Toon items op tag: wet bescherming persoonsgegevens

Vandaag heeft de Tweede Kamer zich (na ruim 4 ½ jaar eindelijk) uitgesproken tegen de privacyschendende en onveiligheid oproepende praktijk van de Belastingdienst om het zakelijke BTW nummer van kleine zelfstandigen standaard te koppelen aan het persoonlijke Burgerservicenummer van de eigenaar van een eenmanszaak.

Met algemene stemmen werd de motie van VVD en PvdA aangenomen om voor nieuwe ZZPers een BTW nummer te gebruiken dat niet gekoppeld is aan het Burgerservicenummer en bestaande ZZPers de mogelijkheid te bieden om een nieuw BTW nummer aan te vragen.

Al vanaf 2009 voert Burgerrechtenvereniging Vrijbit actie tegen de praktijk van de Belastingdienst om het zakelijke BTW nummer van kleine zelfstandigen te koppelen aan hun persoonlijke Burgerservicenummer. Bron:chronologisch verslag vanaf 2009

Zodra de regering deze motie omzet in ander te voeren beleid, komt daarmee een eind aan de praktijk waarvoor de Belastingdienst  drie jaar terug al de Big Brother Award 2010 ontving.

En wordt de energie beloond van enige volhardende ZZPers die jarenlang zowel via de Belastingdienst, de Kamer van Koophandel als de politiek een verandering probeerden af te dwingen van de praktijk dat de KvK nieuwe ZZP aanmeldingen rechtstreeks aanmeldt bij de Belastingdienst die daar dan automatisch een BSN gekoppeld-BTW nummer voor uitreikt.

ZZP-ers die niet actief in gevaar wensten te worden gebracht door de risicovolle koppeling van een nummer zagen zich tot nu toe gedwongen om eindeloze correspondenties te voeren met de Belastingdienst en met juridische claims te dreigen, wilden ze de beschikking te krijgen over een BTW nummer wat niet gekoppeld is aan hun persoonlijke registratienummer (waar ALLE info aan gekoppeld is waar de overheid over deze persoon over beschikt).  Wie die moed en tijd niet opbracht zag zich gedwongen om ofwel zichzelf willens en wetens bloot te stellen aan het risico van identiteitsfraude –of diefstal of geen gevolg te geven aan het (correct) vermelden van hun BSN-gekoppelde -BTW nummer op alle correspondentie en op de website van hun bedrijf.  Daar lijkt nu een eind aan te komen.

Voortschrijdend inzicht

Op 11 Juni 2011 schreef de Directeur – Generaal van de Belastingdienst namens het ministerie van Financiën nog aan Vrijbit dat niet van zins was om het beleid op dit punt te wijzigen ‘omdat het parallele gebruik van twee registratienummers beduidend minder efficiënt zou zijn omdat het de overheid zou hinderen in de dienstverlening en handhavingsactiviteiten’. En beweerde deze nog dat ‘het BSN een neutraal karakter heeft wat geen persoonskenmerken bevat en waar geen andere informatie over de betrokkene kan worden afgeleid’.

Een stelling waar in het rapport  i-Overheid de Wetenschappelijke Raad voor het Regeringsbeleid(WRR) al begin maart 2011 gehakt van had gemaakt - en het College Bescherming Persoonsgegevens (CBP) in haar Jaarverslag 2012 eveneens korte metten mee maakte.

Gepubliceerd in Dossier BTW ZZP BSN

Door Burgerrechtenvereniging Vrijbit gesignaleerde belangrijke ontwikkelingen in 2014 aangaande de inperkingen en aantastingen van het fundamentele mensenrecht om in vrijheid te kunnen leven zonder bespied te worden. 

Ook dit jaar leverde Vrijbit weer informatie aan bij het College voor de Rechten van de Mens (CRM) ten behoeve van het in april te verschijnen jaarlijkse rapport over de stand van de mensenrechten in Nederland.

Wij schreven het CRM dat we in 2014 signaleerden:

- Verdere verslechtering van het respecteren door overheid, semi-overheid en bedrijven  van het fundamentele recht op bescherming van de privésfeer (hierna aangeduid als ‘Privacy’).

- Verdere verslechtering van de mogelijkheden tot juridisch verweer tegen inperkingen en aantastingen van de privacy door burgers en belangengroepen die opkomen voor het algemeen belang van privacy. Met als voorbeeld dat de bestuursrechterlijk zaken tegen gebruik van biometrie en RFID-chips in paspoorten en ID-kaarten nog steeds stil liggen.

De civiele zaak tegen de Paspoortwet is aangeland bij de Hoge Raad maar daar procedureel nog steeds kan stuklopen op de oorspronkelijke uitspraak in 2011 dat eisers niet als ontvankelijke partij werden erkent. Voor bronvermelding zie Privacy First

NB specifiek vragen we uw aandacht voor het feit dat vanaf 20-1-2014 weliswaar weer ID-kaarten verkrijgbaar zijn gesteld aan burgers zonder dat zij daarvoor hun vingerafdrukken hoeven af te geven, maar dat dit bepaald geen oplossing biedt voor de bezwaren tegen het doorgaan met registreren van vingerafdrukken voor paspoorten EN voor het gebruik van de digitale gezichtsopname in de identiteitsdocumenten en eraan gelieerde database noch voor het gebruik van onveilige RFID-chips in de documenten waardoor persoonsgegevens op afstand uit de documenten uitleesbaar zijn.

- Verder toegenomen wantrouwen van burgers versus overheid die het hooghouden van de Mensenrechten met de mond belijdt maar met voeten treedt. ( wet SYRi uit 2014  tart ieder respect voor privacy van alle burgers die gebruik maken van enige voorziening. Zie: Privacybarometer & BBAward nominatie van Vrijbit in de categorie personen. 

- Verder toegenomen minachting van de regering en het parlement voor het principieel in acht nemen van principes volgens het EVRM art 8 bij de totstandkoming van nieuwe /aangepaste wet-en regelgeving ( doelbinding, subsidiariteit & proportionaliteit, zelfs maar eerst zorgvuldig nadenken over voorstellen en afwegingen maken of deze strijdig of cumulatief is met al bestaande regelgeving ontbreekt systematisch) zie voor onderbouwing ‘ De wet als kunstwerk’van oud senator Witteveen.

  - Toenemend besef bij overheid, bedrijfsleven en burgers dat Privacy een belangrijke voorwaarde is om in vrijheid te kunnen leven. Met helaas nog weinig gevolgen voor wat betreft de consequenties die burgers hieraan verbinden inzake hun eigen gedrag met betrekking tot het aanleveren van allerhande data over hun doen en laten  (en dat van de mensen waar ze mee omgaan). Waarbij opgemerkt dat wat er met alle verzamelde data gebeurt en kan gebeuren nauwelijks te volgen is voor ‘gewone mensen’ en alternatieve communicatie- zonder het vastleggen van complete gedragsprofielen- vaak ingewikkeld of onmogelijk wordt gemaakt.

En we als trend in 2014 constateren dat de vermelding ‘Natuurlijk achten we de Mensenrechten van belang’ of ’handelen we met inachtneming van de mensenrechten’ door overheden en bedrijven opgeld deed alsof men met het publiceren van dergelijke zinsneden al voldaan zou hebben aan het respecteren van de mensenrechten.

- Toenemende minachting voor rechterlijke uitspraken door overheid en toezichthouders NZa en CBP en de zorgverzekeraars via het VZVZ verbond wat het landelijk EPD-LSP runt . 

Waarbij we u per brief op 15-10-2014 al uitgebreid wezen op de voorbeelden hoe alle medische gegevens van de gehele bevolking via het Diagnose behandelsysteem DIS al beschikbaar zijn voor de overheid, zorgverleners, wetenschappers, beleidsmakers en private partijen. (waarbij in de Zembla tv uitzending op 17-4-2014  voor alle kijkers ondubbelzinnig werd duidelijk gemaakt dat burgers glashard bedonderd worden met de voorstelling van zaken dat de DIS gegevens geanonimiseerd zouden zijn. http://zembla.vara.nl/seizoenen/2014/afleveringen/17-04-2014

Hoe uitspraken t.a.v. privacy in GGZ door NZa werden genegeerd, hoe ongebreidelde dataopslag door zorgverzekeraars wordt gefaciliteerd door het CBP dat een apert onrechtmatige gedragscode van zorgverzekeraars goedkeurde en vervolgens, na daarvoor door de rechter te zijn teruggefloten, niet overgaat tot handhaving tegen zorgverzekeringsmaatschappijen die allemaal al jaren zonder de daarvoor vereiste gedragscode medische gegevens verwerken.  

