45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databases

Sleepnet misschien soms achteraf nuttig...maar tegen welke prijs?

Volgens Brits onderzoek is een ‘sleepnet’ essentieel voor een geheime dienst. Nederlandse experts maken ook kanttekeningen.

David Korteweg van privacyorganisatie Bits of Freedom bestrijdt niet dat zo’n sleepnet nuttige informatie kan opleveren. Maar reserves heeft hij wel: „Bij ons gaat het om beginselen als proportionaliteit en noodzakelijkheid.” Het sleepnet, vindt Korteweg, is een zwaar middel. „Daarbij kunnen heel gemakkelijk gegevens van onschuldige burgers worden meegenomen. Wij vragen ons af of er geen lichtere middelen kunnen worden ingezet, zoals gerichte interceptie op internet, wat nu ook al kan.”

Bovendien blijkt na een aanslag vaak dat veiligheidsdiensten of opsporingsinstanties al relevante informatie over de plegers hadden, maar dat er onvoldoende mee is gedaan. Korteweg: „Daar moet je iets aan doen voordat je op grote schaal nog meer gegevens gaat vergaren.”

Terrorisme-expert Teun van Dongen is beduidend positiever over de bevindingen van Anderson. Hij publiceerde dit jaar het boek Radicalisering ontrafeld (pdf) over terrorisme, hoopt dat het rapport een rol gaat spelen in de referendumcampagne. Van Dongen weet nog niet of hij in maart voor of tegen de nieuwe wet gaat stemmen. „Wat zou helpen vóór te stemmen, is een bepaling in de nieuwe wet die stelt dat het sleepnet alleen wordt ingezet voor lopend onderzoek, en dus niet om nieuwe verdachten op het spoor te komen.”

Alles bij de bron; NRC


 

 

Klantgericht onze data stelen

Laatst hoorde ik een privacy-consultant stellen dat de AVG in essentie neerkomt op 'administratieve klantgerichtheid'. Als dat zo is, dan verwordt de AVG tot de ISO 9001 standaard voor kwaliteitsmanagement: je hebt een certificaat waarmee je bewijst dat je de grootst mogelijke bagger fabriceert, maar wel volgens een netjes beschreven proces dat je nauwgezet volgt.

De AVG zou meer moeten zijn dan een manier om klantgericht (‘excellent’) onze privacy te schenden...

Volgens de AVG mogen persoonsgegevens alleen verwerkt worden voor een ‘gerechtvaardigd’ doel. Het belang dat jij bij de verwerking hebt - als bedrijf of instelling - moet gerechtvaardigd zijn. Bovendien moet de verwerking (dus welke persoonsgegevens je verzamelt en wat je daar vervolgens mee doet) ‘proportioneel’ en ‘subsidiair’ zijn. Proportioneel betekent dat de mate van inbreuk die je pleegt op de persoonlijke levenssfeer in overeenstemming moet zijn met het belang dat hier mee gemoeid is. Subsidiair betekent dat je doel niet kunt bereiken met een minder ingrijpende inbreuk. Het moet dus ‘ter zake dienend en beperkt tot wat noodzakelijk’ zijn.

Het probleem is dat slechts summier beschreven wordt wat 'gerechtvaardigd, proportioneel of subsidiair' is. En bedrijven vinden al gauw dat hún doel volledig gerechtvaardigd is. En dat het verzamelen van nóg meer gegevens per definitie proportioneel is, omdat hun systemen dan nog efficiënter werken. En dat het subsidiair is omdat op een andere manier werken simpelweg duurder is. Bedrijven redeneren nu eenmaal van nature vanuit hun eigen belang, terwijl privacy nu juist gaat om óns belang: het belang van de burgers, de klanten, de individuen.

