Gegevens

Hoofdcategorie: Nieuws uit NL

29 mei 2023

Het vertrouwen van Nederlanders in de wijze waarop zij omspringen met hun persoonsgegevens daalt. Onder meer de toeslagenaffaire en het datalek bij de GGD tijdens de coronacrisis dragen hieraan bij, vermoeden onderzoekers.  Het beeld komt naar voren uit het Privacy Marktonderzoek 2023 van KPMG. 

“De overheid verwerkt grote hoeveelheden (bijzondere) persoonsgegevens, waarbij mensen vaak wettelijk verplicht zijn om deze gegevens te verstrekken. Zij moeten er blind op kunnen vertrouwen dat de overheid uiterst zorgvuldig omgaat met hun persoonsgegevens”, zegt onderzoeker Stephan Idema van KPMG. "Dat het vertrouwen in de overheid met de omgang van persoonsgegevens is gedaald, sluit aan bij de bredere trend van afnemend vertrouwen in de overheid.

Die afname is de afgelopen jaren ontstaan als gevolg van diverse gebeurtenissen, waaronder de coronacrisis, de behandeling van de toeslagenaffaire, de hoge inflatie en het Groningen-dossier."

Alles bij de bron; DutchITChannel

Gegevens

Hoofdcategorie: Nieuws uit NL

20 mei 2023

De controle en toezicht op het werk van het Team Openbare Orde Inlichtingen (TOOI) van de politie moeten beter. Dat zegt het team van de politie vrijdag in een reactie op berichtgeving eerder deze week.

De onderzoeksredactie van RTL Nieuws meldde op basis van interne documenten en politiedossiers dat de politie op een onwettige manier informatie verzamelt over onschuldige Nederlanders. Dat zou al vele jaren en op grote schaal gebeuren door TOOI, en door geen enkele instantie gecontroleerd worden.

De politie zegt nu dat de controle en toezicht op de werkzaamheden inderdaad beter moeten. Het team moet gecontroleerd worden door de burgemeester. “Bij welke burgemeester moet je dan terecht, zeker als dezelfde raddraaiers telkens op verschillende plekken in het land opduiken?” vraagt het hoofd van het team Stan Duijf zich af.

Minister van Justitie en Veiligheid Dilan Yeşilgöz zei afgelopen dinsdag tijdens het vragenuurtje in de Tweede Kamer dat er wel een wettelijke basis is voor de taak van het team. Verder meldde ze dat ze gaat kijken of het mogelijk is de bevoegdheden van het team juist te verruimen.

Alles bij de bron; Trouw [thnx-2-Niek]

Gegevens

Hoofdcategorie: Nieuws uit NL

19 mei 2023

Het is onduidelijk wanneer de overheid jarenoude passagiersgegevens gaat wissen, zoals volgens de Europese PNR (Passenger Name Records)-richtlijn moet gebeuren. Dat laat minister Yesilgöz van Justitie en Veiligheid in een brief aan de Tweede Kamer weten.

In Nederland zorgt de wet ervoor dat gegevens van vliegtuigpassagiers met vertrek of aankomst in Nederland voortaan drie jaar lang worden bewaard in een database van de eenheid Passagiersinformatie Nederland (Pi-NL). Eerder was dat nog een periode van vijf jaar. Het gaat dan om reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.

Verzamelde passagiersgegevens ouder dan drie jaar zijn echter nog altijd niet gewist. "Er is namelijk een nadere analyse van de door het Hof gestelde voorwaarden nodig om te kunnen bepalen voor welke passagiersgegevens het noodzakelijk is dat deze vijf jaar bewaard blijven. Er zijn immers specifieke gevallen, waarin passagiersgegevens ouder dan drie jaar wel bewaard en verstrekt zouden mogen worden, in lijn met de uitspraak van het Hof", stelt Yesilgöz.

De minister voegt toe dat deze specifieke gevallen momenteel in kaart worden gebracht en vastgelegd door de Passagiersinformatie-eenheid Nederland. Wanneer het daadwerkelijk wissen van de oude gegevens plaatsvindt laat ze niet weten. "Op dit moment kan nog geen toezegging worden gedaan op welke termijn daadwerkelijk wordt overgegaan tot het wissen van gegevens ouder dan drie jaar, zodra de analyse is afgerond en de benodigde technische aanpassingen zijn doorgevoerd, worden de data definitief gewist. Hieraan wordt de komende tijd prioriteit gegeven."

