Privacy in Europa: wie komt op voor de burger? | debatavond Privacy First

Geplaatst op 26 september 2023 door Ellen Timmer

Voor Privacy First schreef ik onderstaand verslag van de door Privacy First georganiseerde debatavond over privacy in Europa, het verslag kan ook op de site van Privacy First worden gelezen.

 

Privacy in Europa: wie komt op voor de burger?

Verslag van debatavond Privacy First

Op 19 september jl. organiseerde Privacy First in een volle zaal o.l.v. Nelleke Groen een enerverende debatavond over privacy in Europa. Hieronder een korte impressie:

Door Ellen Timmer

Europa vergeet de burger

Er werd gesproken door universitair docent en Platform Burgerrechten-voorzitter Tijmen Wisman over theorie en werkelijkheid van gegevensbescherming en burgerrechten in Europa. Strekking van zijn betoog was dat Europa wel hoog opgeeft van de bescherming van burgerrechten en privacy, maar dat er veel regelgeving in de steigers staat of al is gerealiseerd, waarin aan de burger nauwelijks is gedacht. Voorbeelden daarvan zijn de slimme energiemeter en de Europese regels voor de ‘slimme’ auto (onder meer eCall): bedrijven en overheden halen ongecontroleerd persoonsgegevens naar zich toe en aan de risico’s voor burgers wordt vrijwel niet gedacht. Overheden geloven in de verkoopverhalen van de IT-industrie, die op zoek is naar grootschalige data om hun machine learning systemen mee te voeden, en die beweren dat de overheid beter, efficiënter en (vooral) goedkoper zou worden door middel van IT. In zijn optiek gaat de Europese ‘Health Data Space’ er toe leiden dat burgers melkkoeien van medische data zullen worden. De burger is een biljartbal op het Europese biljartlaken en wordt naar believen gerold zoals overheden en bedrijven dat lucratief vinden. Wisman bepleit dat zowel in Europa als in Nederland weer aandacht komt voor het burgerbelang, waarbij hij onder meer naar de publicaties van Herman Tjeenk Willink verwijst.

Hij eindigt met een oproep aan burgers om zich te organiseren en een tegenwicht te bieden aan de overheid en de lobby van het grootbedrijf.

Techneuten maken de regels: ‘standaarden’

De tweede spreker, Jan Smits, legt uit dat de nieuwe trend is dat regels door technische mensen worden gemaakt. Die regels heetten vroeger ‘normen’ (denk aan de NEN) en worden tegenwoordig in navolging van de Engelstalige terminologie ‘standaarden’ genoemd. In die standaarden zitten allerlei beleidskeuzes verstopt, zonder dat daarover democratisch is gediscussieerd.

Smits maakt zich er zorgen over dat via de AI Act regels zullen worden gemaakt door techneuten. Daarbij is het gevaar dat er geen aandacht is voor de burger. Dat heeft er onder meer mee te maken dat de AI Act is gebaseerd op artikel 114 van het Europees verdrag, dat gaat over de Europese markt. Grondrechten spelen in artikel 114 een beperkte rol.

Smits maakt zich grote zorgen over de rechtsstatelijkheid van Europa, nu het belang van het bedrijfsleven meer en meer voorop staat, het toezicht wordt geprivatiseerd en de standaardisatieorganen traditioneel niet bezig zijn met de belangen van burgers. Een lichtpuntje is volgens Smits dat in de AI Act (of de uitvoeringsregels) wordt gesproken over een rol van burgerrechtenorganisaties, waarbij echter geen antwoord wordt gegeven op de vraag waar die organisaties de fondsen vandaan halen om de mensen te betalen die namens hen bijdragen aan het formuleren van de standaard (traditioneel dragen de bedrijvenorganisaties die deelnemen die kosten zelf).

Massaclaims tegen grondrechtenschendingen

Privacy-advocaat Eliëtte Vaal spreekt over de oorsprong en rol van de Algemene Verordening Gegevensbescherming (AVG) en over de toenemende handhaving (al is het lang niet genoeg). Problematisch is dat de Autoriteit Persoonsgegevens wel veel bevoegdheden heeft, maar te weinig middelen, waardoor veel blijft liggen. Voor individuele burgers is het lastig om zaken aan de rechter voor te leggen, zodat de stimulans voor bedrijven en organisaties om de AVG na te leven ontbreekt.
Collectieve acties bieden een mogelijke oplossing. Zo heeft de rechtbank Amsterdam in een collectieve actie tegen Facebook laten zien dat men niet bang is om Big Tech aan te pakken. De nieuwe regelgeving inzake massaclaims (WAMCA) kent als voordeel dat belangenorganisaties rechtstreeks schade kunnen claimen namens betrokkenen. Dit heeft tot gevolg dat een toenemend aantal burgerrechtenorganisaties procedures start tegen AVG-zondaars. Een voorbeeld daarvan is de procedure die de Consumentenbond tegen Google is gestart.

Eliëtte is zelf betrokken bij de door Privacy First mede-opgerichte massaclaimstichting CUIC (Consumers United in Court), die een procedure tegen gegevensbeschermingszondaar Avast gaat starten. Zij roept iedereen die in het verleden Avast software heeft gebruikt op om hieraan deel te nemen.

Medische datahonger

De laatste spreker was Jona Walk, die zich zorgen maakt over de grenzeloze behoefte van bedrijven en overheden aan medische persoonsgegevens. Ook al zijn er nuttige toepassingen voor medische data te bedenken, zoals het verbeteren van de kans van slagen van behandelingen en het voorkomen van bijwerkingen, het ongeremd verzamelen en ongecontroleerd verspreiden van medische persoonsgegevens is zeer riskant voor burgers.
Er is onvoldoende controle op misbruik door bedrijven van de verkregen gegevens.
Een ander risico is dat de overheid zich door middel van de verkregen data op een onjuiste manier met de gezondheid van mensen gaat bemoeien, wat kan wringen met de grondrechten. Beïnvloeding van mensen wordt makkelijk als er veel persoonsgegevens zijn.
De ontwikkeling naar grote medische gegevensverzamelingen en grootschalig en ongecontroleerd delen van die gegevens vindt plaats zonder de gewenste maatschappelijke discussie. Die discussie moet onder meer gaan over vragen als:

  • voor welke doelen de gegevens worden verzameld en verspreid;
  • hoe wordt gecontroleerd dat overheden en bedrijven zorgvuldig met de gegevens omgaan;
  • hoe een burger kan signaleren dat er fouten worden gemaakt en hoe die fouten gecorrigeerd worden;
  • welke alternatieven worden geboden aan degenen die hun gegevens niet willen verschaffen respectievelijk verspreiden;
  • hoe afhankelijkheid van grote IT-leveranciers buiten de EU wordt voorkomen.

