We delen steeds meer persoonlijke informatie omdat we ons hiermee sneller, gemakkelijker en betrouwbaarder kunnen identificeren in de reële en digitale wereld. Naast identiteitsdocumenten in de echte wereld wordt er steeds vaker gebruikt gemaakt van ‘mensgebonden’ data. Dat kan informatie zijn die gekoppeld is aan bepaalde diensten, gemeten gedrag tijdens online handelingen en tegenwoordig steeds vaker biometrische gegevens.
Maar nog veel vaker wordt profielidentificatie toegepast; hoe meer je weet over een specifiek persoon, des te betrouwbaarder is de data van het gebruikersprofiel. En hoe beter je hiermee kunt controleren of dit de persoon in kwestie is en kunt voorspellen wat hij of zij gaat doen.
Dat is waarom ondernemingen steeds vaker persoonlijkere, lees meer privacygevoelige, informatie vragen om toegang te verschaffen tot hun diensten. Daarnaast claimen partijen steeds vaker de zeggenschap over iemands persoonlijke identiteit. In de digitale economie is daardoor je (online) identiteit niet meer van jezelf. Ondanks nieuwe wetgeving (AVG) is het door het constant (herver)delen van persoonlijke gegevens onmogelijk geworden nog volledig eigenaarschap over je eigen gegevens uit te oefenen.
Techniek dringt zich hiermee steeds verder op. Waar het bij de klassieke identificatie (1.0) nog gaat om ‘wie ben je,’ draait het bij identiteit 2.0 steeds meer om ‘wat doe je’-profielidentificatie op basis van je gedrag.
Je identiteit met vaststaande persoonsgegevens heb je alleen nodig om de digitale wereld te betreden. Ben je eenmaal binnen, dan telt enkel nog je fluïde digitale identiteit. Deze identiteit 2.0 staat voor alles wat jou als individu identificeert op basis van digitale gebruikerspatronen in de online wereld – vaak gekoppeld aan geregistreerd gedrag uit de reële wereld ter verificatie.
Privacy Zeker, een bedrijf dat ondernemers en zzp'ers helpt bij het voldoen aan de privacywetgeving, heeft door een menselijke e-mailfout de gegevens van klanten gelekt. Het bedrijf verstuurde een e-mail met daarin de namen en e-mailadressen van klanten in het CC-veld in plaats van het BCC-veld.
Privacy Zeker zegt dat het datalek bij de Autoriteit Persoonsgegevens wordt gemeld. Ook zal het intern maatregelen nemen om herhaling te voorkomen. Klanten die de betreffende e-mail hebben ontvangen is gevraagd om die te verwijderen.
De meeste datalekken bij de overheid ontstaan doordat post of e-mail naar de verkeerde persoon wordt gestuurd of niet juist wordt bezorgd. Ook onbedoelde of onrechtmatige inzage van persoonsgegevens blijkt een veelvoorkomende bron van datalekken, zo meldt de Autoriteit Persoonsgegevens op basis van onderzoek onder 26 uiteenlopende overheidsorganisaties die veel persoonsgegevens verwerken (pdf).
Dit kan meerdere oorzaken hebben, zoals onjuiste adressering, juiste adressering maar onjuiste bezorging, dubbele of verkeerde brieven die per ongeluk worden meegestuurd in een envelop, of kwijtgeraakte post. In het geval van 'digitale' post, zoals e-mail, berichtenboxen en klantportalen, gaat het ook vaak om onjuiste adressering, per abuis naar de verkeerde klant gestuurde gegevens, of verkeerd meegezonden bijlages.
Onbedoelde of onrechtmatige inzage van persoonsgegevens, zowel intern als extern, komt ook veel voor. Het gaat dan bijvoorbeeld om de publicatie van klantgegevens op het intranet waar alle medewerkers bij kunnen. Op de derde plek staat het verlies van documenten of apparaten zoals telefoons, laptops of tablets.
