Alstublieft mijnheer Altman, de gegevens van onze burgers

“Medewerkers van de gemeente Eindhoven hebben een datalek veroorzaakt door persoonlijke gegevens van inwoners en medewerkers te uploaden op openbare AI-websites. Het is voor de gemeente onduidelijk hoe groot het datalek is. Wel is duidelijk dat het veelal gaat om gegevens van kwetsbare inwoners.”

Het behelst “Jeugdwetdocumenten, interne verslagen en cv's. De documenten zijn met name afkomstig van afdelingen die te maken hebben met zorg en ondersteuning aan inwoners.

Dat bericht Omroep Brabant op grond van een brief aan de gemeenteraad van Eindhoven. De gemeente weet niet hoeveel data zijn verstrekt dus kan ze betrokkenen niet informeren.

DigiD heeft weinig te lekken

Journalisten zijn geneigd om alarmistisch te berichten, zeker als ze bevooroordeeld zijn. En kunnen dan tot een tunnelvisie geraken. Dat lijkt aan de hand te zijn met de verkoop van Solvinity door de Britse investeerder aan het grote Amerikaanse bedrijf Kyndryl.

In het vorige Privacyjournaal waren we gebleven bij een waarschuwend artikel in Follow the Money en de conclusie:

“In 2020 tekende Logius met Solvinity voor een periode van vier jaar, met de optie om die met twee keer twee jaar te verlengen. Dat betekent dat Logius kan gaan werken aan overdracht naar een andere partij in november 2026.”

Nadat eerder Logius, onderdeel van het ministerie van BZK, zelf al uitleg gaf over de overname, maar veel te summier, kwam afgelopen week staatssecretaris Eddie van Marum (BBB) met antwoorden op Kamervragen van Barbara Kathmann (GroenLinks-PvdA). De Amerikaanse cloud valt onder Amerikaanse wetgeving die ertoe kan leiden dat vorderingen voor data door Justitie toegang geven tot Nederlandse persoonsgegevens. Dat gebeurt dan in stilte en is het geval met heel veel applicaties.

Echter, DigiD is enkel een authenticatiedienst die zelf nauwelijks persoonsgegevens verwerkt. Dat wordt even glad vergeten door de boeroepers. Wat dan resteert is het uitzetten van DigiD op last van de heer Trump en consorten. Maar waarom zou de VS dat doen? Ja, het land heeft de toegang tot Microsoft mail van de Hoofdaanklager van het Internationaal Strafhof in Den Haag geblokkeerd. Daaruit leerden we dat Big Tech geregeerd wordt door windvanen die meebuigen met regimes. Maar dat wisten we wel.

In een artikel in NRC uit hoogleraar internetrecht Arno Lodder dus juridische zorgen en vindt het veiliger om belangrijke applicaties in Nederland te beheren. Echter, technisch expert Mendel Mobach, die met een beroep op de openbaarheid van bestuur inzage van Logius kreeg in de code van DigiD, noemt de voorziening  een

“redelijk hip en veilig inlogsysteem”.

Ronald Prins:

„Als Amerikanen bij informatie in Nederland willen, hebben ze DigiD niet nodig om erbij te kunnen.”

Dan blijft het bij, wat Lodder noemt

“geen heel prettig gevoel”

bij de verkoop van Solvinity aan Kyndryl.

Dus rest my case: te veel ophef, de verkoop van Solvinity aan Kyndryl is nu geen probleem, maar het is verstandiger om belangrijke overheidsapplicaties in Nederland onder te brengen. Als dat niet ten koste gaat van beveiliging, want daar zou de heer Poetin blij mee zijn. En hacken door de jongens en meisjes van Poetin en Xi vormt een veel groter risico dan dat Trump DigiD onklaar zou maken.  

Sakir Khader wil van etiket ‘terrorist’ verlost worden

De Palestijns-Nederlandse fotograaf en documaker Sakir Khader (foto boven) staat ten onrechte op een terroristenlijst van de FBI waardoor hij bij grensoverschrijding nagenoeg altijd uittentreure wordt gecontroleerd. Om daar af te komen, eist hij inzage in al zijn persoonsgegevens die het ministerie van Buitenlandse Zaken, inlichtingendiensten en politie vanaf 2012 met andere landen heeft gedeeld.

