In België komt een centraal meldpunt voor datalekken. Bedrijven, organisaties en publieke instanties die persoonsgegevens beheren, zullen verplicht worden om hacking of het accidenteel uitlekken van data binnen de 72 uur te melden. Tegelijk wordt de Privacycommissie hervormd tot een moderne Databeschermingsautoriteit, die zelfs zware boetes mag geven wanneer organisaties de privacy van burgers zouden schaden.
Dit is een noodzakelijke evolutie, waarmee ons land zich ook schikt naar nieuwe Europese regels. De maatregel komt niets te vroeg nu we wekelijks om de oren worden geslagen met nieuws over datalekken door wanbeheer en cyberaanvallen, zoals honderdduizenden patiëntengegevens van de slecht beveiligde Digitale Wachtkamer die werden gehackt.
Er zit één addertje onder het gras. De opvolger van de Privacycommissie zal van Europa de helft meer nieuwe taken moeten uitvoeren, waaronder preventieve audits bij alle databeheerders, maar de nieuwe Databeschermingsautoriteit moet dit zien te bolwerken met hetzelfde budget.
Het gaat niet goed met onze online privacy, daar zullen de meeste mensen het over eens zijn. Overheden luisteren grote groepen mensen af en grote technologiebedrijven worden rijk met het verzamelen van persoonsgegevens. Toch is nog niet alles verloren.
Privacy is een grondrecht, als je Artikel 10 uit onze Grondwet zo wil interpreteren: “Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.” Toch lijkt het alsof juist de afgelopen jaren privacy een flinke deuk heeft opgelopen. De wetten die de laatste jaren zijn doorgevoerd lijken er vooral op gericht mensen te pakken die alleen al denken of praten over iets illegaals.
Op politiek vlak lijkt het soms een hopeloze situatie. Dat is de reden dat één van de belangrijkste privacyvoorvechters vorig jaar de Tweede Kamer verliet. Astrid Oosenbrug (PvdA) vertelt verderop in dit nummer hoe de politiek vaak privacy inruilt voor andere onderwerpen als veiligheid, en dat het door onwil of weinig kennis bijna onmogelijk is om privacy op de kaart te zetten.
De Wet op Inlichtingen- en Veiligheidsdiensten werd vorig jaar opgezet. Met de wet krijgen de AIVD en de MIVD veel meer bevoegdheden. Zo mogen de inlichtingendiensten straks grote hoeveelheden data aftappen van brede groepen burgers, ook van mobiele communicatie. Ook nam de Tweede Kamer de Wet Computercriminaliteit III vorig jaar aan. Die wordt ook wel de ‘terughackwet’ genoemd, omdat de politie volgens de wet mag inbreken op de computers van verdachten. Rechercheurs mogen zo keyloggers of andere malafide software installeren. Ook mag de politie gebruik maken van zero-days om op software in te breken.
Toch lijkt niet alles verloren, want buiten de Tweede Kamer zijn er genoeg actiegroepen die heel effectief strijden voor privacy. Een andere belangrijke ontwikkeling is dat steeds meer mensen zich in ieder geval bewust worden van wat overheden en bedrijven allemaal weten. Dat bewustzijn groeit wel degelijk, zeggen experts. Het aantal diensten en apps dat zich richt op privacy en veiligheid groeit onmiskenbaar.
Privacy is een fenomeen dat al duizenden jaren bestaat, maar door de snelle technologische vooruitgang verandert de invulling van het begrip in rap tempo. Dat betekent gelukkig ook dat privacy niet snel ‘dood’ zal zijn. Wel krijgt het een andere vorm. Welke dat is, is nu nog niet te voorspellen.
In Scandinavië en Duitsland is de bescherming van je privacy een hot topic. Daar maken ze zich zorgen over hoeveel informatie bedrijven en overheden online over je verzamelen en wat ze daar allemaal mee kunnen doen. Wij Nederlanders maken ons echter niet zo druk. We hebben tenslotte niets te verbergen. We zijn toch niet crimineel, hebben onze zaakjes op orde en houden er geen dubieuze hobby’s op na. Nee, niets te verbergen. Of toch wel?
Eigenlijk is het te gek voor woorden dat je voortdurend moet verantwoorden waarom de overheid niet alles van je mag weten. Het lijkt namelijk alsof privacy het dan altijd verliest van bijvoorbeeld terrorisme. Het feit dat je je privacy wilt behouden, speelt vooral in op een gevoel: het gevoel dat niet iedereen alles van je hóeft te weten als je dat niet wilt. Astrid Oosenbrug (PvdA), vertelde onlangs: “Google en Facebook hoef je niet te gebruiken, er zijn alternatieven. Maar bij de overheid kan dat niet, daar is het vaak verplicht. Bovendien gaat het vaak om gevoeligere gegevens, zoals je BSN”.
