Waarom doet Waalre geen aangifte bij de politie met betrekking tot het zoekraken van twaalf dossiers met persoonlijke gegevens? Dat wil het Waalrese raadslid van Tongeren weten. ,,Dat soort gegevens kwijtraken is een zeer ernstige zaak", zegt hij desgevraagd. Een externe consulent die de gemeente hiervoor inhuurde, is hiervoor verantwoordelijk.
De gemeente heeft over de dossiers contact gehad met de man en zijn werkgever, een detacheerder. Vorige week donderdag maakte de gemeente bekend dat de man de dossiers heeft vernietigd. Het raadslid vertrouwt het niet. Hij wil weten of er nog meer vertrouwelijk materiaal is kwijtgeraakt. Verder vraagt hij het college of dat kan zeggen dat de betreffende consulent gescreend en beëdigd is. ,,Ik vind het ook vreemd dat de gemeente een extern iemand inhuurt die vervolgens met twaalf mappen met privacy-gevoelige gegevens naar huis gaat. En dat kan allemaal zomaar."
Op 20 juni kregen de raadsleden een raadsinformatiebrief over de kwestie. Hierin werden zij verzocht vertrouwelijk om te gaan met die informatie, omdat het persoonlijke informatie zou betreffen. ,,Die brief staat gewoon op de gemeentesite en is voor iedereen toegankelijk. Is de vertrouwelijkheid opgeheven?", wil het raadslid ook nog weten.
Personeelsdossiers van voormalige V&D-medewerkers zijn op straat beland. Een man uit de provincie Groningen die een kast uit de failliete boedel kocht, vond vertrouwelijke stukken.
De kast met gevoelige informatie is afkomstig uit het hoofdkantoor van V&D in Amsterdam. De koper vond onder meer verslagen van motivatiegesprekken en functioneringsrapporten aantrof in de dossierkast en ook e-mails over het functioneren van managers en correspondentie met voorstellen om het imago van V&D op te poetsen.
De curator laat in een reactie weten dat ze zoiets niet eerder heeft meegemaakt. „Wij hebben er alles aan gedaan om te voorkomen dat privacygevoelige informatie bij derden terecht zou komen”, zegt ze.
Het Spinoza Lyceum in Amsterdam Zuid heeft door een fout met het verzenden van een Google Drive-document de persoonlijke en gevoelige gegevens van zo'n honderd leerlingen gelekt. Het document bevat informatie over de persoonlijke omstandigheden en thuissituaties van de leerlingen.
De school heeft melding gemaakt bij de Autoriteit Persoonsgegevens en een onderzoek ingesteld hoe het datalek zich kon voordoen. Ook wordt er gekeken naar mogelijke maatregelen om herhaling te voorkomen, zoals het scheiden van dataverkeer tussen docenten en leerlingen.
De Europese Commissie wil een voorstel doen om de opslag van gegevens buiten de landsgrenzen te stimuleren en te vereenvoudigen. Dat stelt Vice-President Andrus Ansip van de Europese commissie tijdens een toespraak in Tallin. De EC vindt 'data-nationalisme' voor zowel de overheid als bedrijfsleven belemmerend werken voor innovatie.
De hoofdgedachte van de EC is dat Europese gebruikers, zowel de publieke sector als commerciële partijen, data sneller moeten kunnen uitwisselen zonder dat ze het opnieuw handmatig moeten invoeren vanwege regelgeving. Dit najaar komt er een voorstel om dit mogelijk te maken. Momenteel is er een impact assessment in gang gezet die bekijkt wel stappen er op juridisch gebied moeten worden gemaakt.
De EC kijkt ook naar meer mogelijkheden om gegeven te kunnen combineren. Volgens Ansip is het een verspilling dat gegevens uit diverse landen niet gecombineerd of uitgewisseld mogen worden als gevolg van nationale eisen waaronder de plek van opslag en de verwerking van data.