De Duitse bestuursrechter stelt vast dat voor het bepalen van de gemiddelde snelheid op een bepaald traject alle kentekenplaten moeten worden geregistreerd. Het federale grondwettelijke Duitse hof oordeelde in februari al dat dit in strijd is met het Duitse informationelle Selbstbestimmungsrecht. Op grond daarvan mag een individu tot op zekere hoogte zelf bepalen wat binnen de grenzen van zijn privéleven valt en wanneer dat met anderen mag worden gedeeld.
Op basis hiervan oordeelde de bestuursrechter dat de trajectcontrole niet door de beugel kan, omdat het in de huidige situatie inbreuk maakt op een grondrecht. Volgens de Südkurier komt er echter een wet die de trajectcontrole wel mogelijk maakt. Daarover zou in mei worden besloten.
Sinds het begin van de trajectcontrole op het 2,2km lange stuk van de B6 bij Laatzen zijn 141 snelheidsovertreders op de bon gezet. Hier passeren dagelijks 15.500 auto's, waarbij in het verleden zware ongelukken zijn gebeurd.
Zo’n 1,8 miljoen Chinese vrouwen zagen hun persoonlijke gegevens openlijk online staan, opvallend genoeg voorzien van het label ‘BreedReady’. Dat kon de Nederlandse hacker Victor Gevers uit een gelekte databank achterhalen. BreedReady, dat betekent zoveel als ‘klaar om zich voort te planten’.
De jongste vrouw uit de databank was vijftien jaar en volgens de gegevens nog niet klaar voor het gezinsleven, de oudste vrouw van 95 was haar hoogtepunt al voorbij. De middenmoot, gemiddeld 32 jaar, werd op het wereldwijde web als vruchtbaar bestempeld.
De Chinese overheid heeft in 2018 in totaal 23 miljoen burgers verboden een trein- of vliegticket te kopen. De Chinezen in kwestie hadden een te lage score in het ‘sociaal kredietsysteem’, waarbij elke burger een bepaald aantal punten krijgt afhankelijk van zijn gedrag.
Het ‘sociaal kredietsysteem’ werd in 2013 geïntroduceerd en moet volgend jaar volledig operationeel zijn. De voorbije jaren werden de eerste experimenten uitgevoerd, en het systeem wordt steeds verder en op steeds meer plaatsen in het land uitgerold. Elke Chinees zal een score krijgen, die naargelang zijn gedrag kan stijgen of dalen. In de woorden van de overheid zullen ,,de betrouwbaren mogen gaan en staan waar ze willen en zullen de onbetrouwbare mensen geen stap kunnen zetten.” ,,Eens onbetrouwbaar, altijd ingeperkt”, luidt de leuze.
Kritiek op het systeem is er genoeg, maar dat lijkt de Chinese communistische overheid er niet van te weerhouden door te zetten met het systeem.
11 maart as. debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar.
In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme.
Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling.
In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging.
Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. Na de aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.
In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.”
Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele-2 zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen.
Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit nog twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit echter niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.
Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen. Nederland heeft hierin een eigen grondwettelijke en internationaalrechtelijke verantwoordelijkheid.
Elf apps waarmee mensen hun meest intieme geheime delen, stuurden die gegevens ongevraagd door naar Facebook. Daardoor is het internetbedrijf ook op de hoogte van hun ovulaties, hun gewicht, hun bloeddruk of hun hartritme. Dat blijkt uit een test van The Wall Street Journal.
Opvallend: hun gebruikers hoefden zelfs niet op Facebook te zijn ingelogd of zelfs niet eens over een Facebook-account te beschikken.
Een van de apps die informatie doorgaf aan Facebook is Flo, een app die naar eigen zeggen door 25 miljoen vrouwen gebruikt wordt om hun menstruatiecyclus bij te houden. De app vertelt Facebook bijvoorbeeld wanneer vrouwen de intentie hebben om zwanger te worden, schrijft The Wall Street Journal. Een andere populaire app, de Instant Heart Rate: HR Monitor, gaf de hartslag van haar gebruikers zelfs door naar Facebook luttele seconden nadat die in de iOS-app werd geregistreerd.