Alles bij de bron; FD [gratis registratie noodzakelijk]


 

Senatoren CDA, PVV en VVD positief over opslag kentekengegevens

Senatoren van CDA, PVV en VVD zijn positief over het wetsvoorstel om alle door de politie geregistreerde kentekens 28 dagen lang te bewaren. Dat blijkt uit het debat over het wetsvoorstel dat afgelopen dinsdag in de Eerste Kamer plaatsvond. Het wetsvoorstel maakt het mogelijk om kentekengegevens - kenteken, locatie, tijdstip en foto - van voertuigen in een kentekenregister vast te leggen en te bewaren.

Het gaat hierbij ook om data van onverdachte personen. Privacyorganisaties zijn tegen het wetsvoorstel en stuurden de Eerste Kamer deze week brieven waarin werd opgeroepen het wetsvoorstel te verwerpen. Volgens de privacyorganisaties is de noodzaak nooit aangetoond en is de maatregel niet proportioneel. Ook zijn er zorgen dat de toegang tot de opgeslagen kentekengegevens niet voldoende is ingeperkt.

Verder wordt er gewezen naar de waarschuwing van de Raad van State dat dit wetsvoorstel vergelijkbaar is met de bewaarplicht voor telecomgegevens. Ook hier gaat het om een massale registratie van gegevens van onverdachte burgers. De bewaarplicht is door de rechter in 2015 ongeldig verklaard omdat de overheid ook daar de noodzaak niet kon onderbouwen. De Raad van State waarschuwt dat de rechter over de massale registratie van reisgegevens een vergelijkbaar oordeel zal vellen.

Op dinsdag 21 november stemt de Eerste Kamer over het voorstel.

Alles bij de bron; Security


 

Ik ging op datadieet en ontdekte hoe gemakkelijk ik mijzelf te grabbel gooide

Zelfs als technologiejournalist is het lastig om je aandacht erbij te houden wanneer iemand begint te preken over het delen van je persoonlijke gegevens. Ik weet het, iedereen weet het: we vertellen onze diepste geheimen gratis aan megabedrijven. Met listige algoritmen bepalen ze daaruit onze diepste verlangens en gebruiken deze vervolgens om ons advertenties aan te smeren. Een geniepige praktijk, maar de meesten van ons maken zich daar totaal niet druk om.

Zo zou het natuurlijk niet moeten zijn. We zouden op z’n minst scherp op onze eigen gegevens moeten passen. Ik besloot mezelf daarom te dwingen dat eindelijk eens te doen, ging een week lang in dataretraite en probeerde mijn eigen digitale sporen uit te wissen.

Ik gebruikte daarvoor een gemakkelijke methode: de data detox kit van de Tactical Technology Collective in Berlijn. Die detoxkit bestaat uit een kartonnen kaart met instructies voor acht dagen succesvol dataminderen.

Dag 1: ontsnap aan Google

Dag 2 en 3: wie ben ik?

Dag 4: kijken naar het krimpen van m’n digitale voetafdruk

Dag 5-7: mijn datametabolisme aanpassen

Dag 8: schoon

Wanneer de achtste dag eindelijk aanbreekt, voel ik me verlost van mijn datazonden. Natuurlijk deel ik nog wel wat gegevens met grote bedrijven. Het is bijvoorbeeld wel heel handig om dingen te kunnen synchroniseren tussen m’n telefoon en andere apparaten. Maar nu is het delen van die informatie wel een bewuste keuze. Tegelijk blokkeer ik alle maffe dingen die ze van me willen weten.

Alles bij de bron; NewScientist


 

Na afblazen landelijk epd wordt aan vervanger gewerkt waarbij patiënt bepaalt welke informatie gedeeld wordt

Zes jaar na het afblazen van het Landelijk Elektronisch Patiëntendossier wordt in betrekkelijke stilte toch gewerkt aan een systeem voor digitale uitwisseling van medische data. MedMij moet mogelijk maken dat patiënten zelf hun gegevens verzamelen in een persoonlijke gezondheidsomgeving. Anders dan bij het landelijk EPD bepaalt de patiënt welke informatie gedeeld mag worden.

