Den Haag, 2 juli 2018

Geachte minister Hoekstra,

Onlangs gaf u een voorstel in consultatie waarmee overheidsinstanties, waaronder opsporingsinstanties, makkelijker toegang krijgen tot identificerende gegevens bij banken.

Uit zowel het voorstel als uit de toelichting wordt duidelijk dat niet wordt onderkend dat het digitaal ontsluiten van gegevens een veel grotere impact op privacy van mensen heeft dan een handmatig proces. De indruk wordt gewekt alsof in de praktijk geen verschil maakt. Maar handmatig door een kaartenbak zoeken is echt wat anders dan digitale zoekopdrachten in de administratiesystemen van alle banken.

In algemene zin valt op dat het wetsvoorstel onnodig ruim is geformuleerd en de toelichting waarom dit noodzakelijk is ontbreekt. Veel waarborgen voor zorgvuldige omgang met de privacy van burgers zijn niet of onvoldoende ingevuld.

Hieronder treft u onze aanbevelingen voor dit voorstel aan.

1. Onderschat de privacy impact niet

U schrijft in de Memorie van Toelichting (MvT): "Het wetsvoorstel heeft geen directe gevolgen voor burgers. Gegevens die nu handmatig opgevraagd kunnen worden, kunnen dat straks via het portaal."

Dit is een flinke onderschatting van de overgang van het "veelal handmatig en op individuele basis" opvragen van gegevens naar een geautomatiseerd proces. De laatste gepubliceerde gegevens over het aantal opvragingen dateren uit 2008 en spreken over 6000 vorderingen op basis van artikel 126nc Sv en 7000 op basis van artikel 126nd Sv.

Een vergelijkbaar systeem voor het opvragen van identificatiegegevens is het CIOT-systeem. Het gaat dan om identificerende gegevens bij telecombedrijven. Daar gebeurt de bevraging al geautomatiseerd wat leidt tot ruim 2 miljoen raadplegingen per jaar.

Het enorme verschil in aantallen geeft precies het verschil aan tussen een handmatig proces op individuele basis en een geautomatiseerd proces.

Onderkend zou moeten worden dat dit wetsvoorstel mogelijk leidt tot een explosieve groei in het aantal bevragingen en dat dit dus een navenant grote impact op de privacy van burgers heeft. Het wetsvoorstel dient daarom stevige criteria en waarborgen te bevatten om deze grotere inbreuk op de privacy tot het strikt noodzakelijke te beperken.

Volgens de toelichting is er al een Privacy Impact Assessment uitgevoerd. Deze PIA is niet bijgevoegd, maar duidelijk is wel dat de uitgevoerde PIA de grote gevolgen voor privacy niet heeft onderkend. Het is aan te bevelen een nieuwe PIA uit te laten voeren door een onafhankelijke deskundige partij.

^top

2. Onderbouw of dit systeem wel noodzakelijk is

Dit voorstel betekent een nieuwe verwerking van persoonsgegevens en heeft een aanmerkelijke impact op de privacy van mensen. Privacy is een fundamenteel mensenrecht dat is vastgelegd in de Nederlandse Grondwet en het Europees Verdrag voor de Rechten van de Mens. Dit grondrecht mag alleen ingeperkt worden als dat noodzakelijk en proportioneel is.

In de toelichting bij het voorstel is niet onderbouwd dat deze nieuwe verwerking noodzakelijk en proportioneel is. Er is geen inschatting gegeven van het aantal bevragingen straks. Er zijn geen cijfers of inzicht gegeven over de huidige bevragingen.

Vooralsnog lijkt het voorstel vooral ingegeven omdat het handiger is voor opsporingsinstanties om geautomatiseerd gegevens bij banken op te kunnen vragen. Alleen het gegeven dat iets handig is, rechtvaardigt op geen enkele manier een inperking van het fundamentele recht op privacy van mensen.

De minister stelt dat een verwijzingsportaal noodzakelijk is omdat dat in de vierde anti-witwasrichtlijn (2015/849) zou staan. In overweging 57 van die richtlijn wordt slechts aangegeven dat opsporingsinstanties "via beveiligde en vertrouwelijke kanalen volledige en tijdige toegang" tot gegevens moeten krijgen. Dit zegt niets over de mate waarin dat geautomatiseerd moet gebeuren met een verwijzingsportaal. Een verwijzing naar deze richtlijn alsof dit wetsvoorstel een verplichting zou zijn, is niet correct.

