Het Europese Hof van Justitie moet een antwoord geven op een belangrijke vraag rondom de privacywet: mag je geld verdienen met het verkopen van persoonlijke gegevens? Het lijkt zo simpel, maar het is aan de hoogste Europese rechter om dat echt te bepalen.

De bestuursrechter in Amsterdam heeft enkele belangrijke vragen over wat het 'gerechtvaardigd belang' precies inhoudt, doorverwezen naar het Europese Hof van Justitie. Voordat we die wat droge juridische term uitleggen, is het goed om de achtergrond van de zaak te kennen.

Die ligt bij een boete voor de Koninklijke Nederlandse Lawn Tennisbond. In maart 2020 kreeg die sportvereniging een hoge boete van de Autoriteit Persoonsgegevens. Die had meer dan een jaar eerder klachten ontvangen van leden van de bond die waren benaderd door sponsors van de Knltb. Hoe waren die sponsors aan de gegevens van de leden gekomen? Al snel bleek de Knltb die zelf aan de sponsors te hebben gegeven.

Op het eerste gezicht is dat vreemd. Is de hele privacywet niet juist opgezet om burgers te beschermen tegen dit soort dataverkoop? Dat is lang geen uitgemaakte zaak; het is zelfs iets waarover juristen al lange tijd discussiëren. Het draait specifiek om het gerechtvaardigd belang en wat daar wel en niet onder kan en mag vallen.

Alles bij de bron; Tweakers [+artikel, inloggen noodzakelijk]


 

Minister Kuipers van Volksgezondheid laat een privacyonderzoek uitvoeren of de vaccinatiedata van het RIVM voor onderzoek naar de oversterfte in Nederland kan worden gedeeld. Daarnaast kijkt de minister naar een wetswijziging om de regels voor het delen van gezondheidsgegevens voor wetenschappelijk onderzoek te verduidelijken. Dat schrijft Kuipers in een brief aan de Tweede Kamer.

Onlangs werd bekend dat onderzoekers een motie van de Tweede Kamer naar de oversterfte in Nederland niet kunnen uitvoeren omdat het RIVM en de GGD'en gegevens hierover niet vrijgeven. De instanties claimen dat ze de cijfers vanwege de AVG niet mogen delen. 

"Dit gaat om bijzondere persoonsgegevens die ik wil delen met het CBS. Met deze gegevens moet met de grootst mogelijke zorgvuldigheid worden omgegaan. Dit betekent ook dat de datatoegang moet passen binnen de wettelijke kaders, onder andere ten aanzien van het borgen van privacy", legt Kuipers uit. De bewindsman voegt toe dat de uitkomsten van onderzoeken niet herleidbaar mogen zijn tot individuen. Een mogelijke optie die de minister voorstelt is het gebruik van de remote access-omgeving van het Centraal Bureau voor de Statistiek (CBS). Onderzoekers krijgen binnen deze omgeving toegang tot onderzoeksbestanden die ontdaan zijn van persoonlijke gegevens.

Het is echter de vraag of de vaccinatiegegevens van het RIVM mogen worden gedeeld. Volgens Kuipers staat dit mogelijk op gespannen voet met de toestemming die mensen aan GGD’en, huisartsen en instellingsartsen hebben gegeven voor het verstrekken van hun gegevens aan het RIVM en voor welke doeleinden het RIVM die gegevens vervolgens mag gebruiken. Er moet dan ook worden uitgezocht of de toestemming die mensen hebben gegeven voor het delen van hun gegevens met het RIVM het mogelijk maakt om die data vervolgens voor het onderzoek naar oversterfte te gebruiken.

Hiervoor laat de minister een gegevensbeschermingseffectbeoordeling, ook wel een Data Privacy Impact Assessment (DPIA), uitvoeren. Het privacyonderzoek moet over zes weken zijn afgerond, waarna de Tweede Kamer over de resultaten en verdere aanpak wordt geïnformeerd.

Naast de data van het RIVM zijn er ook nog de coronatestgegevens die de GGD'en hebben verzameld. Of deze data mag worden gedeeld voor het oversterfte-onderzoek is onduidelijk. "De wil om de data te delen is er ook hier bij alle partijen, maar er moet worden uitgewerkt hoe dit binnen de huidige wetgeving ingeregeld kan worden. Ik blijf hierover met de GGD’en in gesprek, waarbij onze inzet is om ook voor de testdata te komen tot een gedegen risicoafweging met inachtneming van de vereisten van de AVG", merkt Kuipers op.