Zowel artsen als degenen die zij behandelen hebben een naïef vertrouwen in digitale systemen en denken niet na over de risico’s.

Lees ook de samenvatting van Jona’s betoog op haar weblog. Jona is tevens actief bij vereniging De Vierde Golf.

Tot slot

Het was een interessante avond over onderwerpen waaraan de politieke partijen die straks aan de verkiezingen gaan deelnemen meer aandacht zouden moeten besteden.

 

Aanvulling 27 september 2023
De alinea met de samenvatting op het blog van Jona Walk toegevoegd.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , | Plaats een reactie

Nederlandse demonstratie tegen chatcontrol | 1 oktober a.s.

Geplaatst op 25 september 2023 door Ellen Timmer

Mijn indruk was dat er in Nederland niet zoveel gebeurt tegen het voorstel van Europa om softwarebedrijven te verplichten om vertrouwelijke communicatie van burgers (‘messaging’ of ‘chatten’) te scannen op kinderporno. Het voorstel staat bekend onder naam ‘chatcontrol‘ of ‘client-side scanning’. Het is een buitengewoon onverstandig plan dat grondrechten van burgers schendt en de deur open zet naar surveillance van alle communicatie op ‘ongewenste’ uitingen [*].

In juni werd in Berlijn gedemonstreerd. Er blijkt nu in Nederland iets plaats te vinden, want ik lees dat er op 1 oktober a.s. een demonstratie plaats vindt:

 

Het is jammer dat deze demonstratie tegen de onzalige Europese plannen niet door alle Nederlandse politieke partijen wordt georganiseerd.

Lees het artikel van security.nl over demonstratie en hun artikel over de digitale domheid van de Europese wettenmakers.

Achtergrond
Veel achtergrond informatie is in het Engels, zie mijn artikel van juni jl.. Bits of Freedom schreef enkele Nederlandstalig artikelen:

 

[*] Er bestaat nu al de ongewenste situatie dat voor vertrouwelijke communicatie (bijvoorbeeld het versturen van facturen met NAW en andere vertrouwelijke gegevens) gebruik wordt gemaakt van e-mail, terwijl e-mail onderweg gelezen kan worden, niet alleen door geheime diensten en andere statelijke actoren, maar ook door lieden met ongure bedoelingen. Lees over de onveiligheid van e-mail.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | 2 reacties

Nieuws van Privacy First | slimme auto’s, kredietregistratie, opname klantgesprekken, digitale euro en meer

Geplaatst op 24 september 2023 door Ellen Timmer

In de september-nieuwsbrief van Privacy First wordt aandacht besteed aan:

Connected cars: Europese Dataverordening moet automobilist definitief zeggenschap over eigen data geven.
Wetsconsultatie Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen.
Opnemen van klantgesprekken is grove privacy-inbreuk.
Privacy First steunt annuleringsverzoek tegen Europese ‘Funds Travel Rule’.
Kritisch commentaar Privacy First bij digitale euro.
Tik Tok’s charme offensief.
Datalekken via schoolgidsen.
Einde beroepsgeheim en machtsgreep VWS (deelname aan internetconsultatie).
Privacy en goede doelen.
Verlengde inzendtermijn Nederlandse Privacy Awards en interview met Awardsjurylid Mabel de Vries.
Nieuwe vacature bij Privacy First: kennis- en communicatie-expert Internet of Things (PrivacyWijzer).

 

Reminder:
Privacy First is een burgerrechtenorganisatie die onafhankelijk wil blijven van de overheid en het grootbedrijf. Hun activiteiten zijn mogelijk dankzij fondsen, vrijwilligerswerk en donaties.

Doe hen een donatie!

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Maatregelen tegen datagraaien in het Kadaster en verruiming van de afscherming

Geplaatst op 23 september 2023 door Ellen Timmer

RTL bracht onlangs aan het licht dat datagraaien door onbevoegde personen (dus ook criminelen) in het Kadaster kinderlijk eenvoudig is. Het geeft wederom aan dat de Nederlandse overheid weinig begrijpt van gegevensbescherming.

Op 5 september werd de brief van de minister van BZK aan de Tweede Kamer bekend gemaakt, waarin maatregelen tegen datagraaien in het Kadaster werden aangekondigd. Het gaat dan met name om het op zoeken van namen van (rechts)personen in het Kadaster, om te zien van welke onroerende zaken zij eigenaar zijn.

Alleen bepaalde professionele gebruikers mogen binnenkort op naam zoeken: overheden, notarissen, deurwaarders, makelaars en financiële ondernemingen in de zin van de Wft. Waarom makelaars het mogen is mij niet zo duidelijk, nu dit een beroepsgroep is die niet gereguleerd is (anders dan de overige private partijen).  (Dit is een voorlopige keuze van het ministerie.)

Advocaten hebben de zoekmogelijkheid niet, ook al zijn ze gereguleerd, en zullen beroep op een notaris of deurwaarder moeten doen om aan de informatie te komen, dan wel van de speciale mogelijkheid die als volgt wordt beschreven:

Voor professionele gebruikers die niet langer via KOL kunnen zoeken op naam geldt dat zij wel een aanvraag kunnen indienen bij het Kadaster om toegang te krijgen tot zoeken op naam.

