Privacy  

Antwoord Minister Donner vragen Neppérus inzake het eenvoudige kraken van de DigiD, Aanhangselen II, 2010-11, nr. 3 427.

Vraag 1 Bent u bekend met de berichten dat een DigiD eenvoudig te kraken zou zijn voor criminelen en dat het om vele miljoenen gaat?

Antwoord Ja, ik ben bekend met de berichtgeving in de media.

Vraag 2 Hoe verhoudt zich dit nieuws zich tot uw antwoorden van 9 mei 2011 op Kamervragen dat het probleem maar beperkt voorkomt?

Antwoord: Tot op heden is niet gebleken dat bij de huidige situatie sprake is van het ontvreemden van DigiD’s van de getroffen huishoudens. Het betreft hier wèl het frauduleus aanvragen van toeslagen met behulp van identiteitsgegevens van de getroffen huishoudens. Daarvoor waren de DigiD’s van de getroffen huishoudens niet nodig. De Belastingdienst heeft inmiddels maatregelen getroffen waardoor dit niet meer mogelijk is. De desbetreffende burgers zijn inmiddels geïnformeerd. Ook zijn de invorderingsmaatregelen gestopt en krijgen de burgers die door deze fraude hun toeslagen niet hebben uitgekeerd gekregen, deze alsnog uitbetaald. Daarnaast is er bij de Belastingdienst/Toeslagen een fraudemeldpunt, waar burgers die vermoeden dat zij slachtoffer zijn van dit soort fraude zich kunnen melden. De Staatssecretaris van Financiën zal de Kamer in de komende halfjaarsrapportage nader informeren over de maatregelen die de Belastingdienst in dit verband heeft genomen.

Vraag 3 Bent u bereid alsnog naar de omvang van het genoemde probleem te kijken?

Antwoord Zoals gemeld in antwoord op vraag 2 bestaat de misbruikmogelijkheid die de aanleiding vormt voor de huidige vragen niet meer. Wat andere vormen van misbruik betreft, is het niet onmogelijk voor een kwaadwillende om een DigiD van een ander te bemachtigen (zoals ook aangegeven in de antwoorden op uw vragen uit april 2011 en de vragen van het lid Gerkens uit maart 20101). De strekking van die antwoorden is dan ook niet gewijzigd. 100% fraudebestendigheid bestaat niet. Het aantal gevallen van het ontvreemden van DigiD, ten opzichte van het totaalgebruik van DigiD, is minimaal. DigiD wordt gebruikt door 9 miljoen mensen. Sinds de invoering van DigiD in 2005 zijn door de beheerder van DigiD enkele honderden DigiD’s onderzocht vanwege een vermoeden van misbruik. Daarnaast zijn bij het Centraal Meldpunt Identiteitsfraude en -fouten enkele tientallen gevallen van vermoeden van misbruik gemeld. Wanneer er meer aan de hand blijkt te zijn wordt een DigiD opgeheven. Dat is dit jaar acht maal gebeurd. Het tegengaan van fraude is een continue wedloop tussen het nemen van beveiligingsmaatregelen en fraudeurs. In dat kader onderzoek ik momenteel de wenselijkheid en haalbaarheid van de invoering van een geheel nieuw (hoger) zekerheidsniveau binnen DigiD, de zogeheten eNIK. Daarover informeer ik uw Kamer medio september separaat.

Vraag 4 Hoe komt het dat kennelijk in bepaalde straten en wijken meer DigiD wordt gekraakt, dan in andere buurten? Welke afspraken zijn er over screening van medewerkers van bedrijven die worden ingeschakeld?

Antwoord De zaak waarop gewezen wordt in de berichtgeving is in onderzoek bij de FIOD en het Openbaar Ministerie. Zoals gemeld in het antwoord op vraag 2 is tot op heden niet gebleken dat hierbij sprake is geweest van het ontvreemden van DigiD’s van de getroffen huishoudens. Vanwege het lopende onderzoek kan ik op dit moment geen nadere mededelingen doen.

Vanaf komende dinsdag verschijnt een ‘cookie-icoon’ bij veel webadvertenties in Nederland. Wie doorklikt komt terecht bij een volg-me-niet register, waar de gebruiker kan aangeven van welke partijen hij wel of geen third party cookies wenst te ontvangen.