Medewerkers van Vluchtelingenwerk in Rotterdam hebben toegang tot zeer privacygevoelige gegevens van honderden vluchtelingen die zij niet zelf begeleiden. Het betreft niet alleen gegevens als naam en adres maar ook het burgerservicenummer, mobiel nummer, kopie van bankpas en ID-kaart en, soms, de volledig uitgetypte asielverhoren door de Immigratie- en Naturalisatiedienst inclusief vluchtverhaal en medische gegevens. Dit blijkt uit onderzoek van NRC.
Vluchtelingenwerk in Rotterdam begeleidt in de stad neergestreken statushouders – vluchtelingen met een verblijfsstatus – bij hun integratie. De medewerkers, veelal vrijwilligers, helpen hen bij het vinden van een taalschool en werk. Ook helpen ze met het ordenen van hun administratie, en hebben ze namens de statushouders contact met instanties als gemeente en huisarts.
Volgens de Autoriteit Persoonsgegevens mogen medewerkers van geen enkele organisatie toegang hebben „tot meer persoonsgegevens dan strikt noodzakelijk is voor hun taakuitvoering.”
Met het groeiend aantal diensten en apps, die allemaal toegang willen tot je persoonlijke gegevens en data over je willen verzamelen, komt het privacy aspect steeds vaker naar voren. Het lijkt er soms bijna op dat er geen technologische innovatie kan plaatsvinden, zonder dat je daarvoor je privacy moet inleveren. Zo zou Apple dagelijks miljoenen gegevens binnen krijgen via onder andere iPhones, iPads en Macs. Hoewel Apple ook steeds meer data verzamelt, zou de identiteit van de gebruikers hierbij anoniem blijven.
Sinds vorig jaar gebruikt Apple met de invoering van iOS 10 differentiële privacy om de identiteit van gebruikers te beschermen. Bij diferentiële privacy wordt statistische ruis toegevoegd aan verzamelde data, zodat er geen individuele gebruikers uit de data gefilterd kunnen worden. Het is een relatief nieuwe technologie, welke is ontwikkeld om het maken van koppelingen tussen datasets tegen te gaan. Door deze koppelingen te maken zou je namelijk achter bepaalde gegevens van gebruikers kunnen komen. Onder iOS 11 een veel grotere rol gaan spelen. Het algoritme zal dan ook ingezet worden om browser data en gezondheidsgerelateerde data te beschermen.
Het bedrijf krijgt hierover vaak kritiek. De manier waarop Apple de data beschermt zou mogelijk de ontwikkeling van andere producten kunnen verhinderen.
Kivu ontwikkelt software die politie en veiligheidsdiensten helpt bij het opsporen van mensen die aanslagen willen plegen. „Twee jihadi’s in je netwerk kan per ongeluk voorkomen, bij twintig is het geen toeval meer.”
Toen de Duitse politie in november 2016 bij massale huiszoekingen een paar islamitische activisten arresteerde, hadden ze bij een start-up in de Oostenrijkse hoofdstad Wenen een buitengewoon goede dag. De arrestaties in Duitsland bevestigden dat zij met die software op de goede weg waren. De Nederlandse ingenieur Jan van Oort en een paar collega’s van de Weense startup Kivu hadden zichzelf exact die taak gesteld: aanslagen voorkomen door connecties en netwerken op te sporen en zichtbaar te maken – en wel op zo’n manier dat persoonsgegevens verborgen blijven, terwijl terreuractiviteiten eruit worden gelicht. „Toen we hoorden van de arrestaties in Duitsland wisten we: onze aanpak werkt,” zegt Van Oort. „Toekomstige daders van aanslagen vind je eerder door naar hun netwerken te kijken, dan naar de berichten die ze posten.”
