De beveiliging van de NL-Alert-app was vorig jaar niet op orde. Dat concluderen de Autoriteit Persoonsgegevens (AP) en de Auditdienst Rijk na onderzoek naar een kwetsbaarheid in de app. Ook had het ministerie van Justitie en Veiligheid het gevonden lek eerder moeten melden, vindt de AP.
Eind april werd een mogelijk datalek in de app gevonden, waardoor locatiegegevens van gebruikers onterecht bij een externe partij waren aangekomen. Dat lek werd op 30 april gemeld bij de AP, toen minister Grapperhaus van Justitie en Veiligheid het lek ook met de Tweede Kamer deelde...
...Hoewel de Landsadvocaat na onderzoek concludeert dat er geen sprake was van een meldplichtig datalek, moest het mogelijke lek volgens de AP wel eerder gemeld worden dan nu gebeurd is. Die melding had al moeten komen bij de eerste signalen van een mogelijke inbreuk, "ongeacht of in dat stadium voldoende informatie voorhanden was over de aard en omvang van de mogelijke inbreuk".
Grapperhaus zegt in zijn brief dat hij dit als belangrijk leerpunt ziet dat nu in de werkwijze verankerd is.
Alles bij de bron; AGConnect
Nederlanders die zich hebben laten vaccineren en gebruik willen maken van het coronapaspoort hoeven hun gegevens niet in de centrale vaccinatiedatabase van het RIVM te laten registreren. Het is echter nog onbekend welke opties deze mensen hebben, aangezien het ministerie van Volksgezondheid hier nog aan werkt.
Gegevens van Nederlanders die zich hebben laten vaccineren en hiervoor toestemming geven zullen minimaal twintig jaar door het RIVM in de centrale vaccinatiedatabase worden bewaard. Van mensen die geen toestemming geven worden ook gegevens vastgelegd, maar zal het uitsluitend om geanonimiseerde data gaan, zo liet de minister eerder weten. Het gaat dan om vaccinatiegegevens (vaccin, batchnummer, prikdatum, eerste of tweede prik), herkomst (Nederland, BES-eilanden en CAS-landen) en leeftijdscohort (drie cohorten).
Gevaccineerden die hun gegevens in het COVID-vaccinatie Informatie- en Monitoringsysteem (CIMS) laten registreren kunnen straks via de CoronaCheck-app een vaccinatiestatus genereren die gebruikt kan worden bij internationaal reizen.
Voor mensen die zijn gevaccineerd maar geen toestemming hebben gegeven om hun gegevens in de centrale database te registreren of voor een andere reden niet geregistreerd staan in een van de bronsystemen, worden ook opties uitgewerkt. De Jonge zal de Tweede Kamer hier op een later moment over infomeren.
Alles bij de bron; Security
Hoe kan een overheidsafdeling jarenlang burgers in de gaten houden zonder dat iemand ingrijpt? NRC onthulde dit weekend dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) gevoelige gegevens van burgers verzamelt, verspreidt en voor onbepaalde tijd opslaat. Daarbij volgen analisten met nepaccounts op sociale media honderden activisten, predikers, politici. Volgens deskundigen gaat de coördinator te ver. Ook intern waarschuwden juristen.
Maar wie had moeten ingrijpen? Het kostte afgelopen weken nogal wat mailtjes en telefoontjes om daarachter te komen. Niet de minister. De NCTV is gewoon een afdeling op het ministerie en niet, zoals veel mensen denken, een geheime dienst. De minister van Justitie en Veiligheid is direct verantwoordelijk voor alles wat de coördinator doet. Maar opeenvolgende ministers blijken geen idee te hebben van hoe de coördinator precies aan informatie over de nationale veiligheid komt.
De Inspectie Justitie en Veiligheid onderzoekt als toezichthouder „de kwaliteit van de taakuitvoering door organisaties werkzaam op het terrein van justitie en veiligheid”. Maar de inspectie verwijst door naar de Autoriteit Persoonsgegevens (AP). „Die gaat over het verwerken van persoonsgegevens.”
Ook de antwoorden van de Autoriteit Persoonsgegevens zijn niet hoopgevend. De toezichthouder heeft nog nooit onderzocht hoe de NCTV aan informatie komt. Op vragen over wat de coördinator mag als het gaat om de verzameling en opslag van persoonsgegevens, verwijst de Autoriteit consequent naar de wet die voorschrijft wat inlichtingendiensten mogen, de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Alleen: de coördinator valt daar niet onder. De NCTV valt gewoon onder de wet Algemene verordening gegevensbescherming (AVG) – dat betekent dat een NCTV-medewerker niet veel meer mag dan een willekeurige gemeenteambtenaar.
Daar komt bij dat Autoriteit Persoonsgegevens geen toegang heeft tot staatsgeheime informatie. De database waarin de coördinator analyses en berichten bewaart – met daarin gegevens over iemands woonplaats, activiteiten, gedachtengoed, aantal kinderen en religie – bevat ook geheime informatie.
Alles bij de bron; NRC [Thnx-2-Niek]
Het onderzoek van NRC naar de Nationaal Coördinator Terrorismebestrijding en Veiligheid (Onmin en uitglijders bij de club die het land moet beschermen, 10/4) bevestigt waar ik als advocaat in terrorismezaken al jaren tegenaan loop: de NCTV is een rechtsstatelijke black box die zich door zijn ongedefinieerde positie boven de wet verheven voelt. Maar net hoe het uitkomt profileert de NCTV zich als ‘slechts’ een groepje ambtenaren, een doorgeefluik of juist een deskundig analyse-orgaan.
Wordt er een zaak aangespannen over onjuiste informatie in het dreigingsbeeld? Dan is het slechts een ambtenarenstuk voor de minister om de Kamer te informeren, en dus immuun voor rechterlijke toetsing. Wordt er informatie opgevraagd op grond van de Wet openbaarheid van bestuur (Wob), zoals gebruikelijk bij ministeries? Dan is de NCTV slechts een informatie-ontvanger en hoeven stukken dus niet openbaar te worden gemaakt. Maar neemt een gemeente een nadelige beslissing op grond van informatie van de NCTV? Dan is het opeens een zwaarwegend advies waar een gemeente moeilijk omheen kan.
En is er echt geen ontkomen meer aan? Dan is er altijd nog het argument van staatsveiligheid om informatie geheim te houden en effectieve tegenspraak van de burger of diens advocaat te beletten.
De rechter krijgt dan ook nauwelijks grip op deze organisatie. En dat betreft dan nog alleen maar de zaken waarin het in ieder geval duidelijk is dát de NCTV een rol speelde. In verreweg de meeste gevallen heeft de burger niet eens door dat de NCTV betrokken is. Het is dan ook te makkelijk van de NCTV om te zeggen dat in rechtszaken zou zijn gebleken dat de werkwijze niet in strijd met de wet is: een effectieve rechterlijke toetsing – met effectieve tegenspraak – wordt immers vakkundig omzeild.
Geheimzinnig, in het belang van de staatsveiligheid, met grote impact op burgers: het werk van de NCTV heeft veel weg van dat van de inlichtingendiensten. Ik roep de Kamer en het nieuwe kabinet daarom op de NCTV mee te nemen in de lopende wetgevingsplannen voor wijziging van de Wet op de inlichtingen- en veiligheidsdiensten (WIV), en het toezicht op de NCTV bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) te leggen. Dat is een onafhankelijke commissie die precies weet hoe analisten horen te werken en zowel op eigen initiatief als na een klacht het noodzakelijke onderzoek kan doen naar het optreden van de NCTV.
Alles bij de bron; NRC
De medische gegevens van 6,5 miljoen Nederlanders die nog geen keuze hebben gemaakt of ze hun informatie via het Landelijk Schakelpunt (LSP) willen delen zijn via de Corona Opt-in toch toegankelijk voor zorgpersoneel. De Corona Opt-in is een gedoogconstructie die nog altijd zonder juridische basis is.
"Wij kregen signalen uit de praktijk dat er iets fout ging met deze maatregel. Uit een klein onderzoek naar de uitvoering van de Corona opt-in werd duidelijk dat niet één van de ondervraagden op de hoogte was van deze maatregel", liet burgerrechtenbeweging Bits of Freedom afgelopen december weten. "Ook had ruim de helft geen keuze gemaakt om wel of niet toestemming te verlenen voor het delen van hun medisch dossier."
De Partij voor de Dieren vroeg demissionair minister Van Ark voor Medische Zorg om opheldering waarom de Corona Opt-in nog altijd van kracht is. "Kunt u onderbouwen waarom op dit moment geen einde gemaakt kan worden aan deze onwettige gedoogconstructie en waarom terug naar de wettelijke procedure zoals die bestond vóór het instellen van de Corona Opt-in niet mogelijk zou zijn?", vroeg Kamerlid Van Esch.
Volgens Van Ark is de Corona Opt-in nog steeds nodig. "De druk op de zorg is onverminderd groot, vanwege de aanhoudend grote stroom (acute) Covid-patiënten en ook omdat tegelijkertijd de reguliere acute en geplande zorg zoveel mogelijk doorgang moet vinden. Dit maakt dat snelle triage en behandeling op de HAP en SEH nog steeds van het grootste belang is", zo stelt de minister.
De minister wil de gedoogmaatregel omzetten in een tijdelijke algemene maatregel van bestuur (AMvB). "De desbetreffende AMvB is ter advisering voorgelegd aan de Autoriteit Persoonsgegevens (AP). Momenteel beraad ik mij op de verwerking van het recente advies van de AP. Ik kom hier in een aparte brief aan de Kamer op terug", laat ze weten. Oorspronkelijk was het plan om de AMvB deze winter naar de Tweede Kamer te sturen.
Alles bij de bron; Security
Half december zei de minister van Justitie en Veiligheid "het effect van encryptie op de opsporing nader te onderzoeken." Dat is een belangrijke stap, want tot nu toe kon de minister niet goed uitleggen wat "het probleem van encryptie" precies is. En politie en Openbaar Ministerie weten dat net zo min.
De afgelopen jaren hebben we hen al meerdere keren gevraagd documenten openbaar te maken "die iets zeggen over het aantreffen van versleutelde informatie in strafrechtelijke onderzoeken." Maar wat blijkt elke keer weer: die documenten zijn er helemaal niet. En je zou verwachten: als iets écht een probleem is, dan zijn er al tal van rapporten, evaluaties en beleidsnotities over geschreven.
En de kans dat je met een gebrekkige probleemstelling maatregelen voorstelt die ook echt een probleem oplossen, is bijzonder klein. Tegelijkertijd loop je wel een enorm risico dat je talloze ongewenste en negatieve bijwerkingen introduceert. Als met name de encryptie van informatie op harde schijven een probleem is, dan lost een wet die de encryptie verzwakt bij communicatiediensten precies niets op. Maar door het verzwakken van de beveiliging, brengt zo'n maatregel wel de veiligheid van elke gebruiker in gevaar. Een slecht omschreven probleemstelling is dus een recept voor slechte wetgeving.
Daarnaast is er nog iets anders van belang: de context. Je kunt eigenlijk niet veel zeggen over "het effect op de opsporing" als je niet ook de ontwikkelingen erom heen meeneemt. We hopen dat de onderzoekers van het ministerie met een brede blik die vraag aanvliegen. Wat ons betreft kijken de onderzoekers daarbij in ieder geval ook naar de volgende vijf punten;
Alles bij de bron; Bits-of-Freedom
Met grote zorg heeft Privacy First kennisgenomen van het concept-wetsvoorstel testbewijzen covid-19. Onder dit wetsvoorstel zal een negatief corona-testbewijs verplicht worden voor toegang tot openbare gelegenheden, waaronder horeca, evenementen, sport en jeugdactiviteiten, culturele instellingen en waarschijnlijk ook een deel van het (hoger) onderwijs, e.e.a. op straffe van hoge boetes. Dit zet ieders recht op privacy onder druk...
...Het concept-wetsvoorstel vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, de lichamelijke integriteit en de vrijheid van beweging in combinatie met andere relevante mensenrechten zoals het recht op deelname aan het culturele leven, het recht op onderwijs en diverse kinderrechten zoals het recht op recreatie...
...Het voorstel is daarnaast in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen. Ook tijdens de recente Nationale Privacy Conferentie van Privacy First en ECP bleek dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking kan hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens hier dan ook nadrukkelijk stelling tegen....
... Vanuit het perspectief van het recht op privacy gelden bovendien een aantal specifieke bezwaren en vragen. Allereerst introduceert het concept-wetsvoorstel een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens.
Ook introduceert het concept-wetsvoorstel een identificatieplicht “aan de voordeur” bij openbare gelegenheden, in strijd met het recht op anonimiteit in de openbare ruimte. Het wetsvoorstel resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert.
Niet het resultaat van de test moet immers bepalend zijn of het dossier onder de Wgbo valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er in het huidige concept-wetsvoorstel aansluiting wordt gezocht bij Wpg en/of Wgbo als het hier enkel gaat om het verkrijgen van een testbewijs met als doel deelname aan de maatschappij (en dus geen medische behandeling noch publieke gezondheidstaak voor dat doel).
Hier zou de enige mogelijkheid voor verwerking en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.
....Veel andere zaken zijn nog onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en wat zal er kunnen worden uitgewisseld? In hoeverre zal er sprake zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang (5 of zelfs 20 jaar) worden bewaard?
Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre zal er sprake zijn van decentrale, privacyvriendelijke technologie en privacy by design, open source software, dataminimalisatie en anonimisering? Zullen testbewijzen kosteloos blijven en in hoeverre zal er sprake kunnen zijn van privacyvriendelijke diversiteit en keuzevrijheid bij test-applicaties? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” i.p.v. de CoronaCheck app, namelijk een chip, met alle risico’s van dien?
Hoe zullen doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Wat gebeurt er met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zullen de corona-testbewijzen weer worden afgeschaft?
Zolang dergelijke bezwaren en vragen onbeantwoord blijven, heeft indiening van dit wetsvoorstel überhaupt geen zin en zal het corona-testbewijs slechts tot maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom nogmaals om het huidige voorstel in te trekken en dit niet bij het parlement in te dienen.
Alles bij de bron; PrivacyFirst
De bestuursrechter heeft een streep gezet door een geautomatiseerd systeem van de gemeente Amsterdam om gemeentelijke boetes op te leggen. Een Amsterdammer kreeg in 2018 van de gemeente een boete omdat hij geen adreswijziging had doorgegeven voor de Basisregistratie Personen...
Een half jaar later ontving de man een incassobrief en besloot bezwaar te maken tegen de boete....
... Tijdens het beroep bij de rechtbank werd duidelijk dat de gemeente in dit soort zaken een systeem gebruikt waarin alles behalve het eerste boetebesluit wordt opgeslagen. Daardoor is de inhoud van het eerste boetebesluit, zoals het boetebedrag, onzeker.
De bestuursrechter van de rechtbank Amsterdam oordeelde dat dit vanwege rechtsbescherming onacceptabel is en het uit oogpunt van de rechtsbescherming juridisch geen besluit is. Pas het tweede besluit van de gemeente, dat wel werd opgeslagen, is voor iedereen inhoudelijk verifieerbaar - en daarmee toetsbaar - als boetebesluit. De rechtbank stelt dat het belangrijk is dat bestuursorganen altijd zelf voldoende inzicht moeten kunnen verschaffen in hun besluitvorming.
"Zonder de besluitvorming inzichtelijk te hebben kunnen noch beroepsinstanties noch bestuursorganen zelf hun rechtsbeschermende taak vervullen. Dit klemt te meer waar het gaat om een bestuurlijke boete zoals hier, wat een zogeheten ‘criminal charge’ is in de zin van artikel 6 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden", aldus de rechter in het vonnis.
Omdat het eerste boetebesluit niet vaststaat kon de rechter het beroep niet inhoudelijk behandelen en heeft het beroepschrift naar de gemeente doorgestuurd als bezwaarschrift tegen het boetebesluit.
Alles bij de bron; Security
Na lang wikken en wegen heeft burgemeester Femke Halsema van Amsterdam dan toch besloten om een proef te starten met preventief fouilleren. Dat gebeurt in vijf wijken waar volgens de politie veel mensen een wapen bij zich hebben. Het gaat voorlopig om een proef, die moet uitwijzen of preventief fouilleren effect heeft.
De gerichte wapencontroles gaan plaatsvinden in het centrum van de Bijlmermeer, de Burgwallen Nieuwe-Zijde, Geuzenveld, de Dapperbuurt en de buurt rond het Waterlandplein in Amsterdam Noord.
De proef start pas als de coronamaatregelen zijn afgeschaald en gaat zes weken duren. Per gebied mag de politie dan vijf dagen lang willekeurige mensen aanhouden om hen te controleren op wapenbezit. In een brief aan de gemeenteraad schrijft Halsema dat kinderen tot en met 12 jaar, gezinnen en 65-plussers niet worden gefouilleerd. Overige mensen worden steekproefsgewijs onderzocht op wapenbezit.
Mensenrechtenorganisaties zijn er fel op tegen en de burgemeester zelf stelt dat de wapencontroles niet als wondermiddel moeten worden gezien, waardoor het ineens veiliger wordt op straat. Politiechef Frank Paauw heeft daarentegen goede verwachtingen van het preventief fouilleren.
Alles bij de bron; BeveilNieuws
Het UBO-register mag blijven bestaan. De rechtbank heeft een vordering van Privacy First tegen het register afgewezen. De stichting wilde dat het Ultimate Beneficial Owners-register werd stopgezet omdat het de privacy zou schenden, maar volgens de rechter is het veilig en effectief.
Het UBO-register is een Europese databank waarin de belanghebbenden van organisaties staan. Het is onderdeel van de Wet ter voorkoming van witwassen en financieren van terrorisme en is ook bedoeld om precies die misdaden tegen te gaan.
Volgens Privacy First gaat het register in tegen Europese grondrechten en zitten er verschillende fundamentele kwetsbaarheden in het register. Zo zouden er veel meer instanties en autoriteiten toegang hebben tot de data dan proportioneel is. Ook zou er 'geen dwingende noodzaak' zijn voor het register, en had de stichting angst dat de gegevens via een datalek op straat konden komen te liggen en dat daardoor identiteitsfraude kon worden gepleegd.
In januari werd het Belgische UBO-register offline gehaald vanwege een mogelijk datalek. Privacy First zegt dat het nog naar het Europees Hof van Justitie wil stappen. "Ik verwacht dat die een streep door het UBO-register zet", zegt de advocaat van de stichting.
Alles bij de bron; Tweakers