- Grove aanvallen op het recht op privacy van patiënten en medische beroepsgeheim door zorgverleners door gezamenlijk optreden van overheid, zorgverzekeraars en toezichthouders.

Voor onderbouwing met bronvermelding verwijzen we naar de nominatie voor de Zorgverzekeraars Nederland en minister Schippers die wij aan Bits of Freedom stuurden voor de uitreiking van de Big Brother Award aan de grootste privacyschenders van 2014 zie: https://www.vrijbit.nl/dossiers/dossier-verzet/item/1016-big-brother-award-2014.html.

NB voor nog veel meer ontwikkelingen in deze sector in 2014, zoals het slinks invoeren van een ID-plicht vanaf de geboorte via zorgverzekeringswetgeving, omkopen en chanteren van zorgverleners om meer aansluitingen op het EPD-LSP te forceren, wetsvoorstellen om politie en justitie toegang tot alle medische gegevens te geven, gedogen en stimuleren van de minister om alle medische gegevens zonder toestemming van betrokkenen rechtstreeks te kunnen inzien via de Inspectie Gezondheidszorg en materiële controles op fraude door zorgverzekeraars, en meer Zie de bronvermeldingen van ons ‘Chronologische verslag over de jacht op onze medische gegevens’. Waarbij alle publicaties van stichting KDVP en VPHuisartsen die zich inzetten voor behoud van privacy in GGZ en eerstelijnszorg zijn inbegrepen en artikelen te vinden zijn van de Privacybarometer die eveneens aanhoudend waarschuwt over de wijze waarop de mensenrechten in de zorg  systematisch en moedwillig vanwege economische belangen de nek om worden gedraaid. https://www.vrijbit.nl/dossiers/dossier-epd/item/919-e-lek-tronisch-pati%C3%ABntengegevens-uitwisselings-doordruksysteem-epd.html

Als voorbeelden op gebied van Justitie stippen we aan het negeren van rechterlijke uitspraken van het Europees Comité voor Sociale Rechten (ECSR) inzake het voorzien in ‘bed, bad en brood’ aan alle inwoners van het land ongeacht of zij een legale status hebben en van Centrale Raad van Beroep (CRvB) 17-12-2014. Zie: http://www.logogemeenten.nl/nieuws/item/162/rechtbank-utrecht-staatssecretaris-moet-bed-bad-en-brood-bieden.

Evenals het negeren van de uitspraak van het EU Hof van Justitie 8-4-2014 dat de EU dataretentieplicht onrechtmatig is beoordeeld en dus de nationale bewaarplicht telecommunicatiegegevens die hierop is gebaseerd is per onmiddellijk dient te worden stopgezet.

Bronnen: 8-4-2014 uitspraak EUHvJ http://curia.europa.eu/juris/document/document.jsf?docid=150642&doclang=EN

19-11-2014 Kabinet  handhaaft bewaarplicht http://www.villamedia.nl/nieuws/bericht/kabinet-handhaaft-bewaarplicht

Daarnaast zijn er nog veel meer ontwikkelingen in 2014 die ertoe leiden dat van het recht om onbespied door het leven te mogen gaan nauwelijks meer gebruik kan worden gemaakt.

We noemen daarvan nog enkele in het oog springende ontwikkelingen in 2014, zonder dat deze opsomming als compleet dient te worden beschouwd:

- De ongebreidelde digitalisering van overheidsdiensten waarbij alle grootschalige ICT projecten systematisch tot rampzalige gevolgen leiden.  Zie o.a. rapport Elias 33 326 parlementair onderzoek naar ICT projecten bij de overheid http://www.tweedekamer.nl/sites/default/files/field_uploads/33326-5-Eindrapport_tcm181-239826.pdf

Met speciaal ook aandacht voor het feit dat de wetsvoorstellen van minister Opstelten om de overheid de bevoegdheid te geven om in te breken in alle computeraansluitingen en computerbestanden (wereldwijd) gehandhaafd blijft. Wat ook een vorm van ontwikkeling vormt van een zo’n draconisch voorstel. Hetzelfde geldt overigens ook voor de ‘ontwikkeling’ dat via Binnenlandse Zaken  geen openheid wordt gegeven over het functioneren van AIVD-MIVD in het kader van het 9 Eyes systeem waar de Nederlandse overheid samen met de NSA hoofdrollen spelers vormen in de wereldwijde PRISM- XKeyscore surveillance programma’s.

-  De wijze waarop de decentralisatie van nagenoeg de gehele zorgsector vanaf 1 januari 2015 via de gemeentes dient te worden georganiseerd - zonder dat ook maar 1 gemeente de zaken op orde heeft qua bescherming van persoonsgegevens en totaal onduidelijk is waar de verantwoordelijkheden liggen en dus hoe het staat met de rechtsbescherming van burgers als onbevoegden toegang tot hun persoonlijke gegevens krijgen.

 -  Uitdijende surveillance netwerken via cameratoezicht zonder dat dit zelfs maar daadwerkelijk een bijdrage levert aan het vergroten van de veiligheid ( en helemaal geen rekening wordt gehouden met de negatieve effecten van een bevolking die zich voortdurend bespioneerd voelt)waarbij het uitdrukkelijk niet enkel gaat over bewakingscamera’s maar om aan elkaar gekoppelde systemen van private en publieke partijen om binnen gebieden zoals het centrum van een stad real-time alle bewegingen van iedereen die zich op straat bevindt te kunnen beoordelen op ‘ongewenst gedrag’.

- Voortgaande registratiedrift om alle reis gedragingen van openbaar vervoerreizigers en automobilisten te registreren, te controleren en te monitoren. Met als voorbeelden de  afschaf van het papieren treinkaartje op 9-7-2014. http://www.treinreiziger.nl/actueel/binnenland/papieren_treinkaartje_met_korting_verdwijnt_per_9_juli-146235

En wat betreft het in kaart brengen van de gedragingen en  gedragsprofielen van automobilisten de toenemende kenteken terreur in 2014 https://www.privacyfirst.nl/privacy-first/columns/item/797-de-kentekenterreur-van-de-overheid.html en de koppeling van parkeerdata aan gemeentes en Belastingdienst via systeemdwang van uitsluitend elektronisch kunnen betalen voor parkeerplaatsen https://www.privacyfirst.nl/aandachtsvelden/mobiliteit/item/789-massaal-gebruik-van-anpr-data-door-belastingdienst-stuit-op-weerstand.html

Tot slot geven we u mee dat de aanwezige leden op de laatste ledenvergadering (4-1-2015) er uitdrukkelijk op aandrongen dat we u in de consultatie zouden meegeven dat in de Jaarrapportage wat betreft het mensenrecht op de bescherming van een privéleven het jaar 2014 getypeerd wordt met de uitleg dat  het hele principe van dit fundamentele mensenrecht in feite een absolute fictie is geworden gezien het feit dat van kinderen vanaf het moment dat ze geboren worden ( en deels al prenataal) voortdurend wordt geregistreerd in welke omstandigheden ze verkeren,  hoe zij zich ontwikkelen, en of deze elektronische kind-volg-data wel binnen de kaders vallen van de vooropgezette structuren volgens welke iedereen zich, statistisch gezien, dient te ontwikkelen zonder risicoscores op te lopen, meldingen bij de kinderbescherming op te doen of verplichte bijsturing opgelegd te krijgen.

De vragenlijsten op de consultatiebureaus, die standaard vragen afvinken als ‘of de ouders wel blij zijn met het kind, men denkt de opvoeding wel aan te kunnen e.d. zijn niet nieuw, maar vormen wel nog steeds een stuitend begin van het nieuwe virtuele datapakket wat van iedere burger wordt vastgelegd. Met, sinds de verdere uitholling van de afscherming van medische gegevens tegen gebruik van derden; de koppeling aan een IDplicht vanaf de geboorte en de herstructurering van de zorg, wel degelijk als ultieme ontwikkeling van 2014 geboekstaafd kunnen worden als nieuw dieptepunt in de stand van de mensenrechten in Nederland in 2014.