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Nieuws uit NL

19 mei 2023

Alle topambtenaren van de Belastingdienst krijgen op vrijdagavond 10 februari 2017 een bezorgde mail. Een dag eerder heeft hun staatssecretaris Eric Wiebes (VVD) in de Tweede Kamer gereageerd op de „uiterst onplezierige en pijnlijke uitzending” van onderzoeksprogramma Zembla, anderhalve week eerder. Die ging over slordige en slecht beveiligde omgang met de gegevens van miljoenen belastingbetalers.

Kamerlid Pieter Omtzigt, dan nog CDA’er, is kritisch geweest. De Belastingdienst heeft „alle informatie over alle Nederlanders en alle Nederlandse bedrijven”. Achttien medewerkers hadden „jaar in jaar uit” de mogelijkheid usb-sticks mee naar huis te nemen, misschien wel met informatie van hun buurman of ex-partner. „Dit is echt een verschrikkelijke manier van omgaan met zeer elementaire persoonsgegevens”, zegt Omtzigt.

Maar volgens de staatssecretaris is er geen „actief risico”. Medewerkers hebben heus geen toegang tot alle informatie. Ontheffingen om met usb-sticks te werken worden alleen „in uiterste gevallen” verleend, er wordt binnen de Belastingdienst „uiterst spaarzaam” mee omgegaan.

En dat klopt niet, blijkt uit de mail; „Uit een afgelopen week uitgevoerde inventarisatie is […] gebleken dat er in de hele dienst ruimhartig ontheffingen zijn verleend.” Een medewerker met deze ontheffing kan data – en dus mogelijk gegevens van belastingbetalers – vanaf een werkcomputer naar een usb-stick kopiëren en meenemen.

In reactie op de mail geeft de top van de Belastingdienst bliksemsnel opdracht alle ontheffingen in te trekken. Maar lang duurt die voorzichtigheid niet. Tot schrik van de ambtelijke top blijkt na een half jaar dat lagere leidinggevenden alweer meer dan vierduizend medewerkers een usb-ontheffing hebben gegeven. Die hebben ze simpelweg nodig om hun werk te doen.  Op dit moment, mei 2023, zijn er nog zo’n duizend usb-ontheffingen bij de dienst. 

Het illustreert de ongemakkelijke omgang met de enorme berg data die de Belastingdienst van zowat álle Nederlanders bezit. Dat zijn niet alleen financiële gegevens, zoals inkomen, schuld en vermogen. Voor het uitvoeren van de vaak ingewikkelde belastingwetgeving heeft de dienst ook informatie over bijvoorbeeld familierelaties, strafblad, gezondheid, religie, vakbondslidmaatschap, eigendommen (huizen, boten, motorrijtuigen, etc.), eventuele kinderopvang, faillissementen, vertrekvergoedingen, land van herkomst, de gebruikersnaam bij het online gokken, en ga zo maar door. Waardevolle informatie, ook voor wie er kwaad mee wil.

Wat er mis kan gaan, bleek toen het Toeslagenschandaal aan het licht kwam. RTL Nieuws en Trouw onthulden in 2019 dat de Belastingdienst jarenlang gebruikmaakte van een ‘zwarte lijst’ met daarop de gegevens van mogelijke toeslagenfraudeurs. Deze zogenaamde Fraudesignaleringsvoorziening (FSV) groeide uit tot een slordig bijgehouden register met de gegevens van naar schatting bijna 250.000 burgers. Duizenden ouders van jonge kinderen stonden zonder goede aanleiding op deze ‘zwarte lijst’.

Net als na Zembla beloofde de Belastingdienst ook na het Toeslagenschandaal beterschap. De slordige en onwettige omgang met persoonsgegevens was „zeer ernstig”, zo vatte het kabinet het eind 2021 samen. De Belastingdienst moest „zich natuurlijk houden aan wet- en regelgeving en aan de kaders van de rechtsstaat” en dat „zo snel mogelijk” in orde maken.

Toch is er nauwelijks verbetering. Binnen de Belastingdienst was er de afgelopen jaren een patroon van slordige omgang met persoonsgegevens, zo blijkt uit onderzoek van NRC. Regelmatig bleek slecht geregeld wie wanneer toegang heeft tot welke data. Het gebruik van risicovolle, informele fraudelijsten bleek wijdverspreid in de dienst. Burgergegevens werden jarenlang breed gedeeld in de dienst, waarbij vaak niet of slecht werd bijgehouden wat er met die data gebeurde. De gevolgen daarvan zijn nog nauwelijks onderzocht. Volgens betrokkenen zijn het patronen die wegens de gebrekkige systemen en de werkcultuur moeilijk te veranderen zijn.

Ook blijkt dat de Tweede Kamer enkele keren verkeerd is geïnformeerd over deze problemen, door ze niet te melden of een te rooskleurige gang van zaken weer te geven.

