeving op het gebied van privacy en welke impact hebben deze op mensen, overheid en organisaties?
  • Consumenten en persoonsgegevens;
  • Technische ontwikkelingen;
  • Impact van digitale technologie op de privacy van individuen;
  • Ethisch perspectief op privacy en persoonsgegevens;
  • Hoe kunnen consumenten hun privacy (beter) beschermen;
  • Privacy binnen een organisatie, met aandacht voor cultuur, beleid, programmering en monitoring;
  • Sectorspecifieke verschillen, uitdagingen en oplossingen onder meer in de zorg, bij de overheid en in de financiële sector;
  • Werken aan praktijkcasussen en vraagstukken die spelen bij deelnemers en hun organisaties.

  Klik HIER voor meer informatie en om u aan te melden.

Gepubliceerd in Evenementen

Deze week vond in de Tweede Kamer (Vaste commissie voor Infrastructuur en Waterstaat) een interessant 'rondetafelgesprek' plaats over de toegang tot data in het openbaar vervoer. Naarmate de hoeveelheid data (waaronder persoonsgegevens) in het openbaar vervoer toeneemt, is er sprake van een toenemende druk om deze data met diverse partijen te delen en voor allerlei doelen te gaan gebruiken. Dit staat op gespannen voet met het recht op privacy van de individuele reiziger. Privacy First maakt zich al jaren sterk voor het recht op privacy en anonimiteit in het openbare domein, waaronder het openbaar vervoer. Wij reageerden daarom direct positief op de uitnodiging van de Tweede Kamer om aan dit rondetafelgesprek deel te nemen. Aan alle deelnemers werd verzocht om vooraf hun voornaamste standpunten kenbaar te maken middels korte position papers (maximaal twee A4). Klik HIER voor de position paper van Privacy First (pdf) en HIER voor de position papers van de overige genodigden, waaronder CBS, Translink en reizigersvereniging Rover. De belangrijkste standpunten van Privacy First luiden als volgt:

1. Iedere reiziger heeft recht op anonimiteit in het openbaar vervoer.
2. Alleen geanonimiseerde, geaggregeerde data mogen - onder strikte waarborgen - gedeeld worden.
3. Geen massa-surveillance in het openbaar vervoer.
4. Transparantie bij privacy-inbreuken.
5. Privacy-waarborgen bij reizigersonderzoek.
6. Aantoonbaar gebruik van privacy by design.

Privacy First maakte van de gelegenheid gebruik door voor het rondetafelgesprek een OV-ervaringsdeskundige bij uitstek af te vaardigen: privacy-activist Michiel Jonker voerde namens ons het woord. Enig gevoel van urgentie ten aanzien van privacy bleek bij de aanwezige Kamerleden en overige genodigden echter grotendeels afwezig, aldus Jonker in zijn eerste reactie na afloop. Zijn algehele kritische impressie van het rondetafelgesprek zal Privacy First spoedig op deze pagina publiceren. Hieronder kunt u alvast de video van de volledige sessie terugkijken en uw eigen conclusies trekken.

Update 8 oktober 2019: lees HIER de gehele impressie en analyse die Michiel Jonker (op persoonlijke titel) schreef naar aanleiding van het rondetafelgesprek op 10 september jl. (pdf, 67 pp).

Gepubliceerd in Mobiliteit
woensdag, 11 september 2019 13:04

Website psd2meniet.nl is live!

Website is live!

Na een ontwerp- en bouwtraject van twee maanden is onze website www.psd2meniet.nl live. De website is ontwikkeld door Marc Smits. Onze projectpagina biedt informatie over PSD2 en over ontwikkelingen rondom het PSD2-me-niet register. We breiden de website voortdurend uit. Hierover kunt u via onze PSD2-nieuwsbrieven op de hoogte blijven.

Duidelijke informatie over risico's

De kern van het project is direct duidelijk verwoord: 'welke betalingen houdt u liever geheim?' De website wijst bezoekers op de privacyrisico's van PSD2. De site is zo opgezet dat het zowel individuen als professionals aanspreekt. Beseffen politieke partijen, vakbonden en patiëntenorganisaties dat zij een belangrijke verantwoordelijkheid richting hun achterban hebben?

Informatie in dossiers

Op de website staan in een aantal blokken dossiers. Over bijzondere persoonsgegevens, over ons project en het PSD2-me-niet register. Gedurende het project zal steeds informatie worden toegevoegd en bijgewerkt en voegen we dossiers toe. Heeft u een vraag of zoekt u specifieke informatie? Laat het ons dan weten!

