Privacy  

Brief regering betreffende de ICT-beveiligingsassessments DigiD gebruikende organisaties, Kamerstukken II, 26 643, nr. 224.

In deze brief ga ik in op de inzet van een aantal specifieke maatregelen zoals aangekondigd in de brief van 11 oktober 2011 met onderwerp: “Lekken in aantal gemeentelijke websites”. Daarin is u gemeld dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, dienen te toetsen op basis van een ICT-beveiligingassessment.

Inhoudsopgave [red.]:
De norm voor ICT beveiliging
Uitvoeren ICT beveiligingassessments
Gefaseerdde aanpak
Grootgebruikers
Gemeenten, Provincies en Unie van Waterschappen.
Uitvoeren ‘hack’-testen
Communicatie richting organisaties
Tot slot

De norm voor ICT beveiliging
De ICT-beveiligingassessments worden uitgevoerd met de ICTBeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC,voorheen GOVCERT.NL) als basis. Deze beveiligingsrichtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, besturingssysteem, basisbeveiliging (virusscanner, firewall) en
applicatiebeveiliging. Ook een ‘hack’-test ofwel een zogenaamde penetratietest maakt deel uit van de richtlijnen. De beveiligingsrichtlijnen zijn opgesteld in samenspraak met een aantal publieke en private partijen, waaronder beveiligingsexperts. De richtlijnen worden gepubliceerd op de website van het NCSC. Bij nieuwe dreigingen stelt het NCSC de beveiligingsrichtlijnen bij. De normstelling voor de assessments wordt bepaald door de belangrijkste elementen van de bovengenoemde richtlijnen. Met deze normstelling wordt een forse impuls gegeven aan de verdere kwaliteitsverhoging van de ICTbeveiliging bij de overheid.

Uitvoeren ICT beveiligingassessments Allereerst zullen de organisaties die DigiD gebruiken, geïnformeerd worden over de bovengenoemde normstelling. Op deze wijze kunnen de DigiD gebruikende organisaties de benodigde aanpassingen in hun organisaties treffen en zich adequaat voorbereiden op de ICT-beveiligingsassessments. Daarnaast dienen zij de ICT-beveiligingassessments te laten uitvoeren onder verantwoordelijkheid van een Register EDP-auditor.1 Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren. Vervolgens dienen de conclusies van de ICT-beveiligingsassessments in de vorm van een rapportage door de gebruikende organisaties aan Logius2 te worden opgeleverd.

De Register EDP-auditors die in het register van de NOREA zijn ingeschreven, zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de ‘Code of Ethics’ en de Richtlijn ‘Assurance Opdrachten’.

Gefaseerde aanpak
In de brief van mijn voorganger van 11 oktober jl. is aangegeven dat alle organisaties voor 1 april 2012 de ICT-beveiligingsassessments moesten hebben doorlopen. Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost. Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten. Ook zijn er signalen van DigiD gebruikende organisaties, waaronder VNG en KING3, dat de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden. Naast de huidige aanpak waarbij ingeval van signalen altijd nader onderzoek plaatsvindt en ingeval van inbraak onverwijld wordt afgesloten van DigiD, heb ik gekozen voor een gefaseerde aanpak met betrekking tot de beveiligingsassessments. Daarbij wordt ingezet op prioriteiten als het gaat om type organisatie en het belang voor de burger. Grootgebruikers van DigiD dienen voor het eind van het jaar het ICTbeveiligingsassessment te hebben uitgevoerd. Overige organisaties dienen het assessment uiterlijk een jaar later uitgevoerd te hebben.

Grootgebruikers
Logius start per direct een samenwerkingstraject met de grootgebruikers van DigiD omdat deze cruciaal zijn voor de overheidsdienstverlening. Organisaties als de Belastingdienst, DUO en de UWV behoren daartoe. Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties. Andere organisaties kunnen vanzelfsprekend daarop aansluiten. Logius biedt daarnaast ondersteuning aan organisaties (niet gemeenten) door voorlichting en het delen van best practices. Bij de vormgeving van het traject voor deze organisaties zal gebruik worden gemaakt van de ervaringen die bij de grootverbruikers zijn opgedaan, alsmede de impactanalyse bij een aantal gemeenten.

1 Electronic Data Processing auditor.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
3 Kwaliteits Instituut Nederlandse Gemeenten

Gemeenten, Provincies en Unie van Waterschappen.      VNG start, ondersteund door KING, per direct een samenwerkingstraject meteen vertegenwoordiging van auditors en ICT-leveranciers van gemeenten overde aanpak van de ICT-beveiligingassessments bij gemeenten. Dit traject heeftals doel om een efficiënte uitvoering en eenduidige toepassing van de ICTbeveiligingsrichtlijnen bij gemeenten te bewerkstellingen. Dit doel wordt versterkt door het feit dat bepaalde auditors en ICT-leveranciers in opdrachtvan meerdere gemeenten werken. In dit traject kunnen desgewenst ook het Interprovinciaal Overleg en de Unie van Waterschappen worden betrokken.

KING voert de eerste helft van dit jaar bij een aantal gemeenten, waaronder kleine, middelgrote en grote gemeenten, een impactanalyse uit. De uitkomsten hiervan bieden input voor een gestandaardiseerde aanpak voor het uitvoeren van de ICT-beveiligingassessment bij gemeenten. Dit mede met het oog op het beperken van de uitvoeringslasten.

Daarnaast onderzoeken VNG en KING hoe zij gemeenten structureel op het terrein van ICT-beveiliging kunnen ondersteunen. Afhankelijk van de uitkomsten van deze onderzoeken bepalen VNG en KING hoe zij gemeenten
ondersteunen bij de assessments (te denken valt aan het inrichten van een helpdesk).

Tevens zal ik het onderwerp ICT-beveliging agenderen in mijn eerstvolgende overleg met de mede-overheden, en bezien of nadere bestuursafspraken nodig zijn.

Uitvoeren ‘hack’-testen
In het kader van de jaarlijkse ICT-beveiligingsassessments heeft Logius de mogelijkheid om enkele betrouwbare marktpartijen opdracht te geven tot het kraken van de ICT-beveiliging van gebruikende organisaties. Deze mogelijkheid staat los van de ‘hack’-testen of zogenaamde penetratietesten die Logius zelf jaarlijks laat uitvoeren op DigiD. Communicatie richting organisaties In de afgelopen periode is het effectief gebleken de communicatie te stroomlijnen. Daarom zijn er afspraken gemaakt over wie de aanspreekpunten zullen zijn. Voor vragen over het proces, kunnen organisaties bij Logius terecht. VNG is aanspreekpunt voor gemeenten. NCSC levert informatie over de beveiligingsrichtlijn. EDP-auditors kunnen met vragen bij NOREA terecht.

Tot slot
Hoewel 100% veiligheid nooit te garanderen is, wordt met deze samenwerking een belangrijke en haalbare impuls gegeven aan de kwaliteitsverbetering van ICT- beveiliging bij de overheid. In het derde kwartaal van 2012 zal ik u informeren over de stand van zaken met betrekking tot de genomen kwaliteitsmaatregelen.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.W.E. Spies

Hof Amsterdam, nevenzittingsplaats Arnhem 31 januari 2012, LJN BV2565 (appellant tegen waarborgmaatschappij Medirisk)

Verwerking persoonsgegevens; inzage op grond van Wet bescherming persoonsgegevens. [appellant] heeft op verzoek van Medirisk de medisch directeur, alsmede het medisch en paramedisch personeel van het OLVG gemachtigd de bij hen berustende medische en paramedische gegevens met betrekking tot de aansprakelijkstelling over te leggen aan de medisch adviseur van Medirisk. [appellant] is er verder mee akkoord gegaan dat de medisch adviseur voor de behandeling van de schadekwestie inzage van de medische gegevens verstrekt aan en ten behoeve van bij Medirisk werkzame medewerkers en adviseurs. Medirisk dient uiteindelijk, aldus het Hof, inzage te geven in het medisch rapport van een chirurg en ten aanzien van alle stukken aan tegeven waarover het stuk handelt en om welke reden zij vn mening is dat er Wbp-uitzonderingen van toepassing zijn.

4.7 Ten aanzien van overige stukken die zich in het dossier dat Medirisk over [appellant] houdt bevinden, overweegt het hof als volgt. Medirisk heeft tot op heden geweigerd een overzicht te verstrekken van de informatie die zich in haar dossier bevindt.

