Over privacy wordt de afgelopen jaren steeds meer gesproken. Weten we wel wie onze gegevens in handen heeft? Om deze vraag met ‘ja’ te kunnen beantwoorden, treedt de nieuwe Privacywet vanaf mei 2018 inwerking. Nu is het zo dat elke lidstaat van de EU zijn eigen privacywetgeving heeft. In Nederland kunnen organisaties alle gegevens doorspelen aan andere bedrijven. Wanneer u bijvoorbeeld iets koopt via een webwinkel kunnen zij uw adres, telefoonnummer, geboortedatum en andere ingevoerde informatie aan anderen doorgeven. Cookies kunnen hierdoor worden afgestemd op uw interesses. Uw gegevens komen zo in onbekende handen terecht. Om dit te voorkomen is de nieuwe wetgeving ontwikkeld.
De regels rond uw persoonlijke informatie worden na 2018 een stuk strenger. De belangrijkste verandering zijn:
De organisatie moet kunnen uitleggen waarom ze bepaalde informatie nodig hebben. Apps mogen bijvoorbeeld niet zomaar vragen naar uw locatie. Dit moet noodzakelijk zijn voor het gebruik van de app.
Er moet altijd toestemming gevraagd worden voor het gebruiken van persoonlijke informatie. Wanneer een energiemaatschappij uw geboortedatum nodig heeft, moet zij kunnen aangeven waarvoor het gebruikt wordt.
U mag altijd uw persoonsgegevens verwijderen bij de organisatie. Hiervoor is geen goede reden nodig. Wanneer u zich toch niet prettig voelt dat een bedrijf uw adres heeft, mag u ze gerust vragen deze uit hun bestand te verwijderen.
Ook zijn organisaties verplicht informatie over te dragen wanneer u dit van hen vraagt. Wanneer u bijvoorbeeld gaat veranderen van energieleverancier, is uw oude leverancier verplicht de informatie over te dragen.
Alle organisaties moeten door de invoering van deze wet registers bijhouden. Hierdoor zal duidelijk worden waar uw gegevens vandaan komen en met wie de organisatie ze deelt. De Autoriteit Persoonsgegevens (AP) kan de registers op deze manier op juistheid controleren.
De Privacycommissie waarschuwt Worldline, het bedrijf dat het automatisch betaalverkeer in ons land regelt. Worldline doet voor diensten zoals Cardstop een beroep op bedrijven in Marokko en Indië. Die maken ook wel deel uit van dezelfde moedermaatschappij, Atos, maar in die landen zijn de privacyregels veel minder streng en dreigen persoonlijke gegevens van klanten gehackt te worden.
Het gaat om gegevens als naam, adres en welke betalingen je doet. Maar Worldline zegt dat ze zelf bindende privacyafspraken hebben met de ondernemingen, en dat de gegevens weldegelijk goed beschermd zijn. "De gegevens worden bewaard in België en in Europa", benadrukt woordvoerster Sarah Thomas, "De beveiliging van de gegevens is op geen enkel moment in gevaar gebracht."
Maar het gaat voor de Privacycommissie vooral over de juridische bescherming van de klanten. "Bij een datalek moet de burger zich kunnen beroepen op die garanties om een schadevergoeding te kunnen krijgen", zegt De Geest, "De bescherming is er op papier maar uit onderzoek is gebleken dat die in praktijk niet aanwezig is."
Het Amerikaanse ministerie van Justitie vraagt Dreamhost, de webhoster van een anti-Trump-website, om gegevens van 1,3 miljoen bezoekers te overhandigen die actief zijn op de website disruptj20.org. Zulke IP-adressen kunnen herleid worden naar individuele bezoekers. Het ministerie specificeert niet precies waarom de informatie wordt opgevraagd, maar het zou gaan om een verband met de demonstraties tijdens de inauguratie van president Trump.
Dreamhost noemt het verzoek 'een onterechte inzet van onderzoeksbevoegdheden' en 'misbruik van overheidsgezag'. Het bedrijf heeft daarom op 18 augustus een rechtszaak gepland, maar volgens het ministerie zijn er geen goede redenen om het zoekbevel aan te vechten. Dreamhost zou geen beroep kunnen doen op de privacywetgeving.
Volgens privacy-onderzoeker Jaap-Henk Hoepman zou wat de Amerikaanse overheid hier probeert in Nederland in ieder geval niet zomaar kunnen: 'Als er vermoedens zijn van een verdachte die iets op een website heeft gedaan, moet zo’n website informatie over die specifieke gebruiker aan de politie geven. Maar dat is nog iets hele anders dan dat je informatie van alle websitegebruikers moet afgeven omdat er misschien één potentiële verdachte bij zit.' Deze zaak geeft volgens Hoepman wel een belangrijk signaal af: 'Het is erg belangrijk dat je niet alleen vertrouwt op wet- en regelgeving, want die kan veranderen. Je moet ook nadenken over welke gegevens je opslaat en of je alle gegevens van al je websitebezoekers überhaupt wel moet bewaren. Als je die gegevens niet hebt, kun je ze ook niet geven als er om gevraagd wordt.'
