In de zogeheten smart cities worden dagelijks grote hoeveelheden gegevens verzameld. Terwijl een groot deel van de verzamelde gegevens betrekking heeft op bijvoorbeeld het verkeer of de luchtkwaliteit van de stad, worden ook regelmatig persoonsgegevens verzameld, zowel door private als door publieke partijen. In hoeverre mogen deze persoonsgegevens worden hergebruikt in de context van smart cities? Prof. mr. dr. ir. Bart Custers, hoogleraar Law and Data Science aan de Universiteit Leiden, gaat in op deze vraag.
Hieronder leest u het voorwoord, de samenvatting en de aanbevelingen van het essay ‘Hergebruik van gegevens in smart cities’ dat voortkwam uit bovenstaande vraag. De volledige versie van het essay treft u in de essaybundel ‘Behoorlijk datagebruik in de openbare ruimte’, dat in oktober 2019 werd gepubliceerd door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Het Leer- en Expertisepunt Datagedreven werken (LED) denkt dat de essays uit deze bundel juist in deze tijd – waarin apps mogelijk worden ingezet als hulpmiddel in de strijd tegen het coronavirus – het lezen waard zijn. Daarom brengen we de essays nog eens onder de aandacht.
Alles bij de bron; DigitaleOverheid
Meerdere harde schijven met medische gegevens van ruim zevenhonderd patiënten zijn vorige maand gestolen uit het Universitair Medisch Centrum in Utrecht. Naast medische dossiers staan op de schijven onder andere burgerservicenummers en namen opgeslagen.
Het ziekenhuis heeft de patiënten ingelicht en de Autoriteit Persoonsgegevens op de hoogte gesteld. Tevens is aangifte gedaan bij de politie.
De diefstal vond plaats op 18 april, toen werd ingebroken bij de polikliniek interne geneeskunde en de polikliniek allergologie. Op die afdelingen werden tien computers opengebroken, waarna de dieven er vandoor gingen met de harde schijven, maar ook processoren en geheugenbanken werden ontvreemd. De gegevens op de gestolen harde schijven zijn afgeschermd met een gebruikersnaam en wachtwoord.
Alles bij de bron; Beveiliging
De Belastingdienst haalt met spoed de selectie van nationaliteit uit het eigen controlesysteem bij de inkomstenbelasting. Nationaliteit had vorig jaar al verwijderd moeten zijn, maar dit blijkt niet te zijn gebeurd.
Dit melden de staatssecretarissen Vijlbrief (Belastingdienst) en Van Huffelen (Toeslagen) in een brief aan de Tweede Kamer. Ze kwamen erachter dat nationaliteit ondanks eerdere beloften nog steeds werd gebruikt, ook als dit tegen de wet was. Het gaat hierbij om het selecteren van nationaliteiten bij extra controle op de voorlopige aanslag. Deze selectieregel wordt vanaf vrijdag daarom alsnog halsoverkop verwijderd. Zaterdag moet dit afgerond zijn.
Uit de brief blijkt verder dat de Belastingdienst zelf geen goed zicht heeft of gegevens over eerste en tweede nationaliteit van belastingplichtigen nog verstopt zitten in de eigen systemen. Centraal is die informatie eerder verwijderd. Eind vorig jaar is onderzoek gedaan naar 'lokale' selectiemodellen bij onderdelen van de dienst. Het gaat daarbij om risicomodellen, selectieregels en 'queries' (uitdraaien) op basis van eerste of tweede nationaliteit, en of er hierbij sprake was van 'vooringenomenheid' van de fiscus.
De bewindslieden melden verder dat zij de Autoriteit Persoonsgegevens (AP) inmiddels hebben geïnformeerd over het selecteren op tweede nationaliteit in de jaren 2012 – 2015. Tot dusver is altijd ontkend dat (tweede) nationaliteit een rol speelde in extra controle en toezicht. De staatssecretarissen herhalen etnisch profileren ten strengste af te wijzen. In de Kamer is zeer kritisch gereageerd op het 'institutioneel racisme' van de Belastingdienst.
Alles bij de bron; RTL
Onlangs ontving Jones Joseph (46) een mail van zijn baas. Al weken werkt de marktonderzoeker uit Delhi vanuit huis, zijn kantoor is gesloten vanwege het coronavirus en de lockdown waarin India sinds eind maart verkeert. Maar nu het einde van die lockdown nadert, was het tijd na te denken over hun terugkeer, mailde zijn baas.
Te beginnen met De App. „We moeten allemaal de corona-app van de regering downloaden”, zegt Joseph over de telefoon. „Anders mogen we het kantoor niet in.”
Aarogya Setu, vrij vertaald ‘gezondheidsbrug’, is India’s variant op het groeiende aantal contacttraceringsapps die landen inzetten om de verspreiding van het virus tegen te gaan. Via bluetooth en locatiegegevens houdt de app bij waar mensen zijn geweest en met wie ze in contact kwamen, om hen zo te kunnen waarschuwen als ze mogelijk ziek zijn. Inmiddels heeft de app bijna 95 miljoen gebruikers.
Jones Joseph hoort daar nog niet bij. Een app die al je bewegingen en contacten bijhoudt, zit de marktonderzoeker niet lekker. En al helemaal niet als het hem wordt opgedrongen door een regering aan wiens intenties hij „sowieso twijfelt”. „Andere landen zijn transparant en geven hun broncodes vrij, hier weigeren ze dat.”
Terwijl Aarogya Setu’s algoritmes straks bepalen in hoeverre Joseph een risicofactor is en daarmee of hij bijvoorbeeld straks nog wel naar kantoor mag. „Waarom zou ik vrijwillig mijn vingers in het stopcontact steken?”, vraagt hij. „Zo gevaarlijk voelt dit.”
Lang kan Joseph zijn opstandigheid niet volhouden, dat weet hij ook. De mail van zijn baas volgde op een bevel van het ministerie van Binnenlandse Zaken. „Het hebben van de Aarogya Setu-app is vanaf heden verplicht voor werknemers in zowel de publieke als private sector”.
Eerder al werd Aarogya Setu verplicht voor het leger en ambtenaren op ministeries. Ook de honderdduizenden Indiërs die de komende weken gerepatrieerd worden, moeten de app downloaden. Verwacht wordt dat net als in China na de lockdown straks ook een ritje met de metro of bus niet zonder de app zal gaan. Of het reizen naar een andere staat.
In Noida, een satellietstad van hoofdstad Delhi, ging de politie nog een stap verder. Daar riskeren inwoners die de app niet hebben en gebruiken – in het geval ze een smartphone hebben – sinds kort een boete van 1.000 roepies, zo’n 12 euro of ‘bij herhaling’ zelfs een gevangenisstraf die kan oplopen tot zes maanden.
Dit hebben we eerder gezien, verzucht advocaat en grondwet-deskundige Gautam Bhatia. „Zo ging het precies bij Aadhaar.” Aadhaar: het digitale identificatienummer dat in 2010 werd geïntroduceerd en waarvoor Indiërs hun vingerafdrukken en irisscans moesten afgeven. Inmiddels hebben 1,25 van de ruim 1,3 miljard Indiërs dat gedaan.
Ook dat begon vrijwillig, zegt Bhatia. Maar gaandeweg werd het hebben van Aadhaar de sleutel tot vrijwel alles: van het openen van een bankrekening tot het kopen van treinkaartjes. „Dat was een sluipend proces van jaren”, zegt de advocaat. „Wat we zien is dat de pandemie dat flink versnelt.”
Aadhaar werd geplaagd door meerdere veiligheidslekken. Privacy-experts waarschuwen dat dat gevaar opnieuw dreigt en dat de app bovendien de deuren opent naar nieuwe vormen van surveillance door de regering. Vooral omdat India geen aparte datawet noch een onafhankelijke toezichthouder heeft die de privacy van gebruikers beschermt.