Daarnaast gaat de vierde anti-witwasrichtlijn alleen en uitsluitend over de financiële opsporing tegen witwassen. In artikel 41 van de anti-witwasrichtlijn staat nadrukkelijk dat gegevens "alleen verwerkt [worden] met het oog op het voorkomen van witwassen en terrorismefinanciering". Dat er in verband met deze richtlijn voor één specifieke situatie een systeem wordt ingericht is onvoldoende onderbouwing om dat systeem dan ook voor andere opsporingsinstanties open te zetten.

Voor elke toegang van opsporingsinstanties en elke grondslag zal duidelijk moeten worden wat de impact is en hoe noodzakelijk het is om daarvoor een geautomatiseerd zoeksysteem in de persoonsgegevens bij financiële instellingen te geven.

^top

3. Baken op te vragen gegevens af

Volgens artikel 3:267i van het voorstel kunnen "bij algemene maatregel van bestuur [..] identificerende gegevens" worden aangewezen. Dit is onnodig ruim geformuleerd en werkt bovenmatig gegevens verzamelen in de hand. Het maakt het onmogelijk om goed te controleren dat slechts gegevens voor concrete doelen worden opgevraagd na een afweging van noodzaak, proportionaliteit en subsidiariteit. Ook is het in strijd met de privacyregel dat niet méér gegevens verzameld mogen worden dan strikt noodzakelijk.

De (categorieën van) te verstrekken gegevens evenals de doelen waarvoor deze mogen worden gebruikt horen concreet in de wet zelf te worden vastgelegd. Ter vergelijking: voor het CIOT-systeem waarmee identificerende gegevens bij telecombedrijven opgevraagd kunnen worden, zijn de bedoelde gegevens in de wet zelf opgesomd in artikel 13.4 Tw.

Door de te verstrekken gegevens in de wet zelf op te nemen wordt tegengegaan dat te gemakkelijk dit systeem ook voor andere gegevens en andere doeleinden wordt gebruikt zonder dat dat wordt besloten in het parlement. Slechts de technische uitvoering van het opvragen van gegevens zou in een Algemene Maatregel van Bestuur nader uitgewerkt kunnen worden.

^top

4. Voeg uiterste zoekperiode toe

In het voorstel wordt niet gesproken over de periode waarin teruggezocht mag worden of historische identificatiegegevens mogen worden opgevraagd. Als identificerende gegevens worden opgevraagd zal op het opvragingsbevel zijn aangegeven van welk moment de identificatie wordt opgevraagd. Hiervoor behoort een maximale termijn in het wetsvoorstel te worden opgenomen. Een periode van maximaal vier weken waarin mag worden teruggekeken zou aansluiten bij andere vergelijkbare systemen, zoals het register met kentekens van de ANPR-camera's.

^top

5. Neem autorisatie en logging in wetsvoorstel op

De toelichting op het gebied van autorisatie is summier. Het is aan te bevelen in de wet zelf op te nemen dat toegang alleen voor geautoriseerde medewerkers geldt die door de minister aangewezen worden.

Over het loggen van het gebruik van het systeem wordt niets gezegd. Achteraf moet teruggekeken kunnen worden op welke grond door wie welke zoekopdracht is geplaatst. Dat maakt controle van het rechtmatige gebruik van het systeem mogelijk en geeft ook noodzakelijke informatie voor een evaluatie van het systeem en de jaarlijkse rapportage (zie punt 8). De verplichting tot het loggen van het gebruik zou in de wet zelf bepaald moeten worden en in de toelichting en de AMvB nader worden ingevuld.

^top

6. Geef Tweede en Eerste Kamer inspraak

Zoals bij punt 3 geconstateerd, worden de op te vragen gegevens met een AMvB aangewezen. Dit maakt sluipenderwijs uitbreiding van de gegevensset mogelijk.

Op zijn minst zou een inspraakprocedure ingesteld moeten worden voor wijzigingen in de AMvB zodat het parlement zicht houdt op de wijzigingen die de minister wil doorvoeren en kan ingrijpen als het parlement dat nodig acht. Deze inspraakprocedure bestaat ook bij de AMvB van het vergelijkbare CIOT-systeem.

^top

7. Creëer onafhankelijk toezicht

Vanwege de grootschalige opzet van dit systeem met naar verwachting het grootschalige gebruik, zal er onafhankelijk toezicht dienen te komen. Het gaat dan niet om toezicht van de DNB over de financiële kant maar om toezicht op het navolgen van de privacyregels om oneigenlijk gebruik van het systeem te voorkomen. Ook het gebruik van het systeem door andere opsporingsinstanties, waaronder de politie, maakt een breder toezicht specifiek op de omgang met persoonsgegevens noodzakelijk.