Ook ten aanzien van het verzoek een overzicht te verstrekken faalt het betoog van Medirisk dat [appellant] misbruik van recht maakt. Het hof verwijst naar het hiervoor overwogene.

Zonder een nadere toelichting - die ontbreekt - valt voorts niet in te zien dat het verstrekken van een overzicht er reeds toe kan leiden dat het belang dat Medirisk heeft bij het vrijelijk kunnen voeren van overleg geschaad wordt. Om te kunnen beoordelen of het hier gegevens betreft die Medirisk op grond van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp niet aan [appellant] hoeft te verstrekken, dient Medirisk derhalve een overzicht over te leggen van de stukken, inclusief eventuele bijbehorende bijlagen, die zich in haar dossier ten aanzien van [appellant] bevinden, waarbij zij per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij meent dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is.

Dictum
Het hof, beschikkende in hoger beroep:
bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij het medisch rapport van dr. J.E.L. Cremers (chirurg) zal verstrekken;

bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij een overzicht zal verstrekken van alle zich in het dossier ten aanzien van [appellant] bevindende stukken, inclusief eventueel daarbij behorende bijlagen, waarbij Medirisk per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij van mening is dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is;

bepaalt dat van deze beschikking terstond beroep in cassatie kan worden ingesteld;

Rechtbank Amsterdam 15 december 2011, LJN BV2295 (Phishing ING) / LJN BV2297

Twee beschikkingen. Wbp. Incidentenregister. Phishing. Bank heeft gerechtvaardigd belang om de persoonsgegevens te verwerken. Proportionaliteitstoets valt uit in het voordeel van de bank.

De benadeelde heeft aangifte gedaan van oplichting althans frauduleuze overboekingen bij de politie Utrecht en heeft de schade eveneens gemeld bij ING. ING heeft de betaalrekening van [B] geblokkeerd.

ING heeft [B] bericht dat in een onderzoek naar fraude naar voren is gekomen dat [B] hiermee te maken had en is deze kwestie voor ING Bank N.V. aanleiding om uw persoonsgegevens op te nemen in het incidentenregister. Verzoek strekt ertoe om gegevens van haar [A] en haar zoon [B] te verwijderen. Er is sprake van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING. Verwerking van persoonsgegevens in het incidentenregister conform het protocol dat voldoende waarborgen biedt en doorstaat de proportionaliteitstoets.

4.7.  De rechtbank stelt voorop dat het opnemen van de persoonsgegevens van [B] in het incidentenregister en het daaraan gekoppelde EVR is aan te merken als een verwerking van persoonsgegevens, waarop de Wbp van toepassing is. Deze verwerking vindt zijn grondslag in het gerechtvaardigde belang als bedoeld in artikel 8 sub f Wbp van ING en de overige bij het EVR aangesloten financiële instellingen. Dit artikel schrijft voor dat bij het verwerken van persoonsgegevens een afweging wordt gemaakt tussen het gerechtvaardigd belang van – in casu – ING om de gegevens te verwerken in het incidentenregister en het EVR en het belang van [B] op bescherming van zijn persoonlijke levenssfeer. ING voert aan dat zij bij haar besluit de voorwaarden van het protocol in acht heeft genomen. Blijkens de preambule van het protocol is het protocol een toelichting op de aanmelding van het incidentenregister bij het College Bescherming Persoonsgegevens. De doelstelling van het incidentenregister is het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector. De rechtbank is van oordeel dat het protocol kan worden beschouwd als een regeling die voldoende waarborgen biedt voor een rechtmatige verwerking van persoonsgegevens zoals de Wbp die voorschrijft, zodat het protocol als uitgangspunt zal gelden bij de beoordeling van het onderhavige geschil.

4.10.  Gelet op het voorgaande is de rechtbank van oordeel dat sprake is van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING door [B]. Dat ING geen aangifte heeft gedaan tegen [B] staat hier niet aan in de weg, nu het feit gelet op de verklaring van [B] jegens de politie reeds voldoende vast is komen te staan, er momenteel een strafrechtelijk onderzoek loopt naar het voorval en de benadeelde zelf aangifte heeft gedaan van de fraude bij de politie. De uiteengezette omstandigheden vormen een bedreiging van de continuïteit en de integriteit van financiële instellingen in het algemeen en voor de onderneming van ING in het bijzonder. ING had derhalve een gerechtvaardigd belang om de persoonsgegevens van [B] te verwerken in het incidentenregister en het daaraan gekoppelde EVR.

4.12.  De rechtbank is van oordeel dat bij de afweging van de belangen van partijen, het onder 4.10 weergegeven belang van ING thans dient te prevaleren boven de door verzoekster gestelde belangen van haar zoon [B]. Vast staat immers dat ING is benadeeld door handelingen die zijn verricht met gebruikmaking van de betaalrekening, betaalpas en pincode van [B] en dat [B] hieraan bewust en vrijwillig heeft meegewerkt. Blijkens het tijdens de mondelinge behandeling overgelegde rapport van de Raad voor de Kinderbescherming (zie hiervoor onder 2.9) is de thans nog minderjarige [B] kwetsbaar en beïnvloedbaar, hetgeen het risico op herhaling vergroot. Naar het oordeel van de rechtbank is derhalve onvoldoende gebleken dat [B] disproportioneel wordt geraakt in zijn belangen door opname van zijn persoonsgegevens in het incidentenregister en het EVR.

4.14.  Ten aanzien van de stelling van verzoekster dat op ING de plicht rust om het fundamentele beginsel van hoor en wederhoor toe te passen, hetgeen concreet inhoudt dat zij een individuele betrokkene confronteert met haar bezwaren en deze in staat stelt daarop te reageren voordat tot registratie wordt overgegaan, overweegt de rechtbank als volgt.

ING voert terecht aan dat er op grond van de hiervoor reeds geschetste omstandigheden in het onderhavige geval geen twijfel mogelijk was omtrent de betrokkenheid van [B] bij de fraude. De rechtbank is derhalve met ING van oordeel dat het niet noodzakelijk was om [B] (dan wel zijn moeder) vooraf te horen. Dit geldt te meer nu er, zoals aangevoerd door ING, op grond van het protocol voldoende mogelijkheden bestaan om achteraf bezwaar te maken tegen opname in het incidentenregister en het EVR. Derhalve is de rechtbank van oordeel dat ING aan de zorgvuldigheidseisen die gelden bij de totstandkoming van een registratie in het incidentenregister en/of het EVR heeft voldaan en dat zij dus niet onzorgvuldig heeft gehandeld jegens [B].

Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft in 2011 de Rotterdamse deelgemeente Charlois een last onder dwangsom opgelegd. De sanctie volgde nadat het CBP na onderzoek had geconcludeerd dat de deelgemeente in strijd met de wet handelde. Charlois verwerkte structureel gegevens betreffende ras/etniciteit ten behoeve van een specifieke aanpak van risicojongeren terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand van de jongeren te verminderen of op te heffen. Charlois heeft tegen de beslissing van het CBP bezwaar gemaakt. Het CBP heeft in zijn beslissing op bezwaar geoordeeld dat het bezwaar ongegrond is. De deelgemeente is hiertegen in beroep gegaan bij de rechter.

J.J. Oerlemans, US v. Jones (GPS-tracking zaak), ITenRecht.nl, IT 651.

Met dank aan Jan-Jaap oerlemans, Universiteit Leiden.

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek. Met  betrekking tot stelselmatige observatie op internet kan binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke vorowaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclsuie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet beantwoord hoeven worden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
https://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
https://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
https://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Brief aan Vereniging van Zorgaanbieders voor Zorgcommunicatie, doorstart landelijke infrastructuur (EPD), kenmerk: z2011-901

Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten. Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.

CC BY-SA Sue Waters|Flickr.com

Een bijdrage van Tom Jozak, Mitopics.

