Enige tijd geleden kondigde het ministerie van Veiligheid en Justitie aan het privacybeleid aan te passen. De kop van het persbericht impliceerde dat er eindelijk werk gemaakt zou worden van de meldplicht datalekken. Maar Bits of Freedom keek verder dan de kop en analyseerde het gehele pakket van voornemens. Helaas moeten we concluderen dat het aan alle kanten rammelt.
De kop van het persbericht kondigt alleen een meldplicht datalekken aan. Dat Staatssecretaris Teeven daarbij zijn eigen deadline niet heeft gehaald zij hem vergeven, ware het niet dat er van een wetsvoorstel nog steeds geen sprake is. Volgens de privacynotitie van het kabinet blijft er ‘nadere gedachtevorming’ (p.5) nodig over zaken als de reikwijdte (voor wie geldt de meldplicht?) en aansprakelijkheid (wie draait op voor na datalek geleden schade?). Het kabinet laat wederom na keuzes te maken, terwijl Bits of Freedom al in januari 2010 een wetsvoorstel (PDF) neerlegde bij Justitie. Kortom: te laat, teveel woorden, te weinig daden.
Ondanks de kop gaat het persbericht over veel meer dan de meldplicht datalekken, namelijk over de kabinetsvisie op privacybescherming in het algemeen en de Wet bescherming persoonsgegevens (Wbp) in het bijzonder. En het gebrek aan daadkracht blijkt een rode draad in het kabinetsbeleid, dat vaak nietszeggend is en af en toe wordt overschaduwd door verkeerde of zelfs privacybeperkende beleidskeuzes. Uit onze lange waslijst delen we hier alvast belangrijke kritiekpunten op de privacynotitie:
- p.4: het regeerakkoord schrijft weliswaar voor dat privacybeperkende maatregelen ‘zoveel mogelijk voorzien worden van een horizonbepaling’ (voor een beperkte tijd gelden en alleen verlengen bij positieve evaluatie), maar de notitie blijft vaag wanneer zo’n horizonbepaling aan de orde is. ‘Aard van de inmenging en investeringen’ zijn leidend. Wat gebeurt er als de privacybeperking evident is, maar de surveillance blijkt duur om in te voeren – komt er dan geen horizonbepaling omdat de investeringen belangrijker zijn dan onze privacy? Dat het kabinet ‘enige terughoudendheid bij horizonbepaling’ (p.11) voorschrijft, geeft weinig vertrouwen in haar prioriteiten.
- p.14: op belangrijke terreinen (zoals klachtregelingen) wacht Nederland af wat een nieuwe Europese privacyrichtlijn zal voorschrijven. Een gemiste kans. Het kan nog jaren duren voordat men in Brussel tot een nieuwe richtlijn komt, daarna zal het nog jaren duren voordat zo’n richtlijn in de Nederlandse Wbp is omgezet. Waarom al die jaren wachten? Wederom toont het kabinet geen daadkracht.
- p.4: de notitie spreekt meestal van een meldplicht datalekken bij ‘ontoereikende beveiligingmaatregelen’, maar soms ook alleen bij ‘doorbrekingen van de beveiligingsmaatregelen’ (PDF). Maar bij een meldplicht datalekken staat juist degene wiens persoonsgegevens gelekt zijn centraal. Of dat te wijten is aan onjuiste beveleigingsmaatregelen, slimme hacks of – meestal – aan domme fouten, is volstrekt irrelevant.
- p.4/5: het kabinet impliceert dat zich in Nederland geen ernstige datalekken voorgedaan hebben. Deze stelling is onjuist en gevaarlijk, omdat ze geen recht doet aan de realiteit. Bits of Freedom houdt al langer dan een jaar een Zwartboek Datalekken bij. Zo gaf een lek bij Kasboek.nl gaf toegang tot 8.985 bestanden waarin meer dan een miljoen banktransacties werden genoemd. De totale waarde van de gelekte transacties bedroeg ongeveer 200 miljoen euro. Niet ‘ernstig’?
- p.13: op basis van verkeerde veronderstellingen ziet het kabinet ‘onvoldoende reden’ om privacy impact assessments (‘PIAs’) verplicht te stellen. Maar het in kaart brengen van privacyrisico’s in de ontwerpfase van surveillancemaatregelen brengt de belangrijkste pijnpunten juist in een vroeg stadium aan het licht. Hiermee had het afschieten van het landelijke EPD in de Eerste Kamer voorkomen kunnen worden, net als de privacyproblemen rond de OV-chipkaartgegevens, zoals het 7 jaar lang bewaren van reisgegevens zonder goede reden. Door privacypijnpunten in het begin weg te nemen, voorkom je onverwachte – en doorgaans torenhoge – kosten of zelfs annulering van maatregelen achteraf. Dit schreven we al in ons Manifest voor Digitale Vrijheid (PDF). Er dient goed nagedacht te worden wanneer PIAs ingezet moeten worden, maar het afschieten van een PIA uit kostenoverwegingen gaat niet op.
Bits of Freedom heeft het kabinet en de politiek herhaaldelijk geadviseerd welke keuzes nodig zijn bij het aanpassen van de Wbp – bijvoorbeeld in oktober 2009, december 2009, januari 2010 en in februari 2011. Op basis van onze analyses, moet het kabinet:
- het beginsel van dataminimalisatie versterken;
- verdergaande transparantie verzekeren;
- betere beveiliging van persoonsgegevens verzekeren;
- het begrip “persoonsgegevens” verhelderen;
- bestuurlijke toezicht en handhaving van het juridisch kader versterken;
- civiele handhaving van het juridisch kader versterken;
- Een meldplicht datalekken introduceren;
- Een audit-verplichting voor beheerders van databanken introduceren;
- Beveiligingsmaatregelen door “privacy-by-design” bevorderen;
- Privacy effect rapportages (privacy impact assessments) bij wet- en regelgevingsvoorstellen verplicht stellen; en
- Privacy-beperkende overheidsmaatregelen in de tijd beperken (horizonbepaling).
