Privacy een persoonlijke benadering

33
Een persoonlijke benadering Jan Mendrik februari 2013 [email protected] 1

Transcript of Privacy een persoonlijke benadering

Een persoonlijke benadering

Jan Mendrik – februari 2013

[email protected]

1

Privacy – wat is het?

Waar maak ik mij zorgen om?

Is het zo erg? Ik heb toch niets te

verbergen…

De praktijk

Wat doet de overheid?

Afweging: wat wil ik en waar sta ik?

Wat kan je zelf doen?

2

3

Privacy is the ability of an individual to be left

alone, out of public view, and in control of

information about oneself

Verdrag van Rome (1950):

Article 8 – Right to respect for private and family life

Everyone has the right to respect for his private and family life, his home

and his correspondence.

There shall be no interference by a public authority with the exercise of this

right except such as is in accordance with the law and is necessary in a

democratic society in the interests of national security, public safety or the

economic well-being of the country, for the prevention of disorder or crime,

for the protection of health or morals, or for the protection of the rights and

freedoms of others.

http://www.edps.europa.eu/EDPSWEB/edps/lang/en/EDPS/Dataprotection/Glossary/pid/84

4

Privacy is een basiswaarde, een

mensenrecht

Maar het is sterk afhankelijk van cultuur en

omstandigheden

Nu actueel door technologie: internet,

media, telefoontaps, camera’s etc.

Actueel: veiligheid vs privacy

5

7

Ik wil graag vrijheid houden over mijzelf en niet zonder mijn instemming worden beïnvloed door anderen

• Ik weet niet welke informatie anderen van mij hebben

• Anderen kunnen misbruik maken van informatie over mij (valse financiële transacties, ongewenste reclame, …)

• Mensen met een andere moraal of andere belangen kunnen mijn daden verkeerd uitleggen (b.v. moslimfilmpje)

• Ik kan ten slachtoffer vallen aan valse verdenkingen, met name van de overheid

Met name de overheid is een risicofactor

• Verzamelt veel persoonsinformatie

• Gaat soms achteloos om met informatie

• Doet aan profiling: niet standaard gedrag is verdacht

• Huidige democratische overheid is wel OK maar wat als het tij om slaat; of hoe zit het met informatieoverdracht naar

minder betrouwbare overheden?

• Maar: de overheid kan ver gaan. Onder het argument van terrorismedreiging of dreiging van georganiseerde misdaad

pikt de volksvertegenwoordiging heel veel. B.v. voorstel van min. Opstelten voor kijken in computers (1)

• Soms invloed van overheden met gevolgen voor hun onderdanen. Voorbeelden: patriot act VS (2); Iran (3), China (4),

vaak met westerse technologie (5)

(1) http://www.rijksoverheid.nl/nieuws/2012/10/16/opstelten-wil-opsporing-op-internet-versterken.html en http://www.kennislink.nl/publicaties/minder-privacy-minder-cybercriminaliteit

(2) http://www.van-doorne.com/Global/Publicaties/2012/AG%20-%20USA%20Patriot%20Act%20Haaks%20op%20privacywetgeving%20EU_24%20mei%202012.PDF

(3) https://www.security.nl/artikel/38403/1/Iraanse_dissidenten_doelwit_DigiNotar-hacker.html

(4) http://georgeknightlang.wordpress.com/2012/04/23/censuur-in-china-door-verkoop-westerse-technologie/

(5) http://www.express.be/business/nl/technology/welke-westerse-bedrijven-voorzagen-libie-en-co-van-spionagetechnologie/151852.htm

8

Maar ook het bedrijfsleven gaat ver

• Lekken klantgegevens

• Onzorgvuldige certificaten (Diginotar incident)

• Op basis van medische of financiële gegevens kunnen banken of verzekeringen mij

wellicht weigeren

Techniek maakt steeds meer mogelijk

• Zeer veel gegevens liggen vast in databases (wordt daar zorgvuldig mee omgegaan en

wie bewaakt de toegang?), tappen telefonie en internet, mobieltje als tracker

(plaatsbepaling), cloud (je hebt zelf niet het beheer over wie er bij je data kunnen),

bodyscan of laserscan op luchthavens, cameratoezicht overal, etc.

Wat zijn de positieve aspecten als anderen veel van je weten?

• Menselijk medeleven,

• Op maat gesneden commerciële aanbiedingen,

• Misdaadbescherming en bestrijding door de overheid,

• Medische bestanden bij de hand als het nodig is (EPD),

• En ook democratische controle: verzoeken ihkv de Wet Openbaarheid van Bestuur,

cameraregistratie van misdragingen van politie, …

9

Ik heb toch niets te verbergen …

10

11

Op welke politieke partij stem je?