Neem direct een kijkje op de site!

Opvallend logo

Zoals u ziet heeft ons PSD2-project een eigen, opvallend beeldmerk. Een QR-code in een zakelijke en frisse kleurstelling. We kozen voor een QRcode om duidelijk te maken dat achter de term PSD2 veel schuilgaat. Ook geeft de QR-code eigentijdse mogelijkheden. Wie nu de QR-code scant komt bij het inschrijfformulier voor nieuwsbrieven. Tijdens een presentatie kan het publiek zich bijvoorbeeld direct inschrijven voor onze nieuwsbrief. Op later moment kan deze link eenvoudig aangepast worden.

We hopen dat de website u bevalt, en dat het de informatie biedt die mensen (en organisaties) motiveert om PSD2 een stuk privacyvriendelijker te maken!

Gepubliceerd in PSD2

Erik Akerboom wil de politie uitrusten met Taserwapens, bodycams en een veel repressiever beleid gaan inzetten. Reden is een actie tegen een agent bij een trouwstoet. Daarnaast wordt ook de drugsoorlog in Amsterdam en Brabant genoemd als reden om harder op te treden door de politie. Hiervoor moet een soort elite-eenheid worden opgezet conform Amerikaans voorbeeld.

Onlangs rapporteerde het WODC kritisch over de gezondheidsrisico's van Taserwapens. Zelfs de Verenigde Naties hebben Nederland dringend verzocht om dergelijke wapens niet grootschalig in te voeren. In breder verband staat Privacy First al jaren op het standpunt dat een repressieve politie, ondersteund door martelwapens, geen enkele oplossing is voor het door henzelf gecreëerde probleem, namelijk de invoering van de landelijke politie waarbij lokale eenheden zijn verdwenen. Een landelijke Politie zou een goed idee kunnen zijn maar dan wel vanuit een preventieve en een handhavings gedachte. Dit kan door decentralisatie van generieke taken (dus de normale straat- en buurttaken) en een centralisatie van specialistische taken. Elke franchiseketen in het bedrijfsleven is hiervan een goed voorbeeld. In plaats daarvan is het blauw op straat verdwenen, is er een enorme chaos binnen de organisatie en is het contact met de burger uit het oog verloren en de afstand tot die burger in rap tempo vergroot.

Het is alsof McDonald's alle vestigingen sluit en de klant verwijst naar de centrale keuken en het internet voor haar eten. Vervolgens komen de klanten niet en worden ze bestraft met boetes om meer hamburgers te eten. Zo is het ook met de Nationale Politie. In plaats van alle generieke taken dichtbij de burger te houden en meer franchise-achtige wijkbureaus te openen zodat (toekomstige) misdadigers direct in het vizier staan en preventief aangepakt kunnen worden, hebben jonge criminelen vrij spel. De pakkans is verkleind, aangifte doen heeft weinig zin ("doe maar via internet") en de burger komt de agent alleen tegen via anonieme boetesystemen en als gemakkelijk slachtoffer voor kleine vergrijpen waarbij de boetes niet in verhouding staan tot het vergrijp. De Nationale Politie zou eens in de leer moeten gaan in Duitsland, waar nog steeds 70% van de aangiftes wordt opgelost en er direct contact is met de wijkagent. Ouderwets wellicht, maar effectief.

Op centraal niveau is het al niet veel beter en kunnen grote zaken in de drugsscene niet meer opgelost worden, worden cijfers bewerkt via politieke zelfcensuur en de burger niet vertrouwd. Logisch natuurlijk, want onbekend maakt onbemind. Via incidentgedreven politieke waan-van-de-dag-beleid komen dan nu repressieve technologie en middelen als DE oplossing naar voren.

Terwijl we weten dat preventie de basis is en de inzet van dergelijke middelen veelal een glijdende schaal betekent, zie de VS waarin de politie reeds als een soort legereenheid optreedt. Maar burgers die protesteren tegen Sinterklaas-verstoringen of Windmolenparken worden als gemakkelijk slachtoffer met veel bombarie en squatteams opgepakt middels wetgeving die bedoeld was voor terroristen en zware criminelen.

Het laatste voorstel om cashbetalingen (vanuit de cash = crimineel campagne) van meer dan EUR 3.000,- per transactie te verbieden is wederom een voorbeeld van deze function creep en verdere inperking van onze burgerrechten vanwege slecht beleid en gebrekkige handhaving. De politie organisatie is steeds meer met zichzelf bezig, is steeds verder verwijderd van de burger en omgekeerd zal het vertrouwen van de burger in diezelfde politie verder dalen.