Blijkbaar is het nodig om onze adviezen nogmaals te herhalen en weer mee te doen aan de aankomende consultaties. We stropen de mouwen op, u hoort van ons.
Opmerkingen over het privacybeleid van het kabinet en aanvullingen op onze kritiekpunten zijn van harte welkom in de comments – we zullen relevante suggesties meenemen in onze advisering aan het kabinet en de politiek.
Matthijs
Wat denken jullie van (relatief) recente studies waaruit blijkt dat geanonimiseerde datasets door kundige ‘tegenstanders’ c.q. ‘adversaries’ met behulp van publiek beschikbare informatie weer ge-de-anonimiseerd (ja hoe schrijf ik dat in vredesnaam correct) kunnen worden? Bijvoorbeeld Ohm werpt de suggestie op dat daarmee de scope van het begrip ‘persoonsgegeven’ uit de Europese regels onwerkbaar breed kan worden en dat er meer sectorspecifieke privacyregels nodig zullen zijn en er mogelijk ook meer differentiatie moet worden aangebracht in verschillende soorten persoonsgegevens naar mate van gevoeligheid? Nu is er slechts een simpele tweedeling tussen ‘gewone’ persoonsgegevens en een beperkte groep ‘gevoelige gegevens’ zoals medische gegevens en sexuele geaardheid, ras, etc, terwijl hele andere categorieën gegeven, zoals banktransacties en creditcardgegevens geen uitdrukkelijke extra bescherming kennen (al vloeit iets dergelijks wel voort uit de verplichting tot ‘adequate’ beveiligingsmaatregelen).
Verder treurig dat de (Nederlandse) overheid keer op keer noch de expertise noch de daadkracht blijkt te hebben om publieke belangen in de gedigitaliseerde informatiemaatschappij adequaat te beschermen. Hopelijk komt het nog een keer zo ver dat het wel lukt…
Persona@nongrata
Ik zit in een database dus ik besta.
John
Dan maar geen Nederlands paspoort meer, vanwege de vingerafdrukken. Ook reis ik niet meer met tram of bus, vanwege de OV chipkaart waarmee alle reisjes voor zeven jaar worden geregistreerd.
De nazi-mentaliteit heerst nog steeds. Samen met andere geallieerde soldaten landde mijn vader in Normandie tijdens D-Day om ons ervan te verlossen. We zijn nog steeds niet bevrijd.
Judith
Wat ik zelf zo jammer vind is dat nog privacy steeds weer wordt geplaatst in de sfeer van tegenstellingen: privacy tegenover veiligheid, de eis dat goed met persoonsgegevens wordt omgesprongen tegenover Facebook en Hyves. Ik ben juist heel benieuwd naar hoe die onderwerpen zich precies tot elkaar verhouden. Bijvoorbeeld de vraag: Wat is het belang van privacy voor het voortbestaan van een democratie? Hoe werkt dat? Waar is er nu echt sprake van een tegenstelling tussen privacy en veiligheid en waar versterken die elkaar juist? Wat doet de onbalans van kennis tussen twee personen, waarbij de één veel meer over de ander weet dan omgekeerd (arts-patiënt, ambtenaar-burger, enz.. ) met de relatie tussen die personen?
Heeft Bits of Freedom antwoorden op dit soort vragen?
Jaap Vegter
Ik lees “… OV-chipkaartgegevens, zoals het 7 jaar lang bewaren van reisgegevens zonder goede reden.” Bij de uitreikning van de BigBrotherAwards dit jaar meldde de vertegenwoordiger van TransLinkSystems dat de gegevens slechts twee jaar bewaard worden. Nog steeds ruim anderhalf jaar te lang maar het gebruik van onjuiste cijfers maakt de zaak van BoF niet sterker.
Axel Arnbak
@Jaap Vegter: dank voor je comment.
Inderdaad, de bewaartermijn van OV-chipkaartgegevens is inmiddels veranderd. Maar in het begin van de ontwikkeling van de OV-chipkaart is de keuze gemaakt om de gegevens 7 jaar lang te bewaren. Na kritiek werd deze keuze vervolgens goedgepraat, als zou het een eis zijn van de Belastingdienst, wat absoluut niet waar was.
In de analyse wijzen we op het middel privacy impact assessment om privacyrisico’s in kaart te brengen. Met zo’n assessment was de bewaartermijn vanaf het eerste moment nooit op 7 jaar gesteld. Daarmee vormt de OV-chipkaart het schoolvoorbeeld van wat er mis kan gaan, als je niet vanaf het begin nadenkt over de privacygevolgen van grootschalige informatiseringsprojecten.
Overigens is een bewaartermijn van twee jaar nog steeds te lang. Een conducteur heeft niet twee jaar de tijd nodig om te checken of je betaald hebt voor je treinreis.
Anonymous
Er moet een mogelijkheid zijn dat gen enkel OV gegeven van je opgeslagen wordt. Check bij uitloggen of het goed ging, indien niet dan terplekke op knop drukken, dan krijg je een bonnetje waarmee je bezwaar kan maken en anders wordt er NIETS bewaard.