Inleiding
Vraag mensen wat ze de grootste privacyschender vinden en velen noemen waarschijnlijk Google of Facebook. Die bedrijven hebben inderdaad een getroebleerde relatie met het fenomeen privégegevens; ze willen de privacy van hun klanten waarschijnlijk best respecteren, maar verdienen nu eenmaal veel geld als ze dat niet doen. De grootste privacyschender zou zich echter wel eens op een ander niveau kunnen bevinden: dat van de overheid.
Nu is een inbreuk op de privacy niet per se iets slechts, iets wat onder geen beding mag gebeuren. Als de politie de telefoon van een voortvluchtige moordenaar aftapt, is dat overduidelijk een inbreuk op zijn privacy, maar we zijn het erover eens dat die inbreuk gerechtvaardigd is, omdat het algemeen belang in dit geval zwaarder weegt. Dat de Belastingdienst ons inkomen wil weten is ook een inbreuk op de privacy, maar is nodig om de hoogte van de belastingen te kunnen vaststellen.
Niet onomstreden
Internetproviders uploaden
elke dag hun voltallige klantenbestand naar de politie
Hoe ver mag de overheid gaan met zijn privacy-inbreuken? In de afgelopen jaren kwam de overheid meer dan eens in het nieuws met privacy-inbreuken die heel wat meer omstreden zijn dan het aftappen van een verdachte moordenaar. Zo worden op last van de overheid niet alleen de verkeersgegevens van moordenaars en verkrachters opgeslagen, maar van ons allemaal, hoewel het Europese Hof van Justitie heeft geoordeeld dat het niet mag.
Ondertussen uploaden internetproviders elke dag hun voltallige klantenbestand naar de politie, mag de politie ons straks hacken als we ergens van verdacht worden en werkt het kabinet aan wetgeving die verdachten in bepaalde gevallen verplicht om hun encryptiewachtwoorden vrij te geven. Tweakers blikt terug op de inbreuken van de overheid op onze privacy en kijkt vooruit.
Databasewoede
De, ook door Tweakers, meest onderbelichte privacy-inbreuk die de overheid dit jaar deed, is waarschijnlijk het Systeem Risico Indicatie. Dat systeem, kortweg SyRI, is bedoeld om de overheid in databases te laten zoeken naar fraude met uitkeringen en toeslagen. De overheid heeft er belang bij om fraude op te sporen, want die kost de samenleving miljarden per jaar.
Het kabinet besloot deze herfst om het systeem in te voeren zonder dat er veel ruchtbaarheid aan werd gegeven, hoewel het behoorlijk vergaand is. Databases die tot nu toe van elkaar gescheiden waren, worden aan elkaar gekoppeld om de Belastingdienst erin te laten zoeken. Het gaat daarbij om grote hoeveelheden gegevens, bijvoorbeeld over arbeid, huisvesting, onderwijs, pensioen, reïntegratie, schuldenlasten, uitkeringen, en uiteraard toeslagen en subsidies. Ook gegevens van zorgverzekeringen kunnen worden meegenomen.
Malafide uitzendbureaus
De Belastingdienst grasduint in die gegevens, op zoek naar verbanden die wijzen op fraude. Een van de voorbeelden die het kabinet noemt, is de aanpak van malafide uitzendbureaus in de schoonmaakbranche, die werknemers onder het minimumjeugdloon betalen en geen belasting afdragen. In dit voorbeeld worden drie databases aan elkaar gekoppeld: een database over belastingafdracht, een database over sociale verzekeringen en werkvergunningen, en een database van de inspectie van het Ministerie van Veiligheid en Justitie over gecontroleerde bedrijven.
De koppeling van de databases maakt het in dit geval makkelijker om fraude op te sporen dan handmatig nagaan of iedere ondernemer en werknemer voldoende belasting betaalt, redeneert de overheid. De inbreuk op de privacy rechtvaardigt dat, vindt het kabinet.