Alles bij de bron; NRC
Ook in tijden van Corona volgt Google je waar je ook gaat. Het bedrijf verzamelt massaal al onze locatiegegevens en kan zo grafieken maken hoe goed we ons aan de opgelegde maatregelen houden. Google presenteert dit als een bijdrage aan de bestrijding van de crisis. Kan Google een jarenlange praktijk legitimeren waarin het schenden van onze privacy centraal staat? Niet als het aan ons ligt.
Uw partner moet 1,5 meter afstand houden, terwijl Google u naar het toilet begeleidt. Google reist overal met ons mee in onze zak en verzamelt intieme gegevens over ons. Op basis van deze gegevens weet het bedrijf niet alleen waar je naartoe gaat, maar ook wat je daar doet en met wie. Dat is niet nieuw; Google doet dit al jaren. En het bedrijf ligt ook al jaren onder vuur.
Nieuw is de mogelijkheid die een crisis als deze biedt om deze massale bewakingspraktijken te legitimeren. Door deze gegevens te delen, krijgt Google de rol van welwillende helper, in plaats van hardnekkig bekritiseerde datagrabber. Door termen als 'geanonimiseerd' en 'geaggregeerd' te gebruiken, wordt de massasurveillance van Google gefineerd met iets wat op privacy lijkt. Maar we moeten niet vergeten dat Google's gegevensinzichten bestaan uit de gegevens van miljoenen mensen die door Google op individueel niveau worden gevolgd.
De gegevens en inzichten die Google aan overheden verstrekt, zijn interessant omdat zij deze kunnen gebruiken om hun beleid daarop af te stemmen. Als uit de gegevens blijkt dat het aantal parkbezoeken in Groningen de afgelopen weken is toegenomen, kan de stad ervoor kiezen om het toezicht in de parken op te voeren. Of misschien worden er extra boetes uitgeschreven om mensen af te schrikken. In theorie zou het zelfs mogelijk zijn om een score te maken van hoe goed uw gemeente aan de maatregelen voldoet, en deze score te gebruiken bij de afweging of u wel of niet een plekje in de IC krijgt. Welke toepassing vinden wij acceptabel? En wie bepaalt dat? Google?
Iedereen begrijpt dat het in crisissituaties nodig kan zijn om uitzonderlijke beleidsmaatregelen te nemen. Gegevens zijn nodig om de situatie te begrijpen en problemen op te lossen. Het is belangrijk dat de gegevens die door de overheid in de hele keten worden gebruikt, correct en integer worden verzameld. Als de overheid in de valkuil loopt van het gebruik van onrechtmatig verzamelde gegevens, legitimeert zij het massale toezicht op haar burgers en maakt zij onze volksgezondheid, nu en in de toekomst, afhankelijk van buitenlandse multinationals. Snelle oplossingen kunnen ook snel leiden tot langdurige problemen.
Alles bij de bron; BitsOfFreedom [Vertaald met www.DeepL.com/Translator (gratis versie)]
Privacy mag niet het volgende slachtoffer van het coronavirus worden, zo stelt mensenrechtenorganisatie Amnesty International. De organisatie maakt zich met name zorgen over plannen van de Britse overheid om een gecentraliseerde corona-app voor bron- en contactonderzoek in te zetten, waarbij data in een centrale database wordt verzameld.
Dit zou volgens Amnesty de deur openen voor wijdverbreide overheidssurveillance en privacyschendingen, met mogelijk discriminerende gevolgen. Amnesty is niet tegen het gebruik van apps en andere technologie, maar stelt wel dat de privacy moet zijn gewaarborgd. "In deze buitengewone tijd kunnen contactonderzoek-apps en andere technologie nuttig zijn in de aanpak van corona, maar onze privacy en rechten moeten niet het volgende slachtoffer van het virus worden", aldus de mensenrechtenorganisatie, die toevoegt dat corona-apps altijd vrijwillig moeten zijn, zonder stimulering of straffen.
