Eerste Kamer akkoord met ‘sleepwet in vermomming’
De Eerste Kamer is afgelopen dinsdag akkoord gegaan met de ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’ die de inlichtingendiensten meer mogelijkheden geeft. SGP, D66, CDA, PVV, VVD, JA21, ChristenUnie, BBB en 50PLUS stemden voor. OPNL, GroenLinks-PvdA, Volt, FVD, SP en PvdD stemden tegen. De nieuwe wet geeft de diensten de mogelijkheid om af te wijken van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017). Daarnaast wordt ook het toezicht aangepast. Zo zal, in plaats van bindende toetsing vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB), er tijdens en na de inzet van een bevoegdheid toezicht plaatsvinden door de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD).
Tevens wordt het makkelijker om internetverkeer dat via de kabel loopt af te tappen. Een andere aanpassing is dat het mogelijk voor de diensten wordt om tijdens een lopend onderzoek, waarbij een aanvaller overstapt naar een nieuwe server of apparaat, deze te blijven volgen zonder dat er eerst toestemmingsaanvraag moet worden ingediend. Daarnaast worden bulkdatasets, die uit onderschepte gegevens bestaan, standaard anderhalf jaar bewaard, maar kan die periode steeds worden verlengd. De wet verruimt ook de medewerkingsplicht van derde partijen zoals telecomproviders en opslagdiensten.
De Partij voor de Dieren noemt de nieuwe wet een ‘sleepwet in vermomming’. De privacy-organisatie Bits of Freedom benadrukt dat deze wet leidt tot een ‘beleidslabyrint’ dat de duidelijkheid over de bevoegdheden van de geheime diensten vermindert, wat de democratische controle bemoeilijkt. Men heeft er bij de Tweede Kamer op aangedrongen om de behandeling van het voorstel te pauzeren tot de nota van wijziging was ingediend. Experts hebben ook hun zorgen geuit tijdens een rondetafelgesprek in de Tweede Kamer, waarbij beveiligingsexpert Bert Hubert opmerkte dat de instinctieve weerstand tegen privacyschending door de overheid is verzwakt. Hij roept op tot een gedegen analyse van de wetsteksten en minder oppervlakkige discussies over privacy versus veiligheid.
Eerste Kamer akkoord met inlichtingenwet die AIVD meer mogelijkheden geeft – Security.NL
Nederland schendt de wet door burgers stiekem te profileren, blijkt uit uitspraak Europees Hof
Met geheime algoritmen controleren overheidsinstellingen als de Belastingdienst op grote schaal burgers. Overheidsinstellingen doen dat om te zien of iemand een risico vormt voor bijvoorbeeld een foute aangifte, een te hoge toeslag, of fraude.
Als jij volgens zo’n algoritme belangrijke kenmerken gemeen hebt met mensen bij wie de kans op fraude of fouten groter zou zijn (denk aan inkomen, gezinssituatie, leeftijd, woonplek en nationaliteit), word je zelf ook als risico aangewezen.
Een hoge risicoscore bij de Belastingdienst kan grote gevolgen hebben: je krijgt een extra handmatige controle of de dienst zet terugbetaling van btw voorlopig stop. Niemand kan controleren of die profilering zorgvuldig tot stand is gekomen: de systemen zijn een black box en er zijn geen wettelijke waarborgen. Dat betekent dat er geen rechtsbescherming is – je kunt de profilering niet door een rechter laten toetsen. Bovendien: je weet niet eens dat je bent geprofileerd.
Het Hof van Justitie van de Europese Unie heeft in een baanbrekende uitspraak eind vorig jaar de AVG ook van toepassing heeft verklaard op algoritmes, waaronder alle waarborgen uit deze verordening. Zo moet de Belastingdienst aan ‘verdachte’ burgers duidelijk maken hoe de risicoselectie tot stand is gekomen, en moeten deze burgers de mogelijkheid hebben om de hoge score aan te vechten. Dat kan nu allemaal niet. Daarom is er grote kans dat het huidige gebruik van risicomodellen in veel gevallen illegaal is. De uitspraak heeft daarom geleid tot grote zorgen bij het ministerie van Financiën, waar de Belastingdienst onder valt.
Fatma Çapkurt (universitair docent aan de Universiteit Leiden) merkt hierover op: “De overheid heeft steeds meer informatie over burgers, maar burgers weten daar bijna niets over. De waarborgen uit de AVG zijn een dode letter. We zijn het zicht op die systemen totaal verloren. Dit is het resultaat van twintig jaar lang de regels aan de laars lappen.”