De minister kondigt aan dat afscherming van bedreigde personen in het Kadaster (nu belachelijk beperkt) zal worden verruimd. Of dit veel zal opleveren is de vraag, nu de minister wil aansluiten bij het systeem van het handelsregister, dat ook gebaseerd is op afscherming van de kleine groep die onder het stelsel ‘Bewaken en Beveiligen’ valt.

De complete brief
De minister schrijft:

Vorige week is door berichtgeving van RTL Nieuws duidelijk geworden dat personen onder een valse identiteit eenvoudig een Kadaster Online account konden aanmaken en daardoor op naam konden zoeken in de registers. Een serieus beveiligingsprobleem waar het Kadaster direct op geacteerd heeft en waarover ik u bij deze nader informeer. Gezien de relatie met de motie Sneller c.s. van 2 februari 2023 en mijn reactie daarop bij brief van 6 februari j.l., neem ik u in deze brief ook mee in de stand van zaken met betrekking tot het beperken van zoeken op naam tot alleen die professionele gebruikers die deze functie nodig hebben en het afschermen van adressen van personen die te maken hebben met bedreigingen en intimiderende situaties. Ik voldoe daarmee ook aan uw verzoek aan de minister van Justitie en Veiligheid gedaan tijdens het debat over doxing van kort voor het zomerreces, om u te berichten over de voortgang m.b.t. in de brief van 6 februari aangekondigde maatregelen.

1. Onder valse identiteit kunnen zoeken op naam (bericht RTL Nieuws)
Laat ik beginnen te stellen dat ik het opzoeken en verspreiden van persoonsgegevens met de bedoeling te willen intimideren of te bedreigen een kwalijke en onacceptabele zaak vind. Het is goed dat dit per 1 januari a.s. strafbaar wordt gesteld. De registers van het Kadaster vervullen een belangrijke maatschappelijke functie – het verschaffen van informatie die nodig is vanuit het oogpunt van rechtszekerheid en het functioneren van de markten voor registergoederen en de vastgoedmarkt – en moeten die kunnen blijven vervullen. Strafbaar stellen van doxing helpt daarin. Dit neemt natuurlijk niet weg dat het personen zo moeilijk mogelijk moet worden gemaakt om op oneigenlijke gronden toegang te verkrijgen tot gegevens in registraties zoals de registers van het Kadaster. Daarmee kom ik bij de berichtgeving over een lek bij Kadaster Online (KOL) en de door het Kadaster naar aanleiding van dit bericht getroffen maatregelen.

Strekking van de berichtgeving van RTL Nieuws was dat personen gemakkelijk toegang kunnen krijgen tot KOL en daarmee ook tot zoeken op naam binnen KOL. Dit door op basis van een KvK-nummer en een rekeningnummer van een willekeurig bedrijf een account aan te vragen. Door het Kadaster zijn na melding door de journalist en voorafgaande aan de berichtgeving over een lek (te weten een kwetsbaarheid in de toegang tot kadaster Online) in de pers direct maatregelen getroffen. Zo krijgt iedere persoon die een account aanvraagt de inloggegevens inmiddels gescheiden toegestuurd (deels via e-mail, deels via post) en op het adres dat behoort bij het KvK-nummer dat wordt opgegeven. Daarnaast is het Kadaster begonnen alle bestaande accounts door te lichten. Voorts gaat het Kadaster inloggen via eHerkenning per begin volgend jaar verplicht stellen voor gebruikers die via KOL (en andere mogelijkheden) kunnen zoeken op naam in registers van het Kadaster. Het Kadaster faciliteert reeds eHerkenning, maar voor verplicht gebruik is het ook nodig dat ketenpartners daarop zijn ingericht. De registers kunnen dan niet meer anoniem worden geraadpleegd. Naast de bestaande logging van wie welke gegevens opvraagt, zal het Kadaster verder de monitoring op KOL uitbreiden. Er zijn daardoor gegevens beschikbaar als het Openbaar Ministerie een verzoek om informatie doet. Tezamen met het feit dat doxing vanaf 1 januari a.s. strafbaar is, helpt dit misbruik van accounts voor zoeken op naam te voorkomen. Voor de duidelijkheid merk ik op dat er geen signalen zijn dat er ook daadwerkelijk misbruik is gemaakt van de situatie. Ook wil ik benadrukken dat persoonsgegevens van personen voor wie op grond van artikel 37a Kadasterbesluit de verstrekking van persoonsgegevens is uitgesloten, niet kunnen worden geraadpleegd via Kadaster Online en dus ook niet zichtbaar waren of zijn bij oneigenlijk gebruik van accounts. Deze personen liepen, met andere woorden, geen risico als gevolg van het in de pers genoemde lek. Datzelfde geldt voor de woonadressen van personen die deze in de BRP hebben laten afschermen.

2. Stand van zaken maatregelen naar aanleiding van de motie Sneller c.s.
Op 2 februari 2023 hebben de leden Sneller c.s. een motie ingediend waarin de regering wordt opgeroepen mogelijk te maken dat personen die te maken hebben met bedreigingen en intimiderende situaties, op verzoek hun adres kunnen laten afschermen in het Kadaster en om de toegang tot privé en huisadressen in het Kadaster verder te beperken tot alleen die professionele gebruikers van wie redelijkerwijs verwacht mag worden dat zij uit hoofde van hun taakuitvoering en met het oog op het goed functioneren van de vastgoedmarkt deze toegang nodig hebben, zoals makelaars, notarissen en banken. [1] Een motie ingediend in de context van een toenemend aantal gevallen van bedreiging en geweld tegen beroepsgroepen als bijvoorbeeld journalisten.

