donatieknop english
donderdag, 25 oktober 2012 12:50

To hack, or not to hack...

Door Adriaan Bos  

Minister Opstelten wil wettelijk vastleggen dat justitie computers mag hacken. Zo kan de politie een computer overnemen door daar spyware op te plaatsen, zonder dat de gebruiker van die computer daar iets van merkt. Op die manier kan tegenwicht worden geboden aan criminelen die steeds inventiever gebruik maken van informatietechnologie. Moeten we daar bezwaar tegen hebben?

De computer is straks de nieuwe tank

Het is duidelijk dat de cybercriminaliteit een zorgelijke ontwikkeling is. In zijn begin dit jaar verschenen boek "Het einde van de privacy" zegt trendwatcher Adjiedj Bakas: Cyberwarfare wordt een taak van het vernieuwde leger, de computer is straks de nieuwe tank. En wat voor tank! Welke publieke voorziening is tegenwoordig niet computergestuurd, variërend van de watervoorziening tot luchthavens, telefoonverkeer, ziekenhuizen, het betalingsverkeer en de bevoorrading van supermarkten. Door die computers over te nemen kan chaos worden gecreëerd. Dat kan een actie van de ene tegen de andere natie zijn, maar ook terroristen en criminelen kunnen zoiets ondernemen. Geen bezwaar dus tegen het hacken van computers door de politie, als tegenwicht?

Een vergaande inbreuk op de privacy

Het overnemen van een computer stelt de politie in staat die van voor naar achter te doorzoeken, inclusief alle privé-gegevens die daar op staan. Dus ook het complete e-mailbestand (inclusief bijvoorbeeld de correspondentie tussen een verdachte en diens advocaat, of diens heimelijke minnaar/minnares), bezochte websites, alle betalings- en administratiegegevens en een persoonlijk dagboek vol gedachten en fantasieën kunnen worden doorgenomen. Dat is een zeer vergaande inbreuk op de privacy. Niet alleen van de verdachte, maar ook van derden die met de verdachte communiceren. Geen bezwaar zal de overheid zeggen, het middel wordt alleen ingezet bij verdenking van strafbare feiten van een zekere ernst (aldus de brief van de minister van 15 oktober jl. aan de Tweede Kamer), en bovendien moet de rechter eerst toestemming geven. Is dat voldoende waarborg, nu en in de ongewisse toekomst?

Privacy moet wijken voor veiligheid

Die oneliner is opgekomen in de VS na 9/11. De politiek in Nederland gaat daar gretig in mee als zich een ernstig incident voordoet, zeker als dat door de media en verontwaardigde burgers breed wordt uitmeten. Met als gevolg veel, vaak disproportionele gelegenheidsmaatregelen. Ons land komt steeds meer vol te hangen met camera's, er worden digitale bestanden aangelegd voor uiteenlopende doelen, die na verloop van tijd worden verruimd door bestanden aan elkaar te koppelen. De technologie van gezichtsherkenning breekt door, een centraal DNA-bestand voor alle burgers komt op ons af. In een vrijdag jl. uitgelekt wetsvoorstel zou staan dat het voor justitie mogelijk moet worden om DNA-materiaal uit de zorg op te eisen voor opsporingsdoeleinden. Als we zo doorgaan zou Orwells '1984' heel goed '2084' kunnen zijn. Gaat het zo ver komen?

Kunnen wij blijven vertrouwen op onze democratische rechtsstaat?

Nog een keer Bakas over onze toekomst: Ieder individu heeft straks een digitale identiteit (inclusief DNA-paspoort en medisch dossier). Die is opgeslagen in de Cloud en kun je, zo zegt hij, selectief toegankelijk maken, behoudens één uitzondering: De enige die overal toegang toe heeft is de overheid. Hoe gaat de overheid om met al die informatie, die haar zo veel macht over burgers geeft? In autoritaire staten laat zich het antwoord raden. Kunnen wij blijven vertrouwen op onze democratische rechtsstaat, op richtlijnen uit Brussel? Een democratie kenmerkt zich onder meer door bescherming van de burger tegen een overmatig bemoeizuchtige overheid. Maar wat is een overheid meer dan een reflectie van haar burgers. Hoe groot kan de invloed van een PVV-achtige partij worden, of van een Gouden Dageraad? Welke garantie hebben we dat een overheid in de toekomst, onder druk van een crisis en/of populistische onverdraagzaamheid, hele andere normen en waarden hanteert, en onze digitale identiteit misbruikt om haar doelen te bereiken?

De klassieke strijd tussen goed en kwaad

In mijn roman 'Advocaat van de waarheid', die onder meer laat zien hoe het ethisch besef in de samenleving kan verschuiven in tijden van crisis, zegt iemand: 'Je zei net dat technologie dienstbaar moet zijn aan de samenleving. Volgens mij zijn we hard op weg naar het tegenovergestelde. We raken volledig in de ban van technologie, als een ring die we niet meer van onze vinger af krijgen. Die maakt iets in ons wakker wat gevaarlijk is. We staren ons blind op de schittering, we raken verslaafd aan de macht die de ring ons geeft. Intussen zien we niet de gestaag groeiende schaduw waarin het licht van ons innerlijk weten dooft.' Dat is natuurlijk een knipoog naar 'The lord of the rings', naar de ring die steeds meer greep krijgt op Frodo Baggins en hem probeert te verleiden de macht van de ring te misbruiken. Zelfs de meest zuiveren van geest kunnen de donkere kant van de ring nauwelijks weerstaan. Het is de klassieke strijd tussen goed en kwaad.