Begin april 2021 mailt een medewerker van de Belastingdienst zijn collega. Hij heeft een tip binnengekregen over mogelijke fraude en wil weten wat er over deze belastingbetaler in de FSV staat. Dat is een probleem: de zwarte lijst is onwettig verklaard, is ruim een jaar eerder uitgezet en kan formeel niet worden ingezien.

De medewerker heeft gehoord dat er misschien een sluiproute is en hij mailt: „Nu weet ik uiteraard dat FSV ‘dicht’ zit maar volgens [naam] zou jij mogelijk nog kunnen achterhalen wat de inhoud van de tip bij ons was…” Niet veel later krijgt hij de formeel niet beschikbare informatie per mail opgestuurd.

Deze gang van zaken is geen uitzondering, blijkt uit onderzoek van accountantsbureau PWC, dat in opdracht van het ministerie onderzoek deed naar het gebruik van de FSV; „Tevens hebben wij exports van FSV aangetroffen op de lokale schijven (Q-schijven) van MKB-kantoren dat actief gebruik indiceert. De mate van raadpleging van FSV [...] is niet vastgelegd en daarmee niet te kwantificeren.”

Delen van de FSV worden ook op andere plekken gevonden. Staatssecretaris Vijlbrief moet in december 2021 aan de Kamer toegeven dat PWC „meer dan 25 lokaal opgeslagen (deel)extracties van FSV gevonden [had] op netwerkschijven van Toeslagen”. Erger nog: volgens PWC heeft informatie uit de FSV ook op grote schaal zijn weg gevonden naar andere systemen bij de dienst.

Het resultaat, aldus PWC: informatie uit de FSV is „tot op heden” in te zien door medewerkers van de Belastingdienst. Anders gezegd: onjuiste informatie uit een zwarte lijst die duizenden ouders in grote problemen bracht, die onwettig is en daarom formeel is uitgezet, wordt nog actief gebruikt – en er is geen makkelijke manier om daar een eind aan te maken.

In de zomer van 2016, tijdens een dancefestival in Venlo, ziet een MKB-medewerker van de Belastingdienst een dure auto rijden en hij vindt dat de inzittenden zich „nogal showend” gedragen, schrijft hij in een mail aan een collega. „Ze rijden ook op en neer.” Hij haalt het kenteken door de systemen van de Belastingdienst en verzamelt zo allerlei informatie: dat de eigenaar een voormalig asielzoeker uit Irak is die gedurende de jaren verschillende tweedehands auto’s heeft gekocht die „niet al te goedkoop” waren, terwijl zijn vrouw niet werkt en hij drie kleine kinderen heeft. De man heeft weliswaar „een redelijk vast salaris”, maar de medewerker vindt de zaak „toch vreemd”. Hij polst bij de collega of verder onderzoek nodig is. „Wellicht is dit iets voor het Patser Project?”

Dat zijn lijsten met aangiften waarvan een inspecteur de kans het grootst acht dat er fouten inzitten. Zo kan de altijd schaarse inspectiecapaciteit zo effectief mogelijk worden ingezet.

Maar die selecties moeten wel zorgvuldig gemaakt worden, zodat ze bijvoorbeeld niet discriminerend zijn, of gebaseerd op vooroordelen. Burgers moeten gelijk behandeld worden en niet worden overgeleverd aan de grillen van een belastingmedewerker die een dure auto ziet. En wat er daarna met die selecties gebeurt moet ook transparant zijn, zodat later voor de dienst zelf en burgers te achterhalen valt waaróm ze zijn aangepakt.

Juist die controles ontbraken de afgelopen jaren vaak. Als gevolg van verouderde ict-systemen knutselden Belastingdienstmedewerkers zelf programma’s in elkaar om risicoselecties te maken. Wat er vervolgens met die selecties gebeurde, werd niet bijgehouden.

Vorig jaar moest staatssecretaris Marnix van Rij toegeven dat er in de Belastingdienst sprake is geweest van „institutioneel racisme”.

Medewerkers gebruikten structureel burgergegevens buiten de formele ict-systemen om. In 2015 bestonden er volgens een intern onderzoek 1.555 zogenaamde lokaal ontwikkelde applicaties (LOA’s), verspreid over de hele dienst. In de jaren daarna nam dat af, tot zo’n 600. Meer dan vijfhonderd medewerkers hielden zich bezig met het analyseren van burgergegevens, zo bleek uit een ander onderzoek uit 2015. Volgens een interne schatting van enkele jaren terug circuleerden er in de Belastingdienst op een gegeven moment een half miljoen Excel-bestanden. Zo zwierven ontelbare hoeveelheden burgergegevens in de Belastingdienst rond. Achterhalen wat daar allemaal mee is gebeurd, is onbegonnen werk. Of ze ook een weg naar buiten vonden, is niet te achterhalen.