Alles bij de bron; Security
De Britse gezondheidsdienst NHS start de test van de corona-app vandaag op het eiland Wight, een eiland met zo'n 142.000 inwoners aan de zuidkust van Engeland. Volgens de BBC gaat het om een contactenapp, die continu door middel van bluetooth registreert met wie de gebruiker in contact is gekomen. Wanneer iemand via de app doorgeeft geïnfecteerd te zijn met het virus, krijgen gebruikers die een hoog risico lopen op een infectie, een melding. Het systeem baseert wie een hoog risico loopt, op factoren als hoe vaak of hoe lang iemand in aanraking is geweest met de geïnfecteerde persoon.
De bluetooth-handshakes worden volgens de Britse publieke omroep naar een centrale server gestuurd, die in het VK staat. Daar wordt ook besloten wie een melding moet krijgen, als blijkt dat iemand geïnfecteerd is.
De ontwikkelende partij NHSX - een onderdeel van de NHS - zegt dat deze aanpak voordelen heeft ten opzichte van een gedecentraliseerd systeem. Zo zou de dienst op deze manier geografische hotspots kunnen herkennen, waar het virus sterk aan het verspreiden is. Ook zouden de ontwikkelaars met de data de werking van de app kunnen verbeteren, om het risicomodel zo accuraat mogelijk te maken. Met de gegevens zou de dienst daarnaast meer over het virus te weten kunnen komen.
Alles bij de bron; Tweakers
De Wet Gegevensverwerking door Samenwerkingsverbanden biedt volgens ons kabinet een ‘slimmere aanpak’ om ondermijnende criminaliteit in kaart te brengen. Wie echter denkt dat ‘Super SyRI’ zich enkel richt op criminele netwerken en malafide bedrijven, doet er goed aan om verder te kijken dan de communicatie vanuit de overheid omtrent deze wet...
...Alweer een tijd terug werd ik door een voormalig student van me benaderd om een presentatie te geven aan een gezelschap van het Ministerie van Binnenlandse Zaken over big data. Ik wist nog niet zo goed wat ik aan dit gezelschap ging vertellen dus ik vroeg hem of er wat betreft big data ontwikkelingen waren waarbij ik aan kon haken. ‘Finpro’ antwoordde hij, ‘Finpro is de heilige graal van big data bij de overheid’. Na een korte queeste kwam ik uit op het volgende.
Finpro is een big data project gestart rond 2014 waarbij verschillende partijen hun data bij elkaar brachten bij een omderzoeksbureautje van Annemieke Roobeek, destijds hoogleraar strategie en transformatiemanagement aan de Nyenrode Universiteit, de uni voor trustfundkinderen. De partijen die deze data bij elkaar brachten waren enerzijds publieke autoriteiten zoals de gemeente, de politie en het OM (de Belastingdienst wilde niet meewerken). Anderzijds waren er ook private partijen die hun gegevens hadden gedeeld, maar we weten tot op de dag vandaag niet wie, want die partijen hadden een non-disclosure agreement laten tekenen. In de wandelgangen ging rond dat het banken waren.
Door deze data aan elkaar te koppelen kon mevrouw Roobeek naar eigen zeggen ‘collectieve intelligentie’ opbouwen en stelde zij het volgende: ‘We hebben de onzichtbare onveiligheid zichtbaar gemaakt’. Ze geeft commentaar in een artikel in het Financieel Dagblad waarin ze zegt dat de criminaliteit zich afspeelt onder het oppervlakte, niet een constatering die een big data analyse behoeft, maar goed. Criminele gedragingen zorgen volgens haar voor ‘normvervaging’ en als mensen anderen rijk zien worden door dit gedrag voelen deze ‘zich ook niet meer gebonden aan de wet, en slaan, soms vanuit armoede, aan het sjoemelen met uitkeringen, toeslagen of schoolinschrijvingen’. Het gaat om mensen ‘die stelselmatig de overheid als flappentap gebruiken’.
Bovenstaande geeft een goede indicatie van de groepen mensen die door de WGS zullen worden geraakt en de bevoegdheid zoals die nu in het wetsvoorstel staat: ‘het voorkomen en bestrijden van grootschalige of systematisch onrechtmatig gebruik van overheidsgelden en overheidsvoorzieningen’. De WGS is dus geenszins een wet die alleen inzet op zware criminelen.