Lees meer hier

Vz RCC 10 augustus 2011, Dossiernr. 2011/00614 (Neckermann reclamekaart klantnummer)

Als randvermelding. De RCC oordeelt over gebruik van 'privacy-gegevens'. De twee reclamefolders, die per post aan klager zijn toegestuurd, zijn niet alleen voorzien van klagers naam en adres, maar ook van klagers klantnummer, en wel zo, dat dit voor een ieder zichtbaar is. Na ontvangst van de eerste folder heeft klager zijn bezwaar daartegen aan adverteerder kenbaar gemaakt, doch heden ontving hij een tweede folder, wederom voorzien van zijn klantnummer. Hierdoor kan een ieder, die deze uitingen onder ogen krijgt zich voor klager uitgeven.

Klantnummer is slechts serviceoverweging. Door zich van een dergelijke wijze van reclame maken te bedienen, is geen inbreuk op klagers privacy, aldus de voorzitter..

Het verweer
Van strijd met de Nederlandse Reclame Code (hierna: NRC) is geen sprake.
Ook zonder dat het klantnummer zou zijn vermeld, bestaat het risico dat iemand anders zich voor klager uitgeeft. Het klantnummer is vermeld uit serviceoverwegingen. Hierdoor hoeft de klant zijn klantnummer niet op te zoeken of na te vragen.  
 
Het oordeel van de voorzitter
De voorzitter is van oordeel dat de Commissie de klacht zal afwijzen. Hij overweegt daartoe het volgende.
Het feit dat naast klagers naam en adres zijn klantnummer is vermeld waardoor beide voor derden zichtbaar zijn, kan niet worden aangemerkt als een schending van klagers persoonlijke levenssfeer. Evenmin kan dit handelen in strijd met de NRC worden geacht.

Hof Leeuwarden 12 juli 2007 LJN BR5585 (verzoekster tegen Stichting Inschrijving Op Naam)

Geen recht op verwijdering persoonsgegevens uit huisartsenregister (ION). Het enkele feit dat met de registratie duidelijk kan worden bij welke huisarts zij als patiënt staat ingeschreven, zegt over haar geestelijke of lichamelijke gezondheid niets, ook niet als de persoon van die arts bij deze beoordeling wordt betrokken. Dat betekent dat artikel 16 juncto 21 Wbp toepassing mist.

6.  Het hof stelt voorop dat de door ION geregistreerde gegevens noch expliciet, noch impliciet betrekking hebben op de gezondheid van [verzoekster]. Het enkele feit dat met de registratie duidelijk kan worden bij welke huisarts zij als patiënt staat ingeschreven, zegt over haar geestelijke of lichamelijke gezondheid niets, ook niet als de persoon van die arts bij deze beoordeling wordt betrokken. Dat betekent dat artikel 16 juncto 21 Wbp toepassing mist.

10.  Aan [verzoekster] moet worden toegegeven dat de registratie - zoals elke registratie van persoonsgegevens - haar persoonlijke levenssfeer raakt. Bij de beantwoording van de vraag in hoeverre haar recht op bescherming daarvan wordt aangetast, dient echter wel te worden bedacht dat de geregistreerde gegevens slechts toegankelijk zijn voor huisartsen en zorgverzekeraars, en in wezen slechts inzichtelijk maken bij welke huisarts [verzoekster] staat ingeschreven. Niet is aangevoerd dat daar wat betreft de zorgverzekeraars enig bezwaar tegen bestaat; [verzoekster] richt haar pijlen
uitsluitend op het feit dat andere huisartsen dan degene bij wie zij staat ingeschreven, die informatie tot zich kunnen nemen. De gevoeligheid van de gegevens is dus tot dat feit beperkt.

11.  De in het licht van al het voorgaande te maken belangenafweging kan naar het oordeel van het hof niet de conclusie dragen dat de fundamentele rechten en vrijheden van [verzoekster] in de weg staan aan de registratie van haar persoonsgegevens in de database. Dat betekent dat die gegevens niet geacht kunnen worden in strijd met een wettelijk voorschrift te zijn verwerkt. Het in artikel 36 Wbp geregelde recht om verwijdering van die gegevens te verzoeken, komt [verzoekster] dan ook niet toe. De bestreden beschikking zal reeds om die reden worden bekrachtigd. In aanvulling daarop overweegt het hof het volgende.

12.  Teneinde aan de bezwaren van [verzoekster] tegemoet te komen, zijn zowel de historische gegevens (definitief) als de persoonsgegevens door ION uit het bestand verwijderd, en voert ION nadien periodiek een handmatige controle uit. Daardoor kan alleen nog sprake zijn van door haar nietgewenste registratie van de persoonlijke gegevens van [verzoekster] gedurende maximaal drie maanden. Indien ION maatregelen zou moeten nemen om uit te sluiten dat gedurende een dergelijke, korte periode een andere dan [verzoekster]s eigen huisarts zou kunnen zien wie haar huisarts is, dan zou (naar ten pleidooie onbestreden is gebleven) een investering noodzakelijk zijn van tussen de € 50.000,= en € 100.000,=. Sinds de invoering van de registratie is [verzoekster] de enige die om een dergelijke verstrekkende aanpassing van het systeem heeft verzocht. Een belangenafweging zou ook om die reden in de weg staan aan honorering van het verzoek.

Het onderzoek wat het Openbaar Ministerie (OM) heeft gedaan bij KPN over het gebruik van Deep Packet Inspection (DPI) heeft geen aanwijzingen opgeleverd dat de wet wordt overtreden. KPN heeft geen inzicht in de inhoudelijke communicatie van haar klanten omdat de pakketten niet integraal worden opgeslagen. De OPTA concludeerde eerder dat KPN mogelijk de wet overtrad en het College Bescherming Persoonsgegevens (CBP) is nog bezig met haar onderzoek. Naast KPN maken ook Vodafone en T-mobile gebruik van DPI. Hiermee kunnen zij monitoren welke klanten veel data gebruiken en die eventueel extra belasten.

Lees ook het bericht op Webwereld.

Webwereld bericht dat het CBP onderzoek gaat doen naar de naleving van de privacywetgeving door aanbieders vaan regionale elektronische patiëntendossiers. De reden hiervoor is dat er op dit moment een wettelijke basis ontbreekt voor de opslag van persoonsgegevens in medische databases. Het is nog onduidelijk hoe het onderzoek eruit komt te zien, maar het gaat zeker dit jaar nog van start. De uitkomsten worden dan waarschijnlijk in 2012 verwacht.

Voorts wordt op 22 augustus meer bekend over de toekomst van het landelijke EPD. Dan komt Nictiz (Nederland ict-instituut) met haar definitieve advies aan de minister. Waarschijnlijk zal het LSP (landelijke schakelpunt) worden overgedragen aan de zorgsector. Het CBP is bij deze gesprekken betrokken.

Lees het oorspronkelijke bericht hier

Rechtbank Utrecht 20 juli 2011, LJN BR2611 (eiser tegen Nieuw Apostolische Kerk in Nederland)

De voorzieningenrechter veroordeelt een kerkgenootschap tot rectificatie van eerder op de website van het kerkgenootschap gedane uitingen jegens eiser. De voorzieningenrechter is van oordeel dat NAK door zonder toestemming van eiser informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens eiser heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door eiser gevorderde rectificatie tekst kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld

Op de website van gedaagde stond, o.m.:
 ... De werkwijze van de heer [eiser] was niet open en transparant, waardoor het vertrouwen van de kerk in de samenwerking met hem afnam. Hij probeerde zich in zijn werk aan controle door de kerkleiding te ontrekken.
De relatie tussen de heer [eiser] en de kerkleiding verslechterde in de eerste helft van 2009 steeds meer, hetgeen in juni 2009 tot een breuk in de samenwerking leidde. In september 2009 werd de heer [eiser] door de kerk ontslagen.

4.11.  De voorzieningenrechter is op grond van het voorgaande van oordeel dat NAK door zonder toestemming van [eiser] informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens [eiser] heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door [eiser] gevorderde rectificatie kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld. NAK zal daarom worden veroordeeld om na te melden verklaring op de homepage van haar website te plaatsen gedurende een periode van 4 na betekening van dit vonnis. De gevorderde dwangsom zal eveneens worden toegewezen met dien verstande dat deze wordt gematigd tot € 1.000,- per dag met een maximum van € 50.000,-.
De te plaatsen rectificatie luidt als volgt:
“Bij vonnis in kort geding van 20 juli 2011 is de Nieuw Apostolische Kerk in Nederland veroordeeld om de eerdere verklaring met betrekking tot de voormalig medewerker bouwafdeling van haar site te verwijderen omdat zij hiermee in strijd met artikel 8 Wet bescherming persoonsgegevens en daarmee onrechtmatig heeft gehandeld.
De kerkleiding”

Hoge Raad 5 juli 2011, LJN BQ2009 (ruchtbaarheid op Hyves)

Verdachte heeft cassatie ingesteld. Hof heeft overwogen dat er sprake is van opzettelijk eer en goede naam aanranden door ruchtbaarheid te geven aan bepaald feit door het plaatsen van tekst op Hyves. Tekst is hierdoor ter kennis gebracht aan breder publiek en heeft daardoor geen vertrouwelijk karakter. HR verwerpt beroep, meent dat oordeel Hof niet getuigt van onjuiste opvatting omtrent 261 Sr.

2.5. Het Hof heeft vastgesteld dat de verdachte op haar Hyves-pagina zichtbaar voor 20 à 25 andere personen de tekst heeft geplaatst "ik moet mijn kind meegeven aan een pedo", waarmee zij haar ex-partner bedoelde. Uitgaande van de maatstaf als hiervoor onder 2.4.2 weergegeven, heeft het Hof geoordeeld dat de verdachte aldus haar ex-partner opzettelijk in zijn eer en goede naam heeft aangerand door telastlegging van een bepaald feit met het kennelijke doel om daaraan ruchtbaarheid te geven. Daarbij heeft het Hof in aanmerking genomen dat de in de bewezenverklaring genoemde uitlating niet te vergelijken is met informatie die in de beslotenheid van de huiskamer aan een beperkte kring geadresseerden wordt toevertrouwd en dat het in het onderhavige geval, waarin de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken, voor de verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid. Het oordeel van het Hof getuigt niet van een onjuiste opvatting omtrent art. 261 Sr, terwijl het evenmin onbegrijpelijk is. Het middel faalt.

Lees het gehele arrest hier (link / pdf)

Toestemming van degene wiens gegevens worden verwerkt, is een kernbegrip bij de bescherming van persoonsgegevens. Maar wanneer is toestemming vereist? En aan welke voorwaarden moet toestemming voldoen om geldig te zijn? Dat is niet altijd duidelijk. Tegelijkertijd is het belang van toestemming evident. De verwerking van persoonsgegevens speelt immers een prominente rol in de huidige samenleving – zowel in de digitale als in de ‘normale’ wereld. Daarom hebben de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, in een gezamenlijke opinie de criteria voor toestemming in het huidige juridische kader uitgelegd en doen zij verschillende aanbevelingen voor de toekomst.

Een paar van de conclusies (blz. 34 e.v.):

"Individuals who have consented should be able to withdraw their consent, preventing further processing of their data."

"Consent must be specific. Blanket consent without determination of the exact purposes does not meet the threshold. Rather than inserting the information in the general conditions of the contract, this calls for the use of specific consent clauses, separated from the general terms and conditions."

"Consent must be informed. [...] The use of overly complicated legal or technical jargon would not meet the requirements of the law. Second, the information provided to users should be clear and sufficiently conspicuous so that users cannot overlook it. The information must be provided directly to individuals. It is not enough for it to be merely available somewhere."

"express consent cannot be obtained by the presence of a pre-ticked box."

U vindt de opinie hier (pdf) of hier (link).

Zie het oorspronkelijke bericht op de site van het College bescherming persoonsgegevens hier.

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens. 

Consultatie door de Europese Commissie in verband met datalekken. Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

Het persbericht:

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens

Brussel, 14 juli 2011 – De Europese Commissie vraagt telecomexploitanten, aanbieders van internetdiensten, lidstaten, nationale toezichthouders voor gegevensbescherming, consumentenorganisaties en andere belanghebbenden of aanvullende praktische regels nodig zijn om ervoor te zorgen dat inbreuken op de beveiliging van persoonsgegevens overal in de EU consequent worden gemeld. Volgens de herziene ePrivacy-richtlijn (2009/136/EG), die op 25 mei 2011 in werking is getreden als onderdeel van een pakket nieuwe Europese telecomregels, zijn exploitanten en internetaanbieders verplicht de nationale autoriteiten en hun klanten onverwijld op de hoogte te brengen van inbreuken op de beveiliging van gegevens die zij bezitten (zie IP/11/622 en MEMO/11/320). De Commissie wil op basis van de bestaande praktijk en de aanvankelijke ervaring met de nieuwe telecomregels meningen en ideeën verzamelen en kan dan aanvullende praktische regels voorstellen om te verduidelijken wanneer deze inbreuken moeten worden gemeld en welke procedures en formaten daarbij moeten worden gebruikt. Bijdragen voor de raadpleging worden ingewacht tot 9 september 2011.

Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

In de raadpleging wordt gevraagd naar input over de volgende specifieke onderwerpen:

• Omstandigheden: de manier waarop organisaties de nieuwe verplichting van de telecomregels naleven of hoe zij van plan zijn dit te doen; het soort inbreuken dat moet leiden tot toepassing van de verplichte kennisgeving aan de abonnee of de persoon en voorbeelden van beschermingsmaatregelen die gegevens onbegrijpelijk kunnen maken

• Procedures: de deadline voor de kennisgeving, de wijze van kennisgeving en de procedure voor een individueel geval

• Formaten: de inhoud van de kennisgeving aan de nationale autoriteit en aan de persoon, bestaande standaardformaten en de haalbaarheid van een Europees standaardformaat.

Daarnaast wil de Commissie meer vernemen over grensoverschrijdende inbreuken en de naleving van andere Europese verplichtingen met betrekking tot beveiligingsinbreuken.

Achtergrond

Telecomexploitanten en internetdienstenaanbieders bezitten een reeks gegevens over hun klanten, zoals naam, adres en bankgegevens, alsook informatie over telefoonnummers en bezochte websites. Volgens de ePrivacy-richtlijn zijn telecomexploitanten en internetdienstenaanbieders verplicht deze gegevens vertrouwelijk en veilig te bewaren. Het gebeurt echter dat gegevens gestolen worden of dat personen op ongeoorloofde wijze toegang daartoe verkrijgen. Dergelijke gevallen zijn bekend als 'inbreuken op persoonsgegevens'. Wanneer een inbreuk op persoonsgegevens plaatsvindt, vereist de herziene ePrivacy-richtlijn (2009/136/EC) dat de aanbieder dit meldt aan een specifieke nationale autoriteit, gewoonlijk de nationale autoriteit voor gegevensbescherming of de telecomtoezichthouder. Zo moet de aanbieder de betrokken persoon rechtstreeks op de hoogte brengen.

Om te zorgen voor consistente uitvoering van de regels inzake inbreuken op persoonsgegevens in alle lidstaten kan de Commissie volgens de ePrivacy-richtlijn 'technische uitvoeringsmaatregelen' nemen – dit zijn praktische regels ter aanvulling van de bestaande wetgeving – over de omstandigheden, het formaat en de procedures voor de kennisgeving.

Volgende stappen

Als de Commissie op basis van de ontvangen bijdragen besluit technische uitvoeringsmaatregelen vast te stellen, moet zij het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de Groep gegevensbescherming artikel 29 en de Europese Toezichthouder voor gegevensbescherming (EDPS) raadplegen. Toezichthouders voor elektronische communicatie worden ook geraadpleegd omdat zij in sommige lidstaten de bevoegde autoriteit voor inbreuken op persoonsgegevens zijn.

In dat geval nemen de technische uitvoeringsmaatregelen de vorm aan van een besluit van de Commissie dat in de 'regelgevende comitologieprocedure' wordt vastgesteld. Volgens deze procedure moeten lidstaten de voorstellen van de Commissie eerst goedkeuren in het comité voor communicatie (COCOM). Het Europees Parlement heeft daarna drie maanden om de maatregelen te toetsen voordat zij in werking treden.

Deze raadpleging staat los van de stappen die ondernomen worden (zie IP/10/1462 en MEMO/10/542) om de algemene gegevensbeschermingsrichtlijn (95/46/EG) te herzien.

Meer informatie

Het document voor de raadpleging is beschikbaar op:

https://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Website van de Digitale agenda: https://ec.europa.eu/digital-agenda

Website van Neelie Kroes: https://ec.europa.eu/commission_2010-2014/kroes/