Steeds vaker worden gegevens van Europese burgers en bedrijven verwerkt door Amerikaanse aanbieders van cloudcomputing-diensten. Aangezien de Amerikaanse Patriot Act van toepassing is op deze aanbieders, kan de Amerikaanse overheid al deze gegevens inzien. Dit is voor veel Europese landen een onaanvaardbare situatie. De laatste jaren promoten daarom steeds meer Europese landen de regionale cloudcomputing-agenda. Na Duitsland neemt nu ook Frankrijk dit standpunt in. Deze nieuwe ontwikkeling zou enorme gevolgen kunnen hebben voor de uitwisseling van data op het internationaal niveau en voor de huidige aard van cloudcomputing in het algemeen. Stand van zaken nu en een blik naar de toekomst.

France Telecom werkt samen met Thales SA, maker van lucht-, ruimtevaart en industriële elektronica, om een cloud-van-eigen-bodem te realiseren en de cloudsoftware binnen en buiten Frankrijk te kunnen aanbieden, bericht Bloomberg. "Het is het begin van een gevecht tussen twee reuzen [Frankrijk(Europa) en de Verenigde Staten, edit TJ]", zegt Jean-François Audenard, France Telecom Cloud security adviseur. Audenard vervolgt:

“It’s extremely important to have the governments of Europe take care of this issue because if all the data of enterprises were going to be under the control of the U.S., it’s not really good for the future of the European people.”

Deze ontwikkeling is op gang gekomen naar aanleiding van de Amerikaanse Patroit Act. Als gevolg van deze wetgeving zijn de Verenigde Staten (VS) namelijk bevoegd om de data die is opgeslagen in de cloud te raadplegen, indien deze data kan worden gebruikt om een bedreiging van de nationale veiligheid te signaleren en/of te weren. Het mag duidelijk zijn dat deze wetgeving de bevoegde Amerikaanse overheidsinstanties vrije handen geeft om bij een geringst vermoeden van bedreiging van de nationale veiligheid, bepaalde (persoons)gegevens door te lichten. Afgelopen voorjaar heeft ook Microsoft naar buiten gebracht dat zij de beschikbare cloudgegevens aan de Amerikaanse autoriteiten desgevraagd zou overdragen, zelfs als deze data zich in één van haar op het Europese grondgebied gevestigde datacentra zou bevinden.
Dergelijke verklaringen veroorzaken consternatie in landen van de Europese Unie, met name in Duitsland, waar veel strengere eisen gelden op het gebied van privacy dan in de meeste Europese landen.

Vorig jaar september verklaarde Reinhard Clemens, CEO van Deutsche Telekom's T-Systems Group, dat lokale wetgevers en toezichthouders de technische ontwikkelingen om een super beveiligde ‘cloud’ op het Europese grondgebied mogelijk te maken, niet in de weg mogen staan. Dit vraagt harmonisatie-inspanningen van de lidstaten op Europees niveau. Er is immers steeds meer vraag van klanten die niet willen dat hun informatie of informatie van hun klanten toegankelijk is voor derden zoals de Amerikaanse overheid. Ook grotere Europese bedrijven zijn zich hiervan bewust en zien kansen op dit gebied. Zij wachten niet af en zijn op steeds grotere schaal bezig met het (na)bouwen van de oplossingen die voorheen alleen vanuit Amerika afkomstig waren. Een ware concurrentieslag wordt nu uitgevochten als gevolg van de conflicterende Amerikaanse en Europese wetgeving. Het is echter slechts een kwestie van tijd voordat Europese bedrijven (‘de nieuwkomers’) hun diensten naar Amerika uitbreiden en aldaar aan de Amerikaanse wetgeving moeten voldoen. De Europese klant kan hier uiteindelijk de dupe van worden, tenzij de wetgever ingrijpt. Dat een oplossing hiervoor in de maak is, kan uit berichtgeving van Eurocommissaris Viviane Reding (en voorheen Neelie Kroes) worden afgeleid. De nieuwe General Data Protection Regulation (d.d. 29/11/2011), die nu als conceptvoorstel ter beoordeling ligt, geeft onafhankelijke Europese toezichthouders de middelen in handen om op te treden tegen eenzijdige beslissingen van Amerika bij het raadplegen van de uit Europa afkomstige persoonsgegevens (zie bijv. art. 79 lid 4 sub j van deze verordening, die een boete van 5% van de jaarlijkse wereldwijde omzet oplegt aan een bedrijf dat zonder toestemming uit Europa afkomstige data exporteert naar een land buiten Europa). Deze wetgeving gaat waarschijnlijk aanstaande woensdag in werking treden, bericht Tweakers.

De Amerikaanse cloudmarktleiders (Amazon, Facebook, Google, IBM en Microsoft) protesteren uiteraard tegen deze protectionistische benadering. Zij zijn namelijk bezig om een nieuw universeel clouddatanetwerk te creëren door middel van efficiënte, gedecentraliseerde datacenters om daarmee hun enorme cloudoperaties uit te voeren, en eigen (commerciële) belangen in Europa veilig te stellen. Als de Europese landen deze ontwikkelingen tegengaan, kan de waarde van cloudcomputing, niet alleen voor deze bedrijven, maar ook voor hun klanten aanzienlijk verminderen, zij het dat dit vooralsnog ‘slechts’ tussen de in de VS en de in EU gevestigde bedrijven parten zal spelen.

Deze Europese protectionistische benadering van cloudcomputing, initieel veroorzaakt door Amerikaanse wetgeving zal, als de patstelling langer voortduurt, ook nadelen brengen voor de Europese bedrijven, stelt Informa. Zij vervolgt:

“The European telecom operators who promote this strategy risk being sidelined in the global cloud computing market as aggressive North American and Asian operators spend billions to build international presence.”

The Informa Telecom Cloud Monitor (pdf) laat zien dat Europese operators slechts 7 procent uitmaken van de totale wereld cloudactiva, gemeten vanaf 2011, terwijl hun Noord-Amerikaanse en Aziatische collega's goed zijn voor 90 procent.

GigaOM meldde vorige maand nog, dat de Amerikaanse technologiegiganten deze bedreiging niet ongemoeid voorbij laten gaan. Google, IBM, Citi en een aantal andere grote Amerikaanse bedrijven en federale banken lobbyen bij hun regering voor verdragen die de vrije stroom van informatie over de grenzen waarborgen. De Patriot Act staat hun inspanningen echter in de weg en dat zal binnen afzienbare tijd ook niet veranderen, aangezien de nationale veiligheid vóór commerciële belangen gaat. De wil om een vrije stroom van informatie te waarborgen is er echter aan beide kanten van de Atlantische oceaan – als we een informeel commentaar op het nieuw voorstel voor General Data Protection Regulation mogen geloven en beide partijen lijken hetzelfde doel na te streven. Dit biedt hoop op een blijvende oplossing met betrekking tot vrije uitwisselbaarheid van gegevens tussen de twee nog steeds tegenstrijdige benaderingen. We zullen dus nog een tijdje geduld moeten hebben voordat bezorgdheden en openstaande punten worden weggewerkt en dat geeft op een korte termijn weinig troost.

Bron: Bloomberg, GigaOm)
Tags: General Data Protection Regulation, privacy, cloud computing

Antwoord Staatssecretaris Teeven vragen Elissen over het registreren van routers, Aanhangsel Handelingen II, 2011/2012, nr. 964.

In reactie op artikel van Webwereld, Misverstanden over Google's router opt-out zijn kamervragen gesteld.

Vraag 2
Deelt u de analyse van het College bescherming persoonsgegevens (Cbp) dat ten aanzien van het verzamelen van routerdata artikel 8 onder F, van de Wet bescherming persoonsgegevens (Wbp) van toepassing is en dat dus krachtens de Nederlandse wet een “opt-out” volstaat? Zo nee, welke andere interpretatie is er volgens u mogelijk en kan hieruit de verplichting voor een opt-in blijken? Bent u bereid hier nader onderzoek naar te doen, te meer het op grote schaal verzamelen en aggregeren van gegevens die in potentie de privacy kunnen schaden steeds vaker voor komt?

Antwoord 2
Ja. Artikel 8 onder f van de Wbp biedt een grondslag voor het verzamelen en verwerken van routerdata. De onderzochte verwerking betreft de combinatie van het MAC-adres (het unieke nummer van de wifi-router) in combinatie met de berekende locatie van de wifi-router. Deze verwerking is van andere aard dan bijvoorbeeld de verwerking van gegevens over surfgedrag met behulp van cookies of de locatiegegevens van smartphones. Deze verwerking brengt derhalve in tegenstelling tot gegevens die informatie verschaffen over het gedrag van de betrokkene geen grote inbreuk op de persoonlijke levenssfeer met zich mee.

Bij de belangenafweging tussen enerzijds de persoonlijke levenssfeer van betrokkenen en anderzijds het belang van de verantwoordelijken die gegevens willen verwerken speelt de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken een rol, evenals de waarborgen die de verantwoordelijke heeft getroffen voor een zorgvuldig gebruik van de gegevens. Een belangrijke waarborg is transparantie, duidelijke informatie aan betrokkenen voor welk gerechtvaardigd doel hun persoonsgegevens worden verzameld en verwerkt. Een andere veelvoorkomende waarborg is de mogelijkheid van een opt-out.

Vraag 3
Kunt u één of meer scenario’s schetsen waarbij het verzamelen en publiceren van Service Set Identifier (SSID)’s (in combinatie met samenhangende gegevens, zoals de locatie) resulteert in een aantasting van de privacy? Kunt u hierbij rekening houden met de mogelijkheid om deze gegevens met andere databestanden te combineren?

Antwoord 3
Het CBP heeft in zijn rapport van definitieve bevindingen als voorbeeld genoemd dat het MAC-adres van de wifi-router, eventueel samen met het SSID, in combinatie met de locatiegegevens gebruikt zou kunnen worden om een persoon te stalken. Het CBP heeft vastgesteld dat het verzamelen en verwerken van SSID’s niet noodzakelijk is voor het kunnen aanbieden van de geolocatiedienst, en heeft Google een last opgelegd om alle in Nederland verzamelde SSID’s te vernietigen.

vraag 4
Deelt u de mening dat een “opt-in” (in tegenstelling tot een “opt-out”) een veel kleinere inbreuk op de privacy inhoudt en dat een “opt-in”, door bijvoorbeeld het SSID op ‘_yesmap’ te laten eindigen, vanuit privacyperspectief een betere optie is dan de door Google voorgestelde ‘_nomap’? Zo nee, waarom niet? Denkt u dat huidige regelgeving volstaat?

Antwoord 4
Vanuit het perspectief van betrokkenen is een opt-in (toestemming) vaak te verkiezen boven een opt-out (verzet). Echter, zoals uiteengezet in mijn antwoord op vraag 2 biedt de Wbp naast het toestemmingsvereiste ook de mogelijkheid om te volstaan met een opt-out constructie. Het gaat dan om diensten, waarbij het bedrijfsbelang van de verantwoordelijke in het algemeen opweegt tegen het recht op bescherming van persoonsgegevens en de persoonlijke levenssfeer. Aangezien ik met het CBP van mening ben dat met het verzamelen van routergegevens geen aanzienlijke inbreuk op de
privacy wordt gemaakt deel ik de in uw vraag verwoorde mening niet. In de reeds toegezegde brief aan uw Kamer naar aanleiding van de Motie Van Toorenburg e.a. (Kamerstukken II 2011/12 32 761, nr. 12) zal ik hier nader op ingaan.

Vraag 5
Deelt u de stelling uit het artikel dat bedrijven als Microsoft, Apple, Blackberry en Skyhook in overtreding zijn? Bent u bereid het Cbp te vragen dit te onderzoeken? Zo nee, bent u dan bereid een strafrechtelijk onderzoek in te stellen? Zo nee, waarom niet? Welke bedrijven zijn er nog meer in overtreding wanneer het gaat om het verzamelen van gegevens van routers? Wat bent u van plan hieraan te gaan doen?

Antwoord 5
Het oordeel of de in het artikel genoemde bedrijven in overtreding zijn is aan het CBP. Het CBP is een onafhankelijke toezichthouder die zelf kiest bij welke bedrijven en instellingen het onderzoek doet en die bovendienexclusief bevoegd is ten aanzien van de handhaving de Wbp. Er is geen aanknopingspunt voor strafrechtelijk optreden. Ik beschik niet over gegevenswelke bedrijven gegevens van routers verzamelen.

Hof Arnhem 10 januari 2012, LJN BV0470 (appellant tegen Aveant Thuishulp B.V.)

Inzage medisch dossier in verband met rechtsgeldigheid testament.