Na het Toeslagenschandaal  moesten medewerkers op hun computers, tablets en smartphones zoeken naar lijsten „met risicosignalen, fraudeverdenkingen en verwijzingen naar nationaliteit”. Deze „veegactie” leverde bijna honderd lijsten op met een „risico op (onterechte) nadelige gevolgen voor burgers”.

De namen van sommige lijsten illustreren de vrije omgang met burgergegevens: ‘LXX bestand Monaco’, ‘handelaren RuneScape gamecoins’, ‘zorgcowboys’, ‘Bulgarenbestand’, ‘Antillianen’, ‘Ledenlijst Hells Angels’.

Volgens een inschatting van de Belastingdienst zelf was bij 39 van die lijsten het risico op verkeerd gebruik „hoog” en de kans op nadelige gevolgen voor burgers „waarschijnlijk”. Bij nog eens 24 lijsten was die kans „aanwezig”.

Wat het precieze doel van die lijsten was, hoeveel burgers erop stonden en of die, zoals Toeslagenouders, onterecht in de problemen kwamen, is onbekend. Staatssecretaris Vijlbrief had in 2020 beloofd met „grote spoed” onderzoek te doen naar risicolijsten bij de dienst. Toch is dit onderzoek pas „recent aangevangen”, laat het ministerie weten.

Opvallend is dat in de openbaar gemaakte inventarisaties van problematische lijsten en applicaties er één ontbreekt. Dat is omdat juist deze veel gebruikte applicatie voor risicoselecties zowat alle privacyregels overtrad – en daarom door de Belastingdienst zelf in 2018 in stilte werd uitgezet. 

In de nazomer van 2015 zijn vertegenwoordigers van vijftien uitvoeringsorganisaties uitgenodigd om te horen over een bijzondere applicatie van de Belastingdienst. Dit Risico-Analyse Model (RAM) is vanaf het begin van de eeuw opgebouwd door een Limburgse belastinginspecteur zonder ict-opleiding en het is binnen de dienst inmiddels onmisbaar voor het toezicht op belastingbetalers.

Medewerkers van onder meer UWV, de SVB, de Kamer van Koophandel en de IND horen wat een prachtig stuk gereedschap RAM is. Met deze applicatie en de bijbehorende databases kun je zowat alle gegevens waar de Belastingdienst over beschikt makkelijk en snel combineren, rangschikken en analyseren.

Belastinginspecteurs kunnen ook op een andere manier aan dit soort data komen: via de centrale administratie in Apeldoorn. Na een ‘query’, een verzoek om specifieke informatie, krijgen ze die opgestuurd. „Maar voor zulke queries bestond altijd een lange wachtrij”, vertelt een hooggeplaatste belastingmedewerker uit die tijd. „RAM was altijd beschikbaar, snel, en je kon er als inspecteur zelf in alle vrijheid mee knutselen.” 

In 2016, zo blijkt uit interne mailcorrespondentie, bestaan er binnen de top van de Belastingdienst al zorgen over de wenselijkheid van het „op grote schaal distribueren van data” via RAM. Volgens een vertrouwelijk rapport uit die tijd zijn er „minimaal 2.000” afnemers van RAM-data. Er zijn dan al regelmatig pogingen gedaan om het programma stil te zetten of te vervangen, zeggen verschillende betrokkenen. Maar RAM is intern te populair om uit te zetten.

Een van de databases die voor RAM is gemaakt, Kernsofi, bevat van iedereen met een bsn-nummer 450 verschillende gegevens, tot zes jaar terug, verzameld vanuit alle hoeken van de Belastingdienst, inclusief de FIOD en de Douane, zo blijkt uit interne stukken over de applicatie. Niet alleen persoonsgegevens zoals adres en leeftijd, maar ook de gegevens van de (fiscale) partner, de begindatum van de relatie, welke nationaliteit de partner heeft, wanneer die geëmigreerd is, hoe vaak iemand in de systemen van de Belastingdienst heeft ingelogd of bezwaarschriften heeft ingediend, alle gegevens over inkomens, vermogens en schuld, hoeveel auto’s, beleggingen en vastgoed iemand heeft, en nog eens honderden andere gegevens.

Je kan ook opzoeken wie er op de FSV-lijst staat, of voor wie een AKI geldt; dat is een ander label waarmee een Belastingdienstmedewerker kan aangeven of iemand een frauderisico is.