Bovendien ziet de WGS niet alleen op ‘bestrijden’, maar ook op voorkomen. Wie herinnert zich het verhaal van RTL van een moeder wiens toeslagen waren stopgezet en die na inzage erachter kwam dat haar toeslagen waren stopgezet, omdat ze een drugsdelict ‘zou gaan plegen’. Het voorspellen van patronen kan er ook toe leiden dat partijen menen de toekomst te kunnen voorspellen, of die nu klopt of niet. Op basis daarvan zijn beslissingen genomen waardoor mensen in zulke moeilijke posities kwamen dat er echtscheidingen, ontslagen of zelfs zelfmoorden uit volgden. Het zou de overheid passen om eerst uitvoerig uit te zoeken hoe je dergelijke misstanden kan voorkomen, in plaats van wetgeving uit te vaardigen waarin dergelijke risicovolle analyses maatschappijbreed mogelijk worden gemaakt.
Alles bij de bron; PlatformBurgerrechten
Antwoorden op Kamervragen van het Kamerlid Dijkstra (D66) over het datalek van het Donorregister. (2020Z04829)
1; Klopt het dat u op 9 maart 2020 op de hoogte bent gesteld over het datalek dat zich heeft voorgedaan bij het Donorregister, of was u hierover al eerder geïnformeerd?
Antwoord op vraag 1; Mijn ministerie is vrijdag 6 maart mondeling door de algemeen directeur van het CIBG geïnformeerd. Tijdens dit gesprek zijn afspraken gemaakt over het aanmelden van het datalek bij de Autoriteit Persoonsgegevens (AP) en is het CIBG gevraagd een brief op te stellen waarin zij uitleg geven over dit datalek. Ik heb deze brief van het CIBG op maandag 9 maart ontvangen waarna ik de Kamer op 10 maart heb geïnformeerd.
3; Op welk moment was het CIBG voor het eerst op de hoogte van de vermissing van de twee externe harde schijven? Was deze ontdekking al begin 2020 gedaan, op het moment dat begonnen werd met de vernietiging van het papieren archief?
Antwoord op vraag 3; Conform het Vervangingsbesluit Donor archief 1998–2010 CIBG zijn alle papieren gegevens vervangen door digitale kopieën. Hierdoor was het bewaren van een digitaal of papieren archief niet meer nodig. In februari 2020 is gestart met het vernietigen van het papieren archief door Doc-Direkt en het vernietigen van het digitale archief door het CIBG zelf. De vernietiging van het papieren archief was op 26 februari 2020 afgerond. Met betrekking tot het digitale archief heeft het CIBG op 20 februari 2020 ontdekt dat de externe harde schijven niet in de kluis lagen. Het CIBG heeft toen een interne zoekactie opgestart. Op 4 maart 2020 heeft het CIBG geconcludeerd dat de externe harde schijven vermist waren. Deze vermissing is op diezelfde dag door de privacy officer van het CIBG als datalek aangemerkt.
6; Van hoeveel unieke personen stonden hun persoonsgegevens op de twee vermiste harde schijven? Worden deze mensen persoonlijk van het datalek op de hoogte gesteld?
Antwoord op vraag 6; Het CIBG heeft vastgesteld dat het om 6.058.250 unieke personen gaat, inclusief personen die thans overleden zijn. Op de externe harde schijven waren 6,9 miljoen gescande registratie- en wijzigingsformulieren opgeslagen; sommige personen hebben meerdere formulieren ingediend, waardoor het aantal formulieren en het aantal unieke personen niet overeenkomt.
Alles bij de bron; RijksOverheid
De drie wijkraden in de Haarlemse binnenstad zijn een wob-procedure begonnen om de gemeente te dwingen tot openheid over de invoering van een nieuw digitaal telsysteem in de winkelstraten in het centrum. Zij hebben twijfels of de privacy van bewoners daarbij wel voldoende wordt gewaarborgd.
Bron; HaarlemsDagblad [Premium artikel]