Europees Parlement akkoord met Europese digitale identiteit
Het Europees Parlement is akkoord gegaan met de plannen voor een Europese digitale identiteit. Vanuit een speciale wallet-app voor smartphones en ‘andere apparaten’ moeten burgers zich kunnen identificeren en elektronische documenten delen. Grote platformen zullen worden verplicht om de nieuwe Europese digitale identiteit te accepteren. Het Europees Parlement claimt dat het gebruik van de digitale identiteit op een vrijwillige basis zal zijn.
De Piratenpartij in het Parlement waarschuwt voor ongelimiteerde surveillance van burgers die de online privacy en veiligheid in gevaar brengt. Deze partij is niet te spreken over de Europese digitale identiteit en noemt de ‘aantrekkingskracht’ om eenvoudig via een enkele, officiële identiteits-app in te loggen een valstrik. “Overidentificatie zal geleidelijk onze rechten om diensten anoniem te gebruiken aantasten”, aldus de partij. “Mark Zuckerberg heeft geen recht om onze identiteit te zien”, zegt Patrick Breyer van de Piratenpartij. “Het toevertrouwen van onze digitale levens aan de overheid in plaats van Facebook en Google doet ons van de regen in de drup belanden.” Volgens Breyer zal de Europese identiteits-app dan ook niet betrouwbaar zijn en er niet in slagen om de ontwikkeling van digitale overheidsdiensten aan te moedigen.
Europees Parlement akkoord met Europese digitale identiteit – Security.NL
Universitair hoofddocent: digitale euro niet gelijk aan contant geld
De digitale euro die de Europese Commissie wil invoeren is niet gelijk aan contant geld, sterker nog, bijna het tegenovergestelde, zo stelt Jaap-Henk Hoepman, universitair hoofddocent privacy en technologie aan de Radboud Universiteit op zijn persoonlijke blog Xot.nl. Vorig jaar claimde de Europese Centrale Bank (ECB) dat een digitale euro die ook offline te gebruiken is het privacyniveau van contant geld zou kunnen benaderen. Hoepman besloot de eigenschappen van contant geld met die van de online en offline digitale euro te vergelijken. “We zien dat de online digitale euro helemaal niet gelijk aan contant geld is, sterker nog, eerder het tegenovergestelde.” Ook bij de offline digitale euro blijkt dat eigenschappen van contant geld, zoals autonomie, vrijheid om zelf te bepalen waar het geld aan wordt uitgegeven en het ook kunnen uitgeven en inclusiviteit ontbreken. “Het is ook niet privé (wettelijk bepaald) en andere privacyeigenschappen van cash (zoals anonimiteit en ontraceerbaarheid) zijn slechts tot op bepaalde hoogte van toepassing.” Verder waarschuwt Hoepman dat het implementeren van een digitale offline euro met de juiste eigenschappen niet eenvoudig is. De ECB heeft al laten weten dat dit de lancering van de digitale euro kan vertragen. Dat wordt mogelijk niet geaccepteerd, waardoor de druk wordt vergroot om eerst de digitale euro te lanceren en daarna pas de offline variant. Als de onlineversie echter is uitgegeven, zou de ECB vanwege de obstakels minder geneigd kunnen zijn om ook een offline versie te implementeren, aldus de universitair hoofddocent.
Universitair hoofddocent: digitale euro niet gelijk aan contant geld – Security.NL
Brussel haalt streep door gezamenlijke transactiemonitoring banken
Het plan van Nederlandse banken om alle transacties van alle Nederlanders vanaf honderd euro te monitoren, door critici ook wel een ‘bancair sleepnet’ genoemd, kan niet op toestemming van Brussel rekenen. Een Europees wetsvoorstel verbiedt dergelijke monitoring, zo schrijft demissionair minister Weyenberg van Financiën in een brief aan de Tweede Kamer.
Om kosten bij het klantenonderzoek te besparen besloten vijf banken, ABN AMRO, ING, Rabobank, Triodos Bank en de Volksbank, in 2020 een speciale BV op te richten genaamd Transactie Monitoring Nederland (TMNL). Daarmee wilden de banken alle banktransacties vanaf honderd euro gaan monitoren. De Autoriteit Persoonsgegevens waarschuwde dat het plan tot ongekende massasurveillance kan leiden. Stichting Privacy First noemde het een bancair sleepnet en de Raad van State sprak eerder van een vergaande inbreuk op de grondrechten van burgers. Ook de Europese privacytoezichthouders stelden dat banken niet op een dergelijke schaal operationele data mogen delen.
Volgens het Europese wetsvoorstel moeten de relevante toezichthouders voorafgaand aan het starten van een onderzoek vaststellen dat dit aan de AVG voldoet en moeten er technische maatregelen worden geïmplementeerd, zoals pseudonimisering. Het wetsvoorstel ‘Plan van aanpak witwassen’, wat de gezamenlijke transactiemonitoring door de Nederlandse banken mogelijk moest maken, is controversieel verklaard. Dit houdt in dat het pas weer in Den Haag behandeld wordt als er een nieuw kabinet is. Tegen die tijd heeft het Europees Parlement al mogelijk over het voorstel gestemd, meldt het Financieele Dagblad. Simon Lelieveldt, expert financiële regelgeving, laat tegenover het FD weten dat er een rode streep door het wetsvoorstel Plan van aanpak witwassen kan. “Alles mag terug naar de tekentafel”, zo stelt hij. “Het massaal delen van data is onrechtmatig. Alle Europese landen hebben dat begrepen, behalve Nederland.” Weyenberg zegt dat Nederland, ondanks de kritiek dat het eigen plan met het TMNL niet kan doorgaan, toch voorstander van het Europese voorstel is en hiermee zal instemmen.
Brussel haalt streep door gezamenlijke transactiemonitoring banken – Security.NL en Brussel dwarsboomt gezamenlijke witwasaanpak Nederlandse banken (archive.ph)
Uw bankrekening: de sluiproute naar uw privéleven
CESOP, het ‘Central Electronic System of Payment information’, is een centrale Europese database, die het overheidsdiensten in Europa gemakkelijker moet maken om btw-fraude op te sporen via informatie-uitwisseling tussen belastingdiensten en banken. Sinds dit jaar moeten alle banken en andere betaaldienstverleners in Europa informatie over hun rekeninghouders aan de fiscale autoriteiten doorgeven, als die rekeninghouders meer dan 25 internationale betalingen per kwartaal ontvangen. De banken geven deze informatie door aan de belastingdienst van het land waar de ontvanger van de betaling gevestigd of woonachtig is. De nationale belastingdienst geeft de ontvangen gegevens weer door aan CESOP, zodat fraude-experts die data kunnen gebruiken en vergelijken met andere gegevens voor het bestrijden van btw-fraude. Deze gegevens kunnen ook gebruikt worden voor onderzoek naar andere heffingen en belastingen. De regels gelden voor alle Europese banken en betaaldienstverleners, zodat CESOP een omvangrijke database is met de gegevens van miljarden betalingen.
De regels bepalen dat een betaling ‘grensoverschrijdend’ is als degene aan wie betaald wordt, woonachtig of gevestigd is in het buitenland. Het gevolg is bijvoorbeeld dat iedere rekeninghouder die weleens een product koopt bij de webwinkel van een buitenlands bedrijf van enige omvang – óók als dat bedrijf gebruik maakt van een Nederlands bankrekeningnummer – binnen de reikwijdte van CESOP komt. Zo wordt iedere rekeninghouder in Nederland die iets koopt bij Alibaba of Amazon geraakt door CESOP. Hetzelfde geldt voor iedere rekeninghouder in Nederland, die een kopje koffie afrekent op het station in Antwerpen of Brussel. Alibaba, Amazon of de koffiekiosken in Antwerpen en Brussel hebben immers gemeen, dat zij meer dan 25 betalingen per kwartaal van rekeninghouders uit het buitenland zullen ontvangen.
CESOP is weer een voorbeeld van hoe de overheid bankrekeningen en betaalgegevens gebruikt als centraal element bij de controle- en opsporingstaken voor breed omschreven doelen. Burgers kunnen niet zonder bankrekening, maar hebben geen idee dat de overheid via vele kanalen toegang tot hun rekening heeft. Het brede gebruik van bankgegevens door de overheid is zeer zorgelijk en roept de vraag op of de overheid de grondrechten van burgers serieus neemt.
Uw bankrekening: de sluiproute naar uw privéleven (deel 2) – Privacy First
Huib Modderkolk, Dit wil je écht niet weten: Over de onvoorstelbare wereld achter je scherm
Toen instituut Clingendael 3.500 Nederlanders vroeg wat de grootste dreiging uit het buitenland is, noemden zij de digitale sabotage van kritieke infrastructuur zoals het stroomnetwerk. Ter vergelijking: klimaatverandering zien Nederlanders als een veel minder urgent probleem; het eindigde op plaats 40.