Eén van onze belangrijkste bezwaren tegen de dataverzameling is de slechte beveiliging. De overheid verzamelt van alles maar blijkt lang niet altijd in staat te zijn dit geheim te houden voor – potentieel kwaadwillende – individuen dan wel georganiseerde misdaad. En doordat de overheid ook je BSN aan gegevens koppelt, ligt identiteitsfraude of gegevensdiefstal op de loer.
Tegelijkertijd zijn er talloze voorbeelden waarom het wel degelijk gevaren kan opleveren. Een hypothetische situatie: er wordt in meerdere gemeentes gebruikgemaakt van kenteken-parkeren. Hiervoor rijdt een scanauto rond, die registreert welke auto waar staat. Stel dat jij je auto had geparkeerd in straat X, waar op die dat ook een misdrijf wordt gepleegd. Jij was stiekem in de stad om te kijken naar trouwringen, dus wilt niet dat iemand weet dát jij daar was en waarom. De politie komt aan de deur en vraagt jou waarom je daar bent geweest. Je toekomstige vrouw staat ernaast, dus je twijfelt bij het vertellen of je daar was en waarom dan. Direct ben je verdacht!
Reeds enige tijd is er een discussie gaande tussen de directie van TSN en de COR over de toepassing van wet- en regelgeving m.b.t. de privacy van een personeelslid c.q. de recherche-activiteiten van TSN. Het gaat daarbij vooral om het onderzoek door TSN naar vermeend oneigenlijk gebruik van de IT-systemen door een personeelslid.
Deze discussie heeft vooralsnog niet tot een oplossing geleid van het verschil in inzicht dat zij daarover hebben. Daarom hebben de directie van TSN en de COR gezamenlijk besloten om een externe deskundige te raadplegen. Zowel over de in te schakelen externe deskundige als over de formulering van de opdracht is er overeenstemming tussen de directie van TSN en de COR. Onlangs is deze externe deskundige gestart met zijn onderzoek.
Hij onderzoekt niet alleen de theorie maar ook de praktijk. Zowel naar de regelingen zoals zij op papier staan, als naar hoe Tata Steel het vermeende oneigenlijk gebruik van de IT-systemen daadwerkelijk onderzoekt wordt door hem gekeken. Daartoe voert hij gesprekken met functionarissen van het bedrijf en met leden van de ondernemingsraden. Het is de bedoeling dat hij zijn onderzoek naar recherche-activiteiten van Tata Steel voor de volgende COVL op 5 juli 2017 heeft afgerond. In deze COVL kunnen de directie van TSN en de COR dan de resultaten van dit onderzoek bespreken.
Wat mag je eigenlijk aan een sollicitant vragen over zijn gezondheid en wat niet? En hoe zit dat bij zieke werknemers? Schending van de privacy van (potentiële) werknemers kan leiden tot torenhoge boetes. Sprout-expert Annelieke Fenstra zet de belangrijkste do´s en dont´s op een rij...
De privacy van een zieke werknemer komt snel in het gedrang. Het is niet toegestaan te vragen naar de aard of de oorzaak van de ziekte. Ook mag je niet vragen naar de beperkingen en mogelijkheden van de werknemer.
Je mag wèl vragen naar: - het telefoonnummer en het (verpleeg)adres waar de werknemer te bereiken is; - de vermoedelijke duur van het ziekteverzuim; - de lopende afspraken en werkzaamheden (zodat je andere werknemers eventueel de werkzaamheden kunt laten waarnemen); - of de werknemer onder een vangnetbepaling van de Ziektewet valt (maar niet onder welke), en - of de ziekte het gevolg is van een arbeidsongeval of een verkeersongeval waarbij een aansprakelijke derde betrokken is (in verband met mogelijk regres).
Let op: Geeft jouw zieke werknemer (ongevraagd) meer informatie over zijn gezondheid? Deze extra informatie mag over het algemeen niet worden opgenomen in de administratie of verstrekt worden aan de bedrijfsarts of arbodienst.
Als werkgever moet je je inspannen om de werknemer zo spoedig mogelijk te laten re-integreren. Je bent verplicht je hierin te laten bijstaan door een bedrijfsarts of arbodienst. De bedrijfsarts of arbodienst verwerkt veel informatie over de gezondheid van werknemers. Zij mogen niet onbeperkt informatie hierover verwerken of verstrekken aan de werkgever. De bedrijfsarts of arbodienst mag slechts informatie verstrekken die de werkgever nodig heeft bij loondoorbetaling, begeleiding en re-integratie.
Het gaat dan om informatie over: - de werkzaamheden die de werknemer wel of niet kan uitvoeren; - de verwachte duur van het ziekteverzuim; - de mate van arbeidsongeschiktheid, en - eventuele aanpassingen of voorzieningen die de werkgever moet verzorgen.
Met de privacy van werknemers moet dus door werkgevers zeer zorgvuldig worden omgegaan. Doe je dat niet dan zet je de verhouding op het spel en loop je bovendien het risico dat je diep in de buidel moet tasten als je wordt beboet door de Autoriteit Persoonsgegevens.
