De Nederlandse inlichtingendiensten mogen IMSI-catchers alleen inzetten met voorafgaande toestemming. De AIVD en MIVD stelden dat ze alleen ministeriële toestemming nodig hadden voor het inzetten van de zendmastnabootsers, maar de toezichthouders zijn het daarmee niet eens.
IMSI-catchers zijn draagbare apparaten waarmee gebruikers een zendmast kunnen nabootsen. De apparatuur wordt door de AIVD en MIVD gebruikt om telefoonverkeer van verdachten te kunnen onderscheppen.
De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten, of Ctivd, heeft samen met de Toetsingscommissie Inzet Bevoegdheden een zogeheten rechtseenheidbrief gestuurd naar de ministers van Binnenlandse Zaken en van Defensie. Die zijn verantwoordelijk voor respectievelijk de Algemene en de Militaire Inlichtingen- en Veiligheidsdiensten. In de brief schrijven de twee toezichthouders dat de AIVD en de MIVD niet zonder meer zogeheten IMSI-catchers mogen inzetten bij onderzoeken.
De ministers en de diensten stelden dat de diensten IMSI-catchers altijd mogen inzetten, met slechts toestemming van de ministers. Zij beroepen zich daarbij op artikel 40 van de Wiv 2017. Die geeft de diensten bevoegdheid voor het 'volgen en in het kader daarvan vastleggen van gegevens betreffende natuurlijke personen of zaken, al dan niet met behulp van volgmiddelen, plaatsbepalingsapparatuur en registratiemiddelen'. Daarmee zijn de toezichthouders het niet eens. "Wij beschouwen een IMSI-catcher als een zwaarder middel dan een (passief) observatie- en registratiemiddel of plaatsbepalingsapparatuur", schrijven de instanties in hun brief.
In de praktijk is er maar één rechtsgrond waarop de diensten wél IMSI-catchers mogen gebruiken, zeggen de toezichthouders. Dat is artikel 47 van de wet. Dat heeft gevolgen voor hoe de AIVD en MIVD in de praktijk moeten werken. Onder artikel 40 is er geen voorafgaande toestemming nodig van de TIB om IMSI-catchers in te zetten, maar onder artikel 47 is dat wel verplicht.
"Gelet op de privacyinbreuk die het gebruik van een IMSI-catcher door de diensten maakt, vinden wij een toetsing van de rechtmatigheid door de TIB voorafgaand aan de inzet van dit middel op zijn plaats", schrijven de toezichthouders. "Bij deze toetsing kan rekening gehouden worden met onder meer de proportionaliteit, subsidiariteit en gerichtheid van de inzet."
Ook moeten de diensten bij de inzet van IMSI-catchers anders omgaan met verzamelde data. "Ontvangen gegevens die geen betrekking hebben op het hier bedoelde nummer of technische kenmerk moeten door de diensten terstond worden vernietigd", schrijven de toezichthouders.
Alles bij de bron; Tweakers
Nabestaanden en andere nieuwsgierigen kunnen in het nieuwe jaar mogelijk toch niet vrijuit grasduinen in het grootste oorlogsarchief van Nederland.
Het Centraal Archief Bijzondere Rechtspleging (CABR) zou eigenlijk per 1 januari volledig openbaar worden. Tegelijkertijd zouden dan de eerste 8 miljoen gedigitaliseerde pagina’s (van in totaal 38 miljoen archiefblaadjes) online verschijnen, als opmaat naar volledige digitale doorzoekbaarheid van het gehele archief voor iedereen.
Privacywetgeving dreigt dat feest te verstoren. Volgens betrokkenen bereidt de Autoriteit Persoonsgegevens een blokkade voor.
Het Nationaal Archief negeerde adviezen die wezen op de privacy-risico’s bij het openbaar maken van gegevens over Nederlanders die de Duitse bezetter al dan niet hebben geholpen.
Alles bij de bron; Telegraaf
Een politieagent uit Antwerpen is terecht ontslagen, vindt de Belgische Raad van State.
De agent kreeg een fietsvergoeding maar uit beelden van ANPR-camera’s werd duidelijk dat hij elke dag met de auto naar het werk ging. De fietsvergoeding, tien euro per dag, was dus onterecht toegekend, vond de korpsleiding.
Waarna de agent, die ook sjoemelde met zijn werktijden, werd ontslagen. Het ontslag werd aangevochten, zonder resultaat dus.