Via een persoonlijke digitale toegangspoort, waarop je inlogt met DigiD, moeten patiënten grip krijgen op al hun medische gegevens, zoals labuitslagen, scans en medicatieoverzichten. MedMij, een initiatief van het ministerie van Volksgezondheid, patiëntorganisaties, zorgverleners en zorgverzekeraars, stelt daarvoor spelregels op. Zo moet de uitwisseling van informatie tussen zorgverleners en patiënten mogelijk worden en veilig gebeuren. Het is de bedoeling dat iedereen die dat wil in 2020 een persoonlijke gezondheidsomgeving kan hebben.

Alles bij de bron; Volkskrant


 

Oproep aan Eerste Kamer: verwerp massa-surveillance met kentekenscanners

Het kabinet wil met kentekenscanners het reisgedrag van burgers in Nederland vastleggen. Dinsdag 14 november debatteert de Eerste Kamer over dit wetsvoorstel. Het wetsvoorstel is op verschillende punten in strijd met de wet. Privacy Barometer stuurde hierover een brief aan de Eerste Kamer.

Met een netwerk van kentekenscanners langs wegen ontstaat mogelijk een nieuw sleepnet met reisgedrag van Nederlanders. Dit kan volgens de minister van Justitie & Veiligheid een bijdrage leveren aan de opsporing van ernstige misdrijven. Om een dergelijke bevoegdheid in te mogen voeren, moet aangetoond worden dat deze noodzakelijk is. Dat doet de minister niet. Toenmalig minister Blok (VVD) schrijft dat het "een bijdrage kan leveren" of "van belang kan zijn". Dat impliceert dat het niet noodzakelijk, maar vooral handig voor de politie is.

...de Raad van State concludeert dat "de doeltreffendheid en daarmee de noodzaak van het vastleggen en bewaren van kentekengegevens zoals voorgesteld onvoldoende zijn gemotiveerd". Volgens de RvS is dit wetsvoorstel vergelijkbaar met de bewaarplichtvoor telecomgegevens omdat het ook hier gaat om een massale registratie van gegevens van onverdachte burgers. De bewaarplicht voor telecomgegevens is door de rechter in 2015 ongeldig verklaard omdat de overheid ook daar de noodzaak niet kon onderbouwen. De Raad waarschuwt dat de rechter over de massale registratie van reisgegevens een vergelijkbaar oordeel zal vellen...

Dit wetsvoorstel is op meerdere punten overduidelijk in strijd met de wet, waaronder het Europees Verdrag voor de Rechten van de Mens. Daarnaast heeft de rechter in verschillende situaties de massale opslag van gegevens van onverdachte burgers verboden. Het is duidelijk dat ook deze massa-surveillance maatregel in de rechtbank zal sneuvelen. De Eerste Kamer zou deze wet daarom moeten verwerpen. Lees de gehele brief aan de Eerste Kamer.

Alles bij de bron; PrivacyBarometer [Thnx-2-Luc]


 

Onrechtmatige aanmeldingen in EPD-LSP blijken structureel probleem. Vrijbit komt weer in actie.

VZVZ faciliteert een landelijk systeem wat aanzet tot het op grote schaal lekken van medische gegevens. Onterecht uw medische gegevens via het EPD-LSP beschikbaar gesteld? Dat kan iedereen overkomen! meermalen en ook per direct nadat een ‘fake-toestemming’uit het systeem is  verwijderd.

Toen de wet voor het invoeren van een Elektronisch Patiënten Dossier uitwisselingssysteem sneuvelde, betekende dit het einde van het EPD als opt-out ( ja tenzij) systeem van de overheid. De medische gegevens van mensen zouden nooit mogen kunnen worden uitgewisseld tussen alle zorgverleners waar men geen directe behandelrelatie mee heeft, tenzij de betrokkene daar vooraf, vrijwillig, goedgeïnformeerd en expliciet toestemming voor gaf.