Predictive policing

Predictive policing wordt in opsporingskringen de toekomst van de politie genoemd. Alle burgers digitaal in kaart brengen in een centrale database en daar via algoritmen een risicoanalyse op loslaten: alles wat afwijkt van 'het normale' zou verdacht kunnen zijn. Goed voor de veiligheid in de samenleving, en 'wie niets te verbergen heeft hoeft niets te vrezen'. Maar wie te veel (preventief) wil controleren en te vaak roept dat privacy moet wijken voor veiligheid, of de naam van een ministerie verandert in Veiligheid en (pas daarna) Justitie, begeeft zich op glad ijs.

Het recht om met rust gelaten te worden

Het recht om door de overheid met rust gelaten te worden is door de eeuwen heen bevochten en één van de belangrijkste pijlers van de democratie. We leven in een samenleving waarin de technologische mogelijkheden onbegrensd lijken. Technologie heeft ons veel gebracht, maar dat heeft ook een schaduwkant. Die duistere kant kan de meest elementaire menselijke waarde aantasten: onze persoonlijke vrijheid!

To hack, or not to hack...

De overheid mag de computers van haar burgers niet hacken, in ieder geval niet zonder een heldere visie die de privacy van burgers respecteert en waarborgt, ook in de toekomst. Die visie lijkt er nu niet te zijn.


Oorspronkelijke titel: 'De schaduwkant van technologie: to hack, or not to hack...', http://adriaanbos.blogspot.nl/2012/10/de-schaduwkant-van-technologie-to-hack.html, 24 oktober 2012 (met toestemming overgenomen van de auteur).
In maart 2012 verscheen de roman Advocaat van de waarheid; klik HIER voor een introductie.

Gepubliceerd in Columns
vrijdag, 21 september 2012 16:59

Aanbevelingen voor kabinetsformatie

Gistermiddag verzond het Platform Bescherming Burgerrechten een brief met aanbevelingen aan informateurs Wouter Bos en Henk Kamp op het terrein van 1) privacy, 2) democratie & rechtsstaat en 3) nieuwe technologieën. De brief is mede-opgesteld en ondertekend door Stichting Privacy First. Speerpunten van Privacy First in de brief zijn de verplichte uitvoering van Privacy Impact Assessments, strikte toetsing van wetgeving en beleid aan nationale en Europese privacywetgeving, de ontwikkeling van privacy by design en privacy enhancing technologies, de instelling van een Constitutioneel Hof en opheffing van het verbod op constitutionele toetsing, actieve openbaarheid van bestuur, vrijwillige i.p.v. verplichte toepassing van biometrie en een verbod op de invoering van mobiele vingerscanners bij de politie. Hieronder volgt de volledige tekst van de brief:

Tweede Kamer der Staten-Generaal
T.a.v. de informateurs
Dhr. drs. W.J. Bos en dhr. H.G.J. Kamp
Postbus 20018
2500 EA Den Haag

Afschrift aan: fractievoorzitters Tweede Kamer

Amsterdam, 20 september 2012
Betreft: aanbevelingen van het Platform Bescherming Burgerrechten t.b.v. kabinetsformatie

Geachte heren,

Graag willen wij u als Platform Bescherming Burgerrechten een aantal aanbevelingen voorleggen die drie terreinen bestrijken, namelijk 1) privacybeschermende wetgeving en maatregelen, 2) onderwerpen die de democratische rechtsstaat betreffen en ons aller persoonlijke vrijheid en burgerrechten raken en 3) nieuwe technologieën en daaraan verbonden risico’s voor de privacy.

De laatste jaren is in Nederland een tendens te bespeuren waarbij ieder maatschappelijk probleem met een standaard-recept lijkt te worden benaderd, namelijk meer digitale registratie, meer koppeling van bestanden en centrale ontsluiting van systemen en databanken die voor steeds meer functionarissen en derde partijen toegankelijk worden, inperking van professionele autonomie, preventieve controle en profiling.

Het lijkt erop of men, vooral in de politiek, gevoed door media en de vox populi voorzover ook weer beïnvloed door de media, in deze instrumenten een beheersing van de samenleving ziet die tot meer orde en rust en veiligheid zou moeten leiden.

Naar onze mening is het omgekeerde nu steeds vaker het geval.

Digitalisering brengt namelijk met zich mee dat de hoeveelheid gegevens die over iedere burger wordt opgeslagen steeds groter, onoverzichtelijker en onbeheersbaarder wordt. Dit geldt des te meer voor gegevens die foutief zijn ingevoerd, verkeerd gekoppeld of verouderd zijn.

Met de exponentiële toename van digitale registraties nemen de risico’s van datalekken navenant toe en ontstaan nieuwe vormen van identiteitsfraude en -diefstal. Daarmee wordt de onveiligheid van digitale systemen een onveiligheid die burgers direct bedreigt. Daarnaast is er een risico dat burgers door digitale profilering verworden tot hun digitale ‘dubbelgangers’. De autonomie van de vrije en participerende burger die zo belangrijk is in een democratische rechtsstaat komt daarmee ernstig in gevaar.

Terug naar een maatschappij zonder internet of digitale bestanden is echter iets wat wij geenszins voorstaan en is inhoudelijk onmogelijk.

Echter een verstandig gebruik van technische middelen, waaronder dataopslag en biometrie en andere technische verworvenheden, zal noodzakelijk zijn willen wij onze democratische rechtsstaat met de bijbehorende grondrechten overeind houden.

Juist in deze tijd van onvoorziene technische mogelijkheden moeten wij ons eens temeer realiseren hoe belangrijk de grondbeginselen van onze samenleving zijn. Iedere keer zal dan ook een afweging moeten plaatsvinden waar de grenzen van het toelaatbare liggen en hoe eventuele alternatieven in de menselijke sfeer zoals meer persoonlijke controles maar ook hulp en dienstverlening wenselijk dan wel noodzakelijk zijn.

Daartoe hebben wij de volgende aanbevelingen geformuleerd:

PRIVACY

1. De principes van noodzakelijkheid, proportionaliteit en subsidiariteit dienen een bepalende rol te spelen bij de opstelling van alle wetgeving en beleid die een inbreuk maakt op de persoonlijke levenssfeer.
2. Bij alle wetgeving en beleid die de persoonlijke levenssfeer kan aantasten dient een onafhankelijke Privacy Impact Assessment (PIA) te worden uitgevoerd.
3. Privacy by design moet als uitgangspunt gelden bij alle ICT-projecten die betrekking hebben op de verwerking van persoonsgegevens en in het verlengde daarvan de persoonlijke levenssfeer van burgers. De ontwikkeling van privacy enhancing technologies (PET) krijgt hoge prioriteit.
4. De Wet bescherming persoonsgegevens (Wbp) en relevante bepalingen van het Europees Verdrag voor de Rechten van de Mens alsmede het Handvest van de Grondrechten van de Europese Unie dienen strenger te worden gehandhaafd.
5. Er dient een universele opt-out mogelijkheid te zijn bij de verwerking en koppeling van persoonsgegevens en biometrie, noodzakelijke uitzonderingen daargelaten.[1]
6. Het College Bescherming Persoonsgegevens (CBP) dient meer middelen en bevoegdheden te krijgen, waaronder een boetebevoegdheid. Burgers dienen een klachtrecht bij het CBP te krijgen.
7. Het DDJGZ (Digitaal Dossier Jeugdgezondheidszorg, voormalig EKD) blijft uitsluitend een medisch dossier met de daaraan verbonden privacy-eisen.

DEMOCRATIE & RECHTSSTAAT

8. Er dient een Constitutioneel Hof te komen. Tevens dient het verbod op constitutionele toetsing en het verbod van direct beroep tegen algemeen verbindende voorschriften (art. 8:2 Awb) te worden afgeschaft.
9. Er dient een publiek debat te komen over de noodzaak van beperking van grondrechten.[2]
10. De overheid dient vier algemene mensenrechtelijke plichten opnieuw in acht te nemen, te weten het Naleven, Beschermen, Verwezenlijken en Promoten van alle mensenrechten, inclusief de burgerrechten.
11. Het primaat van de formele wetgever dient in ere te worden hersteld. Er moet zeer voorzichtig worden omgesprongen met holle kaderwetgeving die middels AMvB’s en ministeriële regelingen moet worden ingevuld en waarbij in de praktijk van de uitvoering de privacy in het geding kan raken.[3]
12. Bij alle wetgeving en beleid dienen de onschuldpresumptie en het verbod op zelfincriminatie (nemo tenetur) weer als uitgangspunt te gelden.
13. Er wordt een onderzoek of parlementaire enquête naar de kosten van de controlestaat ingesteld. Naar aanleiding van dat onderzoek zouden de kosten naar verhouding beperkt moeten worden.[4]
14. Het College voor de Rechten van de Mens dient meer financiële middelen en volledige procesbevoegdheid te krijgen.
15. De overheid dient transparanter te worden door modernisering en versterking van de Wet openbaarheid van bestuur (Wob). De Wob krijgt als uitgangspunt actieve openbaarheid van bestuur in plaats van de huidige passieve openbaarheid.
16. Er dient meer transparantie te komen bij de Raadsgroepen en werkgroepen van de Europese Unie.
17. Er dient een openbaar overzicht te komen van het stemgedrag van ieder Kamerlid gedurende zijn/haar gehele politieke loopbaan.
18. Er dient meer aandacht te worden besteed aan mensenrechteneducatie, waaronder voorlichting over de risico’s van het afstaan van je persoonsgegevens aan derde partijen.

NIEUWE TECHNOLOGIEËN

19. Niet alles wat technisch mogelijk is, dient ook te worden toegepast. Er dienen heldere grenzen te worden gesteld aan de inzet van nieuwe controle-technologieën. Technologie behoort de vrije mens en de vrije samenleving te dienen in plaats van andersom.
20. Van biometrische registratie mag slechts sprake zijn op vrijwillige basis.
21. Openbaar cameratoezicht met gezichtsherkenning, geluidsopnamen op gespreksniveau en automatische gedragsprofilering dienen te worden verboden.
22. Er worden geen mobiele vingerscanners bij de politie ingevoerd.

Wij hopen u met deze aanbevelingen van dienst te zijn en zijn graag tot een nadere toelichting bereid.

Namens het Platform Bescherming Burgerrechten, verblijf ik,
Hoogachtend,

Vincent Böhre
voorzitter Platform Bescherming Burgerrechten

Namens de volgende Platformdeelnemers:
Humanistisch Verbond
Stichting KDVP
Stichting Meldpunt Misbruik ID-plicht
Ouders Online
Stichting Privacy First
Burgerrechtenvereniging Vrijbit
Jacques Barth (vanuit Stichting Brein & Hart i.o.)
Joyce Hes (adviseur Platform Bescherming Burgerrechten)
Kaspar Mengelberg (vanuit DeVrijePsych)

[1] Opt-out mogelijkheden zouden onder meer mogelijk moeten zijn bij: a) DBC-systematiek in de GGZ, b) alle vormen van centrale registratie en c) alle vormen van gebruik van biometrie. Als aantekening hierbij willen we stellen dat we als eerste prioriteit hebben om überhaupt voorzichtig te zijn met koppeling van bestanden en het gebruik van biometrie en centrale registraties, waar alternatieven zouden moeten worden overwogen.
[2] Op dit moment wordt de aantasting van grondrechten bijna als vanzelfsprekendheid doorgevoerd in het kader van bijvoorbeeld fraudebestrijding (sociale zekerheid) of kostenreductie (GGZ) waarbij de professionele autonomie en het vertrouwensbeginsel tussen behandelaar en patiënt worden aangetast, of bij “gewone” bureaucratische controle (onderwijs, politie e.d.). Naar onze mening wordt het tijd hierover een publiek debat te voeren waarin een bureaucratisch centralisme in combinatie met de zogenaamde marktwerking en instrumentalisme wordt gelegd naast een type benadering waarin professionele autonomie en grondrechten weer centraal staan.
[3] Nu zien we meer dan eens dat er sprake is van “vermijding” van formele wetgeving. De Tweede en Eerste Kamer moeten genoegen nemen met vage beloftes van een minister ‘dat het allemaal wel goed komt’ of zelfs soms aantoonbare onjuistheden. Dat wreekt zich met name op het terrein van de privacy. Als namelijk in de praktijk van de uitvoering een spanning gaat optreden met de Wbp kan de wetgever niet meer zo makkelijk en zeker niet met terugwerkende kracht alsnog gaan ingrijpen. Ook in dit verband kan een Privacy Impact Assessment nuttig zijn.
[4] Bart de Koning geeft een schatting van deze kosten in 2008 van 3,5 miljard euro in zijn boek Alles onder controle. Als we echter ook de immateriële kosten zouden berekenen van alle (eerstelijns) professionals die gedwongen worden een groot deel van hun tijd aan administratieve en inefficiënte controle-eisen te besteden wordt de rekensom veel groter.

Gepubliceerd in Wetgeving

"De grensbewakingscamera's die sinds een maand in werking zijn gesteld langs de Nederlandse grenzen, zijn omstreden. @migoBoras is bedoeld om criminelen op de korrel te nemen, maar de angst bestaat dat de onschuldige automobilist het slachtoffer wordt van het Big Brother-systeem.

Het camerasysteem heeft een flinke hap genomen uit de privacy van automobilisten langs de Nederlandse grens. @migoBoras kan iedere verdachte auto door de marechaussee aan de kant laten zetten, zonder dat er sprake hoeft te zijn van enige vorm van verdenking. @migoBoras (Border Observation, Registration and Analysis System) is bedoeld om criminelen aan de Nederlandse grens sneller te kunnen oppakken, maar het gevaar bestaat dat juist de onschuldige weggebruiker de dupe wordt. De Piratenpartij vreest ervoor dat criminelen de mazen in het net snel zullen ontdekken, terwijl de nietsvermoedende automobilisten zonder enige verdenking van de weg geplukt zullen worden.

Het systeem herkent verdachte auto's die aan de grens Nederland in of uit willen rijden. Welke auto verdacht is, wordt vooraf ingegeven in een datasysteem. De camera 'ziet' een vergelijkbare auto met een kenteken uit een vooraf ingegeven land en alarmeert dan. Motoragenten kunnen de gesignaleerde auto vervolgens aanhouden en controleren. Er wordt niet gecontroleerd op het kenteken als zodanig, maar op land van herkomst. @migoBoras, dat ook in de VS en Groot-Brittannië gebruikt wordt, lijkt vooral geschikt om mensen te betrappen die hun boetes of verzekeringen te laat betalen.

Het systeem kostte de Nederlandse overheid 20 miljoen en moet dag en nacht bemand worden. Gegevens over de effectiviteit ontbreken echter. Ook is niet bekend hoeveel tijd de marechaussee kwijt is aan automatisch gegeneerde meldingen door @migoBoras. Cijfers over het aantal veroordeelde misdadigers, het aantal voorkomen misdrijven en het aantal valse verdenkingen zijn niet beschikbaar.

Dat @migoBoras omstreden is, mag duidelijk zijn. Het systeem (en het gebrek aan wetgeving eromheen) wordt onderzocht door de Europese Commissie, vooral op aanwijzen van de Duitse regering. De oosterburen zijn veel kritischer op de privacyschending. De Nederlandse overheid kan voor de rechter worden gedaagd wegens schending van het recht op privacy en de schending van het Verdrag van Schengen. Dat overweegt Stichting Privacy First. "Het systeem heeft nog steeds geen voldoende wettelijke basis en is niet noodzakelijk", laat Vincent Böhre weten. @migoBoras dreigt bovendien binnenkort te worden uitgebreid met vier weken opslag van ieders reisbewegingen middels automatische nummerplaatherkenning.

Onlangs heeft de Europese Commissie groen licht gegeven voor de operationalisering van een afgeslankte versie van het systeem. Het Europese Hof van Justitie heeft echter nog geen groen licht gegeven. Wel werd het reeds bestaande Mobiel Toezicht Veiligheid (MTV) van de Koninklijke Marechaussee (KMar) op Nederlandse grenswegen goedgekeurd."

Bron: Telegraaf online (Binnenland), 10 september 2012. Saillant detail: dit artikel is 24 uur offline geweest n.a.v. "klachten vanuit een ministerie" bij de Telegraafredactie. Op dinsdagmiddag 11 september 2012 werd het door de Telegraaf in ietwat gecorrigeerde, geactualiseerde vorm opnieuw online gezet. Tevens zijn alle 335 reacties onder het (oorspronkelijke) artikel gewist; deze reacties zijn HIER echter nog te lezen.

Gepubliceerd in Privacy First in de media
zaterdag, 23 juni 2012 18:29

Nationaal Privacy Debat 2012

Op 11 juni jl. vond in Den Haag het langverwachte Nationaal Privacy Debat plaats. Privacy First somt voor u de aspecten op die ons het meest opvielen, te beginnen met het treffende pleidooi van Brenno de Winter voor een Privacy Deltaplan:

“Het Nationaal Privacy Debat is een unieke kans iets moois te beginnen en mensen uit te dagen mee te doen met de maatschappelijke discussie. Laten we die kans grijpen en werken aan een Deltaplan. Nederland weer tot voorbeeldland maken. Een voorbeeld als rechtstaat voor wat betreft de bescherming van de burger. Daarin zijn we op ons best!”

Brenno de Winter.  © Sebastiaan ter Burg

Hierna was het woord aan Anthony House (Google), die aan het einde van zijn keynote speech de volgende vraag aan het publiek stelde:

“Are the principles of data protection that were developed in the 1970s still good today? Do we need to start from scratch on privacy principles?”

Uit de stilte in de zaal en enkele antwoorden die hierop volgden viel (gelukkig) op te maken dat de klassieke privacybeginselen nog altijd voldoen, in elk geval grotendeels.

Daarna was het de beurt aan de eerste paneldiscussie, waarbij de centrale vraag was wat momenteel de voorkeur heeft: meer wettelijke regelgeving of meer zelfregulering? Uit de reacties vanuit het panel en vanuit de zaal bleek de voorkeur in overheersende mate uit te gaan naar beide opties samen i.p.v. slechts het één of het ander. Net als in de financiële sector is goede wetgeving en strakke handhaving ook voor de ICT-sector inmiddels bittere noodzaak gebleken. Die wetgeving vormt echter slechts een minimale, snel verouderende ondergrens. Het is dan ook aan de ICT-sector zelf om altijd op het hoogste, meest privacyvriendelijke (oftewel klantvriendelijke) niveau te opereren. Dit is een belangrijk selling point en biedt belangrijke concurrentievoordelen. In die zin kunnen wetgeving en zelfregulering elkaar goed aanvullen.

Vervolgens was er een toespraak van Joost Farwerck (KPN) die onder meer aangaf dat privacy tegenwoordig een zeer hoge prioriteit heeft bij een breed Nederlands publiek: uit onderzoek van KPN was gebleken dat het publiek hier na een goede gezondheidszorg en goed onderwijs de meeste waarde aan hecht. Mede daarom heeft KPN een intern Privacy Awareness programma en een externe Privacy Missie opgesteld. Farwerck pleitte er tenslotte voor om van het Nationaal Privacy Debat een terugkerend evenement te maken. (Later die dag pleitte ook Arie van Bellen (ECP-EPN) hiervoor.) Privacy First sluit zich daar graag bij aan.

Interessant tijdens de tweede panelsessie (over privacy en beveiliging) waren vooral de parallellen die werden getrokken met de veiligheid in andere sectoren, zoals de levensmiddelenindustrie en de luchtvaartsector, zowel qua regelgeving en zelfregulering als qua toezicht en handhaving. Eerder op de dag had Vincent Böhre (Privacy First) een vergelijkbare parallel getrokken met vroegere ontwikkelingen op het terrein van milieubescherming. Veel deelnemers aan het debat waren het erover eens dat het College Bescherming Persoonsgegevens (CBP) enerzijds te weinig middelen en bevoegdheden heeft, maar anderzijds ook de bestaande privacywetgeving te zwak handhaaft. Verder maakte Walter van Holst (Mitopics) vanuit het publiek terecht de opmerking dat er meer nadruk moet worden gelegd op dataminimalisatie. Wat er niet is hoeft immers ook niet beveiligd te worden.

Het woord was hierna aan Bart de Koning: journalist en auteur van het boek 'Alles onder controle, de overheid houdt u in de gaten'. De Koning wees in zijn toespraak op een aantal positieve recente ontwikkelingen, waaronder het verzet tegen de vingerafdrukken in het paspoort, nieuwe cookiewetgeving, netneutraliteit en politieke aandacht voor de risico’s van de Amerikaanse Patriot Act. Tegelijkertijd waarschuwde hij voor negatieve ontwikkelingen zoals het voorstel om alle kentekenplaten van RFID-chips te gaan voorzien. Ook is Nederland nog steeds koploper in afluisteren. Verder constateerde hij dat de media (inclusief Elsevier) tegenwoordig meer aandacht aan privacy besteden dan voorheen en dat de burger ook steeds meer de overheid in de gaten houdt i.p.v. andersom. “De burger gluurt terug” en dit kan “een disciplinerend effect hebben op de Staat”, aldus De Koning. Voor de toekomst gaf De Koning de volgende richtsnoeren mee aan het publiek: 1) eerst denken, dan doen, 2) dataminimalisatie, 3) openbaarheid, 4) effectiviteit, 5) horizonbepalingen en 6) een permanent debat. Verder pleitte De Koning voor invoering van constitutionele toetsing (bij de rechterlijke macht), een Constitutioneel Hof en steviger toezicht door het CBP. In dit verband maakte hij een vergelijking met Duitsland, waar ANPR (automatische nummerplaatherkenning) verboden is.

Bart de Koning.  © Sebastiaan ter Burg

Vervolgens was er ruimte voor discussie met het publiek, waarbij vooral Joyce Hes (Stichting Bescherming Burgerrechten) een belangrijk punt aanstipte: veel openbare discussies (waaronder de periodieke Privacycafe’s in Felix Meritis) worden gevoerd met privacyvoorstanders. Politici en ambtenaren die kritisch tegenover privacy staan komen bij dergelijke debatten zelden opdagen. Dit laatste is niet goed voor de discussie.

Joyce Hes en Frénk van der Linden.  © Sebastiaan ter Burg

Tenslotte stelde Bart de Koning nog dat vooral de etnische ‘onderklasse’ het slachtoffer is van stelselmatige privacyschendingen, waaronder preventieve huiszoekingen. Privacy First onderschrijft al deze punten.

De derde panelsessie had als thema “privacy en overheid”:

© IDG Nederland

© IDG Nederland

Namens Stichting Privacy First beet Bas Filippini als volgt het spits af:

“Waar wij ons op richten zijn eigen keuzes in een vrije omgeving. Bij eigen keuzes denk je natuurlijk aan keuzevrijheid, en een vrije omgeving betekent dat wij ernaar streven om de omgeving zo vrij mogelijk te houden voor de gemiddelde burger in Nederland. Dit tenzij je met rede verdacht wordt van een strafbaar feit: dan kun je privacy inwisselen voor veiligheid. Dat is onze filosofie. Wij beredeneren dingen eerst vanuit principes, getoetst aan de Grondwet. Dan kijken we naar de uitvoering: zijn er voldoende checks & balances? Hoe zetten we beleid neer en hoe gaan we dat uitvoeren? En daarna kijken we pas naar technologie. Ik zeg altijd: “je kunt met een mes iemand neersteken, maar je kunt er ook een boterham mee smeren.” Technologie is voor velen “de heilige graal” waar men alles aan ophangt, zonder die eerste drie stappen te zetten: 1) principes, 2) beleid, 3) uitvoering, en dan pas gaan kijken hoe je slimme dingen kunt doen met technologie. Vaak worden de beginselen van subsidiariteit en proportionaliteit overschreden, en dat is erg jammer. Bij de overheid zijn veel mensen die het graag anders zouden willen doen, maar als zij het ergens niet mee eens zijn worden ze al snel als klokkenluider gezien, en dat werkt stigmatiserend. Zo vaart de Titanic dus richting de ijsschots, met als huidig resultaat: steeds meer profiling. Daarmee bedoelen wij geen gerichte profiling bij een redelijke verdenking van een strafbaar feit, maar het volgen van een gehele populatie en kijken of er “iets fout zit”, op basis van outliers, de afwijkingen van het gemiddelde. Dat vinden wij een groot gevaar, omdat iedereen dan een verdachte wordt. Daardoor krijg je heel veel zelfcensuur bij mensen, zowel bij ambtenaren als bij burgers op straat.”

Bas Filippini.  © IDG Nederland

Bas Filippini.  © IDG Nederland

Tijdens het vervolg van het paneldebat sprongen allereerst de opmerkingen van Ronald Leenes (Universiteit van Tilburg) eruit: hij waarschuwde terecht voor een verlies van vertrouwen bij burgers in de overheid indien die overheid het recht op privacy niet serieus neemt. “De afweging of een inbreuk op de privacy noodzakelijk is in een democratische samenleving wordt door de overheid op een aantal dossiers nauwelijks gemaakt”, aldus Leenes. Data worden volgens Leenes domweg verzameld “omdat het kan”, er is een enorm vertrouwen in de technologie, men denkt dat meer informatie leidt tot betere beslissingen, er is onvoldoende aandacht bij de overheid voor alternatieven om dezelfde doelen te bereiken, en er is sprake van onkunde. Hierbij waarschuwde Leenes onder meer voor de huidige plannen om prostituees centraal te gaan registreren. Ook benadrukte hij dat privacy niet alleen een individueel recht is, maar ook een sociale functie heeft.

Ronald Leenes en Wilmar Hendriks.  © IDG Nederland

Anderen in het panel wezen op de gevaren van risicoprofilering. Ook werd de drogredenering “je hoeft niets te vrezen als je niets te verbergen hebt” unaniem ontkracht: iedereen heeft immers het recht om zijn of haar privéleven simpelweg voor zichzelf te houden. Bovendien is het kernelement van vrijheid nu juist dat je iets te verbergen mág hebben. Verder werd opgemerkt dat er hard moet worden gewerkt aan de kennis en het bewustzijn over privacy bij de overheid. Sommigen in het panel benadrukten incompetentie bij de overheid i.p.v. opzet. Bas Filippini antwoordde hierop dat er vaak wel degelijk een agenda achter dingen zit, namelijk beleid vanuit de Verenigde Staten en de Europese Unie. “Hoe richt je je samenleving in? Doe je dat op basis van angst, haat en controle, of op basis van vertrouwen, vrijheid en liefde?”, aldus Filippini.

Bas Filippini.  © IDG Nederland

Frénk van der Linden en Bas Filippini.  © IDG Nederland

Bas Filippini, Kees Verhoeven en Sander Duivestein.  © IDG Nederland

Vervolgens was er discussie met het publiek, waarbij Jeroen Terstegge (PrivaSense) terecht opmerkte dat men dient te waken voor het uitvoeren van Privacy Impact Assessments (PIA’s) door rechtstreeks betrokken ambtenaren i.p.v. door een onafhankelijke toezichthouder, bijvoorbeeld een Chief Privacy Officer. Op dit terrein dient er meer zelfkritiek binnen de overheid te zijn, los van de externe rol van het CBP. Een ander opvallend punt vanuit het publiek werd aan het einde van de panelsessie gemaakt door Dimitri Tokmetzis (Sargasso): verzekeringen zijn oorspronkelijk bedoeld om risico’s te spreiden, maar door profiling worden risico’s juist geïndividualiseerd. Dit gaat ten koste van de solidariteit in onze samenleving.

Hierna gaf Pim Takkenberg (KLPD) een toespraak rond het thema privacy en opsporing, waarbij hij concreet inging op de dilemma’s rond de ontmanteling van een zogeheten botnet: een netwerk van gekaapte computersystemen. Volgens Takkenberg is het wettelijk kader in dit verband soms nog “onvoldoende specifiek”, bijvoorbeeld bij 1) het op afstand “betreden” (oftewel hacken) van computersystemen door de politie en 2) internationale samenwerking bij de bestrijding van cybercrime. Ook bij publiek-private samenwerking loopt de politie in dit verband vooralsnog “op eieren”, aldus Takkenberg. Op een vraag vanuit het publiek over de effectiviteit van de bewaarplicht telecomgegevens (dataretentie) antwoordde Takkenberg dat je “soms dingen even de tijd moet geven om te zien wat het op termijn oplevert.” Dit sterkt het standpunt van Privacy First dat deze maatregel nooit ingevoerd had mogen worden. Tenslotte stelde Takkenberg dan ook terecht dat de politie niet gebaat is bij teveel informatieverzameling, maar hier juist heel selectief in moet zijn.

Pim Takkenberg.  © Sebastiaan ter Burg

De paneldiscussie over privacy en opsporing die hierop volgde nam een onverwachte wending door het commentaar van Jan Grijpink (Universiteit Utrecht, voorheen tevens Justitie) over de recente verwikkelingen rond het biometrisch paspoort. Op de vraag waar hij zich in de privacydiscussie aan ergerde antwoordde Grijpink het volgende:

“De discussie over het biometrische paspoort, dat vind ik een heel mooi voorbeeld van hoe een te hardnekkig drammen – als ik het zo mag zeggen – op de privacykant, de veiligheidskant omver haalt. Als we nu zover zijn dat we zeggen “we halen de vingerafdrukken weer van het paspoort af”, dan ben ik heel tevreden. In 2002 had ik graag willen voorkomen dat we vingerafdrukken op het paspoort zouden zetten, want het is helemaal niet nodig om met vingerafdrukken te controleren wie de houder is. Dat is gewoon een overbodige handeling geweest. Maar op het moment dat je vingerafdrukken op dat paspoort zet, moet je kunnen controleren of die vingerafdrukken nog de correcte vingerafdrukken zijn, en of degene die beweert dat hij erbij hoort ook echt die persoon is. Dat heeft geleid tot een besluitvorming van de verschillende ministers die verantwoordelijk waren om vier vingers in een gemeentelijke databank onder te brengen, en als je dat dus niet hebt, dan is de burger eigenlijk rechteloos als hij rondloopt met een document met twee vingers, omdat het document ook bestemd is om aan anderen te geven. Als het iets is voor jezelf, is dat nog tot daar aan toe, maar een paspoort is er om aan een andere autoriteit af te staan. Als wij een paspoort uitdelen, dan controleren we niet eens met diezelfde biometrie of het echt wordt uitgedeeld aan de persoon die officieel de houder is. Óf geen vingerafdrukken, óf helemaal goed. Allebei dreigen we nu af te breken door een te hardnekkig drammen op één aspect van de privacy. Dat is waar ik me wel druk over maak.”

André Elissen, Jan Grijpink en Wilbert Tomesen.  © IDG Nederland

Hierop vroeg Vincent Böhre (Privacy First) aan Grijpink naar diens inschatting over het risico van function creep bij de opslag van vingerafdrukken in gemeentelijke databanken.