Om dit soort situaties in de toekomst te voorkomen wil de minister kijken naar mogelijkheden om een wetswijziging of andere middelen in te zetten om de wettelijke basis en het kader voor deling van gezondheidsgegevens voor wetenschappelijk onderzoek, binnen de regels van de AVG, te verduidelijken.

Alles bij de bron; Security


 

Online petities van politieke partijen lijken op het eerste gezicht onschuldig.

Maar die vele petities over 'het recht op abortus' of 'goedkoper tanken'  dienen eigenlijk zelden om ergens een verschil te maken. Meer nog, ze worden niet eens aanvaard in het federaal of Vlaams parlement.

De politieke partijen willen enkel uw gegevens en als gebruiker weet je amper waar die voor worden gebruikt en hoe lang ze worden bijgehouden, blijkt uit steekproef van VRT NWS en het Radio1-programma 'Het Uur van de Waarheid'. Privacyregels vragen nochtans dat dat allemaal helder wordt aangegeven én uitgelegd...

...Sofie Royer is onderzoeksexpert strafrecht en technologie aan de KU Leuven en kan niet duidelijker zijn: “Het is alleszins een slinkse manier om data van mensen te verzamelen, zeker omdat je als politieke partij wetsvoorstellen kan indienen via het parlement en daarvoor geen petities of handtekeningen van burgers nodig hebt. Al is dat wel vooral een moreel bezwaar tegen die petities.”

Alles bij de bron; VRTNieuws [thnx-2-Niek]


 

De Amerikaanse toezichthouder FTC heeft datahandelaar Kochava aangeklaagd voor de verkoop van locatiegegevens van honderden miljoenen telefoons, waardoor mensen gevaar zouden lopen. Met de data van Kochava is het mogelijk om te zien dat personen "gevoelige locaties" hebben bezocht, zoals afkickklinieken of daklozen- en crisiopvang, aldus de FTC.

Door de verkoop van deze locatiegegevens heeft Kochava het mogelijk gemaakt voor anderen om personen te identificeren waardoor die aan allerlei risico's konden worden blootgesteld, zo stelt de toezichthouder.

Alles bij de bron; Security


 

Dr. Johnny Ryan, senior fellow van de Ierse Raad voor Burgerlijke Vrijheden, beschuldigt samen met twee Amerikaanse privacy-activisten Oracle ervan op grote schaal dossiers over burgers te verkopen. Daarin zou informatie staan over onder meer hun politieke denkbeelden en online aankopen. Oracle zou ook externe ‘makelaars in data’ toestaan allerlei persoonlijke informatie die zonder toestemming van betrokken burgers is verkregen, via de Oracle Data Marketplace te verhandelen.

De privacy-activisten wijzen op claims van Oracle in het verleden. Al in 2016 zei Oracle-topman Larry Ellison dat over vijf miljard burgers gedetailleerde dossiers zijn vergaard. En momenteel claimt Oracle van 115 miljoen huishoudens precies te weten hoe ze leven. 

Oracle’s dossiers over mensen bevatten namen, thuisadressen, e-mails, online aankopen en in de fysieke wereld bewegingspatronen, inkomensgegevens, politieke standpunten en gedetailleerde overzichten van iemands online activiteiten.

TechCrunch kwam er achter dat Oracle zelfs wist dat een Duitser met een prepaid debit card op een bepaalde datum tien euro inzette op een site voor esports-weddenschappen. Volgens Johnny Ryan schendt Oracle de privacy van miljarden wereldburgers. Hij zegt dat Oracle op een gevaarlijke missie zit om precies te volgen hoe mensen bewegen en wat ze doen en wil Oracle’s wereldwijde surveillance-machine tot staan brengen.

Alles bij de bron; Computable


 

De meerderheid van de apps die de menstruatiecyclus tracken, verzamelen grote hoeveelheden gevoelige data en delen die vervolgens met derde partijen. Dat moet blijken uit een studie van Mozilla, de non-profit die je vooral kent van de Firefox browser. In de studie bekeken de onderzoekers tien zwangerschapsapps, tien menstruatietrackers en vijf wearables.