Ik wens de Nationale Politie veel sterkte met de verkeerde oplossing voor het verkeerde probleem en hoop dat er toch nog iemand rondloopt die eens in de leer gaat bij onze oosterburen en McDonald's. Hoe moeilijk kan eenvoudig zijn? Wij zullen als Privacy First blijven strijden tegen repressieve technologieën die onze samenleving en vrijheid ondermijnen en staan open voor een gesprek en uitwisseling van goede ideeën.

Voor een vrije en veilige samenleving!

Bas Filippini,
voorzitter Privacy First

Tevens gepubliceerd door Brabants Dagblad, 10 september 2019.

Gepubliceerd in Columns

Anonieme OV-chipkaart blijkt nooit anoniem te zijn geweest 

Op 20 augustus 2019 houdt de Rechtbank Gelderland zitting in twee rechtszaken die treinreiziger Michiel Jonker heeft aangespannen tegen de Autoriteit Persoonsgegevens (AP) inzake de anonieme OV‑chipkaart. Jonker deed in de periode 2014-2018 handhavingsverzoeken bij de AP vanwege schending van zijn privacy door Nederlandse Spoorwegen (NS), nadat NS in juli 2014 de papieren trein­kaartjes afschafte. De AP weigerde dit aanvankelijk te onderzoeken, waarop Jonker naar de rechter stapte. Na een uitspraak van de rechtbank in 2016 moest de AP alsnog onderzoek doen. Jonker vindt dat NS reizigers discrimineert als die kiezen voor behoud van hun privacy met een anonieme OV-chipkaart. Reizigers verliezen o.a. hun voordeelurenkorting en worden zo onder druk gezet hun privacy af te staan. Bovendien is inmiddels gebleken dat ook de anonieme kaart niet werkelijk anoniem is, waardoor er al sinds juli 2014 sprake is van een door NS afgedwongen verwerking van persoonsgegevens.

De rechtbank gaat twee door Jonker aangespannen procedures gevoegd behandelen. Jonker: "Ik heb daar om gevraagd en ben er blij mee, want het is eigenlijk één en dezelfde zaak. De AP heeft het in 2016 gesplitst in twee delen, waarschijnlijk in een poging om het tweede deel niet grondig te hoeven onderzoeken."

De eerste procedure gaat over prijsdiscriminatie van houders van anonieme OV-chipkaarten die tevens een voordeelurenabonnement hebben. NS weigert hun de voordeelurenkorting te geven die reizigers met gepersonaliseerde OV-chipkaarten wel krijgen. Jonker: "De AP zegt dat NS dat mag doen, omdat NS dat zo in de algemene voorwaarden heeft opgenomen. Volgens de AP is er dan sprake van een contract zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Dat bestrijd ik. NS kan wel van alles in haar algemene voorwaarden zetten, maar als het in strijd is met de wet, dan is dat onrechtmatig. De AVG is niet bedoeld als een vrijbrief voor willekeur van bedrijven die persoonsgegevens willen verzamelen."

De tweede procedure gaat over het feit dat zelfs de "anonieme" OV-chipkaart niet anoniem is. Op elke kaart zijn immers twee unieke nummers aangebracht, waardoor de kaart en de kaarthouder kunnen worden gevolgd. Nadat de AP in maart 2019 in een derde, eveneens door Jonker aangespannen zaak, nieuwe vragen over de OV-chipkaart stelde, bleek dat het saldo van de anonieme OV-chipkaart niet werkelijk "op de kaart geladen" wordt, zoals tot nu toe naar de treinreizigers was gecommuniceerd. In plaats daarvan wordt het saldo overgemaakt naar de back-office van het bedrijf Translink Systems (TLS), dat in opdracht van NS betalingen afhandelt. Daardoor worden elke keer dat iemand in- of uitcheckt met een anonieme kaart of saldo laadt, het tijdstip en de locatie van de anonieme kaart geregistreerd. In augustus 2019 hoorde Jonker dat dit al in 2010 door een onderzoeksgroep van wetenschappers onder de aandacht was gebracht. Desondanks deed de AP vervolgens negen jaar lang niks.

Jonker: "Ik werd pas kort geleden op dat onderzoek geattendeerd, en voel me verraden. Het gaat hier om ca. vijf miljoen houders van anonieme OV-chipkaarten, die door NS negen jaar lang voor de gek zijn gehouden, terwijl de AP wist dat dit gebeurde, maar wegkeek. Zelfs in het door de rechtbank in 2016 opgedragen onderzoek kwam dit niet boven water. Pas nadat ik in 2018 een derde zaak aanspande, en dit voorjaar een bezwaarprocedure, ging de AP eindelijk de juiste vragen stellen."