In reactie op genoemde motie, heb ik bij brief d.d. 6 februari 2023 [2] de Kamer laten weten dat ik bereid ben de groep professionele gebruikers die gebruik maken van de functie zoeken op naam nog eens goed tegen het licht te houden. Dit omdat met het verder beperken van zoeken op naam in hoge mate kan worden voorkomen dat kwaadwillenden toegang krijgen tot privéadressen. Verder heb ik aangegeven bereid te zijn te onderzoeken hoe het mogelijk te maken is dat ook personen die te maken hebben met bedreigingen en intimiderende situaties, maar buiten het stelsel Bewaken en Beveiligen vallen, om afscherming kunnen verzoeken. Dit onder de voorwaarde dat een bevoegde instantie concludeert dat er sprake is van bewijs van bedreiging en/of intimidatie en dat afscherming daarom gewenst is, waarbij ook de duur van de afscherming een punt van aandacht is. Ik ben met genoemde maatregelen (beperken zoeken op naam, afschermen) aan de slag gegaan. Door de recente kwetsbaarheid in de toegang tot KOL is de urgentie hiervan nog verder toegenomen.

a. Beperken professionele gebruikers die kunnen zoeken op naam
In de gesprekken met het Kadaster over de maatregelen om het bovengenoemde lek te dichten, is uiteraard ook gesproken over de in de berichtgeving rondom het lek genoemde ruime mogelijkheid tot het zoeken op naam. Door het Kadaster is tijdens die gesprekken aangegeven dat de afgelopen periode een analyse is gemaakt van partijen die thans via KOL kunnen zoeken op naam. Daaruit blijkt dat de groep gebruikers op dit moment zeer divers is. Volgens het Kadaster is sprake van gebruikers in meer dan 90 branches. Om te komen tot beperking tot alleen professionele gebruikers die uit hoofde van hun beroep moeten kunnen zoeken op naam, is het nodig zorgvuldig af te wegen wie uit hoofde van beroep wel of niet in aanmerking zou moeten komen voor zoeken op naam. Het vigerende Kadasterbesluit moet daarop vervolgens worden aangepast. Wijziging van het Kadasterbesluit is nodig omdat op dit moment op grond van de Kadasterwet alle professionele gebruikers kunnen zoeken op naam. Middels een wijziging van het Kadasterbesluit kan dat beperkt worden. Ik heb deze wijziging inmiddels in gang gezet, maar dit is een proces dat 9-12 maanden tijd kost.

De berichtgeving van RTL Nieuws en de toenemende mate van doxing heeft mij en het Kadaster gesterkt in de overtuiging dat er vooruitlopend op de aanpassing van het Kadasterbesluit, zo snel mogelijk maatregelen moeten worden genomen om het zoeken op naam in de registers van het Kadaster te beperken. Het voornemen is daarom de wijziging van het Kadasterbesluit met terugwerkende kracht in werking te laten treden, zodat het Kadaster uiterlijk medio oktober 2023 al het zoeken op naam kan beperken. Een fijnmazige afweging van welke groepen worden uitgezonderd van deze beperking is op deze korte termijn niet te maken, maar ik meen samen met het Kadaster dat het maatschappelijk belang van afschermen op zoeken op naam dermate groot is dat onmiddellijke actie nodig is. Daarom is in overleg met het Kadaster besloten om uiterlijk medio oktober 2023 enkel nog aan overheden, notarissen, deurwaarders, makelaars en financiële ondernemingen in de zin van de Wet op het financieel toezicht via KOL zoeken op naam toe te staan. Dit omdat deze partijen een cruciale, soms zelfs bij wet gegeven rol vervullen bij het verschaffen van rechtszekerheid en het doen van de markten voor registergoederen en vastgoed. Mocht in de toekomst blijken dat het voor meer professionele gebruikers uit hoofde van hun beroep gerechtvaardigd is om toegang te krijgen tot zoeken op naam via KOL, dan kan het Kadasterbesluit hier op worden aangepast.

Voor professionele gebruikers die niet langer via KOL kunnen zoeken op naam geldt dat zij wel een aanvraag kunnen indienen bij het Kadaster om toegang te krijgen tot zoeken op naam. Het Kadaster zal in dergelijke gevallen aan de hand van een aanvraagprocedure per aanvraag verifiëren of toegang tot zoeken op naam gerechtvaardigd is (vangnet). Uiteraard kunnen houders van een KOL account nog wel zoeken op objectadres. Implementatie van deze mogelijkheid vraagt de nodige zorg om een gestroomlijnde uitvoering te waarborgen. Het Kadaster neemt daarmee verantwoordelijkheid voor verantwoord ontsluiten, beschikbaar stellen en verstrekken van gegevens in een wereld waarin helaas sprake is van personen die voor oneigenlijk doeleinden gebruik willen maken van gegevens in de registers.

b. Verruimen van de groep die op verzoek kan worden afgeschermd
Door het beperken van zoeken op naam tot alleen die professionele gebruikers die dat uit hoofde van hun beroep nodig hebben, en het verplichten van eHerkenning, wordt in hoge mate voorkomen dat kwaadwillenden toegang krijgen tot privéadressen. Zeker in combinatie met strafbaarstelling van doxing. De afgelopen maanden heb ik de wens van de Tweede Kamer nader onderzocht op welke wijze het mogelijk is te maken dat personen die te maken hebben met bedreigingen en intimiderende situaties om afscherming van hun adres in de registers van het Kadaster kunnen verzoeken. Dit blijkt niet eenvoudig. De huidige situatie is dat op grond van artikel 37a van het Kadasterbesluit alleen personen die onder het stelsel Bewaken en Beveiligen vallen om afscherming kunnen verzoeken. Het aanpassen van dit stelsel is niet de orde. Om verdergaande afscherming van persoonsgegevens toch mogelijk te maken ten behoeve van de veiligheid van personen zie ik aanknopingspunten bij de aanpak zoals door de Kamer van Koophandel (KvK) binnen het kader van artikel 51 van het Handelsregisterbesluit 2008 wordt gehanteerd. Deze aanpak behelst dat personen om afscherming kunnen verzoeken indien sprake is van een aantal dwingende criteria, waaronder een concrete dreiging. Daarnaast kan iemand die behoort tot een beroepsgroep waarvan door de beroepsorganisatie met de KvK een convenant is afgesloten en die te maken heeft met een waarschijnlijke dreiging, op basis van het betreffende convenant afscherming bij de KvK aanvragen.