Met de inbreng hoopt Vrijbit te bewerkstelligen dat het CRM zowel in de jaarrapportage als tijdens het aanstaande overleg op 29 januari met het ministerie tijdens de ambassadeursconferentie,

  • De punten qua gezondheidszorg eindelijk eens serieuzer gaan nemen als systematische grootscahlige mensenrechtenaantasting.
  • Onderkent hoe dramatisch het is dat kinderen vanaf de geboorte zodanig worden gescreend en gemonitord dat zij zich niet vrij kunnen ontwikkelen.
  • De 'vingerafdruk-vrije' ID-kaart, die we na jarenlange strijd sinds januari 2014 weer kunnen aanvragen, gaat opvoeren als summum van positieve ontwikkeling. Terwijl de bezwaren en gevaren van de biometrische gechipte paspoorten, identiteitsbewijzen en daar aan gekopplede overheidsdatabase nog lang niet zijn weggenomen.
Gepubliceerd in Lokaal Mensenrechtenbeleid

Update: 3-1-2015 Privacynieuwsdienst Waarom A-H met bonuskaart systeem 15 jaar achterloopt maar via opschoning database vasthoudt aan personalisering van de klantkaart als ‘heilige graal’ van de mogelijkheden van het gebruik van Big data over het koopgedrag van miljoenen klanten. zie...

Anonieme bonuskaart eindelijk standaard.

Toen A-H begin 2012 op ongeoorloofde wijze handel ging drijven met de privégegevens van haar klanten, trad Burgerrechtenvereniging Vrijbit daar met succes tegen op. De actie ‘Mijn Bonus’ werd afgeblazen. Sinds 21 oktober 2013 wordt er nu een nieuw bonuskaartensysteem geïntroduceerd, omdat A-H de moed niet heeft opgegeven, om de schat aan persoonsgegevens waarover men beschikt te gaan verzilveren.

Mooi aan ‘de nieuwe Bonuskaart’ is dat de anonieme bonuskaart, die  A-H al sinds 1998 verplicht dient te verstrekken, nu als standaard kaart wordt uitgegeven. Het gedoe met invullen van formulieren, waarbij veel klanten ten onrechte dachten dat men alleen bonusvoordeel kon krijgen in ruil voor persoonsgegevens, is komen te vervallen. In alle filialen krijgen klanten bij de kassa ‘ de nieuwe bonuskaart’ die vanaf 6 januari 2014 de huidige klantenkaart gaat vervangen.

Van anonieme Bonuskaart naar een Persoonsgebonden klantenkaart

De clou van de nieuwe kaarten is dat deze bij uitgifte weliswaar anoniem zijn maar dat klanten verleid worden om ze zelf via de website van A-H te gaan omzetten tot persoonsgebonden kaarten. De kaart wordt zo 3x meer waard, men kan daarmee extra Air Miles sparen, krijgt verjaardagsaanbiedingen, en komt in aanmerking voor welkomstdeals als de kaart vóór 27 december wordt geactiveerd.

Met deze omzetting “wij van A-H noemen dat activeren” maakt de klant  een eigen AH-profiel aan en gaat men akkoord met de nieuwe A-H privacyvoorwaarden. Men geeft dan formeel toestemming aan A-H voor het bewaren en gebruiken van de aankoop (en eventueel websitebezoek) gegevens, in combinatie met iemands naam, geboortedatum , sekse en woon –en e-mailadres. De toestemming behelst dat de data:

  •  2 jaar en 4 maanden bewaard mogen worden,
  • Gebruikt mogen worden voor analyse van het eigen koop- en bezoekgedrag,
  • Gebruikt mogen worden voor vergelijking met het gedrag van andere klanten( in zelfde postcodegebied, van zelfde leeftijd, zelfde geslacht, zelfde of juist ander gedrag qua aankoop bepaalde producten, neiging tot gebruikmaken van kortingen, dagaanbiedingen, sensitief voor inrichting winkelschappen, tijdstip van winkelen, frequentie boodschappen doen, enz.
  • A-H gerechtigd is deze data en de gegevens die men aan data-analyse ontleend te gebruiken voor persoonsgerichte reclame die gemiddeld 2 keer per week per e-mail en/of per post worden gestuurd, en getoond worden via ah.nl en in de mobiele apps van Albert Heijn.

 Dat A-H deze gegevens bij vordering ook dient te verstrekken aan politie en sociale recherchediensten is bij de deal inbegrepen, en valt alleen voor wie dit al weet op te maken uit de versluierde voorlichting:  ‘Uitsluitend indien Albert Heijn hiertoe wettelijk is verplicht, worden persoonsgegevens verstrekt aan toezichthouders, fiscale autoriteiten en opsporingsinstanties. Je persoonsgegevens kunnen in dit kader ook worden doorgegeven naar ontvangers in landen buiten de Europese Economische Ruimte’ Lees…

Wettelijk kader

Volgens de wet voldoet A-H nu formeel aan de wettelijke verplichting dat de klantgegevens enkel gebruikt mogen worden voor doeleinden waarvoor de betrokkenen vooraf en goed geïnformeerd toestemming verleenden.  Al is dubieus of dat ook nog het geval is bij de clausule dat wie zijn kaart personifieert achteraf toestemming geacht wordt te geven voor de verwerking van de data over het koopgedrag van de voorgaande 3 maanden.  En in de praktijk kan men met recht wagen te betwijfelen of mensen daadwerkelijk overzien wat de consequenties zijn wanneer zij toestemming geven.

Ook valt praktisch moeilijk  te controleren of A-H zich wel houdt aan de vereisten van wetgeving met betrekking tot eerlijke handelspraktijken, met de wervingsactie dat de anonieme bonuskaart recht geeft op 1/3 bonusvoordeelwaarde in vergelijking met de gepersonifieerde klantenkaart.

De folder waar de nieuwe bonuskaart aan vast gehecht is vermeld ‘Uw gegevens zijn in veilige handen’ En ook ‘wij vragen alleen om uw persoonlijke gegevens als wij die nodig hebben om u nog beter van dienst te kunnen zijn’. Aangezien A-H een bedrijf is wat simpelweg winst beoogt te maken, is dit als een misleidende reclame uiting aan te merken. Iets wat misschien wel acceptabel is als reclame uiting over welk wasmiddel al dan niet als het meest veilig wordt aangeprezen. Maar kwalijk waar het gaat over het verzamelen van persoonsgegevens waarmee een commercieel bedrijf tot in detail inzicht kan krijgen in het privéleven van miljoenen klanten en met deze kennis ook in staat is om zonder dat betrokkenen daar weet van hebben hun gedrag ten aanzien van heel elementaire levensbehoeften kan manipuleren.

Bezint eer u begint uw persoonlijke data zijn goud waard

Voor mensen die het niet nodig of ronduit bezwaarlijk vinden dat een supermarkt precies gaat bijhouden wanneer en waar men boodschappen doet , wat men koopt en hoe men zich gedraagt, verandert er niks.

Mensen die geneigd zijn om de nieuwe bonuskaart te gaan activeren tot een persoonlijke klantenkaart willen we oproepen daar nog eens heel goed over na te denken. En om een idee te geven over wat het gevolg van het geven van toestemming kan betekenen, raden we iedereen aan om te kijken naar de recente video van de VPRO uitzending Tegenlicht waarin duidelijk wordt uitgelegd wat  data analyse van een winkelketen vermag. Hoe bijvoorbeeld op grond van het koopgedrag van een klant de supermarktketen al kan weten dat iemand zwanger is nog voordat de persoon dat zelf in de gaten heeft. Met het risico dat niet alleen de betrokkene en haar gezinsleden dit via een wel heel curieuze weg te weten komen, maar men ook de kans loopt om na het krijgen van een miskraam nog 2 jaar lang steeds persoonsgerichte reclame over babyvoeding te krijgen.

Zie video 28-10-2013 ‘uw persoonlijke data zijn goud waard’

Zo’n zelfde scenario tekent zich uit voor de waarschijnlijkheidsberekeningen die het bedrijfsleven kan maken op de vraag wie met aan zekerheid grenzende waarschijnlijkheid een ziekte onder de leden heeft. Zoals bijvoorbeeld Facebook, volgens een medewerker die hiertoe een opdracht had gekregen, makkelijk vrij nauwkeurig kan analyseren welke mensen binnenkort kanker zullen blijken te hebben.  (uitspraak bijeenkomst Platform Bescherming Burgerrechten 10 -12-2012 van persoon die de opdracht weigerde)

Herhaalde waarschuwing ’ Wat is het probleem?’ zie ook het artikel ‘A-H erlebnis, AH gaat klantgegevens verzilveren’ (17-1-2012)

Verlengstuk opsporingsdiensten
De b.v. Albert Heijn, fungeert met het vastleggen van gedragsgegevens als potentieel verlengstuk van de opsporingsdiensten. Met het gevaar dat klanten waarvan hun aankopen, tijdstip van aankopen doen en de combinatie met hoe zij de aankopen betalen, tot volkomen uit het verband gerukte conclusies kan leiden. De data maken bijvoorbeeld niet zichtbaar of men voor zichzelf inkopen deed, voor de buurvrouw of voor de sportvereniging, en zo kan men van een excessief drankgebruik worden verdacht omdat men voor de hele buurtvereniging inkopen doet.