In een recent interview met NRC (https://www.nrc.nl/nieuws/2019/08/13/iemand-moet-grens-van-privacy-trekken-a3969883) benadrukte Jonker dat de AVG alleen bescherming biedt als die ook wordt gehandhaafd.

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

De openbare rechtszitting vindt plaats op dinsdag 20 augustus 2019 om 10:30u bij de Rechtbank Gelderland, Walburgstraat 2‑4 te Arnhem. Zaaknummers: ARN 18/546 en ARN 18/1487. Routebeschrijving en bezoekinformatie: https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Gelderland.

Update 20 augustus 2019: klik HIER voor de pleitnota van Michiel Jonker (pdf).

Media: 
Ravage Webzine, 15 augustus 2019: Rechtszaak om ‘anonieme’ ov-chipkaart
Security.nl, 16 augustus 2019: Rechtszaak tegen toezichthouder over anonieme OV-chipkaart
Tweakers, 16 augustus 2019: Arnhemmer sleept AP voor rechter voor onderzoek anonieme ov-chipkaart
FOK.nl, 16 augustus 2019: Rechtszaak over onderzoek AP naar privacy "anonieme" OV-chipkaart
AVROTROS Radar, 16 augustus 2019: Rechtszaak tegen AP wegens prijsdiscriminatie 'anonieme' OV-chipkaart
Maatschappij Voor Beter OV, 19 augustus 2019: Privacywaakhond voor de rechter
NOS Radio 1 Journaal, 20 augustus 2019: Michiel klaagt NS aan om privacy bij anonieme ov-chipkaart. Beluister hieronder de interviews met Michiel Jonker en privacy-onderzoeker Jaap-Henk Hoepman (Radboud Universiteit Nijmegen) op Radio 1:



Trouw, 20 augustus 2019: Leven zonder data achter te laten? Dat betekent offers brengen
Omroep Gelderland, 20 augustus 2019: Arnhemmer stapt naar rechter om 'niet-anonieme ov-chipkaart'  Beluister hieronder het interview met Michiel Jonker bij Omroep Gelderland:


Gelderlander, 20 augustus 2019: Arnhemse privacy-voorvechter strijdt nu tegen de NS: ‘Reiziger wordt onder druk gezet’
Volkskrant, 20 augustus 2019: ‘Anonieme OV-chipkaart is niet anoniem’, betoogt Michiel Jonker
Gelderlander, 20 augustus 2019: Online poll: 'De OV-chipkaart schendt onze privacy, dus moeten we terug naar het papieren treinkaartje of -abonnement'
Trouw, 21 augustus 2019: Hoofdredactioneel commentaar: 'Een debat over privacy is nodig'
Gelderlander, 23 augustus 2019: Arnhemmer Michiel Jonker staat pal voor onze privacy
Security.nl, 26 augustus 2019: D66 wil opheldering van minister over anonieme OV-chipkaart

Kamervragen:
Vragen van D66 aan de Staatssecretaris van Infrastructuur en Waterstaat over het bericht "Anonieme OV-chipkaart is niet anoniem", 23 augustus 2019

Update 7 september 2019: op 5 september jl. heeft de Rechtbank Gelderland uitspraak gedaan in het beroep. Het beroep van de heer Jonker werd ongegrond verklaard. De rechtbank oordeelde dat het door NS opgevoerde doel van fraudepreventie de verwerking van de reisgegevens (tijdstippen en plaatsen van begin, overstappen en einde reizen) van alle treinreizigers rechtvaardigt. Ook acht de rechtbank een "noodzaak" aanwezig om tijdens elke reis in de trein te kunnen controleren of er een betalingsachterstand is met betrekking tot voordeelabonnementen. Daarom doet het er niet toe dat de "anonieme" OV-chipkaart gebleken is niet anoniem te zijn. De AP hoeft volgens de rechtbank desondanks niet te handhaven.