Er zijn wezenlijke verschillen tussen het register bij de Kamer van Koophandel en de registers bij het Kadaster. Daarom is een specifieke aanpak voor het Kadaster nodig waarbij een zorgvuldige afweging moet worden gemaakt tussen het belang van openbaarheid ten dienste van de rechtszekerheid van registergoederen in de vastgoedmarkt en het belang van de veiligheid van personen wiens persoonsgegevens in de registers vermeld zijn. Ik wil daarom dat in alle gevallen van een verzoek om afscherming heldere criteria gaan gelden, ook als een verzoek op basis van een convenant wordt gedaan, en afschermen – waar verantwoord – beperkt wordt in de tijd. Artikel 51 van het Handelsregisterbesluit biedt hiervoor goede aanknopingspunten. Een dergelijke aanpak vraagt tevens een andere rol van het Kadaster dan het tot nu toe heeft vervuld bij de uitvoering van hun taak. Daar ben ik mij terdege van bewust. Ik wil de geschetste aanpak dan ook na een jaar evalueren.

Voor bovenstaande aanpak is – net als voor het beperken van zoeken op naam – een wijziging van het Kadasterbesluit nodig. Ook hier wil ik – gelet op het maatschappelijk belang – deze wijziging met terugwerkende kracht in werking laten treden. Samen met het Kadaster streef ik ernaar ook deze aanpak per medio oktober 2023 te implementeren.

Ik realiseer mij goed dat de geschetste stappen impactvol zijn. Ze zullen betekenen dat bepaalde groepen gebruikers die eerder wel via Kadaster Online konden zoeken op naam, dat straks niet meer kunnen, of dat alleen kunnen na een toets door het Kadaster. Zoals gezegd kunnen alle gebruikers wel blijven zoeken op objectadres, in lijn met de maatschappelijke functie van de registers van het Kadaster bij het borgen van rechtszekerheid en transparantie rondom registergoederen en de vastgoedmarkt. Ik heb het Kadaster gevraagd om gebruikers tekst en uitleg te geven over de consequenties. Ook zal ik zelf in overleg treden met organisaties voor wie geschetste maatrelen (invoering van eHerkenning, beperken zoeken op naam en verruimen van groep die op verzoek kan worden afgeschermd) van belang zijn. Denk aan o.a. de NVJ, de KNB en de verenigingen van makelaars. Los hiervan zijn er de nodige aandachtspunten voor de implementatie. Zo zijn makelaars geen duidelijk af te bakenen groep. Deze aandachtspunten zal ik adresseren bij de wijziging van het Kadasterbesluit.

Alles overziend ben ik van mening dat door bovengenoemde maatregelen een goede balans is gevonden tussen het belang van openbaarheid en het belang van het voorkomen van het opzoeken en verspreiden van persoonsgegevens met de bedoeling te willen intimideren of te bedreigen.

 

[1] Kamerstukken II 2022/23, 36171, nr. 11.
[2] Kamerstukken II 2022/23, 36171, nr. 13.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Belastingdienst gebruikt internet om belastingplichtigen te analyseren

Geplaatst op 22 september 2023 door Ellen Timmer

Het naïeve geloof van de overheid in digitalisering leidt tot merkwaardige praktijken. Onder meer gelooft men dat het analyseren van uitingen van mensen op het internet (bijvoorbeeld via de ‘sociale media’ die in werkelijkheid asociale media zijn [*]) nut zou hebben bij het toekennen van een persoonlijk risicoprofiel op criminaliteit. Ook pseudo-overheden (zoals banken in de witwasbestrijding) denken dat.

In het NRC verscheen op 13 september jl. het artikel ‘Belastingdienst verzamelde op grote schaal persoonlijke gegevens, ook op sociale media‘. Naar aanleiding daarvan hebben leden van de Tweede Kamer (van CDA, D66, BBB, SP en Omtzigt) nu vragen gesteld over deze praktijk:

Vraag 1 Heeft u kennisgenomen van de publicatie «Belastingdienst verzamelde op grote schaal persoonlijke gegevens, ook op sociale media»? [1]

Vraag 2 Herinnert u zich dat ik in 2018 vroeg of er nog Privacy Impact Assessment gedaan waren bij de Belastingdienst in 2017? Waarom werd Privacy Impact Assessment van Risico Analyse Model (RAM), die nu in 2017 gedaan blijkt te zijn, toen niet naar boven?

Vraag 3 Kunt u een overzicht geven van de keren dat de Kamer onjuist en/of onvolledig is geïnformeerd over het RAM-systeem? (over het bestaan, over het gebruik bij de Belastingdienst/toeslagen, over het gebruik van de Douane, over het aantal mensen dat toegang had, over wat er allemaal geregistreerd werd en meer)

Vraag 4 Waarom laat u een onafhankelijk onderzoek doen, terwijl u gewoon de vragen kunt beantwoorden?

Vraag 5 Kunt u alle vragen die ik in mei 2023 in het schriftelijk overleg gesteld heb gewoon binnen drie weken beantwoorden? [2]

Vraag 6 Kunt u per ommegaande de memo’s over RAM en «database auto», die de top van Belastingdienst en/of de politieke top bereikt hebben sinds 2015 aan de Kamer doen toekomen aangezien u al 15 weken de tijd gehad heeft om die te verzamelen?

Vraag 7 Kunt u aangeven op welke punten de Belastingdienst zich bij deze RAM database niet aan de wet gehouden heeft?

Vraag 8 Hoe beoordeelt u het feit dat na het toeslagenschandaal, na de zwarte lijsten, er weer een dossier is waar de Belastingdienst zich jarenlang niet aan de wet gehouden heeft en de Kamer jarenlang niet geïnformeerd is?

Vraag 9 Is het voor mij als Kamerlid mogelijk om de Belastingdienst op democratische wijze te controleren? Zo ja, hoe?

Vraag 10 Kunt u deze vragen een voor een en binnen twee weken beantwoorden?

