Geachte Kamerleden,

11 maart as. debatteert u met minister Grapperhaus (Justitie en Veiligheid) over de Nederlandse implementatie van de Europese richtlijn inzake Passenger Name Records (PNR). Zowel de Europese PNR-richtlijn als de beoogde Nederlandse implementatiewet zijn in de optiek van Privacy First juridisch onhoudbaar. 

In het PNR-wetsvoorstel van de minister zullen talloze gegevens van alle vliegtuigpassagiers met vertrek of aankomst in Nederland 5 jaar lang in een centrale overheidsdatabank bij de nieuwe Passenger Information Unit worden bewaard en gebruikt ter voorkoming, opsporing, onderzoek en vervolging van misdrijven en terrorisme.

Gevoelige persoonsgegevens (waaronder naam- en adresgegevens, telefoonnummers, emailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens) van vele miljoenen passagiers zullen daardoor jarenlang beschikbaar zijn t.b.v. datamining en profiling.

In wezen wordt iedere vliegtuigpassagier hierdoor behandeld als potentiële crimineel of terrorist. In 99,99% van de gevallen betreft het echter volstrekt onschuldige burgers, voornamelijk vakantiegangers en zakenreizigers. Dit vormt een flagrante schending van hun recht op privacy en vrijheid van beweging.

Wegens privacybezwaren bestond er de laatste jaren veel politieke weerstand tegen dergelijke massale PNR-opslag en werd dit sinds 2010 diverse malen verworpen door zowel de Nederlandse Tweede Kamer als het Europees Parlement. In 2015 waren ook de Nederlandse regeringspartijen VVD en PvdA nog mordicus tegen. Na de aanslagen in Parijs en Brussel leken veel politieke bezwaren echter als sneeuw voor de zon verdwenen en werd de PNR-richtlijn in 2016 alsnog een feit. Tot op heden is de juridisch vereiste maatschappelijke noodzaak en proportionaliteit van deze richtlijn echter nog steeds niet aangetoond.

In de zomer van 2017 deed het Europees Hof van Justitie een belangrijke uitspraak over het vergelijkbare PNR-verdrag tussen de EU en Canada. Het Hof verklaarde dit verdrag ongeldig wegens strijd met het recht op privacy. Het Hof stelde hierbij onder meer dat “gegevens van een luchtreiziger na diens vertrek slechts mogen worden bewaard indien op grond van objectieve criteria kan worden aangenomen dat deze luchtreiziger een risico kan vormen in het kader van de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit.”  

Het huidige Nederlandse PNR-wetsvoorstel lijkt bij voorbaat onrechtmatig wegens gebrek aan aantoonbare noodzaak, proportionaliteit en subsidiariteit. Het wetsvoorstel komt neer op massa-surveillance van grotendeels onschuldige burgers; reeds in de Tele-2 zaak (2016) verklaarde het Europees Hof dit type wetgeving illegaal. Bij iedere passagier worden immers talloze volstrekt overbodige data opgeslagen die jarenlang door allerlei Nederlandse, Europese en zelfs niet-Europese overheidsinstanties kunnen worden gebruikt. Bovendien is de effectiviteit van PNR tot op heden nooit aangetoond, aldus ook de minister zelf: “statistische onderbouwing is niet voorhanden” (zie Nota naar aanleiding van verslag, p. 8). Het risico op onterechte verdenkingen en discriminatie (door feilbare algoritmes bij profiling) is bij het voorgestelde PNR-systeem levensgroot, wat tevens de kans op vertragingen en gemiste vluchten bij onschuldige passagiers verhoogt. Tegelijkertijd zullen gezochte personen vaak onder de radar blijven en alternatieve reisroutes kiezen.

Meest kwalijke aspect aan het Nederlandse PNR-wetsvoorstel is echter dat dit nog twee stappen verder gaat dan de PNR-richtlijn zelf: Nederland kiest er immers zélf voor om ook de data van passagiers op alle intra-EU vluchten op te slaan. Onder de PNR-richtlijn is dit echter niet verplicht, en had Nederland dit bovendien kunnen beperken tot louter vooraf geselecteerde (risico)vluchten. Dit zou in lijn geweest zijn met het advies van de meeste experts op dit terrein: targeted i.p.v. mass surveillance, zo gericht mogelijk, oftewel louter gericht op die personen waarop een redelijke verdenking rust, conform de principes van onze democratische rechtsstaat.
 
