Big Data, Analyse & Profiling

Locatiegegevens zijn persoonlijke gegevens, zo heeft een Spaanse rechter geoordeeld, in een zaak die door privacyorganisatie noyb tegen de Spaanse privacytoezichthouder AEPD was aangespannen. Die had eerder gesteld dat locatiedata niet onder het inzagerecht van de AVG valt. 

De Spaanse privacytoezichthouder had vorig jaar geoordeeld dat telecomprovider Virgin terecht geen locatiegegevens verstrekte aan klanten die via het inzagerecht hier om vroegen. 

Noyb tekende bij een Spaanse rechtbank beroep aan tegen het oordeel van de AEPD en stelde dat het inzagerecht gerespecteerd dient te worden. Daarnaast wees de privacyorganisatie ook naar het feit dat de toezichthouder geen uitleg had gegeven.

De rechter koos de kant van noyb en heeft de beslissing van de Spaanse toezichthouder ongedaan gemaakt. De AEPD besloot na de rechtsgang van noyb ook de kant van de privacyorganisatie te kiezen en moet nu met een nieuwe beslissing op het inzageverzoek komen.

Alles bij de bron; Security

Vast beleid van Stichting Privacy First is om massale privacyschendingen bij de rechter aan te vechten en onrechtmatig te laten verklaren. Een kwestie die zich bij uitstek ook voor een dergelijke rechtszaak leent betreft de Nederlandse wetgeving inzake automatische nummerplaatherkenning (Automatic Number Plate Recognition, ANPR) zoals die sinds 2019 geldt onder het nieuwe art. 126jj Sv.

Onder de ANPR-wet worden de kentekens en locaties van miljoenen auto’s in Nederland (oftewel ieders reisbewegingen) continu vier weken in een centrale politiedatabank opgeslagen voor o.a. opsporing en vervolging, ongeacht of men ergens van verdacht wordt.

Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief, zo bleek de afgelopen jaren uit diverse onafhankelijke onderzoeken. Bovendien ontbreekt toezicht en kan het systeem eenvoudig worden misbruikt, zo bevestigde o.a. onderzoek door NRC Handelsblad.

De huidige ANPR-wet vormt daarmee een massale privacyschending en hoort simpelweg niet thuis in een vrije democratische rechtsstaat. Privacy First heeft daarom besloten om een rechtszaak tegen de Staat aan te spannen ter buitenwerkingstelling van de ANPR-wetgeving wegens strijd met Europees privacyrecht.

Eind 2021 vond reeds een kort geding van Privacy First tegen de ANPR-wet plaats. In deze zaak oordeelde de rechtbank Den Haag echter dat bij dit kort geding geen sprake zou zijn van voldoende spoedeisend belang.

Privacy First heeft vervolgens besloten om deze zaak voort te zetten als bodemprocedure waarin alle relevante rechtsvragen aan de orde zullen komen. Vandaag heeft Privacy First daartoe bij de landsadvocaat een uitgebreide dagvaarding ingediend. De volledige dagvaarding vindt u HIER (pdf).

Indien nodig zal Privacy First de zaak tot de hoogste rechterlijke instanties voortzetten, waaronder het Europees Hof van Justitie in Luxemburg. Gezien de Europese jurisprudentie terzake acht Privacy First de kans op een succesvolle rechtsgang buitengewoon hoog.

De ANPR-wetgeving waar de rechtszaak van Privacy First om draait ziet vooral op de massale verzameling en opslag van ieders “historische” ANPR-data, ook wel “no hits” genoemd. Dit dient te worden onderscheiden van de al vele jaren bestaande politiepraktijk waarbij kentekens van verdachte personen (zogeheten “hits”) real-time kunnen worden gebruikt voor opsporing.

Alles bij de bron; Emerce

Goededoelenorganisaties blijken in praktijk vaak om persoonlijke gegevens van donateurs te vragen. Bij ruim 200 goede doelen is het niet mogelijk om anoniem geld te doneren. Dat zegt Stichting Donateursbelangen, die onderzoek deed naar het verstrekken van persoonsgegevens van donateurs aan ideële organisaties.

De stichting onderzocht 285 online donatiemodules van goede doelen. Bij bijna driekwart van de onderzochte instellingen (73 procent) was het onmogelijk om anoniem een donatie te doen. 208 organisaties eisten dat donateurs hun e-mailadres opgaven. Bij 70 procent van de digitale donatiemodules waren voor- en achternaam verplicht.

In een kwart van de gevallen (25 procent) waren donateurs verplicht om woonadres en postcode op te geven. Bij 12 goededoelenorganisaties (4 procent) moest men een telefoonnummer opgeven. Eén ideële stichting vroeg naar de geboortedatum van donateurs.

Opvallend is dat bij één op de vijf gevallen (20 procent) standaard was aangevinkt dat men een nieuwsbrief wilde ontvangen. 19 organisaties (6,7 procent) plaatsen een vinkje dat ze telefonisch contact mogen opnemen met de donoren.

Tot slot vraagt 69 procent van de goede doelen niet aan donateurs of ze akkoord gaan met de privacyvoorwaarden. Stichting Donateursbelangen vraagt zich hardop af of de goede doelen met deze werkwijze de Europese privacywetgeving overtreden.

Stichting Donateursbelangen is niet te spreken over de uitkomsten. “Het verplicht delen van persoonsgegevens bij het doneren kan worden gezien als een inbreuk op de privacy van gevers omdat het een vorm van persoonlijke informatie is die wordt gedeeld met een andere partij”, zo zegt de stichting. Donateurs lopen daarnaast het risico dat goededoelenorganisaties een profiel van hen opbouwen met de verplicht gedeelde persoonsgegevens.

Het is niet noodzakelijk persoonsgegevens op te slaan van donateurs die eenmalig doneren op basis van alle mogelijke risico’s die hier aan vast zitten. Donateurs zijn vaak ook niet op de hoogte dat er dataverrijking plaatsvindt op hun persoonsgegevens en wat er met de data allemaal gedaan wordt.”

Alles bij de bron; VPN-Gids

Meta spant een rechtszaak aan tegen het bedrijf Voyager Labs. Het bedrijf beweert dat Voyager Labs 38.000 nepaccounts heeft ingezet om persoonlijke data van 600.000 Facebook-gebruikers te verzamelen.

Met de nepaccounts zou het toegang hebben tot de openbare profielinformatie van gebruikers, die toegankelijk is voor elke ingelogde gebruiker. De gescrapete data bestond uit profielinformatie, zoals posts, likes, vrienden, foto's en reacties. 

Voyager Labs zou zich met zijn scrapingtools richten op bedrijven die toezicht willen houden op socialemediaplatforms zonder daarbij opgemerkt te worden. Eerder werd de software van het bedrijf ingezet door de politie in Los Angeles. De LAPD kon hierdoor eenvoudig de accounts van duizenden online vrienden van potentiële verdachten controleren.

Alles bij de bron; Tweakers

Privacy First start een onderzoek naar "grootschalige datavergaring" door connected cars en de gevolgen die dit voor de privacy van bestuurders heeft.

Voorkeurinstellingen, rijgedrag, routes, gps-locaties, bestemmingen, tijdstippen, camerabeelden van binnen en buiten de auto, allerlei gevoelige informatie uit de op de boordcomputer aangesloten telefoon evenals bijvoorbeeld gezondheids- en biometrische gegevens kunnen allemaal door connected cars worden bijgehouden en verzameld.

"Dergelijke informatie is waardevol en daarom gewild.", aldus Privacy First. Ook andere partijen kunnen voertuigdata gebruiken. Zo kunnen bijvoorbeeld verzekeraars die digitaal meekijken in de auto korting op de premie geven.

Naast de omgang met gegevens zal Privacy First ook naar de beveiliging ervan kijken. "Steeds opnieuw komt aan het licht dat autofabrikanten (en soms aanverwante partijen) de beveiliging van hun auto’s niet op orde hebben."

Vorige week lieten beveiligingsonderzoekers nog zien hoe auto's van Kia, Honda, Infiniti, Nissan en Acura alleen met behulp van een VIN-nummer op afstand zijn te openen en starten. Verder ontdekten de onderzoekers andere kwetsbaarheden waardoor het mogelijk was om gegevens van eigenaren van Toyota, Ford, Jaguar, Land Rover en Porsche te achterhalen. 

Alles bij de bron; Security

Technologie die werd geïntroduceerd om Covid-19 te bestrijden, blijkt inmiddels overal ter wereld te worden ingezet voor surveillance die niets meer met pandemiebestrijding te maken heeft.

Uit een wereldwijd onderzoek van persbureau AP blijkt dat het niet alleen dictaturen zijn die de covidtechnologie inmiddels voor andere doeleinden gebruiken. 

Ook in een democratie als Australië raakten de oorspronkelijke doeleinden uit zicht. Al vrij snel na de introductie van een covid-app bleek dat de geheime dienst daar data uit oogstte. “Per ongeluk”, luidde het officiële verweer nadat dit uitlekte.