Jonker: "De rechtbank neemt het idee van NS dat NS op elk moment alle reisbewegingen van reizigers moet kunnen bespieden en registreren, kritiekloos over. De rechtbank heeft de zaken "marginaal" getoetst, dat wil in dit geval zeggen: zeer oppervlakkig. De rechtbank heeft daarbij de gedachtengang van NS als uitgangspunt genomen, net zoals de AP dat eerder al deed. De rechtbank zegt in essentie dat het in theorie niet valt uit te sluiten dat de gedachtengang van NS redelijk zou kunnen zijn, als een aantal ideeën die door NS in algemene termen op papier zijn gezet, kloppen. De rechtbank toetst niet of die ideeën in de praktijk ook echt kloppen met de feiten. Dus mag het van de rechtbank. Van de bescherming van de privacy van burgers blijft op deze manier heel erg weinig over. De rechtbank en de AP functioneren niet onafhankelijk, maar als instanties die gehoorzaam een goedkeurend stempel zetten op zaken die door 'the powers that be' in achterkamertjes op ondemocratische wijze zijn besloten. Ik moet helaas concluderen dat we op het gebied van privacy niet in een functionerende rechtsstaat leven. Dat voorspelt weinig goeds voor de toekomst."

Gevraagd of de Algemene Verordening Gegevensbescherming (AVG) dit toestaat, zegt Jonker: "De AVG kan op verschillende manieren worden geïnterpreteerd. Ik heb steeds betoogd dat de AVG moet worden geïnterpreteerd in overeenstemming met het doel van artikel 8 van het EVRM, en in overeenstemming met het Europeesrechtelijke vereiste van een hoog beschermingsniveau voor privacy. De rechtbank denkt daar kennelijk anders over. Op deze manier functioneert de AVG als een vergiet met tweehonderd gaatjes. Elke organisatie die persoonsgegevens wil verwerken, plukt ergens een algemene doelstelling vandaan, bijvoorbeeld een taak van algemeen belang, zoals 'afvalinzameling', of een niet nader gespecificeerd, mooi doel zoals 'veiligheid' of 'fraudepreventie'. En dan kan iedere organisatie een eigen invulling geven aan de manier waarop dat wordt nagestreefd, die dan met verwijzing naar dat vage doel wordt gerechtvaardigd. Dit is een vrijbrief voor bijna totale willekeur bij het verwerken van persoonsgegevens. De AVG wordt op deze manier gereduceerd tot een wassen neus."

De uitspraak van de rechtbank is gepubliceerd op rechtspraak.nl. Jonker is voornemens in hoger beroep te gaan bij de Raad van State.

Media:
ANP, 6 september 2019: Arnhemse container mag open met afvalpas (tevens gepubliceerd bij diverse dagbladen en andere media)
Gelderlander, 6 september 2019: Arnhemse privacyvoorvechter verliest rechtszaken: aan OV-chipkaart wordt niet getornd
Omroep Gelderland, 6 september 2019: Arnhemse privacystrijder verliest twee rechtszaken
Tweakers, 6 september 2019: Rechter: AP hoeft niet op te treden tegen NS en Arnhemse afvalpas
NRC.nl, 6 september 2019: Adresgebonden afvalpas Arnhem niet in strijd met privacywet
Security.nl, 7 september 2019: Privacy-activist verliest zaken over afvalpas en OV-chipkaart
Binnenlands Bestuur, 7 september 2019: Rechter staat adresgebonden afvalpas Arnhem toe

Update 30 oktober 2019: tegen de uitspraak van de rechtbank heeft Jonker op 9 oktober jl. pro forma hoger beroep ingesteld bij de Raad van State. Op 29 oktober jl. heeft hij de motivering van dit hoger beroep ingediend. Jonker: "Het is een zeer uitgebreid document geworden, waarin ik een overzicht geef van de hele zaak, met alle argumenten die de afgelopen vijf jaar zijn gewisseld. Je ziet hoe de doelen van NS in die periode zijn verschoven. Eerst zei NS geen informatie over persoonlijke reisbewegingen te willen, maar nu hebben ze een joint venture met TLS gesloten om die data juist te exploiteren. Ik ga ook in op de werkelijkheid achter de juridische werkelijkheid, en probeer tussen die twee een verbinding te leggen. Want als de juridische denkwijze losgezongen raakt van de werkelijkheid, dan is er geen effectieve rechtsbescherming meer - en al helemaal niet op het gebied van privacy. Ik hoop dat de Raad van State bereid zal zijn om de zaak te beoordelen met het oog op echte rechtsbescherming, zoals het Europees Verdrag voor de Rechten van de Mens (EVRM) dat vereist. Kunnen OV-gebruikers, als ze dat willen, straks weer reizen zonder dat al hun individuele reisbewegingen gevolgd en geregistreerd worden, en zonder dat zij gediscrimineerd worden als ze voor zichzelf willen houden waar ze allemaal naartoe gaan, en wanneer? Of is de AVG niet meer dan een rookgordijn om te verhullen dat onze privacy ons gewoon wordt afgepakt? We gaan het zien."  Klik HIER voor het volledige hoger-beroepschrift (pdf, 119 pp).