Koopgedrag van invloed op afsluiten ziektekostenverzekering

Sinds 4 november 2007 handelt A-H niet enkel in de verkoop van supermarkt producten, maar ook in het aanbieden van A-H polissen voor zorgverzekeringen.
In 2005 begon A-H met een systeem waarin de klant wordt duidelijk gemaakt welke producten A-H als gezond beschouwd. Dit systeem van het ‘gezonde klavertjes-logo’ werd in 2009 uitgebreid met een programma waarin de klant ook gericht wordt aangestuurd bewust de keuze te maken om de producten met dit logo te kopen.
De ontwikkeling dat, in plaats van de zorgverleners en de overheid, de zorgverzekeraars in toenemende mate gaan bepalen hoe de zorg in Nederland wordt ingericht heeft sinds enkele jaren een grote vlucht genomen. Dat daarbij de kostenbeheersing van de ziekenzorg het uitgangspunt vormt, is daaraan inherent. Dit gaat gepaard met een ontwikkeling waarbij het steeds minder als taboe wordt beschouwd om de toegang tot zorg ter discussie te stellen voor bepaalde groepen patiënten. Met name het er op na houden van een, als ongezond getypeerde levensstijl, wordt publiekelijk steeds vaker geopperd als mogelijkheid om deze mensen met minder voorrang te gaan behandelen of een grotere eigen bijdrage in de zorg van te eisen.
De koppeling binnen een bedrijf, tussen handel in ziektekostenverzekeringen en handel in producten waarvan de verkoper zelf bepaalt wat men als ‘gezonde producten’ beschouwt, geeft de aanzet tot mogelijke belangenverstrengeling tussen het uitbaten van particuliere bedrijfsbelangen en het inrichten van een goede zorgsector.

Wat weet A-H allemaal nog meer ?


Het bedrijf heeft de beschikking heeft over een schrikbarende hoeveelheid persoonsgegevens. Het gaat niet enkel om miljoenen namen, woonadressen, e-mailadressen, gezinssamenstellings- ,en koopgedrag gegevens. Maar ook om de banknummers van klanten die elektronisch betalen. Bovendien bezit A-H gegevens van klanten die via pre-paidkaarten voor toegang betalen tot bel- en internetverkeer. A-H heeft zelfs beschikking over biometrische gegevens, waarmee klanten die niet gevolgd kunnen worden via de persoonlijke bonuskaart of bankgegevens toch identificeerbaar zijn.  Momenteel gaat dat voornamelijk door middel van cameraopnames die gezichtsherkenning mogelijk maken, niet alleen voor de beveiliging van een filiaal zelf maar ook voor politie, of bewakingsdiensten binnen een bepaald winkelgebied. In de toekomst kan dat gebruik nog verder strekken: het bedrijf blijkt geïnteresseerd in het ontwikkelen van wijzen waarop mensen met hun lichaamskenmerken zouden kunnen betalen, zoals de doorontwikkeling van de proef uit 2008/2009 om met vingerafdrukken te kunnen betalen.

Keuzevrijheid in private sector gaat voor supermarktwereld niet meer op


Bij kwesties van privacyschending door het particulier bedrijfsleven speelt altijd de keuzevrijheid van klanten een voorname rol. Wie het beleid van een bedrijf niet bevalt gaat immers naar een ander en als bedrijven klanten kwijtraken gaan ze hun leven wel beteren, zo luidt de filosofie van het zelfreinigend vermogen door marktwerking. Keuzevrijheid om niet bij A-H te kopen is echter voor veel mensen inmiddels niet langer een reële optie.
Kleine winkels, werden eerst door supermarkten uit de markt geconcurreerd, dus de mogelijkheid om basisbehoeften bij kleine winkels in de nabije omgeving te kunnen kopen bestaat voor velen alleen nog tijdens verre reizen of in verhalen van oude mensen. Inmiddels is ook de keuzemogelijkheid tussen supermarkten sterk verkleind omdat A-H zich op steeds meer plaatsen een  monopoliepositie verwerft. Zie voor klachten die daarover zijn ingediend bij de Nederlandse Mededingings Autoriteit - NMa 23-1-2009.

Schijn bedriegt als u denkt A-H een onschuldige inkijk te geven in uw koopgedrag.

Hoe onschuldig die inkijk in uw koopgegevens is, zou u nog weleens rauw op het dak kunnen vallen als u nog jaren na aankoop van een A-H product bijvoorbeeld door justitie ter verantwoording zou worden geroepen om uit te leggen wat u in 2009 om 14.15 uur in een bepaald A-H filiaal aan drank en verbandmiddelen kocht ( vruchtensap en pleisters), waarom u die dag eerder ook al boodschappen deed voor een ‘kennelijk gezellige bedoeld etentje’(gezien uw inkomen is de aanschaf van deze kaas toch niet aan te merken als een normale boodschap’) en later die dag een schoonmaakmiddel kwam kopen (op de gebruiksaanwijzing staat dat het o.a. bloedvlekken verwijdert). Of wanneer de inspecteur van de sociale recherche is opgevallen dat u zodanig luxe producten koopt dat dit aanleiding geeft tot een verdenking van uitkeringsfraude of de veronderstelling dat de tarieven van een sociale toelage als te riant mogen worden aangemerkt. Waarmee het verstandig is om rekening te houden met het feit dat in het Nederlandse rechtsbestel, formeel weliswaar is gebaseerd op het onschuld principe maar de overheid in de praktijk iedereen in de praktijk steeds meer als potentieel verdachte is gaan beschouwen. En met het gegeven dat steeds vaker een (administratieve) verdenking al aanleiding is om mensen te bestraffen, al behoort volgens de wet iemand officieel pas als bestraft te worden nadat de persoon volgens wettig en overtuigend bewijs schuldig is bevonden.

Actievoeren helpt

Vaak horen we mensen verzuchten dat het allemaal toch niks uitmaakt om op de bres te springen voor het behoud van de fundamentele rechten op bescherming van het privéleven. Of om op te komen voor een terughoudend en zorgvuldige omgang met het gebruik van persoonsgegevens.

Maar als niemand in 2012 in actie was gekomen, tegen de stiekeme wijziging van de privacyvoorwaarden door Albert Heijn B.V. en tegen de  actie ‘Mijn Bonuskaart’ was de supermarktketen ongestoord aan de haal gegaan met gegevens van een groot deel van hun klanten. Zonder dat ze daar toestemming voor hadden  en zonder dat de betrokkenen enige notie hadden gehad over wat er de afgelopen twee jaar met hun gegevenswas gebeurd.  

Dat liep anders omdat Burgerrechtenvereniging Vrijbit de moeite nam om een klacht in te dienen bij de directie van A-H en per brief aan het CBP te vragen om de actie een halt toe te roepen. Met per saldo als positief effect dat de privacy van miljoenen mensen die hun eten drinken toiletspullen enz. bij Albert Heijn kopen, door dit concern beter wordt gerespecteerd.

Dat een kleine Burgerrechtenvereniging als Vrijbit een groot bedrijf als A-H tot de orde kon roepen is beschouwen we als een succes wat moed geeft.  En als een stimulans om duidelijk te maken dat het wel degelijk zoden aan de dijk kan zetten als men in actie komt.

We roepen mensen daarom op om het niet gelaten te accepteren als hun privacy wordt aangetast. Om ook in actie te komen en/of om Vrijbit te steunen met een lidmaatschap of donatie om het werk te kunnen volhouden.

Gepubliceerd in Dossier Registratie

Update 17-3-2014 Na meldingen dat de DEKAmarkt ook de apparaten gebruikt en dat VOMAR op het punt zou staan ze te gaan invoeren, werden ook de directies van deze concerns aangeschreven.

Introductie:

Vanaf 1 januari 2014 is de leeftijd waarop jongeren alcohol mogen kopen verhoogd van 16 naar 18 jaar. Sindsdien wordt er in winkels verscherpte controle uitgeoefend op de leeftijd van klanten, waarvan het personeel inschat dat deze misschien jonger dan 25 jaar zijn.

In geval van twijfel of iemand wel zijn juiste leeftijd opgeeft wordt de betrokkene gevraagd om ten bewijze een ID-bewijs te tonen.

