(1) Privacy gaat niet alleen over gegevens, niemand zou het op prijs stellen als de politie een huiszoeking zou uitvoeren zonder goede reden.
(2) Privacy gaat niet alleen over situaties van 'misbruik', wat dat ook zou mogen betekenen. Privacy is wat mij betreft ook zelf de keuze hebben om bijvoorbeeld gegevens te delen of niet te delen.
(3) Ik zou privacy als een recht omschrijven, niet iets wat je als kans kan uitdrukken. Je zou wel kunnen spreken van een inbreuk of kans op inbreuk op het recht van privacy.
(4) Ik mis in deze 'definitie' iets over gegronde redenen om inbreuk te maken op de privacy, bijvoorbeeld bij een beroep op een algemeen belang.

Ik zou nog eens terug gaan naar het ontstaan van het concept 'recht op privacy' en vooral weg blijven van het idee dat je dat kunt kwantificeren.

Erik,

Ik heb (nog) geen mening maar wel een vraag.
Doel je deze formule met enkel een kans op privacy inbreuk of niet?
Zo nee, in hoeverre botst je idee dan op de kanttekeningen van de andere bijdrager die op 11:36 is vastgelegd?
Kan je dat toelichten?

In officiële stukken wordt de term "persoonlijke levenssfeer" gebruikt. Verwerking van persoonlijke gegevens is daar een relatief klein aspect van.

De functie f(x) = C / x geeft grafisch gezien een orthogonale hyperbool weer, waarbij de X en Y-assen in het oneindige de twee asymptoten vormen. In mijn beleving is een inbreuk op de persoonlijke levenssfeer eerder een dalende of omgekeerde S-curve, in plaats van een hyperbool, omdat een omgekeerde S-curve ook nog zoiets als een duidelijke drempelwaarde of tolerantiegrens kan weergeven, terwijl een hyperbool in het positieve O(x,y)-kwadrant pijlsnel daalt.

Een zekere mate van tolerantie en incasseringsvermogen cultiveren, in deze onzekere tijden van polarisatie en veel te korte lontjes, werkt strategisch gezien in je voordeel, maar een te hoge tolerantiegrens maakt je daarentegen ook weer kwetsbaar, door misbruik van je goedheid. Ik zou dus liever voor een omgekeerde S-curve opteren, maar ik kan mij voorstellen dat anderen gevoeliger kunnen zijn daar waar het hun privézaken aan gaat.

https://en.wikipedia.org/wiki/Sigmoid_function

Ten eerst is privacy meer dan veiligheid van (persoons)gegevens. Dus op dat punt ben ik het al niet eens met de stelling.
Ten tweede is een bedreiging van iets niet direct een vermindering van datgeen.

Maar eerst over privacy in het algemeen. Voor mij is privacy een samenvoeging van twee vrijheden:
Concrete vrijheid: Niet uitgesloten worden. Dus niet gediscrimineerd worden, niet geweigerd worden voor bijvoorbeeld een verzekering of bij een sportvereniging, niet genegeerd worden door familie en vrienden, etc.
Mentale vrijheid: Het gevoel dat je onbespied en zonder beoordeeld te worden dingen kan doen. Dus niet geremd worden in je doen en laten doordat je niet structureel gemonitord wordt.

Aantasting van privacy is een concrete inbreuk op een van deze twee vrijheden. Een bedreiging van een van deze vrijheden is dus geen inbreuk op de privacy, maar slechts een bedreiging van de privacy.

Mijn conclusie: ik denk dus niet dat privacy omgekeerd evenredig is met het risico op het misbruiken van gegevens.

Dank voor de reacties!

OK, laat ik er dan van maken:

Privacy is omgekeerd evenredig met het risico dat er misbruik wordt gemaakt van gegevens van en/of over mij, en/of van mijn bezittingen en/of van mijn tijd, in mijn nadeel of van mijn naasten.

Eens? (zie ook de toelichting verderop).

Nb. een huiszoeking zonder huiszoekingsbevel is misbruik van bevoegdheden. En wie weet heeft een van de agenten wel een vriendje in de inbrakerswereld. Hoe weet je sowieo dat het echte politieagenten zijn (kun jij een vervalste van een echte politiepas onderscheiden)? Hoe vaak hoor je niet dat criminelen zich vergissen in een doelwit? Die politiepakken gevonden bij de martelcontainers waren vast niet bedoeld voor carnaval...

Oneens. Ja, die keuze wil ik ook hebben, maar die keuze staat m.i. nog los van privacy. Ik wil weten wat mijn voordelen en nadelen (ook in onverwachte situaties) kunnen zijn. M.a w. welke risico's loop ik indien ik gegevens verstrek.

De personeelsorganisatie van een eerdere werkgever had paspoortscans van elke werknemer geüpload naar youforce.biz (zichtbaar in het persoonlijke youforce.biz account van elke werknemer, beveiligd met username + password). Dit hebben zij met goede bedoelingen gedaan, niet met het plan om daar misbruik van te maken. De kans op misbruik door derden vind ik in dit geval onnaceptabel groot, temeer daar de impact enorm kan zijn. En het nut is nul, want ik weet wel hoe mijn paspoort eruit ziet. Op mijn verzoek is die werkgever daarmee gestopt en heeft papieren kopiën ervan in de kluis gelegd.

Ander goed voorbeeld van geen kwade bedoelingen maar de risico's niet zien: https://www.security.nl/posting/675867/Mijn+persoonsgegevens+zijn+via+mijn+werkgever+gelekt_+Wat+kan+ik+juridisch+doen%3F.

Natuurlijk is het een recht! Echter bestaande definities als "bescherming van de persoonlijke levenssfeer" en "het recht om met rust gelaten te worden'" zijn totaal niet kwantificeerbaar en, belangrijker, zij spreken een gegevensverzamelaar -die zelf geen kwade bedoelingen heeft- totaal niet aan.

Poging tot verbetering: kennelijk realiseert bijv. de politie zich steeds meer dat op legitieme wijze (met de vraag of dat in alle gevallen zo is) verzamelde privacy-gevoelige gegevens goed beschermd moeten worden (zie https://www.security.nl/posting/676453/Politie+krijgt+systeem+dat+misbruik+politiegegevens+proactief+detecteert).

Dat is geen misbruik, vandaar dat ik dat woord heb opgenomen.

Zoals ik in een andere thread schreef: een flitser die het kenteken van mijn auto fotografeert (dat is hoogstwaarschijnlijk in mijn nadeel) als ik te hard en/of door rood rijd, is geen misbruik. Anderzijds vind ik het gebruik van beelden uit verkeerscamera's boven snelwegen voor andere doeleinden dan waarvoor zij geplaatst zijn (nl. verkeersveiligheid) al snel dubieus of zelfs verwerpelijk.

M.i. hebben we, met de vergaande digitalisering, een veel helderder definitie van "privacy" nodig. Organisaties en individuen die nu privacy-gevoelige gegevens verzamelen met (semi-) goede bedoelingen (zoals Experian, maar er zijn er extreem veel meer), en daar zelf geen misbruik van maken - maar die gegevens onvoldoende goed beschermen of zelfs verkopen (waardoor ze in verkeerde handen vallen van lastig te pakken en te vervolgen/veroordelen partijen), komen daar veel te makkelijk mee weg onder de huidige privacy-wetgeving. Het is immers een illusie om te denken dat burgers aan allerlei organisaties gaan vragen welke gegevens zij van hen hebben, waarbij authenticatie een grotendeels onopgelost probleem is en burgers van zeer veel organisaties helemaal niet weten dat zij over gegevens van hen beschikken (welke malloot dit bedacht heeft, zonder dat organisaties uit zichzelf burgers moeten informeren dat zij gegevens van hen hebben..).

Het besef, dat het "bezitten" (ergens hebben opgeslagen, steeds meer in de cloud) of verwerken van privacy-gevoelige informatie van derden, een risico betekent voor die derden, ontbreekt in te veel gevallen. Of wordt weggewuifd als verwaarloosbaar. Iedereen die security.nl af en toe bezoekt weet, hoop ik, wel beter.

Het met onvoldoende noodzaak bezitten/verwerken van privacy-gevoelige informatie (en slechts voor een vooraf duidelijk doel) zou strafbaar moeten worden. Waarbij onvoldoende noodzaak zich verhoudt tot de (privacy-) risico's van de betrokkenen en het aantal betrokkenen mede de hoogte van de strafmaat bepaalt.

Daarnaast vind ik dat het eenvoudiger moet worden voor slachtoffers, ook al hebben zij (nog) geen aantoonbare schade geleden (als gevolg van een specifiek lek), om een organisatie, die bewust of onopzettelijk privacy-gevoelige gegevens van die slachtoffers lekt, aansprakelijk te stellen met recht op een flinke vergoeding (al was het maar om de zorgen dat die gegevens worden misbruikt). Anders komen we nooit af van de eindeloze stroom datalekken.

Hoe dan ook, m.i. is het noodzakelijk dat we een eenduidige, heldere en kwantificeerbare definitie van "privacy" vinden en gaan toepassen, geschikt voor het digitale tijdperk waarin we nu leven (met grotere risico's door de vele thuiswerkers).

Erik,

een vraag: wat is jouw definitie van "misbruik" en "risico van misbruik"?

Dan de tweede vraag: wat is in jouw definitie "privacy"?

Ik zie twee elementen van misbruik:
1) schending omdat gegevens gebruikt worden door degenen die de gegevens onder hun beheer hebben voor andere doelen dan waarvoor de gegevens verstrekt zijn
2) schending omdat gegevens onvoldoende beschermd worden door degenen die de gegevens onder hun beheer hebben
Dus het "risico van misbruik" is dan de kans dat gegevens fout gebruikt gaan worden?


Als ik je formule zie, en je stelt dat "risico van misbruik" betekent dat de kans bestaat dat persoonlijke informatie voor andere zaken wordt gebruikt dan waarvoor toegestaan, is privacy iets rekbaars: je kan meer of minder privacy hebben, afhankelijk van hoeveel risico van misbruik er is. Geen risico, onbeperkte privacy. Wel risico, minder privacy.

Maar, er zijn ook puristen die zeggen dat "privacy" betekent "het recht om met rust gelaten te worden". In dat geval klopt het niet in de huidige maatschappij, daarin heb je geen recht op "absolute privacy". Je kan bv. niet stellen dat je iets kan kopen, en als je 'per ongeluk' niet betaald hebt je kan eisen dat de verkoper je met rust moet laten. Dat is de reden dat we dit proberen te regelen.

Een goede regeling in deze is de GDPR: de GDPR is nl. niet bedoeld is om uitwisseling van informatie tegen te gaan, maar om die te faciliteren door enerzijds voorwaarden te stellen aan uitwisseling van gegevens, en anderzijds verplichtingen op te leggen aan de houders van gegevens.
Het regelt dat als je iets koopt, de verkoper
- je adres mag gebruiken om ervoor te zorgen dat je er voor betaalt
- je adres niet voor iets anders mag gebruiken
- je adrres zodanig moet beschermen dat een ander je adres niet kan bemachtigen

Q

GDPR mbt. 1): je mag ontvangen gegevens alleen gebruiken voor de toegestane doelen). (Zie artikel 6: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e1883-1-1
GDPR mbt. 2) de verplichting om gegevens onder beheer correct te beschermen (zie art. 24 : https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e3035-1-1 )

Aan degenen die het oneens zijn met mijn definitie van privacy:
1) Ben je het met mij eens dat het groeiende aantal dataverzamelingen en koppelingen daartussen, de privacy-risico's enorm vergroot, zowel door dataverzamelaars zelf, maar zeker ook bij doorverkopen of onbedoeld lekken van data?

2) Zo ja, wat stel je voor, dat eenduidig, helder en kwantificeerbaar is, om deze problematiek te helpen aanpakken?

Ja, want daaraan ontleent Security.NL sinds anno 1998 het bestaansrecht.


Dat wordt erg ingewikkeld, en dat is een understatement. Van de doorsnee Nederlander zitten bijna onnoemlijk veel gegevens in duizenden bestanden van legio instanties, organisaties en bedrijven, in binnen- en buitenland, waar heel moeilijk zicht op te krijgen is en daarop te behouden. Dat zou men eerst nauwgezet in kaart moeten brengen.

Het zou vervolgens inhouden dat van elke organisatie, of van gehele sectoren, een Risico-Inventarisatie en -Evaluatie (RI&E) moet worden opgesteld, om tot een weging te komen van de kans op uitlekken van privégegevens en de mogelijke (individuele) consequenties daarvan.

Dan heb je al snel briljante wiskundigen en modelleerders nodig, van het kaliber die bij het CWI.nl, PiLab.nl of stichting CrisisLab.nl werken. Ik zou daar maar eens aankloppen, als ik jou was, maar persoonlijk ben ik meer te porren voor een pro-actief concept zoals privacy by design.

https://en.wikipedia.org/wiki/Privacy_by_design

Ik ben het oneens met je definitie. Zoals enkele anderen al aangaven, privacy draait om veel meer dan misbruik van gegevens.

Met 1 ben ik het eens.

En wat betreft twee; niet alles is kwantificeerbaar, en sommige zaken hoeven ook helemaal niet kwantificeerbaar gemaakt te worden om ze aan te kunnen pakken. M.i. is privacy, net zoals bijv. liefde, niet kwantificeerbaar.
Een gegeven over iemand dat op straat komt te liggen zal voor de één leiden tot schouderophalen, terwijl het voor iemand anders aanleiding kan zijn om uit het leven te stappen.

@Erik van Straten: Ik ben het oneens met een aantal aspecten van jouw definitie van privacy. Maar ik ga uit van "bescherming van de persoonlijke levenssfeer". Als ik een camera ophang in jouw slaapkamer (voegt iets van waarde toe aan je huis); hoe past dat in jouw definitie van privacy-risico?
Ik denk dat dichter op de gebruikelijke definitie zit.

Privacy heeft aspecten van je niet in je eigen woning bespied wanen, bepaalde gedachten voor jezelf kunnen houden, maar ook van je in huiselijke kring kunnen gedragen zoals je wil. Nee, ik wil niet weten wat Erik in zijn slaapkamer uitvoert, dan hoef ik me daar ook geen (voor)oordeel over te vellen.
Ja Erik, ik ben het met je eens dat data verzamelen en koppelen privacyrisico's heeft, maar ik reken dat tot de indirecte privacyrisico's, geen directe schending zoals een persoon kan plegen door ongenood jouw huis binnen te banjeren, een biertje uit jouw koelkast te pakken en op jouw bank op te drinken.
Ik denk dat het mogelijk is om een privacy-schendings-index te maken door privacy-schendingen te tellen, aan iedere schending een weegfactor te hangen en tot een gewogen som te komen. Veel plezier met de discussies over weegfactoren.

Er zijn vele representaties mogelijk om risico te visualiseren. Wat belangrijker is om te bepalen wat je met de representatie doet, of hoe deze te gebruiken.

Andere voorbeelden zijn bijvoorbeeld Lorentz of Gaussian verdelingen. Deze hebben weer sterke relaties met het vakgebied statistiek.

Het model moet passen bij de doelstelling.

@Erik, 16:38 uur

Ik denk dat heel veel mensen hierin meevoelen en verregaand achter deze insteek staan, alleen is privacy iets waar je logischerwijs altijd mee bezig zult moeten zijn.
Privacy als kwantificeerbare termen definiëren is, bij definitie van de behoefte zelf, een oneindige queeste.
Je kan het misschien beter zoeken in de karakteristieken, alleen wordt privacy niet in hoofdlijn gedreven door een inverse werking.
Dus schiet je met een formule inkaderen met een inverse functie erin al snel je doel voorbij.

Wel zou je vertrekpunt kunnen zijn, je komt in meerdere specifieker geformuleerde gevallen mogelijk heel dicht in de buurt bij het vermijden van inbreuken op privacy maar met veel oorzaken zal de inbreuk op privacy snel eerder vrij groot kunnen zijn, terwijl de perceptie erover bij de veroorzakers in eerste instantie oprecht kan zijn dat het slechts een kleine inbreuk is.
Maar Privacy is een niet-tastbaar "bezit" van mensen.
Het is geen bezit van de overtreder van / binnentreder in iemands privacy.
Daarom kan de inbreuk door de benadeelde een onduidelijke veelvoud erger worden beoordeeld dan de veroorzaker van een privacy inbreuk.

Hoe moeten we dat zien?

Privacy = 1 / 100???

Is misbruik risico dan een cumulatief getal van iets?
Hoe dan?
Naar de aard van de misbruikmaatregel x het effect of zo?
Naar de aard van de misbruik gelegenheid x het effect of zo?
In welke eenheid druk je het effect uit?
In maanden, in kosten voor mentale begeleiding na het misbruik?

Eenduidigheid moet je denk ik zeker voorop houden.
Het lijkt me echt een hele stevige zoektocht om iets te bedenken dat de lading dekt van alle kansen dat een iemands privacy langs de weg van een koppeling op oneigenlijke gronden wordt binnengetreden.

Misschien kan je los daarvan sowieso een schaal-inrdeling en een schaal-eenheid erbij vermelden.
Daarbij is een misbruik kans om iemands privacy te breken een potentieel maar niet noodzakelijkerwijs functionele kans voor iemand dat ie wat ie daarbij aantreft kan vinden.

Als je kijkt naar misbruik overweging van bijvoorbeeld een facebook of whatsapp account.
Mensen die wel een facebook account hebben hebben niet noodzakelijkerwijs een whatsapp account, maar er zullen mensen kunnen zijn die beiden hebben.
De kans op misbruik vanuit een geslaagde facebook hack richting iemands whatsapp account moet je dus al verder opbreken in groepen.
Hoe zou je dus in beginsel met een kwantificering behoefte mee om willen gaan?
Splits je dat op per sub-groep of per specifieke oorspronkelijke misbruik-actie binnen het specifieke sub-domein (iemands facebook / whatsapp profiel)?

Laat je kwantificering behoefte die opsplitsing ook rekenkundig toe?

In ieder geval is een misbruik risico met sub-risico verdeling ook niet zondermeer een cummulatief risico, binnen de context van een koppelingen-verband tussen beide type accounts,
dat de kans op een hack van iemands whatsapp niet kan toenemen indien die verder geen facebook heeft.
Dan is het risico dat iemands whatsapp account gehackt wordt en de privacy gecomppormiteerd is natuurlijk als principe mogelijk.
Die technische kans op misbruik van iemands privacy zou eigenlijk standaard vrij hoog mogen worden geacht.
Zeker als op de telefoon niet een vervolg maar een begin release van het OS draait.
Dus bijvoorbeeld Android 8.0 voorheen en iOS 13.0 als recenter voorbeeld, waarbij de oorzaak ligt in het feit dat Apple en Google steeds niet volledig uitgeteste software lanceren als nieuwe stam-versie van hun OS waar dus allerlei hiaten in zitten / herhaaldelijk oude hiaten opnieuw in terecht blijen te komen.

De risico perceptie kan door iemand verklaarbaar en menselijkerwijs verdedigbaar vrij subjectief zijn.

1. Het blootstelling risico daaraan kan voor de toehoorder de eigen privacy proportioneel worden opgevat, terwijl die technisch misschien anders van aard is.
Bijvoorbeeld als een set van kleinere afzonderlijke inbraakjes waardoor die persoon het verband tot diens eigen privacy heel makkelijk over het hoofd ziet. Of doordat de persoon de effecten ervan onvolledig doorziet.
Doordat de persoon als slachtoffer de risico-gebeurtenis verkeerd inschat heeft die in de eigen perceptie er nauwelijks last van dat iets speelt, totdat die persoon ervan schrikt.
Beide percepties van het risico staan niet lineair met elkaar in verband maar hebben juist verschillende karakters.

2. De toehoorder van het whatsapp account kan een inbreuk hierop in relatie tot diens privacy evengoed op booleaanse wijze (ja/nee, wel/niet) beschouwen. Bijvoorbeeld gekoppeld aan diens kennis dat er weinig of slechts onbelangrijke informatie op staat.

3. Als iemand onderdeel uitmaakt van een groep hack.
Als binnen diens whatsapp account wel belangrijke informatie te vinden valt dan doen zich bij die persoon eerder andere toleranties voor.
De kans dat die persoon flink geschrokken is terwijl de relatie van die persoon dat niet is is aanwezig.
De schrik reactie kan sterk gedreven zijn per persoon door een gevoel onverwacht / ongewenst ergens in mee gezogen te worden terwijl de nuchtere eerste slachtoffer in de keten mogelijk onbekend is met wat die overkomt.

Dat maakt het risico van die persoon op de omgeving potentieel per persoon tot persoon verschillend van effect en omvang.
En in de keten van whatsapp/telefoon-contacten naar diens omgeving vormt bij daadwerkelijk ontstane blootstelling van het whatsapp account weer een nieuwe opportuniteit-risico dat iemands privacy in gevaar is.

Hoe ga je daar kwantitatief mee om?
Hoe kwantificeer je de effecten die deels afhangen van iemands inzichten en bekendheid met de materie?
Die dus al in the eye of the beholder zijn?

Ik denk dat het in principe nog makkelijker is om een schade effect te kwantificeren voor het risico dat een burger ten onrechte wordt gedwongen 10 minuten met een overheid dienst aan de telefoon te hangen.
Daar zou je per geval naar rato voor kunnen terugrekenen met een uur-tarief.

Maar een niet-materieel en bovendien kwetsbaar bezit met rafel-randen als privacy brengt dus wel een pittiger traject met zich mee.
Privacy is meer een sociaal iets dan een rationeel zakelijk iets.
En dan moet je nog bedenken dat een kwantificering al snel leidt tot het incalculeren van een schade omvang.
Dat men dus de schade als veroorzaker op de koop toenement, hetgeen juist iemands privacy als geheel niet voor is bedoeld.
Dus moet je privacy misschien ook niet op die manier tot onderwerp van je inspanningen maken.

Bovendien leiden hoge schade taxaties van een risico eerder tot vermijden van het fatsoenlijk regelen van faciliteiten, iets waar privacy juist weer bij uitstek bij gebaat kan zijn.
Even snel een Hugo-app of Hugo-dashboard maken past overigens alles behalve binnen het fatsoenlijk regelen.

Hmz... Ik zie privacy meer zoiets als dat IK bepaal wie MIJN gegevens hebben. Het misbruikrisico komt daarna pas.
Dus nee, die vergelijking klopt niet.

misbruik = onrechtmatig, oneigenlijk en/of ongewenst gebruik
risico van misbruik = de kans dat dit gebeurd maal de impact die dat heeft (emotionele impact is ook impact)

Zie onderaan deze bijdrage.

maal de impact.

Klopt. Mijn huisarts weet welke kwalen ik heb en heb gehad. Zolang er geen misbruik van die informatie wordt gemaakt, is er nog geen sprake van een inbreuk op mijn privacy. Ook vertrouw ik erop dat mijn huisarts zelf geen misbruik zal maken van die gegevens (veel meer dan ingehuurde GGD'ers, https://www.security.nl/posting/676490/GGD-medewerkers+bekeken+ongeoorloofd+dossiers+van+BN%27ers). Wel bestaat het risico (vooral voor mij) dat mijn gegevens, die mijn huisarts digitaal bewaart, in verkeerde handen vallen. Dus ja, ik heb privacy, maar met een onlosmakelijk daaraan gekoppeld risico (voor mij) op misbruik.