Van de onderzochte apps waren er zeven die zich aan de nodige regels rond veiligheid van gebruikersdata en privacy hielden. De meerderheid verzamelden echter persoonlijke gegevens en verkochten die dan door aan data brokers en adverteerders. Nog uit de studie moet blijken dat acht van de apps niet aan de minimumvereisten voor beveiliging voldeden en bijvoorbeeld zwakke wachtwoorden zoals '1' toelieten. De meeste apps maakten bovendien niet duidelijk of ze die gevoelige data ook met de politie zouden delen als daarom gevraagd wordt.

Bij de toestellen en apps die redelijk uit de test komen zitten onder meer de wearables van Garmin, Apple en Fitbit. De app Euki, van een non-profit voor vrouwen, krijgt ook de volledige goedkeuring. Daar wordt alle data lokaal opgeslagen. De app laat zelfs toe om een vals wachtwoord in te geven, waarna de gebruiker een set valse gegevens te zien krijgt. Andere apps, zoals Glow&Eve en Sprout krijgen dan weer het label 'super eng'. Die laatste lijkt zelfs helemaal geen privacybeleid te hebben.

Alles bij de bron; DataNews


 

De techindustrie is altijd bezig om de samen­leving het Volgende Grote Idee te verkopen. Eén daarvan is de smart city. Volgens IBM is de utopische slimme stad er één van “instrumentatie, interconnectiviteit en intelligentie”, of in normale mensentaal: een stad die (automatisch) bestuurd wordt op basis van data die continu verzameld worden door een uitgebreid netwerk van sensoren. Opvallend is dat in deze stad geen mensen, maar data centraal staan. Waar komt dit misplaatste vertrouwen in data toch vandaan?,..

...de term smart city werd door IBM in een marketingcampagne geïntroduceerd, en is dus niet veel meer dan een excuus om hun technologie te verkopen aan overheden...

...Ik vermoed dat de smart city zo aantrekkelijk is, omdat het op zich geen gek idee is om meetgegevens te gebruiken om tot betere beslissingen te komen.

Het was bijvoorbeeld slim toen er in 2020 kleinschalig werd begonnen met rioolwateronderzoek om de verspreiding van het coronavirus te meten. Die informatie bleek zo nuttig te zijn dat inmiddels in opdracht van het ministerie van VWS rioolwater uit heel Nederland op deze manier onderzocht wordt.

Jammer genoeg wordt er door zulke successen al gauw gedacht dat het ook nuttig zal zijn om doelloos van alles en nog wat te gaan meten. Zo staat er nu op de website van het RIVM: “Rioolwater kan mogelijk in de toekomst op lokaal, regionaal en landelijk niveau informatie leveren over obesitas, diabetes, bepaalde vormen van kanker, medicijn- en drugsgebruik, microplastics en bestrijdingsmiddelen”.

Wat zou precies het doel van deze dataverzameling zijn? Wil het ministerie van VWS een dikke-mensenalarm gaan maken? Gaan er hele wijken gescreend worden als er sporen van kanker in het rioolwater gevonden worden? 

Dit is niets anders dan de nutteloze datahonger die Google al in Toronto tentoonstelde. En juist daarom put ik hoop uit de overwinning van Toronto op Google. Want heel misschien is het Volgende Grote Idee wel dat mensen belangrijker zijn dan data.

Alles bij de bron; Trouw


 

Op 1 juni maakte voetbalbond KNVB bekend dat bij drie clubs een pilot van start gaat met ‘slimme technologie’, met als doel discriminerende spreekkoren in stadions te bestrijden. Onder het motto: ons voetbal is van iedereen. Dat klinkt prachtig, maar hiermee wordt onder valse voorwendselen en met hulp van artificiële intelligentie de deur opengezet naar Chinese toestanden; een surveillancemaatschappij voor voetbalsupporters.

Het plan, dat voor een miljoen euro wordt gesponsord door het ministerie van VWS, moet supporters op drie verschillende manieren beteugelen. Via een niet nader gespecificeerde innovatie ingezet om ongewenst gedrag te „signaleren, registreren, identificeren en sanctioneren”, middels geluidscamera’s in het stadion om de betrokkenheid en het enthousiasme van de fans te meten en lokaliseren.

De vervolgzin is minder gezellig: „De technologie kan gelijktijdig ingezet worden om met artificial intelligence afwijkend geluid te signaleren (anomaliedetectie). Een menselijke ‘operator’ kan vervolgens live of achteraf gericht luisteren en indien nodig actie ondernemen.” 