 

[1] NRC, 13 september 2023, «Belastingdienst verzamelde op grote schaal persoonlijke gegevens, ook op sociale media» (https://www.nrc.nl/nieuws/2023/09/13/extern-onderzoek-naaromstreden-database-belastingdienst-a4174396).

[2] https://open.overheid.nl/documenten/d7bf4247-62bb-4bc5-8943-7858b76525a3/file).

 

Security.nl berichtte er over, lees ook de reacties op het bericht.

 

[*] Waarbij uiteraard ook de vraag is of de accounts wel toebehoren aan de vermeende persoon.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Implementatiekader ‘Verantwoorde inzet van algoritmen’

Geplaatst op 21 september 2023 door Ellen Timmer

In juli jl. werd het concept Implementatiekader ‘Verantwoorde inzet van algoritmen’ [1] bekend gemaakt. In de inleiding staat:

De inzet van algoritmen biedt kansen en mogelijkheden bij de aanpak van maatschappelijke opgaven en de uitvoering van publieke taken. Maar wanneer de overheid een algoritme in een verkeerde context, op een verkeerde manier, of met een verkeerd doel inzet, dan kan de negatieve impact voor burgers groot zijn. Publieke waarden en fundamentele rechten zoals privacy, non-discriminatie, autonomie en menselijke waardigheid kunnen – soms ten opzichte van elkaar – onder druk komen te staan waardoor burgers, maar ook bedrijven, in de knel kunnen komen.

Op bedrijven die overheidstaken uitvoeren, zoals banken, kan dit eveneens worden toegepast. Zij zijn bezig met ‘aanpak van maatschappelijke opgaven en de uitvoering van publieke taken‘. Waarom dit concept Implementatiekader niet ook voor hen geldt, wordt niet duidelijk.

Uitgangspunten bij verantwoord inzetten van algoritmen zijn volgens het concept: publieke waarden, mensenrechten en ethische principes, aldus paragraaf 1.3. Het implementatiekader neemt dit als uitgangspunt en heeft voor de structuur aangesloten op de ethische richtsnoeren die mede ten grondslag liggen aan de AI Verordening (AI Act) [2]. Er wordt verwezen naar [3]:

  • het Toetsingskader Algoritmen van de Algemene Rekenkamer;
  • het normenkader zoals gebruikt door de Auditdienst Rijk;
  • het Impact Assessment Mensenrechten Algoritmen (IAMA);
  • de Handreiking non-discriminatie by design, opgesteld door wetenschappers;
  • de Ethische Richtsnoeren voor betrouwbare AI, opgesteld door een Europese expertgroep;
  • Discriminatie door risicoprofielen, een mensenrechtelijk Toetsingskader, aanbevelingen door het College voor de Rechten van de Mens.

In de bijlage bij het concept wordt meer moois genoemd, zoals De Ethische Data Assistent (DEDA), het Ethics Canvas, de Ethische Impact Assessment, het GO FAIR initiatief, de Bias and Fairness Audit Toolkit en de Maturity assessment DAMA DMBoK.

Zeer boeiend allemaal.

Lees in dit verband het Onderzoeksrapport beheersing algoritmes binnen het Rijk [4], waarin wordt gezegd dat de algoritmische risico’s onvoldoende bekend zijn en beheerst worden. Ook wordt aanbevolen te kiezen voor een gerichte aanpak voor een eenduidige methode waarmee de kwaliteit van het model (nauwkeurigheid en robuustheid) en de data (representativiteit en juistheid/volledigheid/consistentie) onderbouwd kan worden. Volgens de opstellers is de controle op en verantwoording over algoritmes niet helder.
Overigens bevat de managementsamenvatting [5] van dit rapport de bekende illusies die bij het ministerie van Financiën heersen, nl. dat alle risico’s (hier van gebruik algoritmen) kunnen worden onderkend en voorspeld en dat beheersing van die risico’s mogelijk is. Het zou beter zijn als men zou erkennen dat het beter is bepaalde analyses en verwerkingen niet uit te voeren, omdat de risico’s niet kunnen worden vastgesteld en niet kunnen worden beheerst.

 

Theorie en werkelijkheid
De documenten bevatten principes die waarschijnlijk al zeer lang bekend zijn.
Desondanks is er een keten aan misdragingen door zowel overheden als bedrijven. Dat is duidelijk geworden door onder meer SyRI, de Toeslagenaffaire en de berichten over het internetonderzoek naar burgers door de Belastingdienst.

Het is voor mij de vraag of de mens wel toe is aan het gebruik van algoritmen.

 

Noten

[1] Hier te vinden (Tweede Kamer) en ook hier (overheid.nl). In de brief van 7 juli jl. van de staatssecretaris van BZK staat in noot 11: “Het implementatiekader «Verantwoorde inzet van algoritmen» waarvan een eerste versie momenteel ontwikkeld wordt, ziet op de toepassing van algoritmes door de overheid en is een van de instrumenten om hierin heldere kaders te scheppen.“.

[2] De Ethics guidelines for trustworthy AI, vastgesteld door de Europese High-Level Expert Group on AI, 8 april 2019, kijk hier voor de Nederlandstalige versie.

[3] Vindplaatsen:
* Toetsingskader Algoritmen van de Algemene Rekenkamer.
* Impact Assessment Mensenrechten Algoritmen (IAMA) door de Data School, Universiteit van Utrecht.
* Handreiking non-discriminatie by design, een handreiking opgesteld door een groep wetenschappers, onder meer Bart van der Sloot (universiteit Tilburg), in opdracht van het ministerie van BZK. Lees ook het Onderzoeksrapport bekendheid en toepasbaarheid en toegevoegde waarde handreiking nondiscriminatie by design, dat 20 juli jl. openbaar is gemaakt.
* Discriminatie door risicoprofielen, een mensenrechtelijk Toetsingskader, College voor de Rechten van de Mens.
Zie voor de Ethische Richtsnoeren voor betrouwbare AI noot [2].

[4] Onderzoeksrapport beheersing algoritmes binnen het Rijk, Auditdienst Rijk, 8 juni 2022.

[5] Geldt mogelijk ook voor de rest van de tekst.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | 1 reactie

Komt er iets terecht van ‘waardengedreven digitalisering’ door de Nederlandse overheid als private bedrijven met overheidstaken buiten beeld blijven?

Geplaatst op 20 september 2023 door Ellen Timmer

In 2022 schreef ik over de ‘waardengedreven digitalisering’ waarmee de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (BZK) bezig is [1]. In de op 19 september jl. bekend gemaakte memorie van toelichting van dat ministerie [2] wordt aangegeven dat waardengedreven digitalisering een beleidsprioriteit is.

In paragraaf 2.1.6 wordt het volgende gemeld:

2.1.6 Waardengedreven digitale samenleving

Digitalisering heeft een duidelijke impact op onze samenleving. Het is een verrijking voor onze maatschappij en heeft ons leven aangenamer en makkelijk gemaakt. Tegelijkertijd zorgt het voor een digitale kloof, groeiende ongelijkheid en staan waarden als privacy en zelfbeschikking onder druk.

Waardengedreven Digitalisering in Nederland, Europa en Internationaal
Vanuit de Werkagenda Waardengedreven Digitalisering (verder: WWD) zet BZK, samen met medeoverheden, verder in op het verzilveren van de kansen en het tegengaan van negatieve kanten van digitalisering. De WWD richt zich op het mogelijk maken dat iedereen mee kan doen, regie kan nemen over zijn (digitale) leven en de digitale wereld kan vertrouwen. Daarnaast bouwen we aan een waardengedreven digitale overheid en versterken wij zowel de digitale overheid als digitale samenleving in Caribisch Nederland. Deze beleidsagenda wordt geconcretiseerd in de update van de WWD die najaar 2023 naar de Tweede Kamer wordt gestuurd.

Vanuit de vijf lijnen van de WWD werkt BZK in 2024 in Nederland, in Europa en internationaal aan de volgende zaken:

1. Het mogelijk maken dat iedereen mee kan doen in het digitale tijdperk door de publieke dienstverlening zo in te richten dat deze meer recht doet aan de persoonlijke omstandigheden van mensen. We realiseren digitale en fysieke overheidsbrede loketten (o.a. Informatiepunten Digitale overheid), we bieden steeds meer informatie over publieke producten en diensten in samenhang en via één platform aan, we vergroten de toegankelijkheid van overheidswebsites en apps en borgen het naleven van de doelen uit de Code of Practice Desinformatie.
2. Omdat het belangrijk is dat iedereen de digitale wereld kan vertrouwen, implementeren we in 2024 de Digital Services Act. Voor het versterken van kinderrechten worden een Kinderrechten Impact Assessment, Gamewijzer en Code Kinderrechten Online (door)ontwikkeld. Daarnaast blijven we in gesprek met de grote internationale social media platformen over hun apps (incl. het gebruik hiervan op devices van ambtenaren). De Nederlandse aanpak richting internationale Big-Tech bedrijven, onder andere gebaseerd op het inzetten van Data Protection en Human Rights Impact Assessments, krijgt ondertussen internationaal bijval en zetten we voort. Het kabinet geeft in 2024, mede in het licht van de AI-act, concreet uitvoering aan een visie en strategie voor de omgang met Generatieve AI.
3. Om mensen de regie over hun eigen digitale leven te geven, verlenen wij burgers het recht om overheidsgegevens digitaal te ontvangen en stimuleren wij overheden om aan te sluiten op het gebruik van de Europese Digitale Identiteit en wallet. Daarnaast versterken we de rol en slagkracht van de algoritmetoezichthouder en wordt het algoritmeregister verder gevuld.
4. Een waardengedreven digitale (rijks)overheid zorgt dat haar informatiehuishouding beveiligd, open en op orde is. Hiervoor verbeteren we de informatievoorziening voor een (meer proactieve) dienstverlening aan burgers en ondernemers en wordt verder gewerkt aan het versterken van de informatiebeveiliging.
5. We bouwen verder aan de fysieke en digitale overheidsdienstverlening en digitale samenleving in Caribisch Nederland. Vanaf 2024 stellen we een Burger Service Nummer beschikbaar aan Caribische studenten voordat ze naar Nederland komen. Hiervoor starten we in 2024 projecten rondom het verbeteren van de toegang tot internet, digitale vaardigheden en digitale inclusie.

Digitale samenleving
In de zomer van 2023 is de agenda «Coalities voor de Digitale Samenleving» gepubliceerd. Deze bouwt voort op de WWD en is bedoeld om actief interbestuurlijk samen te werken op digitaliseringsthema’s binnen maatschappelijke opgaven zoals armoedebestrijding, zorg, woningbouw of klimaat. In 2024 richt BZK zich, samen met haar partners, op het gezamenlijk optrekken in coalitieverband rondom de domeinen «Ethiek» (waardengedreven), «AI in actie» (datagedreven), «Verantwoord datagebruik» (datagedreven) en «Duurzaamheid en digitalisering» (duurzaamheidsgedreven).

Digitale overheid
De overheid moet als digitale partner het goede voorbeeld geven. Daarom werken we aan toegankelijke, hoogwaardige, inclusieve en overheidsbrede dienstverlening die recht doet aan persoonlijke omstandigheden van burgers en ondernemers in Europees en Caribisch Nederland.

Hiervoor bouwen we verder aan een moderne IT-architectuur en het inrichten van publieke dienstverlening die inspeelt op levensgebeurtenissen. Speerpunten voor 2024 zijn o.a. het verminderen van het niet-gebruik van regelingen door mensen proactief en gericht dienstverlening aan te bieden en het makkelijker maken om te gaan studeren of een bedrijf te starten in een ander EU-land.