Wat verdien je per maand?

Wat staat er op je spaarrekening?

Hoe vaak heb je sex?

Wat doe je dan precies?

Met hoeveel partners heb je sex gehad?

Hoe vaak masturbeer je?

Wat voor medicijnen gebruik je?

Wat voor lichamelijke / geestelijke aandoeningen heb je

Hoe was je kindertijd?

Waar ben je verslaafd aan?

Ben je wel eens bij een psychiater of psycholoog geweest, zo ja, waarom?

Wat voor websites bezoek je allemaal?

Wat staat er in je testament?

Heb je een Hyves account? Zo ja, is het besloten? Zo ja, waarom?

Doe je 's avonds de gordijnen dicht?, zo ja, waarom?

Overgenomen uit:

http://www.security.nl/artikel/35027/1/Ik_heb_toch_niets_te_verbergen_-_checklist.html

12

13

Politie

• Afluisteren Telefoon en Internet (met toestemming officie van justitie)

Cameratoezicht

• In steden wordt op grote schaal cameratoezicht toegepast.

• Aan de hand van gezichtsherkenning worden ongewenste personen in openbaar vervoer of stadions opgespoord

BSN (Burger Service Nummer)

• Al uw persoonsgegevens bij de overheid en een deel van uw gegevens bij werkgevers, zorginstellingen en in het onderwijs worden aan dit ene nummer gekoppeld

EPD (Elektronisch Patiënten Dossier)

• Het EPD is een virtueel dossier dat het uitwisselen van medische gegevens eenvoudiger maakt. Een actueel patiëntendossier is dan vanuit het hele land in te zien.

Het systeem laat echter toe dat ook zorgverleners waarmee u geen behandelrelatie heeft uw medische gegevens zouden kunnen inzien.

Klantgegevens

• Klantenkaarten zijn een belangrijk middel om meer te weten over bestaande klanten en wat ze kopen. Met een elektronische klantenkaart kan op eenvoudige wijze

bij het afrekenen worden opgeslagen wat u precies gekocht heeft.

• Met behulp van cookies is na te gaan in welke onderwerpen van een website u geïnteresseerd bent.

Passagiersgegevens

• Europese luchtvaartmaatschappijen zijn verplicht passagiersgegevens te verstrekken aan de Verenigde Staten (VS). De VS heeft deze maatregel getroffen om de

grenscontroles te verscherpen ten einde mogelijk terrorisme te kunnen voorkomen en bestrijden.

Telecom

• Met een mobiele telefoon bent u overal bereikbaar. Dat kan omdat de telefoon doorgeeft via de dichtstbijzijnde zendmasten aan de centrale waar u bent. Dat

gegeven biedt ook allerlei mogelijkheden om u direct reclame of reisinformatie te sturen die voor die locatie bruikbaar is. Locatiegegevens zijn ook interessant voor

de politie.

De zogenaamde verkeersgegevens van mobiele en vaste telefoons ( met wie hoe lang, hoe laat enz.) geven nog veel meer informatie over iemands privéleven.

Internet

• Persoonsgegevens worden op heel veel manieren op internet gepubliceerd: via een website, in een discussieforum of in een weblog. Publicaties op internet zijn

over het algemeen wereldwijd vierentwintig uur per dag toegankelijk voor een omvangrijk en divers publiek. Als u uw gegevens op internet plaatst, staat u er dan bij

stil dat uw gegevens jaren later nog vindbaar zijn.

Verkeersgegevens

• Uw reisgedrag wordt meer en meer geregistreerd. Deze informatie kan bijvoorbeeld gebruikt worden voor reclame, het geven van reisinformatie of voor opsporing.

Via de OV-chipkaart is van iedere reiziger in het openbaar vervoer precies bekend hoe en wanneer hij reist.

• Ook uw auto kan precies gevolgd worden. Kentekens van langsrijdende auto’s worden nu al door de politie gescand en vergeleken met lijsten van gestolen auto’s,

mensen met openstaande boetes of belastingschuld.

14

Camera’s tussen Den Haag Stion HS en Den Haag centrum (Schedeldoekshaven)

15

16

Bron: http://www.ioverheid.nu/rapport.html

Wetgeving (EU en Nl): best goed!Privacy waakhond College Bescherming

Persoonsgegevens (CBP): behoorlijk actiefControle door politieke partijen? Er valt wat te

kiezen

Maar overheden zijn er wel erg op uit om voor zichzelf een inkijkfunctie te hebben in gegevens van personen (1)

(1) http://www.refdag.nl/nieuws/buitenland/itu_legt_standaarden_vast_voor_deep_packet_inspection_1_698011 en http://www.rijksoverheid.nl/nieuws/2012/10/16/opstelten-wil-opsporing-op-internet-versterken.html

17

18

Doelbinding (WBP: artikel 9)

Bij het verzamelen van persoonsgegevens moet het duidelijk zijn met wat voor doel dat gebeurt. Er mogen niet meer

gegevens verwerkt worden dan strikt noodzakelijk is.

Rechtmatigheid

Dit houdt allereerst in dat gegevens op een behoorlijke, zorgvuldige en legale manier verwerkt worden.

Proportionaliteit

De privacyinbreuk moet evenredig zijn, in verhouding met het beoogde doel waarvoor wordt verwerkt.

Subsidiariteit

Verwerking is alleen toegestaan indien het verwerkingsdoel niet op een andere (minder belastende) wijze kan worden

bereikt.

Transparantie (WBP: artikel 35)

De betrokkene heeft recht op informatie als er persoonsgegevens van hem worden verwerkt. De verantwoordelijke moet

hem onder andere laten weten wie hij is en wat voor gegevens hij waarvoor verwerkt.

Meldingsplicht (WBP: artikel 27)

Alle verwerkingen van persoonsgegevens moeten worden gemeld bij het College bescherming persoonsgevens (CBP).

Een groot aantal maatschappelijk bekende en geaccepteerde verwerkingen zijn echter vrijgesteld van artikel 27.

Zo mag een kerkgenootschap zijn leden administreren. In het vrijstellingsbesluit is vastgelegd in welke situaties

het vrijstellingsbesluit geldt.

http://wbpers.weebly.com/uitgangspunten.html

19

Bewaartermijn (WBP: artikel 10)

De organisatie mag de gegevens niet langer bewaren dan noodzakelijk voor de verwerking of om aan

wettelijke eisen te voldoen.

Beveiligingsplicht (WBP: artikel 13/14)

Het nemen van passende technische en organisatorische maatregelen om het verlies van gegevens of

onrechtmatige verwerking tegen te gaan.

Ondubbelzinnige toestemming

De betrokkenen dient toestemming te geven voor het verwerken van gegevens: daarbij dient dus

sprake te zijn van wilsuiting, het vooraf informeren, het vrijwillig geven en de mogelijkheid tot

intrekking.

Hierop zijn een aantal uitzonderingen, zoals:

· De uitvoering van een overeenkomst (klant - leverancierrelatie).

· Wettelijke verplichting (zoals belastingdienst)

· Ter vrijwaring van vitale belangen (levensbedreigende situaties)

· Publiekrechtelijke taak

· Ter behartiging gerechtvaardigd belang

Nieuwe Europese regels: 2013, o.a. : “right to be forgotten” en gemakkelijker toegang tot je eigen

gegevens.

http://wbpers.weebly.com/uitgangspunten.html

20

21

In de Europese privacyrichtlijn – waarvan de Wet

Bescherming Persoonsgegevens een uitvloeisel is – is

voorzien in een toezichthoudende autoriteit in elke lidstaat.

Deze autoriteit dient zijn taak in volledige onafhankelijkheid

te vervullen. In Nederland is dat het CBP.

Taken en bevoegdheden CBP

1. toezicht;

2. advisering;

3. voorlichting, informatieverstrekking en verantwoording;

4. internationale taken.

htt

p://w

ww

.cbpw

eb.n

l/P

ages/h

om

e.a

spx

22

Veel diversiteit

23

Overgenomen van: http://digitalevrijheidswijzer.nl/

24

De wereld is niet zwart – wit

25

Geen enkel mens wil volledige privacy

Geen enkel mens wil volledige openheid

Maar waar sta ik?

26

-Mijn wil en wensen zijn niet bekend met anderen >

niemand zal rekening met mij houden.

-Ik ben vrij om te doen en te laten wat ik wil. Anderen

kunnen mij niets kwalijk nemen. Zij weten niet wat ik

doe/denk/waar ik ben.

-Waar mensen een beeld van mij hebben is dat een

fantasiebeeld.

-Alles is bekend. Mijn pincode, waar ik mijn

huissleutel bewaar, mijn adres, de plaats waar ik mij

op elk moment bevind, mijn lichamelijke en

geestelijke kwetsbaarheden, …

-Ik ben een open boek. Iedereen kan informatie van

mij gebruiken. Ten goede of ten kwade. Daar moet ik

anderen in vertrouwen.

-Ik moet voortdurend op mijn hoede zijn tegen

misbruik.

-Voor misdadigers ben ik een kwetsbaar slachtoffer.

-Voor de overheid is het duidelijk waar ik goed en

fout in handel. Belasting, politie/justitie etc.

-Medemensen kan ik niet tactisch benaderen,

rekening houdend met hun gevoeligheden: zij weten

wat ik weet en hoe ik er over denk.

-Het is gemakkelijk voor mensen om met mij mee te

leven. Van geestverwanten krijg ik veel support en

warme aandacht. Tegenstanders tonen hun

afwijzing.

Tussenvormen:

-Sommigen mogen alles van me weten,

anderen alleen bepaalde informatie

- Ik bepaal te allen tijde wie wat van mij

mag weten (afweging per geval) > veel

werk

-Ik conformeer me aan algemene regels

wie mag wat van mij weten en voor doel.

Uitzonderingen bepaal ik zelf. Ik wil wel

weten wie wat van mij weet.

•Volledige privacy

•Niets van mij bekend aan anderen

•Volkomen gesloten

•Volledige afwezigheid van privacy

•Alles van mij bekend aan anderen

•Volkomen open

Burka

Controlerende

overheid

Monster

van Loch Ness

KluizenaarParis Hilton

Theo van GoghProefdier in

laboratorium

Privacy Non-Privacy

Meeste

mensen

27

Wat wil ik als het gaat over: Volledige

privacy

Volledige

Afwezig-

heid

van

privacy

1 2 3 4 5

Mijn pincode x

Mijn naam en adres x

De plaats waar ik mij nu

bevind

x

Mijn banksaldo x

Waar ik mijn geld aan

besteed

x

Mijn politieke voorkeur x

Mijn seksuele geaardheid x

Details over mijn gezondheid x

Mijn religieuze opvattingen x

Hoe ik over jou denk x

28

Wat wil ik als het gaat over: Volledige

privacy

Volledige

Afwezig-

heid

van

privacy

1 2 3 4 5

Mijn pincode x

Mijn naam en adres x

De plaats waar ik mij nu

bevind

x

Mijn banksaldo x

Waar ik mijn geld aan besteed x

Mijn politieke voorkeur x

Mijn seksuele geaardheid x

Details over mijn gezondheid x

Mijn religieuze opvattingen x

Hoe ik over jou denk x

Mijn

vrouw

De

Over-

heid

Ieder-

een

Mijn

vrien-

den

29

30

Gevoelige

informatie

Ongevoelige

informatie

Wantrouwen Vertrouwen

Soms privé, soms open… Geen one size fits all.

Ik wil bepalen wie welke informatie van mij heeft: opt in; ook

v.w.b. de overheid.

En ik wil weten welke informatie iemand van mij heeft…

Overzicht, inzicht, recht op correctie.

En wat hij er mee doet / mag doen…

Er moeten maatregelen zijn tegen misbruik.

Ik wil er van af kunnen. Info moet gewist kunnen worden.

Ik kan dat niet allemaal zelf controleren en uitvoeren. De

overheid heeft daar een taak.

Maar ook de overheid moet weer gecontroleerd worden (b.v.

door burgerrechtenbewegingen zoals Bits of Freedom).

31

Op het gebied van digitale privacy• Bescherm je zelf (zie volgende sheet)

Alert burgergedrag • Stem op een partij met oog voor privacy

• Steun burgerbewegingen op het gebied van

privacy (Bits of Freedom, EFF etc.)

• …..

32

Overgenomen van Kashmir Hill (volg haar op twitter)

http://www.forbes.com/sites/kashmirhill/2012/08/23/10-incredibly-simple-things-you-should-be-doing-to-protect-your-privacy/

1. Password protect your devices: your smartphone, your iPad, your computer, your tablet,

etc.

2. Put a Google Alert on your name.

3. Sign out of Facebook, Twitter, Gmail, etc. when you’re done with your emailing, social

networking, tweeting, and other forms of time-wasting.

4. Don’t give out your email address, phone number, or zip code when asked.

5. Encrypt your computer.

6. Gmailers, turn on 2-step authentication in Gmail.

7. Pay in cash for embarrassing items.

8. Change Your Facebook settings to “Friends Only.”

9. Clear your browser history and cookies on a regular basis.

10. Use an IP masker.

33