Dag van de privacy

Secretaressedag. De Dag van de Wetenschap. De Dag van de Democratie. Sla de krant maar open en het is wel een Dag-van-het-één-of-Ander. Dag van de Aarde, de Internationale Dag ter voorkoming van Schade aan de Natuur tijdens Oorlog en Gewapende Conflicten, er is zelfs een Wereld Toiletdag! Het lijkt wel alsof er voor alle maatschappelijke onderwerpen, ziekten of dieren wel een Dag Van in het leven is geroepen. De website www.fijnedagvan.nl is opgericht om een overzicht van al deze Dagen Van te bieden. Ook voor de wereld van informatiebeveiliging en privacy zijn voldoende dagen te vinden:

  • 28 januari Dag van de Privacy
  • 5 februari Internationale Dag van het Veilige Internet
  • 17 februari Doe vriendelijk dag
  • 12 maart Dag tegen internetcensuur
  • 14 maart Pi-dag
  • 15 maart Dag van het consumentenrecht
  • 31 maart Back-up dag
  • 18 april Dag van de Patiëntenrechten
  • 23 april Dag van het fraude-onderzoek
  • 28 april Dag van veiligheid op het werk
  • 4 mei Wachtwoordag
  • 25 mei Dag van de FG
  • 28 juni INTERNATIONALE CAPSLOCKDAG
  • 31 juli Dag van de Systeembeheerder
  • 28 oktober INTERNATIONALE CAPSLOCKDAG (inderdaad 2x per jaar)
  • 24 november Nationale Verander-Je-Wachtwoord-Dag
  • 10 december Internationale Dag van de Rechten van de Mens

Bron: https://www.fijnedagvan.nl/

Andermans voorkeuren aanpassen? Erg flauw vindt mailchimp (en verzint een list)

Het viel me opeens op: uitschrijven van Mailchimp gaat niet meer met één klik op de knop.  Je krijgt eerst een mailtje met een link. En pas nadat je die link aan klikt mag je je uitschrijven.

Volstrekt logisch natuurlijk!

Nieuwsbrieven bevatten een zwakheid: je kan ze doorsturen. Met linkjes. Daardoor kan iedereen jouw voorkeuren aanpassen. 

Alsof iemand die bij je op visite is stiekem de thermostaat omhoog draait. Of omlaag. Grappig en zonder gevolgen.

Maar nieuwsbrieven zijn serious business, Dat gaat om informatie. Insights. Aanbiedingen krijgen. Voordeeltjes. De opbouw van je profiel. Aan die knoppen zitten is niet grappig.

Een hele goede maatregel van Mailchimp dus. Die al veel eerder genomen had moeten worden.

Oh ironie! De wassen neus van duurzaam beleggen in techreuzen

Voor mijn pensioen wil ik het liefst alleen nog duurzaam beleggen. Want duurzaam is goed, groen en levert karmapunten op.

(En als een vergelijkbaar rendement wordt behaald in vergelijking met andere fondsen is dit een kleine maar waardevolle stap die je kunt zetten. En je niets kost.)

Voor mijn pensioen beleg ik via BrandNewday en zij bieden het BND Duurzaam Wereld Indexfonds. Volgens de factsheet belegt het fonds in het Vanguard SRI FTSE Developed World II Common Contractual Fund. Het belegt volgens criteria die zijn gebaseerd op door de Verenigde Naties opgestelde richtlijnen met betrekking tot mensenrechten, arbeid, milieu en corruptie. Bedrijven die activiteiten uitvoeren of hebben uitgevoerd die leiden tot ernstige schending van het UN Global Compact, of bedrijven die betrokken zijn in de productie en/of distributie van controversiële wapens of tabak, worden uitgesloten. Het fonds is een middenmotor als het gaat om duurzaamheid met een gemiddelde plek op de duurzaamheids index. Dat biedt ruimte voor verbetering