ID-scanner Lidl df023Omdat men tegenwoordig niet meer goed hoeft te kunnen rekenen voor een baan als kassamedewerker, is lang niet iedereen in staat om aan de geboortedatum van het ID-bewijs direct af te zien of iemand al dan niet ouder dan 18 jaar is. Vandaar dat sommige supermarkten standaard een spiekbriefje hiervoor op de kassa plakken.

Daarmee zou het probleem opgelost zijn ware het niet dat binnen het bedrijfsleven hier niks aan wordt verdiend.

Vandaar dat er momenteel geprobeerd wordt om het gebruik van ID-scanners te promoten met het aanboren van de supermarkt. Letterlijk voor de fabrikanten  een súper markt waar potentieel ontelbaar veel apparaten afgezet en geïnstalleerd kunnen worden. Met als bijkomend voordeel dat het gebruik van dergelijke apparaten in winkels, waar nagenoeg de hele bevolking gebruik van maakt, goed is voor de gewenning aan het gebruik van scanapparatuur. Wat als businessmodel ook weer extra marketing mogelijkheden schept voor het gebruik van scanapparaten in andere bedrijfstakken en voor nadere functie uitbreiding van de scanmogelijkheden op de plekken waar de apparaten al gebruikt worden.

Wat is erop tegen?

Een geldig identiteitsbewijs bevat een schat aan persoonsgegevens. Voldoende voor kwaadwillenden om er identiteitsfraude- of diefstal mee te plegen. En ruim voldoende om de registratie van iemands doen en laten niet alleen te kunnen koppelen aan iemands naam, maar  ook aan alle mogelijke andere gegevens die over een persoon gemiddeld al in honderden digitale databanken zijn vastgelegd.

Het is NOOIT verstandig om een origineel identiteitsbewijs uit handen te geven, en zeker niet als daarom gevraagd wordt door particuliere bedrijven. De toezichthouder voor de bescherming persoonsgegevens, het Cbp,waarschuwt niet voor niets regelmatig tegen het uit handen geven van kopieën van paspoorten en ID-kaarten(lees…). En gezien de risico’s die aan het verstrekken van een papieren kopie  kleven laat het zich eenvoudig begrijpen dat deze vele malen groter worden als mensen een origineel document digitaal laten scannen. Dan verdwijnt helemaal het zicht op wat  zo’n apparaat aan gegevens uitleest, wat het zou kúnnen registeren, of er gegevens worden opgeslagen of kúnnen worden opgeslagen, wie over de gegevens kan beschikken en waar ze voor gebruikt kunnen worden.

Men dient daarbij te bedenken dat de gevaren van het uit handen geven van identiteitsbewijzen extreem groter zijn geworden sinds deze documenten zijn voorzien van een gezichtsopname die geschikt is voor automatische gezichtsherkenningssystemen. En er (tot 2x toe) het unieke persoonsregistratienummer (BSN) op vermeld staat wat gekoppeld is aan álle gegevens van een persoon waarover de overheid de zorgverzekeraars, de banken en onderwijsinstellingen beschikken. (En binnenkort naar verwachting ook alle gemeenteambtenaren en door de gemeentes ingehuurde krachten die betrokken zijn bij de Jeugdzorg en uitvoering van het sociaal voorzieningenstelsel).

Zoals gezegd is het voor niemand verstandig om originele identiteitsbewijzen uit handen te geven. Maar voor jongeren zou je kunnen stellen is het zelfs in verhoogde mate van belang om hun gegevens zelf in de hand te houden. Zij immers hebben, als het goed is, nog een heel leven voor zich en zullen dan ook hun hele leven lang gedupeerd blijven als er narigheid van komt wanneer anderen aan de haal gaan met hun identiteitsgegevens. En zij zullen in de toekomst niet meer in vrijheid kunnen leven als de overheid samen met het  bedrijfsleven doorbouwt aan een infrastructuur waarbij  hun gedrag tot in detail wordt geregistreerd, gecontroleerd en kan worden gemonitord.

Actie tegen gebruik leeftijdscanners

Burgerrechtenvereniging Vrijbit neemt fel stelling tegen het gebruik van leeftijdsscanners door supermarkten en horecabedrijven. Zij veroordeelt het ook ten sterkste als de overheid, zoals de gemeente Utrecht in het huis-aan huisblad Dichtbij (d.d. 12-2-2014 )zich positief uitspreekt over het gebruik van de scanners onder het motto dat men voorstander is van een ‘ objectieve’ leeftijdsbeoordeling (alsof de geboorte datum in de ID-bewijzen er maar een slag naar slaat).

Zij is van mening dat het te gek voor woorden is dat het ontmoedigingsbeleid ten aanzien van alcoholconsumptie op jonge leeftijd, met het gebruik van leeftijdscanners,  wordt ingezet om jongeren in Nederland ander onwenselijk gedrag aan te leren waarmee ze zichzelf in gevaar brengen.

Vrijbit dient hierover een klacht in bij de directie van de Lidl, waar de sannner wordt gebruikt, tegen het A-H concern wat in diverse filialen momenteel experimenteert met het gebruik(lees…) en tegen Jan Linders Supermarkten BV dat zich erop laat voorstaan de grootste pilot te organiseren (lees…). Het College Bescherming Persoonsgegevens zal gevraagd worden om specifiek  het inscannen van ID-bewijzen te veroordelen en handhavend op te treden tegen bedrijven die op deze manier de Wet bescherming persoonsgegevens (Wbp) overtreden als zij niet tenminste ook de mogelijkheid bieden dat klanten zich met een identiteitsbewijs legitimeren wat ze zelf in de hand houden en waarvan bij het tonen het BSN niet zichtbaar is.

Jongeren die actie willen ondernemen tegen het toenemend gebruik van de ID-leeftijdscanners zullen  met raad en daad worden bijgestaan. Het vergt namelijk nogal wat verbaal vermogen en volhardendheid om, tegenover mensen die om een ID-bewijs vragen vol te houden dat men dat document niet uit handen wil en hoeft te geven.

Uit solidariteit met de jeugd willen we de ouderen vragen om als zij leeftijdscanners tegenkomen, daar aanmerkingen over te maken. En eventueel ook de moeite te nemen om de directie van het bedrijf daarover aan te schrijven.

Nadere toelichting

Op zich is het in het algemeen al een onwenselijke ontwikkeling dat de Rijksoverheid, vanaf de invoering van de Wet op de Uitgebreide ID-plicht(WU-ID) in 2005, systematisch probeert om het volk eraan te doen wennen dat men zich buitenshuis te allen tijde onmiddellijk zou moeten kunnen laten identificeren. En wel aan de hand van een van de daartoe als ‘enig geldig’ aangewezen documenten. Dat druist in tegen de wetgeving zelf die geen draagplicht kent en waarvan de richtlijnen ondubbelzinnig aangeven dat identificatie nooit een doel op zichzelf zou mogen worden.

Dat identificatie wel degelijk zuiver als inzet wordt gebruikt om bevolkingsgroepen zoals jongeren ervan te doordringen dat men constant in de gaten wordt gehouden, bleek recent weer eens in de Haagse Schilderswijk waar jongeren, zonder directe aanleiding, regelmatig 5 tot 6 keer per dag- of zelfs meermalen per uur- door politieagenten om hun ID-bewijs werd gevraagd( bron).

En dat is pas het voorstadium voor het ontwikkelen van een samenleving waarbij iedereen die zijn neus buiten de deur steekt, voortdurend via automatische systemen zal worden gescreend op identiteit en gedrag. De update in 2006 van de paspoorten en ID-kaarten naar biometrische op afstand uitleesbare documenten, laat niets aan duidelijkheid te wensen over ten aanzien van de bedoelingen dat identificatie, aan de hand van documenten, slechts als aanzet daarvoor dienen.

Hetgeen ook geldt voor:

- De combinatie van de her-identificatie acties van banken met betrekking tot het volgen van ieders betalingspatroon.

- De bevoegdheid van particuliere vervoersbedrijven als NS om in combinatie met het OV-chipkaart-reisgedrag-registratie-systeem geldige ID-bewijzen te mogen vorderen.

- Het gebruik van Wifi tracking en GPS plaatsbepaling van mobiele telefoons en computers in combinatie met het vastleggen van de identiteit van de gebruikers bij aankoop.

- Gezichtsherkennende camerasystemen,

-  Het gebruik van drones voor massa surveillance.

