Autoriteit Persoonsgegevens kraakt nieuwe Paspoortwet: ‘Goudmijn voor cybercriminelen’
De nieuwe Paspoortwet is een bedreiging voor de privacy van miljoenen Nederlanders, waarschuwt de Autoriteit Persoonsgegevens. Het kabinet wil één database oprichten met daarin alle persoonsgegevens. Die moet klantvriendelijker zijn, maar volgens de AP is de beveiliging nog niet op orde. De AP adviseert dan ook de plannen grondig aan te passen of anders in te trekken. Dat schrijft de AP in een wetgevingsadvies aan staatssecretaris Van Huffelen van Binnenlandse Zaken en Koninkrijksrelaties (BZK).
De gegevens die mensen nu aanleveren bij gemeenten voor de aanvraag van een paspoort, worden door die gemeenten opgeslagen in een decentrale database. Het kabinet wil die bestanden samenvoegen tot één nationale database. Tussen het moment van aanvragen en de uitlevering van een paspoort worden vingerafdrukken dan centraal opgeslagen. Pasfoto's en handtekeningen worden langdurig opgeslagen, ook na de afgifte van het paspoort.
Het kabinet hoopt met de Paspoortwet vooral klantgerichter te kunnen werken en fraude beter te kunnen bestrijden. Eén database maakt het makkelijker om een pasfoto te vergelijken met die van de vorige aanvraag. Als mensen tussentijds zijn verhuisd, moeten gemeenten daarvoor nu bij elkaar aankloppen. Dat kost tijd en er worden soms fouten bij gemaakt.’
De Autoriteit Persoonsgegevens ziet daarentegen vooral de risico's. Zo'n database wordt een zeer aantrekkelijk jachtobject voor kwaadwillende hackers, waarschuwt de autoriteit. Hoewel een centraal systeem misschien beter te beveiligen is, kunnen de gevolgen van een lek zeer ernstig zijn. ‘De pasfoto’s en handtekeningen van bijna alle Nederlanders bij elkaar, en dan ook nog eens de vingerafdrukken van de mensen die wachten op een paspoort: dat is een goudmijn voor cybercriminelen’, aldus voorzitter Aleid Wolfsen. ‘In plaats van in te moeten breken in de databases van ruim 300 gemeenten, zijn criminelen straks met één hack klaar.’
Het wetsvoorstel wordt later dit jaar behandeld in de Tweede Kamer.
Privacy First start rechtszaak tegen Staat wegens ANPR-cameratoezicht
Privacy First is een rechtszaak tegen de Staat gestart wegens het ANPR-cameratoezicht op de Nederlandse wegen. Volgens de stichting wordt met de huidige ANPR-wet de privacy van burgers op een massale wijze geschonden en hoort die niet thuis in een vrije democratische rechtsstaat.
Nederland telde in 2021 bijna duizend vaste kentekencamera's verdeeld over een kleine vijfhonderd locaties die elke dag gemiddeld vijf miljoen auto's registreren. Naast de kentekens van passerende voertuigen worden ook additionele gegevens opgeslagen, zoals locatie, tijdstip en foto van voertuigen. Sinds 1 januari 2019 worden deze gegevens 28 dagen bewaard. Daarvoor werden kentekengegevens van weggebruikers die in geen enkel bestand voorkwamen onmiddellijk, of in ieder geval binnen 24 uur gewist.
"Dit is totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief, zo bleek de afgelopen jaren uit diverse onafhankelijke onderzoeken", stelt Privacy First. "Bovendien ontbreekt toezicht en kan het systeem eenvoudig worden misbruikt." De stichting wil daarom door middel van een bodemprocedure tegen de Staat om de ANPR-wetgeving wegens strijd met Europees privacyrecht buiten werking te laten stellen.
De ANPR-wetgeving waar de rechtszaak van Privacy First om draait ziet vooral op de massale verzameling en opslag van ieders “historische” ANPR-data, ook wel “no hits” genoemd. Dit dient te worden onderscheiden van de al vele jaren bestaande politiepraktijk waarbij kentekens van verdachte personen (zogeheten “hits”) real-time kunnen worden gebruikt voor opsporing.
Dataminimalisatie niet door alle goede doelen in Nederland toegepast
Een flink aantal Nederlandse goede doelen vraagt nog verplicht persoonsgegevens van donateurs, zoals naam, adres, telefoonnummer, e-mailadres of geslacht, voordat ze eenmalig kunnen doneren. Dat blijkt uit een onderzoek van Stichting Donateursbelangen naar 285 online donatiemodules. Bij 208 van deze modules (73 procent) kan niet anoniem eenmalig geld gedoneerd worden.
Stichting Donateursbelangen onderzoekt jaarlijks of goede doelen aan dataminimalisatie doen bij eenmalig online doneren. Onderzocht is welke persoonsgegevens verplicht aan donateurs gevraagd worden, goede doelen transparant zijn over de (transactie)kosten tijdens het doneren en of donateurs de mogelijkheid hebben anoniem te geven via betaalvormen met consumentenbescherming. Als betaaloptie werd standaard iDeal getest. Uit het onderzoek blijkt dat 71 van de 285 onderzochte online donatiemodules van goede doelen verplicht het adres (postcode en huisnummer) opvragen. Ten opzichte van vorig jaar is op dat gebied vrijwel geen verschil te zien. Daarmee kunnen goede doelen als gevolg van een eenmalige donatie direct mails sturen en aan dataverrijking doen.
Daarnaast vragen twaalf goede doelen verplicht het telefoonnummer als er online gedoneerd wordt. In totaal vragen ruim tweehonderd doelen verplicht om een e-mailadres (73 procent) of om een naam (zeventig procent). 82 procent van de goede doelen communiceert niet wat de transactiekosten van een gift zijn en 69 procent vragen niet akkoord te gaan met privacy voorwaarden.
Hoewel er volgens Stichting Donateursbelangen nog grote stappen te zetten zijn op het gebied van dataminimalisatie, worden er ook stappen in de goede richting gezet, blijkt uit het onderzoek. Het aantal goede doelen dat verplicht om een telefoonnummer vraagt bij een eenmalige online donaties is flink gedaald: van 70 naar 12. Ook zal binnenkort geen enkele van de onderzochte organisaties nog verplicht om een geboortedatum vragen.
EDPS publiceert advies over dataverzameling voor verhuurservices
De EDPS heeft onlangs een advies uitgebracht over een voorstel voor een verordening van de Europese Commissie inzake het verzamelen en delen van gegevens met betrekking tot diensten voor kortstondige accommodatie en verhuur. (Opinion on proposal for a regulation on data collection and sharing relating to short-term accommodation rental services and amending Regulation (EU) 2018/1724).
Een van de doelstellingen van de voorgestelde verordening is het harmoniseren van registratieregelingen en andere transparantie-eisen voor diensten voor kortstondige accommodatie en verhuur, bijvoorbeeld met betrekking tot de registratie van een te verhuren woning en informatie over de eigenaar (de gastheer).
Volgens deze verordening zou de gastheer aan de bevoegde autoriteiten een aantal gegevens moeten verstrekken, zoals gegevens over zijn identiteit, zijn eigendom, zijn financiële situatie, het aantal gasten en andere relevante activiteiten. De gastheer zou dan een uniek registratienummer krijgen, en de bevoegde autoriteiten zouden deze informatie valideren en verifiëren. De bevoegde autoriteiten zouden ook aanvullende informatie kunnen vragen of zelfs de geldigheid van het registratienummer kunnen opschorten.
In zijn advies beveelt de EDPS aan dat de aan de bevoegde autoriteiten verstrekte gegevens het gebruik van persoonsgegevens voor wetshandhavingsdoeleinden of voor belastingdoeleinden uitsluiten.
De EDPS is tevens van mening dat het melden van persoonsgegevens betreffende gasten, zoals de duur van hun verblijf, niet mag worden verlangd. Deze informatie is niet noodzakelijk voor het doel van de voorgestelde verordening, schrijft de EDPS.
Wat het verzamelen van persoonsgegevens van verhuurders betreft, beveelt de EDPS aan om in de voorgestelde verordening te specificeren welke categorieën persoonsgegevens moeten worden verstrekt en hoe lang deze zullen worden opgeslagen. Verhuurders moeten ook de mogelijkheid hebben om de ter validering en verificatie ingediende informatie bij de bevoegde autoriteiten aan te vechten of te corrigeren.
IMY publiceert resultaten DPO-enquête
Uit een enquête van de Zweedse gegevensbeschermingsautoriteit (Integritetsskyddsmyndigheten, IMY) blijkt dat minder dan de helft van de ondervraagde functionarissen voor gegevensbescherming van mening is dat hun eigen organisatie voortdurend en systematisch met gegevensbescherming werkt.
De IMY heeft nu het rapport "Data protection in practice" gepubliceerd, dat gebaseerd is op een enquête onder FG's in ruim 800 organisaties. Het rapport geeft een indicatie van de voorwaarden waaronder gegevensbescherming wordt toegepast in organisaties die verplicht zijn een FG te hebben.
Minder dan 4 op de 10 FG's oordeelt dat hun eigen organisatie voortdurend en systematisch met gegevensbescherming werkt. Slechts de helft vindt dat zij het belang van gegevensbeschermingskwesties kunnen uitleggen aan het management.
"Dit is zorgwekkend. Systematische en voortdurende gegevensbescherming vereist zowel kennis van de AVG als betrokkenheid van het management van de organisatie", zegt Andrea Amft, analist bij de IMY.
"Het is belangrijk dat FG's de nodige voorwaarden en zowel voldoende als passende middelen krijgen om hun opdracht binnen hun organisaties te kunnen vervullen. Dit houdt in dat FG's voldoende tijd krijgen voor hun taken en toegang tot de nodige informatie", aldus Amft.
Brussel verscherpt toezicht op grote AVG-zaken in EU-lidstaten
Na actie van de Irish Council for Civil Liberties (ICCL) zal de Europese Commissie de voortgang van alle grootschalige AVG-zaken in de hele EU regelmatig gaan controleren.
De ICCL heeft eerder kritiek geuit op het gebrek aan AVG-handhaving tegen met name techreuzen, en op het feit dat de Europese Commissie niet controleert hoe de AVG wordt toegepast.
De Europese Commissie heeft nu toegezegd elke grootschalige AVG-zaak, overal in Europa, te onderzoeken. Zij zal meten hoe lang elke procedurele stap in een zaak duurt en wat de betrokken gegevensbeschermingsautoriteiten doen om de zaak vooruit te helpen. De Commissie zal dit zes keer per jaar doen.
Dr. Johnny Ryan, ICCL Senior Fellow, zei hierover het volgende: "Dit luidt het begin in van echte handhaving van de AVG en van serieuze Europese handhaving tegen Big Tech."
Commissie LIBE geeft groen licht voor eEvidence
De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) van het Europees parlement heeft ingestemd met nieuwe regels om het voor rechtshandhavingsinstanties gemakkelijker te maken elektronisch bewijsmateriaal over de grens te verkrijgen.
Met de nieuwe wetgeving kunnen nationale autoriteiten bewijsmateriaal rechtstreeks opvragen bij dienstverleners in andere lidstaten of eisen dat gegevens worden bewaard voor toekomstig gebruik.
Het soort gegevens dat kan worden opgevraagd is enorm:
- inhoud, waaronder tekst, stem, beelden, video of geluid;
- verkeersgegevens, zoals tijdstempels, protocol- en compressiedetails, alsmede informatie over ontvangers; en
- abonneegegevens, zoals informatie ter identificatie van een abonnee of klant, of details over hun abonnement.
Hoewel privacy-activisten zich zorgen maken over de enorme potentiële "data grab", zegt LIBE dat ze voldoende waarborgen hebben ingevoerd en dat er "de mogelijkheid is om een verzoek te weigeren als er fundamentele rechten in het geding zijn".
De geplande verordening biedt de autoriteiten ook de mogelijkheid om gedurende 60 dagen bevelen tot bewaring van zogenaamd "eEvidence" uit te vaardigen en gaat vergezeld van nieuwe regels die dienstverleners verplichten wettelijke vertegenwoordigers in de EU aan te wijzen.
AP vraagt minister om meer bevoegdheden voor schadevergoedingen en boetes
De AP heeft een aantal suggesties gedaan om persoonsgegevens nog beter te kunnen beschermen rondom het wetsvoorstel van de Verzamelwet gegevensbescherming. De AP vraagt o.a. om meer bevoegdheden op het gebied van boetes, schadevergoedingsmaatregelen en het actief informeren van gebruikers over algoritmes.
De AP diende eerder een advies in over het wetsvoorstel, maar dat is inmiddels meer dan twee jaar geleden. In de tussentijd zijn nieuwe suggesties bedacht die de bescherming van persoonsgegevens kunnen versterken. Het gaat veelal om zaken die te maken hebben met de bevoegdheden van de AP.
Zo wil de toezichthouder de reikwijdte van de bevoegdheden vergroten om doeltreffend, evenredig en afschrikkend handhaven mogelijk te maken. Er wordt aangedrongen op een schadevergoedingsmaatregel voor overtreders. Het moet mogelijk worden om naar de rechter te stappen wegens concurrentievervalsing door bedrijven die zich niet aan de AVG houden. Sancties moeten wat de AP betreft verplicht openbaar worden gemaakt.
De organisatie hoopt ook dat het mogelijk wordt om personen te beboeten die medeverantwoordelijk zijn voor overtredingen, zonder dat zij zelf de verwerker zijn. Partijen buiten de Europese Unie die de AVG overtreden moeten gestraft worden voor een economisch delict, zodat zij niet ontkomen aan hun straf. Ook wil de AP dat burgers actief geïnformeerd worden over het gebruik van algoritmes.
Daarnaast dringt de AP aan op het uitbreiden van het recht op vergetelheid in de resultaten van zoekmachines zodat deze ook buiten Europa van toepassing wordt, en de AVG moet ook voor overledenen van toepassing worden.