Bron; Cops-in-Cyberspace
Het kabinet wil een centrale database maken met gegevens over alle taxiritten, waaronder gegevens over waar mensen in- en uitstappen. De Autoriteit Persoonsgegevens (AP) wijst het kabinet erop dat het de privacy van passagiers beter moet beschermen. Iemand met toegang tot die database zou gevoelige privézaken van passagiers kunnen ontdekken.
In het voorstel worden de gps-coördinaten van het vertrek- en eindpunt van elke rit naar de ILT verzonden. Daardoor ontstaat dus een database met alle taxiritten in Nederland.
“Wij snappen dat het kabinet het toezicht makkelijker wil maken”, zegt AP-bestuurslid Katja Mur. “Maar door zo nauwkeurig in één database de coördinaten van de vertrek- en eindpunten van elke taxirit op te slaan, stel je mensen die de taxi nemen onnodig bloot aan privacyrisico’s. Passagiers verdienen een betere bescherming.”
En zodra zo’n centrale database bestaat, is er ook het risico dat het fout gaat, aldus Mur: “Een datalek zit vaak in een klein hoekje. Door een foutje, een kwaadwillende medewerker of een hacker. We hebben dit vaak genoeg fout zien gaan, ook bij overheidsinstellingen.”
Daarbij bestaat bij dit soort databases ook altijd het risico op ‘function creep’: dat de data uiteindelijk ook voor zaken gebruikt worden waar ze oorspronkelijk niet voor bedoeld zijn. Mur: “Misschien wil de politie wel toegang. Of vinden de Belastingdienst en de gemeente dat wel handig, om te controleren of mensen niet frauderen met toeslagen of uitkeringen. Door die data weer te koppelen aan andere data, kan de overheid mensen op de voet volgen. Dat moeten we niet willen.”
Alles bij de bron; Beveiliging
De politie moet in besloten chatgroepen kunnen meelezen als wat daar besproken wordt gevolgen kan hebben voor de openbare orde, zo vindt minister Van Weel van Justitie en Veiligheid die hier in de eerste helft van volgend jaar met een wetsvoorstel voor komt.
Het wetsvoorstel waar de minister mee zegt te komen moet de bevoegdheden van politie uitbreiden als het gaat om de 'informatievergaring ten behoeve van de openbare orde handhaving'. "Het wetsvoorstel bevat de bevoegdheid tot stelselmatige informatievergaring in publiek toegankelijke online bronnen. Dit voorstel zal met een zorgvuldige onderbouwing van nut en noodzaak en een kader van checks and balances worden voorbereid. Daarnaast zal worden gewerkt aan de mogelijkheid om de politie ook (meer) toegang tot besloten app- en chatgroepen te geven."
Vorige week liet de bewindsman al tegenover de Volkskrant weten dat politie undercover mee moet kunnen kijken in besloten Telegramgroepen.
Alles bij de bron; Security
De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit legt het bedrijf Freedelity 'corrigerende maatregelen' op na inbreuk op de Algemene Verordening Gegevensbescherming. Het bedrijf zou onterecht bepaalde persoonsgegevens van identiteitsbewijzen hebben verzameld.
Volgens de Gegevensbeschermingsautoriteit verzamelde Freedelity teveel niet noodzakelijk informatie van identiteitsbewijzen, waaronder het nummer van het document, de gemeente waar de ID-kaart is uitgegeven en de geldigheidsdatum van de kaart. Daarnaast zou het bedrijf de verkregen gegevens acht jaar bewaren, wat volgens de toezichthouder buitensporig is.
Freedelity is een Belgisch bedrijf dat persoonsgegevens van consumenten verzamelt door middel van de elektronische uitlezing van identiteitskaarten. Klanten van het bedrijf kunnen vervolgens met die gegevens 'gerichte marketing en klantenrelatiebeheer' uitvoeren.
Alles bij de bron; Tweakers
De politie maakt vaak gebruik van dwang om biometrisch beveiligde telefoons van verdachten te ontgrendelen, zo hebben medewerkers van het Team Digitale Opsporing (TDO) tegenover onderzoekers van Dialogic laten weten, zo stellen de onderzoekers in een evaluatierapport van de Innovatiewet Strafvordering. Exacte cijfers over hoe vaak dwang wordt ingezet zijn niet bekend, zo stelt minister Van Weel van Justitie en Veiligheid.