- En het BSN persoonsregistratiesysteem van de overheid, waarmee zowel via de identiteitsdocumenten, als via automatische (biometrische) identificatiesystemen alle persoonsgegevens waarover de overheid en semi-overheid beschikt, kan worden gedetecteerd als behorend bij iedere individuele burger.

Ook wat betreft de controle op het gedrag van klanten en voorbijgangers van winkels en horecagelegenheden, zien we dat het bedrijfsleven gretig gebruik maakt van de commerciële mogelijkheden die het biedt om als verlangstuk van de politie te mogen optreden. Camera’s die oorspronkelijk aangebracht  werden voor de beveiliging van winkels, worden onderdeel van een sluitend landelijk politioneel sensornetwerk’ en worden samen met WIFI tracking en GPS tracking ingezet voor het aanleggen van profielen van koopgedrag profielen van bezoekers en voorbijgangers op straat. (lees…) en plannen voor het opzetten van een alomvattend politioneel sensitive surveillance netwerk ( zie artikelen NRC 15-2-2014 en NRC 17-2-2014)

In het onderhavige geval zien we ook dat bedrijven van Rijkswege de taak krijgen opgelegd om, op straffe van fikste boete, toe te zien op de naleving van de leeftijdsgrens bij de verkoop van alcohol en tabak en in ruil daarvoor de bevoegdheid krijgen om als verlengstuk van de politiediensten, aan wie dit van oudsher was voorbehouden,  paspoort- ID-kaartcontroles uit te voeren. Dat het bedrijfsleven daarmee een instrument in handen krijgt waarmee men ook commercieel nieuwe kansen krijgt om de waardevolle gedragsgegevens van klanten aan hun identiteit te kunnen koppelen, is duidelijk. En aangezien ‘datagrabbing’ de nieuwe markt vormt om de goudmijn van het bezit aan persoonsgegevens te bemachtigen, hoort het niemand straks te verbazen als ID-scanapparaten die niet alleen de geboortedatum maar ook iemands achter- en voornaam, en document- en landnummer uitlezen en omzetten in een signaal groen=okay en rood=niet okay, op technisch eenvoudige wijze ook voor andere doeleinden worden geprogrammeerd. Of zodra klanten gewend zijn aan scanapparatuur bij de kassa, ongemerkt worden vervangen voor andere apparaten met een uitgebreidere klantscreening functie.  

Meer info

Over de AVS-2020- IDscanner http://www.idreaders.nl/component/virtuemart/?page=shop.product_details&product_id=38++

CBP Richtsnoeren  - identificatie en verificatie van persoonsgegevens in de private sectot http://www.cbpweb.nl/downloads_rs/rs_kopie-identiteitsbewijs.pdf

17-2-2014 NRC Total sensor surveillance system https://www.vrijbit.nl/dossiers/dossier-identificatieplicht/item/download/321_787342c9dec988ee8f35c2f84b039b7d.html

Contactadressen:

Centraal Bureau Levensmiddelen Postbus 262 2260 AG  Leidschendam

Directie:Jan Linders Supermarkten BV Postbus 72, 5854 ZH Nieuw Bergen

Directie Lidl Nederland Postbus 198 1270 VB Huizen

Directie Albert Heijn BV Postbus 3000, 1500 HA Zaandam

Directie DEKAMarkt , Postbus 86, 1940 AB Beverwijk

Directie Vomar Voordeelmarkt, Antwoordnummer 81303, 1810 VA Alkmaar

College Bescherming Persoonsgegevens Postbus 93374, 2509 AJ Den Haag

 

Gepubliceerd in Dossier Identificatieplicht

mobiele_scanner_politieHet ministerie van Veiligheid en Justitie begint dit najaar met een proef met mobiele vingerscanners. Circa 125 politieagenten zullen worden uitgerust met een vingerscanner waarmee de vingerafdrukken van personen die staande worden gehouden, kunnen worden gescand. De proef zou in eerste instantie bedoeld zijn voor opsporing van illegale vreemdelingen maar als de proef succes heeft, wil het ministerie het gebruik uitbreiden om te kijken of iemand nog een boete heeft openstaan.

Function creep van onderop

Het begint met illegalen maar breidt zich langzaam uit naar andere groepen en personen in de samenleving. Tien jaar geleden waren het ook asielzoekers die het twijfelachtige genoegen hadden als eerste groep deel te nemen aan een proef waarbij zij zich regelmatig met hun duim aan een inlogzuil moesten identificeren. Ze kregen ook een kaart met biometrische gegevens. Deze function creep van onderop lijkt zich nu te herhalen met de mobiele vingerscan, het breidt zich langzaam uit tot daklozen, junks, hangjongeren en tenslotte vraagt oom agent van iedereen de vingerafdruk om te kijken of er nog een boete openstaat.

Gepubliceerd in Politie en Justitie
dinsdag, 01 september 2009 04:55

OV-Chipkaart in strijd met privacy

OV-Chipkaart in strijd met privacy, nu ook als verlengstuk voor justitiedoeleinden opgeëist.

Vervoersbedrijven mogen pasfoto’s, en de digitale opslag daarvan, niet in hun administratie opslaan, tenzij de klant daar vooraf uitdrukkelijk toestemming voor heeft verleend. Geen pasfoto’s opslaan voorkomt dat ze voor commerciële toepassingen kunnen worden gebruikt, ingezet kunnen worden voor gezichtsherkennende camerasystemen of worden opgeëist door justitie.

Gepubliceerd in Dossier OV

Op drie mei 2015 diende Burgerrechtenvereniging Vrijbit twee verzoeken in bij toezichthouder om een eind te maken aan:

1- De onrechtmatige verzameling en verwerking van medische gegevens door de Zorgverzekeraars en

2- De wijze waarop de Nederlandse Zorgautoriteit ( NZa) de medische diagnose- en behandelgegevens (DBc) van de gehele Nederlandse bevolking periodiek opeist van de zorgverleners, deze zelf verwerkt in het DIS en verstrekt aan derde partijen.

De uitspraak termijn van de rechtbank Midden-Nederland waar beide zaken afgelopen 10 maart in Utrecht werden behandeld is onlangs met 6 weken verlengd  tot 2-6̄- 2017.

Gepubliceerd in Dossier Gezondheidszorg
dinsdag, 23 februari 2010 20:58

Studenten eisen actie CBP tegen OV-chipkaart

Vijf studenten willen niet dat iedere reisbeweging met hun studentenkaart in een database terechtkomt, zonder dat duidelijk is wat er mee gebeurt. Zij eisen actie van toezichthouder CBP. De studenten, die allemaal rechten studeren, hebben een OV-studentenkaart waarmee ze op bepaalde tijden vrij in het openbaar vervoer mogen reizen. Dat ze bij die reizen verplicht zijn om zich bij het systeem aan en af te melden of anders een boete riskeren, is volgens hen overbodig. Gegevensverwerker Trans Link Systems bewaart die gegevens vervolgens zeven jaar.

Gepubliceerd in Dossier OV

Jarenlang leek het tegen dovemansoren gezegd als Burgerrechtenvereniging Vrijbit waarschuwde dat de Wet bescherming persoonsgegevens (Wbp) geen bescherming biedt tegen het gebruik van gegevens door politie en justitie en veiligheids-en inlichtingendiensten.  In alle publicaties en rechtszaken werd door Vrijbit  telkens weer naar voren gebracht dat men zich ervan bewust dient te zijn dat nagenoeg alle gegevens die bedrijven of instellingen over een persoon vastleggen ter beschikking staan voor justitieel gebruik en voor het werk van veiligheids-en inlichtingendiensten, zodra de overheid iemand als verdachte aanmerkt.

Bevoegdheden van politie-justitie & veiligheids- en inlichtingendiensten

Grondslag hiervoor vormen de ‘Wet Bevoegdheid Vorderen Gegevens’ van juli 2005, de ‘Wet op de inlichtingen- en veiligheidsdiensten 2002’, en bilaterale afspraken over samenwerking met inlichtingendiensten van andere landen:

  • De eerste wet bepaald dat voor het opsporen van strafbare feiten, bij vordering daartoe, iedere instelling of bedrijf verplicht is om alle gegevens aan te leveren die betrekking hebben op een als verdachte aangemerkt persoon en ook medewerking kan worden gevorderd aan het ontsleutelen van gegevens. Met als enige uitzondering de data betreffende godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of lidmaatschap van een vakvereniging.
  • De tweede wet bepaald dat de AIVD en MIVD, nagenoeg ongelimiteerd, bevoegd zijn om persoonsgegevens van individuen en organisaties te verzamelen waarvan men het vermoeden heeft dat ze ‘een gevaar vormen voor het voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat’. Deze diensten hebben zowel toegang  tot gegevens waar overheidsdiensten over beschikken als tot dataopslag in de particuliere sector.
  • Via (bilaterale en multilaterale) verdragen en internationale afspraken (MoU’s) is geregeld hoe het delen en uitwisselen van gegevens is geregeld met politie- justitie- en inlichtingen diensten van  ‘bevriende mogendheden’.  
  • Op grond van de Patriot Act uit 2001, kreeg de FBI bovendien van de Amerikaanse overheid de bevoegdheid om wereldwijd, zonder tussenkomst van een rechter, alle persoonsgegevens op te eisen waarover een bedrijf of instelling beschikt, zodra dat bedrijf een vestiging of zelfs maar alleen een postbus in de VS heeft. Deze wetgeving die in het kader van ‘terrorisme bestrijding’ werd ingevoerd, overruled sindsdien in Europa alle nationale en Europese wetgeving.