Gepubliceerd in Mobiliteit

Op 1 en 2 juli as. wordt Nederland in Genève kritisch onder de loep genomen door het Mensenrechtencomité van de Verenigde Naties. Dit comité is het VN-orgaan dat toezicht houdt op de naleving van één van de oudste en belangrijkste mensenrechtenverdragen ter wereld: het Internationale Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR of BUPO-verdrag). Periodiek wordt ieder land dat partij is bij dit verdrag door het VN Mensenrechtencomité beoordeeld. Begin volgende week zal de Nederlandse regering zich bij het Comité moeten verantwoorden over diverse actuele privacykwesties die mede door Privacy First zijn geagendeerd.

De laatste Nederlandse sessie bij het VN Mensenrechtencomité dateert uit juli 2009, toen minister van Justitie Ernst Hirsch Ballin zich in Genève moest verantwoorden voor de destijds geplande centrale opslag van vingerafdrukken onder de nieuwe Paspoortwet. Dit kwam de Nederlandse regering op de nodige kritiek van het Comité te staan. Nu, 10 jaar later, is Nederland opnieuw 'aan de beurt'. In dit verband had Privacy First reeds eind 2016 een kritische rapportage (pdf) over Nederland bij het Comité ingediend en dit onlangs met een nieuwe rapportage (pdf) aangevuld. Kort samengevat heeft Privacy First bij het Comité onder meer de volgende actuele kwesties aangekaart:

- beperkte ontvankelijkheid van belangenorganisaties bij collectieve rechtszaken

- grondwettelijk toetsingsverbod

- profiling

- Automatische Nummerplaat Herkenning (ANPR)

- grenscontrole-camerasysteem @MIGO-BORAS

- OV-chipkaart

- digitale zorgcommunicatie (EPD)

- mogelijke herinvoering van telecom-bewaarplicht

- nieuwe wet op de inlichtingen- en veiligheidsdiensten ('Sleepwet')

- PSD2

- Passenger Name Records (PNR)

- afschaffing raadgevend referendum

- verbod op oorlogspropaganda.

De Nederlandse sessie bij het Comité zal op maandagmiddag 1 juli en dinsdagochtend 2 juli as. live te volgen zijn via UN Web TV. Naast diverse privacykwesties hebben meerdere Nederlandse organisaties ook talloze andere mensenrechtenkwesties bij het Comité geagendeerd; klik HIER voor een overzicht, inclusief de door het Comité reeds eerder vastgestelde List of Issues (waaronder de nieuwe wet op de inlichtingen- en veiligheidsdiensten, mogelijke herinvoering van een telecom-bewaarplicht, camerasysteem @MIGO-BORAS en medische privacy bij zorgverzekeraars). De uiteindelijke conclusies ('Concluding Observations') van het Comité volgen waarschijnlijk over enkele weken. Privacy First ziet een kritisch oordeel met vertrouwen tegemoet.

Update 26 juli 2019: gistermiddag heeft het Comité haar oordeel (“Concluding Observations”) over de Nederlandse mensenrechtensituatie gepubliceerd, waaronder de volgende kritische adviezen met betrekking tot twee Nederlandse privacy-kwesties die mede door Privacy First bij het Comité waren aangekaart:

The Intelligence and Security Services Act

The Committee is concerned about the Intelligence and Security Act 2017, which provides intelligence and security services with broad surveillance and interception powers, including bulk data collection. It is particularly concerned that the Act does not seem to provide for a clear definition of bulk data collection for investigation related purpose; clear grounds for extending retention periods for information collected; and effective independent safeguards against bulk data hacking. It is also concerned by the limited practical possibilities for complaining, in the absence of a comprehensive notification regime to the Dutch Oversight Board for the Intelligence and Security Services (CTIVD) (art. 17).
The State party should review the Act with a view to bringing its definitions and the powers and limits on their exercise in line with the Covenant and strengthen the independence and effectiveness of CTIVD and Toetsingscommissie Inzet Bevoegdheden (TIB) that has been established by the Act.

The Market Healthcare Act

The Committee is concerned that the Act to amend the Market Regulation (Healthcare) Act allows health insurance company medical consultants access to individual records in the electronic patient registration without obtaining a prior, informed and specific consent of the insured and that such practice has been carried out by health insurance companies for many years (art. 17).
The State party should require insurance companies to refrain from consulting individual medical records without a consent of the insured and ensure that the Bill requires health insurance companies to obtain a prior and informed consent of the insured to consult their records in the electronic patient registration and provide for an opt-out option for patients that oppose access to their records.