In eerder kort geding vordert `jr.´ inzage in het medisch en verpleegkundig dossier van zijn overleden vader "Sr.". Jr. stelt belang te hebben bij die inzage omdat hij zich op het standpunt stelt dat [sr.] op 26 februari 2010 een uiterste wilsbeschikking heeft vastgesteld terwijl Sr. op dat moment in een zodanige geestelijke toestand verkeerde dat hij niet bekwaam was tot het verrichten van rechtshandelingen. Aveant c.s. hebben die inzage geweigerd met een beroep op het medisch beroepsgeheim. De voorzieningenrechter heeft de vorderingen afgewezen.

In dit hoger beroep wordt geoordeeld dat er geen voldoende concrete aanwijzingen aannemelijk zijn geworden waaruit volgt dat een zwaarwegend belang geschaad wordt indien de geheimhouding van het medisch en verpleegkundig dossier van [sr.] wordt gehandhaafd.

Kort geding wordt bekrachtigd.

4.7  De verdere argumenten die [jr.] heeft aangevoerd ter onderbouwing van zijn stelling dat sprake is van voldoende concrete aanwijzingen in de zin van r.o. 4.4 hiervoor, kunnen – voorshands oordelend – zijn vordering evenmin dragen. Dat [sr.] [leeftijd] oud was toen hij, kort voor zijn overlijden, het testament heeft ondertekend en dat hij daarbij de dochters van zijn buren als erfgenamen heeft aangewezen, zijn geen zodanig ongewone omstandigheden dat daaruit zonder meer zou kunnen worden afgeleid dat [sr.] handelingsonbekwaam was toen hij het testament ondertekende. Zowel de notaris als [geïntimeerde sub 2] hebben verklaard dat [sr.] tegen hen heeft gezegd dat de relatie met zijn (voormalige) partner Van Leeuwen was geëindigd. Dat Van Leeuwen en/of [jr.] – zonder daaraan een concrete onderbouwing te geven – op dit punt een andere mening zijn toegedaan, kan er in dit kort geding niet toe leiden dat voldoende aannemelijk is geworden dat [sr.] handelingsonbekwaam was toen hij het testament ondertekende.

4.8  Het voorgaande brengt mee dat op basis van de hiervoor besproken stellingen van [jr.] – ook als die worden beoordeeld in hun onderlinge samenhang en in samenhang met hetgeen [jr.] overigens heeft aangevoerd – in dit kort geding geen voldoende concrete aanwijzingen aannemelijk zijn geworden waaruit volgt dat een zwaarwegend belang geschaad wordt indien de geheimhouding van het medisch en verpleegkundig dossier van [sr.] wordt gehandhaafd. Dat geldt niet alleen ten aanzien van de primair gevorderde inzage door [jr.] zelf, maar ook ten aanzien van de subsidiair gevorderde inzage door een aan te wijzen deskundige. Reeds daaruit volgt dat die vorderingen moeten worden afgewezen en dat de grieven 4 tot en met 9 falen.

Uit´t persbericht. Na onderzoek heeft het College bescherming persoonsgegevens (CBP) vastgesteld dat TomTom de Wet bescherming persoonsgegevens (Wbp) overtreedt omdat de aan de gebruiker gevraagde toestemming voor verwerking van geolocatiegegevens en de bijbehorende informatie onvoldoende specifiek is. TomTom verwerkt voor zichzelf de geolocatiegegevens die worden opgeslagen op de offline en online apparaten om verkeer en wegen in kaart te brengen. Aangezien geolocatiegegevens gevoelige persoonsgegevens zijn, mogen deze alleen met voorafgaande toestemming van de gebruiker worden verwerkt en moet de gebruiker voldoende worden geïnformeerd. TomTom heeft toegezegd de informatie aan zijn klanten in februari 2012 aan te zullen passen aan de wettelijke vereisten.

Het CBP onderzocht tevens de wijze waarop TomTom geolocatiegegevens verstrekt aan derde partijen, waaronder indirect aan de politie. Het concludeert dat TomTom deze gegevens onomkeerbaar heeft ontdaan van identificerende kenmerken en de gegevens alleen op geaggregeerd niveau verstrekt. Het CBP concludeert daarom dat TomTom bij de verstrekking van geolocatiegegevens aan derden niet in strijd handelt met de Wbp.