De transparante mens -  kwetsbare samenleving

Pas recent beginnen mensen zich bewust te worden van de immense hoeveelheid gegevens die over hen worden opgeslagen. Over waar iedereen zich bevind en heeft bevonden, over iemands inkomsten en uitgaven, de leefsituatie, welke contacten men onderhoudt, en hoe frequent deze worden onderhouden, in welke informatie men is geïnteresseerd, enz.  En vooral ook van het feit dat dit niet allemaal losstaande gegevens betreft, maar dat ze verknoopt kunnen worden en grondstof kunnen vormen om er een uiterst nauwkeurig gedragspatroon, tot zelfs voorspellingen over iemands toekomstig gedrag, aan te kunnen ontlenen.

Ook het besef over de risico’s begint voorzichtig door te dringen: Over welke gevolgen het kan hebben als data verkeerd worden geregistreerd en foute data niet verwijderd of gewijzigd kunnen worden. Over hoe iedereen de regie over zijn eigen leven kwijtraakt wanneer men geen mogelijkheid meer heeft om zicht te houden op welke gegevens er worden vastgelegd, wie daarover beschikt en waar de data voor gebruikt worden. Over hoe rechteloos de burger raakt wanneer niemand verantwoordelijk kan worden gesteld voor het onjuist opslaan, verwerken, doorgeven of koppelen van gegevens. Hoe machteloos men staat als uit dataopslag verkeerde conclusies worden getrokken, bijvoorbeeld omdat ze uit hun verband worden gerukt of in een andere tijd worden geïnterpreteerd. Welke verstrekkende gevolgen het kan hebben als data in verkeerde handen vallen. Zoals identiteitsfraude- en diefstal of chantage als het criminelen betreft. Of onterechte verdenking door verzekeringsdiensten, (sociale) recherche, jeugdzorg e.d. Hoe kwetsbaar het zowel individuele mensen als de samenleving in zijn geheel maakt wanneer via computersystemen essentiële facetten van de infrastructuur van de samenleving kunnen worden aangetast.

Een totalitair surveillancesysteem waarbij de overheid zich alle data kan toe-eigenen

Aangezien het internet nog geen 25 jaar oud is en de technische mogelijkheden voor data opslag en analyse zich in duizelingwekkende vaart ontwikkelen, is het niet zo vreemd dat veel mensen er nog geen notie van hebben dat alle klantgegevens die winkels, bouwmarkten, videotheken, bibliotheken, transportondernemingen, kaartverkoopbedrijven, hotels, vakantieparken, telecommunicatiebedrijven, enz. verzamelen tot in lengte van dagen bewaard blijven en met elkaar in verband kunnen worden gebracht. Laat staan dat men de reikwijdte overziet van een ‘totalitair surveillancesysteem ‘ waarbij de overheid zich alle data kan toe eigenen. En de impact van deze data gulzigheid die zoveel informatiemacht geeft dat een overheid iedere burger a priori als verdachte kan gaan aanmerken omdat er altijd wel iets uit de gegevensbrij te destilleren valt wat als verdacht kan worden beschouwd.

Checks and Balances

Een rechtsstaat is in theorie een staat waarvan de macht gereguleerd en beperkt wordt door het recht. Wetgeving verplicht burgers enerzijds om zich aan bepaalde regels te houden maar dient er ook toe om hen te beschermen tegen machtsmisbruik en willekeur van de overheid. Dat functioneert alleen als er voldoende ‘checks and balances’ ingebouwd worden, waarmee de totstandkoming van wetgeving democratisch geborgd wordt en de ten uitvoerlegging gebonden is aan controleerbare voorwaarden. Daartoe is het noodzakelijk dat er tussen de wetgever en de uitvoerende macht een rechterlijke macht staat die onafhankelijk kan toetsen of wetgeving correct tot stand is gekomen, of de Staat zich aan haar eigen voorschriften houdt, uitvoerenden zich niet schuldig maken aan machtsmisbruik of willekeur, en of bij conflicten tussen de burger en de overheid de belangen van de burger niet onnodig of buiten proportioneel worden geschaad.

NL is internationaal koploper in het tappen van telefoongesprekken zonder zich aan de wet te houden

In de praktijk blijkt er van bovenstaande mooie intenties vaak weinig terecht te komen. Zo is Nederland bijvoorbeeld al jaren koploper in het tappen van telefoongesprekken zonder dat de opsporingsdiensten zich houden aan de toepasselijke wet- en regelgeving met betrekking tot het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT), en de daarin opgenomen waarborgen tegen misbruik van de gegevensbestanden.  Ook het recht van de burger op een effectieve rechtsgang wordt steeds vaker belemmerd door mistige ontoegankelijke juridische procedures, inperkingen van mogelijkheden om in beroep te gaan, verhoging van griffiegelden, het verbod voor rechters om aan de Grondwet te mogen toetsen, enz. Maar ook omdat wetgeving niet toegesneden is op de huidige digitale informatiesamenleving, waardoor het vaak al onmogelijk is om vast te stellen wie er verantwoordelijk is voor de verwerking van persoonsgegevens zodra deze in het datacircuit terecht zijn gekomen.

Het (naïeve) geloof dat computerdata exacte en dus betrouwbare informatie geven versterkt ook de trend dat de overheid zich steeds minder gelegen laat liggen aan belangrijke rechtsprincipes. Zoals het principe dat iedereen verondersteld wordt onschuldig te zijn, tenzij er wettelijk en overtuigend bewijs voor het tegendeel is, en dat mensen het recht hebben om niet aan hun eigen veroordeling te hoeven meewerken. Administratieve verdenkingen leiden steeds makkelijker zonder rechterlijke tussenkomst tot ten uitvoerlegging van strafoplegging of sanctiemaatregelen.

En daar komt dan nog bij dat het voor de burger moeilijk is om op te treden tegen onrechtmatig optreden van de overheid, als deze diensten de controle op hun functioneren zelf in handen hebben (politie-justitie) of alle informatie over hun handelen als geheim kunnen afschermen zoals de AIVD en MIVD.  

Totalitair regiem in opbouw

Waarmee maar duidelijk gemaakt wil worden dat het machtsevenwicht tussen wat de Staat van de burgers eist en verwacht en wat burgers van hun overheid mogen verwachten, met de komst de digitalisering van de samenleving dramatisch is doorgeslagen naar een oppermachtige overheid. Met mogelijkheden om het gedrag van alle burgers zodanig te kunnen controleren en monitoren dat iedere machthebber van alle totalitaire regiems die de mensheid tot nu toe heeft gekend daar niet eens van had durven dromen.

Snowden luidt de grote klok

En toen kwam op 6 juni 2013 ene Edward Snowden naar buiten met zijn onthullingen over PRISM. De afluister- en zoekprogramma’s van de National Securicy Agency (NSA) uit de VS. Met al snel daarna ook informatie over het aftappen van internetverkeer uit de telecommunicatiekabels door de Britse GCHQ. Met informatie over vergelijkbare spionage praktijken van andere landen en over de onderlinge samenwerking tussen de internationale inlichtingendiensten.

Kortom over de manier waarop de Amerikanen als spin in het web van de totale persoongerelateerde bewaking van het wereldwijd gebruik van telecommunicatie alles in het werk stellen om zoveel mogelijk gegevens te verzamelen van de digitale sporen die mensen achterlaten op het internet. Om dit als grondstof te gebruiken voor zoekprogramma’s die uit deze gigantische informatiebrij navlooien op aanwijzingen die als mogelijke bedreiging voor de huidige machthebbers kan worden geduid.