Ergens is dit resultaat verbazingwekkend. Er zijn immers amper succesvolle voorbeelden van het saboteren van vitale infrastructuur in westerse landen. Toen Russische hackers in Oekraïne de stroom uitschakelden, zetten Oekraïense technici die na enkele uren handmatig weer aan. Maar er is wel een ander, onderbelicht, gevaar: bedrijven en overheden laten een haast blind geloof in verdere digitalisering zien. Dat een op de vijf bedrijven jaarlijks slachtoffer is van een hack – en een op de twintig al is gehackt zonder het door te hebben – lijkt nauwelijks tot voorzichtigere afwegingen te leiden. Ze blijven enthousiast netwerk aan netwerk koppelen en gevoelige data bij softwarepartijen stallen. Ze zien de kansen van de nieuwste ict-oplossingen en hebben amper oog voor de kwetsbaarheid ervan. Het draait om gemak, efficiëntie en kostenbesparingen.
De overheid is een overtuigde aanjager van deze digitaliseringsdrift. De aandacht gaat vooral uit naar de kansen en mogelijkheden van digitalisering, maar men veronachtzaamt (of bagatelliseert) de potentiële gevaren voor burgers. Tientallen overheidsorganisaties – van gemeenten tot UWV – storten zich dankzij nieuwe technologie op het verzamelen van data en zijn inlichtingendienstje gaan spelen. Met algoritmen of middels kunstmatige intelligentie doorzoeken ze ontzaglijke hoeveelheden persoonlijke gegevens. Overzicht van deze praktijken – laat staan een vorm van toezicht – ontbreekt. De politie experimenteert met algoritmen die criminaliteit voorspellen, en mag alvast – zonder wettelijk kader – gaan oefenen met gezichtsherkenningscamera’s. De AIVD en MIVD kunnen, ondanks eerdere beloften dat het niet mogelijk zou zijn, de communicatie van miljoenen Nederlanders onderscheppen – inclusief hun Netflix-kijkgedrag. De Europese Commissie wil iedere afbeelding én tekstbericht die wordt gestuurd vooraf controleren.
N.a.v. de publicatie van het boek Dit wil je écht niet weten: Over de onvoorstelbare wereld achter je scherm van onderzoeksjournalist Huib Modderkolk dat 5 maart verschenen is bij uitgeverij Podium.
Rechtszaak Privacy First tegen ANPR massa-surveillance van kenteken- en autogegevens
Privacy First deed dit de laatste jaren met succes tegen de centrale opslag van ieders vingerafdrukken onder de Paspoortwet, tegen de opslag van ieders communicatiegegevens onder de Wet bewaarplicht telecommunicatie en tegen massale risicoprofilering door het Systeem Risico Indicatie (SyRI). Een kwestie die zich bij uitstek ook voor een dergelijke rechtszaak leent betreft de Nederlandse wetgeving inzake automatische nummerplaatherkenning (Automatic Number Plate Recognition, ANPR) zoals die sinds 2019 geldt.
Onder de ANPR-wet (art. 126jj Sv.) worden de kentekens en locaties van miljoenen auto’s in Nederland (oftewel ieders reisbewegingen) continu vier weken in een centrale politiedatabank opgeslagen voor o.a. opsporing en vervolging, ongeacht of men ergens van verdacht wordt. Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief, zo bleek de afgelopen jaren uit diverse onafhankelijke onderzoeken. Bovendien ontbreekt toezicht en kan het systeem eenvoudig worden misbruikt. De huidige ANPR-wet vormt daarmee een massale privacyschending en hoort simpelweg niet thuis in een vrije democratische rechtsstaat. Privacy First heeft daarom besloten om een rechtszaak tegen de Staat aan te spannen ter buitenwerkingstelling van de ANPR-wetgeving wegens strijd met Europees privacyrecht.
Rechtszaak Privacy First tegen ANPR massa-surveillance (privacynieuws.nl) en Rechtszaak Privacy First tegen ANPR massa-surveillance – Privacy First.
Zie ook:
de pleitnota van Privacy First: https://privacyfirst.nl/wp-content/uploads/20240311_Pleitaantekeningen_bodemprocedure.pdf.
over de effectiviteit van online camera toezicht: Nu al vaker cameratoezicht in Amsterdamse straten dan in heel 2023: ‘Effectiviteit ervan is nog nooit aangetoond’ | Het Parool (archive.ph)