"Het komt voor dat een mobiele telefoon alleen ontgrendeld kan worden met behulp van biometrische gegevens van de gebruiker van dat toestel. De politie mag in die gevallen de verdachte vragen zijn toestel te ontgrendelen. Als de verdachte hier niet aan wil meewerken, mag de politie dwang gebruiken", aldus de minister, die wijst naar een arrest van de Hoge Raad uit 2021. De bewindsman reageerde op Kamervragen over een uitspraak van het Europese Hof van Justitie dat politie data op telefoons ook bij lichte misdrijven mag doorzoeken.
De bevoegdheid om biometrische beveiliging door middel van dwang te doorbreken is via de Innovatiewet Strafvordering vooralsnog opgenomen in artikel 558 van het Wetboek van Strafvordering. De bevoegdheid van artikel 558 Sv kan worden toegepast in iedere zaak waarin een verdenking bestaat.
De onderzoekers schrijven dat het beveiligen van telefoons met een vingerafdruk minder vaak voorkomt. "Verdachten beveiligen hun apparaten vaak opzettelijk niet met vingerafdrukken, omdat deze wijze van beveiligen relatief eenvoudig ongedaan kan worden gemaakt. Beveiliging met een irisscan komt het minst vaak voor."
Het is echter niet altijd nodig om om inbreuk te maken op de lichamelijke integriteit van de verdachte, schrijven de onderzoekers: "Wanneer vingerafdrukken van een verdachte zijn vastgelegd in een database van de politie, kunnen die in een mal worden geëtst, waarmee de vinger van de verdachte wordt nagebootst. In geval van beveiliging met een gezichts- of irisscan is het denkbaar dat de smartphone het desbetreffende gezicht herkent wanneer de smartphone ervoor wordt gehouden."
De onderzoeken stellen dat het kunnen doorbreken van biometrische beveiliging toegevoegde waarde kan hebben voor de opsporing. "Er is in sommige zaken behoefte om deze bevoegdheid te kunnen toepassen. De mate van dwang die wordt toegepast, is beperkt", concluderen ze. De onderzoekers merken op dat de bevoegdheid strikt genomen geen verbetering van de strafvordering is, omdat deze voorafgaand aan de pilot al kon worden toegepast op grond van jurisprudentie van de Hoge Raad.
Alles bij de bron; Security
Als er geen actie wordt ondernomen, bestaat het medisch beroepsgeheim over enkele jaren niet meer. Met deze boodschap lanceren privacy-organisaties Platform Burgerrechten en Stichting KDVP deze week de campagne “Behoud Beroepsgeheim”.
VWS wil dat Mitz voor alle patiënten en zorgaanbieders in Nederland het register voor toestemmingen wordt.
Het doel van Mitz is om alle verschillende manieren om de toestemmingskeuzes vast te leggen overbodig te maken. Daardoor moet de patiënt meer overzicht en regie krijgen. Tegelijkertijd moet het voor de zorgprofessional eenvoudiger worden om te zien welke gegevens wel of niet gedeeld morgen worden.
Mitz regelt dat voor alle zorgsectoren.
Volgens de privacy-organisaties maakt Mitz medische gegevens voor grote groepen zorgverleners toegankelijk, zonder dat de dossierhoudend arts kan controleren wie voor welke reden gegevens uit diens dossiers opvraagt. Daardoor wordt het medisch beroepsgeheim geschonden.
De organisaties, eerder betrokken bij de rechtszaak tegen SyRI en de rechtszaak van Vertrouwen in de GGZ, constateren dat het medisch beroepsgeheim meer dan ooit onder druk staat door de datahonger van overheden en bedrijven. Hierdoor worden keuzes gemaakt voor beleid en technologie waarin het medisch beroepsgeheim en de patiëntprivacy ondergeschikt wordt gemaakt aan politieke en commerciële doeleinden.
Namens VZVZ, de beheerder van Mitz, reageert een lezer als volgt op bovenstaand artikel:
In Nederland geldt een opt-in systeem voor de uitwisseling van medische gegevens. Dit betekent dat zorgaanbieders alleen gegevens beschikbaar mogen stellen als een patiënt uitdrukkelijke toestemming heeft gegeven. Mitz is een systeem dat de opt-in benadering volledig ondersteunt en voldoet aan alle geldende wetten en regels.
Mitz geeft de burger niet alleen rechten, maar ook daadwerkelijk regie en zeggenschap. Zo kan elke burger met DigiD toestemmingskeuzes vastleggen voor de uitwisseling van medische gegevens tussen behandelaren. Mitz biedt ook maximale transparantie aan de burger. Deze kan precies volgen of een zorgaanbieder een toestemmingskeuze heeft geraadpleegd. Voor meer informatie kijk op http://www.MijnMitz.nl.
Alles bij de bron; Skipr