Privacy First adviseert u hierbij met klem om het huidige wetsvoorstel te verwerpen en dit desgewenst te vervangen door een privacyvriendelijke versie. Mocht dit ertoe leiden dat Nederland door de Europese Commissie voor het EU Hof van Justitie zal worden gedaagd wegens gebrek aan implementatie van de huidige Europese PNR-richtlijn, dan verwacht Privacy First dat Nederland deze zaak glansrijk zal winnen.  Nederland heeft hierin een eigen grondwettelijke en internationaalrechtelijke verantwoordelijkheid.

Alles bij de bron; Persbericht PrivacyFirst


 

Elf apps waarmee mensen hun meest intieme geheime delen, stuurden die gegevens ongevraagd door naar Facebook. Daardoor is het internetbedrijf ook op de hoogte van hun ovulaties, hun gewicht, hun bloeddruk of hun hartritme. Dat blijkt uit een test van The Wall Street Journal. 

Opvallend: hun gebruikers hoefden zelfs niet op Facebook te zijn ingelogd of zelfs niet eens over een Facebook-account te beschikken.

Een van de apps die informatie doorgaf aan Facebook is Flo, een app die naar eigen zeggen door 25 miljoen vrouwen gebruikt wordt om hun menstruatiecyclus bij te houden. De app vertelt Facebook bijvoorbeeld wanneer vrouwen de intentie hebben om zwanger te worden, schrijft The Wall Street Journal. Een andere populaire app, de Instant Heart Rate: HR Monitor, gaf de hartslag van haar gebruikers zelfs door naar Facebook luttele seconden nadat die in de iOS-app werd geregistreerd. 

Alles bij de bron; Knack


 

Om vooral rondtrekkende criminelen op te sporen en aan te houden, zet de Landelijke Eenheid van de Nationale Politie sinds kort snelwegcamera’s in. 

Als getuigen hun kenteken doorgeven aan de politie, kan dit het ‘kenteken van de week’ worden. Camera’s met automatische nummerplaatherkenning gaan daarnaar op zoek en melden het direct als zij de auto van de verdachten hebben waargenomen. In acht van de tien gevallen lukt het de politie om de criminelen kort daarna aan te houden. 

Na de aanhouding onderzoeken rechercheurs waar de auto eerder is waargenomen, zodat de verdachten mogelijk nog met andere misdrijven in verband kunnen worden gebracht. Ook gebeurt het dat de criminelen een tijdje worden gevolgd, zodat zij op heterdaad kunnen worden betrapt. Na het gebleken succes wil de Landelijke Eenheid deze methode uitbreiden naar alle eenheden, zodat die elk op hun eigen ‘kenteken van de week’ kunnen jagen.

Alles bij de bron; BeveilNieuws


 

Bedrijven willen hun klanten beter begrijpen om producten en diensten waardevoller te maken voor de klant. Consumenten vinden echter dat bedrijven meer (willen) weten dan ze eigenlijk prettig vinden. We zien dat consumenten steeds vaker weigeren om data te delen en diensten (apps en sociale media) die (te)veel data verzamelen, afwijzen. 

Het gebruik van data kan bij consumenten weerstand oproepen. Door data op een slimme manier te gebruiken kun je voorkomen dat je klanten afschrikt.

  • Té persoonlijk – Consumenten krijgen steeds meer het gevoel dat bedrijven over hun schouder meekijken. Het noemen van zéér persoonlijke informatie in marketinguitingen kan weerstand oproepen. 
  • Té opvallend – Gepersonaliseerde advertenties worden eerder als opdringerig ervaren als ze extra opvallend zijn. Klanten zitten er niet op te wachten dat ze  allerlei persoonlijke details in het gezicht geduwd krijgen, zoals de precieze locatie waar je woont of werkt.
  • Niet relevant –Klanten accepteren het gebruik van data als bedrijven daardoor relevanter kunnen zijn in hun communicatie. Het gebruik van locatiegegevens roept weerstand op als een boodschap niet relevant is, terwijl retargeting als negatief ervaren als klanten een product waarvoor ze advertenties te zien krijgen al lang gekocht hebben. 
  • Geen controle – Onvrede over data verzamelen neemt toe als klanten het gevoel hebben geen controle te hebben over personalisatie van e-mails of advertentie banners. Advies voor bedrijven is dan ook om de klant de mogelijkheid te bieden om hiervan af te zien. 
  • Geen transparantie – Om weerstand te voorkomen helpt het om (kort) uit te leggen hoe data worden gebruikt. Voor veel consumenten vormt transparantie namelijk een bewijs dat bedrijven niets te verbergen hebben. 