Het systeem biedt ongekende mogelijkheden. Beperkingen van het gebruik zijn er nauwelijks. Jarenlang kunnen duizenden Belastingdienstmedewerkers via RAM naar hartelust uiterst gevoelige informatie van belastingbetalers inzien en combineren. Dat kunnen ook discriminerende analyses zijn, waarschuwt een Belastingdienstmedewerker in een interne mail. Al die informatie kan ook eenvoudig worden verspreid, door bepaalde selecties naar Excel te exporteren, die weer makkelijk op persoonlijke schijven of usb-sticks kunnen worden weggeborgen.

Of dat is gebeurd, en hoe vaak, is niet te achterhalen. Wie het systeem gebruikt, wat er uit wordt gehaald en naar wie het wordt gestuurd, wordt niet bijgehouden. En dat is niet het enige probleem, zo stelt de top van de dienst in 2018 vast in een interne memo die NRC heeft ingezien. De wettelijk verplichte controle of de gegevensverwerking wel rechtmatig, noodzakelijk en proportioneel is, ontbreekt. De database waar RAM mee werkt is volgens die memo niet beveiligd en staat ook niet op een beveiligde server, terwijl er softwarecomponenten voor worden gebruikt die notoir kwetsbaar zijn voor hacks.

Deze intern bekende risico’s komen na de Zembla-uitzending weer op de agenda van de top van de Belastingdienst. Net als bij de usb-ontheffingen worden ook de meeste gebruikersrechten op RAM ingetrokken. Maar al snel mogen tientallen mensen er toch weer mee werken. Om datalekken te voorkomen komt er wel een extra slot op: wie RAM gebruikt, mag niet meer extern mailen en krijgt geen toegang tot internet.

Na anderhalf jaar wikken en wegen besluit de top dat RAM uit moet. Op 25 mei 2018 gaat de nieuwe privacywetgeving in, de Algemene Verordening Gegevensbescherming (AVG). RAM voldoet daar op zoveel punten niet aan, dat de applicatie niet te redden is.

Het leidt direct tot weerstand uit de organisatie: het toezicht op belastingaangiften en de fraudebestrijding komen in gevaar, zo benadrukt een topambtenaar in een interne notitie uit april 2018 en als wederom Omtzigt in juni 2018 vragen stelt over de nieuwe privacywetgeving, wordt met geen woord over de database gerept, hoewel die op dat moment binnen de dienst als groot privacyrisico wordt gezien.

Vanwege het grote belang voor het toezicht blijft er een soort uitgeklede versie van RAM bestaan. Zo’n twintig medewerkers houden toegang tot de applicatie – als noodoplossing, tot er een vervangend programma is gebouwd dat wél aan de privacyeisen voldoet.

 Het duurt tot maart 2022 voor de huidige staatssecretaris Marnix van Rij in twee alinea’s iets over het bestaan van RAM aan de Kamer meldt – en dat is alleen omdat RAM in het onderzoek van accountantsbureau PWC is opgedoken. Volgens de staatssecretaris is in januari 2021, een jaar voor het uitkomen van het rapport, „ontdekt dat (een deel van de) RAM-data na het uitzetten nog beschikbaar is geweest” ondanks dat het in 2018 werd afgesloten. Volgens Van Rij zijn alle autorisaties voor het gebruik van RAM daarop alsnog ingetrokken. Over de grote interne zorgen rond het jarenlange grootschalige gebruik van RAM schrijft Van Rij niets aan de Kamer.

„De Belastingdienst gaat zorgvuldig om met uw persoonsgegevens”, zo staat op de website van de dienst. Een geruststellende mededeling, maar hij klopt niet. De Belastingdienst weet nog steeds niet „of persoonsgegevens adequaat beschermd zijn”, schreef de Auditdienst Rijk eind vorig jaar nog.

Staatssecretaris Menno Snel had de Kamer in 2019 gemeld dat de Belastingdienst grotendeels aan de AVG voldeed. Maar dat kon na alle onthullingen rond het Toeslagenschandaal niet meer worden volgehouden. Vijlbrief, de opvolger van Snel, gaf eind 2021 toe „dat het beeld dat eerder met uw Kamer is gedeeld, niet geheel volledig en daarmee te positief is geweest.” Voldoen aan de privacywetgeving zou nog tot eind 2023 duren, zo meldde de staatssecretaris.

Om dat voor elkaar te krijgen, en om te voorkomen dat er ooit nog zoiets als het Toeslagenschandaal kon plaatsvinden, was er inmiddels een ambitieus programma gepresenteerd met de naam Herstellen, Verbeteren en Borgen.

In de tussentijd vielen wat lijken uit de kast. Naast het voortbestaan van FSV en RAM en het circuleren van bijna veertig andere problematische fraudelijsten bleken bij de Douane drie applicaties de tweede nationaliteit van 1,17 miljoen Nederlanders te bevatten. Dit had onmogelijk moeten zijn: in 2015 had de dienst alle gegevens over dubbele nationaliteit al gewist uit het systeem waarin zij alle persoonsgegevens van belastingplichtigen bijhoudt. Maar de Douane maakte gebruik van een kopie van dit systeem, waar die informatie nog wel in stond. Waarom die kopie bestond, en waarom die in 2015 niet was opgeschoond, wist de Belastingdienst niet.

In 2020 werd de Databank Auto stilgezet: dit was een lokale applicatie waarin sinds 2006 uit 22 verschillende bronnen autogegevens waren verzameld, waaronder bijvoorbeeld informatie van politiecamera’s met kentekenherkenning, boetes, militaire nummerplaten, verzekeringen, leasegegevens, maar ook openstaande belastingschulden, inkomens en toeslagen. Tot 2016 konden daar zo’n 1.900 medewerkers in.

De Autoriteit Persoonsgegevens legde de Belastingdienst eind 2021 een historisch hoge boete op van 2,75 miljoen euro, vanwege het „onrechtmatige en discriminerende” gebruik van de dubbele nationaliteit van toeslagenouders. En er was meer: de AP liet weten „nog steeds grote zorgen te hebben over de naleving van de AVG in de breedte”. Het was „dringend nodig verdere stappen te zetten”.

Nog geen half jaar later kwam er een nóg hogere boete. De Belastingdienst moest 3,7 miljoen euro betalen „vanwege de jarenlange illegale verwerking van persoonsgegevens in de FSV”. Zo werd de Belastingdienst in het misbruik van persoonsgegevens een veelpleger.

En een goed overzicht van welke persoonsgegevens worden gebruikt en hoe die worden verwerkt, heeft de Belastingdienst nog steeds niet. Dit wettelijk verplichte Verwerkingsregister is al minstens anderhalf jaar niet bijgewerkt. „Door het ontbreken van een actueel verwerkingsregister heeft de Belastingdienst niet alle verwerkingen in beeld en weet zij ook niet of er voldoende maatregelen getroffen zijn en of de persoonsgegevens adequaat zijn beschermd”, zo schreef de Auditdienst Rijk. 

Toch verklaarde Marnix van Rij het speciale programma om de omgang met persoonsgegevens te verbeteren twee maanden geleden „afgerond”. Om in diezelfde Kamerbrief te melden dat het voldoen aan de AVG met nog eens drie jaar was vertraagd. Dat zou tot eind 2027 duren, en niet tot eind 2023, zoals eerder aan de Kamer was verteld.

Zo weet de Belastingdienst eigenlijk nog altijd niet goed waar alle privacyrisico’s zitten, laat staan dat ze die risico’s al heeft geneutraliseerd. Het roept een beeld op van een organisatie die de gecontroleerde en veilige omgang met burgergegevens als een hinderlijke onderbreking van het échte werk ziet, en die nog steeds te weinig controle heeft over wat er met al die gevoelige data precies gebeurt.

Deels komt het door de structureel verouderde ict, zeggen voormalig topambtenaren en betrokkenen bij de privacyorganisatie binnen de dienst. Zolang medewerkers zich gedwongen voelen te improviseren met eigen lijstjes en noodoplossingen zullen er steeds weer nieuwe privacyrisico’s ontstaan.

Maar het is ook cultuur: jarenlange problemen binnen de dienst, bezuinigingen, politieke druk en incidentmanagement hebben geleid tot vermoeidheid en cynisme in de organisatie. Dat maakt de bereidheid, en meer nog het vermogen om anders te werken, klein. „Wat je ziet”, zegt een voormalig topambtenaar van de Belastingdienst, „is hoe krachtig de onderhuidse beweging van de 25.000 medewerkers van de dienst is, van wie een groot deel niet wil dat er iets verandert.”

Alles bij de bron; NRC [thx -2- Niek]

Gegevens

Hoofdcategorie: Nieuws uit NL

18 mei 2023

De Autoriteit Persoonsgegevens heeft vijf gemeenten om opheldering gevraagd over het gebruik van de ‘fraudescorekaart’. Dit is een algoritme dat risico’s op fraude door mensen met een bijstandsuitkering in beeld brengt.

