De Autoriteit Persoonsgegevens (AP), die onze privacy moet beschermen, komt om in het werk. Naast inbreuken op de privacy is Wolfsen bezorgd over het snel groeiende gebruik van algoritmes. Deze maandag licht hij tijdens een hoorzitting in de Tweede Kamer toe hoe de AP uitwassen wil tegengaan.
„Een algoritme op zich is niet meer dan een stappenplan om tot een bepaalde beslissing te komen. Het punt is dat dit stappenplan steeds vaker geautomatiseerd wordt doorlopen. Een vliegtuig bijvoorbeeld is een vliegend algoritme, dat op de automatische piloot kan landen. Dat is alleen maar mooi. Maar als algoritmes worden gebruikt om onderscheid te maken tussen mensen, dan is het wel belangrijk om te weten welk stappenplan daarbij wordt gevolgd. Verloopt dat proces wel eerlijk? Hypotheekverstrekkers gebruiken tegenwoordig algoritmes om te bepalen wie er een hypotheek krijgt. De overheid gebruikt ze om mensen te selecteren voor een nadere controle. ”
U stelt dat onvoldoende toezicht het einde van de rechtsstaat kan inluiden. Dat zijn grote woorden. Wat bedoelt u precies?
„Als je een toeslag aanvraagt bij de overheid en die wordt geweigerd, dan moet je wel kunnen achterhalen waarom dat gebeurt. Hetzelfde geldt voor een baan in een sollicitatieprocedure. Je moet je kunnen verdedigen tegen zo’n beslissing en een rechter moet het kunnen toetsen. Als dat niet kan, omdat de werking van het algoritme onbekend is, dan is dat het begin van het einde van de rechtsstaat. Dan sta je als burger machteloos en ben je rechteloos.”
Aan welke concrete voorbeelden denkt u?
„SyRi is de meest cynische variant. Maar er worden, ook binnen de overheid, veel vaker algoritmes gebruikt. We zijn een onderzoek begonnen naar de Belastingdienst. De Belastingdienst gebruikt meerdere algoritmes om burgers te selecteren. Als het stappenplan dat daarbij wordt doorlopen discriminerend werkt, dan is dat onrechtmatig en grijpen wij in.”
Volgens u loopt ook de democratie gevaar.
„We hebben bij de verkiezing van Donald Trump en de Brexit gezien dat de manipulatie van verkiezingen en referenda door ‘microtargeting’ mogelijk is.”
Wat valt hiertegen te doen?
„Op zijn minst moet transparant zijn hoe de algoritmes werken die dit persoonlijke nieuws voorschotelen. Dan wordt inzichtelijk in hoeverre de burger wordt beïnvloed in zijn autonomie en kan er wat worden gedaan.”
Waarom valt dit onder de verantwoordelijkheid van de AP?
„Wij zijn een toezichthouder op naleving van de Europese privacywet. Wij onderzoeken of de autonomie en de vrije wil van de burger wordt gerespecteerd. Er zijn steeds meer digitale systemen die deze vrijheden in gevaar brengen. Ze maken gebruik van persoonsgegevens en moeten daarom voldoen aan de privacywet. Daarin wordt speciale aandacht besteed aan algoritmes. Die mogen niet tot discriminerende, oneerlijke, of onbehoorlijke uitkomsten leiden.”
Alles bij de bron; NRC
Voor het vergoeden van medisch-specialistische revalidatie vereist CZ een voorafgaande akkoordverklaring, een machtigingsvereiste. Aan die akkoordverklaring kan CZ aanvullende voorwaarden stellen. Volgens twaalf verzekerden heeft CZ voor hun revalidatiezorg te veel bijzondere persoonsgegevens verwerkt en zij vroegen de Autoriteit Persoonsgegevens om tegen de zorgverzekeraar op te treden.
Volgens de toezichthouder heeft CZ bij vier verzekerden de AVG geschonden door meer medische gegevens over hun behandeling te verwerken dan noodzakelijk was voor de beoordeling van hun machtigingsaanvragen. Daarop besloot de Autoriteit Persoonsgegevens een last onder dwangsom op te leggen. CZ heeft tegen het besluit van de AP beroep ingesteld.