Wij wijzen nadrukkelijk op de onafhankelijkheid van het toezicht en adviseren daarom dit toezicht ook buiten de ministeries te plaatsen, bijvoorbeeld bij de Autoriteit Persoonsgegevens aangezien zij dé toezichthouder op het gebied van bescherming van persoonsgegevens zijn.

Bij het wetsvoorstel dient in een financiële paragraaf voldoende budget beschikbaar te worden gesteld om dit toezicht naar behoren uit te kunnen voeren.

^top

8. Rapporteer jaarlijks over het gebruik

Er zou jaarlijks gerapporteerd dienen te worden over het gebruik van dit systeem. Dit is onder andere in lijn met artikel 44 van de anti-witwasrichtlijn waarin verplicht wordt gesteld om uitgebreide statistieken bij te houden over "de doeltreffendheid" van het systeem. Over onder meer "het aantal meldingen en het percentage van de meldingen die geleid hebben tot verder onderzoek, samen met het jaarlijks rapport aan de meldingsplichtige entiteiten waarin nader wordt ingegaan op het nut en de opvolging van de door hen verrichte meldingen" zal gerapporteerd moeten worden.

Ter vergelijking: over het aantal bevragingen van het CIOT-systeem wordt jaarlijks gerapporteerd.

^top

9. Voeg een evaluatie- en horizonbepaling toe

Omdat er sprake is van een voorstel met naar verwachting een grote impact op de privacy van mensen dient er een evaluatie- en horizonbepaling opgenomen te worden. Na een bepaalde periode zal dan met een verplichte evaluatie aangetoond moeten worden dat de voorgestelde maatregelen effectief, noodzakelijk en proportioneel zijn gebleken voordat de maatregelen verlengd kunnen worden.

^top

Vriendelijke groet,
Privacy Barometer

 

 

reacties

Tja,ik ben tegen die wet,want er kan daadwerkelijk alles worden uitgelezen,wie wat waar heeft gekocht,of aan wie hij geld heeft overgemaakt naar andere bekende,stel hij heeft een ijsje of een bezorgde pizza voorgeschoten bij just Eat,en jij betaald hem terug. Zo wordt er ingebroken op de privacy van een individu,en dat mag niet volgens de privacywet. Op die manier kan de complete leefwijze van een individu ook in kaart worden gebracht. In Verdachte gevallen mag alleen de geheimedienst,dit. Geen andere diensten hoeven alles te weten,er is lang nog niet voldoende toezicht of alle privacy kan worden gewaarborgd,hoeveel gegevens komen er nog op straat te liggen?,nou dat zullen er vast nog wegens misstappen te veel zijn.

Voeg zelf uw reactie toe:

naam: 
reactie: 
0/1500
 

Deel deze pagina via:

19-03-19

Registratie gegevens vliegtuigpassagiers voor opsporing waarschijnlijk in strijd met wet

Het wetsvoorstel (toelichting) van minister Grapperhaus (CDA) om gegevens van vliegtuigpassagiers voor de opsporing te gebruiken, is waarschijnlijk in strijd met het Europese recht. Een vergelijkbare regeling is in 2017 door het Europese Hof van Justitie ongeldig verklaard. Lees verder >>>

18-12-18

Eerste Kamer tegen inzage medisch dossier zonder toestemming

De Eerste Kamer gaat niet akkoord met het wetsvoorstel waarmee zorgverzekeraars zonder toestemming inzage kunnen krijgen in medische dossiers bij een vermoeden van fraude. De Tweede Kamer ging eerder wel akkoord. Minister Bruins (VVD) gaat het wetsvoorstel nu aanpassen. Lees verder >>>

Download onze app

Privacy VandaagVolg het actuele nieuws van het Nederlandse privacyfront met onze Android app. Download hem hier!

Heb jij wat te verbergen?

fotoMensen hebben niets te verbergen als je ze dat vraagt. Of toch wel? Bekijk de video op Youtube.

Facebook opzeggen

opzeggenLees hier hoe je je Facebook-account kan opzeggen. >>>

Nieuwsbrief

Privacy Barometer brengt een paar keer per jaar een nieuwsbrief uit. Wilt u op de hoogte blijven, meldt u hier aan voor deze nieuwsbrief:  
Uw gegevens worden aan niemand ter beschikking gesteld, tenzij dat wettelijk vereist wordt. Het emailadres wordt alleen voor deze nieuwsbrief gebruikt.

of volg ons via

mobiele versie | volledige versie

deze pagina is samengesteld in: 0.156 seconden