Ook werd de data van check-ins met QR-codes door de Australische politie gebruikt voor regulier recherchewerk. Na de moord op de baas van een motorbende verschafte de politie zich toegang tot de namen, telefoonnummers en incheckdata van ruim 2400 motorfans, ondanks de eerdere belofte dat die alleen voor coronabestrijding zouden worden gebruikt.

Het belemmeren van de bewegingsvrijheid van activisten en het sluipende uitbreiden van de doeleinden waarvoor geoogste data worden ingezet, zijn twee manieren waarop surveillance kan ontsporen. Doelgerichte intimidatie is een derde. Dat blijkt bijvoorbeeld in Israël, waar honderden Palestijnen vorig jaar ineens een bericht op hun telefoon kregen. ‘U bent opgemerkt als deelnemer aan gewelddadigheden in de Al-Aqsamoskee. U zult verantwoordelijk worden gehouden’, stond er. Afzender: de Shin Bet, de Israëlische binnenlandse veiligheidsdienst.

Ook Majd Ramlawi (19) kreeg tot zijn schrik zo'n berichtje, terwijl hij toch alleen maar in het café bij de ingang van de moskee werkt. Dat hij toch in het vizier kwam, bleek te verklaren doordat Shin Bet de data had geoogst uit de surveillancetechnologie voor het tegengaan van covidbesmettingen.

Een vierde manier waarop covid-technologie misbruikt wordt, is het opbouwen van individuele profielen, waarin vaak ook andere data worden samengevoegd. In de Indiase stad Hyderabad bijvoorbeeld worden foto’s van overtreders van het mondkapjesverbod in een database ingevoerd. 

En in de VS kreeg het private surveillancebedrijf Palantir van de overheid toegang tot allerlei persoonsgegevens. Gebrek aan regelgeving maakt het vervolgens lastig om na te gaan wat zo'n bedrijf er verder mee doet, maar Palantir heeft onder privacy-activisten een belabberde reputatie.

De coronapandemie is een met 9-11 vergelijkbare gebeurtenis, die de opkomst van surveillance kan versnellen. Veel ontwikkelingen, zoals cameratoezicht en gezichtsherkenning, waren al aan de gang, zegt Kees Boersma, hoogleraar crisisbestrijding aan de VU. Een crisis kan wel betekenen dat we bereid zijn om zulke systemen meer data te voeden. “Wat ik verder interessant vond, was de opkomst van dashboards, bij overheden, bedrijven en veiligheidsregio’s.”

Ook die kunnen volgens hem ontsporen. “Bij die dashboards zie je ook verplaatsingen van mensen. Als jij vluchteling of asielzoeker bent, dan is dat informatie die gebruikt kan worden op een voor jou nadelige manier. De vraag is altijd: wie zijn er nou kwetsbaar als de informatie misbruikt wordt?”

Alles bij de bron; Trouw

....De bewindsvrouw stipt ook nog het Federatief Datastelsel aan, de doorontwikkeling van het huidige Stelsel van Basisregistraties.

Dat stelsel ontsluit tien basisregistraties voor meervoudig datagebruik, zoals de BRP en de Basisregistratie Adressen en Gebouwen (BAG). Maar dit stelsel is niet geschikt voor het gebruik van data uit meerdere sectorale registraties, zoals die van DUO, het UWV en het Kadaster. In totaal zijn er ongeveer honderdvijftig sectorale registraties.

De ambitie is om in de komende jaren de gegevens uit die registraties ook als ‘basisdata’ beschikbaar te laten zijn in een uitgebreider stelsel.

Van Huffelen: 'Daarvoor wordt er gewekt aan een federatief stelsel met als uitgangspunt om data niet op een centrale plek te verzamelen, maar deze in de sectoren te houden, daar waar ze horen, bij de bron. Dit voorkomt het onnodig kopiëren van gegevens met kans op fouten.

Daarbij moeten afspraken worden gemaakt over onder meer privacy, het verantwoord omgaan met de gegevens van burgers en een goede logging om te zien welke ambtenaar wanneer gegevens heeft geraadpleegd en met welk doel.'

Alles bij de bron; Computable

De coalitie van maatschappelijke organisaties die eerder succesvol actie voerde tegen het risicoprofileringssysteem SyRI beginnen opnieuw een rechtszaak tegen de overheid wegens het profileren van burgers. Het gaat om FNV, Platform Burgerrechten, Privacy First en Stichting KDVP, ook wel de SyRI-coalitie genoemd. De organisaties wisten in 2020 via een rechtszaak het risicoprofileringssysteem SyRI (Systeem Risico Indicatie) onrechtmatig te laten verklaren.

Volgens de organisaties blijkt uit onderzoek van Argos en Lighthouse Reports dat de overheid het profileren na de SyRI-uitspraak gewoon blijft inzetten om socialezekerheidsfraude op te sporen in wijken met veel uitkeringen....

....FNV-vicevoorzitter Kitty Jong: "Op dit moment wordt in de politiek gesproken over hoe het regime voor uitkeringsgerechtigden te verzachten, en uit te gaan van de menselijke maat. Door wat nu naar boven komt, blijkt eens te meer dat gemeentelijke beleidsvrijheid tot rechtsongelijkheid kan leiden die in tegenspraak is met wat minister Schouten van Armoedebeleid, Participatie en Pensioenen bepleit."

Alles bij de bron; Security

De overheid gebruikt nog steeds omstreden risicoprofielen om uitkeringsfraude op te sporen. Er komt een onderzoek naar dit LSI-systeem, en een rechtszaak...

...Uit onderzoek van Argos en journalistencollectief Lighthouse Reports blijkt dat onder meer gemeenten als Utrecht, Zaanstad, Venlo en Leeuwarden hun gegevens combineren met die van andere overheidsorganisaties, de politie en de Belastingdienst. Op basis van een optelsom van deze risicoprofielen worden vervolgens ‘verdachte’ adressen bezocht.

Deze methode lijkt op die van SyRI (Systeem Risico Indicatie), een fraudesleepnet dat in 2020 door de rechter werd verboden omdat de aanpak in strijd was met de privacywet. 

De betreffende projecten om fraude op te sporen vallen onder de Landelijke Stuurgroep Interventieteams (LSI). Dat is een samenwerkingsverband onder de paraplu van het ministerie van SZW.

LSI verzamelt risicosignalen van deelnemende overheden in één database. Het gaat om indicatoren als waterverbruik, schulden, bankrekeningen, vergunningen, auto- en woningbezit, uitkeringen, kinderen en relaties, geslacht, leeftijd, nationaliteit, afvalaanbod en overlastmeldingen. Het bezit van een aanhangwagen of een dieselauto geldt ook als extra verdacht, blijkt uit de documenten. Alleenstaande vrouwen die tijdens de bijstandsperiode moeder worden, worden in sommige gemeenten als een hoger frauderisico aangemerkt – de gebruikte indicatoren verschillen per gemeente.

Op een centrale ‘casustafel’ worden de huishoudens met hoge scores besproken. Tijdens ‘actiedagen’ krijgen bewoners een brief: wie de controleur niet binnenlaat loopt kans dat de uitkering stopt. „Het is een harde aanpak”, schrijven ambtenaren die zich met LSI bezig houden....

....Een groep maatschappelijke organisaties, waaronder vakbond FNV en Privacy First, stapte in 2018 naar de rechter voor een verbod op SyRI. Diezelfde coalitie kondigt aan een rechtszaak aan te spannen tegen de Staat om de LSI-aanpak te beëindigen. Tijmen Wisman, voorzitter van het Platform Burgerrechten (één van de organisaties die bezwaar maakt): „LSI gaat nog onzorgvuldiger om met je gegevens dan SyRI. Dit is een surveillancesysteem waarbij je als burger bij voorbaat verdacht bent.”

Minister Carola Schouten (SZW, ChristenUnie) zegt in een reactie: „We laten het proces extern doorlichten en kijken ook hoe de (risico-)signalen van LSI-partners tot stand komen. We willen uitgaan van vertrouwen in mensen.”

De uitzending van Argos over LSI-aanpak is dinsdag 20 december 2022 om 23.51 uur op NPO 2.

Alles bij de bron; NRC

We kunnen het niet vaak genoeg zeggen: de grote techbedrijven tracken ons allemaal en profileren ons op basis van ons online gedrag. En dat is gevaarlijk! We besloten eens te achterhalen wat Meta, het moederbedrijf van onder andere Instagram en Facebook, allemaal over mij denkt te weten. En dat is nogal een lijst.

We leggen je uit hoe je zelf je profilerings-profiel kan opvragen, zodat ook jij bewust bent en blijft van wat zo'n platform allemaal achter de schermen doet. En we vertellen je wat wij eraan doen om deze surveillance te stoppen.

Alles bij de bron; Bits-of-Freedom

Schrijf je in op onze wekelijkse nieuwsbrief!