Het kabinet vindt de privacy-inbreuk gerechtvaardigd. Niet iedereen is het daarmee eens
Niet iedereen is het daarmee eens. Burgerrechtenorganisatie Bits of Freedom nomineerde Lodewijk Asscher voor een Big Brother Award vanwege invoering van het systeem. Volgens critici reduceert de overheid burgers tot potentiële criminelen door ze op deze manier te profileren. "Burger wordt straks doorgelicht zoals profiel van crimineel wordt opgesteld", kopte de Volkskrant zelfs. Asscher won overigens niet, collegaminister Opstelten ging met de Big Brother Award aan de haal.
Is de kritiek op SyRI terecht? Feit is dat heel veel gegevens van onschuldige burgers zullen worden verwerkt om een kleine groep fraudeurs te betrappen. En dat terwijl van bestaande maatregelen om fraude te bestrijden al onduidelijk is hoe effectief ze zijn, zo schrijft diezelfde Volkskrant. Het ministerie houdt niet bij hoeveel van de onderzochte gegevens van fraudeurs waren.
Op de vingers getikt
Voor de komst van SyRI koppelde de overheid al databases aan elkaar, en niet altijd met genoeg aandacht voor de privacy. In 2010 moest de overheid een project stopzetten waarbij de Sociale Inlichtingen- en Opsporingsdienst gegevens aan elkaar koppelde voor onder meer het opsporen van uitkeringsfraude. Het CBP oordeelde dat er niet genoeg aandacht was voor beveiliging en ook werden gegevens die niet meer nodig waren niet verwijderd. In strijd dus met de wet, aldus het CBP.
Eerder tikte het CBP de overheid al op de vingers voor een project waarbij het waterverbruik van ontvangers van uitkeringen en toeslagen wordt geanalyseerd. Immers, wie heel weinig water verbruikt, zou huurtoeslag kunnen krijgen terwijl hij of zij stiekem ergens anders woont. Wie daarentegen heel veel gebruikt, zou heimelijk andere mensen kunnen huisvesten. Ook bij dat project was er te weinig aandacht voor de privacy
Meer aftappen
Nadat de burger door de sleepnetten van de Belastingdienst is gehaald, is de overheid nog niet klaar met hem. Want de ogenschijnlijk brave burger die niet fraudeert en geen illegale schoonmakers inhuurt, zou wel eens een terrorist of spion kunnen zijn en dan komt hij in het vizier van de geheime diensten.
Geheime diensten mogen op dit moment niet vrijelijk kabels aftappen. Dat gaat veranderen
Op dit moment mogen die zijn internetverbinding aftappen, maar alleen als ze al weten waar ze hem precies moeten hebben. Geheime diensten mogen op dit moment niet vrijelijk, ongericht fysieke kabels aftappen op zoek naar een mogelijke verdachte of naar aanwijzingen. Dat mogen ze wel in de ether, mits het om communicatie uit het buitenland gaat, waardoor telefoonverkeer via de satelliet bijvoorbeeld wel kan worden afgetapt.
Daar komt verandering in. In 2013 adviseerde een door de overheid zelf ingestelde commissie het kabinet om ook zogenoemde ongerichte interceptie toe te staan, zodat de geheime dienst in grotere hoeveelheden internetverkeer kan zoeken. Het kabinet besloot in november om die bevoegdheden inderdaad uit te breiden. Ook het onderscheid tussen binnenlandse en buitenlandse communicatie bij het aftappen van draadloze communicatie verdwijnt.
| | Communicatie over kabels | Draadloze communicatie |
|---|
| Gerichte taps |
Toegestaan |
Toegestaan |
| Ongerichte taps |
Mogen nu nog niet, straks wel |
Toegestaan
|
Het onderscheid tussen draadloze communicatie en zogenoemde kabelgebonden communicatie werd immers gemaakt in een tijd dat nog niet negentig procent van alle communicatie over fysieke kabels liep, zoals nu het geval is. Aanpassing is daarom niet meer dan logisch, redeneert het kabinet.