De factsheet bevat de Portefeuillesamenstelling met de 10 grootste beleggingen, 13% van het totaal. Een heel duurzaam rijtje, met twee oliemaatschappijen (Exxon en Shell)? Maar vanuit mijn privacy-perspectief vind ik de aanwezigheid van de big five techbedrijven (Apple, Microsoft, Alphabet (Google), Amazon en Facebook opvallend. De techreuzen hebben voor wat betreft hun bedrijfsmodellen invloed op de inrichting van de maatschappij. Hoe communiceren mensen met elkaar, hoe economieën worden ingericht, hoe dicht adverteerders consumenten kunnen benaderen. Er is veel discussie over de rol van deze techbedrijven in de informatiemaatschappij, al wat het maar vanwege hun geworstel met politieke beïnvloeding, online pesten en discriminatie. De invloed van deze techreuzen op onze maatschappij is groot. Zo groot dat je vragen kunt stellen of deze partijen wel sociaal of maatschappelijk duurzaam zijn. Maar dat aspect wordt niet meegenomen in de criteria en dit duurzame fonds investeert dus in bedrijven waar ik doorgaans argwanend naar kijk. *zucht*

Oplossingen kunnen zijn:

Regeren is vooruitzien

“Het bericht dat sommige kleine Europese landen in trek zijn voor licenties van nieuwe betaaldiensten”, ofwel kamervragen die eerder gesteld en beantwoord hadden moeten worden. Ik verwacht een antwoord dat erop neerkomt dat alle lidstaten aan hetzelfde kader moeten voldoen en dat de minister geen reden heeft aan te nemen dat dit kader in andere lidstaten niet wordt gehandhaafd. Mogelijk noemt de minister nog aanloopproblemen vanwege de implementatie of erkent druk op de toezichthouders in kleine landen, maar vertrouwt erop dat het systeem als geheel functioneert. Toezicht op betaaldiensten op Europess niveau regelen had al eerder op de agenda moeten staan, maar wie weet komt dit in de evaluatie nog ter sprake? Eens zien hoe ver ik van de antwoorden af zit.

Vraag 1: Bent u bekend met het bericht ’Europese ministaatjes in trek zijn voor licenties van nieuwe betaaldiensten?
Vraag 2: Herinnert u zich de zorgen die al tijdens het rondetafelgesprek over de herziene richtlijn betaaldiensten (15 november 2017) geuit werden over de capaciteit en kwaliteit van toezichthouders in kleinere lidstaten? Is uw beeld dat dit in de tussentijd verbeterd is?
Vraag 3: Bent u bekend met het artikel «Malta and Cyprus face growing pressure over money-laundering» en het rapport van de Europese Commissie over speciale burgerschap programma’s voor investeerders? Wat vindt u van de conclusie van de Europese Commissie dat de paspoortprogramma’s van Malta en Cyprus voor grote investeerders een risico vormen voor de gehele Europese Unie, bijvoorbeeld op het gebied van witwassen?
Vraag 4: Bent u van mening dat het toezicht van sommige kleine lidstaten adequaat is ingericht?
Vraag 5: Deelt u de mening dat toezicht op deze bedrijven in het kader van de herziene betaaldienstenrichtlijn (PSD2) effectiever is wanneer dit op Europees niveau, bijvoorbeeld via ESMA, wordt ingericht?
Vraag 6: Welke stappen gaat u nemen om adequaat toezicht in de gehele Europese Unie te borgen?
En de antwoorden: https://app.1848.nl/document/kamervraag/63528

Europese PSD2-wetgeving zet privacy onder druk. Privacy First eist PSD2-me-niet-register

Persbericht van Privacy First

Nieuwe Europese wetgeving PSD2 in werking 

Vanaf begin 2019 wordt in Nederland PSD2 van kracht (Payment Service Directive 2). Met deze nieuwe Europese bankenwet kunnen consumenten hun bankgegevens delen met andere partijen dan hun eigen bank. Hiervoor moet de consument eerst uitdrukkelijke toestemming geven. Hierna moet de bank alle transactiedata[1] van de consument (rekeninghouder) met een externe partij (financiële dienstverlener) delen voor een periode van 90 dagen, waarna de consument zijn toestemming kan vernieuwen. Tevens kan de consument zijn toestemming op ieder moment intrekken.