Het Comité uit haar zorgen over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv of 'Sleepwet') en stelt dat deze wet dient te worden herzien. Het Comité is met name bezorgd over de nieuwe mogelijkheden voor grootschalige interceptie en hacking, de verlenging van bewaartermijnen en de gebrekkige mogelijkheden om klachten in te dienen. Tevens dienen de onafhankelijkheid en effectiviteit van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de nieuwe Toetsingscommissie Inzet Bevoegdheden (TIB) te worden versterkt.

Met betrekking tot het (formeel reeds ingetrokken, maar in praktijk gecontinueerde) Wetsvoorstel inzage medische dossiers door zorgverzekeraars oordeelt het Comité dat dergelijke inzage slechts toegestaan is na toestemming van de patiënt. Tevens dient de wetgeving te voorzien in een opt-out voor patiënten die dergelijke inzage niet wensen. De huidige praktijk van inzage van medische dossiers door verzekeraars dient dan ook per direct te worden beëindigd.

Tijdens de sessie in Genève kwamen tevens de Nederlandse afschaffing van het referendum en het camerasysteem @MIGO-BORAS kritisch ter sprake. Privacy First betreurt het dat het Comité deze (evenals diverse andere actuele) onderwerpen in haar eindoordeel onbenoemd laat. Niettemin toont de rapportage van het Comité vandaag aan dat het thema privacy ook bij de Verenigde Naties steeds hoger en kritischer op de agenda staat. Privacy First juicht deze ontwikkeling toe en zal dit de komende jaren blijven aansporen. Tevens zal Privacy First erop toezien dat Nederland de diverse aanbevelingen van het Comité zal implementeren.

De volledige Nederlandse sessie bij het VN-Comité staat online bij UN Web TV (1 juli en 2 juli). Zie ook de uitgebreide VN-verslagen, deel 1 en deel 2 (pdf).

Gepubliceerd in Wetgeving
vrijdag, 31 mei 2019 07:31

Dringende oproep om donaties!

Eind vorig jaar deed Privacy First een dringende oproep aan u wegens de invoering van een nieuwe draconische Nederlandse wet waardoor de reisbewegingen van miljoenen automobilisten continu 4 weken in een centrale politiedatabank belanden, ongeacht of men ergens van verdacht wordt. Dit is de wet inzake Automatische Nummerplaat Herkenning (Automatic Number Plate Recognition, ANPR) die per 1 januari jl. in werking trad. Mede dankzij de financiële steun van talloze donateurs bereidt Privacy First sindsdien een cruciale rechtszaak (kort geding en eventuele bodemprocedure) ter buitenwerkingstelling van deze wet voor. De ANPR-wet vormt immers een massale privacyschending en hoort simpelweg niet thuis in een vrije democratische rechtsstaat. Via Pro Bono Connect heeft Privacy First het advocatenkantoor CMS ingeschakeld om deze zaak voor ons te voeren. Door omstandigheden (waaronder aanhoudende, onverklaarbare tegenslag bij fondsenwerving) is de lancering van deze rechtszaak vertraagd, maar de voorbereidingen bevinden zich inmiddels in een vergevorderd stadium en onze verwachting is dat onze ANPR-zaak deze zomer zal plaatsvinden bij de rechtbank Den Haag. Zodra hier meer over bekend is zullen wij dit direct aankondigen. Intussen gaan ook de grondige voorbereidingen van de grootschalige coalitie-zaak tegen het Systeem Risico Indicatie (SyRI) gestaag verder: de openbare rechtszitting in deze zaak zal op 29 oktober as. plaatsvinden bij de rechtbank Den Haag. Zet dit alvast in uw agenda. U bent van harte welkom!

Uw steun als donateur is nu harder nodig dan ooit

Om effectief te kunnen blijven opereren (en überhaupt te kunnen blijven voortbestaan) heeft Privacy First dringend behoefte aan meer financiële steun, ook van u als donateur. Hoe meer steun, hoe grondiger en dus effectiever wij onze rechtszaken zullen kunnen voeren en hoe groter de kans op snelle winst in de rechtszaal. Doneren aan Privacy First kan heel eenvoudig via de donatiepagina op onze website, of direct middels een overboeking naar NL95ABNA0495527521 t.n.v. Stichting Privacy First te Amsterdam, onder vermelding van “donatie”. Privacy First is door de Belastingdienst erkend als Algemeen Nut Beogende Instelling (ANBI). Uw donatie aan Privacy First is daarom belastingaftrekbaar.

Nieuwe vrijwilligers nodig

Privacy First is voor haar werkzaamheden grotendeels afhankelijk van vrijwilligers en pro bono ondersteuning door professionals op diverse terreinen. Voor al onze activiteiten (waaronder stille diplomatie, politieke lobby, campagnes en rechtszaken) heeft Privacy First de komende maanden behoefte aan nieuwe vrijwilligers voor 1) juridische research, 2) feitelijke research, 3) politieke research, 4) grafische ondersteuning en 5) een nieuw jurylid voor onze Nederlandse Privacy Awards. Voelt u zich hiertoe geroepen? Neem dan zo snel mogelijk contact met ons op!

De afgelopen jaren had Privacy First veel positieve invloed dankzij de steun van talloze donateurs, diverse fondsen en vrijwilligers. Privacy First rekent op uw support!

Gepubliceerd in Rechtszaken

Busreiziger Michiel Jonker heeft een rechtszaak aangespannen tegen de Autoriteit Persoonsgegevens (AP), vanwege de weigering van de AP om handhavend op te treden tegen vervoerbedrijf Breng/Connexxion. Connexxion weigert, net als veel andere Nederlandse vervoerbedrijven, sinds medio 2018 om in de bus betaling van kaartjes met contant geld te accepteren. Volgens Jonker is dit een schending van zijn privacy, omdat dit hem als busreiziger verplicht tot pinbetaling, waarbij zijn persoonsgegevens worden verwerkt. Jonker diende hierover in juli 2018 een handhavingsverzoek in bij de AP.

De AP weigerde vervolgens te handhaven. Volgens de Autoriteit is er sprake van een "overeenkomst" (contract) tussen Connexxion en Jonker, omdat Connexxion de weigering van contante betaling in de algemene voorwaarden heeft opgenomen. Volgens de AP leveren de door het vervoerbedrijf opgestelde algemene voorwaarden een wettelijke grondslag op voor het verwerken van persoonsgegevens (artikel 6 lid 1 onder b AVG). Tevens stelt de AP dat het doel van "sociale veiligheid" in het OV de verwerking van persoonsgegevens rechtvaardigt.

Jonker bestrijdt dit. Volgens hem is er geen sprake van een vrijwillig aangegaan contract, gezien zijn afhankelijkheid van het openbaar vervoer en het monopolie van Connexxion op de betreffende buslijnen. Ook stelt Jonker dat een vaag en algemeen geformuleerd doel zoals "sociale veiligheid" een generieke aantasting van de privacy op alle Nederlandse buslijnen niet rechtvaardigt. Volgens Jonker moet er gekeken worden naar de werkelijke veiligheidsproblematiek in specifieke regio's en op specifieke buslijnen.

Jonker: "Zoals het nu toegaat, kan een willekeurige groep bedrijven, al dan niet in samenwerking met bijvoorbeeld een ministerie of de leiding van de politie, eenzijdig zo'n beetje elke aantasting van privacy doordrijven, zonder serieus te onderbouwen waarom dat nodig zou zijn. En de AP vindt dat prima, want die is er kennelijk niet voor de burgers, maar voor degenen die de rechten van burgers onder de voet willen lopen. In mijn handhavingsverzoek en in mijn bezwaarschrift heb ik de zaak zorgvuldig beargumenteerd, maar de AP negeert het overgrote deel van mijn argumenten. Helaas kom je dan weer bij de rechter terecht."

Eerder heeft Jonker al verschillende rechtszaken op het gebied van privacy gewonnen, inzake de Arnhemse adresgebonden afvalpas, en inzake de OV-chipkaart van NS. Jonker: "Er lopen nu in totaal zes zaken van mij bij de AP, die telkens weigert zijn wettelijke handhavingstaak uit te voeren. Hoewel ik over juridische achtergrondkennis en een aantal andere vaardigheden beschik, valt dit voor een normaal mens uiteindelijk niet vol te houden. Met haar weigerachtigheid maakt de AP van privacy in de praktijk een lachertje. De vraag is nu wat de rechter vindt. Als die het ook wel best zou vinden, is het voorlopig einde verhaal voor de privacy, dan kunnen we die illusie overboord gooien. De AVG zou in dat geval weinig voorstellen. Maar of dat zo is, ga ik eerst wel grondig uitzoeken door het aan de Nederlandse rechter voor te leggen, maar desnoods ook aan de Europese rechter."

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Gepubliceerd in Mobiliteit
Pagina 1 van 34

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon