Heidi I is in 2013 in opdracht van het MT-fraude van de Belastingdienst ontwikkeld om afwijkend risicovol gedrag zo vroeg mogelijk te kunnen signaleren.
Heidi was een database-functionaliteit om IP-adressen vast te leggen en te ontsluiten. De functionaliteit registreerde portaldata, waaronder de IP-adressen waarmee toeslagaanvragers het Toeslagen-portal (mijntoeslagen.nl) benaderden. In 2013 is hier geen gegevensbeschermings-effectbeoordeling (GEB) voor gemaakt.
In september 2017 is op advies van de privacy officer van de Belastingdienst Heidi I “on hold” gezet omdat deze niet zou voldoen aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Naar aanleiding daarvan is Heidi “II” ontwikkeld in oktober 2017. Er is een GEB voor opgesteld die op 15 januari jl. met uw Kamer is gedeeld.
Voor Heidi II staat in de GEB dat verschillende gegevens die werden ontvangen vanuit Beheer Van Relaties (BVR) zoals: geboortedatum, woonadres, eerste nationaliteit en het aantal BSN's ingeschreven op adres (berekend gegeven) werden verrijkt met gegevens zoals het IP-adres en vanuit openbare bronnen werden onder andere de geografische gegevens toegevoegd.
Op basis van de huidige informatie is duidelijk geworden dat de gegevens van Heidi II zijn gebruikt voor het Combiteam Aanpak Facilitators (CAF).
Het CAF was een multidisciplinair samenwerkingsverband binnen de Belastingdienst en werd in 2013 opgericht om signalen van mogelijke fraude bij zogenoemde tussenpersonen zoals belastingadviseurs te onderzoeken. Hiervoor was het onder andere van belang om te weten of er vanaf één adres meerdere belastingaangiften of aanvragen voor toeslagen werden ingediend.
Zoals in de Stand van Zakenbrief Dienst Toeslagen van 15 januari jl. aan uw Kamer is gemeld, geldt voor Toeslagen dat Heidi werd gebruikt als een loggingsysteem waarbij portaldata werd gelogd van bezoekers van de toeslagenportal. Het doel van Heidi was het kunnen traceren of er sprake was van opvallend gedrag wat een indicatie kan zijn voor een verhoogd risico op misbruik van toeslagen.
Ook voor Dienst Toeslagen geldt, zoals eerder in deze brief is gemeld, dat niet exact kan worden aangegeven welke gegevens door Toeslagen nog meer gebruikt zijn in Heidi I.
Sinds het stopzetten van het Intensief Toezicht (ITO) proces in 2020 wordt geen gebruik meer gemaakt van portaldata voor wat betreft het detecteren van risico’s op misbruik. Zoals toegezegd wordt uw Kamer op een later moment nader geïnformeerd over het toekomstige gebruik van portaldata door Dienst Toeslagen, wanneer het volledige proces van gegevensverwerking met de daarbij behorende waarborgen volledig in beeld is gebracht.
Alles bij de bron; RijksOverheid
Op 2 april 2024 heeft de Tweede Kamer, onder voorbehoud, het Wetsvoorstel gegevensverwerking Persoonsgerichte Aanpak radicalisering en terroristische activiteiten aangenomen.
Privacy First maakt zich daar zorgen over omdat er in Nederland naar schatting al tienduizenden Nederlanders in een Persoonsgerichte Aanpak (PGA) zitten met zeer ingrijpende gevolgen voor hun grondrechten en persoonlijke levenssfeer, zonder adequate rechtsbescherming.
Een Persoonsgerichte Aanpak betekent dat de overheid een burger wil “resocialiseren”. Dat gebeurt op gemeentelijk niveau in samenwerking met “ketenpartners”, zoals Politie, Justitie, Bureau Jeugdzorg, GGD, GGZ, reclassering en woningbouwcorporaties.
Deze ketenpartners wisselen informatie uit over de persoonlijke levenssfeer van de burger en overleggen hoe ze die op het rechte pad kunnen krijgen, kunnen heropvoeden.
In een PGA krijgt een burger eerst een “hulpaanbod” van bijvoorbeeld Bureau Jeugdzorg of de GGD. Als dat niet werkt krijgt de betreffende burger te maken met repressie zoals strafzaken entameren of een uithuisplaatsing.
Juridisch blijkt er weinig tegen een Persoonsgerichte Aanpak te beginnen. Een PGA is geen “besluit” in de zin van de Algemene wet bestuursrecht en daarom is er geen bezwaar en beroep mogelijk.
De AVG-wetgeving werkt hier in de praktijk niet omdat de overheid geen volledige dossiers vrijgeeft. Daardoor is er geen eerlijk proces mogelijk.
Tot nu toe worden PGA’s uitgevoerd op basis van convenanten tussen de samenwerkende ketenpartners en is er geen verankering in de wet. Juridisch is het daarom maar de vraag of de huidige PGA’s rechtmatig zijn.
Omdat de overheid zekerheid wil dat PGA’s rechtmatig zijn, is het nu voor het eerst dat er een wettelijke basis komt voor een deel van de bestaande PGA’s.
Alles bij de bron; PrivacyFirst
Justitie heeft zonder een toereikende wettelijke grondslag een telefoon ontgrendeld en doorzocht van een vreemdeling die was vastgezet.
De zaak gaat over een Mongoolse vrouw die in vreemdelingenbewaring was gesteld. Een ambtenaar van de Afdeling Vreemdelingenpolitie, Identificatie en Mensenhandel (AVIM) heeft zonder haar toestemming haar telefoon ontgrendeld en doorzocht. Dit deed hij door het toestel voor het gezicht van de vrouw te houden. De medewerker heeft vervolgens handmatig de telefoon doorzocht op zoek naar foto’s van identiteitsdocumenten om informatie te krijgen over haar identiteit.
Demissionair staatssecretaris Van der Burg stelde dat de ambtenaar op basis van de Vreemdelingenwet 2000 bevoegd is om de telefoon zonder toestemming te onderzoeken. Bij het opstellen van de betreffend wetsbepaling in 2012 is via de memorie van toelichting duidelijk gemaakt dat ook telefoons doorzocht mogen worden.
"Maar in mobiele telefoons staan tegenwoordig veel meer persoonsgegevens dan toen de wettelijke bepaling in 2012 werd ingevoerd", zo stelt de Raad van State.
De Raad stelt dat het artikel van de Vreemdelingenwet 2000 daarom niet volstaat als wettelijke grondslag voor het zonder toestemming onderzoeken van telefoons, louter en alleen omdat de wetgever daar bij de totstandkoming melding van heeft gemaakt in de memorie van toelichting. Tevens stelt de RvS dat het wetsartikel onvoldoende bescherming biedt tegen willekeurig optreden, omdat dit niet voorschrijft in welke omstandigheden onder welke voorwaarden een mobiele telefoon mag worden onderzocht.
Alles bij de bron; Security
Toen Merel van Rooy, ambtenaar bij een ministerie met zwangerschapsverlof ging, kreeg ze van collega’s een boek over de Toeslagenaffaire, waarin werd gehint naar misstanden in het verkeersboetebeleid.
Haar buurman bleek als ambtenaar betrokken bij de invoering van een verkeersboetewet in de jaren negentig, die heel anders uitpakte dan bedoeld. Tijdens haar verlof en in vakanties dook ze de politieke en rechterlijke stukken in en viel ze „van de ene verbazing in de andere”. Wat begon als een regeling om lichte overtredingen eenvoudig te beboeten, bleek mensen diep in de schulden te duwen....
... Politiek econoom Van Rooy besloot te reconstrueren hoe het verkeersboetebeleid zo uit de hand kon lopen. ...
...In 1992 werd de ‘wet Mulder’ ingevoerd, bedoeld om lichte overtredingen, zoals een paar kilometer te hard rijden, efficiënt te beboeten. Als er in een keer werd betaald, ging dat goed. Waar het mis ging, was als de boete niet op tijd – of helemaal niet – werd betaald. Door hoge aanmaningskosten liepen de bedragen snel op, waardoor betalen nog moeilijker werd en mensen in de problemen kwamen. Als niet kon worden betaald ging de rechtbank in uiterste geval over tot gijzeling. De overtreder kwam dan een week per boete vast te zitten, zonder dat de boete verviel.
Vanaf het begin ging het fout, zegt Van Rooy. „De eerste twintig jaar van de wet werden de financiële prikkels voor de overheid heel sterk, gingen de boetes telkens omhoog en werd de rechterlijke toets uit het systeem gehaald om de ‘keten te ontlasten’, een term die aangeeft hoe blind men was voor het menselijk leed daarachter.
Sinds 2002 werden rechtbanken ook gefinancierd op basis van ‘output’, waarbij ze zelf belang kregen bij het zo snel mogelijk afdoen van veel zaken.” De gijzelingszaken waren volgens Van Rooy een makkelijke manier om dat te bereiken. Om boetes aan te vechten bij de rechter, moest het boetebedrag als zogeheten zekerheidsstelling worden betaald. Juist de mensen die de boetes niet konden betalen, werd hiermee de toegang tot de rechter ontzegd.
Bij invoering van de wet Mulder was al gewaarschuwd voor het risico van massale gijzeling. Toch kwam de wet er, zonder een mogelijkheid om in termijnen te betalen en met een boetebedrag dat volgens deskundigen veel te hoog lag, stelt Van Rooy. Die boetes zouden door daaropvolgende regeringen steeds verder worden verhoogd.
Compleet mis ging het, volgens Van Rooy, toen in 2008 ook boetes voor onverzekerde voertuigen naar de verkeersboetewet werden overgeheveld. Van Rooy: „Het CJIB (Centraal Justitieel Incassobureau), verantwoordelijk voor het innen van verkeersboetes, waarschuwde dat het aantal gijzelingen zou stijgen van 600 naar 18.000 per jaar. Het verzekeringsregister was namelijk achterhaald. Toch werd er doorgezet. In mijn onderzoek zag ik vaker hoe moeilijk het is om de macht, een ministerie, bij te sturen. Tegenmachten als rechters, uitvoerders en de Nationale Ombudsman, werden eenvoudig genegeerd.”
Tussen 2011 en 2014, de jaren waarover Van Rooy data wist op te vragen, zijn er voor bijna 37.000 boetes daadwerkelijk mensen naar de gevangenis gegaan. Volgens de laatste cijfers zijn er ruim 123 duizend huishoudens met problematische schulden met een openstaande ‘Mulderboete’.
Vanaf 2009 wist het ministerie van Justitie volgens Van Rooy wat er aan de hand was. Op een gegeven moment, stelt ze, konden gevangenissen de aantallen gegijzelden niet meer aan. „De reactie van het kabinet bestond uit het wegbezuinigen van de sociale rechtsbijstand en gegijzelden op een sober regime zetten, waarbij ze 22 uur per dag op hun kamer zaten. Dat vind ik zo boosmakend.”
Doordat rechters uiteindelijk aan de bel trokken, vinden gijzelingen sinds 2018 niet meer plaats, al staat de mogelijkheid nog in de wet. „Er staan nog steeds 10.000 boetes per jaar ‘op gijzeling’ in het systeem van het CJIB, maar die worden niet uitgevoerd. En de hoge aanmaningen zijn niet veranderd.”
Alles bij de bron; NRC [inloggen noodzakelijk]
Staatssecretaris De Vries van Financiën (Toeslagen en Douane) wil dat de Douane vaker gegevens kan gaan delen met de politie, de Marechaussee, de FIOD en de FIU.
Dit is van belang in de strijd tegen ondermijnende criminaliteit en andere illegale activiteiten.
De Douane kan relevante gegevens hebben waarmee een strafbaar feit is op te sporen. Dan gaat het bijvoorbeeld om drugshandel, omvangrijke milieudelicten, wapenhandel en ernstige fraude.
Op dit moment is het zo dat de Douane deze gegevens alleen met andere instanties kan delen als er een concreet vermoeden van een strafbaar feit bestaat. Om ondermijnende criminaliteit eerder op het spoor te komen, is het belangrijk dat de Douane ook zonder dit vermoeden al gegevens kan delen met andere diensten.
Alles bij de bron; DutchITChannel
Vorig jaar zijn bijna zevenduizend DigiD-accounts wegens mogelijk misbruik ingetrokken, een flinke stijging ten opzichte van 2022, toen het nog om bijna drieduizend accounts ging. Dat blijkt uit het vandaag verschenen jaarverslag van DigiD-beheerder Logius. Logius laat weten dat het vorig jaar alleen al 3154 actieve DigiD-accounts die op de Genesis Market waren aangetroffen heeft verwijderd.
"Als anderen je DigiD-gegevens hebben, kun je de dupe worden van identiteitsfraude. In nauwe samenwerking met andere overheidsorganisaties helpt Logius als het misgaat. We nemen contact met je op en verwijderen dan het DigiD-account, zodat je een nieuw account kunt aanvragen. Zo weet je zeker dat niemand ongevraagd bij je gegevens komt", aldus de overheidsinstantie.
Soms merken mensen zelf op dat hun DigiD-gegevens zijn gewijzigd, maar niet altijd. "Wij krijgen ook tips van bijvoorbeeld de politie of het Nationaal Cyber Security Centrum (NCSC)", laat een medewerker van Logius op de website van de DigiD-beheerder weten.
Alles bij de bron; Security
12 maart heeft de Eerste Kamer het voorstel over de Cyberwet aangenomen. We hebben hier vanaf het eerste moment keer op keer onze kritiek geuit. Van bet eindresultaat worden we niet blij, tijd voor een terugblik.
"De Cyberwet is een nieuwe wet die het, in het heel kort, voor de inlichtingendiensten AIVD en MIVD op verschillende manieren makkelijker maakt om grootschalig gegevens te verzamelen. De wet verruimt de bevoegdheden van de geheime diensten, terwijl het toezicht juist vermindert.
De totstandkoming ervan is erg rommelig verlopen en vooral ontzettend complex gemaakt. Het voorstel kwam in de vorm van een tijdelijke spoedwet, terwijl al was aangekondigd dat de hoofdwet (de Wet op de inlichtingen- en veiligheidsdiensten, de "sleepwet") structureel zou worden gewijzigd.
Hier kwam vervolgens nog een nota van wijziging overheen die weer een andere reikwijdte had en dus zowel de tijdelijke wijziging als de hoofdwet wijzigde.
Verschillende Kamerleden gaven aan dat ze gewoon niet meer snapten wat er nu eigenlijk met de wet werd voorgesteld. Laat staan dat nog uit te leggen was aan burgers wat er nu eigenlijk op het spel stond.
Uiteindelijk ging de Tweede Kamer in oktober 2023 akkoord met het wetsvoorstel. Nu de Eerste Kamer de wet heeft aangenomen, gaat deze binnenkort van kracht."...
..."Wat we vooral tergend vinden is dat we zagen dat er een gegarandeerde meerderheid was in de politiek voor voorstellen vanuit de geheime diensten. Er werd weinig kritisch bevraagd en het besef over de impact van de voorgestelde bevoegdheden — zoals het ongericht aftappen van het internet om vervolgens de gegevens met het buitenland te delen en het schrappen van het toezicht vooraf om gegevens die met het sleepnet zijn binnengehaald door algoritmes te laten analyseren — leek niet erg aanwezig.
Daarnaast vinden we het treurig om te zien dat het nodeloos complex maken van een wetsvoorstel, en het negeren van de uitslag van een maatschappelijk debat, loont. Het gaat hier om dezelfde publieke discussie die ook al in 2018 werd gevoerd bij de invoering van de sleepwet.
Alles bij de bron; Bits-of-Freedom
Met iedere slimme toepassing hebben gemeenten meer mogelijkheden om data te verzamelen en te gebruiken. Dat baart de Autoriteit Persoonsgegevens zorgen. Omdat de bewustwording over privacy bij gemeenten nogal eens te wensen overlaat.
Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens (AP) zegt ‘Soms heb je een duidelijk doel voor ogen met het verzamelen van gegevens, zonder te beseffen dat daarmee een risico ontstaat.’
Neem het verzamelen van data uit parkeersensoren, die meten of een parkeerplaats bezet is. Dat leidt tot nuttige dienstverlening voor automobilisten, maar in sommige gevallen ook tot function creep, het gebruiken van data voor andere doeleinden dan waarvoor ze zijn verzameld. Sommige aanbieders van dergelijke systemen verdienen grof geld aan data over reisbewegingen. Soms ook zijn het gemeenten die aan het analyseren slaan: uit de data valt veel af te leiden, bijvoorbeeld of iemand wel werkelijk woont waar hij staat ingeschreven.
Verdier wijst erop dat gemeenten snel ingrijpen als er zich een fysiek probleem voordoet, zoals een probleem met de riolering, maar dat een ‘onzichtbaar’ probleem in de digitale wereld, zoals dataverzameling, vaak niet eens als een probleem wordt gezien. ‘Terwijl de consequenties in de digitale wereld vaak vele malen groter zijn dan in de echte wereld. Daar moet je dus extra voorzichtig mee omgaan.’
Ze komt weinig kwaadwillendheid tegen bij gemeenten, maar wel een tekort aan bewustwording, waardoor het onderwerp privacy niet eens of veel te laat aan bod komt. ‘En dan snap ik dat iedereen zegt: tjongejonge, het mag weer niet van de AVG (de algemene verordening gegevensbescherming – red). Maar als jij mensenrechten vooraf als uitgangspunt neemt, kun je in je technologische oplossingen een plek geven. Je bent als gemeente wel verantwoordelijk.’
‘... het is natuurlijk jammer als we uit angst geen gebruik maken van oplossingen die het leven beter maken. Doe het wel, maar doe het veilig. Neem de privacyvereisten op in je uitgangspunten. Kijk in elke fase opnieuw naar de risico's. Check elke keer of je nog voldoet aan de uitgangspunten. En denk vooruit: welke risico’s heeft wat ik nu doe voor de lange termijn?’
Vooraf een gedegen risicoanalyse (DPIA) doen is daarom nuttig en vaak wettelijk verplicht, net als het vroegtijdig betrekken van de functionaris gegevensbescherming (FG) bij (nieuwe) privacyvraagstukken.
We houden vaak rekening met iets wat er nu nog niet is, zoals het verhogen van dijken die hoger zijn dan waar we denken dat het water maximaal komt. Op dezelfde manier moet je nadenken over het gebruik van persoonsgegevens. Je wil geen efficiëntieprobleem van de gemeente oplossen door een risico voor burgers te creëren. Het is jouw taak om te zorgen voor die burger.’
De AVG bestaat nog maar vijf jaar. Ook de Autoriteit Persoonsgegevens in de huidige vorm is nog jong. ‘Ook wij mogen nog aan professionaliteit winnen,’ zegt Verdier. In de afgelopen jaren is de toezichthouder gegroeid tot 250 fte. In het jaarplan van 2024 staat dat de AP extra capaciteiten reserveert om onderzoek te doen naar overheden en uitkeringsorganisaties, met name als het gaat om persoonsgegevens. ‘Als ik ze zou hebben, zou ik twee keer zo veel mensen op de overheid zetten, zo veel gaat er mis,’ zegt Verdier.
'De AVG is nodig, want het is de stok om mee te slaan. Maar het gáát om het beschermen van mensenrechten en de vrijheid voor ons allemaal.’
Alles bij de bron; BinnenlandsBestuur
Bij studentenverenigingen zijn ze niet welkom. Studentenkortingen gelden voor hen lang niet altijd. En in veel studentensteden mogen ze niet meedoen aan de introductieweek voor nieuwe studenten.
Maar als het om fraudebestrijding gaat, is er in Nederland wél bijzondere aandacht voor de mbo-student. Vorige week bleek dat de Dienst Uitvoering Onderwijs (DUO) een mbo-opleiding ziet als risicofactor voor fraude met de uitwonendenbeurs. Net als een lage leeftijd en een kleine afstand tot het ouderlijk huis, volgens een onderzoek van advies- en accountantsbureau PwC.
Het onderzoek kwam er na publicaties van Hoger Onderwijs Persbureau, NOS op 3 en journalistiek onderzoeksplatform Investico over de discutabele fraudebestrijding van DUO.
Het gevolg van DUO’s fraudebestrijdingsmodel is dat „voornamelijk mbo-studenten met een niet-Nederlands klinkende naam” de afgelopen tien jaar werden geselecteerd voor fraudecontroles.
Het zijn namelijk vooral studenten met een migratieachtergrond die dichtbij hun ouders blijven wonen. Bovendien hadden studenten uit wijken waar veel migranten wonen een twee keer hogere kans om geselecteerd te worden in de tweede fase van het selectieproces, waarin handmatig werd geselecteerd.
Tussen 2012 en 2023 onderwierp DUO 26.800 studenten op basis van het bovengenoemde risicoprofiel aan een huisbezoek. Daarmee controleert de instantie of de student daadwerkelijk op het opgegeven adres woont en dus terecht een uitwonendenbeurs (466,69 euro per maand in 2024) ontvangt, die hoger is dan de thuiswonendenbeurs (121,33 euro).
69 procent van deze studenten bleek geen misbruik te hebben gepleegd, schrijft PwC in zijn rapport. Daarin staat ook dat er geen „wetenschappelijke maatstaven” zijn om te beoordelen of een risicoselectiemodel goed of slecht presteert, maar dat uit het onderzoek een „beeld naar voren” komt dat de selectiecriteria van DUO een groep selecteerde waarvan een „relatief groot percentage” géén misbruik pleegde.
Demissionair minister Robbert Dijkgraaf (Onderwijs, D66) heeft, namens het kabinet, zijn excuses aangeboden voor de „indirecte discriminatie” bij de controles van DUO.
Alles bij de bron; NRC [abonnement noodzakelijk] [Thnx-2-Niek]
Op 14 juli 2017 kon de Nederlander met een Turkse achtergrond plotseling niet meer bij zijn bankrekeningen: de minister van Buitenlandse Zaken had alles bevroren. Volgens inlichtingendienst AIVD was de man namelijk betrokken bij een marxistisch-leninistische organisatie die door Turkije en de Europese Unie als terroristisch is aangemerkt. De man zou daar geld voor hebben ingezameld en een tijdschrift hebben verspreid dat hun aanslagen en aanslagplegers verheerlijkte.
Na een vergeefse bezwaar- en beroepsprocedure volgde hoger beroep bij de Raad van State. De man vond dat hij zich niet goed kon verdedigen. In het AIVD-rapport noch in het ministersbesluit stond waar de beschuldigingen op waren gebaseerd. Volgens de AIVD ging het om vertrouwelijke gegevens. De man wist dus niet hoe hij dan fondsen zou hebben geworven, of welke delen van het tijdschrift de bevriezing rechtvaardigden. ...
...De Raad van State stelt vast dat het moeilijk is om je te verdedigen als de stukken geheim zijn. Toch blijft het recht op een eerlijk proces in essentie overeind, vindt de Raad van State, omdat er de nodige waarborgen in de wet staan.
Zo mag de rechter wel kennis nemen van de geheime stukken, mits de betrokkene daarmee akkoord gaat.
Uit de ingediende stukken kon de Raad van State echter niet opmaken hoe de man geld zou hebben verstrekt, terwijl dit de belangrijkste beschuldiging was. De vertegenwoordiger van de minister vertelde dat de AIVD gewoonlijk niet het hele onderzoeks-dossier aan de minister en aan de rechter geeft. De dienst zelf was ondanks een uitnodiging niet aanwezig.
De Raad van State vindt het AIVD-rapport onvoldoende grond voor bevriezing. Na zesenhalf jaar komen de tegoeden van de man per direct vrij.
Alles bij de bron; NRC [abonnement noodzakelijk] [Thnx-2-Niek]