Vincent Böhre.  © IDG Nederland

Daarop antwoordde Grijpink als volgt:

“Als je alleen de vingers op het paspoort zet, dan ben je gewoon alle controle kwijt voor de bescherming van de betrokkene. Ik heb mij er altijd hard voor gemaakt dat vier vingers – de twee op het paspoort en twee andere – bij de gemeente berusten om te kunnen controleren of het nog steeds de juiste persoon is en of er niets aan het document is veranderd. Daarmee kan je ook jezelf vrijpleiten als je van iets wordt beschuldigd met zo’n document. De vraag of dat dan kan leiden tot function creep: ja, alles kan leiden tot function creep. Maar ik denk dat als je het goed organiseert, en daar ben ik natuurlijk wel een groot voorstander van, ook vanwege het feit dat wij met keteninformatisering ook de grootschalige infrastructuren maken om dat goed te beheren, dan denk ik dat je daar de overheid in zekere zin ook een beetje in mag vertrouwen. Ik heb er 40 jaar in rondgelopen. Ik zie dat in de privacydiscussie heel vaak een soort spook van de overheid wordt gemaakt. Ik herken dat niet. Heel veel overheidsmensen doen getrouw hun werk.”

Eenieder concludere hieruit het zijne... ;)

Tijdens de paneldiscussie stond tevens de vraag centraal over het wel of niet vrijgeven van Nederlandse cijfers over telefoon- en internettaps. Namens Bits of Freedom pleitte Simone Halink terecht voor meer transparantie terzake. Vanuit de hoek van de KLPD (en een oud-AIVD’er in de zaal) werd echter al snel duidelijk dat men in dit verband totaal niet bereid was om openheid van zaken te verschaffen. De leidde vervolgens tot een verharding van de discussie waarbij de privacyvoorvechters en de (oud-)vertegenwoordigers van politie en justitie lijnrecht tegenover elkaar kwamen te staan. Grijpink merkte tijdens deze discussie het volgende op:

“Ik wil een aspect erbij brengen waardoor je ook voorzichtig moet zijn met die harde roep om gegevens en om metingen. Speciaal, heel duidelijk in mijn dossier, identiteitsfraude, dan maak je gebruik van de identiteit van een ander. Als dat slaagt, dan is het onzichtbaar. En als de betrokkene dood is, dan merkt hij ook niks. Dus dat is een mooi voorbeeld dat als je gaat meten, je het verkeerde antwoord krijgt. En verkeerde conclusies, en verkeerde beelden, is voor de opsporing misschien wel erger dan als iets bekend wordt. In het geval van identiteitsfraude is het heel duidelijk. Er werd mij gevraagd: “Hoe erg is het probleem?” Ik zei: “De vraag stellen betekent dat je het niet begrijpt. Je moet eerst een situatie hebben dat je zeker weet dat je degene die geslaagd fraudeert te pakken hebt.” Er is maar één situatie die ik ken: dat zijn de cellen van Justitie. Toen zei Donner: “Dan gaan we kijken.” En wat bleek: 15% had de verkeerde identiteit. De helft daarvan kenden we niet eens. En dat zit dan gewoon in de gevangenis. Met andere woorden: cijfers zijn maar tot op zekere hoogte echt bruikbaar, en in het maatschappelijk debat gaan ze vaak de mist in.”

Hierop benadrukte Böhre het belang van het besef dat privacy een mensenrecht is, waarbij de proportionaliteitsvraag zowel in individuele als in collectieve zin fundamenteel is. De discussie dient daarom altijd gevoerd te worden op basis van harde feiten en cijfers. Vage aannames over look-alike fraude zijn geen excuus om een hele bevolking met biometrische paspoorten op te zadelen. Vanuit het panel volgde hierop geen ontkennende reactie. Het belang van een verdere discussie op basis van feiten en cijfers leek ook vanuit de zaal erkend te worden. In die zin fungeerde het Nationaal Privacy Debat hopelijk als de afsluiting van een tijdperk van fact-free politics.

Bij een eerstvolgend Nationaal Privacy Debat zal Privacy First graag weer actief aanwezig zijn. In de tussentijd dient het debat met alle relevante partijen permanent te worden gevoerd.

Een volledige videoregistratie van het hele (6,5 uur durende) Nationaal Privacy Debat kunt u HIER bekijken.
Meer foto's van het evenement vindt u HIER en HIER.

Naschrift Privacy First: bovenstaand verslag is tevens integraal gepubliceerd in het vakblad Privacy & Compliance 3-4/2012, pp. 46-49.

Gepubliceerd in Metaprivacy

In heel Nederland is het inmiddels schering en inslag aan het worden: openbaar cameratoezicht. Camera's met gezichtsherkenning, met bewegingsdetectie en zelfs met ingebouwde microfoons. Dit alles voor de "veiligheid". Wiens veiligheid? De veiligheid van de beurskoersen van de beveiligingsindustrie? De gemoedsveiligheid van politici met een veiligheidspsychose? In de vroege ochtend van woensdag 9 mei jl. werd Vincent Böhre van Privacy First door jongerenzender FunX Radio geïnterviewd over cameratoezicht en de vraag in hoeverre dit onze privacy aantast. Het hele fragment kun je hieronder terugluisteren (mp3, 6 MB):

 

Gepubliceerd in Privacy First in de media
zaterdag, 23 juli 2011 14:40

'Weird Al' Yankovic - Party In The CIA

"Better put your hands up and get in the van,
Or else you'll get blown away!
Stagin' a coup like yeah,
Brainwashin' moles like yeah,
We only torture the folks we don't like,
You're probably gonna be OK!"

Gepubliceerd in Muziek
Pagina 5 van 5

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon