image

AP-voorzitter: digitalisering kan onze vrijheid onder druk zetten

vrijdag 18 september 2020, 11:57 door Redactie, 26 reacties

De toenemende digitalisering biedt allerlei kansen, maar kan ook onze vrijheid onder druk zetten als we hier ons niet bewust van zijn, zo stelt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. Door digitalisering en techniek is het mogelijk om mensen te volgen, te sturen en te beheersen. "En als je je daar niet bewust van bent, kan dat zelfs heel ongemerkt. Dat kan ons terug brengen naar zeer onvrije tijden", schrijft Wolfsen in een blog.

De AP-voorzitter wijst naar organisaties die allerlei informatie verzamelen en gebruiken om mensen te profileren. "Persoonsgegevens – zoals uw financiën, denkniveau, geaardheid, gezondheid en culturele achtergrond – zeggen heel veel over u en hoe u uw leven inricht. Het zijn dan ook bij uitstek gegevens waarmee zowel publieke als commerciële organisaties onderscheid kunnen maken tussen mensen", merkt Wolfsen op.

Dit kan tot discriminatie, uitsluiting en politieke onderdrukking leiden, maar ook tot minder zichtbare vormen van ongelijkheid, "In onze moderne, gedigitaliseerde samenleving zien wij het principe van ongelijkheid in vele nieuwe gedaantes verschijnen. Vaak onzichtbaar en sluipend. En juist daarin schuilt het gevaar", waarschuwt de AP-voorzitter. Het gaat dan bijvoorbeeld om een situatie waarbij het systeem bepaalt welk nieuws, aanbiedingen en informatie gebruikers te zien krijgen.

Toch zijn er maatregelen die mensen kunnen nemen, laat Wolfsen weten. Zo wordt aangeraden om cookies niet klakkeloos te accepteren, privacyverklaringen door te lezen, op te letten bij het installeren van apps en gebruik te maken van het recht om op te vragen welke persoonsgegevens een organisatie bijhoudt en het recht om die gegevens te laten wissen.

Dit kan gebruikers meer bewust maken over de profilering die plaatsvindt en hoe er geld aan hun data wordt verdiend. "Maak dan bewust de afweging of u het waard vindt om (deels) met uw persoonsgegevens te betalen. Zodat u zelf over uw gegevens gaat. En daarmee over úw vrijheid", zo besluit Wolfsen zijn blog.

Reacties (26)
18-09-2020, 12:14 door Anoniem
Als je hier mee aankomt dan word je gezien als een negatieve die de vooruit gang in de weg staat, op deze
site heb je ook genoeg van die, die eigenlijk beter moeten weten. En dit artikel is misschien wel 10 jaar te laat
geschreven, dus ik geef gezond verstand geen toekomst.
18-09-2020, 12:30 door Anoniem
Wat bedoelt Wolfsen met 'kan'? We worden al op grote schaal onder druk gezet om vanalles digitaal te doen. De gegevens die daarmee verzameld worden werken hoogst zelden in ons voordeel!
18-09-2020, 12:33 door Anoniem
Dit is algemeen bekend en totaal niets nieuws,

Privacy Matters uit 2009 (filmpje) het is allemaal uitgekomen
wat ze daar in beschreven,alleen is het een stuk erger geworden.

De burgers kunnen hier verandering in brengen en niet
de tech-bedrijven en de overheid,die volgen en veranderen pas
als de burger het niet meer wilt.

The Matrix
18-09-2020, 13:10 door Anoniem
Aleid Wolfsen is (zoals de meeste van zijn ambtelijke collega's) een totale nitwit.

De beste man zat op gisteren BNR te verkondigen dat een algoritme kan discrimineren.
18-09-2020, 13:51 door Erik van Straten
Uit https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacyblog-aleid-wolfsen-vrij:
Wanneer het om de bescherming van persoonsgegevens gaat, hebben we het voor het gemak vaak over ‘privacy’. Op zich is daar niets mis mee, zo lang u maar wel beseft dat dit recht veel verder reikt dan het beschermen van uw ‘huiselijke vrijheden’.
Teveel mensen beseffen dat niet vrees ik, en denken bij privacy-schendingen hooguit aan hinderlijke reclame (die zij met de een of andere browserplugin wel weer denken te kunnen onderdrukken). De risico's zijn echter veel groter, denk maar aan identiteitsfraude zoals het op jouw naam openen van een lening (naast de risico's die dhr. Wolfsen noemt).

En hoe meer niet-kwaadaardige partijen over identificerende gegevens van jou beschikken, hoe groter de kans dat die gegevens in verkeerde handen vallen. Want informatiebeveiliging is nooit 100% op orde. Erger, bij veel dataverzamelaars is deze ver onder de maat.

Ik heb eerder deze week een bestelbus gehuurd. Onvoorstelbaar hoeveel identificerende gegevens ik daarvoor vooraf moest invullen op een vage website (met Let's Encrypt certificaat) waar de verhuurder mij naar verwees. Daarbij gaf de verhuurder mondeling aan dat ik niet alle cijfers en letters van mijn paspoort- en rijbewijsnummer hoefde in te vullen (op de website werd de volledige info gevraagd). Bij het ophalen van de bestelbus vroeg de verhuurder alleen om mijn rijbewijs en maakte daar, tot mijn verrassing, geen kopie/scan van. Ik vermoed dat de verhuurder de door mij opgegeven cijfers/letters van mijn rijbewijsnummer vergeleek met die op mijn pasje, en ik hoop maar dat dit altijd gebeurt. Zo niet, dan kan een crimineel met toegang tot de gegevens op de website, mogelijkerwijs op mijn naam een bestelbus huren.
18-09-2020, 15:24 door karma4
Door Anoniem: Aleid Wolfsen is (zoals de meeste van zijn ambtelijke collega's) een totale nitwit.
De beste man zat op gisteren BNR te verkondigen dat een algoritme kan discrimineren.
Het doel van een algoritme is inderdaad discrimineren in de technische context. Het onderscheiden van de gevallen en toepassen van gewenste regels is geheel wettelijk.

Bij de fraudebestrijding zit hij ook al fout als genoemd wordt dat het weten van een naam of BSN tot verwijtbare fraude leidt.
Het is de wettelijke eis dat de verwerker controleert of het de juiste persoon is. Gaat het fout dat moet de verwerker de schade dragen en niet privacy schendend naar het slachtoffer wijzen.

Kijken we naar de uitspraak dat telecomdata altijd herleidbaar is tot de persoon, weer fout. Een enkel niet gecontroleerd chinees onderzoek is het voor hem overtuigende bewijs. Ga je dat nalopen dan is er aan dat onderzoek het nodige aan op te merken.
18-09-2020, 17:04 door Anoniem
Door Anoniem: Aleid Wolfsen is (zoals de meeste van zijn ambtelijke collega's) een totale nitwit.

De beste man zat op gisteren BNR te verkondigen dat een algoritme kan discrimineren.

Een algorithme kan foutief getraind worden zodat de uitkomst discriminerend is. En dat is momenteel meer regel dan uitzondering:

https://www.newscientist.com/article/2166207-discriminating-algorithms-5-times-ai-showed-prejudice/

Door Anoniem: Wat bedoelt Wolfsen met 'kan'? We worden al op grote schaal onder druk gezet om vanalles digitaal te doen. De gegevens die daarmee verzameld worden werken hoogst zelden in ons voordeel!

Er zijn zeker al de nodige fouten en misstanden met persoonsgegevens, de toeslagen- en inkomstenbelastingaffaire (hebben die mensen nu al hun geld terug samen met de 'klantreis' (https://www.nrc.nl/nieuws/2020/09/15/de-liegtaal-van-de-belastingdienst-a4012131) de meest bekende in dit land. Maar het point of no return waarin je in een soort moderne middeleeuwen terecht komt lijkt nog niet gepasseerd te zijn. En er zijn tekenen dat de slinger voorzichtig neigingen vertoont naar terugbewegen. Het adagio "Alles wat technisch kan, moet ook" lijkt sleets te zijn geraakt samen met een aantal andere zoals "heb je soms iets te verbergen".
18-09-2020, 18:45 door Anoniem
Door Anoniem: Als je hier mee aankomt dan word je gezien als een negatieve die de vooruit gang in de weg staat, op deze
site heb je ook genoeg van die, die eigenlijk beter moeten weten. En dit artikel is misschien wel 10 jaar te laat
geschreven, dus ik geef gezond verstand geen toekomst.

Inderdaad, als de voorganger van Wolfsen dit in 2010 had gezegd, en daar vervolgens ook naar had gehandeld, dan was dat volkomen terecht geweest. Maar nu is het alsof Wolfsen zich over een drooggevallen put buigt, door zijn brilletje naar beneden kijkt, daar wat botjes van een kalf ziet liggen, en dan zegt: "Mensen moeten wel een beetje oppassen, omdat wij (de Autoriteit Persoonsgegevens) al twintig jaar geen hekje om die put plaatsen, en ook niet van plan zijn om dat te doen. Want als mensen niet oppassen, dan zou hun vrijheid (het kalf) misschien wel eens in die put kunnen vallen."

Laat me niet lachen.

Wat gaat Wolfsen DOEN om ervoor te zorgen dat door een verkeerde invoering van, en omgang met digitalisering onze vrijheid en gelijke behandeling niet door het afvalputje worden gespoeld? Hoe gaat de Autoriteit Persoonsgegevens dat voorkomen?

Ik meen me te herinneren dat er van hem in zijn tijd als burgemeester van Utrecht ook gevergd werd dat hij iets DEED. Hoe is dat toen eigenlijk afgelopen? Ik meen ook iets met een verdronken kalf... Dat kun je natuurlijk op je CV zetten: "Kerncompetentie: beetje slap lullen en ondertussen kalveren in putten laten verdrinken." Dat kan je een mooie carrière opleveren, want het is wel een competentie die in ons polderbestuur veelgevraagd is.

Denk bijvoorbeeld ook aan de trotse polder-benaming "intelligente lockdown" = "te late en te slappe lockdown, voorafgegaan en gevolgd door halfslachtig, verward, opportunistisch gemodder, ten koste van doden en ten koste van delen van onze economie."

Of denk aan Srebrenica - ook een gevolg van die structurele onwil van onze NL-bestuurders om tijdig te onderkennen wat voor iedereen die z'n gezonde verstand gebruikte en iets van de geschiedenis wist, al enige tijd duidelijk was. Zogenaamd iets willen beschermen maar het niet echt beschermen. Mag ik een teiltje?
18-09-2020, 19:58 door Anoniem
Inderdaad, als de voorganger van Wolfsen dit in 2010 had gezegd, en daar vervolgens ook naar had gehandeld, dan was dat volkomen terecht geweest. Maar nu is het alsof Wolfsen zich over een drooggevallen put buigt, door zijn brilletje naar beneden kijkt, daar wat botjes van een kalf ziet liggen, en dan zegt: "Mensen moeten wel een beetje oppassen, omdat wij (de Autoriteit Persoonsgegevens) al twintig jaar geen hekje om die put plaatsen, en ook niet van plan zijn om dat te doen. Want als mensen niet oppassen, dan zou hun vrijheid (het kalf) misschien wel eens in die put kunnen vallen."

Laat me niet lachen.

Wat gaat Wolfsen DOEN om ervoor te zorgen dat door een verkeerde invoering van, en omgang met digitalisering onze vrijheid en gelijke behandeling niet door het afvalputje worden gespoeld? Hoe gaat de Autoriteit Persoonsgegevens dat voorkomen?

Ik meen me te herinneren dat er van hem in zijn tijd als burgemeester van Utrecht ook gevergd werd dat hij iets DEED. Hoe is dat toen eigenlijk afgelopen? Ik meen ook iets met een verdronken kalf...

Beter laat dan nooit?
18-09-2020, 20:12 door Anoniem
Door Anoniem: Wat bedoelt Wolfsen met 'kan'? We worden al op grote schaal onder druk gezet om vanalles digitaal te doen. De gegevens die daarmee verzameld worden werken hoogst zelden in ons voordeel!

Er zijn zeker al de nodige fouten en misstanden met persoonsgegevens, de toeslagen- en inkomstenbelastingaffaire (hebben die mensen nu al hun geld terug samen met de 'klantreis' (https://www.nrc.nl/nieuws/2020/09/15/de-liegtaal-van-de-belastingdienst-a4012131) de meest bekende in dit land. Maar het point of no return waarin je in een soort moderne middeleeuwen terecht komt lijkt nog niet gepasseerd te zijn. En er zijn tekenen dat de slinger voorzichtig neigingen vertoont naar terugbewegen. Het adagio "Alles wat technisch kan, moet ook" lijkt sleets te zijn geraakt samen met een aantal andere zoals "heb je soms iets te verbergen".

Doorwrocht betoog van Michiel Jonker over digitalisering en privacy op: https://www.privacyfirst.nl/images/stories/PDFs/2020-03-06-prv-ABRS-hoger-beroep-AP-Connexxion-en-NS-versie-2020-03-13.pdf
19-09-2020, 09:50 door Anoniem
Door Anoniem:
Wat gaat Wolfsen DOEN om ervoor te zorgen dat door een verkeerde invoering van, en omgang met digitalisering onze vrijheid en gelijke behandeling niet door het afvalputje worden gespoeld? Hoe gaat de Autoriteit Persoonsgegevens dat voorkomen? . . . . verdronken kalf...

Beter laat dan nooit?

Hmm... of: van uitstel komt afstel? Of: Peace for our time? De AP heeft al zoveel terrein prijsgegeven, om "the powers that be" een plezier te doen.

Het lijkt of Wolfsen heel voorzichtig aftast wat hij in het huidige bestuurlijke klimaat kan zeggen zonder achter de schermen politiek onderuit te worden gehaald. Maar de AP is officieel toch "onafhankelijk"?

Dat zie je in Nederland en de rest van de "democratische" wereld overal gebeuren, dat al die "checks and balances" gereduceerd worden tot een soort poppenkast die steeds minder te maken heeft met de echte verhoudingen. De bestuurders vervullen hun formele rol niet meer, maar "spelen" die alleen nog, terwijl de echte macht ergens anders naartoe verschoven lijkt te zijn.

Tja, dan hoeft het geen verbazing te wekken dat burgers steeds minder respect hebben voor democratische bestuurders, oftewel voor "die poppenkast", en voor een deel op zoek gaan naar zogenaamd "echte leiders", zoals Trump, Johnson of Orban, die zich helemaal niks meer aantrekken van rechtsstatelijke beginselen.

De taak van de AP is om persoonsgegevens EFFECTIEF te beschermen, ook in tijden dat er een gigantische lobby van bedrijven en overheids"-diensten" (lees: overheidsmachthebbers) gaande is om allerlei processen te "digitaliseren" ten koste van privacy.

Wanneer houdt de AP op met de hakken in het zand te zetten? Wanneer begint de AP mooie, vrijblijvende woorden vrijwillig om te zetten in effectieve daden? Wanneer ontwikkelt de AP iets van "lef"?
19-09-2020, 13:57 door Anoniem
Door Anoniem:
Door Anoniem: De beste man zat op gisteren BNR te verkondigen dat een algoritme kan discrimineren.

Een algorithme kan foutief getraind worden zodat de uitkomst discriminerend is.
Machine Learning-systemen kunnen foutief getraind worden. Het quicksort-algoritme wordt niet getraind, en de renteberekening van een bank ook niet.

Als de betekenis van het woord algoritme verschuift naar systemen die getraind kunnen worden en betrekking hebben op de bewerkingen die door training tot stand komen, hoe noemen we dan voortaan de verzamelingen instructies waar de term 'algoritme' vroeger voor gebruikt werd?
19-09-2020, 15:07 door Anoniem
De taak van de AP is om persoonsgegevens EFFECTIEF te beschermen, ook in tijden dat er een gigantische lobby van bedrijven en overheids"-diensten" (lees: overheidsmachthebbers) gaande is om allerlei processen te "digitaliseren" ten koste van privacy.

Wanneer houdt de AP op met de hakken in het zand te zetten? Wanneer begint de AP mooie, vrijblijvende woorden vrijwillig om te zetten in effectieve daden? Wanneer ontwikkelt de AP iets van "lef"?

Is natuurlijk beetje moeilijk om "lef" te hebben als je net op Prinsjesdag gekort bent op je budget. Giga-veel klachten bij de AP sinds invoering AVG, te weinig personeel, giga-werkachterstand. Maar wat zegt deze regering: mwah, heeft geen prioriteit. Zal ook wel komen door die giga-lobby. Gekortwiekte AP kan niks beginnen tegen data-stofzuigeren met al die 'digitale initiatieven'.
19-09-2020, 22:38 door Anoniem
Door Erik van Straten: De risico's zijn echter veel groter, denk maar aan identiteitsfraude zoals het op jouw naam openen van een lening (naast de risico's die dhr. Wolfsen noemt).
Dat is alleen heel in het begin een risico, zodra dit op grote schaal gebeurt dan zullen dienstverlenende instanties wel stoppen met het aangaan van risico's op basis van een nummertje of een scan. En dat is prima, want het hebben van een nummertje of een scan toont geen identiteit aan, al denken die dienstverleners van wel. Daar zullen ze mee moeten stoppen.
Tegelijk legt dit bij de overheid de taak neer om wel te komen met een op afstand controleerbare identiteit die grootschalig ondersteund wordt. Dwz iets wat alleen werkt als je een origineel ID bewijs hebt, niet een copie.
19-09-2020, 23:11 door Anoniem
Door Anoniem:
De taak van de AP is om persoonsgegevens EFFECTIEF te beschermen, ook in tijden dat er een gigantische lobby van bedrijven en overheids"-diensten" (lees: overheidsmachthebbers) gaande is om allerlei processen te "digitaliseren" ten koste van privacy.

Wanneer houdt de AP op met de hakken in het zand te zetten? Wanneer begint de AP mooie, vrijblijvende woorden vrijwillig om te zetten in effectieve daden? Wanneer ontwikkelt de AP iets van "lef"?

Is natuurlijk beetje moeilijk om "lef" te hebben als je net op Prinsjesdag gekort bent op je budget. Giga-veel klachten bij de AP sinds invoering AVG, te weinig personeel, giga-werkachterstand. Maar wat zegt deze regering: mwah, heeft geen prioriteit. Zal ook wel komen door die giga-lobby. Gekortwiekte AP kan niks beginnen tegen data-stofzuigeren met al die 'digitale initiatieven'.

Als het zo is als jij zegt met die korting op het budget, dan betekent "lef" hebben dat Wolfsen een notitie laat opstellen die de AP, als onafhankelijk orgaan, rechtstreeks aan de Tweede Kamer stuurt, met kopieën aan alle media. Daarin vertelt Wolfsen dan, onderbouwd met feiten en cijfers, waarom Nederland op deze manier niet voldoet aan de Europeesrechtelijke verplichtingen die uit de AVG (GDPR) voortvloeien. Door op deze manier openlijk te gaan staan voor zijn wettelijke taak, zou Wolfsen in de praktijk in een situatie van "klokkenluiderschap" terecht komen, want de Nederlandse machthebbers willen niet dat die waarheid op tafel komt en zullen dat als "nestbevuiling" zien. Wolfsen zou een verdere bestuurlijke carrière dan misschien wel kunnen vergeten.

Maar dat is dus wat het betekent om "lef" te hebben: dat je je carrière op het spel zet om de waarheid op tafel te krijgen, omwille van een goede uitvoering van je wettelijke taak.
21-09-2020, 08:35 door karma4 - Bijgewerkt: 21-09-2020, 08:40
Door Anoniem: Is natuurlijk beetje moeilijk om "lef" te hebben als je net op Prinsjesdag gekort bent op je budget. Giga-veel klachten bij de AP sinds invoering AVG, te weinig personeel, giga-werkachterstand. Maar wat zegt deze regering: mwah, heeft geen prioriteit. Zal ook wel komen door die giga-lobby. Gekortwiekte AP kan niks beginnen tegen data-stofzuigeren met al die 'digitale initiatieven'.
Je kunt ook zeggen dat het AP gewoon gefaald heeft.
- Wel heel veel zogenaamd werk aantrekken
- Geen duidelijk beleid wat kan en wat niet.
De gevleugelde uitspraak op als iets in het nieuws is dat ze het gaan bekijken.
- Niet meedenken in mogelijke oplossingen maar vooral dat privacy boven alles staat, neem corona bestrijding.

Door Anoniem:Als het zo is als jij zegt met die korting op het budget, dan betekent "lef" hebben dat Wolfsen een notitie laat opstellen die de AP, als onafhankelijk orgaan, rechtstreeks aan de Tweede Kamer stuurt, met kopieën aan alle media. Daarin vertelt Wolfsen dan, onderbouwd met feiten en cijfers, waarom Nederland op deze manier niet voldoet aan de Europeesrechtelijke verplichtingen die uit de AVG (GDPR) voortvloeien.
...
Nederland voldoet op een heleboel vlakken niet aan de eigen wetgeving. Bij het boerkaverbod greep Wolfsen niet in.
Bij corona moest volksgezondheid wijken voor privacy, Het AP stelde zich zelfs op dat ze regering de wetten wilde voorschrijven. Dat kan echt niet. Als ze nu de waarheid boven tafel zouden willen krijgen dan zijn er nog wat affaires

Door Anoniem:
Door Erik van Straten: De risico's zijn echter veel groter, denk maar aan identiteitsfraude zoals het op jouw naam openen van een lening (naast de risico's die dhr. Wolfsen noemt).
Dat is alleen heel in het begin een risico, zodra dit op grote schaal gebeurt dan zullen dienstverlenende instanties wel stoppen met het aangaan van risico's op basis van een nummertje of een scan. En dat is prima, want het hebben van een nummertje of een scan toont geen identiteit aan, al denken die dienstverleners van wel. Daar zullen ze mee moeten stoppen.
Tegelijk legt dit bij de overheid de taak neer om wel te komen met een op afstand controleerbare identiteit die grootschalig ondersteund wordt. Dwz iets wat alleen werkt als je een origineel ID bewijs hebt, niet een copie.
Goed voorbeeld waar het AP faalt en niet de wet volgt.
21-09-2020, 11:01 door Anoniem
Door karma4: Je kunt ook zeggen dat het AP gewoon gefaald heeft.
- Wel heel veel zogenaamd werk aantrekken
- Geen duidelijk beleid wat kan en wat niet.
De gevleugelde uitspraak op als iets in het nieuws is dat ze het gaan bekijken.
- Niet meedenken in mogelijke oplossingen maar vooral dat privacy boven alles staat, neem corona bestrijding.

Ik denk niet dat ze het werk "aantrekken", in tegendeel, ze houden het zoveel mogelijk af. Ze zoeken redenen om klachten niet in behandeling te nemen en stellen extra eisen (bijv. dat de indiener van een klacht eerst zelf contact moet zoeken met de verantwoordelijke voor de gegevensverwerking).

Het klopt dat ze geen duidelijk beleid hebben van wat kan en wat niet. Dat heeft twee oorzaken: (1) Ze hebben geen tijd om dat beleid te ontwikkelen; (2) Zolang ze geen beleid ontwikkelen, "kunnen" dingen wel en dat is precies de vrijheid die sterke lobbies in Nederland willen om zoveel mogelijk persoonsgegevens te kunnen vangen en verwerken. De AP faciliteert op die manier de data-jagers door heel veel in het vage te laten, en laat zo de burgers in de steek door hun privacy juist niet serieus te beschermen.

Voor zover ik kan zien, zet de AP privacy zeker niet boven alles. Ze zeggen expliciet dat privacy "geen absoluut recht" is en proberen zo min mogelijk te handhaven. Daarbij buigen ze de regels zoveel mogelijk om in het nadeel van de privacy-bescherming. Maar ze kunnen er ook niet onderuit dat de Europese regels (AVG etc.) enige bescherming van privacy vereisen. Want anders gaan ze nat voor de Europese rechter.

Nederland voldoet op een heleboel vlakken niet aan de eigen wetgeving. Bij het boerkaverbod greep Wolfsen niet in.
Bij corona moest volksgezondheid wijken voor privacy, Het AP stelde zich zelfs op dat ze regering de wetten wilde voorschrijven. Dat kan echt niet. Als ze nu de waarheid boven tafel zouden willen krijgen dan zijn er nog wat affaires.

Het klopt dat Nederland op een heleboel vlakken niet voldoet aan de eigen wetgeving, en dat de regering en de lobbies daarachter dat ook niet willen. Maar het klopt niet dat bij corona "volksgezondheid" moest wijken voor privacy. Ik neem aan dat je doelt op die tracing-app die de regering en digitaliseringslobbies er snel even probeerden doorheen te drukken met een "appathon" en de verkrachting van ethiek waaraan ze eufemistisch de naam "begeleidingsethiek" gaven (en nog steeds geven - ze gaan na dat debacle gewoon door).

Door Anoniem:
Door Erik van Straten: De risico's zijn echter veel groter, denk maar aan identiteitsfraude zoals het op jouw naam openen van een lening (naast de risico's die dhr. Wolfsen noemt).
Dat is alleen heel in het begin een risico, zodra dit op grote schaal gebeurt dan zullen dienstverlenende instanties wel stoppen met het aangaan van risico's op basis van een nummertje of een scan.

Hoe naïef wil je zijn? Bijna wekelijks komen er schandalen aan het licht van grootschalig gelekte en misbruikte digitale gegevens. "Dienstverlenende instanties" geven in de praktijk vaak geen moer om de bescherming van de gegevens die ze verzamelen. Ook niet als ze een "privacy officer" aanstellen, want die krijgt in de organisatie vaak geen poot aan de grond, omdat men het maar lastig vindt.

En dat is prima, want het hebben van een nummertje of een scan toont geen identiteit aan, al denken die dienstverleners van wel. Daar zullen ze mee moeten stoppen.

Heb je ooit gehoord van "herleidbaarheid tot personen"? Staat in de AVG, bij de definitie van persoonsgegevens. Daar zullen ze dus helemaal niet mee moeten stoppen. Dat staat gewoon in de wet, en terecht.

Tegelijk legt dit bij de overheid de taak neer om wel te komen met een op afstand controleerbare identiteit die grootschalig ondersteund wordt. Dwz iets wat alleen werkt als je een origineel ID bewijs hebt, niet een copie.
Goed voorbeeld waar het AP faalt en niet de wet volgt.

Een "op afstand controleerbare identiteit die grootschalig ondersteund wordt" is iets voor totalitair geregeerde landen. Dat is wat er in China gebeurt, en waar we in Nederland en andere "democratische" landen ook hard naar op weg zijn. Controle, controle en nog meer controle - allemaal geautomatiseerd. Deur gaat niet open, want algoritme zegt nee. Vrijheidsbeperking en nog meer vrijheidsbeperking - want reken maar dat er op grond van die "grootschalig ondersteunde" controle ook beslissingen worden genomen ten aanzien van individuele personen. In plaats van in de eerste plaats in te zetten op goede voorlichting, eerlijke communicatie en vertrouwen in de 90% goedwillende en verantwoordelijke mensen, zet men liever met voorrang in op vage slogans ("intelligente lockdown") en oneerlijke "communicatie" ("mondkapjes in het OV hebben geen zin...") in een bizarre combinatie met dwangmaatregelen met behulp van fysieke en digitale technieken (hekjes, poortjes, camera's, gechipte pasjes, volgsystemen etc.).

Is dat waar jij naartoe wil? Een samenleving waarin we bijna alleen nog maar behandeld worden als radertjes in een systeem, en als verdachten, niet meer als vrije mensen die in beginsel zelf verantwoordelijke keuzes kunnen maken?
21-09-2020, 11:03 door Anoniem
Eigenlijk is het heel simpel...

Stel jezelf de volgende vraag:

Zouden Nazi's/Stasi/NSA/GCHQ/AIVD hier erg happy van worden?

Is het antwoord ja, dan moet je een tweede vraag beantwoorden:

Kunnen we ervoor zorgen dat misbruik door deze partijen indien ze het zouden bemachtigen/kunnen gebruiken voorkomen?

Is het antwoord daarop JA, dan moet je het gewoon weg niet doen, sterker nog, dan zou het verboden moeten zijn indien het al niet was.
21-09-2020, 15:37 door Anoniem
Door Anoniem: Eigenlijk is het heel simpel...
Stel jezelf de volgende vraag:
Zouden Nazi's/Stasi/NSA/GCHQ/AIVD hier erg happy van worden?
Is het antwoord ja, dan moet je een tweede vraag beantwoorden:
Kunnen we ervoor zorgen dat misbruik door deze partijen indien ze het zouden bemachtigen/kunnen gebruiken voorkomen?
Is het antwoord daarop JA, dan moet je het gewoon weg niet doen, sterker nog, dan zou het verboden moeten zijn indien het al niet was.

Buiten het feit dat je laatste oorzaak-gevolg niet klopt (als we het kunnen voorkomen moeten we het juist wel doen lijkt me), ben ik erg benieuwd naar de implicaties van je stelling.

Een digitale basis-administratie van de gemeente is handig. Daar zou de NSA blij van worden. Niet meer doen dan?
Internetbankieren is handig, maar geeft een willekeurige dienst ook de mogelijkheid om heerlijk te profileren. Niet meer doen dan?
En op afstand te bedienen insulinepompen of pacemakers zijn vaak een flinke verlichting voor de patiënt. Maar je moet er niet aan denken wat er mis kan gaan. Ook maar niet meer doen dan?

Ofwel, je kan wel hard roepen dat alle misbruik door een instantie onmogelijk moet zijn of dat een oplossing anders verboden moet worden, maar de gevolgen ervan zijn bizar hoog. En waarom heeft juist deze pijler jouw aandacht? Omdat je toevallig in de security hoek werkt? Mag een financiële insteek ook meespelen?

J.O.
21-09-2020, 17:54 door Anoniem
Ofwel, je kan wel hard roepen dat alle misbruik door een instantie onmogelijk moet zijn of dat een oplossing anders verboden moet worden, maar de gevolgen ervan zijn bizar hoog. En waarom heeft juist deze pijler jouw aandacht? Omdat je toevallig in de security hoek werkt? Mag een financiële insteek ook meespelen?

J.O.

Ik denk dat hij bedoelde dat de insteek bij het verzamelen en bewaren van digitale persoonsgegevens niet moet zijn "Ja, tenzij", maar juist "Nee, tenzij". En dat is ook precies de insteek van de AVG (data-minimisatie, eis van het aantonen van noodzaak voor een gerechtvaardigd doel). We weten inmiddels dat elk digitaal bestand vatbaar is voor misbruik, en dat zulk misbruik niet een kwestie is van "of", maar van "wanneer". Daarom moet de insteek met persoonsgegevens zijn: als digitaal verwerken niet echt nodig is, dan moet je het niet doen.

Het schenden van grondrechten met het oog op "een financiële insteek" is natuurlijk al helemaal uit den boze. Natuurlijk kan het in veel gevallen goedkoper zijn, in ieder geval op de korte termijn, om politieke tegenstanders overal geautomatiseerd te bespioneren en digitaal te registreren, zodat je ze op opportune momenten gevangen kunt zetten, executeren of chanteren; en om hetzelfde te doen met werknemers, om informatie te krijgen waarmee je ze goedkoop kunt ontslaan, zodra dat commercieel aantrekkelijk wordt. Maar juist omdat zulk machtsmisbruik zo makkelijk èn goedkoop is, mag die "financiële insteek" niet meespelen.
21-09-2020, 18:05 door karma4 - Bijgewerkt: 21-09-2020, 18:07
Door Anoniem:
Ik denk niet dat ze het werk "aantrekken", in tegendeel, ze houden het zoveel mogelijk af. Ze zoeken redenen om klachten niet in behandeling te nemen en stellen extra eisen (bijv. dat de indiener van een klacht eerst zelf contact moet zoeken met de verantwoordelijke voor de gegevensverwerking).
In wat je beschrijft ben ik het wel eens, alleen de conclusie is anders.
Ze zoeken het makkelijke werk en dat wat veel publiciteit geef, hetgeen ze zouden moeten invullen (klachten) laten liggen.

Het klopt dat ze geen duidelijk beleid hebben van wat kan en wat niet. Dat heeft twee oorzaken:
(1) Ze hebben geen tijd om dat beleid te ontwikkelen;
(2) Zolang ze geen beleid ontwikkelen, "kunnen" dingen wel en dat is precies de vrijheid die sterke lobbies in Nederland willen om zoveel mogelijk persoonsgegevens te kunnen vangen en verwerken. .....
Ook hier zijn we het best eens, het resultaat is niet goed.
Ik zoek de oorzaak niet bij dat ze geen tijd hebben, ze zouden het moeten kunnen maar zijn er niet toe in staat.
Dan verlegt het AP de activiteit naar wat ze wel kunnen. De makkelijkste weg en dan zeggen dat er geen tijd is.

Voor zover ik kan zien, zet de AP privacy zeker niet boven alles. Ze zeggen expliciet dat privacy "geen absoluut recht" is en proberen zo min mogelijk te handhaven. Daarbij buigen ze de regels zoveel mogelijk om in het nadeel van de privacy-bescherming. Maar ze kunnen er ook niet onderuit dat de Europese regels (AVG etc.) enige bescherming van privacy vereisen. Want anders gaan ze nat voor de Europese rechter.
De telecomdata traject met de uitspraak dat het altijd herleidbaar is tot personen en daarom wegens privacy niet mag is een tegenvoorbeeld. De verwijzing naar dat chinese onderzoek is niet houdbaar.

Het klopt dat Nederland op een heleboel vlakken niet voldoet aan de eigen wetgeving, en dat de regering en de lobbies daarachter dat ook niet willen. Maar het klopt niet dat bij corona "volksgezondheid" moest wijken voor privacy....
Die appathon was er maar 1, telcom-data, temperatuur opmeten, horeca registratie, ggd verwerkingen de lijst is lang waar het AP zegt mag niet van de privacy. Ze falen in het aandragen hoe het dan wel kan.

Dat is alleen heel in het begin een risico, zodra dit op grote schaal gebeurt dan zullen dienstverlenende instanties wel stoppen met het aangaan van risico's op basis van een nummertje of een scan.
Het blijft doorgaan zolang de privacy van de slachtoffers niet beschermd door te zeggen dat het risico bij de verwerker ligt.
Het AP spreekt zich echter uit dat het slachtoffer zelf schuldig is.

Hoe naïef wil je zijn? Bijna wekelijks komen er schandalen aan het licht van grootschalig gelekte en misbruikte digitale gegevens. "Dienstverlenende instanties" geven in de praktijk vaak geen moer om de bescherming van de gegevens die ze verzamelen. Ook niet als ze een "privacy officer" aanstellen, want die krijgt in de organisatie vaak geen poot aan de grond, omdat men het maar lastig vindt.
Ooit was er het telefoonboek, dat war dar in stond wort nu genoemd als een datalek. Ik ben niet naief.
Dataminimalisatie en het doelgebondenheid van de verwerking staat bij mij hoog in het vaandel,
De schandalen helpen het AP enkel om op de emotie en aandacht te spelen.


Heb je ooit gehoord van "herleidbaarheid tot personen"? Staat in de AVG, bij de definitie van persoonsgegevens. Daar zullen ze dus helemaal niet mee moeten stoppen. Dat staat gewoon in de wet, en terecht.
Artikel 6 van de GDPR beschrijft een waslijst een gegronde redenen van verwerkingen. Daar moet je niet mee stoppen.
Dat je herleidbaarheid als een probleem wil zien zou de hele gerechtvaardigde verwerking onderuit halen.
In de GDPR staat een duidelijk onderscheid tussen pseudonimisatie (herleidbaar) en anonimisatie (niet herleidbaar) het wijkt wat af van het gewone spraakgebruik.Daar wordt het gebruik van een andere naam als anoniem gezien.
Laten we de GDPR definitie rond privacy vragen aanhouden aub.


....Is dat waar jij naartoe wil? Een samenleving waarin we bijna alleen nog maar behandeld worden als radertjes in een systeem, en als verdachten, niet meer als vrije mensen die in beginsel zelf verantwoordelijke keuzes kunnen maken?
Het AP stel zich op als ministerie van waarheid waar mensen alleen nog maar radertjes in het systeem zijn.
Je argument begrijp ik maar mijn conclusie is anders. Verantwoording kunnen en willen afleggen als persoon is heel wat anders dan een dictatoriaal regime. Dat is waar het AP op af lijkt te sturen.
21-09-2020, 18:56 door Anoniem
Door karma4:
Door Anoniem:
Ik denk niet dat ze het werk "aantrekken", in tegendeel, ze houden het zoveel mogelijk af. Ze zoeken redenen om klachten niet in behandeling te nemen en stellen extra eisen (bijv. dat de indiener van een klacht eerst zelf contact moet zoeken met de verantwoordelijke voor de gegevensverwerking).
In wat je beschrijft ben ik het wel eens, alleen de conclusie is anders.
Ze zoeken het makkelijke werk en dat wat veel publiciteit geef, hetgeen ze zouden moeten invullen (klachten) laten liggen.
Het zou kunnen dat je op dit punt gelijk hebt. Ik kan niet zien wat de AP-medewerkers achter hun bureaus doen, maar ik herinner me uit mijn eigen tijd als ambtenaar wel dat er bij sommigen meer animo was voor "beschouwend praten" en "publicitair scoren" dan voor "productie draaien".

Het klopt dat ze geen duidelijk beleid hebben van wat kan en wat niet. Dat heeft twee oorzaken:
(1) Ze hebben geen tijd om dat beleid te ontwikkelen;
(2) Zolang ze geen beleid ontwikkelen, "kunnen" dingen wel en dat is precies de vrijheid die sterke lobbies in Nederland willen om zoveel mogelijk persoonsgegevens te kunnen vangen en verwerken. .....
Ook hier zijn we het best eens, het resultaat is niet goed.
Ik zoek de oorzaak niet bij dat ze geen tijd hebben, ze zouden het moeten kunnen maar zijn er niet toe in staat.
Dan verlegt het AP de activiteit naar wat ze wel kunnen. De makkelijkste weg en dan zeggen dat er geen tijd is.
Sommige AP-medewerkers heb ik (na mijn primaire klacht) ervaren als niet deskundig, maar anderen (vooral in bezwaar- en beroepsprocedures) als juist wel deskundig. Het probleem bij die laatsten is dat ze vaak niet hun wettelijke taak willen of mogen vervullen, maar andere belangen willen of moeten dienen.

Voor zover ik kan zien, zet de AP privacy zeker niet boven alles. Ze zeggen expliciet dat privacy "geen absoluut recht" is en proberen zo min mogelijk te handhaven. Daarbij buigen ze de regels zoveel mogelijk om in het nadeel van de privacy-bescherming. Maar ze kunnen er ook niet onderuit dat de Europese regels (AVG etc.) enige bescherming van privacy vereisen. Want anders gaan ze nat voor de Europese rechter.
De telecomdata traject met de uitspraak dat het altijd herleidbaar is tot personen en daarom wegens privacy niet mag is een tegenvoorbeeld. De verwijzing naar dat chinese onderzoek is niet houdbaar.
Ik ken dat Chinese onderzoek niet. Ik ga af op de voorbeelden die ik wel ken.

Het klopt dat Nederland op een heleboel vlakken niet voldoet aan de eigen wetgeving, en dat de regering en de lobbies daarachter dat ook niet willen. Maar het klopt niet dat bij corona "volksgezondheid" moest wijken voor privacy....
Die appathon was er maar 1, telcom-data, temperatuur opmeten, horeca registratie, ggd verwerkingen de lijst is lang waar het AP zegt mag niet van de privacy. Ze falen in het aandragen hoe het dan wel kan.
Het is niet de taak van de AP om het werk van andere organisaties te gaan doen. De AP moet aangeven binnen welk kader (onder welke voorwaarden) er wel en niet persoonsgegevens mogen worden verwerkt, in overeenstemming met de wet. Het is dan aan overheden en bedrijven om daar zelf verder invulling aan te geven - creatief maar met respect voor de wet.

Het blijft doorgaan zolang de privacy van de slachtoffers niet beschermd door te zeggen dat het risico bij de verwerker ligt.Het AP spreekt zich echter uit dat het slachtoffer zelf schuldig is.
Ik denk dat ik begrijp wat je bedoelt. De AP legt de bewijslast vaak bij het data-subject (als die niet wil dat zijn gegevens worden verwerkt), terwijl die bewijslast volgens de AVG (art. 5 lid 2) bij de verwerkingsverantwoordelijke ligt (om te rechtvaardigen dat de gegevens wel worden verwerkt).

Ooit was er het telefoonboek, dat wat daar in stond wordt nu genoemd als een datalek. Ik ben niet naief.
Dataminimalisatie en het doelgebondenheid van de verwerking staat bij mij hoog in het vaandel,
De schandalen helpen het AP enkel om op de emotie en aandacht te spelen.
De mogelijkheid om gegevens die vroeger op papier stonden, nu grootschalig en geautomatiseerd te digitaliseren, betekent dat er nu meer risico's aan diezelfde telefoonboekgegevens zijn verbonden dan vroeger. Net als jij zie ik dat de AP zich publicitair profileert (hartstochtelijke woorden over het belang van privacy) zonder daar met daden voldoende handen en voeten aan te geven. Daardoor krijgen die woorden het karakter van het in slaap sussen van mensen, zo van: "Zie je wel, wij waken voor jullie, want dat roepen wij heel hard, dus jullie kunnen rustig gaan slapen."

Heb je ooit gehoord van "herleidbaarheid tot personen"? Staat in de AVG, bij de definitie van persoonsgegevens. Daar zullen ze dus helemaal niet mee moeten stoppen. Dat staat gewoon in de wet, en terecht.
Artikel 6 van de GDPR beschrijft een waslijst van gegronde redenen van verwerkingen. Daar moet je niet mee stoppen.
Dat je herleidbaarheid als een probleem wil zien zou de hele gerechtvaardigde verwerking onderuit halen.
In de GDPR staat een duidelijk onderscheid tussen pseudonimisatie (herleidbaar) en anonimisatie (niet herleidbaar) het wijkt wat af van het gewone spraakgebruik.Daar wordt het gebruik van een andere naam als anoniem gezien.
Laten we de GDPR definitie rond privacy vragen aanhouden aub.
De AVG (GDPR) definieert "persoonsgegevens" als gegevens die herleidbaar zijn tot personen. Ik zie dat als een definitie, niet als een probleem. Als eenmaal is vastgesteld dat het om persoonsgegevens gaat, dan wordt de vraag relevant of één van de grondslagen voor gegevensverwerking in artikel 6 lid 1 van toepassing is, en of dat ook kan worden aangetoond door de verwerkingsverantwoordelijke (art. 5 lid 2 AVG).

....Is dat waar jij naartoe wil? Een samenleving waarin we bijna alleen nog maar behandeld worden als radertjes in een systeem, en als verdachten, niet meer als vrije mensen die in beginsel zelf verantwoordelijke keuzes kunnen maken?
Het AP stel zich op als ministerie van waarheid waar mensen alleen nog maar radertjes in het systeem zijn.
Je argument begrijp ik maar mijn conclusie is anders. Verantwoording kunnen en willen afleggen als persoon is heel wat anders dan een dictatoriaal regime. Dat is waar het AP op af lijkt te sturen.
Als ik je goed begrijp, bedoel je dat de AP onvoldoende bereid is om inzichtelijk te maken waarop haar beslissingen en beoordelingen gebaseerd zijn. Ik heb dat gevoel ook. Vaak komt de AP met ingewikkelde juridische redeneringen die juist verwarring scheppen, en soms aantoonbaar niet in overeenstemming zijn met de feiten. Ik denk dat de AP dat doet omdat zij in de praktijk niet onafhankelijk is, maar meent bepaalde niet hardop genoemde belangen te moeten dienen. Namelijk belangen van diegenen die ons willen reduceren tot radertjes in een gecontroleerd en/of voor hen winstgevend systeem.
22-09-2020, 17:26 door karma4 - Bijgewerkt: 22-09-2020, 17:27
Door Anoniem: Ik ken dat Chinese onderzoek niet. Ik ga af op de voorbeelden die ik wel ken.
Nummer 2 van de referenties. Ken een noors onderzoek waaruit de resultaten niet reproduceerbaar zijn.
Belangrijke verschil de cinezen werkten met alle details (pseudoniemen) uit een steekroef, de noren hadden echte geaggregeerde gegevens maar niet de details en geen steekproef.
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/anonimiteit_en_geaggregeerde_telecomdata.pdf

De eerdere punten kunnen we afsluiten.

Het is niet de taak van de AP om het werk van andere organisaties te gaan doen. De AP moet aangeven binnen welk kader (onder welke voorwaarden) er wel en niet persoonsgegevens mogen worden verwerkt, in overeenstemming met de wet. Het is dan aan overheden en bedrijven om daar zelf verder invulling aan te geven - creatief maar met respect voor de wet.
Met die voorwaarden kunnen ze niet anders dan proactief meedenken als ze het goed doen. Nu lopen ze achter de situaties aan waarbij ze enkel de spaken in wielen aan het blokkeren zijn. Zie hierboven als voorbeeld telecomdata.

Ik denk dat ik begrijp wat je bedoelt. De AP legt de bewijslast vaak bij het data-subject (als die niet wil dat zijn gegevens worden verwerkt), terwijl die bewijslast volgens de AVG (art. 5 lid 2) bij de verwerkingsverantwoordelijke ligt (om te rechtvaardigen dat de gegevens wel worden verwerkt).
Dat is een goede dat die richting ook in de GDPR staat. Ik bedoelde eigenlijk artikel 12 in .
https://wetten.overheid.nl/BWBR0022428/2018-07-28 het BSN is ooit bedacht om de administratieve verwisselingen te verminderen. Het AP (en zijn voorgangers) zijn het daar nooit mee eens geweest en hebben het BSN geplaatst als een bewijs van de juiste identiteit (aanduiding fraudegevoelig).

De mogelijkheid om gegevens die vroeger op papier stonden, nu grootschalig en geautomatiseerd te digitaliseren, betekent dat er nu meer risico's aan diezelfde telefoonboekgegevens zijn verbonden dan vroeger. Net als jij zie ik dat de AP zich publicitair profileert (hartstochtelijke woorden over het belang van privacy) zonder daar met daden voldoende handen en voeten aan te geven. Daardoor krijgen die woorden het karakter van het in slaap sussen van mensen, zo van: "Zie je wel, wij waken voor jullie, want dat roepen wij heel hard, dus jullie kunnen rustig gaan slapen."
Je ziet het anoniem kunnen bedreigen uitschelden als een recht en beschermd door privacy? Dat is raar.


De AVG (GDPR) definieert "persoonsgegevens" als gegevens die herleidbaar zijn tot personen. Ik zie dat als een definitie, niet als een probleem. Als eenmaal is vastgesteld dat het om persoonsgegevens gaat, dan wordt de vraag relevant of één van de grondslagen voor gegevensverwerking in artikel 6 lid 1 van toepassing is, en of dat ook kan worden aangetoond door de verwerkingsverantwoordelijke (art. 5 lid 2 AVG).
De definitie van persoonsgegevens zijn we het over eens. Ik bedoel het onderscheid in pseudoniemen en geanonimiseerd zijn. 0829/14/EN WP216 https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf Het is de achtergrond en opbouw voor dat onderscheid.

Als ik je goed begrijp, bedoel je dat de AP onvoldoende bereid is om inzichtelijk te maken waarop haar beslissingen en beoordelingen gebaseerd zijn. Ik heb dat gevoel ook. Vaak komt de AP met ingewikkelde juridische redeneringen die juist verwarring scheppen, en soms aantoonbaar niet in overeenstemming zijn met de feiten. Ik denk dat de AP dat doet omdat zij in de praktijk niet onafhankelijk is, maar meent bepaalde niet hardop genoemde belangen te moeten dienen. Namelijk belangen van diegenen die ons willen reduceren tot radertjes in een gecontroleerd en/of voor hen winstgevend systeem.
Tja .... ik heb ooit wel eens gezegd zo jammer van die goed opgezette GDPR.
22-09-2020, 19:05 door Anoniem
Door karma4:
Het is niet de taak van de AP om het werk van andere organisaties te gaan doen. De AP moet aangeven binnen welk kader (onder welke voorwaarden) er wel en niet persoonsgegevens mogen worden verwerkt, in overeenstemming met de wet. Het is dan aan overheden en bedrijven om daar zelf verder invulling aan te geven - creatief maar met respect voor de wet.
Met die voorwaarden kunnen ze niet anders dan proactief meedenken als ze het goed doen. Nu lopen ze achter de situaties aan waarbij ze enkel de spaken in wielen aan het blokkeren zijn. Zie hierboven als voorbeeld telecomdata.
Wetshandhaving (kerntaak van de AP) loopt altijd achter de realiteit aan. Een wet kan nooit precies alle mogelijkheden beschrijven die zich in de realiteit kunnen voordoen. Bij de toepassing van de wet is er dus altijd wetsinterpretatie nodig, op basis van: (1) wet- en regelgeving; (2) ethische overwegingen (bijv. beginselen van behoorlijk bestuur); (3) de concrete situatie in de realiteit. Als je van de AP vraagt dat ze iets anders doen, namelijk (4) "proactief meedenken", dan komt bij mij meteen de vraag op: met WIE wil je dan dat ze proactief meedenken? Volgens mij past "(proactief) meedenken" niet bij de onafhankelijkheid die de AP zou moeten nastreven.

Ik denk dat ik begrijp wat je bedoelt. De AP legt de bewijslast vaak bij het data-subject (als die niet wil dat zijn gegevens worden verwerkt), terwijl die bewijslast volgens de AVG (art. 5 lid 2) bij de verwerkingsverantwoordelijke ligt (om te rechtvaardigen dat de gegevens wel worden verwerkt).
Dat is een goede dat die richting ook in de GDPR staat. Ik bedoelde eigenlijk artikel 12 in .
https://wetten.overheid.nl/BWBR0022428/2018-07-28 het BSN is ooit bedacht om de administratieve verwisselingen te verminderen. Het AP (en zijn voorgangers) zijn het daar nooit mee eens geweest en hebben het BSN geplaatst als een bewijs van de juiste identiteit (aanduiding fraudegevoelig).
Elk middel om een juiste identiteit vast te stellen, kan ook gebruikt worden voor identiteitsfraude. Daarom moet ik ook altijd huil-lachen als ze mij aan de telefoon om tig soorten gegevens vragen om mijn identiteit te controleren. Die gegevens zwerven dus bij tig organisaties en mensen rond, hetgeen juist een groot risico van identiteitsfraude met zich meebrengt. Het is alsof je iedereen bij elke nagelriemontsteking vijf soorten antibioticum geeft - DE manier om risico te veroorzaken dat antibiotica straks niet meer werken (resistentie). Dat is vergelijkbaar met het veroorzaken van frauderisico door middel van overtollig gebruik van identiteitsindicatoren.

De mogelijkheid om gegevens die vroeger op papier stonden, nu grootschalig en geautomatiseerd te digitaliseren, betekent dat er nu meer risico's aan diezelfde telefoonboekgegevens zijn verbonden dan vroeger. Net als jij zie ik dat de AP zich publicitair profileert (hartstochtelijke woorden over het belang van privacy) zonder daar met daden voldoende handen en voeten aan te geven. Daardoor krijgen die woorden het karakter van het in slaap sussen van mensen, zo van: "Zie je wel, wij waken voor jullie, want dat roepen wij heel hard, dus jullie kunnen rustig gaan slapen."
Je ziet het anoniem kunnen bedreigen uitschelden als een recht en beschermd door privacy? Dat is raar.
Nee, dat zie ik helemaal niet zo. Waar haal je dat nou opeens vandaan?

De AVG (GDPR) definieert "persoonsgegevens" als gegevens die herleidbaar zijn tot personen. Ik zie dat als een definitie, niet als een probleem. (...)
De definitie van persoonsgegevens zijn we het over eens. Ik bedoel het onderscheid in pseudoniemen en geanonimiseerd zijn. 0829/14/EN WP216 https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf Het is de achtergrond en opbouw voor dat onderscheid.
In overweging (28) van de AVG staat: "De uitdrukkelijke invoering van "pseudonimisering" in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten." Waarvan akte. Wat betreft anonimisering: wat nu nog "anoniem" is, hoeft dat na de ontwikkeling van nieuwe technologieën niet meer te zijn. Denk bijv. aan de gigantische mogelijkheden die Google heeft om gegevens achteraf te de-anonimiseren met behulp van enorme hoeveelheden data die Google al heeft. Daarom blijft "herleidbaarheid" wat mij betreft het sleutelbegrip, vooral omdat dit begrip noodzaakt tot het rekening houden met (huidige en toekomstige) MOGELIJKHEDEN om gegevens te herleiden tot individuele personen.
23-09-2020, 13:50 door karma4
Door Anoniem:
Wetshandhaving (kerntaak van de AP) loopt altijd achter de realiteit aan. Een wet kan nooit precies alle mogelijkheden beschrijven die zich in de realiteit kunnen voordoen. Bij de toepassing van de wet is er dus altijd wetsinterpretatie nodig, op basis van: (1) wet- en regelgeving; (2) ethische overwegingen (bijv. beginselen van behoorlijk bestuur); (3) de concrete situatie in de realiteit. Als je van de AP vraagt dat ze iets anders doen, namelijk (4) "proactief meedenken", dan komt bij mij meteen de vraag op: met WIE wil je dan dat ze proactief meedenken? Volgens mij past "(proactief) meedenken" niet bij de onafhankelijkheid die de AP zou moeten nastreven.
Kijk naar de politie als handhaver, die hebben dikke politiehandboeken hoe de wet gehanteerd moet worden.
The hard rijden (verkeer) bepalen ze niet wat dat zou zijn hoe het gemeten wordt, handhaven is enkel de constatering.
Dat ontbreekt dan moet je beginnen met die overeenkomst van de handboeken en waar grenzen gesteld moeten worden dat elders laten doen. Nu loopt van alles door elkaar en gaan ze zelfs proberen wetgeving te doen (ap eist aanpassing wet).

[Elk middel om een juiste identiteit vast te stellen, kan ook gebruikt worden voor identiteitsfraude. Daarom moet ik ook altijd huil-lachen als ze mij aan de telefoon om tig soorten gegevens vragen om mijn identiteit te controleren. ..
Biometrie is heel lastig om echt te frauderen, ik heb nog nooit exact twee identieke personen gezien.
De vragen en bewijslast is voldoende bewezen voor een bepaalde situatie. Kernpunt: risico en impact voor de verwerker.

Je ziet het anoniem kunnen bedreigen uitschelden als een recht en beschermd door privacy? Dat is raar.
Nee, dat zie ik helemaal niet zo. Waar haal je dat nou opeens vandaan?
Het wordt nogal erg vaak aan elkaar gelijkgesteld. Omdat je anoniem bent mag je je kennelijk misdragen, dat is geen goed ontwikkeling.

In overweging (28) van de AVG staat: "De uitdrukkelijke invoering van "pseudonimisering" in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten." Waarvan akte. Wat betreft anonimisering: wat nu nog "anoniem" is, hoeft dat na de ontwikkeling van nieuwe technologieën niet meer te zijn. Denk bijv. aan de gigantische mogelijkheden die Google heeft om gegevens achteraf te de-anonimiseren met behulp van enorme hoeveelheden data die Google al heeft. Daarom blijft "herleidbaarheid" wat mij betreft het sleutelbegrip, vooral omdat dit begrip noodzaakt tot het rekening houden met (huidige en toekomstige) MOGELIJKHEDEN om gegevens te herleiden tot individuele personen.
Overweging 26 moet je niet overslaan.
" De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken."
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679
Je ziet dat die onder het eerdere document uit 2014 ontstaan is. Pseudonimiseren is bij de GDPR echt wat anders dan anonimiseren. In het dagelijks spraakgebruik loopt het echter door elkaar.
Dan moet je de begrippen k-anonimiteit etc in statistiek gaan doorgronden.

Bedenk google hoeft niet te deanonimiseren, ik begrijp niet waar je at vandaan haalt. Het is voor marketing voldoende is de gemarkeerde groep een voldoen hitratio voor verkoop opbrengt. Volgers van een BN-er in een leeftijdsgroep kan uiterst lucratief zijn zonder aan singling out te doen. Dat google (en wat anderen) teveel specifieke zaken op telefoons verzameld, dat is wat anders (ben ik mee eens).

Werk die GDPR eens met anonimiseren en pseudonimiseren. Het ademt het idee uit als je data maar pseudonimiseerd dat je dan van alles kunt doen. Zo wordt het in de praktijk dan ook met veel complexiteit en kosten doorgezet. Het wordt er niet beter op, onduidelijke bewaarperiodes niet weten wie voor een gegeven verantwoordelijk is, foute op rechten van personen inbreuk makende verwerkingen. Dat is niet wat het doel van de GDPR was.
Ik ben meer voor dataminimalisatie met eenvoudige begrijpelijke processen.
23-09-2020, 16:16 door Anoniem
Door karma4:
Door Anoniem:
Wetshandhaving (kerntaak van de AP) loopt altijd achter de realiteit aan. Een wet kan nooit precies alle mogelijkheden beschrijven die zich in de realiteit kunnen voordoen. Bij de toepassing van de wet is er dus altijd wetsinterpretatie nodig, op basis van: (1) wet- en regelgeving; (2) ethische overwegingen (bijv. beginselen van behoorlijk bestuur); (3) de concrete situatie in de realiteit. Als je van de AP vraagt dat ze iets anders doen, namelijk (4) "proactief meedenken", dan komt bij mij meteen de vraag op: met WIE wil je dan dat ze proactief meedenken? Volgens mij past "(proactief) meedenken" niet bij de onafhankelijkheid die de AP zou moeten nastreven.
Kijk naar de politie als handhaver, die hebben dikke politiehandboeken hoe de wet gehanteerd moet worden.
The hard rijden (verkeer) bepalen ze niet wat dat zou zijn hoe het gemeten wordt, handhaven is enkel de constatering.
Dat ontbreekt dan moet je beginnen met die overeenkomst van de handboeken en waar grenzen gesteld moeten worden dat elders laten doen. Nu loopt van alles door elkaar en gaan ze zelfs proberen wetgeving te doen (ap eist aanpassing wet).
Het één (ontwikkeling handboeken) sluit het ander (advies over wetgeving) niet uit. Een kerntaak van de AP is handhaving. Daarvoor is wetsinterpretatie nodig, en die interpretatie moeten ze dan voor zover nuttig weer vastleggen in hun beleid en hun handboeken. Dat kost tijd en menskracht. De AP wordt door de regering klein gehouden met een te klein budget. Volgens mij "eist" de AP geen aanpassing van de wet, maar kan wel aan de Nederlandse regering adviseren om Nederlandse wetten aan te passen als die strijd opleveren met de AVG (GDPR). Ik weet niet aan welk concreet voorbeeld jij kennelijk denkt.

Elk middel om een juiste identiteit vast te stellen, kan ook gebruikt worden voor identiteitsfraude. Daarom moet ik ook altijd huil-lachen als ze mij aan de telefoon om tig soorten gegevens vragen om mijn identiteit te controleren. ..
Biometrie is heel lastig om echt te frauderen, ik heb nog nooit exact twee identieke personen gezien.
De vragen en bewijslast is voldoende bewezen voor een bepaalde situatie. Kernpunt: risico en impact voor de verwerker.
Nee, het kernpunt moet zijn: preventie en vermindering van risico voor de burger (betrokkene, data-subject). Biometrie vergroot het risico op machtsmisbruik en totalitaire controle door overheden en grote organisaties, ten koste van individuele mensen. Wat nodig is, is juist het omgekeerde: controleerbare transparantie van overheden en grote organisaties. Zolang die er niet is, moet je ook geen biometrische controle op gewone mensen willen.

Vergelijk het met politie die zich wel ijverig bezig houdt met het uitdelen van parkeerboetes en boetes voor "belediging van een agent in functie", maar die wegkijkt van moordenaars en miljoenenfraudes. Biometrie is een wapen in handen van machthebbers, verplichte transparantie is een wapen in handen van gewone mensen.

(...) overweging (28) van de AVG (...) Daarom blijft "herleidbaarheid" wat mij betreft het sleutelbegrip, vooral omdat dit begrip noodzaakt tot het rekening houden met (huidige en toekomstige) MOGELIJKHEDEN om gegevens te herleiden tot individuele personen.
Overweging 26 moet je niet overslaan.
" De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken."
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679
Je ziet dat die onder het eerdere document uit 2014 ontstaan is. Pseudonimiseren is bij de GDPR echt wat anders dan anonimiseren. In het dagelijks spraakgebruik loopt het echter door elkaar.
Dan moet je de begrippen k-anonimiteit etc in statistiek gaan doorgronden.
Ten eerste: ik sla niks over. Ik citeerde uit overweging (28). Ten tweede: ik ben het met je eens dat pseudonimiseren, zoals bedoeld in de AVG (GDPR) iets anders is dan anonimiseren, zoals bedoeld in de AVG (GDPR). Ik heb nooit iets anders beweerd. Maar zoals gezegd, vind ik dat onderscheid minder interessant dan het sleutelbegrip "herleidbaarheid tot personen".

Bedenk google hoeft niet te deanonimiseren, ik begrijp niet waar je at vandaan haalt. Het is voor marketing voldoende is de gemarkeerde groep een voldoen hitratio voor verkoop opbrengt. Volgers van een BN-er in een leeftijdsgroep kan uiterst lucratief zijn zonder aan singling out te doen. Dat google (en wat anderen) teveel specifieke zaken op telefoons verzameld, dat is wat anders (ben ik mee eens).
Google "hoeft" inderdaad niet te de-anonimiseren. Maar Google en vele andere data-verzamelaars KUNNEN dat wel, en ZULLEN het ook doen als dat (a) hun geld of ander voordeel oplevert; en (b) hun geen grote juridische of andere problemen oplevert. Daarom biedt "anonimisering" geen adequate bescherming - er zijn dan voor het data-subject in de praktijk te veel "unknown unknowns". Data-minimalisatie (met name het niet verzamelen van data) biedt meer bescherming en is ook beter afdwingbaar - mits de AP bereid is de wet op dat punt serieus te handhaven.

(...)Dat is niet wat het doel van de GDPR was. Ik ben meer voor dataminimalisatie met eenvoudige begrijpelijke processen.
Op dat punt ben ik het helemaal met je eens.

Ik ga deze gedachtenwisseling nu beëindigen - ik probeer de hoeveelheid tijd die ik aan privacy-acties besteed (inclusief discussies op deze gewaardeerde site) een beetje in de hand te houden. T.z.t. komt er vast weer gelegenheid voor verdere uitwisseling naar aanleiding van ontwikkelingen m.b.t. de door mij gevoerde zaken m.b.t. afvalpassen, privacy in het OV en privacy d.m.v. contante betaling. Hartelijke groet!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.