PSD2 baart Privacy First grote zorgen

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. De grootste bezwaren van Privacy First zijn:

  • Consumenten kunnen de hoeveelheid bankgegevens niet beperken. Zelfs als een financiële dienstverlener deze gegevens niet nodig heeft, wordt na het geven van toestemming toch alle data gedeeld.
  • In de bankgegevens van een consument staan ook de gegevens van andermans tegenrekening. Deze persoon weet niet dat zijn gegevens gedeeld worden en kan dit ook niet verhinderen. Doordat de transactiedata via Big Data en data-analyses veel breder geanalyseerd zullen worden dan voor de inwerkingtreding van PSD2 ontstaan grote risico’s op privacyschendingen.
  • Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden.[2] Een contributiebetaling aan een vakbond, politieke partij of organisatie die seksuele voorkeur onthult, moet volgens Privacy First gezien worden als bijzonder (gevoelig) persoonsgegeven. Ook transacties met zorgverleners en apotheken moeten als bijzondere persoonsgegevens worden gezien. Op dit moment bestaat geen mogelijkheid deze gegevens te filteren en worden ze verstrekt aan partijen die deze gegevens niet mogen verwerken.

Tijdens de uitzending van AVROTROS Radar van maandagavond 7 januari 2019 vroeg Privacy First nadrukkelijk aandacht voor deze zaken.

PSD2-keurmerk voor transparantie

Privacy First wil dat consumenten eerlijk en transparant geïnformeerd worden over wat er met hun gegevens gebeurt. In plaats van lange privacy-statements pleit Privacy First voor onafhankelijke informatie op één A4, waarbij door consumenten vastgestelde informatie wordt geboden. Consumenten kunnen immers zelf het beste bepalen welke informatie zij waardevol vinden bij het maken van een keuze. Gedurende 2018 werkte Privacy First aan dit initiatief samen met de Volksbank en andere partners uit de financiële sector.

PSD2-me-niet-register

Privacy First is verbaasd dat er geen aandacht is geweest voor de rol van “bijzondere persoonsgegevens” in transactiedata. Deze gegevens mogen alleen onder strikte voorwaarden gedeeld worden en moeten dus gefilterd kunnen worden. Ook consumenten die niet willen dat hun gegevens door anderen worden gedeeld met financiële dienstverleners moeten de mogelijkheid krijgen dit te voorkomen. Daarom wil Privacy First een opt-out register voor PSD2, vergelijkbaar met het bel-me-niet-register. Tijdens de uitzending van Radar kondigde Privacy First aan het initiatief voor dit voorstel te nemen, waarbij wij ernaar streven dit met de financiële sector en politiek verder te ontwikkelen. Het doel daarbij is dat het gebruik van een opt-out register verplicht wordt gesteld. De Europese PSD2-richtlijn zal hiervoor aangepast moeten worden.

[1] Aanvullende informatie: het gaat om alle transactiedata. Hoe ver deze gegevens terug gaan verschilt per bank. Zie het overzicht van de Consumentenbond: Meerderheid bewaart rekeningafschriften ten minste 5 jaar https://www.consumentenbond.nl/betaalrekening/meerderheid-bewaart-rekeningafschriften-ten-minste-5-jaar.

[2] Aanvullende informatie: dit is opgenomen in artikel 9 AVG en art. 22 UAVG. Kortgezegd is de verwerking van bijzondere persoonsgegevens verboden, tenzij. Zie https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Europese PSD2-wetgeving zet privacy onder druk

Afgelopen maandag 7 januari mocht ik als woordvoerder van Privacy First aan tafel bij het televisieprogramma Radar praten over PSD2, wat staat voor Payment Services Directive 2. Door PSD2 kunnen consumenten nieuwe online betaal- en rekeningdiensten gebruiken. In het kort komt het erop neer dat banken door PSD2 hun monopoliepositie kwijtraken op het betalingsverkeer. Ze waren tot nu de enige partij die toegang en inzage hadden in jouw bankgegevens. Maar nu kunnen andere financiële dienstverleners diensten aanbieden, mits zij een bankvergunning krijgen van De Nederlandsche Bank (DNB).

Je kunt door PSD2 makkelijk onlinebetalingen verrichten of je financiële situatie beter in de gaten houden met een digitaal huishoudboekje. Aanbieders kunnen alleen over jouw betaalgegevens beschikken als de consument hier expliciet toestemming voor geeft.Je bent niet verplicht om toestemming te geven aan die fintechbedrijven.

Privacy First heeft grote zorgen rond PSD2. De wet is teveel gericht op het verbeteren van mededinging en innovatie en het privacybelang van de rekeninghouders is uit het oog verloren. Dit terwijl het kan gaan om alle gegevens tot 10 jaar terug; ofwel, een volledig financieel profiel, en dat in de huidige wereld van de big data en grote techreuzen. Privacybescherming ligt in handen van consumenten en het fatsoen van de aanbieder terwijl basic privacy-by-design oplossingen niet zijn ingebouwd. Als grootste risico’s zien we:

  • Consumenten kunnen de hoeveelheid bankgegevens niet beperken
  • Bankgegevens bevatten ook gegevens van anderen
  • Bankgegevens bevatten “bijzondere persoonsgegevens” die alleen onder strikte voorwaarden verwerkt mogen worden

De wet ligt er nu. De bal ligt nu bij consumenten en belangenbehartigers om enkele beschermende maatregelen te treffen. Zie ook het persbericht van Privacy First waarin we pleiten voor een PSD2-keurmerk voor transparantie en een PSD2-me-niet-register.

 Zie hier voor de uitzending van Radar.

“Lieverd, een baantje als sekswerker, is dat niets voor jou?” – als je werk nét niet alledaags is

In uitspraak van september 2018 ECLI:NL:RVS:2018:2856 van de Raad van State gaat het om de verlening van vergunningen aan exploitanten voor het exploiteren van raamprostitutiebedrijven. Daarbij worden eisen gesteld zoals het registreren van de sekswerkers en administreren van intakeverslagen. De vraag is of het vastleggen van het beroep en aanvullende informatie bijzondere persoonsgegevens zijn. Dit vind ik een interessante vraag omdat het niet gaat om de direct af te leiden bijzondere persoonsgegevens, maar het beredeneren en concluderen. Ik neem uit de uitspraak teksten over.

De burgemeester is in zijn verweer van mening dat het werk van een sekswerker weliswaar bestaat uit het verrichten van seksuele handelingen, maar dat dit niets zegt over het persoonlijke seksleven of de persoonlijke geaardheid van een sekswerker. In het intakegesprek moeten exploitanten vragen stellen met het doel vast te stellen of de sekswerker vrijwillig het werk gaat verrichten, maar zij mogen geen vragen stellen over bijvoorbeeld gezondheid, verslaving of het cognitieve vermogen. Deze informatie zou dan wel direct als bijzondere persoonsgegevens aan te merken zijn. Het werk zelf is een legaal beroep. Uit de memorie van toelichting bij de Wrp blijkt dat het zijn van sekswerker geen bijzonder persoonsgegeven is. Ook het College bescherming persoonsgegevens heeft dit in 2009 in zijn advisering over het wetsontwerp niet als zodanig aangemerkt. Ik vind dat een beperkte opvatting omdat het effect van deze gegevens er zeker kan zijn; zoals de RvS later ook zal aangeven. Maar ook al in Opinion Nº 4/2007pdf ‘On the concept of personal data – WP 136’ van de Artikel 29 werkgroep verwees al naar het effect dat informatie kan hebben.

In deze zaak oordeelde het EHRM dat ook beroepsactiviteiten onder het begrip privéleven uit artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden vallen. De registratie als prostituee is een inbreuk op het privéleven, omdat deze term haar reputatie kan schaden en problemen kan veroorzaken in haar dagelijks leven. Verder blijkt uit de totstandkomingsgeschiedenis van de Wbp dat het seksuele leven niet hetzelfde is als seksuele geaardheid. Volgens de minister valt onder het seksuele leven ook promiscuïteit en de vraag of mensen regelmatig naar de Wallen gaan (Kamerstukken II, 1998/99, 25 892, nr. 8, blz. 23).

Onder het begrip “persoonsgegevens” vallen dus ook beroepsmatige activiteiten. Er bestaat geen grond voor het oordeel dat dit bij bijzondere persoonsgegevens anders zou zijn. De rechtbank heeft dus terecht overwogen dat ook het professionele seksuele leven van de sekswerkers moet worden beschouwd als een bijzonder persoonsgegeven in de zin van artikel 16 van de Wbp.

Op ex-kankerpatiënten gerichte reclame gebaseerd op likes niet in strijd met wet. Wel met privacy?

De Reclame Code Commissie deed op 25 september uitspraak in casus 018/00311 waarbij een persoon klaagde over advertenties van het Trimbos Instituut op Facebook. Het ging om advertenties, duidelijk bedoeld voor (ex)kankerpatiënten, niet om een programma voor mensen met “interesse” in kanker. Volgens de klager heeft Trimbos met de advertentie willens en wetens, gebruikmakend van individuele data van Facebook-gebruikers en persoonlijke gegevens omtrent de gezondheid er op aangestuurd om (ex)kankerpatiënten te bereiken. De persoon vind zich geschaad in haar privacy (persoonlijke levenssfeer). Bij de behandeling wordt nagegaan of de wet is overtreden.

Trimbos geeft aan zelf geen informatie over de personen te krijgen en alleen maar advertentieruimte te huren. Facebook geeft aan: “Hoewel er in de strikte zin van de wet geen sprake is van de verwerking van bijzondere persoonsgegevens bij de verwerking van interesses die het Facebook-concern alleen afleidt uit trefwoorden op bezochte pagina’s en apps (en niet ook uit de inhoud van profielen), betreft het wel een gegevensverwerking met grote impact voor betrokkenen. Het gaat hierbij om een voor gebruikers onzichtbare, doorlopende observatie van een groot deel van hun (intieme) surfgedrag en appgebruik, waarbij adverteerders verboden wordt betrokkenen te laten merken op welke profielkenmerken zij zijn geselecteerd. De kern van de privacywetgeving is het voorkomen van verwerkingen met grote risico’s voor de persoonlijke levenssfeer van betrokkenen. Daarom rust op het Facebook-concern in ieder geval de plicht om betrokkenen hierover nader te informeren” en verwijst vervolgens naar het persbericht van de Autoriteit Persoonsgegevens van 3 juli 2018 waarin wordt meegedeeld dat de zorgen uit dit eerdere rapport van de AP inmiddels zijn weggenomen, door bijvoorbeeld het beter informeren van betrokkenen. Volgens de AP “bood Facebook adverteerder de mogelijkheid om zich te richten op de seksuele voorkeur van gebruikers die zij in hun profiel kunnen aangeven. Op aandringen van de AP heeft Facebook in 2017 deze optie geschrapt voor Europese gebruikers”.

Volgens de uitspraak gaat het dus om een persoon die niet in haar profiel een bijzonder persoonsgegeven kenbaar maakt, maar dit gegeven is uit haar Facebook gedrag gehaald, namelijk haar ‘likes’ en klikgedrag, op te maken dat zij ex-kankerpatiënt is. Gelet op hetgeen door partijen naar voren is gebracht, is duidelijk dat er bij de onderhavige reclame-uiting sprake is geweest van de verwerking van interesses afgeleid uit ‘likes’ en/of klikgedrag van klaagster op Facebook en niet uit de inhoud van een persoonlijk ingevuld Facebook-profiel. Er bestaat onvoldoende aanleiding om de wijze waarop Facebook en/of Trimbos het zoek- en ‘like’ gedrag van klaagster hebben aangewend om een specifieke reclame-uiting onder haar aandacht te brengen, te beschouwen als een verwerking van bijzondere persoonsgegevens in de zin van de wet. En daarom wordt dit niet gezien als een overtreding van de wet. Het bericht laat niet weten of de klager tevreden is met deze uitspraak.

Facebook past beleid aan na onderzoek AP (seksuele voorkeur)

In haar bericht van 3 juli 2019 schreef de Autoriteit Persoonsgegevens: Facebook heeft haar gegevensbeleid aangepast na onderzoek van de Autoriteit Persoonsgegevens (AP). In 2017 constateerde de AP dat Facebook op twee vlakken in overtreding was:

  • Facebook heeft gebruikers niet adequaat geïnformeerd over het gebruik van hun persoonsgegevens voor gerichte advertenties;
  • Facebook verwerkte informatie over iemands seksuele geaardheid voor advertentiedoeleinden zonder dat gebruikers daarvoor uitdrukkelijke toestemming hadden gegeven.

Voorheen bood Facebook adverteerders de mogelijkheid om zich te richten op de seksuele voorkeur van gebruikers die zij in hun profiel kunnen aangeven. Op aandringen van de AP heeft Facebook in 2017 deze optie geschrapt voor Europese gebruikers.

Aleid Wolfsen, voorzitter van de AP: “Of Facebook voldoet aan de nieuwe privacywet, zal moeten worden onderzocht in Europees verband. Aangezien de hoofdvestiging van Facebook in Ierland staat, heeft de Ierse autoriteit hierin de leidende rol, uiteraard in samenwerking met de andere Europese privacytoezichthouders.

Relevant voor dit blog is dat informatie verwerken over iemands geaardheid gebeurt, en  controle of dit nog steeds gebeurt lange tijd kan duren.