De fraudescorekaart is een geautomatiseerd systeem dat bijstandsgerechtigden een score geeft op basis van persoonlijke kenmerken, zoals beroep, woonwijk en opleidingsniveau. De score moet aanduiden of bij deze mensen een hogere kans op fraude bestaat.

De vijf gemeenten zouden het algoritme zijn blijven gebruiken, ondanks eerdere rechtspraak over Syri dat het gebruiken van zo’n systeem in strijd is met de privacywet AVG.

De gemeenten moeten binnen twee maanden aan de AP rapporteren over hun werkwijze. In de rapportage moet het advies worden opgenomen van hun onafhankelijke interne privacytoezichthouder, de functionaris gegevensbescherming (FG). Daarbij moeten de gemeenten aangeven wat zij met dit advies hebben gedaan. Ook moeten zij aangeven of burgers financiële schade hebben geleden en zo ja, hoeveel. En wat de gemeenten aan eventuele schade gaan doen.

Nadat de gemeenten aan de AP gerapporteerd hebben, besluit de AP of vervolgacties nodig zijn.

Alles bij de bron; Beveiliging

Gegevens

Hoofdcategorie: Nieuws uit NL

16 mei 2023

Inlichtingendiensten MIVD en AIVD mogen onder een tijdelijke wet die in de maak is te lang gegevens van onschuldige burgers bewaren, vindt de Raad van State. De belangrijke adviseur van het kabinet vindt dat het wetsvoorstel daarom moet worden aangepast voordat het wordt behandeld in de Tweede Kamer. 

Het kabinet wil de bevoegdheden van de inlichtingendiensten verruimen om zich beter te kunnen weren tegen landen die een offensief cyberprogramma hebben. De Raad stelt vast dat de wetswijziging niet alleen gaat over gegevens die worden onderschept van zulke landen, maar ook van onschuldige burgers. Vooral vanwege dat laatste moeten volgens de regeringsadviseur strenge eisen worden gesteld.

De nieuwe wet gaat over zogeheten ‘bulkdata’, oftewel grote hoeveelheden gegevens van burgers en organisaties. Daar zit veel informatie tussen van mensen naar wie geen onderzoek loopt en waarschijnlijk ook nooit onderzoek naar zal lopen. In de huidige versie van de wet moet na anderhalf jaar worden beoordeeld of zulke gegevens nog relevant zijn. Zo niet, dan moeten de bulkdata worden verwijderd.

De nieuwe wet geeft de verantwoordelijke ministers de mogelijkheid om de bewaartermijn jaarlijks te verlengen.

De regeringsadviseur vindt echter dat duidelijker in de wet moet staan onder welke voorwaarden het is toegestaan gegevens langer te bewaren. “Ook moet duidelijk zijn dat de inbreuk op de persoonlijke levenssfeer van de burger eindig is”, zo luidt het advies. Daarom moet het volgens de Raad duidelijk op papier staan hoe lang de gegevens maximaal mogen worden bewaard. Eventueel kan nog in de wet worden opgenomen dat hier in uitzonderingsgevallen van mag worden afgeweken, schrijven de adviseurs.

Alles bij de bron; NieuwsNL

Gegevens

Hoofdcategorie: Nieuws uit NL

10 mei 2023

Regelgeving voor het monitoren van burgers via social media voor gemeenten laat op zich wachten. Het is experts op gebied van privacy, openbare orde en veiligheid en burgemeesters nog niet gelukt om overeenstemming te vinden over een handreiking hierover. Dat blijkt uit een brief van staatssecretaris Alexandra van Huffelen.

Uit onderzoek van de Rijksuniversiteit Groningen en NHL Stenden Hogeschool bleek vorig jaar dat monitoring van sociale media in vrijwel alle gemeenten plaatsvindt. Dat gebeurde onder meer met anonieme accounts. Met de nieuwe regels moet er een basis ontstaan waarmee gemeenten op wettelijke basis burgers op sociale media mogen monitoren.  

Uit een ander onderzoek van AG Connect en Trouw is ook duidelijk geworden dat overheden, waaronder gemeenten, op grote schaal tweets verzamelen zónder dat twitteraars daarover worden geïnformeerd.

Alles  bij de bron; AGConnect

Gegevens

Hoofdcategorie: Nieuws uit NL

05 mei 2023

De overheid verwerkt al jaren persoonsgegevens voor het verstrekken van het energielabel aan woningeigenaren zonder dat het hiervoor een juridische grondslag heeft, zo heeft minister De Jonge voor Volkshuisvesting in een brief aan de Tweede Kamer laten weten. Via het energielabel wordt informatie over de "energieprestatie" van de woning gegeven. De overheid verstrekt de labelafschriften sinds 2015 via energielabelvoorwoningen.nl en sinds 1 april 2021 via MijnOverheid.