Dat wil niet zeggen dat er geen consequenties zijn. Op dit moment mag de AIVD niet in jouw of mijn internetverkeer kijken, tenzij de dienst vermoedt dat we met rare dingen bezig zijn. Straks mag dat wel en is onze communicatie misschien onbedoelde bijvangst. De adviescommissie zei zelfs dat de geheime dienst internetknooppunt AMS-IX moet kunnen aftappen, mocht dat nodig zijn. Die informatie kan vervolgens zelfs met buitenlandse inlichtingendiensten worden gedeeld.
Dat wil overigens niet zeggen dat er geen waarborgen voor de privacy zijn. De zogenoemde ongerichte interceptie gebeurt in drie fasen. Ten eerste vergaren de geheime diensten de gegevens, daarna selecteren ze relevante gegevens en ten slotte verwerken ze de data. Voor iedere fase moet de minister persoonlijk toestemming geven. Bovendien moeten de teams die alle data verwerken en de teams die de geselecteerde data - dus van individuen - verwerken, worden gescheiden.
Hack me, please
Is de burger geen terrorist, dan is het te hopen dat hij geen malware van de politie op zijn computer krijgt. Als het aan het kabinet ligt, mag de politie straks namelijk op afstand computers binnendringen, bijvoorbeeld om een internettap in de vorm van malware te installeren. Het wetsvoorstel dat dit mogelijk maakt, wordt volgend jaar verwacht.
Volgens het kabinet wordt het aftappen van internetverkeer steeds minder effectief vanwege de toename van het gebruik van encryptie. Om leesbare communicatie in handen te krijgen in plaats van een onleesbare, versleutelde brij, kan communicatie beter worden opgevangen voordat die versleuteld over het netwerk wordt verstuurd, zo is de gedachte.
De politie mag straks bestanden van computers halen en encryptiesleutels bemachtigen
Het wetsvoorstel zou de politie bovendien in staat stellen om bestanden van computers te halen en encryptiesleutels te bemachtigen. Ook mogen smartphones worden gehackt om iemands locatie te achterhalen en mogen gegevens ontoegankelijk worden gemaakt, bijvoorbeeld als een server kinderporno host. De politie moet toestemming vragen aan zowel een officier van justitie als een rechter-commissaris om de zogenoemde hackbevoegdheid te gebruiken, maar desondanks is er veel kritiek op het voorstel.
De politie plaatst nu al malware op pc's van verdachten, maar alleen als een rechercheur fysiek toegang tot een computer heeft. Bovendien mag de malware nu minder vergaand opereren dan straks het geval is. Zo mag de malware geen bestanden of encryptiesleutels achterhalen, maar alleen communicatie onderscheppen. Op die manier is de werking gelijk aan die van een internettap.
Decryptiebevel
Een andere voorgestelde maatregel is misschien nog vergaander. Die heeft tot gevolg dat de politie straks encryptiesleutels van verdachten van ernstige misdrijven, zoals terrorisme of kinderporno, kan opvragen. Daartoe zou het Openbaar Ministerie een decryptiebevel kunnen uitvaardigen. Er is veel kritiek op dit voorstel; volgens critici heeft het tot gevolg dat verdachten moeten meewerken aan hun eigen veroordeling.
De Raad voor de Rechtspraak, de overkoepelende organisatie van rechters, noemde de ontsleutelplicht zelfs 'in strijd met het mensenrechtenverdrag'. Volgens de Raad is het voorstel in strijd met het nemo-tenetur-beginsel, dat inhoudt dat niemand hoeft mee te werken aan zijn eigen veroordeling.
Vastleggen en bewaren
Geen fraudeur, geen terrorist en geen verdachte van een zwaar misdrijf? Dan nog legt de Nederlandse overheid op twee manieren je digitale reilen en zeilen vast.
Allereerst uploaden de telecom- en internetproviders elke dag hun voltallige klantenbestand naar de politie, naar het zogenoemde CIOT. Daarin staat wie bij welk telefoonnummer en e-mailadres hoort en de politie kan daar vrijelijk in rondstruinen, zonder gerechtelijk bevel. Dat gebeurt aan de lopende band, zo blijkt uit cijfers die de overheid verstrekt. In 2013 raadpleegde de politie de database 2,3 miljoen keer voor dergelijke gegevens. Dat is circa 6300 keer per dag, zaterdag en zondag meegerekend. Het aantal is wel gedaald sinds vorig jaar, toen de politie 2,8 miljoen keer om naw-gegevens van internet- en telecomklanten vroeg.
Ondertussen moeten telecom- en internetproviders nog steeds de zogenoemde historische gegevens van hun klanten voor een periode van een halfjaar tot een jaar opslaan. Daarbij gaat het bijvoorbeeld om informatie over wie met wie belt of wanneer een gebruiker verbinding met internet heeft gemaakt. Ook de locatie van mobiele gebruikers wordt gelogd, maar de inhoud van communicatie niet.
Eerder oordeelde het Europese Hof van Justitie dat de Europese richtlijn waarop de zogenoemde dataretentie is gebaseerd niet door de beugel kan. Het kabinet blijft echter vasthouden aan de bewaarplicht, al wordt die wel ingeperkt. Zo is toestemming van de rechter-commissaris vereist om gegevens op te vragen, iets wat nu nog niet zo is.
Het duurt echter wel nog even voordat er een nieuwe wet is en in de tussentijd blijft de oude wet geldig. Internetprovider Xs4all duurt dat te lang. Volgens Xs4all moet de bewaarplicht snel worden ingeperkt. Zo moet de toegang tot de verzamelde informatie worden beperkt. Geeft het kabinet geen gehoor aan de eisen van Xs4all, dan begint de provider mogelijk een rechtszaak, iets waartoe meer organisaties, waaronder internetprovider BIT, overigens al hebben besloten.
Kentekens
Ook op de 'echte' snelweg
word je gevolgd
Zelfs als je de digitale snelweg verruilt voor de 'echte' snelweg word je nog gevolgd. Op veel provinciale wegen en rond steden laat de politie kentekens scannen door slimme camera's en ook rijden politieauto's rond die hetzelfde doen. Op dit moment worden kentekens alleen registreerd als ze een hit vertonen met een lijst van kentekens, bijvoorbeeld van verdachte criminelen. Zo weet de politie dat iemand op een bepaald moment op een bepaalde plek is geweest.
Dat is niet genoeg vindt het kabinet, dat met een wetsvoorstel wil bereiken dat kentekens zonder hit ook vier weken worden opgeslagen. Ook moet het systeem dan worden uitgebreid tot een brede, landelijke dekking, zodat het reilen en zeilen van automobilisten voor vier weken wordt vastgelegd. Bovendien worden dan niet alleen de kentekens opgeslagen, maar ook de gemaakte foto's waaruit de kentekens worden afgeleid.
De Raad van State, een adviesorgaan van het kabinet, zag niet veel in de plannen en meent dat het oordeel van het Europese Hof van Justitie over de bewaarplicht kan worden doorgetrokken tot de opslag van kentekengegevens. Het kabinet is het daar echter niet mee eens en vindt dat het bewaren van de gegevens van alle burgers noodzakelijk is. De plannen gaan dus door.
Goed nieuws voor de privacy?
Is er dan helemaal geen goed nieuws te melden voor privacyvoorvechters? Toch wel. Zo heeft het kabinet besloten om de bevoegdheden van het College bescherming persoonsgegevens uit te breiden. De privacywaakhond mag straks meer en hogere boetes geven. Nu bedragen de boetes nog maximaal 4500 euro. Dat kan straks oplopen tot maximaal 810.000 euro, afhankelijk van de ernst van het vergrijp.
Bovendien mag het CBP straks boetes opleggen als gegevens worden misbruikt of niet goed worden beveiligd. Nu kan het CBP enkel boetes geven als een database met persoonsgegevens niet wordt aangemeld bij het College. Overigens zullen de boetes niet direct worden opgelegd; het CBP zal eerst een waarschuwing uitgeven. De boetes staan overigens los van de zogenoemde last onder dwangsommen die het CBP kan uitvaardigen om een bedrijf ertoe te dwingen te stoppen met een privacy-inbreuk.
Het CBP vindt de nieuwe boetebevoegdheid zelf
niet ver genoeg gaan
Het CBP zelf vindt de nieuwe boetebevoegdheid niet ver genoeg gaan. Voorzitter Jacob Kohnstamm van het CBP vindt dat er te veel drempels moeten worden overwonnen voordat er een boete kan worden opgelegd. Ook de Raad van State vindt dat er best steviger zou mogen worden gestraft. Ook de uitzondering voor politie en justitie, die bij privacy-inbreuken een lagere boete kunnen krijgen, wordt door de Raad van State niet op prijs gesteld.
Daarnaast komt er een meldplicht datalekken. Bedrijven en organisaties met een ernstig datalek moeten dat doorgeven aan het CBP. Dat moet bij een inbreuk 'waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens'. Wordt het lek niet doorgegeven, dan kan de organisatie een boete van maximaal 450.000 euro krijgen. Overigens zou de meldplicht aanvankelijk voor alle datalekken gelden, maar het kabinet heeft het voorstel afgezwakt.
Ook gaat digitale communicatie onder het briefgeheim vallen; daartoe wordt de grondwet aangepast. Op dit moment is digitale communicatie voor de overheid veel makkelijker in te zien dan communicatie in papieren enveloppen. Daar staat tegenover dat het briefgeheim als geheel iets wordt afgezwakt.
Tot slot komt er positief privacynieuws uit Europa. De Europese Unie werkt aan strengere regels voor de opslag van persoonsgegevens. Die houden onder meer in dat buitenlandse bedrijven die gegevens van Europeanen verwerken zich aan Europese regels moeten houden. Ook mogen gegevens, als de regulering wordt aangenomen, niet voor andere doeleinden worden gebruikt dan waarvoor ze worden verzameld.
/i/1281689481.png?f=fpa)
/i/1371053701.png?f=fpa)
:strip_exif()/i/1264668974.gif?f=fpa)
:strip_exif()/i/1133010278.gif?f=fpa)
:strip_icc():strip_exif()/u/215031/crop5db1d4fe1001f_cropped.jpeg?f=community){kind=small}
/u/131247/navi.png?f=community){kind=small}
/u/93853/lostworld_thumb_small.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/381950/duke-nukem-1728_previewb.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/449328/crop580643f183bec_cropped.jpeg?f=community){kind=small}
Ik heb Peerblock dus weer eraf gegooid, want ik werd er gewoon niet goed van 
/u/425415/Laughing_man_logo__new.png?f=community){kind=logo}
:strip_icc():strip_exif()/u/379078/crop58d8da5b23207_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/285051/teaglass_tweakers.jpg?f=community){kind=small}
:strip_exif()/u/72391/Pinky_and_the_Brain_-_Brain.gif?f=community){kind=small}
/u/380683/crop5848673f28e5a.png?f=community){kind=small}
:strip_icc():strip_exif()/u/488515/Husky%252060x60.jpg?f=community){kind=small}
:strip_exif()/u/2172/crop57acf4ac04e70.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/55093/UPpharoah.jpg?f=community){kind=small}
/u/1983/whiteButton.png?f=community){kind=small}
/u/41514/crop5c3b77c8badbf_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/359514/2010-ferrari-458-italias3.jpg?f=community){kind=small}
:strip_exif()/u/78837/crop65aea93ebdeaf.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/77026/techno.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/332408/crop5b3a54a1f0cf3_cropped.jpeg?f=community){kind=small}
/u/75323/5procentoog.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/241987/artsen_.jpg?f=community){kind=small}
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/581217/crop561138f7472d5_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/18803/lpd60x60.jpg?f=community){kind=small}