De Belgische banken hebben nog nooit zo veel klanten aangegeven zo blijkt uit het jongste jaarverslag van de antiwitwascel. Vorig jaar deden ze 8.662 meldingen over verdachte rekeningen en transacties. Ter vergelijking: zes jaar geleden deden de banken slechts 3.831 witwasmeldingen, minder dan de helft van het aantal in 2016.
In totaal kreeg de antiwitwascel vorig jaar 27.264 meldingen binnen over verdachte geldstromen die kunnen wijzen op het witwassen van crimineel geld of terreurfinanciering. Alleen de wisselkantoren deden vorig jaar nog iets meer aangiftes dan de banken (9.392), maar in tegenstelling tot de banken deden zij minder aangiftes dan de vorige jaren. Andere belangrijke melders waren Bpost (1.118) en de notarissen (1.049). Ook zij deden iets minder aangiftes dan de vorige jaren.
Het akkoord over het delen van passagiersgegevens (PNR) tussen de Europese Unie en Canada is in strijd met EU-recht, zo heeft het Europees Hof van Justitie vandaag geoordeeld (pdf). Volgens het Hof kan het akkoord in de huidige vorm niet worden goedgekeurd. In de afspraken zit onvoldoende rechtsbescherming voor Europeanen. Volgens het Hof is het 'in wezen' toegestaan om stelselmatig alle gegevens van passagiers door te geven, te bewaren en te gebruiken, maar verschillende bepalingen van de ontwerpovereenkomst voldoen niet aan de grondrechten van de EU. Zo is de overeenkomst onder andere in strijd met het grondrecht op de bescherming van persoonsgegevens.
In 2014 werd het huidige akkoord tussen de EU en Canada gesloten. Het Europees Parlement vroeg het Hof van Justitie of het akkoord wel aan EU-wetgeving voldoet. "Nu, twee-en-een-half jaar later, bevestigt het Hof de bezwaren die wij allang hadden. De Commissie en nationale regeringen bleven hardnekkig vasthouden aan een ondeugdelijk akkoord. De Commissie moet nu terug naar de onderhandelingstafel", zegt D66-Europarlementariër Sophie In 't Veld.
Volgens In 't Veld heeft de uitspraak mogelijk verstrekkende gevolgen. Vergelijkbare akkoorden met de Verenigde Staten over bijvoorbeeld PNR of bankdata (SWIFT) komen volgens haar nu op losse schroeven te staan.
Op 17 juli kondigde de nationale ombudsman een nieuw onderzoek aan. Hij gaat onderzoeken in hoeverre de overheid het recht op demonstratie eerbiedigt. Aandacht voor politieke rechten is hoognodig: tot voor kort deden Nederlanders nog massaal mee aan vertrapping van die rechten.
Elke werkdag fiets ik over de Vrijheidslaan. Die laan heette tien jaar lang ‘Stalinlaan.’ en werd in 1956 hernoemd vanwege het bloedbad dat het Rode Leger aanrichtte in Boedapest. Het weghalen van de Stalinlaan-naambordjes markeerde het begin van nog heviger uitsluiting van communisten in Nederland. Zo viel extreemlinks, of althans het Nederlandse communisme, van zijn voetstuk – en eindigde als paria.
Het omgekeerde gebeurde met Hans Janmaat. Deze politicus, in de tachtiger en negentiger jaren steevast extreemrechts genoemd, begon als paria – en wordt nu door sommigen postuum op een voetstuk geplaatst. Janmaat stond jarenlang bekend als racist en als fascist. Nu zijn kritiek op het multiculturele ideaal mainstream is geworden lijkt hij, ondanks al zijn gebreken, opeens een visionair.
De overeenkomsten tussen reacties op ‘extreemlinks’ en ‘extreemrechts’ zijn opmerkelijk. Zowel de communisten als Janmaat kregen te maken met vier soorten openlijke reacties: politieke, sociale, juridische, en van de media. Van cordons sanitaires (politiek) via ontslag van ambtenaren omdat ze partijlid waren (sociaal) en ‘creatief toepassen’ van wetgeving (juridisch) tot doodzwijgen of stigmatiseren (media) – alle registers werden opengetrokken om de ‘extremisten’ te dwarsbomen.
Politieke reacties waren zelden inhoudelijk, en meestal gericht op uitsluiting. Sociale reacties omvatten onder andere een beroepsverbod voor communisten. Lidmaatschap van Janmaats partij was vaak ook reden voor ontslag. Juridische reacties varieerden van het aanpassen van de wet om communistische wethouders te kunnen ontslaan in 1948 via het stelstelmatig op oneigenlijke gronden verbieden van manifestaties van Janmaats partij tot strafvervolging van Janmaat cum suis. Strafvervolging vond in 1994 met opzet vlak voor de verkiezingen plaats, zo vertelde een officier van justitie doodleuk in NRC Handelsblad.