Dit doen we door de verdere ontwikkeling van:

1. de Generieke Digitale Infrastructuur en bouwblokken zoals DigiD en Mijn Overheid waardoor we een veilige digitale basis voor uitvoeringsorganisaties creëren.
2. het Federatief Datastelsel dat bijdraagt aan een verantwoorde wijze van data delen.
3. het Stelsel Toegang waardoor een burger zich voor zichzelf, voor een ander of voor een bedrijf digitaal kan identificeren en authentiseren bij overheidsinstanties met goedgekeurde publieke of private inlogmiddelen.
4. een landelijke generieke applicatie die burgers/ ondernemers helpt om snel te vinden waar zij recht op hebben en hen helpt een aanvraag in te dienen.
5. de Single Digital Gateway verordening om (in EU verband) grensoverstijgende digitale dienstverlening mogelijk maken.
6. een Nederlandse publieke open source wallet

Om te zorgen dat iedereen gebruik kan maken van publieke dienstverlening zorgen we voor lokale structuren zoals de Informatiepunten Digitale Overheid, waar mensen in persoon worden geholpen. In Caribisch Nederland is veel vanzelfsprekende overheidsdienstverlening nog niet geregeld. In 2024 wordt de invoering van het BSN en DigiD voorbereid.

Digitale Rijksoverheid
In 2024 wordt verder uitvoering gegeven aan de realisatie van de I-strategie 2021-2025. De focus ligt op het verder professionaliseren van de informatiehuishouding en het digitaal vakmanschap en het scherper meenemen van security-by-design en securitystandaarden bij inkooptrajecten. We verhogen de digitale weerbaarheid voor (publieke) bestuurders in het kader van de toenemende dreigingen en versterken de weerbaarheid verder door dit te borgen in de vernieuwde Rijksbrede architectuur en via red-teaming.

Het klinkt niet slecht, al zal heel goed moeten worden gekeken naar de Europese voorstellen (zoals over de digitale identiteit), omdat er bij grondrechtenexperts veel kritiek is.

Aandacht voor de pseudo-overheid (bedrijven die overheidstaken uitvoeren) ontbreekt

Het is teleurstellend dat het kabinet geen aandacht besteed aan de ontwikkelingen rondom bedrijven met overheidstaken, zoals banken die hebben in de witwasbestrijding. Banken lopen zich warm voor digitale financiële surveillance van iedere burger en organisatie (met artificial intelligence) [3], zonder dat daarover enige democratische discussie plaats vindt, waarbij voorts de vraag rijst of banken wel geschikt zijn voor deze overheidstaken.

Ook banken en andere private witwasbestrijders, alsmede hun IT-leveranciers, dienen zorg te dragen voor waardengedreven digitalisering. Daar is nu weinig van te merken.

De Werkagende Waardengedreven Digitalisering is veel te beperkt en zal grondig moeten worden herzien om de samenleving te behoeden voor ongewenste digitale ontwikkelingen.

 

Noten

[1] Het onderwerp is niet-controversieel verklaard (besluitenlijst).
[2] Bekend gemaakt op prinsjesdag: vindplaats.
[3] Lees op dit blog over de financiële surveillance die er aan komt, onder meer:

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , , , , , , , , , | Plaats een reactie

“The current two-tiered monetary system — where both the central bank and private banks create money — is too fragile for the digital age”

Geplaatst op 19 september 2023 door Ellen Timmer

On the site of the European network of top financial executives, SUERF, ‘Société Universitaire Européenne de Recherches Financières‘ in May an article was published, arguing that only the state should issue money.

The introduction:

As recent bank runs (Silicon Valley Bank, Signature Bank, First Republic Bank, Credit Suisse) have highlighted, the current two-tiered monetary system — where both the central bank and private banks create money — is too fragile for the digital age. The State (central bank) should exclusively issue money, thus severing the link between ‘money creation’ and the extension of private bank credit. Central bank digital currencies make possible the design of a monetary system that eliminates bank runs, shields the payment system from the financial system, and reduces the need for government intervention in the financial sector. Monetary policy would likely be more effective and financial cycles dampened.

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , | Plaats een reactie

Contante betaling onder vuur | publicaties SUERF

Geplaatst op 18 september 2023 door Ellen Timmer

Al een hele tijd wordt geprobeerd om contant geld af te schaffen. Informatie daar over is te vinden bij het Europese netwerk van financiële topmensen, SUERF, ‘Société Universitaire Européenne de Recherches Financières‘. In de organisatie zijn banken, nationale financiële toezichthouders en wetenschappers die werken voor de financiële sector vertegenwoordigd.

Cash on Trial
In 2015 hield de organisatie de conferentie Cash on Trial, ‘Contanten staan terecht’, waarvan in dit document (pdf) verslag wordt gedaan. In 2016 verscheen naar aanleiding van de conferentie een uitgebreide publicatie met dezelfde titel (pdf). In 2019 komt een vervolgpublicatie (pdf) uit.

Bij SUERF is gelukkig wel aandacht voor het belang van contant geld, want twee medewerkers van De Nederlandsche Bank (DNB), Carin van der Cruijsen en Jelmer Reijerink schreven deze maand het artikel Cash plays a key role for various groups at risk.

Dat neemt echter niet weg dat in Nederland de banken druk bezig zijn om het gebruik van contant geld te bemoeilijken.

 

Lees de artikelen over contante betaling op dit blog.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Plaats een reactie

Geslaagd voor het Blacklight examen

Geplaatst op 17 september 2023 door Ellen Timmer

Tot mijn genoegen kan ik melden dat mijn site is geslaagd voor het Blacklight examen. Toen ik mijn site daar invoerde met als gebied de EU (zie bij ‘options’) kreeg ik:

Met het Blacklight kan worden nagegaan wie er op een site met je mee kijkt. Hun aankondiging (machinevertaling):

Wie gluurt er over uw schouder mee terwijl u werkt, video’s bekijkt, leert, onderzoekt en winkelt op internet? Voer het adres van een willekeurige website in en Blacklight scant deze en onthult de specifieke gebruikerstracking-technologieën op de site en wie uw gegevens krijgt. U zult verrast zijn door wat u te weten komt.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie