AP adviseert tegen eerste wetsvoorstel kabinet om telecomdata te delen
De Autoriteit Persoonsgegevens heeft een negatief advies uitgebracht over het eerste wetsvoorstel van het kabinet om telecomgegevens in de strijd tegen het coronavirus te delen en gebruiken. De noodzaak voor de maatregel is nog onvoldoende onderbouwd, de gekozen systematiek nog niet evenwichtig en belangrijke waarborgen ontbreken in de wettekst. Het gaat dan bijvoorbeeld over de aard van de informatie en maximale bewaartermijn.
Volgens minister De Jonge van Volksgezondheid kan geaggregeerde data afkomstig van mobiele telecomnetwerken helpen bij het vroegtijdig signaleren van nieuwe oplevingen van het virus. Het RIVM zal deze data straks gaan gebruiken. "Het gaat het RIVM daarbij nadrukkelijk niet om het volgen van personen, maar om het verkrijgen van een geaggregeerd beeld van verplaatsingen op bevolkingsniveau", liet De Jonge eerder weten.
Het wetsvoorstel is dan ook alleen gericht op het verstrekken van tellingen van het aantal personen, afgeleid uit de aantallen in de gemeente aanwezige mobiele telefoons, dat per uur in een gemeente aanwezig is. Met de gegevens moet het RIVM inzicht krijgen in hoe de mobiliteit zich de dag ervoor heeft ontwikkeld. "Zo kan het RIVM sneller inspelen op actuele ontwikkelingen dan nu het geval is", aldus de minister.
Privacy
De Autoriteit Persoonsgegevens heeft half mei een eerste versie van het wetsvoorstel beoordeeld en daarop een advies met aanbevelingen aan het kabinet uitgebracht. "De effectiviteit van de inzet van telecomdata moet in verhouding staan tot de inbreuk op de privacy. Het moet duidelijk zijn waarom alternatieven die minder ingrijpend zijn dan het delen van telecomdata, niet volstaan om het virus te bestrijden", zo stelt de privacytoezichthouder. De AP keek verder of de wetswijziging voldoet aan de kaders over privacy die binnen de Europese Unie zijn afgesproken.
Het eindoordeel is negatief. Zo is het voorstel onvoldoende duidelijk waar het RIVM de telecomgegevens precies voor nodig heeft en om welke specifieke gegevens het gaat. Ook lijken alternatieven niet te zijn overwogen. Als het gaat om doel en noodzaak van het voorstel adviseert de Autoriteit Persoonsgegevens dan ook duidelijker te omschrijven wat het doel van de informatie is en in relatie tot dat doel de noodzaak voor de maatregel nader te onderbouwen.
Verder hekelt de AP de systematiek van het voorstel. Zodra het in werking treedt kan de minister van Volksgezondheid telecomproviders opdragen informatie op basis van verkeers- en locatiegegevens aan het RIVM te verstrekken. "Dat is niet evenwichtig en komt ook niet tegemoet aan de eisen die het Europees recht op dit punt stelt. Het geven van aanwijzingen wordt immers aan geen enkele toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit onderworpen, niet voorafgaand aan het geven van de aanwijzing noch gedurende de periode dat deze aanwijzing geldt", aldus de toezichthouder.
Tevens is niet nauwkeurig beschreven hoe lang de gegevens worden bewaard, om welke gebiedsgrootte het gaat en de interval van verzamelde gegevens. Daarnaast is de kans op herleidbaarheid van de gegevens tot (groepen van) individuele personen aanwezig. De AP vindt dan ook dat de gegevens niet als anonieme gegevens kunnen worden beschouwd. "Zeker wanneer de gegevens in handen vallen van partijen die zelf beschikken over grote hoeveelheden locatiedata, ligt herleidbaarheid al snel op de loer", merkt de toezichthouder op.
Advies
In het advies laat de Autoriteit Persoonsgegevens weten dat het op meerdere punten bezwaar heeft tegen het wetsvoorstel en adviseert om de procedure voor het invoeren van het wetsvoorstel niet voort te zetten, tenzij het bezwaar is weggenomen. Inmiddels is er door het kabinet een nieuw wetsvoorstel gepubliceerd dat de toezichthouder zal bestuderen en beoordelen op waarborging van de privacy.
"Wij hebben steeds gezegd: de inzet van telecomdata is in de huidige wetgeving niet toegestaan", zegt AP- voorzitter Aleid Wolfsen. "Bij een wetswijziging moet de privacy daarom wel heel goed gewaarborgd zijn. Het gaat om zeer gevoelige informatie: namelijk wie waar is, dag en nacht. Dit gaat om de privacy van a?lle Nederlanders, en deelname is niet vrijwillig. Of je nu een smartphone hebt of een oude gsm van 20 jaar terug: je doet mee, je kunt niet weigeren. Je kunt nergens een schuifje omzetten of weigeren een app te installeren. Daarom is extra zorgvuldigheid geboden."
Heus, het wordt er wel door gedramd. En dat jaar zal wel net zo tijdelijk zijn als het kwartje van Kok.
Dit zijn de fouten van het AP:
- ze zijn niet medisch epidemologisch veschoold en stellen nu ashard dat geanonimiseerde gegevens voor dat doel niet nuttig zouden zijn.
- het gaat om geanonimiseerde gegevens niet gepseudonimiseerde als je het voorstel leest.
- de aanname dat geanonimiseerde altijd te herleiden is tit een persoon is nergens op gebaseerd dan wel onderbouwd
- geanonimiseerde gegevens vallen niet onder de avg.
- het AP gwlooft bovem de wetgever en de rechter te staan.
- afstemming in hwt standlpunt op europees niveau ontbreekt
Eerder heeft het AP geweigerd handhavend op te treden rond de ov chip kaart. Het volgen van personen van deur tot deur en delen van geanonimiseerde data naar derden is goed bevonden door het AP.
Er zijn naast het CBS en openbare data vele anderen die met geanonimiseerde gegevens werken.
Elk bedrijf moet zijn klanten in grote lijn kennen anders hebben ze geen bestaansrecht, het AP heeft elke onderneming bij voorbaat verboden wegens privacy. Tijd dat echte privacy idealisten zich gaan weren tegen het AP.
Heus, het wordt er wel door gedramd. En dat jaar zal wel net zo tijdelijk zijn als het kwartje van Kok.
Als er wat aan privacy te beschermen is doen ze niets, en als het niets met privacy te maken heeft staan ze te keffen.
Het lijkt wel op het gedrag wat 10 jaar geleden in Utrecht normaal was toen we daar een lapzwans als burgemeester hadden.
Toen waren degenen in de samenleving die wel wat bescherming konden gebruiken ook zwaar de pineut, terwijl meneer
zelf zijn eigen zaakjes goed voor elkaar had.
Heus, het wordt er wel door gedramd. En dat jaar zal wel net zo tijdelijk zijn als het kwartje van Kok.
Feiten en onderbouwde meningen liggen niet goed bij jou hè?
@karma4: tijd om te stoppen met je anti-AP smearcampagne vol moedwillige misinformatie zonder ondersteunende bronvermelding. We weten al lang dat je niks hebt met privacy en de AVG.
- https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:62014CJ0582&from=NL
- https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf
Overweging 26: "De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden."
- https://autoriteitpersoonsgegevens.nl/nl/nieuws/gebruik-telecomdata-tegen-corona-alleen-met-wet
Onderaan deze link doorklikken naar:
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf
Daar staat de achtergrond van het verschil in de GDPR tussen pseudonimiseren en anonimiseren.
Dat het AP niets met privacy heeft maar intern gericht is op het eigen gelijk kun je daarin teruglezen.
Dat is jammer want pseudonimiseren wordt te vaak verkocht als de oplossing voor de GDPR.
Gedegen gezondheidsonderzoek is ter bescherming van personen (EVRM) daar heeft het AP zo te zien niets mee.
Moet de tekst van de EVRM ook nog hebben of kan je die zelf vinden?
Wat opvalt is dat het AP een DPIA wil terugzien als wetstekst. Dat kan niet, het hoort bij de verwerkingsverantwoordelijke.
https://www.ncsc.nl/actueel/weblog/weblog/2020/risicoanalyse-en-de-dpia
In het redactieartikel staat de suggestie van het AP dat het CBS de gegevens gaat verrijken.
Het CBS heeft toegang tot alle detailgegevens met tot op declaratie van de gezondheidsgegevens toe. Je zou verwachten dat het AP juist zou optreden tegen het onnodig vergaren van alle niet nodige details … dus niet.
Heus, het wordt er wel door gedramd. En dat jaar zal wel net zo tijdelijk zijn als het kwartje van Kok.
Feiten en onderbouwde meningen liggen niet goed bij jou hè?
@karma4: tijd om te stoppen met je anti-AP smearcampagne vol moedwillige misinformatie zonder ondersteunende bronvermelding. We weten al lang dat je niks hebt met privacy en de AVG.
Wat is dat nou weer voor 'n lasterlijke reactie?
Ik reageer even als meelezer.
Een virus stoppen staat niet in de taken van de AP.
Een virus verspreiding heeft z'n eigen dynamiek.
Da's lastig verantwoordelijkheid voor nemen door wie dan ook.
De keuzes die vanaf het begin en daarna zijn gemaakt door de regering en wie ze erbij betrekt is natuurlijk wel essentieel.
Daarnaast heeft een AP natuurlijk gewoon haar eigen onafhankelijke rol.
Clientelisme hebben we niets aan.
De AP moest en zou expliciet GEEN doorwrijf luik worden of anderszins ertoe leiden dat de AVG zou degraderen.
Dat was voortaan de taak van de minister en de gehele 2e kamer, een hele lastige en gevoelige taak volgens de minister.
Bron vermelding: de verhandelingen bij de 2e kamer over instelling van zowel de AVG en daarna de AP.
Als je nou even verder kijkt dan blijkt ook binnen Shengen diplomatie rondom Ijsland dat de eerste uitbraken daar nooit uitbraken konden worden. Dat bleek los te staan van wel/geen telecom data hebben maar ALLES te maken te hebben met de regering die daar aan het opletten was en consequenties koppelden m.b.t. terugreigers uit risico gebieden.
Daardoor hebben ze de eerste dagen nauwelijks meer dan 5 besmettingen gehad.
De App die ze daar hadden bleek volstrekt overbodig.
De IJslandse GGD deed vanaf de zij-lijn daar haar ding.
Telecom data hoefde niet getraceerd te worden.
Dat zijn de officiële bevindingen die na diplomatiek verkeer zijn vastgesteld en door de officials van IJsland en Oostenrijk zijn bekrachtigd.
Dat alles maakt het daadwerkelijk bizar om telecom data in NL te willen monitoren.
Uit naam van wat??? Van de koning en de regering?
Als dat deze geaggegeerde gegevens de enige gegevens zijn dan zouden deze tellingen ook openbaar gepubliceerd kunnen worden door de telecombedrijven voor het RIVM en andere geinteresseerden...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior securityspecialist
Agentschap Telecom
De cyberveiligheid van Nederland valt of staat met veilige producten, diensten en processen. Agentschap Telecom houdt Nederland veilig verbonden. Binnenkort krijgen wij een nieuwe taak als toezichthouder op cybercertificeringen. Jouw professionaliteit als senior securityspecialist en pioniersgeest zijn essentieel om deze nieuwe unit succesvol op poten te zetten.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.