Als je voortaan het woord privacy hoort schiet dan niet meteen in de stress. Wie de (privacy-) voorkeuren van de klant begrijpt, kan hier rekening mee houden. Weet jij wat je klant (niet) wil? Als je klant écht geen data wil delen, geef die klant daartoe dan ook de mogelijkheid. Focus je op de klanten die wel willen dat je data gebruikt om relevanter te worden.

Alles bij de bron; AdFormatie


 

Bedrijven hebben onlineprivédomeinen als MijnOverheid en MijnBelastingdienst ontdekt als jachtgrond voor persoonlijke gegevens. Met toestemming van de gebruiker halen ze daar data op, bijvoorbeeld voor een huurcontract van een woning. De Autoriteit Persoonsgegevens heeft ‘scherpe vragen’...

...Verhuurder Amvest wilde nog wel zijn identiteit en financiële draagkracht controleren. Die check ging via Huurpaspoort, een jong bedrijf dat een digitale brug wil vormen tussen huurders en verhuurders. Huurpaspoort gaf de kandidaat-huurder de opdracht de app Ockto te downloaden op zijn telefoon. Die zou zijn persoonlijke gegevens gaan ophalen en overzichtelijk presenteren. Waar die gegevens vandaan komen? Uit de private domeinen die zijn opgezet voor zijn contacten met de overheid, van MijnOverheid en MijnBelastingdienst tot MijnUWV. Van de aangifte inkomstenbelasting, de schulden en bezittingen tot de samenstelling van het huishouden en de details van het arbeidscontract, het is er allemaal te vinden...

...Meer dan drie jaar salaris, meer dan tien jaar werkgevers, meer dan twintig jaar woonadressen, enzovoorts. ‘Niet te geloven. Ze weten meer dan Google.’

Alles bij de bron; Volkskrant


 

Kamerleden hebben vragen over de veiligheid van het LSP gesteld tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg op 30 januari. Bruins benadrukte toen dat hij informatie zou opvragen bij LSP-beheerder VZVZ, dat ook de  uitwisseling van gegevens via het MedMij-afsprakenstelsel moet gaan faciliteren via de infrastructuur van het LSP.

Volgens de minister geeft de Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) aan zeer hoge eisen te stellen aan de beveiliging van de zorginfrastructuur. De gegevens worden vervolgens opgevraagd door het verzoek versleuteld door te zenden via een gecertificeerde, beveiligde verbinding. Als er relevante gegevens beschikbaar zijn in het brondossier, worden deze over diezelfde gecertificeerde verbindingen in versleutelde vorm verzonden, met het schakelpunt als zwaar beveiligd tussenstation.

Op de vraag of hij kon bevestigen dat medische gegevens met het LSP niet van zorgverlener tot zorgverlener versleuteld zijn laat de minister weten dat er inderdaad geen end-to-end-encryptie wordt toegepast.

"Versleuteling is niet end-to-end, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor en hij beloofde het Nederlands Normalisatie Instituut (NEN) te vragen of het nodig is om de normen hierover aan te passen.

Het is niet de eerste keer dat er kritische geluiden van de PvdD en de SP komen over het LSP. In juni 2018 stemde de Tweede Kamer onder meer unaniem voor een motie van Tweede Kamerleden van beide partijen waarmee de regering werd opgedragen alternatieven voor het LSP te zoeken als het gaat om uitwisseling van medische gegevens op basis van het MedMij-afsprakenstelsel. Zo ligt de regie over deze uitwisseling van medische gegevens niet zoals ook de overheid wil bij patiënten, maar bij de beheerders van het LSP. Zo zou de privacy en bescherming van medische gegevens onvoldoende gewaarborgd zijn.

Alles bij de bronnen; ICTHealth & Security


 

De recherche in Amsterdam en Rotterdam wil via een particuliere DNA-databank onbekende slachtoffers gaan identificeren. Geïnspireerd door het succes van Amerikaanse rechercheurs wil de Nederlandse politie nu ook DNA-profielen van ongeïdentificeerde doden gaan uploaden naar de particuliere databank GEDmatch.

Dat zeggen René Bergwerff, leider van het coldcaseteam Rotterdam, en Carina van Leeuwen, forensisch rechercheur bij het Amsterdamse coldcaseteam. Het gaat vooralsnog om onbekende slachtoffers die niet door een misdrijf om het leven zijn gekomen, omdat in die gevallen geen sprake is van een strafrechtelijk onderzoek.