Dat bericht Will Thijssen in een verslag van de rechtszaak in de Volkskrant. Kader, bekende Nederlander na een uitzending van Zomergasten, maar bij de kenners geroemd vanwege geweldige foto’s voor hoofdzakelijk Magnum, en het winnen van de Zilveren Camera, heeft aanzienlijk last van de vermelding. Hij vreest bovendien dat wapensystemen van bijvoorbeeld Israël hem daarom letterlijk op de korrel kunnen nemen.

Khader is een van de tientallen Nederlanders die ten onrechte in de Terrorist Screening Database (TSDB) staan, zo schreef Follow the Money, maar niemand durft dit onder eigen naam aan te kaarten. Advocaten Tom de Boer en Emiel Jurjens van Prakken d'Oliveira treden in feite voor al deze personen op.

De krankzinnigheid van de onterechte vermeldingen zette niet reeds alle raderen van de Nederlandse overheid in beweging om er een einde aan te maken. De overheidsinstanties proberen overdracht van de geëiste persoonsgegevens tegen te houden, onder meer met een beroep op vertrouwelijkheid die noodzakelijk zou zijn in het internationale verkeer.

Nederland stemt in met vereenvoudiging AVG, na toets

Uit het verslag van de Europese vergadering van ministers van Justitie: “Lastenverlichting voor het bedrijfsleven, met name voor het MKB, is ook voor Nederland een prioriteit. Nederland sprak hiervoor steun uit, maar wees eveneens op het belang van zorgvuldigheid waar het gaat om mogelijke fundamentele aanpassingen van de AVG die gevolgen kunnen hebben voor het beschermingsniveau. Nederland gaf aan dat vereenvoudiging gepaard moet gaan met een impact assessment en advies van de Europese AP.

Ook andere lidstaten onderschreven het belang van vereenvoudiging voor het concurrentievermogen, met de kanttekening dat de basisprincipes van gegevensbescherming en grondrechten gewaarborgd moeten blijven.”

Echter, in een brief aan de Tweede Kamer van minister David van Weel van Justitie staat: “Alhoewel het kabinet veel aanpassingen binnen de omnibussen kan steunen, omdat deze in lijn zijn met de Nederlandse inzet, gaat een deel van de voorstellen in de Omnibus Digitaal en Omnibus AI verder dan het versimpelen, verduidelijken en stroomlijnen van wetgeving. In het bijzonder bij een aantal fundamentele wijzigingen aan de AVG heeft het kabinet serieuze zorgen, omdat deze wijzigingen het niveau van gegevensbescherming wezenlijk verminderen, zonder dat er sprake is van een effectieve bijdrage aan het verlagen van regeldruk.

Het kabinet zal opheldering vragen bij de Commissie en de gevolgen voor regeldruk, uitvoerbaarheid en bescherming van grondrechten verder in kaart te brengen voordat het tot een definitief oordeel komt op deze onderdelen. Het kabinet hecht er dan ook aan dat er in het bijzonder voor wijzigingen met impact op gegevensbescherming en grondrechten gelegenheid is om de voorstellen en de gevolgen daarvan gedegen te analyseren en deze inhoudelijk te bespreken. Het kabinet vindt daarnaast dat het nog te verschijnen advies van de Europees Toezichthouder voor gegevensbescherming (EDPS) al dan niet in samenspraak met Europees Comité voor gegevensbescherming (EDPB) moet worden betrokken bij de bespreking van dit voorstel.”

Dat laatste klinkt een stuk strenger. Deze brief geeft een aantal belangrijke details, nu te veel om op in te gaan, maar goed om in het oog te houden in 2026; werk aan de winkel.

AP haalt 175.000 euro uit het onderwijs

AP legt Hogeschool Arnhem (HAN) een boete van 175.000 euro op voor het overtreden van de AVG. De HAN meldde in 2021 een datalek bij de AP, nadat een hacker zich via een webformulier toegang verschafte tot een webserver en een databaseserver van de onderwijsinstelling. De hacker dreigde vervolgens de gegevens openbaar te maken en heeft bij de HAN (tevergeefs) losgeld geëist.

Na vier jaar (!) komt het tot een schikking. Niet het datalek zelf is reden voor de boete, maar de onvoldoende beveiliging van de servers wel, aldus het boetebesluit. En nog een moreel oordeel van daddy Aleid Wolfsen die zich tegenwoordig gaarne vergevingsgezind uitspreekt als je voor hem buigt:

“De AP waardeert het dat de HAN zich, vanuit de maatschappelijke rol als kennisinstelling, heeft ingezet en zal blijven inzetten om andere organisaties te laten leren van de gemaakte fouten. Zo heeft de HAN voorlichting gegeven aan andere organisaties. In het verlengde daarvan zal de HAN in 2026 een congres organiseren.”

AVG zit wellicht weer in de weg, nu met asielzoekers

De Tweede Kamer nam donderdag 18 december 225 unaniem een motie aan van Don Ceder (ChristenUnie) met een oproep aan het kabinet om te werken aan een juridische basis voor uitwisseling van informatie tussen partijen betrokken bij de opvang van asielzoekers. De AVG staat dit wellicht in de weg, zoals steeds vaker. Tekst:

“overwegende dat onder andere gemeenten en het COA aangeven dat het delen van gegevens van overlast gevende asielzoekers niet altijd gebeurt, doordat organisaties de AVG als te beperkend ervaren om dit te doen;

overwegende dat gegevensuitwisseling in het kader van veiligheid, handhaving en met onderlinge toestemming gerechtvaardigd is;

verzoekt de regering binnen vier maanden te realiseren dat alle COA-afdelingen, politie, gemeenten en andere relevante partijen gegevens kunnen delen met elkaar als het gaat om overlast gevende asielzoekers.”

Etnisch profileren mag niet, hoeveel wetten wil je hebben?

De Raad van State (RvS) adviseert negatief over een initiatiefwetsvoorstel van Mpanzu Bamenga (D66) en Willem Koops (voorheen NSC) voor een expliciet wettelijk verbod op etnisch profileren, op te nemen in de Algemene wet bestuursrecht en de Politiewet.

Het voorstel is louter symboolwetgeving, want ontbeert toegevoegde waarde ten opzichte van bestaande wetgeving. Kortom: ga aan je werk. Een verkeerde houding verander je trouwens niet met wetten.

Bamenga wilde een persoonlijke ervaring in wet omzetten. In 2018 pikte de Koninklijke Marechaussee hem uit een rij vanwege zijn huidskleur in een zoektocht naar een Nigeriaanse geldsmokkelaar, waarop een veroordeling volgde.

Out of the box: Willem Heemskerk

Willem Heemskerk, partner van landsadvocaat Pels Rijcken is door het Hof van Discipline tuchtrechtelijk veroordeeld vanwege schending van verschoningsrecht, als advocaat van het Openbaar Ministerie in de fraudezaak met vermogensbeheerder Box Consultants. Hij had vertrouwelijke e-mails gebruikt, hoofdzakelijk van Daan Doorenbos van Stibbe.

In de zaak legde de FIOD beslag op de mailserver van Box met vertrouwelijke correspondentie met advocaten. In weerwil van het verschoningsrecht wilde het OM die in 2015 gebruiken voor een tuchtklacht tegen een Stibbe-advocaat. Lekker doen joh, adviseerde Heemskerk, die er geen been in zag om de inhoud van de mails daartoe even te lezen. Het was tenslotte het OM.

Heemskerk heeft volgens het Hof van Discipline de onafhankelijkheid, integriteit en betamelijkheid van de advocatuur geschonden. Heemskerk erkende zijn fout later, en door die biecht ontloopt hij een schorsing. Eerder in deze zaak kreeg zijn kantoorgenoot Reimer Veldhuis een waarschuwing.

Ook laakt het Hof de houding van de topadvocaten die Heemskerk bijstonden, Croiset van Uchelen, Perrick en Lemstra, maar formuleert dat niet helder. “Het hof constateert dat de gemachtigden van verweerder zich tot en met de spreekaantekeningen in hoger beroep op het standpunt zijn blijven stellen dat verweerder kennis mocht nemen van de e-mails… Deze processuele houding getuigt van een tekortschietend inzicht in met name de kernwaarde onafhankelijkheid.”

‘TikTok volgt je winkelgedrag en dating’

Waar zou de databescherming zijn zonder die rakkers van Noyb in Wenen? Ze overdrijven vaak, maar zijn wel de Europese luis in de pels van Big Tech. Nu is TikTok aan de beurt voor een schrobbering:

TikTok volgt zijn gebruikers in de apps op het platform, zoals met het gebruik van Grindr op de telefoon. Bovendien weigert TikTok volgens Noyb om te voldoen aan het inzagerecht. Daarom heeft Noyb twee klachten ingediend, tegen TikTok, AppsFlyer en Grindr voor het delen van gegevens en tegen TikTok vanwege overtreding van de regels voor inzage.

Een gebruiker kwam achter de tracking van Grindr-gebruik via TikTok, waarschijnlijk via het Israëlische trackingbedrijf AppsFlyer. Hierdoor kan TikTok conclusies trekken over zijn seksuele geaardheid en seksleven, bijzondere persoonsgegevens. AppsFlyer noch Grindr hebben een geldige rechtsgrondslag conform de AVG om de persoonsgegevens met derden zoals TikTok te delen.

TikTok schendt bovendien volgens Noyb het recht van gebruikers op een kopie van de verwerkte gegevens. TikTok verwijst naar een ‘downloadtool’, maar verschaft daarmee louter de door haar ‘relevant’ geachte persoonsgegevens.

‘TikTok voedt Chinese databanken’

Europa heeft de handen vol aan het Chinese cynisme met persoonsgegevens. De AP meldt TikTok blijft voorlopig data van gebruikers naar onder meer China sturen. TikTok heeft het verbod daartoe van de Europese toezichthouders aangevochten bij de Ierse rechter, gaat uit van een opschortende werking en blijft data naar het rijk van Xi sturen.

“De AP roept gebruikers en organisaties op om goed na te denken of zij gebruik willen blijven maken van TikTok…Gebruikers hebben dan vaak weinig controle over wat er met hun gegevens gebeurt. Wij vinden dat mensen en organisaties zich serieus moeten afvragen of zij dit willen accepteren.”

De AP maant de jongelui ook: “Lees de melding en de privacyverklaring van TikTok goed door.” Zonder ze te verwijzen, want de AP weet wel dat niemand daar tijd aan gaat besteden. Maar het kan hier in het Nederlands.

Het gaat dus om het hoofdstuk “Onze wereldwijde activiteiten en gegevensdoorgifte”:

“We slaan de gegevens op servers in de Verenigde Staten, Maleisië en Singapore op.”Dan moet je doorklikken om erachter te komen welk “bepaalde entiteiten in onze Bedrijvengroep, die zich buiten je woonland bevinden…beperkte toegang op afstand tot deze gegevens [krijgen] zodat ze bepaalde functies kunnen uitvoeren…Deze toegang is beperkt en beveiligd en wordt alleen waar nodig verleend onder strikte veiligheidscontroles en autorisatieprotocollen.”

“Bepaalde entiteiten van onze Ondernemingsgroep gevestigd in Canada, UK, Israel, Japan en South Korea [SIC] krijgen beperkte toegang op afstand tot de informatie beschreven in "Welke informatie wij verzamelen" om belangrijke functies uit te voeren. Wij vertrouwen op de adequaatheidsbesluiten van de Europese Commissie (of gelijkwaardige besluiten krachtens andere wetgeving) om deze entiteiten toegang op afstand te verlenen.

Aan bepaalde entiteiten van onze Ondernemingsgroep die gevestigd zijn in landen zonder een adequaatheidsbesluit, wordt, krachtens standaardcontractbepalingen, beperkte toegang op afstand verleend tot informatie zoals beschreven in 'Welke informatie wij verzamelen' om belangrijke functies uit te voeren. Deze entiteiten bevinden zich in Australië, Brazilië, China, Maleisië, de Filippijnen, Singapore en de Verenigde Staten.”

Kortom, de jongens en meisjes die graag tiktokken allemaal die te complexe verklaring laten lezen is volstrekte onzin. Het is de taak van de AP om dat heel eenvoudig te vertalen en te waarschuwen wat het probleem precies is. En dan nog is het gevolg dat het niemand een bal interesseert wat er met persoonsgegevens gebeurt. Maar aan die onverschilligheid valt niet veel te doen. Het is de graag door gebruikers betaalde prijs.