Media-reacties waren ook stevig. In geval van de communisten was er een consistent vijandige houding. En tot 1965 kregen ze geen zendtijd voor politieke partijen. In geval van Janmaat gingen liefst drie journalisten undercover in zijn partij in 1994. Dat jaar schilderde Elsevier hem onterecht af als antisemiet. En in 1982 interviewde de NOS met opzet alle fractievoorzitters behalve Janmaat.
Naast deze openlijke reacties waren er ook heimelijke. De BVD, de toenmalige geheime dienst, infiltreerde verscheidene partijen en richtte zelf twee partijen op. Voorts maakt Van Dijk melding van verzoek tot schending van het medisch beroepsgeheim, chantage om mensen hun familieleden te laten bespioneren, en afwijzing van sollicitaties als een familielid ooit contact met communisten had gehad. Wellicht het schokkendst is de volslagen desinteresse van politici voor deze praktijken van de BVD. Tot 1967 bleek van geen enkele politieke belangstelling, daarna mondjesmaat. Uit beide boeken doemt een beeld op van een dienst die lak heeft aan de rechtsstaat die hij met allerlei acties zegt te beschermen, van gebrekkig toezicht, en van gebrek aan evaluatie van nut en noodzaak van die acties.
En ja – een rechtsstaat mag zich weren tegen politieke partijen die hem bedreigen. Maar in hoeverre communisten of Janmaat een serieuze dreiging vormden is onduidelijk. Wat wel duidelijk is, is dat bescherming van de rechtsstaat uitliep op ongecontroleerde uitholling ervan. Rechten van burgers zijn vertrapt; geweld werd toegelaten. Politieke vrijheid gold niet voor burgers met afwijkende ideeën.
De FBI brengt zo samen met de Nederlandse politie, het Amerikaanse antidrugsagentschap en Europol een enorme klap toe aan het dark web. Opvallend: de politie kon één van de sites een maand lang beheren en heeft zo duizenden gegevens van verkopers en aankopers kunnen onderscheppen. "Het idee dat politie en justitie geen toegang hebben tot zo'n sites is nu wel uit de wereld geholpen", vertelt Wil van Gemert, adjunct-directeur van Europol.
Twee weken geleden verdween de grootste criminele marktplaats AlphaBay plots van het dark web door een gezamenlijke actie van Canadese, Amerikaanse en Thaise autoriteiten. Nadat AlphaBay opgedoekt was, vluchtten veel - anonieme -gebruikers immers naar Hansa, de derde grootste criminele markt op het dark web. Maar daar stond de politie - die erin geslaagd was de site over te nemen - hen op te wachten. De politie slaagde erin om duizenden kopers en verkopers uit 37 verschillende landen wereldwijd te identificeren. Die gegevens werden doorgegeven aan die landen.
In de vier weken dat de politie Hansa in handen hand hebben ze meer dan 30.000 aankopen geregistreerd, goed voor meer dan twee miljoen aan inkomsten. De echte beheerders van de site werden ook aangehouden.
Dankzij de nieuwe technische mogelijkheden kunnen werkgevers hun werknemers steeds makkelijker controleren. De Europese privacytoezichthouders (verenigd in de Artikel 29-werkgroep) hebben daarom in een nieuwe opinie duidelijk gemaakt op welke wijze werkgevers kunnen zorgen voor meer balans tussen hun legitieme belangen enerzijds, en de bescherming van de privacy van werknemers anderzijds...
...en benadrukt dat het (mede) gezien de nieuwe technologieën nog belangrijker is om met een aantal privacybeginselen rekening te houden bij het verwerken van persoonsgegevens in een arbeidsverhouding, namelijk:
persoonsgegevens moeten rechtmatig worden verwerkt, en alleen voor proportionele en noodzakelijke doeleinden.
persoonsgegevens mogen in principe alleen gebruikt worden voor de doeleinden waarvoor ze oorspronkelijk zijn verzameld.
er zijn geen andere manieren mogelijk hetzelfde doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
indien werknemers worden gecontroleerd moeten zij van tevoren zijn geïnformeerd over de redenen voor de controle, de controleperioden, de methoden en technieken en de gegevens die worden verzameld.
werknemers moeten de mogelijkheid hebben om hun gegevens in te zien en eventueel te corrigeren.
de persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.
de persoonsgegevens moeten worden beveiligd, zodat ze niet verloren raken of in verkeerde handen terechtkomen
...De Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, biedt de Nederlandse overheid de mogelijkheid om aanvullende (privacy)regels te stellen met betrekking tot:
recruitment;
de uitvoering van de arbeidsovereenkomst;
management, planning en organisatie van het werk;
gelijkheid en diversiteit op het werk;
gezondheid en veiligheid op het werk en de werkplek;
bescherming van de eigendom van de werkgever of de klant;
het genot van de met de arbeidsverhouding samenhangende rechten en voordelen; en