De derde initiatief is het ‘Smart Safe Stadium’-project: „De toegang van een bezoeker aan een stadion wordt via een app gekoppeld aan een persoonlijk ticket van de stadionbezoeker om zo de sociale veiligheid in het stadion kunnen verbeteren.”

De sociale veiligheid verbeteren, ongewenst gedrag identificeren, afwijkend gedrag signaleren: het zijn uiterst rekbare begrippen, die bovendien worden gekoppeld aan menselijke interpretatie en beweegruimte. Er is weinig verbeeldingskracht voor nodig om te beseffen dat met de inzet van deze middelen een totale controle op het gedrag van supporters mogelijk is. Het lijkt een beschrijving van het stadion van de toekomst, geplukt uit een dystopische roman. Ware het niet dat deze pilot komend voetbalseizoen nog ingaat.

Het klinkt onwaarschijnlijk dat de landsadvocaat heeft geoordeeld dat deze plannen te rijmen zijn met de privacywetgeving. De rechter heeft het Rijk echter al meerdere keren moeten terugfluiten als technische innovaties op privacygebied in de praktijk worden gebracht. Kennelijk geldt: the proof of the pudding is in the eating.

Alles bij de bron; NRC


 

Zonder dat 800.000 patiënten in de ggz iets is gevraagd, legt de Nederlandse Zorgautoriteit NZa een grote databank aan met gegevens over hun mentaal welzijn. Dat juist de toezichthouder op de zorg zo te werk gaat, geeft te denken.

Zo vraagt de NZa de ggz-patiënten niet persoonlijk om hun patiëntgegevens over angsten, depressies, suïcidale gevoelens, drankzucht of zelfbeschadiging. Dat laat de toezichthouder psychologen en psychiaters opknappen. Zij moeten de patiëntgegevens online aanleveren. Wie weigert, krijgt een boete. Dat deze beroepsgroepen zo in een onmogelijke positie worden gebracht – de behandelaren moeten hun beroepsgeheim terzijde schuiven – lijkt voor de toezichthouder op de zorg geen enkele rol te spelen.

Wel heeft de NZa inmiddels laten weten dat patiënten die hun gegevens niet willen delen, dat met een speciale privacyverklaring ook niet hoeven. Verder Zo worden patiëntgegevens versleuteld, gepseudonimiseerd en de herleidbaarheid tot personen is tot een minimum beperkt. Maar ‘herleidbaarheid tot een minimum’ is wel iets anders dan ‘de herleidbaarheid is nul’.

Data worden nooit voor de lol verzameld, daar wordt altijd iets mee gedaan. Wat over het gebruik van data nu wordt afgesproken, kan morgen of overmorgen anders zijn. Dat maakt het aanleggen van grote databanken met patiëntgegevens zo discutabel.

Wie zich daar tóch aan waagt, moet dus heel goed nut en noodzaak kunnen uitleggen. De NZa kan dat tot nu toe niet.

800.000 scorelijsten over de mentale problemen van patiënten zijn een goudmijn voor onderzoekers en zorgverzekeraars.

Die hebben nu toch alle declaratiegegevens van alle verzekerden, met naam en toenaam. Je moet er toch niet aan denken dat die gegevens worden gecombineerd met de databank die de NZa nu opzet. Dan is ‘tot een minimum herleidbaar tot individuele personen’ opeens ‘maximum herleidbaar’.

Alles bij de bron; Trouw


 

De politie houdt van negen miljoen mensen automatisch levensgebeurtenissen als verhuizingen, huwelijken en geboortes bij. Ook slaat ze over al deze mensen privacygevoelige gegevens als nationaliteit, adres en burgerservicenummer op.

Al in 2015 uitte de Rijksdienst voor Identiteitsgegevens zorgen over 'het abonnement op personen' dat de politie heeft, blijkt uit de memo. Toen was al duidelijk dat de politie van miljoenen mensen automatisch gegevens uit de Basis Registratie Personen (BRP) opvraagt. Iedereen die in het systeem van de politie komt, krijgt een zogeheten afnemersindicatie, wat inhoudt dat de politie automatisch nieuwe informatie over hen krijgt.

'Een afnemersindicatie wordt nooit meer verwijderd, ook al is de persoon overleden', schrijft een strategisch adviseur van de politie, aldus Trouw. Het resultaat: de politie volgt steeds meer mensen, zelfs als het al lang niet meer relevant is voor een zaak.

Alles bij de bron; BNR


 

Schrijf je in op onze wekelijkse nieuwsbrief!