De toezichthouder en verzekeraar hebben wel al enkele afspraken gemaakt. Zo heeft CZ een aantal maatregelen getroffen, waaronder het verwijderen van de gegevens van de twaalf verzekerden die een klacht indienden. Verder zal CZ voortaan van geval tot geval nagaan of aanvullende gegevens nodig zijn.
Alles bij de bron; Security
Steeds meer mensen melden zich met privacyklachten bij de Autoriteit Persoonsgegevens. In 2019 kwamen er 27.871 klachten binnen bij de Autoriteit Persoonsgegevens: een stijging van 79 procent ten opzichte van 2018. In bijna dertig procent gaat het om klachten over het privacyrecht, zoals het recht op inzage en recht op verwijdering, blijkt uit de cijfers van AP.
Maar omdat de Autoriteit Persoonsgegevens nog altijd onderbemand is, kan het klachten niet zo snel behandelen als het wil. De wachttijd is opgelopen tot minstens zes maanden.
De strengere privacywet AVG dreigt een papieren tijger te worden, als de Autoriteit Persoonsgegevens niet snel meer geld krijgt om uit te breiden, waarschuwt voorzitter Aleid Wolfsen. "Feitelijk zeg je: we beschermen je privacy goed via wetgeving. Maar als de toezichthouder niet over voldoende middelen beschikt, maak je het een niet bestaand recht. Want we kunnen niet voldoende handhaven", zegt Wolfsen. "Het is alsof je in Nederland zegt: je mag niet inbreken. Maar omdat er geen politie is, gaat iedereen dat toch doen."
Omdat het tekort zo nijpend is, moet de waakhond keuzes maken. Er wordt voorrang gegeven aan grove schendingen. Daarnaast worden klachten niet behandeld als niet makkelijk kan worden vastgesteld dat de regels worden overtreden. "Dat is pijnlijk, maar we moeten kiezen. Het gevaar bestaat dat er daardoor schendingen worden gemist", geeft Wolfsen toe.
Alles bij de bron; RTLZ
De recente uitspraken van de minister van Justitie en Veiligheid over het belang van encryptie zijn nogal verwarrend. Hij wil twee dingen die niet samen kunnen. Hij vind dat de technologie die we met z’n allen gebruiken om in vertrouwen met elkaar te kunnen communiceren “een sleutelrol [heeft] in de technische beveiliging in het digitale domein”. Maar tegelijkertijd wil hij diezelfde beveiliging verzwakken door de politie toegang te geven tot de encryptiesleutels. En dus vroegen we ons bezorgd af: wat wil de minister nu echt?
In de hoop dat hij onze zorgen weg kan nemen, nodigende we vorige maand de minister uit. Maar tot nu toe heeft de minister onze uitnodiging genegeerd. Niet eens een ontvangstbevestiging kon er vanaf. En dat maakt des te ongeruster, omdat we weten dat de minister wél met tal van anderen in gesprek is. Vorige week sprak hij met een grote afvaardiging van het bedrijfsleven. Over een week of twee spreekt hij met experts van universiteiten en toezichthouders.
In de lijst met gesprekspartners ontbreekt een belangrijke vertegenwoordiging: dat van de samenleving in het breed. De minister spreekt, voor zover wij weten, met geen enkele organisatie die opkomt voor de rechten en vrijheden van burgers, mensen, consumenten, advocaten, activisten of journalisten. Dat de minister deze groepen negeert is vreemd, want het belang van encryptie is enorm en draagt bij aan de bescherming van iedereen in onze maatschappij én de bescherming van vrijheid in onze democratische rechtstaat.
Een aantal van die organisaties hebben daarom een nieuwe brief aan de minister gestuurd. In de brief roepen de organisaties de minister op om het maatschappelijk middenveld te betrekken als hij nieuw beleid maakt over de toepassing van encryptie. De brief is ondertekend door Amnesty International, Bits of Freedom, de Consumentenbond, Free Press Unlimited, het Nederlands Juristen Comité voor de Mensenrechten (NJCM) en de Nederlandse Vereniging van Journalisten (NVJ).
Alles bij de bron; Bits-of-Freedom
Volgens de AP worden in Nederland per inwoner de meeste datalekken gemeld van alle Europese landen. De 26.956 meldingen zijn binnengekomen via het meldloket datalekken op de AP-website. De privacyautoriteit heeft daarnaast van andere Europese toezichthouders 75 meldingen ontvangen van grensoverschrijdende datalekken. Ook deelt de AP zelf meldingen over grensoverschrijdende datalekken met andere EU-landen.
Volgens de AP zijn er vorig jaar 28 nieuwe onderzoeken gestart bij organisaties die mogelijk een datalek hadden moeten melden en dat niet of te laat hebben gedaan. Er zijn ook 5 onderzoeken afgerond in die categorie, die 'kunnen leiden tot een sanctie'. Daarnaast zijn er 10 onderzoeken naar niet-gemelde datalekken afgerond die hebben geleid tot een 'alternatieve interventie'. In zo'n geval organiseert de AP een normuitleggend gesprek of stuurt de organisatie een waarschuwing. Er lopen nog 15 onderzoeken.
Alles bij de bron; Tweakers
OV-reiziger Michiel Jonker heeft twee zaken die hij had aangespannen tegen de Autoriteit Persoonsgegevens wegens het afwijzen van twee handhavingsverzoeken verloren. Jonker had de toezichthouder gevraagd om tegen vier vermeende privacy-inbreuken in het OV op te treden.
Het gaat om het weigeren van contante betalingen voor eenmalige buskaartjes door vervoersbedrijf Connexxion en drie inbreuken door de NS, namelijk het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn gegevens niet aan de NS verstrekt, het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun gegevens niet aan de NS verstrekken en het in rekening brengen van extra "servicekosten" als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.
De Autoriteit Persoonsgegevens besloot de punten niet te onderzoeken omdat uit een "globaal (bureau)onderzoek" bleek dat er geen sprake was van enige overtreding.
De bestuursrechter is het in alle gevallen eens met de Autoriteit Persoonsgegevens. Volgens de rechtbank is het weigeren van contant geld om de veiligheid in bussen te vergroten hiervoor een gerechtvaardigd doel. In het geval van de NS blijkt de vervoerder bij het teruggeven van saldo op anonieme OV-chipkaarten wel om legitimatie te vragen, maar worden deze gegevens niet genoteerd. Verder blijkt dat reizigers die bij een servicebalie van de NS een internationaal treinticket kopen niet verplicht zijn om persoonsgegevens af te staan.
Als laatste vindt de rechtbank de servicekosten van 0,50 euro voor het opwaarderen van een anonieme OV-chipkaart bij een servicebalie niet onredelijk.
Alles bij de bron; Security
Het computersysteem waarmee de overheid allerlei gegevens van burgers aan elkaar koppelt, kan niet door de beugel. Gemeenten kunnen het Systeem Risico Indicatie (SyRI) gebruiken om aanwijzingen voor fraude te zoeken, maar het is een te grote inbreuk op de privacy.
“Er is haast geen persoonsgegeven te bedenken dat niet voor verwerking in aanmerking komt”, aldus de rechtbank in Den Haag woensdag. Bovendien is de manier waarop het systeem werkt niet te controleren. De rechtbank verklaart dat het systeem niet past bij het Europees Verdrag voor de Rechten van de Mens.
De zaak was aangespannen door zes organisaties, waaronder de FNV en Privacy First, en de schrijvers Tommy Wieringa en Maxim Februari. Ze vinden dat het systeem te ver gaat. Iedere burger is bij voorbaat al verdacht, zeiden ze tegen de rechters.
Alles bij de bron; TPO
D66 heeft tijdens een algemeen overleg over de Wet digitale overheid gepleit voor de invoering van een breed publiek digitaal paspoort waarmee burgers zich overal kunnen identificeren en dat overal toepasbaar is. De wet moet de digitale communicatie tussen burger en overheid en tussen overheidsinstanties onderling verbeteren.
Kamerlid Kees Verhoeven pleitte voor de invoering van een door de overheid gecreëerd digitaal paspoort. "Waarom niet ook een breed publiek digitaal paspoort? Waarom niet een publiek middel waarmee je eigenlijk overal jezelf kan identificeren? Waarom niet een publiek middel dat overal toepasbaar is? We hebben het in de schriftelijke inbreng ook al gevraagd. Toen heeft de minister geschreven dat er geen nut en noodzaak voor is, terwijl ik toch vanuit heel veel verschillende hoeken, zowel publiek als privaat, duidelijk hoor: kom nou met een breed publiek digitaal paspoort."
Dit digitale paspoort moet volgens het D66-Kamerlid overal toepasbaar zijn, zowel bij het aanvragen van documenten bij de overheid, als bijvoorbeeld een leeftijdsverificatie in een webwinkel. "Ik wil dus dat er zowel in de commerciële als in de publieke transacties één door de overheid gecreëerd digitaal paspoort is, zoals dat ook in de fysieke wereld bestaat", liet Verhoeven weten. Het D66-Kamerlid werkt aan een motie die oproept tot het onderzoeken van de mogelijkheid om een breed publiek digitaal paspoort te organiseren.
Alles bij de bron; Security
In de GDPR, de Europese privacywetgeving, wordt de noodzaak benadrukt om consumenten meer controle te geven over hun persoonlijke data. Dat is niet vreemd, aangezien de ontwikkeling van digitale technologieën ertoe heeft geleid dat consumenten steeds minder controle hebben over hun data. Maar in hoeverre heeft de GDPR écht geleid tot consumer empowerment?
Met een collega reflecteerde Iris van Ooijen, universitair docent Communicatiewetenschap bij Universiteit Twente in Journal of Consumer Policy op de vraag of de GDPR (in Nederland beter bekend als AVG) consumenten écht meer controle heeft opgeleverd. We analyseerden specifieke ‘privacy-dreigingen’ binnen drie fasen van dataverzameling en verwerking, en hoe de GDPR deze dreigingen probeert op te lossen...
...Concluderend zet de GDPR een goede eerste stap in het beschermen van online privacy, maar houdt zij onvoldoende rekening met het feit dat de mens slecht is in het maken van rationele beslissingen, in het bijzonder in online omgevingen. Deze ‘bounded rationality’ zorgt binnen online omgevingen voor een afbreuk van autonomie. De vraag in hoeverre hier rekening mee moet en kan worden gehouden is een belangrijke discussie die waarschijnlijk nog lange tijd gevoerd zal worden.
Dit artikel is gebaseerd op deze publicatie: Van Ooijen, I., & Vrabec, H. U. (2019). "Does the GDPR enhance consumers’ control over personal data? An analysis from a behavioural perspective." Journal of Consumer Policy, 42(1), 91-107. Je vindt het gratis artikel hier.
Alles bij de bron; MarketingFacts
...Netwerkbeheerder Enexis zegt tevreden te zijn met de Limburgse cijfers. " 3 procent van de huishoudens heeft tot nu toe de meters geweigerd. Dat is ook het landelijk gemiddelde", zegt Lotte Breunesse van de netwerkbeheerder...
...Met de slimme meters hoeven consumenten de meterstanden niet meer zelf door te geven aan de energieleveranciers. Die kunnen de meters op afstand uitlezen. Mevrouw Pijls weigerde bewust de nieuwe meters. “Ik vind mezelf capabel genoeg om de standen zelf door te geven”, zegt ze. "We worden al genoeg in de gaten gehouden. Daarom wil ik dit zelf in de hand houden." Ook is ze bang dat de meters door criminelen gehackt kunnen worden. “Dan kunnen ze precies zien wanneer ik niet thuis ben omdat het energieverbruik dan veel lager is.”
Volgens Breunesse van Enexis Netbeheer zal het zo’n vaart niet lopen. "Je kunt het 'slimme deel' digitaal uitzetten. Dan worden je gegevens niet doorgestuurd." Enexis investeerde de afgelopen jaren 14 miljoen euro in het verspreiden van de slimme meters.
De slimme meters moeten ook bijdragen aan energiebesparing. "Daar heb ik de slimme meter niet voor nodig", zegt Pijls. "Ik hou het nu ook al in de gaten of we minder energie gebruiken." Zij betwijfelt of mensen door de slimme meters daadwerkelijk minder energie gaan gebruiken. Dat laatste blijkt ook uit onderzoeken van het Planbureau voor de Leefomgeving. Volgens het planbureau leveren de meters maar een energiebesparing van 1 procent op. Dat is bij lange na niet de 3,5 procent waarop werd gehoopt bij de introductie van de meters.
Bij Pijls zullen de slimme gas- en elektriciteitsmeter er voorlopig niet in komen. Dat hoeft ook niet benadrukt Breunesse. "Mensen zijn daar vrij in. Het is niet verplicht." Of dat ook in de toekomst ook zo blijft, kan Enexis niet zeggen. "Daar gaat de politiek uiteindelijk over."
Alles bij de bron; 1Limburg