"Om het afschrift van het energielabel beschikbaar te kunnen stellen, verwerkt Logius het BSN, het adres en het energielabel afschrift van de persoon die ingelogd is. Logius heeft geconstateerd dat de juridische grondslag hiervoor ontbreekt", aldus De Jonge.

Het ontbreken van de grondslag is volgens de minister in eerdere analyses niet aan het licht gekomen en geldt zowel voor woningeigenaren als huurders. Vanaf 1 juli zal DigiD- en MijnOverheid-aanbieder Logius wel over de benodigde grondslag beschikken om het verwerken van de persoonsgegevens onder de AVG te kunnen uitvoeren. 

De Jonge stuurt de Tweede Kamer een nieuwe Data Protection Impact Assessment (DPIA), aangezien degene die vorig jaar werd verstuurd onvolledig is. Via een DPIA worden privacyrisico's in kaart gebracht en hoe die kunnen worden verholpen.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Nieuws uit NL

03 mei 2023

De Autoriteit Persoonsgegevens (AP) wil toelichting van minister Hoekstra van buitenlandse zaken over de software die gebruikt wordt bij het verwerken van visumaanvragen. Het algoritme werkt mogelijk discriminatie in de hand.

....De toezichthouder vreest dat de software discriminatie in de hand werkt, omdat automatische selectie op basis van nationaliteit en afkomst invloed zou hebben op de uitkomst van de procedure. De AP baseert haar zorgen op inzage van talloze documenten en gesprekken met de voormalige ‘functionaris gegevens­bescherming’ van het departement.

Die trok al eerder aan de bel. In 2021 trok hij twee conclusies. Het inhuren van private buitenlandse partijen voor de gegevensverwerking van visumaanvragers zou privacy in gevaar brengen. En het visumalgoritme IOB heeft mogelijk een discriminerend karakter.

Voor de slechte beveiliging van gevoelige persoonsgegevens gaf de AP vorig jaar al een boete van 565.000 euro en een dwangsom van 50.000 euro aan Buitenlandse Zaken. Die beveiligingslekken zijn intussen gedicht.

Alles bij de bron; Trouw

Gegevens

Hoofdcategorie: Nieuws uit NL

28 april 2023

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft de afgelopen jaren veel kritiek gekregen vanwege het schenden van de rechten van burgers. Zo hield de NCTV illegaal burgers op sociale media in de gaten, faciliteerde hij illegale surveillancepraktijken van Defensie en financierde hij illegale onderzoeken van gemeenten waarbij private bedrijven werden ingehuurd om zonder aanleiding te infiltreren in moskeeën. Dat hoort helemaal niet bij de verantwoordelijkheden van de coördinator, maar deed hij toch.

De wanpraktijken van de NCTV waren destijds één van de redenen dat toenmalig minister Grapperhaus de Big Brother Award won.

Om de misstanden te rechtvaardigen kwam er een wetsvoorstel, dat onder andere een "inlichtingentaak" voor de NCTV zou introduceren, waardoor het een soort derde geheime dienst zou worden. Hierover waren wij, samen met bijvoorbeeld Amnesty International, erg kritisch over in de kamer. We legden de Tweede Kamer –op hun uitnodiging– uit waarom dat wetsvoorstel volstrekt onacceptabel was.

Naar aanleiding van alle kritiek is er nu een nieuw wetsvoorstel waarin de taken en bevoegdheden van de NCTV duidelijker worden omschreven. Het voorstel schrapt de zelfstandige analysetaak en legt de coördinatiefunctie van de NCTV vast. Het is een stap in de goede richting, aangezien de NCTV zich voortaan zal richten op zijn kerntaak: namelijk het coördineren.

Dit laat zien dat het dus wél mogelijk is om steeds verder uitbreidende surveillancebevoegdheden een halt toe te roepen. Toch is er ook nog ruimte voor verbetering in het afbakenen van de taken van de coördinator. Uitvoeringsinstanties zoeken binnen het veiligheidsdomein vaak de grenzen van de wet op en gaan daar overheen. Daarom is het heel belangrijk dat de afbakening van hun bevoegdheden heel duidelijk wordt gedaan.

Op sommige punten is het in het huidige voorstel goed afgebakend, maar er zitten nog onduidelijkheden in. Hoe zit dat bijvoorbeeld met het signaleren, analyseren en duiden van trends en fenomenen, de toegang tot publiek toegankelijke bronnen en het gebruiken van technische hulpmiddelen daarbij?

Alles bij de bron; Bits-of-Freedom