GEDmatch is niet de enige of zelfs de grootste particuliere DNA-databank ter wereld, maar het publieke karakter maakt hem zo geschikt voor opsporing. Iedereen kan een profiel uploaden en aan de hand daarvan familieleden identificeren. 

Databanken als GEDmatch zijn ook geschikt om bijvoorbeeld verdachten in oude moordzaken op te sporen, maar dat ligt juridisch ingewikkelder. Volgens een woordvoerder van het Openbaar Ministerie is het volgens het Nederlandse Wetboek van Strafvordering niet mogelijk om in strafzaken in een particuliere DNA-databank verwantschapsonderzoek uit te voeren. De wet stamt uit de tijd dat particulier DNA-onderzoek nog niet op grote schaal plaatsvond.

Bij het Nederlands Forensisch Instituut (NFI) jeuken de handen om de nieuwe methode te proberen. Deze maand publiceert Lex Meulenbroek van het NFI samen met Diederik Aben, advocaat-generaal bij de Hoge Raad, een artikel in het vaktijdschrift Expertise en Recht.„Door de successen lijkt het DNA-verwantschapsonderzoek het recept te zijn voor het oplossen van cold cases”, schrijven de auteurs. „Dat roept de vraag op of het middel niet vaker en uitgebreider toegepast zou moeten worden.”

Alles bij de bron; NRC


 

Stel je voor, een slimme stad, vol sensoren en verbonden technologie. Regels zijn niet nodig, want de stad bestuurt zichzelf. Vuilnis wordt opgehaald als de bakken vol zijn, stoplichten afgesteld om voetgangers voorrang te geven -of een snelle doorstroom van auto’s tijdens de spits. Bewoners vragen toestemming voor een evenement aan de rest van de bewoners via crowdsourcing. Het lijkt misschien wat vergezocht, maar dit is precies wat Sidewalks Labs gaat bouwen in Toronto, Canada.

Op een voormalig industrieterrein dat er wat verlaten bij ligt moet de ‘meetbaarste community ter wereld’ komen. Want alle data die deze systemen verzamelen, gaan rechtstreeks terug naar de stad. Met al deze feedback leren de systemen wat werkt en wat niet. Quayside, zoals de buurt heet, is voor menig tech-believer een droom die uitkomt.

Niet iedereen staat te juichen voor zo’n stad. Shoshana Zuboff, emiritus hoogleraar aan de Harvard Business School, is hier een goed voorbeeld van. “Dit is een dry run voor een city waar democratie verleden tijd is. Van wie is de data? En hebben gebruikers hier iets over te zeggen? Willen we een samenleving waarin alles is ge-automatiseerd?”

In haar nieuwe boek: The Age of Surveillance Capitalism beschrijft ze een vorm van kapitalisme waarin bedrijven gebruikers volgen door data te verzamelen, hiermee hun gedrag voorspellen en deze informatie doorverkopen: “Surveillance capitalists claimen menselijke ervaringen, zoals een wandeling met de hond, als ruwe data die ze vertalen in behavioural data. Met machine learning worden dit prediction products, die voorspellen wat je nu, later en ooit zal doen. Met het verhandelen van deze voorspellingen verdienen ze grof geld.”

In haar boek vergelijkt ze het verdienmodel van techreuzen met dat van grote fabrieken in de twintigste eeuw, waar de grote spelers toen flink profiteerden van goedkope arbeid en de uitvinding van stoommachines. Het enige wat telde was de winst. Zuboff ziet zoiets ook nu gebeuren: “Het maakt deze bedrijven niet uit of jij gelukkig wordt van hun app of dienst, het gaat ze om de data die je produceert als je hun producten gebruikt. Om de voorspellingen die ze ermee kunnen maken over jouw gedrag en het geld dat het hen oplevert. Privacy is hen vreemd.”

Mensen die er toch ‘intrappen’ en zonder erbij stil te staan een knopje met akkoord aanklikken, roepen als verdediging ‘dat ze toch niets te verbergen hebben’. Zuboff zucht diep voordat ze antwoordt: “Onzin. Als je niets te verbergen hebt ben je niets. Wat drijft jou als persoon? Wat motiveert je? Wat zijn je dromen? Het gaat erom wie je bent als mens, je innerlijke drijfveren. Het probleem is ook dat dit soort bedrijven alles weten over jou, maar hun processen zijn zo ontworpen dat jij zo min mogelijk over hun werkwijze weet. Dat zorgt voor een oneerlijke situatie. De machtsverdeling die uit deze kennis voortkomt is niet gelijk.”

Alles bij de bron; IO


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha