Privacy een persoonlijke benadering
-
Upload
ministerie-van-veiligheid-en-justitie -
Category
Documents
-
view
179 -
download
0
Transcript of Privacy een persoonlijke benadering
Een persoonlijke benadering
Jan Mendrik – februari 2013
1
Privacy – wat is het?
Waar maak ik mij zorgen om?
Is het zo erg? Ik heb toch niets te
verbergen…
De praktijk
Wat doet de overheid?
Afweging: wat wil ik en waar sta ik?
Wat kan je zelf doen?
2
Privacy is the ability of an individual to be left
alone, out of public view, and in control of
information about oneself
Verdrag van Rome (1950):
Article 8 – Right to respect for private and family life
Everyone has the right to respect for his private and family life, his home
and his correspondence.
There shall be no interference by a public authority with the exercise of this
right except such as is in accordance with the law and is necessary in a
democratic society in the interests of national security, public safety or the
economic well-being of the country, for the prevention of disorder or crime,
for the protection of health or morals, or for the protection of the rights and
freedoms of others.
http://www.edps.europa.eu/EDPSWEB/edps/lang/en/EDPS/Dataprotection/Glossary/pid/84
4
Privacy is een basiswaarde, een
mensenrecht
Maar het is sterk afhankelijk van cultuur en
omstandigheden
Nu actueel door technologie: internet,
media, telefoontaps, camera’s etc.
Actueel: veiligheid vs privacy
5
6
Misdaad
bestrijding
privacyCommerciële belangen
(auteursrecht e.d.)Terrorisme
dreiging
Fraude bestrijding
Ik wil graag vrijheid houden over mijzelf en niet zonder mijn instemming worden beïnvloed door anderen
• Ik weet niet welke informatie anderen van mij hebben
• Anderen kunnen misbruik maken van informatie over mij (valse financiële transacties, ongewenste reclame, …)
• Mensen met een andere moraal of andere belangen kunnen mijn daden verkeerd uitleggen (b.v. moslimfilmpje)
• Ik kan ten slachtoffer vallen aan valse verdenkingen, met name van de overheid
Met name de overheid is een risicofactor
• Verzamelt veel persoonsinformatie
• Gaat soms achteloos om met informatie
• Doet aan profiling: niet standaard gedrag is verdacht
• Huidige democratische overheid is wel OK maar wat als het tij om slaat; of hoe zit het met informatieoverdracht naar
minder betrouwbare overheden?
• Maar: de overheid kan ver gaan. Onder het argument van terrorismedreiging of dreiging van georganiseerde misdaad
pikt de volksvertegenwoordiging heel veel. B.v. voorstel van min. Opstelten voor kijken in computers (1)
• Soms invloed van overheden met gevolgen voor hun onderdanen. Voorbeelden: patriot act VS (2); Iran (3), China (4),
vaak met westerse technologie (5)
(1) http://www.rijksoverheid.nl/nieuws/2012/10/16/opstelten-wil-opsporing-op-internet-versterken.html en http://www.kennislink.nl/publicaties/minder-privacy-minder-cybercriminaliteit
(2) http://www.van-doorne.com/Global/Publicaties/2012/AG%20-%20USA%20Patriot%20Act%20Haaks%20op%20privacywetgeving%20EU_24%20mei%202012.PDF
(3) https://www.security.nl/artikel/38403/1/Iraanse_dissidenten_doelwit_DigiNotar-hacker.html
(4) http://georgeknightlang.wordpress.com/2012/04/23/censuur-in-china-door-verkoop-westerse-technologie/
(5) http://www.express.be/business/nl/technology/welke-westerse-bedrijven-voorzagen-libie-en-co-van-spionagetechnologie/151852.htm
8
Maar ook het bedrijfsleven gaat ver
• Lekken klantgegevens
• Onzorgvuldige certificaten (Diginotar incident)
• Op basis van medische of financiële gegevens kunnen banken of verzekeringen mij
wellicht weigeren
Techniek maakt steeds meer mogelijk
• Zeer veel gegevens liggen vast in databases (wordt daar zorgvuldig mee omgegaan en
wie bewaakt de toegang?), tappen telefonie en internet, mobieltje als tracker
(plaatsbepaling), cloud (je hebt zelf niet het beheer over wie er bij je data kunnen),
bodyscan of laserscan op luchthavens, cameratoezicht overal, etc.
Wat zijn de positieve aspecten als anderen veel van je weten?
• Menselijk medeleven,
• Op maat gesneden commerciële aanbiedingen,
• Misdaadbescherming en bestrijding door de overheid,
• Medische bestanden bij de hand als het nodig is (EPD),
• En ook democratische controle: verzoeken ihkv de Wet Openbaarheid van Bestuur,
cameraregistratie van misdragingen van politie, …
9
Op welke politieke partij stem je?
Wat verdien je per maand?
Wat staat er op je spaarrekening?
Hoe vaak heb je sex?
Wat doe je dan precies?
Met hoeveel partners heb je sex gehad?
Hoe vaak masturbeer je?
Wat voor medicijnen gebruik je?
Wat voor lichamelijke / geestelijke aandoeningen heb je
Hoe was je kindertijd?
Waar ben je verslaafd aan?
Ben je wel eens bij een psychiater of psycholoog geweest, zo ja, waarom?
Wat voor websites bezoek je allemaal?
Wat staat er in je testament?
Heb je een Hyves account? Zo ja, is het besloten? Zo ja, waarom?
Doe je 's avonds de gordijnen dicht?, zo ja, waarom?
Overgenomen uit:
http://www.security.nl/artikel/35027/1/Ik_heb_toch_niets_te_verbergen_-_checklist.html
12
Politie
• Afluisteren Telefoon en Internet (met toestemming officie van justitie)
Cameratoezicht
• In steden wordt op grote schaal cameratoezicht toegepast.
• Aan de hand van gezichtsherkenning worden ongewenste personen in openbaar vervoer of stadions opgespoord
BSN (Burger Service Nummer)
• Al uw persoonsgegevens bij de overheid en een deel van uw gegevens bij werkgevers, zorginstellingen en in het onderwijs worden aan dit ene nummer gekoppeld
EPD (Elektronisch Patiënten Dossier)
• Het EPD is een virtueel dossier dat het uitwisselen van medische gegevens eenvoudiger maakt. Een actueel patiëntendossier is dan vanuit het hele land in te zien.
Het systeem laat echter toe dat ook zorgverleners waarmee u geen behandelrelatie heeft uw medische gegevens zouden kunnen inzien.
Klantgegevens
• Klantenkaarten zijn een belangrijk middel om meer te weten over bestaande klanten en wat ze kopen. Met een elektronische klantenkaart kan op eenvoudige wijze
bij het afrekenen worden opgeslagen wat u precies gekocht heeft.
• Met behulp van cookies is na te gaan in welke onderwerpen van een website u geïnteresseerd bent.
Passagiersgegevens
• Europese luchtvaartmaatschappijen zijn verplicht passagiersgegevens te verstrekken aan de Verenigde Staten (VS). De VS heeft deze maatregel getroffen om de
grenscontroles te verscherpen ten einde mogelijk terrorisme te kunnen voorkomen en bestrijden.
Telecom
• Met een mobiele telefoon bent u overal bereikbaar. Dat kan omdat de telefoon doorgeeft via de dichtstbijzijnde zendmasten aan de centrale waar u bent. Dat
gegeven biedt ook allerlei mogelijkheden om u direct reclame of reisinformatie te sturen die voor die locatie bruikbaar is. Locatiegegevens zijn ook interessant voor
de politie.
De zogenaamde verkeersgegevens van mobiele en vaste telefoons ( met wie hoe lang, hoe laat enz.) geven nog veel meer informatie over iemands privéleven.
Internet
• Persoonsgegevens worden op heel veel manieren op internet gepubliceerd: via een website, in een discussieforum of in een weblog. Publicaties op internet zijn
over het algemeen wereldwijd vierentwintig uur per dag toegankelijk voor een omvangrijk en divers publiek. Als u uw gegevens op internet plaatst, staat u er dan bij
stil dat uw gegevens jaren later nog vindbaar zijn.
Verkeersgegevens
• Uw reisgedrag wordt meer en meer geregistreerd. Deze informatie kan bijvoorbeeld gebruikt worden voor reclame, het geven van reisinformatie of voor opsporing.
Via de OV-chipkaart is van iedere reiziger in het openbaar vervoer precies bekend hoe en wanneer hij reist.
• Ook uw auto kan precies gevolgd worden. Kentekens van langsrijdende auto’s worden nu al door de politie gescand en vergeleken met lijsten van gestolen auto’s,
mensen met openstaande boetes of belastingschuld.
14
Wetgeving (EU en Nl): best goed!Privacy waakhond College Bescherming
Persoonsgegevens (CBP): behoorlijk actiefControle door politieke partijen? Er valt wat te
kiezen
Maar overheden zijn er wel erg op uit om voor zichzelf een inkijkfunctie te hebben in gegevens van personen (1)
(1) http://www.refdag.nl/nieuws/buitenland/itu_legt_standaarden_vast_voor_deep_packet_inspection_1_698011 en http://www.rijksoverheid.nl/nieuws/2012/10/16/opstelten-wil-opsporing-op-internet-versterken.html
17
Doelbinding (WBP: artikel 9)
Bij het verzamelen van persoonsgegevens moet het duidelijk zijn met wat voor doel dat gebeurt. Er mogen niet meer
gegevens verwerkt worden dan strikt noodzakelijk is.
Rechtmatigheid
Dit houdt allereerst in dat gegevens op een behoorlijke, zorgvuldige en legale manier verwerkt worden.
Proportionaliteit
De privacyinbreuk moet evenredig zijn, in verhouding met het beoogde doel waarvoor wordt verwerkt.
Subsidiariteit
Verwerking is alleen toegestaan indien het verwerkingsdoel niet op een andere (minder belastende) wijze kan worden
bereikt.
Transparantie (WBP: artikel 35)
De betrokkene heeft recht op informatie als er persoonsgegevens van hem worden verwerkt. De verantwoordelijke moet
hem onder andere laten weten wie hij is en wat voor gegevens hij waarvoor verwerkt.
Meldingsplicht (WBP: artikel 27)
Alle verwerkingen van persoonsgegevens moeten worden gemeld bij het College bescherming persoonsgevens (CBP).
Een groot aantal maatschappelijk bekende en geaccepteerde verwerkingen zijn echter vrijgesteld van artikel 27.
Zo mag een kerkgenootschap zijn leden administreren. In het vrijstellingsbesluit is vastgelegd in welke situaties
het vrijstellingsbesluit geldt.
http://wbpers.weebly.com/uitgangspunten.html
19
Bewaartermijn (WBP: artikel 10)
De organisatie mag de gegevens niet langer bewaren dan noodzakelijk voor de verwerking of om aan
wettelijke eisen te voldoen.
Beveiligingsplicht (WBP: artikel 13/14)
Het nemen van passende technische en organisatorische maatregelen om het verlies van gegevens of
onrechtmatige verwerking tegen te gaan.
Ondubbelzinnige toestemming
De betrokkenen dient toestemming te geven voor het verwerken van gegevens: daarbij dient dus
sprake te zijn van wilsuiting, het vooraf informeren, het vrijwillig geven en de mogelijkheid tot
intrekking.
Hierop zijn een aantal uitzonderingen, zoals:
· De uitvoering van een overeenkomst (klant - leverancierrelatie).
· Wettelijke verplichting (zoals belastingdienst)
· Ter vrijwaring van vitale belangen (levensbedreigende situaties)
· Publiekrechtelijke taak
· Ter behartiging gerechtvaardigd belang
Nieuwe Europese regels: 2013, o.a. : “right to be forgotten” en gemakkelijker toegang tot je eigen
gegevens.
http://wbpers.weebly.com/uitgangspunten.html
20
In de Europese privacyrichtlijn – waarvan de Wet
Bescherming Persoonsgegevens een uitvloeisel is – is
voorzien in een toezichthoudende autoriteit in elke lidstaat.
Deze autoriteit dient zijn taak in volledige onafhankelijkheid
te vervullen. In Nederland is dat het CBP.
Taken en bevoegdheden CBP
1. toezicht;
2. advisering;
3. voorlichting, informatieverstrekking en verantwoording;
4. internationale taken.
htt
p://w
ww
.cbpw
eb.n
l/P
ages/h
om
e.a
spx
22
-Mijn wil en wensen zijn niet bekend met anderen >
niemand zal rekening met mij houden.
-Ik ben vrij om te doen en te laten wat ik wil. Anderen
kunnen mij niets kwalijk nemen. Zij weten niet wat ik
doe/denk/waar ik ben.
-Waar mensen een beeld van mij hebben is dat een
fantasiebeeld.
-Alles is bekend. Mijn pincode, waar ik mijn
huissleutel bewaar, mijn adres, de plaats waar ik mij
op elk moment bevind, mijn lichamelijke en
geestelijke kwetsbaarheden, …
-Ik ben een open boek. Iedereen kan informatie van
mij gebruiken. Ten goede of ten kwade. Daar moet ik
anderen in vertrouwen.
-Ik moet voortdurend op mijn hoede zijn tegen
misbruik.
-Voor misdadigers ben ik een kwetsbaar slachtoffer.
-Voor de overheid is het duidelijk waar ik goed en
fout in handel. Belasting, politie/justitie etc.
-Medemensen kan ik niet tactisch benaderen,
rekening houdend met hun gevoeligheden: zij weten
wat ik weet en hoe ik er over denk.
-Het is gemakkelijk voor mensen om met mij mee te
leven. Van geestverwanten krijg ik veel support en
warme aandacht. Tegenstanders tonen hun
afwijzing.
Tussenvormen:
-Sommigen mogen alles van me weten,
anderen alleen bepaalde informatie
- Ik bepaal te allen tijde wie wat van mij
mag weten (afweging per geval) > veel
werk
-Ik conformeer me aan algemene regels
wie mag wat van mij weten en voor doel.
Uitzonderingen bepaal ik zelf. Ik wil wel
weten wie wat van mij weet.
•Volledige privacy
•Niets van mij bekend aan anderen
•Volkomen gesloten
•Volledige afwezigheid van privacy
•Alles van mij bekend aan anderen
•Volkomen open
Burka
Controlerende
overheid
Monster
van Loch Ness
KluizenaarParis Hilton
Theo van GoghProefdier in
laboratorium
Privacy Non-Privacy
Meeste
mensen
27
Wat wil ik als het gaat over: Volledige
privacy
Volledige
Afwezig-
heid
van
privacy
1 2 3 4 5
Mijn pincode x
Mijn naam en adres x
De plaats waar ik mij nu
bevind
x
Mijn banksaldo x
Waar ik mijn geld aan
besteed
x
Mijn politieke voorkeur x
Mijn seksuele geaardheid x
Details over mijn gezondheid x
Mijn religieuze opvattingen x
Hoe ik over jou denk x
…
28
Wat wil ik als het gaat over: Volledige
privacy
Volledige
Afwezig-
heid
van
privacy
1 2 3 4 5
Mijn pincode x
Mijn naam en adres x
De plaats waar ik mij nu
bevind
x
Mijn banksaldo x
Waar ik mijn geld aan besteed x
Mijn politieke voorkeur x
Mijn seksuele geaardheid x
Details over mijn gezondheid x
Mijn religieuze opvattingen x
Hoe ik over jou denk x
…
Mijn
vrouw
De
Over-
heid
Ieder-
een
Mijn
vrien-
den
29
Soms privé, soms open… Geen one size fits all.
Ik wil bepalen wie welke informatie van mij heeft: opt in; ook
v.w.b. de overheid.
En ik wil weten welke informatie iemand van mij heeft…
Overzicht, inzicht, recht op correctie.
En wat hij er mee doet / mag doen…
Er moeten maatregelen zijn tegen misbruik.
Ik wil er van af kunnen. Info moet gewist kunnen worden.
Ik kan dat niet allemaal zelf controleren en uitvoeren. De
overheid heeft daar een taak.
Maar ook de overheid moet weer gecontroleerd worden (b.v.
door burgerrechtenbewegingen zoals Bits of Freedom).
31
Op het gebied van digitale privacy• Bescherm je zelf (zie volgende sheet)
Alert burgergedrag • Stem op een partij met oog voor privacy
• Steun burgerbewegingen op het gebied van
privacy (Bits of Freedom, EFF etc.)
• …..
32
Overgenomen van Kashmir Hill (volg haar op twitter)
http://www.forbes.com/sites/kashmirhill/2012/08/23/10-incredibly-simple-things-you-should-be-doing-to-protect-your-privacy/
1. Password protect your devices: your smartphone, your iPad, your computer, your tablet,
etc.
2. Put a Google Alert on your name.
3. Sign out of Facebook, Twitter, Gmail, etc. when you’re done with your emailing, social
networking, tweeting, and other forms of time-wasting.
4. Don’t give out your email address, phone number, or zip code when asked.
5. Encrypt your computer.
6. Gmailers, turn on 2-step authentication in Gmail.
7. Pay in cash for embarrassing items.
8. Change Your Facebook settings to “Friends Only.”
9. Clear your browser history and cookies on a regular basis.
10. Use an IP masker.
33