Bij de private doorstart van het EPD-LSP vormde dit toestemmingsvereiste het uitgangspunt voor het beheer van het nieuwe EPD-LSP systeem van beheerder VZVZ.

Dit voorjaar ontdekten verschillende mensen dat zonder dat zij daar toestemming voor gegeven hadden hun medische gegevens wel degelijk landelijk opvraagbaar waren gesteld door VZVZ. In al die gevallen bleek dat er via een apotheek was doorgegeven dat voor deze persoon de voor iedereen latent aangemaakte aanmelding op het EPD-LSPsysteem moest worden geactiveerd.

Wie namens een apotheker of huisarts wordt aanmeld hoeft dat niet zelf te bevestigen en kan zelfs maar moeilijk controleren of men onterecht toch staat aangemeld. Enige beveiliging tegen het meermalen onrechtmatig aangemeld worden is er niet en de mogelijkheid tot vermelding in het systeem dat er sprake is geweest van een onterechte aanmelding wegens geen of ongeldige toestemming ontbreekt.

Op 4  augustus 2017 heeft Burgerrechtenvereniging Vrijbit, naar aanleiding van de geconstateerde onrechtmatige aanmeldingen, de toezichthouder Autoriteit Persoonsgegevens (AP) formeel gevraagd om handhavend op te treden tegen VZVZ. Maar tot op de dag van vandaag laat de AP het afweten om zelfs maar te starten met een vooronderzoek en schuift men het nemen van een (voor beroep vatbaar) besluit om al dan niet in actie te komen voor zich uit....

...Handhaafverzoek II van Burgerrechtenvereniging Vrijbit aan AP d.d. 3-11-2017

Vandaar dat wij AP op grond van bovenstaande informatie verzoeken om handhavend op te treden tegen:

  • Het structureel onjuist en verwijtbaar onzorgvuldig handelen van apothekers bij het verkrijgen en doorgeven van ‘toestemming’ van personen die niet op de vereiste wijze (in vrijheid en juist en afdoende geïnformeerd) geldige toestemming hebben verleend voor uitwisseling van medische persoonsgegevens via het EPD-LSP.
  • Het ontbreken van effectieve, verantwoorde, uniforme  procedures voor het verkrijgen, valideren, registreren en doorgeven (voor vermelding in verwijsindex) van geldige toestemming voor het opvragen van medische persoonsgegevens via het EPD/LSP. Wil sprake kunnen zijn van een geborgde verwijsindex dan dient systematisch logging plaats te vinden van deze procedures.
  • Het structureel ontbreken van procedures voor het opvragen van informatie over verleende toestemmingen, over inzage van gegevens via het EPD-LSP en voor het eventueel effectief doen schrappen van eerder verleende toestemmingen. Deze procedures moeten voor elke burger toegankelijk zijn, moeten door elke burger gebruikt kunnen worden.

Alles bij de bron; Burgerrechtenvereniging Vrijbit


 

Kentekenregistratie nu ook langs de Nederlandse binnenwegen

De inzet van camera's die kentekens registreren wordt uitgebreid naar de provinciale wegen. Daar worden 200 flitspalen de komende weken uitgerust met zogeheten ANPR-camera's, bevestigt de politie na berichtgeving van de NOS. Er hangen al 130 van zulke apparaten langs de snelwegen.

Met ANPR (automatische nummerplaatherkenning) worden kentekens gescand en vergeleken met gegevens in de politiecomputers over mensen die worden gezocht of boetes hebben openstaan. Komt de naam in de politiebestanden voor, dan wordt de automobilist beboet of staande gehouden.

Zijn of haar gegevens worden net zolang bewaard tot de kwestie is afgehandeld. Komt de naam niet voor, dan worden de gescande gegevens gewist. Maar er is wetgeving in de maak om ook het bewaren van die gegevens toe te staan.

Bron; AD [Thnx-2-Luc]

NB; in de VS verkopen ze deze coating tegen ANPR