CIP is het expertisecentrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties. Het heeft zich ontwikkeld tot een publiekprivate netwerkorganisatie, waarin ook deskundige marktorganisaties als kennispartners deelnemen.
Het CIP is opgericht door vier grote uitvoeringsorganisaties: Belastingdienst, DUO, SVB en UWV. Inmiddels bestaat het CIP-netwerk uit een groot aantal overheidsorganisaties en Kennispartners. Kennis die in deze organisaties aanwezig is op het vlak van informatiebeveiliging en privacybescherming wordt binnen de samenwerking in het CIP gedeeld en toegankelijk gemaakt. Op deze manier leren de aangesloten organisaties van elkaars oplossingen en werkwijzen en kunnen, samen komen tot afspraken daaromtrent. Dit alles in het belang van de informatieveiligheid van de overheidsdienstverlening.
CIP-Overheid heeft de AVG compliant Privacy Suite “Grip Op Privacy” vrijgegeven. In de Privacy Suite is de Europese wetgeving (AVG) verteerbaar gemaakt in een tweetal praktische handreikingen en een tool waarmee u het niveau van volwassenheid in uw organisatie in kaart brengt, bespreekbaar maakt en dat u kunt helpen met gerichte maatregelen die u op een door u gewenst niveau brengen. De onderdelen zijn:
De Privacy Baseline geeft organisaties concrete handvatten voor de omgang met privacy: de eisen van de AVG zijn vertaald naar concrete, hanteerbare normen die duidelijk maken wat organisaties moeten regelen om compliant te zijn met de wet en daarmee de privacy van de burgers te waarborgen.
Deze handleiding biedt ontwerpers een bibliotheek met ontwerpkeuzes en oplossingen in het enerzijds formele en anderzijds creatieve proces, om te komen tot een ontwerp dat op een passende wijze invulling geeft aan de privacy vereisten, zoals die in AVG zijn beschreven en in de Privacy Baseline concreet zijn gemaakt."
Het Privacy Volwassenheidsmodel vormt daarmee een maatlat, waarlangs de volwassenheid van de organisatie gemeten kan worden in de mate waarin privacybescherming organisatie breed is afgedekt, maar vooral juist om de organisatie te laten groeien. De selfassessment tool is bedoeld om als managementinstrument te gebruiken. Managers vullen die in, al of niet met hun afdeling, en hanteren de uitkomsten als gespreksonderwerp, waarbij desgewenst nog een integrale groepsinvulling wordt gemaakt. Het te bereiken volwassenheidsnivo kan zelf bepaald worden en de tool geeft een advies op basis van de privacy baseline wat er nog moet gebeuren voor een volgend niveau.
De essentie van privacy is dat informatie over ons doen en laten binnen de oorspronkelijke context blijft. Wat we aan onze huisarts vertellen moet niet ineens opduiken in de supermarkt. Leerlingen mogen op school fouten maken zonder dat derden die informatie buiten de school voor andere doeleinden gebruiken.
Wanneer we privacy zo omschrijven, is iedereen er voorstander van. We zijn de afgelopen jaren echter bestookt met demagogische uitspraken als: ‘Privacy is de schuilplaats van het kwaad’ en ‘Wie niks te verbergen heeft, heeft ook niks te vrezen’. Dit doet geen recht aan het subtiele karakter en het grote maatschappelijke belang van privacy. Ons functioneren als vrije, autonome individuen staat of valt met privacy. Hoe kunnen we die beschermen?
Om de problemen te verduidelijken, presenteer ik hier stellingen, drogredeneringen en ten slotte aanbevelingen voor het nieuwe kabinet (en onszelf).
Stellingen
1. Gegevensstromen bepalen wie de macht heeft
2. Privacybescherming kan niet zonder digitale technieken
3. De politiek kan ICT-ontwikkelingen wel degelijk reguleren
4. Achteraf gezien is het optimisme over vrijheid en transparantie door internet naïef
Drogredeneringen
1. Iedereen zet toch immers z’n hele hebben en houwen op Facebook?
2. We zoeken een balans tussen veiligheid en privacy
3. We kunnen doen wat we willen, want de gebruiker is akkoord
4. We moeten al uw gegevens hebben voor betere gezondheidszorg
5. Als we die data niet mogen verwerken, leggen we het af tegen onze Amerikaanse concurrenten
6. We tonen u uitsluitend advertenties die u wilt zien
To do
1. Beschouw privacy en gegevensbescherming als ‘het nieuwe groen’
2. Maak gegevensbescherming onderdeel van de cybersecurity-agenda
3. Bescherm mensen, soms zelfs tegen zichzelf
4. Herken en bescherm ‘de publieke zaak’ in de digitale wereld
5. Introduceer nieuwe rechten om informatie te ontvangen zonder toezicht en profilering
6. Behandel grote ICT-ondernemingen als nutsbedrijven en dwing ze tot opsplitsing