In mei 2016 begonnen Wesley, Van Oort en een paar anderen een systeem te bouwen. Try-outs met bestaande software liepen op niets uit, dus ze ontwierpen een nieuw systeem. Na een paar maanden hadden ze een basis. Ze vonden een aantal bekende islamitische activisten op sociale media en keken met wie die direct (eerstegraads) contact hadden. Vervolgens trokken ze een expert in ‘geospatiale analyse’ aan. Zij hielp hen om op de computer zichtbaar te maken waar die contacten zich bevonden. Wat je dan op je scherm ziet, zijn allemaal netwerken, verspreid over meerdere werelddelen. Het zijn allemaal spinnenwebben, met puntjes erin of ertussen – dat zijn personen.
Op het scherm verschijnen geen persoonsgegevens als namen en telefoonnummers, alleen codes die bestaan uit cijfers en letters. De persoonsgegevens van de mensen die bij die codes horen, zijn automatisch versleuteld in het systeem. Wat telt, is niet hun naam of telefoonnummer, maar hun plaats binnen en tussen netwerken. „Iedereen kan min of meer per ongeluk contact hebben met één of twee jihadi’s”, zegt Van Oort, terwijl hij met de muis op een contactpersoon klikt – zo’n puntje met draadjes eraan naar andere puntjes – en hem omhoog tilt in het netwerk, zodat je ziet met wie hij contacten heeft. „Maar als je iemand vindt met twintig jihadi’s in zijn netwerk, is het geen toeval meer. Dan wordt het tijd om die onder de loep te nemen. Ook al post hij nooit iets verdachts.”...
...Lang voordat Twitter en Facebook bestonden, verdronk de NSA in de data. Dus analyseerde ze die verkeerd. Daarom probeerden technisch directeur Bill Binney en enige medewerkers slimmere software te ontwerpen, voor zogeheten targeted surveillance. Ze bedachten een programma en noemden het Thin Thread. Mosers film A Good American laat zien hoe ze dat deden. En hoe succesvol het was: lang voor 9/11 gaf hun computerprogramma aan dat ze een zekere Osama Bin Laden moesten volgen. Ze hadden zelfs zijn telefoonnummer.
Maar Binney en de zijnen streken daarmee de NSA-top tegen de haren in. Thin Thread gaf de NSA-top aanwijzingen om een grote aanslag te voorkomen. Maar zijn hoogste bazen, mensen die in of met de veiligheidsindustrie hadden gewerkt, reageerden door het programma te verbieden. Na 9/11 werden de computers van Binney en zijn collega’s zelfs in beslag genomen. Een maand later namen ze ontslag en werden ze ‘klokkenluiders’.
Moser vertoonde zijn film bij Kivu in Wenen. „We waren als door de bliksem getroffen,” zegt Van Oort. Thin Thread focuste, net als hun programma, niet op verdachte postings of personen, maar op netwerken. Ze haalden Binney en een oud-NSA-collega meteen naar Wenen, en toonden wat ze aan het doen waren. Hún programma, ‘Tarim’, was bijna identiek aan Thin Thread. De Amerikanen gaven hen allerlei tips. Allen concludeerden dat Tarim – anders dan Thin Thread – niet de nek om kon worden gedraaid door veiligheidsdiensten, omdat de software onafhankelijk was geproduceerd. „Die paar dagen met de Amerikanen waren de belangrijkste in mijn carrière,” zegt Van Oort...
....Bij Kivu werken nu twaalf mensen. Tarim is bijna klaar. Via-via legde Van Oort contact met europarlementariër Sophie in ’t Veld (D66), die hem en Binney prompt uitnodigde voor een hoorzitting in Brussel eind mei, met Eurocommissaris voor Veiligheid Julian King. [videolink via PrivacyFirst] Het Europees parlement is bezorgd dat privacy van burgers wordt weggevaagd in de jacht op terroristen. Tijdens die hoorzitting legde Van Oort daar de nadruk op. Tarim, zei hij, is een algebraïsch programma: het focust alleen op data over bedreigingen en niet op personen. Op het moment dat het programma gaat lopen, worden alle persoonsgegevens automatisch versleuteld – voordat er ook maar één menselijk oog op kan vallen. De sleutel wordt in drie stukken geknipt: één deel wordt in de computer bewaard, één gaat naar een rechter en één naar een democratisch gekozen comité (bijvoorbeeld in een parlement).
Alleen onder bepaalde, wettelijk omschreven omstandigheden kunnen speurders de rechter en het comité verzoeken hun deel van het slot te ontgrendelen en te kijken om wie het gaat. Alleen als alle drie de sleutels in het slot worden gestoken, komt de informatie – tijdelijk – vrij. Als er één ontbreekt, kunnen speurders niets.
Er is veel te doen over de vraag of algoritmes die data doorzoeken wel neutraal zijn. Democratische controle op ongrondwettige algoritmes is lastig, omdat die geheim zijn of moeilijk te lezen. Kivu zoekt echter op metadata, niet op data zelf. Van Oort zegt: „Wat ons interesseert is niet iemands geslacht of naam maar de topologie van een netwerk: communiceert netwerkentiteit BBA77EF012D vaak met netwerkentiteit CAF80132CE48B? Is netwerkentiteit 4001ADC8450FF ineens ‘ondergedoken’? Waar ze zitten of welke taal ze spreken, interesseert ons niet. Maar we zijn altijd bereid onze algoritmen aan vertegenwoordigers van een magistraat of een democratisch orgaan te laten zien. Zo kunnen we onze algoritmes vertrouwelijk houden, terwijl zij kunnen controleren dat we niets ongrondwettigs doen.”
Met een programma als Tarim zal de samenwerking tussen veiligheidsdiensten intensiever worden, en meer Europees: deze software negeert landsgrenzen, net als terreurnetwerken zelf. Voor de experts achter de computerschermen in Favoriten is er nu eindelijk een goede match tussen terroristen en terreurbestrijding.
Gisteren raakte bekend dat de politie iedereen had nagetrokken die een kaartje had besteld. Van de 400.000 festivalgangers kregen er minstens 37 te horen dat ze het festivalterrein in Boom niet op mochten, aangezien ze een veiligheidsrisico vormden. De privacycommissie gaat de zaak verder onderzoeken samen met het Comité P.
"Er is een gemeentelijk reglement dat zo’n screening mogelijk maakt", zegt Willem Debeuckelaere, de voorzitter van de privacycommissie. "Wettelijk is er dus een basis voor, dus puur formeel kan het kloppen. Maar we hebben het er toch moeilijk mee. Je krijgt mensen aan wie de toegang wordt ontzegd, zonder dat ze informatie kunnen krijgen over de reden van die weigering. Je staat daar eigenlijk voor een blinde muur."
De privacycommissie heeft nog een tweede bezwaar: "Er zijn eigenlijk geen middelen om dat aan te vechten. De politie beslist eenzijdig, op basis van gegevens uit haar databank. We gaan ervan uit dat de politie goed heeft nagedacht over elke weigering. Maar we hebben de ervaring dat het gerecht de politie niet altijd volgt in zulke beslissingen, of dat mensen in de politiedatabank zitten op basis van een klacht die nooit echt bewezen is. Dus eigenlijk zou je je daartegen moeten kunnen verzetten. Maar dat kan nu niet."
Samen met het Comité P, dat de politiediensten controleert, en met het Controleorgaan voor politionele informatie gaat de privacycommissie de zaak daarom verder onderzoeken. Maar voor de mensen die niet naar Tomorrowland mogen, biedt dat wellicht geen oplossing, zegt Debeuckelaere: "Ze kunnen eventueel nog een procedure voor de rechter in kortgeding beginnen, of voor de Raad van State. Maar aangezien Tomorrowland al heel binnenkort begint, zal zo’n procedure waarschijnlijk te laat komen."
