De recente uitspraken van de minister van Justitie en Veiligheid over het belang van encryptie zijn nogal verwarrend. Hij wil twee dingen die niet samen kunnen. Hij vind dat de technologie die we met z’n allen gebruiken om in vertrouwen met elkaar te kunnen communiceren “een sleutelrol [heeft] in de technische beveiliging in het digitale domein”. Maar tegelijkertijd wil hij diezelfde beveiliging verzwakken door de politie toegang te geven tot de encryptiesleutels. En dus vroegen we ons bezorgd af: wat wil de minister nu echt?
In de hoop dat hij onze zorgen weg kan nemen, nodigende we vorige maand de minister uit. Maar tot nu toe heeft de minister onze uitnodiging genegeerd. Niet eens een ontvangstbevestiging kon er vanaf. En dat maakt des te ongeruster, omdat we weten dat de minister wél met tal van anderen in gesprek is. Vorige week sprak hij met een grote afvaardiging van het bedrijfsleven. Over een week of twee spreekt hij met experts van universiteiten en toezichthouders.
In de lijst met gesprekspartners ontbreekt een belangrijke vertegenwoordiging: dat van de samenleving in het breed. De minister spreekt, voor zover wij weten, met geen enkele organisatie die opkomt voor de rechten en vrijheden van burgers, mensen, consumenten, advocaten, activisten of journalisten. Dat de minister deze groepen negeert is vreemd, want het belang van encryptie is enorm en draagt bij aan de bescherming van iedereen in onze maatschappij én de bescherming van vrijheid in onze democratische rechtstaat.
Een aantal van die organisaties hebben daarom een nieuwe brief aan de minister gestuurd. In de brief roepen de organisaties de minister op om het maatschappelijk middenveld te betrekken als hij nieuw beleid maakt over de toepassing van encryptie. De brief is ondertekend door Amnesty International, Bits of Freedom, de Consumentenbond, Free Press Unlimited, het Nederlands Juristen Comité voor de Mensenrechten (NJCM) en de Nederlandse Vereniging van Journalisten (NVJ).
Alles bij de bron; Bits-of-Freedom
Volgens de AP worden in Nederland per inwoner de meeste datalekken gemeld van alle Europese landen. De 26.956 meldingen zijn binnengekomen via het meldloket datalekken op de AP-website. De privacyautoriteit heeft daarnaast van andere Europese toezichthouders 75 meldingen ontvangen van grensoverschrijdende datalekken. Ook deelt de AP zelf meldingen over grensoverschrijdende datalekken met andere EU-landen.
Volgens de AP zijn er vorig jaar 28 nieuwe onderzoeken gestart bij organisaties die mogelijk een datalek hadden moeten melden en dat niet of te laat hebben gedaan. Er zijn ook 5 onderzoeken afgerond in die categorie, die 'kunnen leiden tot een sanctie'. Daarnaast zijn er 10 onderzoeken naar niet-gemelde datalekken afgerond die hebben geleid tot een 'alternatieve interventie'. In zo'n geval organiseert de AP een normuitleggend gesprek of stuurt de organisatie een waarschuwing. Er lopen nog 15 onderzoeken.
Alles bij de bron; Tweakers
Het computersysteem waarmee de overheid allerlei gegevens van burgers aan elkaar koppelt, kan niet door de beugel. Gemeenten kunnen het Systeem Risico Indicatie (SyRI) gebruiken om aanwijzingen voor fraude te zoeken, maar het is een te grote inbreuk op de privacy.
“Er is haast geen persoonsgegeven te bedenken dat niet voor verwerking in aanmerking komt”, aldus de rechtbank in Den Haag woensdag. Bovendien is de manier waarop het systeem werkt niet te controleren. De rechtbank verklaart dat het systeem niet past bij het Europees Verdrag voor de Rechten van de Mens.
De zaak was aangespannen door zes organisaties, waaronder de FNV en Privacy First, en de schrijvers Tommy Wieringa en Maxim Februari. Ze vinden dat het systeem te ver gaat. Iedere burger is bij voorbaat al verdacht, zeiden ze tegen de rechters.
Alles bij de bron; TPO
D66 heeft tijdens een algemeen overleg over de Wet digitale overheid gepleit voor de invoering van een breed publiek digitaal paspoort waarmee burgers zich overal kunnen identificeren en dat overal toepasbaar is. De wet moet de digitale communicatie tussen burger en overheid en tussen overheidsinstanties onderling verbeteren.
Kamerlid Kees Verhoeven pleitte voor de invoering van een door de overheid gecreëerd digitaal paspoort. "Waarom niet ook een breed publiek digitaal paspoort? Waarom niet een publiek middel waarmee je eigenlijk overal jezelf kan identificeren? Waarom niet een publiek middel dat overal toepasbaar is? We hebben het in de schriftelijke inbreng ook al gevraagd. Toen heeft de minister geschreven dat er geen nut en noodzaak voor is, terwijl ik toch vanuit heel veel verschillende hoeken, zowel publiek als privaat, duidelijk hoor: kom nou met een breed publiek digitaal paspoort."
Dit digitale paspoort moet volgens het D66-Kamerlid overal toepasbaar zijn, zowel bij het aanvragen van documenten bij de overheid, als bijvoorbeeld een leeftijdsverificatie in een webwinkel. "Ik wil dus dat er zowel in de commerciële als in de publieke transacties één door de overheid gecreëerd digitaal paspoort is, zoals dat ook in de fysieke wereld bestaat", liet Verhoeven weten. Het D66-Kamerlid werkt aan een motie die oproept tot het onderzoeken van de mogelijkheid om een breed publiek digitaal paspoort te organiseren.
Alles bij de bron; Security
In de GDPR, de Europese privacywetgeving, wordt de noodzaak benadrukt om consumenten meer controle te geven over hun persoonlijke data. Dat is niet vreemd, aangezien de ontwikkeling van digitale technologieën ertoe heeft geleid dat consumenten steeds minder controle hebben over hun data. Maar in hoeverre heeft de GDPR écht geleid tot consumer empowerment?
Met een collega reflecteerde Iris van Ooijen, universitair docent Communicatiewetenschap bij Universiteit Twente in Journal of Consumer Policy op de vraag of de GDPR (in Nederland beter bekend als AVG) consumenten écht meer controle heeft opgeleverd. We analyseerden specifieke ‘privacy-dreigingen’ binnen drie fasen van dataverzameling en verwerking, en hoe de GDPR deze dreigingen probeert op te lossen...
...Concluderend zet de GDPR een goede eerste stap in het beschermen van online privacy, maar houdt zij onvoldoende rekening met het feit dat de mens slecht is in het maken van rationele beslissingen, in het bijzonder in online omgevingen. Deze ‘bounded rationality’ zorgt binnen online omgevingen voor een afbreuk van autonomie. De vraag in hoeverre hier rekening mee moet en kan worden gehouden is een belangrijke discussie die waarschijnlijk nog lange tijd gevoerd zal worden.
Dit artikel is gebaseerd op deze publicatie: Van Ooijen, I., & Vrabec, H. U. (2019). "Does the GDPR enhance consumers’ control over personal data? An analysis from a behavioural perspective." Journal of Consumer Policy, 42(1), 91-107. Je vindt het gratis artikel hier.
Alles bij de bron; MarketingFacts
Online inloggen bij de Belastingdienst, een zorgverzekeraar of een andere aan de overheid gelieerde dienst gaat nu nog via de bekende DigiD, maar mogelijk niet lang meer. In het wetsvoorstel Digitale Overheid – waar de Tweede Kamer maandag over praat, achter gesloten deuren – verandert het online-identificatiemiddel in de nieuwe variant Elektronische Identiteit, oftewel eID.
Nieuw is dat niet alleen de overheid, maar ook private partijen als Google een inlogmethode voor overheidsdiensten mogen aanbieden aan burgers en zo inzicht kunnen krijgen in zeer gevoelige persoonsgegevens. Want bijvoorbeeld onlinegegevens over een onderneming wijzigen via de Kamer van Koophandel, informatie over een werkstraf doorgeven aan de reclassering of het aanmelden voor een studie aan een hogeschool, zijn allemaal handelingen op het internet waarbij inloggen met de persoonlijke DigiD onvermijdelijk is. Vier vragen over het wetsvoorstel van het ministerie van binnenlandse zaken.
Alles bij de bron; Trouw
Huisartsenpraktijken die patiënten online op een zorgportaal laten inloggen hoeven geen gebruik van DigiD te maken, zo heeft minister Knops van Binnenlandse Zaken laten weten. De minister reageerde op Kamervragen over een huisartsenpraktijk uit Uden die patiënten via de IRMA-app toegang tot een online zorgportaal geeft...
...CDA-Kamerlid Slootweg vroeg Knops of patiënten van de praktijk op basis van de huidige wetgeving eigenlijk alleen via DigiD mogen inloggen. Dat is niet het geval. "In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau "hoog". Bij het gebruik van DigiD zijn nu de niveaus "substantieel" en "hoog" nog niet beschikbaar", antwoordt de minister...
...Slootweg wilde ook weten of lokale overheden en zorgaanbieders de wet overtreden wanneer ze burgers via de IRMA-app identificeren. Volgens Knops heeft alleen DigiD op dit moment een wettelijke basis om het BSN te verwerken. "Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten", stelt de minister.
Alles bij de bron; Security
Niet alleen gemak mag een rol spelen bij de opvolgers van DigiD, aldus Pieter van Boheemen en Linda Kool, verbonden aan het Rathenau Instituut...
...In de fysieke wereld zorgt de overheid ervoor dat we ons kunnen identificeren met middelen als een paspoort of rijbewijs. Online zijn we aangewezen op DigiD om in te loggen bij overheidsdiensten. Nu kan dat nog met een wachtwoord of sms-code, maar dit blijkt niet betrouwbaar genoeg. De overheid gaat daarom werken met een nieuwe elektronische identiteit (eID). Het wetsvoorstel Digitale Overheid bevat regels voor die nieuwe eID. Ook bestaande wetten zijn van toepassing, zoals de Algemene Verordening Gegevensbescherming.
Als het voorstel wordt aangenomen, gaan ook private partijen een opvolger voor de huidige DigiD ontwikkelen. Burgers kunnen dan kiezen tussen een eID van de overheid of van een andere partij.
Vanuit efficiëntie en gemak een mooie gedachte, maar het wetsvoorstel lijkt andere publieke waarden onvoldoende in ogenschouw te nemen. Burgers gebruiken digitale identificatiemiddelen immers voor zeer privacygevoelige doeleinden. Denk maar aan het inloggen bij dienstaanbieders in de jeugdzorg, reclassering of andere organisaties in het sociale domein. Dat eID-aanbieders daarbij vastleggen wie met welke dienst zakendoet, bijvoorbeeld om fraude te bestrijden, is begrijpelijk. Maar zo’n inlogregister kan voor private eID-aanbieders ook om andere redenen interessant zijn. Door het register met andere persoonlijke informatie te combineren, kan een profiel worden opgebouwd. Een profiel dat vervolgens kan worden gebruikt voor advertenties, het aanbieden van op jouw voorkeur afgestemde producten en andere belangen.
De huidige DigiD-aanbieder Logius trof verschillende maatregelen om het gebruik van zulke profielen te voorkomen. In het huidige wetsvoorstel ontbreekt het echter aan regels om zulke maatregelen voor private eID’s te verplichten.
In de privacy-visie eID die staatssecretaris Knops begin 2019 naar de Kamer stuurde, wordt dit risico van inbreuk op privacy gesignaleerd. De visie stelt een verbod voor op het gebruik van inlog-registers voor andere doeleinden dan de werking van het identificatiesysteem zelf. In het wetsvoorstel Digitale Overheid ontbreekt dat verbod.
Het wetsvoorstel biedt wel de mogelijkheid om via een Algemene Maatregel van Bestuur aanvullende voorschriften vast te stellen. Zo ‘n maatregel is geschikt voor zaken die snel kunnen veranderen, zoals het actueel houden van beveiligingseisen, en gaat niet langs het parlement. Het gaat hier echter om een principiële keuze: een fundamentele waarde als privacy verdient volledige wettelijke bescherming, met controle vanuit het parlement.
Om de privacy van burgers onder alle omstandigheden te waarborgen is aanscherping van het wetsvoorstel dus noodzakelijk. Want makkelijker kunnen we het zeker maken; nu nog privacyvriendelijker.
Alles bij de bron; Trouw
De Belgische politie waarschuwt weggebruikers op de regels rondom dashcams in auto's. Die vallen vaak in sommige gevallen onder de privacywet en dat betekent dat weggebruikers aan bepaalde regels moeten voldoen voor ze de camera's mogen inzetten.
Weggebruikers die beelden maken van bijvoorbeeld een vakantieroute en die beelden alleen voor eigen gebruik bewaren kunnen dat gewoon doen. Zodra zij de beelden echter publiceren, bijvoorbeeld door ze op internet te zetten, zijn ze wel gebonden aan de privacywet. In dat geval moet de camera geregistreerd worden bij de autoriteiten, en gelden andere regels zoals het portretrecht.
Als de dashcambeelden gebruikt worden als bewijsmateriaal bij bijvoorbeeld aanrijdingen mag dat, maar gelden er ook regels. Ook dan moet de dashcam geregistreerd worden. De eigenaar moet bovendien de beelden 's avonds wissen als er overdag niets problematisch is gefilmd. Ook moet een eigenaar de tegenpartij melden dat hij beelden heeft opgenomen.
Alles bij de bron; Tweakers
In het Handhavingsprogramma 2020-2023 van de afdeling Vergunningen, Toezicht en Handhaving (VTH) laat Utrecht weten wat er de komende periode verwacht gaat worden van de boa’s, die duidelijk steeds meer preventieve politietaken krijgen toebedeeld. Dit gaat aanzienlijk verder dan het signaleren van fout geparkeerde auto’s en op een verkeerd tijdstip buiten gezet huisvuil.
De gemeente wil de handhavers bijvoorbeeld ook taken toebedelen in het kader van de aanpak van ondermijning. Zo dienen zij de gemeente, de politie en andere instanties te wijzen op winkels, restaurants en andere bedrijven die zonder crimineel geld onmogelijk bestaansrecht kunnen hebben.
Utrecht wil handhavers ook inzetten om het dealen van drugs en de handel in en het gebruik van lachgas en het dragen van inbrekerswerktuigen te signaleren. In die gevallen dient de politie ingeschakeld te worden. Die kan overgaan tot aanhouding, omdat sinds 2015 ook het voorbereiden van een inbraak strafbaar is gesteld.
Verder gaan de boa’s volgens de plannen handhaven op de opslag van brandgevaarlijke zaken, zoals cilinders en flessen met brandbare of explosieve stoffen. Een pilot moet volgend jaar uitwijzen of boa’s ook ingezet kunnen worden om op verkeersovertredingen te controleren.
Alles bij de bron; BeveilNieuws