Het belang van de onthullingen is niet zozeer dát dit allemaal gebeurd, maar dat er nu hard bewijs geleverd is voor deze praktijken. En vooral ook dat het blootlegt op welke manier communicatiedata worden onderschept.

Dat de overheden in het zogenaamde vrije Westen, zoveel grip willen hebben op hun eigen bevolking dat ze tot in detail wensen mee te kijken- en luisteren met alle telecommunicatie kwam niet als verrassing voor hen die bekend waren met het bestaan van het Echelon programma uit de jaren negentig. Dat programma wat eveneens beoogde alle telecommunicatie te onderscheppen maar zich toentertijd beperkte tot informatie die via satellieten werd verzonden. Dat programma waar een belanghebbend rapport over verscheen op 5 september 2001 wat een week later al in de prullenbak lag omdat na 9/11 iedere vorm van scepsis over controlemaatregelen van de overheid onbespreekbaar was, en min of meer als zelfstandige vorm van heulen met het terrorisme werd beschouwd.

De aanslagen in New York hebben zo jarenlang gefungeerd als stroomversnelling om zonder veel weerstand allerlei plannen die er lagen voor strengere controle op het doen en laten van de bevolking door te voeren. De Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (USA Patriot Act) uit  2001 en pal na de aanslagen de goedkeuring van het Nederlandse parlement aan de herinvoering van het persoonsbewijs en identificatieplicht, waren slecht voorproefjes van wat er te gebeuren stond.

Met de groei van de datastromen en komst van de glasvezelkabels voor de doorgifte van data, ontwikkelde de Amerikaanse inlichtingendiensten en die van hun bondgenoten nieuwe methoden om zoveel mogelijk data te kunnen verzamelen. En werd de door het einde van de koude oorlog overbodig geworden capaciteit van de defensie industrie omgetoverd in een bloeiende defensie -surveillance industrie die programma’s en apparaten ging ontwikkelen en exploiteren om de eigen bevolking in de gaten en onder de duim te houden.

Om optimaal gebruik te kunnen maken van de excessief toenemende elektronische datauitwisseling verschafte overheden zichzelf steeds verdergaande bevoegdheden om

toegang te krijgen tot deze data. En door deze bevoegdheden onder te brengen bij de inlichtingen-veiligheids- en anti-terrorismediensten bleef voor de burgers verborgen wat er precies werd verzameld, over wie, waarom en wat er met die data gebeurd. De NSA probeerde zich allereerst toegang te verschaffen via de servers waar de gegevens worden opgeslagen. Waarbij bedrijven die hieraan mee dienden te werken geheimhouding werd opgelegd. Zoals bij de mailservicedienst Lavabit van dhr. Ladar Levison, die weigerde om de FBI de SSLcode ter beschikking te stellen waarmee zijn klanten via versleuteling privé mails met elkaar konden uitwisselen die enkel te openen was voor de verzender en ontvanger die men daar onderling de toegangscode voor gaf. Een voorbeeld wat bekend is geworden vanwege de eigenaar die zijn bedrijf stopzette toen hij de druk van de FBI niet langer kon weerstaan, en nu voldoende geld via crowdfunding heeft opgehaald om een rechtszaak tegen de overheid te voeren dankzij het feit dat de inmiddels wereldberoemde meneer Snowden een van zijn klanten was.

Als tweede manier werd ook telecommunicatieverkeer rechtstreeks uit het glasvezelnetwerk afgetapt - liefst lekker handig op de plekken waar de intercontinentale glasvezelkabels aan land komen en in samenwerking met de inlichtingendiensten ter plekke. Dit systeem Xkeyscore kan niet alleen net als PRISM metagegevens opvissen om op te slaan en later te analyseren, maar kan ook e-mails analyseren en ál iemands internetverkeer vastleggen.

Ook een manier was om bedrijven te verplichtten om dagelijks hun bedrijfsgegevens aan te leveren, zoals daags voor Snowden van zich liet spreken, bekend werd dat het telefoon en internetbedrijf Verizon dagelijks verplicht werd om aan de NSA de telefoongegevens aan te leveren.

Later bleek dat de NSA ook directe toegang heeft tot de computers van de grote Amerikaanse bedrijven als Microsoft ( inclusief Skype),Yahoo, Google ( inclusief YOU Tube), Facebook, Apple, Pal Talk en internetaanbieder AOL. Computersystemen waar vanuit al het telecommunicatieverkeer tussen het bedrijf en zijn klanten en van klanten onderling kan worden bespioneerd. En via deze computers ook toegang bleek te zijn gelegd naar de interne netwerkverbindingen waarmee binnen de bedrijven interne bedrijfsgegevens worden uitgewisseld.

Snowden onthulde eveneens het bestaan van het Bullrun-programma. Een programma wat inhoudt dat de NSA technische installatie- en telecommunicatie bedrijven expres zwaktes en achterdeurtjes laat inbouwen in versleutelingsproducten. En waarbij beveiligingsstandaarden, die de grondslag vormen voor het verstrekken van veiligheidscertificeringen, gecorrumpeerd worden.

Impact voor Nederland

Wat de NSA allemaal verzameld en hoe vaak is niet bekend omdat de dienst bedrijven verplicht om mee te werken op grond van geheime wetten. Maar men dient er rekening mee te houden dat in principe alles wat aan elektronische datauitwisseling plaats vindt voor de NSA toegankelijk is.

Hoe men de gegevens gebruikt is officieel ook niet bekend. Al is wel duidelijk dat de NSA, die volgens Amerikaanse maatstaven enkel van buitenlanders in het geheim persoonsgegevens mag verzamelen, wel degelijk ook de eigen bevolking in de VS bespioneert.

Dat Nederland gebruik maakt van de gegevens die volgens Nederlandse en EU wetgeving illegaal via PRISM zijn verzameld, werd afgelopen zomer door minister Plasterk ontkent. Inmiddels heeft hij in de Tweede Kamer die bewering afgezwakt met de uitleg dat hij daar geen informatie over mag verstrekken. Met als toevoeging dat Nederland op grond van internationale afspraken in principe natuurlijk wel gerechtigd is om gebruik te maken van gegevens die in Amerika zijn verzameld en dat het een ‘goede gewoonte’ is om andere naties niet te bevragen over de manier waarop die aan de gegevens zijn gekomen. Een gewoonte die nog vers in het geheugen ligt door de omgekeerde praktijk waarbij de VS ook geen verantwoording meende te hoeven afleggen over door marteling verkregen informatie zolang die info uit het buitenland kwam.

Omdat Nederland zulke innige samenwerking onderhoudt met de VS dat het lid is van categorie de ‘Nine Eyes’ van het PRISM-spionagenetwerk, hoeven we ons geen illusies te maken over de manier waarop informatie zodanig over en weer wordt uitgewisseld.

Omdat de minister weigert daarover informatie te verstrekken aan het parlement en men geen fiducie heeft in het onderzoek wat de toezichthouder instelt naar het functioneren van de AIVD, heeft een groep, bestaande uit enige organisaties en particulieren, de minister voor het gerecht gedaagd om te bewerkstelligen dat de Staat gedwongen wordt om te stoppen met het gebruik en witwassen van illegale dataopslag.

Het EU Parlement is ondertussen ook druk doende om te onderzoeken hoe de massale dataspionage vanuit de VS in de EU kan worden tegengegaan. De regeringsleiders willen ook tegenmaatregelen nemen nu ze zijn gaan beseffen dat ook hun privé telefoongesprekken en alles wat ze via internet communiceren door de NSA kan worden gescreend en dat de NSA praktijken ook behelzen dat door bedrijfsspionage de handelsbelangen van de EU benadeeld worden. Maar erg hard lopen ze niet aangezien ze tegelijkertijd wel verantwoordelijk zijn voor gelijksoortige praktijken van hun eigen inlichtingendiensten.

De hamvraag blijft echter of de overheid en bedrijven bereid zijn om architecturen van datasystemen zo te ontwerpen dat dit soort massale sleepnet spionage niet meer kán gebeuren. En ervoor kiezen om gebruik te gaan maken van systemen waarin informatie moet worden versleuteld en waar bij data-uitwisseling alleen de verzender en ontvanger over de sleutels beschikken om gegevens te kunnen ontcijferen. Waarbij derden, dus ook de cloudbeheerders, geen toegang hebben tot de data. En justitie, alleen bij een concrete verdenking, de sleutels moeten kunnen opvragen bij de eindgebruikers.

Zie elders op deze website voor bronvermelding het chronoverslag over het PRISMschandaal en de verklaring van afkortingen en begrippen.

 

Gepubliceerd in PRISM