Precies. Inbrekers hebben ook geen recht op privacy.

Dat is een laf en bewust vaaggehouden compromis dat onvoldoende bescherming biedt.

Ja, en vooral op dat laatste punt gaat het veel te vaak mis, waarbij het vaak om veel meer dan alleen adresgegevens gaat. En, zoals ik steeds benoem en ook hieronder aankaart: er bestaat nauwelijks een risico voor degene die mijn gegevens lekt (bedoeld of onbedoeld). De huidige wetgeving, waaronder GDPR en afgeleide AVG, is ontoereikend en handaving is er nauwelijks. Een voorbeeld uit https://www.ronroozendaal.nl/blog/2017/10/eigenaarschap-van-gegevens-bestaat-niet:
Als dat klopt zijn onze wetten nog onvoldoende meegegaan met het huidige digitale tijdperk. Waarom bestaat er wel auteursrecht maar geen gegevensvanrecht?

Allemaal belangrijk maar dat vind ik niets met privacy te maken hebben.

Deels mee eens. De Coronacrisis benadrukt dat de meeste mensen behoefte hebben aan sociale contacten, gebaseerd op wederzijds vertrouwen dat er geen misbruik wordt gemaakt van dingen die we van elkaar weten, waarvan we (liever) niet willen dat anderen ze weten.

Los van de twee vrijheden: een bedreiging betekent toch een risico?

In dit totaal onrealistische voorbeeld, waarbij kennelijk jij naar beelden wilt kijken van twee 60-plussers, die in die kamer meestal slapen of nog wat TV kijken en soms iets anders doen (vreemde fetish heb jij), en wij onwenselijk vinden dat jij daarnaar kijkt (of ze zelfs publiceert), dan is dat toch misbruik van data van ons? Kwantificerend: als jij een camera ophangt in onze slaapkamer, want dat doe je ongetwijfeld om de beelden te kunnen bekijken en/of te verspreiden, is de kans op misbruik zeer groot, en dus is ook het risico voor ons groot.

{1} Tenzij je in een hutje op de hei woont met 24x7 de gordijnen dicht en geen "smart" devices hebt, kan dat niet.
{2} Deels mee eens. Mensen zijn sociale wezens die sommige gedachten (zoals sexuele fantasiën) zeker niet met iedereen delen, maar vaak wel met specifieke mensen die zij vertrouwen. Niet voor niets weten medegevangenen vaak beter wat iemand daadwerkelijk heeft misdaan dan de rechter. En niet voor niets worden af en toe kinderpornonetwerken opgerold (KP-liefhebbers vertellen vast niet ovet hun "hobby" aan familie, vrienden en buren, maar hebben vaak wel contacten met anderen met dezelfde interesse).
{3} Tenzij je alleen woont in een vrijstaand huis, kan dat niet. Als ik een harde scheet laat horen mijn buren dat. En ik weet wanneer zij piano spelen en kan hen eenvoudig afluisteren als ze binnen ruzie maken of in de tuin zitten te praten.

Volledige privacy bestaat niet. Je kunt nauwelijks ongezien over straat. Dat is niet erg, als er maar geen misbruik van die kennis gemaakt wordt. Sociale controle (en camerabeelden zoals getoond in Opsporing Verzocht) helpen bij het opsporen van criminelen en kunnen er ook aan bijdragen dat hufters zich inhouden - omdat zij weten dat ze in de gaten worden gehouden.

Weer zo'n absurd voorbeeld. Heb je dat zelf wel eens meegemaakt? Weet je hoeveel mensen dat overkomt versus het aantal dat slachtoffer wordt van whatsapp- of andere identiteitsfraude? Of hun rekening wordt geplunderd na te zijn gebeld "door iemand van ING" die hen ervan weet te overtuigen dat dit echt zo is omdat hij allerlei gegevens van hen kent?

ISO 27001 was allang risico-gedreven, en ISO 9001 is dat ook sinds enkele jaren.

Probleem: het gaat hierbij om de risico's die een organisatie loopt, niet de mensen waarvan zij privacy-gevoelige gegevens opslaan en/of verwerken. Er bestaat hooguit een risico voor de organisatie als misbruik van die persoonsgegevens leidt tot imagoschade en/of inkomstenderving. De GDPR/AVG zijn gatenkazen, en datalekken zijn er zo vaak dat ze nog nauwelijks imagoschade opleveren; met een "sorry en we hebben het bij de AP gemeld" is het klaar. Voor de organisatie, niet voor de slachtoffers. In https://www.security.nl/posting/675867/Mijn+persoonsgegevens+zijn+via+mijn+werkgever+gelekt_+Wat+kan+ik+juridisch+doen%3F legt Arnoud Engelfriet haarfijn uit dat je je daar, als dataverzamelaar, zelden zorgen om hoeft te maken.

Wellicht moet ik mijn definitie wijzigen in:

Voor mij is data-privacy omgekeerd evenredig met het risico dat er misbruik wordt gemaakt van data van en/of over mij, in mijn nadeel of van mijn naasten.

Of, gezien de vele verschillende manieren waarop "privacy" wordt uitgelegd, moet ik misschien dat woord niet willen gebruiken voor het doel dat ik voor ogen heb - nl. het significant verlagen van het risico dat (privacy?-gevoelige) persoonsgegevens worden misbuikt. Heeft iemand goede ideeën voor werkbare alternatieven?

Ik weet dat ik een onderwerp herhaal waar Erik en iemand anders het hierboven al over gehad hebben, maar ik vind het wel belangrijk.

Het woord privacy als juridische term stamt uit een artikel in The Harvard Law Review van 15 december 1890:
https://www.jstor.org/stable/1321160
Daar wordt het heel kernachtig gedefinieerd: "the right to be let alone", het recht om met rust gelaten te worden. Ik vind dat, ook in de huidige tijd, een geweldige definitie. Ik ben het er niet mee eens dat die niet voldoet omdat hij niet kwantificeerbaar is, en vind dan ook niet dat we een kwantificeerbare definitie van het woord privacy nodig hebben.

Maar je hebt het al over risico van misbruik, en de term privacy-risico heb je ook al gebruikt. In de vraagstelling maak je het sommetje risico=kans*impact, wat natuurlijk al sinds jaar en dag wordt gebruikt bij risicoanalyses.

Als je het privacy-risico noemt dan heb je al een kwantificeerbaar begrip waarmee gewerkt kan worden, al zal het nog een hele kluif zijn om details in te vullen en allerlei verschillende situaties onderling vergelijkbaar te maken. Als je zoekt naar een term die een hoge waarde weergeeft als het risico laag is en vice versa zoek je naar een antoniem van het woord risico. Ik heb gezocht, en kan er geen vinden (waarbij overigens opvalt dat risco in woordenboeken de kans op gevaar is, en niet kans*impact).

Ik weet het antwoord niet, maar ik denk dat een goede term "privacy-XXXX" zou zijn waarbij XXXX een goed woord is voor (kans dat het goed gaat) * (impact als het fout gaat), en niet zomaar "privacy" zonder meer. Privacy-veiligheid? Privacy-zekerheid? Iets in die sfeer, zou ik denken.

Wij begrijpen elkaar (nou ja, in ieder geval op dit onderwerp :-) )
:-) Precies
Niet eens dat de wet onvoldoende is (maar hij kan wel wat duidelijker), wel dat de wet onvoldoende gehandhaafd wordt, en speciaal op het gebied van "afdoende bescherming" Hier is waar het bij veel bedrijven fout gaat: "laat ik het maar opslaan, wie weet komt het nog wel eens van pas" en dat dan onbeschermd ergens plaatsen "want het is voor ons nog geen belangrijke data" ==> Nee, als je niet weet of je het mag gebruiken, mag je het niet opslaan. En als je het opslaat, heb je de verplichting om dat goed te doen! Beide zaken mag onze AP wel eens met veel meer vlijt oppakken!
Belangrijk is daarom dat de AP duiding geeft wat wel en niet mag: zo vaak zie ik "gerechtvaardigd belang", waarbij zaken als "technisch afleveren van een advertentie" als reden staat, of nog erger: "het off-line combineren van gegevens". Hoezo gerechtvaardigd belang? Voor wie? Voor het data-subject, of voor de verzamelaar?
Dit soort semi-juridische BS zorgt ervoor dat ik zaken als uMatrix, Privacy badger en dergelijke gebruik, en als er te veel dan niet werkt ik de betreffende site maar helemaal negeer: kennelijk is het belang van de adverteerders dan groter dan de inhoud van de site...
Eens
[...]
Interessant. Ik ga er eens over nadenken.

Q

Eh, dit dwaalt af van het onderwerp maar jullie schrijven dingen die niet kloppen[1].

Ten eerste is het recht op privacy sowieso niet een absoluut recht op privacy. Rechten kunnen helemaal niet absoluut zijn, want ze kunnen botsen met de rechten van anderen. Er zijn in Europa recent een paar terroristen doodgeschoten toen de politie ingreep bij de aanslagen waar ze mee bezig waren. Niemand klaagt dat hun recht op leven is aangetast. Zelfs het recht op leven is dus niet absoluut.

Ik vind "het recht om met rust gelaten te worden" een geweldige definitie van privacy, maar dat betekent echt niet dat ik een purist ben die vindt dat dat recht absoluut is. Door er het helemaal niet gebruikte woord "absoluut" aan toe te voegen projecteer je kennelijk je eigen zwart/wit-denken op een ander en zie je puristen waar die er helemaal niet zijn.

Inbrekers hebben wel degelijk recht op privacy. Ze verspelen er een heleboel van door het plegen van die inbraak, voor zover het het gaat over de nasleep van die inbraak. Ze kunnen uit hun huis gehaald worden, gevangen gezet worden, er kunnen eigendommen verbeurd verklaard worden als slachtoffers of hun verzekeraars de schade komen verhalen, en die moeten dan wel weten bij wie ze voor die schade moeten aankloppen. Ze leveren dus heel wat privacy in, maar als de topic starter een inbraak zou plegen zou hij in de krant Erik van S. worden genoemd en niet Erik van Straten. De belastingdienst zal niet zomaar alles wat ze over hem weten publiekelijk leesbaar maken. Zijn huisarts zou niet opeens zijn medische dossier op straat gooien. De privacy die de inbreker inlevert is duidelijk afgebakend, en buiten die kaders blijft het recht op privacy gewoon bestaan, ook voor een inbreker.

[1] https://xkcd.com/386/ ;-)

@Erik van Straten: Dank voor de kwalitatief goede discussie die je hier hebt aangezwengeld, dank ook aan alle andere inhoudelijke bijdragen.

Ik geef toe dat ik met een stel uitzonderlijke tegenvoorbeelden gekomen ben, (Uit het ongerijmde zelfs), maar dat is met de bedoeling om de definitie juist scherper te maken.
Interessante definitie. En hoe zit dat dan met de informatie die de belastingdienst verzamelt ten behoeve van de belastingheffing? Belastingheffing is in jouw nadeel, maar de belastingdienst mag (wettelijk) gegevens verzamelen en gebruiken. Of kunnen we de hele belastingwet immoreel noemen omdat de overheid misbruik heeft gemaakt van haar recht om wetten te maken?

Sorry?!? Dit heeft echt alles met privacy te maken. Als jouw medische gegevens bij een verzekeraar bekend zijn, kan die bijvoorbeeld besluiten om jou een hogere premie te geven of je zelfs uit te sluiten van een verzekering, omdat je een te hoog risico vormt. Ja, dat mag nu wettelijk (nog) niet, maar afscherming van jouw gegevens voorkomt dit. Als je streng gelovige familie erachter komt dat je homosexueel bent, loop je de kans dat je wordt verstoten. Je geaardheid valt zeker onder privacy. Als je vrienden er achter komen dat je op een bepaalde politieke partij hebt gestemd, kan dat de vriendschapsrelatie verstoren. Je politieke voorkeur is zeker wel privacygevoelig.

Deels mee eens. De Coronacrisis benadrukt dat de meeste mensen behoefte hebben aan sociale contacten, gebaseerd op wederzijds vertrouwen dat er geen misbruik wordt gemaakt van dingen die we van elkaar weten, waarvan we (liever) niet willen dat anderen ze weten.[/quote]Je opmerking heeft niets te maken met de beschrijving van metale vrijheid.

Ik denk dat je nog eens wat meer moet nadenken over wat privacy in brede zin betekent, want je beeld daarvan is niet juist of onvolledig.

De titel heb ik maximaal ingekort om deze op de voorpagina van security.nl te laten passen terwijl deze redelijk aangeeft waar het over gaat.

Maar goed, ook "Voor mij is privacy omgekeerd evenredig met het risico dat er misbruik wordt gemaakt van gegevens van en/of over mij, in mijn nadeel of van mijn naasten" zou als een strikt wiskundige formule kunnen worden opgevat (waar zelfs hyperbolen bij gefantaseerd kunnen worden), maar daar gaat het natuurlijk niet om.

In ging ervan uit dat lezers van security.nl wel weten dat bij risico-analyses meestal gebruik wordt gemaakt van

risico = kans (dat misbruik plaatsvindt) x impact (hoe erg is het, inclusief hoe erg vindt het slachtoffer het)

Dat hoeft overigens niet zo lineair te zijn als weergegeven. Vaak wordt hiervoor een risicotabel (matrix) van bijv. 5 x 5 mogelijkheden gebruikt. Persoonlijk pleit ik er altijd voor om het risico kunstmatig te verhogen als de impact zeer hoog en de kans laag is (het Fukushima effect). Voorbeeld: https://en.wikipedia.org/wiki/Risk_matrix.

Als het risico zeer laag is, is er sprake van zeer hoge privacy, en vice versa.

Met alle respect, maar zelfs fotografie was toen nog iets heel bijzonders. Als een plassexfilmpje van een BN'er het internet overgaat, dan is op z'n minst een deel van het probleem van die BN'er dat grote aantallen wildvreemden lacherig doen of haar gedrag veroordelen - terwijl zij zelf door hen met rust gelaten wordt.

In het huidige - in toenemende mate digitale - tijdperk, vind ik "het recht om alleen gelaten te worden" zeer onvolledig. Voorbeeld: https://www.security.nl/posting/676585/AFM%3A+nieuwe+risico%27s+door+jacht+op+persoonlijke+financi%C3%ABle+data. Als allerlei partijen, achter jouw rug om, jouw gegevens delen of uitwisselen, kan dat terwijl jij alleen en/of met rust gelaten wordt. Hoewel het losstaande woord "privacy" niet voorkomt in dat stuk en maar 1x in de PDF, vind ik dit wel degelijk onder privacy vallen (d.w.z. een inbreuk op). En jij?

De AP heeft veel te weinig mensen en handhaaft hooguit achteraf. Dat is gewoon niet goed genoeg.

Nogmaals, bij ISO 27001 en ISO 9001 gaat het om de risico's die een organisatie loopt. Bovendien zijn er flutauditors die ISO 27001 certificaten vertrekken als je gedocumenteerd hebt waarom je niet of nauwelijks beveiligt. Ofwel ISO 27001 moet worden aangepast, ofwel er moet een aparte certificering komen waaruit blijkt welke privacy-risico's mensen lopen die hun gegevens aan die organisatie toevertrouwen.

Daarnaast moet het verboden worden om persoonsgegevens te verzamelen, tenzij het belang daarvan (regelmatig) wordt aangetoond (dus niet slechts een meldplicht zoals nu), waarbij het om een aantoonbaar en breed ondersteund algemeen belang moet gaan, of waar dit aantoonbaar in het belang is van de betrokkene. Voor alle overige verzamelde persoonsgegevens (zeker i.v.m. een zakelijk belang) zou m.i. expliciete toestemming moeten worden verleend door elke betrokkene (dus opt-in i.p.v. opt-out).

Eens tot aan dat de AP dit moet oppakken (en wat ik hierboven noemde, er moet sprake van een legitiem belang zijn). De AP kan niet elke organisatie, die persoonsgegevens van Nederlanders verzamelt, regelmatig auditten. Dat zullen die organisaties zelf moeten opdragen aan onafhankelijke (en gecertificeerd betrouwbare) auditors en wellicht pentesters.

De AP moet zich daarbij aan een veel te vage wet houden. Die wet deugt niet.

Je hebt gelijk. Ik had moeten schrijven: ... op het moment (of net daarvoor/daarna) dat zij inbreken.

Klopt, maar dat schreef ik al eerder.

Ik schrijf toch nergens dat privacy absoluut is? Wel dat ik "het recht om met rust gelaten te worden" de lading onvoldoende vind dekken.

Links bovenaan deze pagina staat: "Privacy - Wat niemand over je mag weten": ook dat is onzin. Als niemand iets van jou weet wat jou zou kunnen schaden, is er geen probleem. Feit is dat in onze drukke, en vooral digitale, samenleving, steeds meer organisaties (zowel overheden, NGO's als commerciële bedrijven) steeds meer van ons weten waardoor misbruik daarvan hand over hand toeneemt.

Wellicht kom ik wat mopperig en/of eigenwijs over, maar de meeste bijdragen geven mij nieuwe inzichten - en dat waardeer ik zeer!

Dat is geen misbruik, er is immers sprake van een wettelijke basis (zie ook mijn eerdere voorbeeld van de flitser). Tenzij de belastingdienst, zoals bijv. in het kader van toeslagen, uitgaat van fraude op basis van de afkomst van de betrokkene.

Overigens is belasting betalen, voor de gemiddelde burger, helemaal niet alleen maar nadelig; je krijgt daar immers ook iets voor terug. Straatverlichting kost energie, politieagenten en soldaten verdienen ook een inkomen etc. Natuurlijk is het discutabel of elke Euro belastinggeld verstandig wordt besteed (ik noem geen voorbeelden om de discussie on topic te houden), maar ik vind het fijn dat wij niet zomaar door bruggen zakken zoals in Genua (sorry toch een voorbeeld). Maar laten we er geen discussie van maken of belastingen te hoog of te laag zijn.

Ik had niet moeten schrijven dat deze zaken niets met privacy te maken hebben. Wel zijn dat m.i. allemaal consequenties van een gebrek aan privacy. Maar de grenzen zijn helaas niet altijd even scherp.

Privacy betekent volgens mij dat je dingen kan doen zonder dat de buitenwereld daar weet van heeft, inbreuk op maakt,
of invloed op heeft. Je kan "meer privacy" onderscheiden van "minder privacy".

Naar mate de buitenwereld meer van je weet (waardoor het risico ontstaat dat men m.b.v. deze kennis inbreuk zal maken op je privacy, of men je zal beïnvloeden) is je privacy minder. Ook al wordt die inbreuk (nog) niet daadwerkelijk gemaakt,
en ook al wordt je (nu nog) niet beïnvloed. Het risico dat dit namelijk toch eens zal gebeuren, hangt je echter voortdurend boven het hoofd.

Kennis is macht: alles wat iemand van je weet kan op een kwaaie dag tegen je worden gebruikt.
De tegenpool hiervan is: wat niet weet, wat niet deert.
Spreken is zilver, zwijgen is goud...

ssssst...

Mooi dat je van een bia met cia, engelstalige termen ipv dataclassificatie en biv, uitgaat.
Daarmee met een hoogover beleid (iso27xx seire) naar een realisatie gaat werken. Daar ben ik echt blij mee.

Daar heb ik echt wel moeite mee, het is een poging het begrip pricay een ander context te geven. Voor je het weet draait het om naar een soort newspeak.

Het is exact de juiste essentie, je weet iets maar gaat het NIET aan de grote klok hangen niet in een krantje of de tegenwoordige vorm op het internet plaatsten.

nope het is vollledig, j mag iets weten maar er verder niets mee doen, niet verhandelen of verder vertellen.

Deze daar heb ik echt problemen mee en met een falend AP die met huilende meute meeloopt maar niet tot een gedegen onderzoek in staat is. Lees de beetrffende Wobs over die lijst eens.
1/ Er is sprake van een falend BRP met te veel fouten
2/ de toeslagen wet vanuit de kamer gaat uit van onfeilbare registraties in de BRP en in de inkomsten
3/ De toeslagenwet gaat er vanuit dat een ieder alle wetgeving kent en de toekomstige inkomsten voor het lopende jaar prima kan inschatten.
4/ wegens onvoldoende inkomen om van te leven heeft men 7 miljoen (echt zowat meer dan de helft van gezinnen) van een regeling voorzien.
Omdat fraude zo een vrij pinnen zonder controles zo wel echt makkelijk is is een van de controles of de aanvrager wel Nederlander / woonachtig in Nederland is. Voor de foute ontbrekende BRP registraties is het enige overblijvende houvast nog de naam. Alles zonder meer overmaken naar marrokko polen bulgarije levert een boel commotie op.
Nee dat is geen selectie op afkomst van betrokkkene. Het is een falend AP die het kunnen weten van een BSN als een probleem ziet maar verkeerde registraties persoonsverwisselingen ontbrekende controle op de juiste persoon normaal vindt.
Daarmee werken ze naar het faciliteren van fraude misbruik of schade door foute registraties privacy inbreuken van jewelste
als resultaat .

"Voor mij is privacy omgekeerd evenredig met het risico dat er misbruik wordt gemaakt van gegevens van en/of over mij, in mijn nadeel of van mijn naasten."

Privacy gaat, aldus wikipedia, om de afscherming van persoonsgegevens, het eigen lichaam, de woning of leefruimte, familie- en gezinsleven. Privacy omvat ook het recht vertrouwelijk te communiceren, zoals via brief, telefoon, e-mail.

Oftwel: ik denk dat de formule wel werkt misschien, maar alleen van toepassing is op de persoonsgegevens. Niet op de andere dingen. Want als ik mijn gordijnen van mijn huis dichtdoe, en tegen mijn gezin kan zeggen wat ik wil, is het al een privacy inbreuk als alleen de buurman al blijkt te kunnen horen wat ik zeg. Nog zonder dat er misbruik wordt gemaakt, of zelfs als dat in mijn voordeel zou kunnen werken.

Dus ik benadruk: zelfs als het positief zou werken voor mij, maar ik niet wil dat iemand het hoort, ziet, voelt of ruikt, is dat voor mij een inbreuk op mijn privacy.

Misschien is de formule uit te breiden?

Privacy is security

En beiden zijn dood... RIP

Ik heb problemen met het argument dat als het wettelijk geregeld is het geen misbruik is. Ik herhaal de vraag: Hoe weten we dat de overheid geen misbruik heeft gemaakt van haar wetgevende mogelijkheden om zaken te legaliseren? (Ik kan me een rel herinneren over vingerafdrukken voor het paspoort die tijdenlang opgeslagen werden, in Frankrijk als ik me niet vergis.)
Een ander voorbeeld: Zou het misbruik van gegevens zijn als de politie in het kader van "preventief onderzoek" bij alle eigenaren van dure auto's gaat kijken of ze die volgens hun belastingaangifte kunnen betalen?

P.S. Ik ben het met je eens dat de staat met de belastinginkomsten (ook) nuttige zaken regelt.

@12:32 uur, Q, Erik van Straten en


Ik breek even in in jullie beeldvorming.


Wat hier in de duiding ontbreekt zijn geoorloofde inzage in een deeltje van iemands persoonlijke levensfeer en wat je in dit voorbeeld zou moeten opsplitsen, de kans dat er misbruik plaats vindt.
Dat kan bij de context van onderstaand voorbeeld gaan om:
- een kans van misbruik na geoorloofde toegang tot gevoelige gegevens van iemand (schending beroepsgeheim, onzorgvuldig laten rondslingeren van de opgezochte gegevens, et cetera)
- een kans dat er ongeoorloofde toegang toe de gevoelige gegevens van iemand plaats ontstaat (moedwillige phishing bij .
- een kans dat zich via een vooraf niet voorziene handeling gevoelige gegevens inzichtelijk zijn.

"Geen risico, onbeperkte privacy. Wel risico, minder privacy." gaat meer over blootstelling van iemands privacy en eventuele inbreuken erop.
Maar de privacy blijft daarmee hetzelfde, namelijk een collectief gegeven dat wordt geborgd door sociale omgang normen, voorwaarden en beperkingen voor overheden van geschreven en ongeschreven regels.

De potentiële kans op privacy schending is in die zin de afgelopen jaren sterk toegenomen koppelingen binnen die zorg-systemen, bij huisartsen weer deels met andere componenten die de kans vormen dan bijvoorbeeld GGD organisaties of verzekering-artsen die bij opdrachtgevers op een locatie de dossiers opstellen en (na)bewerken.

Ik zou zeggen, daar is zeker extra toegangen tot andermans persoonlijke levenssfeer bijgekomen die leidinggevenden extra sleutels in de handen geeft om zorg of vergoedingen mee een richting in te sturen die een minister van zorg en mensen zelf mogelijk liever niet zouden willen tolleren.
In gevallen kan dat tegen mensen zelf worden gebruikt door informatie te aggregeren en met onvolledig inzicht van de persoon zelf allerlei sturende keuzes te maken.
Quali's op individueel niveau is zo'n thema van misbruik van iemands medische inzichten.
(Quali's op sterk geabstraheerde niveau's met ruime variatie van aard en omvang van iemands medische situatie ligt al weer genuanceerder. Je kan daar automatisch ook minder op iemand gerichte conclusies over trekken en tegen de persoon gebruiken / misbruiken)

Het gaat om handelingen die gaan over of aanschurken tegen misbruik van de vergaarde gevoelige informatie.
Dat is een continu aanwezig risico en hoog.
Qua inschaling als hoge kans geldt ook dat bij goede zorgverlening op basis dat die de gevoelige informatie er juist is.
Puur ten bate van de patiënt zelf.
Het ver-netten van alle informatie van iemand met allerlei koppelingen draagt niet per definitie rechtstreeks bij aan een passende vraag oplossing / herstel begeleiding van iemand.
Maar het effect als het misgaat kan eerder groot zijn, tegenover een minder ver-nette medisch informatie systeem.


Dat gaat over het grondrecht dat je hebt, namelijk het recht op ongeschonden levenssfeer.
Daar is privacy wel een onderdeel.
Dat recht betekent echter niet dat als je zogenaamde rechtshandelingen verricht, zoals een koop - betaling verplichting aangaan, dan is een betaling met cash een vanzelfsprekend betere borging voor de privacy.
Maar als je afspreekt om binnen 30 dagen te betalen dan moet je daar vanzelfsprekend bijkomende afspraken en informatie voor uitwisselen. Dat gebeurt dan sec uit hoofde van de koop-overeenkomst.
Er mogen alleen gegevens worden vastgelegd en gevraagd die nodig zijn voor het sluiten van de verbintenis.
Vraagt een verkoper meer, dan stuit dat wel op iemands privacy rechten.
En bijkomend is de kans dat rondom zo'n 30 dagen betaal-regeling of een digitale betaling iets misgaat met iemands persoonlijke gegevens natuurlijk zeker mogelijk, hoger dan bij een directe betaling van de koop met cash.

Als je de koop officieel mocht herroepen omdat je van de koop afwilde en je dat conform de redelijkheid voorschriften gedaan hebt, dan heb je natuurlijk wel degelijk het recht om door die zeurende verkoper met rust te worden gelaten.
Wat het recht op privacy en rust is, rondom een mogelijk koop handeling, ligt dus net weer af van situatie die voor of na de koop ontstaat. Door bijvoorbeeld de verkoper een wan-product heeft geleverd of een consument die recht heeft op herroeping van de koop op basis van de afkoeling periode.

Wie zei dan dat privacy een absoluut recht is?
Er zijn in ons rechtsstelsel trouwens nauwelijks absolute rechten.
Het recht op leven is wel een absoluut recht.

Je zou daareentegen er wel van uit mogen gaan dat privacy een niet al te veranderlijk iets is.
Een door de tijd behoorlijk gelijkblijvend afbakening van het concept.
Waarbij bepaalde inbreuken absoluut niet te tolleleren zullen blijven en bepaalde zaken ook enkel onder voorwaarden (niet zijnde onder druk zetten van bevolking, gemoedstoestand, THENO's en opinie) wel elementen die onder privacy gedeeld mogen worden door de toehoorder van diens privacy in het maatschappelijk verkeer.


In die zin kan blootstelling van iemands privacy variëren per geval en dus veranderlijk zijn.
De risico's die daar mee samenhangen zijn ook veranderlijk.
Maar iemands privacy zal als het goed is voor velen tot iedereen een constante zijn.

@ 21:24 uur, Annoniem,
Mijn persoonlijke beleving is dat privacy en security uitgebreid in een steeds dieper wordend graf liggen.
Maar dood, nee. Zeker niet. Er kan worden gewerkt aan revitalisatie ervan.
Zodat privacy en security een onkreukbaar gegeven zijn.

Dan moet je wel met elkaar aan de bak.
Gericht elementen en situaties verbeteren waar privacy bij het graf wordt gegooid.
Maar minister Grapperhaus zei dat hij de eerste was die die handschoen wilde oppakken.
Laten we hopen dat ie geen graf-graver wordt.

Degene op wie je reageerde wel. Ik reageerde niet alleen op jou, ik reageerde op jullie, zoals uit de eerste zin van mijn reactie bleek. Jij had gereageerd op die ander alsof je het er precies mee eens was. Je hebt je instemming al verduidelijkt, maar ik hoop dat voor jou duidelijk is waar ik op reageerde: iemand schuift mensen die de genoemde definitie van privacy een goede vinden in de schoenen dat ze privacy als absoluut zouden zien, en jij leek je enthousiast bij die opvatting aan te sluiten. Ik had daarmee wel degelijk een reden om ook op jou zo te reageren. Wat mij betreft is dat inmiddels rechtgezet.

{1}: Drie aspecten:

(a) Conform de definitie van privacy links bovenaan deze pagina: "wat niemand van je mag weten": tenzij je met een brainwave-detector op je kop rondloopt, weet (voor zover ik weet) niemand wat jij denkt. Je kunt desgewenst iedereen om de tuin leiden (zoals de Weense terrorist deed). Zelfs in dit geval bestaan er risico's, nl. dat je jouw geheimen in een dronken bui in de kroeg of tijdens een hypnose eruit floept, of dat je bezwijkt onder de druk van een verhoor (al dan niet met leugendetector, waarheidsserum of marteling).

(b) Als het (tevens) om gedrag gaat, zul je een heel stil/verlaten plekje moeten zoeken voor maximale privacy. Bijvoorbeeld als streaker loop je immers de kans om gezien te worden (dat risico zou dan ook wel eens de kick kunnen zijn, mogelijk onbewust). In de buitenlucht bij voorkeur als het bewolkt is (sommige satellieten hebben camera's met steeds hogere resolutie). Hoed je voor drones en wildcamera's. Je kunt natuurlijk ook gezien worden onderweg naar/van die verlaten plek. En zorg dat je geen sporen achterlaat als je rottigheid uithaalt.

(c) Nog lastiger wordt het als er contact met "de buitenwereld" noodzakelijk is, bijv. als je in Slovenië wapens probeert te kopen (of veel kustmest terwijl je op de 5e etage woont). Voor elke vorm van communicatie bestaat een risico op afluisteren, ook al is de beveiliging nog zo goed (https://www.security.nl/posting/663222/Politie+kon+in+real-time+meelezen+met+berichten+van+EncroChat-gebruikers) en elke partij waarmee je communiceert kan jouw vertrouwen beschamen.

M.a.w. 100% gegarandeerde privacy bestaat niet op deze dichtbevolkte en gedigitaliseerde wereld, en de risico's nemen alleen maar toe (voorbeelden: https://www.zdnet.com/article/police-launch-pilot-program-to-tap-ring-smart-camera-live-streams/ en de afluisterschandalen van Siri en Android). Er zijn dus altijd risico's, hoe klein ook, dat "de buitenwereld daar weet van heeft".

{2} en {3}: dat lijken mij concrete risico's.

Dat is exact conform mijn definitie, begrijp ik hieruit dat je het met mij eens bent?

Juist uit artikelen op sites als security.nl blijkt dat onze privacy steeds verder onder druk komt te staan. Een groot deel van die artikelen gaat over persoonsgegevens die worden verzameld, al zijn gelekt of al worden misbruikt op een manier waar tot ca. 1984 hooguit voor werd gewaarschuwd. Hoewel we nog steeds het woord privacy gebruiken, is de betekenis van dat begrip simpelweg enorm veranderd.

Vroeger stonden we met naam, adres en telefoonnummer in publiekelijk uitgegeven telefoonboeken. Dat kon omdat er aanvankelijk geen (of nauwelijks noemenswaardig) misbruik van werd gemaakt. Het misbruik begon met ongewenste telefoonspam waarna het bel-me-niet-register ontstond. Die vorm van misbruik (en andere vormen van reclame-spam) past inderdaad nog bij de oude definitie van privacy, nl. met rust gelaten worden. Gewone reclamespam is echter vooral hinderlijk; m.a.w. de impact daarvan, vergeleken met bijv. identiteitsfraude, is minimaal.

Daarom dekt "met rust gelaten worden" in een toenemend aantal gevallen de lading van het oude begrip "privacy" niet meer. Als MathFox (heeft iets met camera's ;-) of ik een camera boven het stemhokje hangt waar jij stemt, of in het plafond boven de pinautomaten bij jouw buurtsuper, word je gewoon met rust gelaten terwijl je stemt of betaalt - maar kunnen anderen jouw politieke voorkeur of pincode achterhalen. O.a. daarom vind ik "met rust gelaten worden" te ver afstaan van het onderliggende probleem: het risico op misbruik van informatie van/over jou.

Praktijkvoorbeelden: in het geval van https://www.security.nl/posting/676708/Zweedse+verzekeraar+deelde+priv%C3%A9data+miljoen+klanten+met+techbedrijven en https://www.security.nl/posting/646359/Tennisbond+krijgt+525_000+euro+boete+voor+verkoop+persoonsdata laten die Zweedse verzekeraar hun klanten, en de tennisbond hun leden, met rust. Naast dat je reclamespam van derden kunt krijgen (dat je nog onder "niet met rust gelaten" zou kunnen scharen) loop je het risico op profileren (derden kunnen gegevens van jou mogelijk uit meerdere bronnen combineren) waarna die gegevens verder verrijkt, verkocht en/of gelekt kunnen worden terwijl jij met rust gelaten wordt.

Ondertussen nemen de risico's voor jou, en voor jouw naasten, wel toe. Immers, hoe meer informatie criminelen over jou hebben, hoe eenvoudiger zij jou bijv. ervan kunnen overtuigen dat zij een medewerker zijn van een partij die jij vertrouwt. Echter, hoe meer zij van jou weten, hoe eenvoudiger zij zich ook kunnen voordoen als jou - richting jouw familie, vrienden en collega's. In dat laatste scenario word jij volledig met rust gelaten - tot de gedupeerden contact met jou opnemen, maar vaak is het leed dan al geleden.

Het uitleggen van "iets weten maar er verder niets mee doen, niet verhandelen of verder vertellen" als "het recht om alleen gelaten te worden" vind ik meer dan vergezocht, absurd zelfs.

Ik weet dat je geen goed woord over hebt voor de AP, die -net als de politie- niet verantwoordelijk is voor misstanden, op basis van waardeloze wetgeving moet opereren en dat met veel te weinig menskracht. Ik ga daar verder niet met jou over in discussie.

Je laat daarmee wel heel veel weg uit https://nl.wikipedia.org/wiki/Privacy. Bijvoorbeeld (vette opmaak toegevoegd door mij, voor de denkers dat "met rust gelaten worden" volstaat als definitie):

Dank, dat is mijn hoofddoel.

Ik ben het niet met jou eens dat er sprake zou zijn van een privacy-inbreuk als jouw buurman, zonder dat hij daar op uit is, hoort wat jij zegt (beiden binnen of in de tuin). Dan zou het ook een privacy-inbreuk zijn als iemand een tafeltje verderop in een restaurant hoort wat jij met jouw tafelgenoot bespreekt, of jij bellend in de trein vanalles rondbazuint. M.i. is er pas sprake van een privacy-inbreuk als jij redelijkerwijs voldoende maatregelen hebt genomen om afluisteren te voorkomen en derden moeite moeten doen om die maatregelen te omzeilen. Als jij in een gehorig huis woont weet je dat heus wel, daar zul jij je op aan moeten passen. Net zoals organisaties die over jouw gegevens beschikken, zij die gegevens fatsoenlijk moeten beveiligen.

Als jij onvoldoende (beveiligings-) maatregelen neemt om te voorkomen dat een derde "het hoort, ziet, voelt of ruikt", is het m.i. geen inbreuk op jouw privacy, maar heb je de verkeerde verwachtingen. Als, met redelijke maatregelen, een derde -met enige moeite- "het " desondanks "hoort, ziet, voelt of ruikt" heeft die derde daar vermoedelijk een belang bij, en zelden is dat in jouw belang.

Wellicht, maar je hebt mij nog niet overtuigd van de noodzaak.

Je kunt altijd naar de rechter stappen; het komt regelmatig voor dat de overheid wordt teruggefloten. Als de (hoogste) rechter jou in het ongelijk stelt, kun je het gebruik van jouw privacy-gerelateerde gegevens zelf misbruik blijven noemen, maar dan sta je wel alleen. Ook advocaten roepen vaak dat bewijs (vaak privacy-gerelateerde gegevens) op onrerchtmatige wijze is verkregen en dus misbruikt wordt - maar of dat zo is bepaalt nog altijd de rechter.

Als er geen wet of geautoriseerde (politie-) verordening (zoals bij preventief fouilleren) voor bestaat, is dat misbruik. Ik ben geen jurist maar verwacht dat dit niet legitiem zou zijn.

Vergelijkbaar, je kunt als gemeente(n) wel een systeem willen dat, op basis van profielen van burgers, voorspelt wat de kans is dat individuele burgers zullen frauderen met uitkeringen, subsidies etc., maar dat wil nog niet zeggen dat wij, als democratische rechtsstaat (met alle bijbehorende kanttekeningen), zo'n systeem acceptabel vinden - ongeacht of regeringen en zelfs burgers in landen zoals China daar waarschijnlijk heel anders over denken.

@Anoniem 04-11-2020, 00:09: je stelt geen duidelijke vragen, wil je een reactie van mij, en zo ja, op welke onderdelen?

Prima!

Laat ik eens advocaat van de duivel spelen tegen mijzelf. Uit https://www.nrc.nl/nieuws/2020/10/26/13-australische-vrouwen-gedwongen-inwendig-onderzocht-in-qatar-a4017396:

Dat klinkt als een privacy-schending. Uit https://nl.wikipedia.org/wiki/Privacy:

Opvallend genoeg komt het woord privacy niet voor in het bovenstaande NRC-artikel. En ook niet in https://www.volkskrant.nl/nieuws-achtergrond/australie-boos-op-qatar-vrouwen-krijgen-inwendig-onderzoek-op-luchthaven~b6db2f41/, https://www.theguardian.com/world/2020/oct/26/i-was-absolutely-terrified-australian-witness-recounts-qatar-strip-search-ordeal, https://www.ad.nl/buitenland/grote-zorgen-in-australie-vrouwelijke-passagiers-inwendig-onderzocht-op-luchthaven-qatar~a561306f/, https://nos.nl/artikel/2353858-vrouwelijke-passagiers-inwendig-onderzocht-op-luchthaven-qatar.html, https://www.rtlnieuws.nl/nieuws/nederland/artikel/5192680/australische-kim-ontkwam-aan-inwendig-onderzoek-bij-vliegtuig-ik, https://www.rtlnieuws.nl/nieuws/buitenland/artikel/5192584/qatar-vrouwen-vliegtuig-baby-australie-woedend-onacceptabel, https://m.nieuwsblad.be/cnt/dmf20201025_96986803 en https://www.trouw.nl/buitenland/qatar-biedt-excuses-aan-voor-baarmoederonderzoeken-op-luchthaven~b4a4d543/.

Gaat het hier (nog) wel om privacy? Of om mensenrechten of lichamelijke integriteitsschendingen?

Nb. ervan uitgaande dat de onderzoeken door vrouwelijk medisch personeel zijn uitgevoerd en er geen foto's o.i.d. van de onderzoeken zijn gemaakt.

Ik vind dit heel lastig. Als dit een "privacy-inbreuk" is, en https://www.security.nl/posting/676741/Gestolen+priv%C3%A9data+studenten+Universiteit+van+Newcastle+online+gezet is dat ook, dan vind ik dat we daar verschillende woorden voor zouden moeten hebben. Comments?

Ik denk van niet.
Het begrip privacy slaat op het privé houden van alles wat met jezelf te maken heeft. Punt.
Privacy is dus het recht om jezelf niet te laten kennen,
om je gedachten, ideeën, gegevens, leefgewoonten enzovoorts helemaal voor jezelf oftewel privé te houden.

Dat andere mensen vaak toch dingen van je (moeten) weten heeft met privacy niets te maken,
maar heeft juist alles te maken met het tegenovergestelde van privacy, namelijk: informatie verstrekken over jezelf.

De reden waarom wij soms toch (een stukje van) onze privacy opgeven, heeft meestal te maken met dat we er iets anders voor terug krijgen of kunnen krijgen. We ruilen onze privacy dus in voor dingen die we willen (begeerte), of denken te willen, of die we nodig hebben (noodzaak) of denken nodig te hebben.

Als je had geschreven:
Mijn bereidwilligheid tot inleveren van (een deel van) mijn privacy is voor mij omgekeerd evenredig met het risico dat er misbruik wordt gemaakt van gegevens van en/of over mij, in mijn nadeel of van mijn naasten.
dan was ik het roerend met je eens geweest.

Als je informatie over jezelf deelt (of [*]) is er dus geen sprake meer van privé en dus ook niet meer van privacy.

[*] als anderen informatie over jou opzettelijk of onbedoeld delen, of als jij persoonlijke en/of identificerende informatie van derden krijgt - zoals een BSN-nummer of identiteitsbewijs van de overheid, of een toegangspas, personeelsnummer en e-mail-adres van jouw werkgever.

Dan zou het woord privacy dus niet van toepassing zijn binnen de ICT (en ook niet binnen de oudere papieren-in-archiefkasten aanpak). En zouden we i.p.v. privacy-gevoelige gegevens bijv. van vertrouwelijke persoonsgegevens moeten spreken. Of daar een nieuw woord voor moeten verzinnen...

Zie ook mijn vorige bijdrage.

Aanvulling: de afkorting PII (Personally Identifiable Information) is denk ik ook niet handig, want de mate waarin persoonsgegevens helpen om jou uniek te identificeren, verschilt nogal. Als ik bijv. een van jouw wachtwoorden weet te achterhalen, is dat nauwelijks een identificerend gegeven te noemen (het is wellicht wel identificerend voor één of meer accounts, maar niet persé voor jou als persoon).

22:37 uur, Anoniem
23:20 uur, Erik van Straten

[/quote]Het begrip privacy slaat op het privé houden van alles wat met jezelf te maken heeft. Punt.
Privacy is dus het recht om jezelf niet te laten kennen,
om je gedachten, ideeën, gegevens, leefgewoonten enzovoorts helemaal voor jezelf oftewel privé te houden.[/quote]Klopt.
Als delen informatie met toestemming uit iemands privé sfeer gezien wordt, dan blijft het nog altijd DE privacy van de toehoorder. Niet die van de verwerker. Dat is wettelijk zo geregeld.

Je privacy blijft jouw privacy. Zeker als sociaal maatschappelijk gegeven.
Het inleveren van een deel van privacy is trouwens een vooral een gedachte (een fictie) in het juridische taal & denken.
Daar heeft minister Grapperhaus terecht ook op gewezen met diverse voorbeelden en opmerkingen dat die heel wel mogelijk verder debat kunnen krijgen.
Iemands privacy blijft dus gewoon van iemand zelf, ook als delen daaruit bij derde personen belanden.

Wat misschien aanschurkt tegen wat je als voorbeeld neemt, maar levert een andere weging op van wat er wel/niet met privacy kan gebeuren;
in sociaal maatschappelijke context kan iemand overeenkomen op basis van specifieke instemming dat een ander onder voorwaarden inzage krijgt in informatie (= breder dan data) van diens persoonlijke levenssfeer, persoonlijke levens-gangen en wandel , persoonlijke overtuigingen et cetera.
Je ziet hierdoor dat privacy een bredere bandbreedte heeft dan data.
Data wijst in deze context namelijk op een ietwat te vertroebelend en vrij smalle sub-set van privacy gerelateerd informatie.
Waarbij data impliceert Grapperhaus wijst op het volgende:
- dat data suggereert dat er al een uitwisseling c.q. opslag van deel-informatie uit die bredere privacy heeft plaatsgevonden.
Alsof de onttrekking of deling van privacy gevoelige informatie al een voldongen feit is.

En mogelijkerwijs kan data aan een onterechte impliciete aanname leiden op basis van enkel de term data dat er impliciet / automatisch sprake zou zijn van:
a) verleende toestemming voor enkelvoudig gebruik op basis van een legitiem en specifiek verzoek of
b) geoorloofd gebruik door een specifiek daartoe aangestelde functionaris, na toestemming in verband met een rechtshandeling, uit hoofde van uitvoering van iemands functie.

Het inleveren van privacy gaat in Nederlandse / EU context dus puur over een theoretische politieke beleidsmatige vraag met persoonlijke voorkeur om iets structureel te verleggen.
Die gaat dus bij voorbaat niet om een praktische uitvoering vraag waarbij iemand een verzoek voorgelegd zou kunnen krijgen informatie van diens privacy te delen in een specifiek geoorloofde situatie (minimaal (maar niet uitputtend) op basis van criteria a en/of b).

De stelling of rekensom om privacy in te leveren sluit dus niet goed aan bij de casus die Erik van Straten voorlegde met betrekking tot een uitvoering behoefte met data.

Met de gordijnen als voorbeeld kan privacy weliswaar niet in het geding zijn maar de persoonlijke levenssfeer wel.
Want je moet je in principe onbespied aan je eigen eettafel een diner kunnen genieten.
Dat is aanpalend aan dezelfde reden waarom er bescherming van privacy is.
Evengoed is het onvermijdelijk dat als je zicht op straat hebt dat je dan iemand diens huis kan zien verlaten, daar is dan weer geen privé beletsel tenzij er iemand continu over diens deur-drempel bespied en/of gevolgd wordt.
De situatie van een terras en restaurant wordt doorgaans geschaard onder het publieke domein en niet tot het privé domein.
Het afluisteren van gesprekken na sluitingstijd van een restaurant is wel weer een sub-categorie.
Maar in het publieke domein van een restaurant hoor je weer niet allerlei afgeluisterde privé gegevens van iemand in een restaurant door te bazuinen.
Dat is dan ook weer op ongeoorloofd iemands levensfeer inbreken.
Bij een publiek persoon of iemand die in een publiek debat betreed liggen de beperkingen voor het beschermen van iemands levensfeer en opvattingen vanzelfsprekend weer wat ruimer.

Daardoor zijn de elementen die in de huidige formulering van de formule staan incompatibel met hoe privacy wel werkt en wat daar wel en wat daar niet onder wordt gerekend.
De formule heeft dus herformulering nodig.

Ik heb hier over zitten denken. Hoe definieer je "met rust laten"?
Voorbeeld tennisbond: de persoonsgegevens zijn aan de bond verstrekt met een bepaald doel (nl. leden administratie). Door zonder expliciete toestemming de gegevens door te verkopen aan iemand die er iets mee wil (immers, anders geven ze er geen geld voor!) laat je je leden dus niet met rust zoals je stelt. Hetzelfde voor de verzekeraar. Dus iemand of een organisatie die iets met gegevens van derden doet, zonder expliciete toestemming of andere wettelijke noodzaak maakt misbruik van gegevens, waardoor de persoon over wie die gegevens gaan niet "met rust gelaten wordt".
(dus eigenlijk wat in de GDPR geregeld is :-) ( sorry, kon het niet laten))
Volgens mij ook het voorbeeld van het telefoonboek: daar stond je in zodat anderen je kunnen bereiken (het doel), maar niet om reclame bedrijven toestemming te geven om jou zo maar te bellen. In 1960-70 waren de kosten voor een telefoongesprek zodanig hoog dat dit soort reclame niet bestond: men werd "met rust gelaten". Dus waren er weinig "geheime nummers" want je werd met rust gelaten behalve als je een bekend persoon was.
Door nieuwe technologie werd bellen goedkoper, zeker voor grootgebruikers, en was de business case gemaakt: mensen werden niet meer "met rust gelaten". De stelling "ja maar het zijn openbare gegevens" gaat dan in het kader van privacy niet op, want ze waren openbaar gemaakt met als doel het helpen zoeken van een nummer van iemand die je kent. Alleen is "reclame gesprekken" nooit als toegestaan gebruik opgenomen, maar ook nergens verboden.
Kom ik weer op de AVG/GDPR: je mag alleen gegevens verzamelen voor een vooraf gedefinieerd doel (telefoon boek: om je kennissen in staat te stellen je te vinden) en niet voor iets anders (telefoon boek: reclame telefoontjes).

Ook het andere uit de GDPR heeft hier mee te maken: gegevens moeten "afdoende beschermd zijn". Ofwel, gegevens van derden die iemand of een organisatie onder beheer hebt moeten zodanig beschermd zijn dat derden er niet bij kunnen. Want als die eenmaal bij derden zijn, kunnen die misbruik maken, en de betreffende personen "niet met rust laten"

Terug naar je originele vraag: privacy is omgekeerd evenredig met het risico op misbruik. Als je privacy definieert als "het recht om met rust gelaten te worden" en misbruik als "gebruik van gegevens voor een ongeautoriseerd doel" dan klopt het denk ik nog steeds: Als het risico van gebruik van jouw gegevens voor oneigenlijke doelen toeneemt, zal je minder met rust gelaten worden.

Q

Hier 04-11-2020, 12:00 en 04-11-2020, 12:35 (je antwoordde in de geciteerde reactie niet op mij).

Voor mij valt dit alles juist duidelijk wel onder het recht om met rust gelaten te worden. Met rust gelaten worden betekent voor mij dat het geen effect op je heeft. Je wordt niet alleen niet met rust gelaten als degene die persoonsgegevens heeft vastgelegd er zelf gebruik van maakt, je wordt net zo goed niet met rust gelaten als ze zijn doorverkocht of gestolen en de ontvanger van de gegevens er iets mee doet dat je wel raakt, ook als je niet eens meer kan terugherkennen hoe het tot stand is gekomen, en ook als je je er niet van bewust bent dat het gebeurt. En niet onbelangrijk: het heeft ook effect op je als je de wetenschap dat bijvoorbeeld Google of Facebook alles zal doen om gegevens over je te pakken te krijgen en te gebruiken heel onbehaaglijk vindt. Ook dat is een vorm van niet met rust gelaten worden, die bedrijven proberen de hele mensheid niet met rust te laten.

Bij persoonsgegevens kan dat effect zijn dat men probeert je gedrag te beïnvloeden met advertenties, dat men probeert je op te lichten of probeert zich voor jou uit te geven, dat er beslissingen op gebaseerd worden als je bijvoorbeeld een lening of verzekering probeert af te sluiten, noem maar op. Zodra persoonsgegevens die waar dan ook zijn vastgelegd dergelijke effecten hebben, direct of indirect, word je er niet mee met rust gelaten. Met rust gelaten worden betekent voor mij dat dergelijke effecten niet optreden.

(Voor degenen die dit standpunt vinden klinken alsof ik toch denk dat privacy tot in het absurde beschermd moet worden: nee, dat denk ik niet, er zijn wel degelijk legitieme privacyinbreuken. Als het legitiem is betekent dat alleen niet dat je met rust wordt gelaten, het betekent dat je legitiem niet met rust wordt gelaten.)

Bij digitaal vastgelegde persoonsgegevens is het risico op (ook onbedoelde) verspreiding en misbruik zo groot dat er een zware verantwoordelijkheid rust op de houder van die gegevens om ze heel goed te beschermen, en omdat de beste bescherming is om gegevens die niet werkelijk nodig zijn om te beginnen niet vast te leggen is er ook een zware verantwoordelijkheid om niets vast te leggen dat niet strikt noodzakelijk is. Beide principes zijn in de AVG verwerkt.

Misschien dat jij dat bazuinen onwenselijk vindt, maar dat is niet ongeoorloofd.

Zoals ik al meerdere keren heb geschreven: als jij de kans, dat informatie in verkeerde handen valt, zo klein mogelijk wilt houden, zul je die informatie navenant moeten beveiligen - rekening houdend met bekende en onverwachte dreigingen (zie bijv. https://security.nl/posting/676807). Dat is de basis van informatiebeveiliging.

Onzin. Het gaat de Farmers Defence Force niks aan waar Rob Jetten woont. Sterker, het is ongewenst dat zij weten waar hij woont. Ook Rob Jetten heeft recht op "privacy" (overigens begin ik dat een afschuwelijk woord te vinden waar iedereen, inclusief ikzelf, een eigen uitleg aan lijkt te geven).

@Anoniem ("Q") 06-11-2020, 09:06 en Anoniem 06-11-2020, 09:43 m.b.t. "privacy = recht op rust gelaten te worden":
Ten eerste heb je in elk geval juridisch geen poot om op te staan tegen bedrijf X als bedrijf of crimineel Y - die persoonsgegevens van jou onbevoegd heeft gekopieerd van X (vooral als jij daar geen bewijs van hebt [1]) of heeft gekocht van X en jij daar geen bewijs van hebt - jou vervolgens niet met rust laat. Dit gebeurt aan de lopende band en we zijn vleugellam. Zelf haal Q de voorbeelden van de Zweedse verzekeraar en de tennisbond aan: zij laten jou met rust en meestal claimen dat soort partijen dat zij niet aansprakelijk zijn voor wat die derde partijen doen met jouw gegevens - waar jij op jouw beurt geen overeenkomst mee hebt en in veel gevallen (zeker bij criminelen) niet eens weet dat jouw gegevens zwerven en bij welke partijen die gegevens allemaal terecht komen.

[1] https://www.security.nl/posting/675867/Mijn+persoonsgegevens+zijn+via+mijn+werkgever+gelekt_+Wat+kan+ik+juridisch+doen%3F

Ten tweede negeren jullie wat ik eerder schreef (onderstrepen toegevoegd):

Ten derde zie ik dat sommigen slechts het horen wat jij zegt (thuis maar zelfs in een restaurant) al een privacy-inbreuk vinden - terwijl jij daarbij met rust gelaten wordt. Zelf heb ik meerdere voorbeelden van vergelijkbare situaties beschreven waarbij de betrokkene zelf geheel met rust gelaten wordt (los van door derden niet met rust gelaten worden). Voorbeeld:

Ik noem nog maar een voorbeeld: als een man, onopgemerkt door de meisjes, foto's van hen maakt onder de deur door van kleedhokjes in een zwembad, of -onopgemerkt- met een videocamera met zoomlens achter een boom op een duin blote mensen op een naakstrand filmt, of beveiligingscamera's in een sauna hackt en de beelden uitkijkt, dan worden de slachtoffers letterlijk met rust gelaten - terwijl weinigen dit acceptabel zullen vinden.

Concreet, ik heb geen Facebook account en Facebook zelf laat mij met rust. Echter, ongetwijfeld weet Facebook wie ik ben en wat mijn telefoonnummer is (zelf gebruik ik geen Whatsapp, maar ongetwijfeld anderen met mijn nummer in hun adresboek, wel). Hoe had ik moeten weten, voordat dit uitlekte, dat Facebook persoonsgegevens verkocht aan Cambridge Analytica? Die mij ook "met rust laten", maar waarbij ik geen idee heb of zij gegevens van mij hebben/hadden, en wat zij daarmee doen of deden? En denken jullie echt dat Facebook het enige bedrijf is dat zoveel scheit heeft aan de vertrouwelijkheid van persoonsgegevens, en CA het enige bedrijf dat hier ooit misbruik van maakte of zal maken?

Kortom, dat je, in jouw beleving, door ontzettend veel bedrijven en overheden "met rust gelaten" wordt, is m.i. dus een volstrekt onvolledige indicatie van hoe er wordt omgesprongen met jouw -vertrouwelijke- persoonsgegevens.

@ Erik van Straaten,13:11 uur

Je maakt met een paar herkenbare typische aansprekende voorbeelden denk onbewust een paar bochten.

Iemands privacy gaat over, maar beperkt zich niet, tot wat een ander ermee doet. Dat onderken je volgens mij wel terecht.
Maar privacy gaat ook over:
1) het zogenaamde jein en dein.
Wat van een ander is en je in je geworpen krijgt mag je alsnog niet vrijelijk mee aan de haal gaan.
Dat grenst aan en valt in specieieke casussen zelfs al uit staande rechtspraak gewoon onder strafrecht vervolging!
Het OM kan daarvoor zeker niet terugvallen op rechtswerking rondom de strafregels van heling, maar iemand eventueel bespieden in een zwembad hokje en dan als een derde daar iets mee doen is gewoon onder voorwaarden reden tot ontslag en scherpe rechts vervolging. Daar is ook gewoon jurispedentie over opgebouwd. Iemand bespieden of stelselmatig volgen in een fietsenhok van een middelbare school ook trouwens.

2) de rechtstreeks privacy inbreuken rechtstreeks of het doorgeven / wegsluizen daarna vergen afzonderlijke wegingen.
Althans in ieder geval is de juridische praktijk zo.
Qua risico analyse mag je stellen, het verschil is een directe of inbreuk of verwijtbaar handelen in omgang met of over iemands privacy.
Al kan precies dezlefde privacy element in het geding zijn, de inbreuk bij het niet zelf rechtstreeks verkregen privacy gerelateerde informatie moet je apart bekijken van direct door 1 of meerdere personen
De omgang met het jein door derden kan door een rechter zwaarder worden gewogen.
Alleen is de overweging voor een rechter of het nodig is dat iemand aan een gesprek met een ander meeluistert tafel en daar bijvoorbeeld hardop proestend het door een heel restuarant roept nou weer net een grens geval tussen het niet ingaan tegen de zogeheten goede smaak en inschatting rondom het vermeende versus aantoonbare (al dan niet psygologische) benadeling van iemand die iets net te goed verstaandbaar zit te vertellen.
De rechter wikt en weegt dat de ene weer net even meer als ongeoorloofd handelen door de roeper dan de verteller.
Als dat bijvoorbeeld gaat over een privacy gevoelig iets van een ander en een journalist vangt dat in een restaurant op en geeft dat door een z'n redactie dan kan het in geval van een smeuiige roddel over een BN-er / publiek persoon toch weer wel een geoorloofd journalistiek kenmerk hebben maar in geval van een niet BN-er eerder niet.
Het voorbeeld dat je aanhaalt van de ludiek bedoelde Farmers Defense Force handeling is echter dusdanig beperkt in duur en omvang van aard voor iemand als Rob Jetten als 24-uurs politicus, dat Rob Jetten zich nauwelijks tot niet op een enorm nadelige effect ervan kan beroepen.
Het ludieke kenmerk en het maatscahppelijke belang zal deels ook wel degelijk enige juridische speelruimte blijven hebben en er is geen sprake van iets smadelijks of zo.
De effecten van het al dan niet via derden ongeoorloofd omgaan met iemands privacy kan je qua effect zeker niet generiek wegen. Het omgaan in 1 op 1 situaties als privé persoon moet je volgens Grapperhaus en anderen ook weer anders wegen dan bijvoorbeeld een huisartsen praktijk waar een assistent mogelijkerwijs iets onterecht doorgeeft aan een verzekering maatschappij. Daarbij is hoe de verzekering maatschappij ermee omspringt, al dan niet in goed vertrouwen in checks & balances of vanuit naïviteit van de juridisch adviseur aldaar, is ook weer een risico op zich en dus een aparte kans dat er een inbreuk wordt gemaakt op iemands privacy. Die kans kan zich als een vervolg voordoen na een fout elders maar kan ook in volgordelijkheid los van elkaar zich voordoen.

Het algemene rechtsprincipe van waar privacy in gevallen ophoudt zal wel steeds grotendeels terugslaan op 1 en dezelfde generieke principes van privacy.
Namelijk de geschreven en ongeschreven regels over omgaan met iemands persoonlijke levenssfeer en alles dat daar onder moet worden geschaard.
Maar de risico's zijn zeker naar omvang niet fatsoenlijk kwantitatief onderbouwbaar als je deze essentiele verschillen wegdenkt of negeert.

3) niet-fysieke bescherming van de persoonlijke levenssfeer is ook een rechtsgrond.
Het gaat er niet enkel om of iemand zich niet onwetend van een belaging of priavcy inbreuk of fysiek ongeroerde privé omgeving waant. Indien iemand het niet lijfelijk beseft of ondergaat kan er nog steeds sprake zijn van ongeoorloofde omgang of inbreuk van iemands privacy.

4) wat is het kenmerk van hoe met gevoelige elementen van iemands privé wordt ongegaan?
Het gaat er om onder andere om, wat je zelf volgens mij al eerde onderkende, wat ermee gedaan wordt en wat daarvan gesteld kan worden. Bijvoorbeeld a) wel misbruik van iemands privacy, b)verwijtbaar ernstige fout begaan in omgang van iemands privacy maar geen misbruik, c) geen misbruik van iemands privacy d) overig

5) is er sprake van een geligitimeerd doel?
Als dat doel wel legitiem is maar de toehoorder kan er bezwaar tegen hebben geuit dan zal naar oordeel van minister Grapperhaus de uitvoering van de handeling langer moeten worden opgeschort totdat uitvoerig of uitputtend is vastgesteld of de handeling uberhaupt door mag gaan.
Daar verwacht ik dus dat meer voorbehouden en afwijzingen ter vermijding van de privacy inbreuk uit volgen.

6) gaat dat gepaard met een handelswijze waarbij er direct noch indirect verwijtbare schade aan de toehoorder kan worden berokkenend, al dan niet tegen de implciete of nadrukkelijke wens van de toehoorder in.
Hierover zijn uitspraken gedaan. Denk aan de casus van Patricia Paay. Minister Grapperhaus heeft zelf al eerdere voorbeelden hiervan aangehaald. Ook het feestje dat hij rondom zijn eigen bruiloft dat recenter in het nieuws kwam mag je daaronder scharen.
Maar Grapperhaus acht daar ook een ruimere eerbieding van iemands eigen wensen toe geboden dan dat volgens zijn oordeel en inzichten gangbaar was.
Hij rekende daar ook de informatie rondom donor registratie onder.
Daarbij ook vooraf kenbaar gemaakte voorkeuren voor nadat iemand misschien psygologisch niet meer volledig wilsbekwaam wordt geacht maar dat juridisch nog wel is.
Hij kondigde ook aan dat een serieus evaluatiepunt is als er zaken rondom uitvoering donorschap mis zouden gaan in kader van het recht op bescherming van iemands persoonlijke levenssfeer.

Je voorbeeld van facebook en Cambridge Analytica is trouwens ook een kenmerkend voorbeeld van kwesties die verregaand tot volledig ongeoorloofd zijn rondom privacy en persoonlijke levenssfeer.
Waarbij de voorloper van facebook trouwens letterlijk was opgestart met een behoefte om een big brother decentraal te kunnen organiseren maakt dat zoiets als facebooks inbreuken op onze privacy trouwens verre van opeens wel geoorloofd omdat mensen zelf de gebruikersvoorwarden accepteren.
Bij het constitutionele hof heeft Facebook, zonder dat daar een gagging order aan te pas kwam, uit zichzelf ook volledig tegenover de rechter uitgesproken dat ze daarin fout zat!
Alleen hebben veel Nederlandse kranten zo'n expliciete schuldbekentenis van facebook's advocaten gewoon genegeerd om door te blijven zagen alsof Rutte uberhaupt nog altijd z'n punt hierover bij de Amerikanen maar moest zien te maken.
Facebook gaat ongeloorloofd om met veel van onze gegevens aan beide zijde van de Atlantische Oceaan.
Ze wist dat, hoorden dat ook al te weten en heel Nederland zou dat moeten weten.
Zeker ondat ze zichzelf heel schmmig de ene keer als media berdijf met journalisten rechten presenteren en de andere switchen naar een advertentie bedrijf horen ze te weten dat daar andere verplichtingen naar de gebruikers bij kunnen komen kijken,
Over de vreemde wissel-truc lijken de mensen in Brussel nog niet helemaal door te hebben naar dat verandert niets aan de ongeoorloofde inbreueken die Facebook mogelijk maakt door haar onzorgvuldige API ontwikkelaars voorwaarden en haar monopolie positie met de niche als het gaat om klanten informatie en locatie informatie.
En ook google verorzaakt hierin een continu risico op privacy inbreuken.

En mee eens dat privacy verder strekt dan enkel het recht om met rust gelaten te worden,
maar dan wel met de kanttekening dat je voorbeelden daarbij vrees ik niet de volledige juiste werking van die rechten en risico's illustreren.
De deductie van de voorbeelden voor de werkingsfeer zou ik dus nog weer wat verder willen nuanceren.
Maar dat doet weinig af wat mij betreft aan de grond gedachte dat privacy een thema met mogelijk zwaar onderschat belang is waar lang niet altijd passend mee om wordt gegaan. To put it mildly.

Alleen voor wat betreft die informatie! Die informatie is dan niet meer privé.
Voor wat betreft dat deel heb je dus een stukje van je privacy opgegeven.
In de eerste plaats omdat je het met één persoon hebt gedeeld.
Maar het is niet uitgesloten dat de vrijgegeven informatie over jezelf via die persoon verder lekt.
Volgens het aloude gezegde:

Dat privacy hetzelfde zou zijn als "met rust gelaten worden" klopt niet.
Er is wel een verband. Privacy helpt je namelijk om "met rust gelaten te worden".
Anders gezegd: privacy dient ervoor om met rust gelaten te worden.
Maar dat wil natuurlijk niet zeggen dat "privacy" hetzelfde zou zijn als "met rust gelaten worden".
Het laatste vloeit echter meestal uit het eerste voort, en is ook het hoofddoel van privacy.

"Veel privacy hebben in een bepaalde ruimte" betekent bijvoorbeeld dat je niet gemakkelijk kan worden bespied,
zodat het voor buitenstaanders meestal te moeilijk is om te kunnen gadeslaan wat je allemaal uitvreet in die ruimte.

Privacy is dus niet boolean maar bestaat in gradaties.
Alle privé dingen bij elkaar vormen samen je privacy.
Elk stukje van je privacy dat je opgeeft gaat van die privacy af.
Daarmee is niet meteen alle privacy verdwenen, maar je privacy is er wel minder door geworden.

De privacygevoeligheid zit hem in het risico dat die gegevens ongewenst naar derden zouden kunnen doorlekken.
We proberen het hierboven genoemde spreekwoord dus in te perken: een "geheim van twee" zou niet zo "licht gemeen" moeten zijn. (= gemakkelijk bij iedereen bekend worden)
De vraag is echter: lukt ons dit eigenlijk wel met ICT, en hoe goed of slecht doen we dit.

Persoonsgegevens en BSN zijn extra gevoelig, omdat persoonsgegevens gemakkelijk gekoppeld kunnen worden
aan allerlei andere privézaken.
Bijv. je bankrekening. Of iets wat je in een bepaalde webshop hebt gekocht. Of waar je vroeger hebt gewerkt.
Hoe vaak je in het ziekenhuis bent behandeld en waarvoor. Hoeveel belasting je betaalt. Waar je heen bent gevlogen. Enzovoorts, enzovoorts.
Samen met dat lekken van persoonsgegevens of BSN kan er daarom nog veel meer over je lekken.
De impact van het lekken van persoonsgegevens kan daarom extra schadelijk voor je privacy zijn.
(en onderschat hierbij BigData bedrijven niet die voor een prikkie graag wat informatie over je willen doorverkopen)

@annoniem, 18:50 uur

Privacy kan je niet weggeven. Privacy blijft overeind, als je gevoelige informatie van jezelf deelt met een vriend dan mag je er van uitgaan dat die er zorgvuldig mee omgaat en dat niet overal rond gaat bazuinen.
Tenzij je bijkomend dat verzoek zou doen is het nog steeds de bedoeling dat je eigen dingen je eigen blijven.
Net zoals je ervan uitgaat dat als je iemand door een noodgeval je een wachtwoord geeft om speciale binnengekomen emails even bij te houden niet later ijskoud in die email box blijft snuffelen of daar extracties uit haalt.
Tenzij die persoon een enorme mega misbruik zaak binnenkrijgt in de email box blijft de ander daar later uit weg.
Waarom?
Vanwege iemands privacy en het respect dat je daarvoor hebt.
Dus ook al deel je informatie zelf informatie uit je privé, je privé blijft een gevestigd principe waar je geen rechten van je eigen privé mee opgeeft. Je geeft dan enkel toestemming aan de ander, om er netjes iets mee te kunnen doen dat binnen de marges past. De ander heeft dan ook een deeltje van je privacy.
Dat geef je niet op, maar wel prijs!
Dat essentiële onderscheid kunnen we niet weglaten.

Overigens, als iemand anders dingen vastlegt over jou - terwijl dat nog niet vast lag - dan gaat het nog altijd om jouw privacy en om een potentiele inbreuk daarop.
Er is dan geen sprake van weggeven informatie.
Toch wordt er dan in je privacy sfeer gegraven.
In de ict - net als andere archivering wijzen - kan buiten iemand om evengoed opslag van gegevens ter discussie komen te staan.
Daarbij kan de schade net zoals bij het lekken enorm zijn.

Niet te vergeten dat Big IT je tracht op te sluiten via in een eigen info bubbel door voortgezette profilering en tracking. De verderfelijke invloed op vrije meningsvorming van info manipulatie t.b.v. Big Commerce en dergelijke interessen.
Als dat niet wettelijk wordt afgedwongen nooit onder eigen credentials het net op en nooit delen, wat je niet met het hele universum wil delen.
Sommige eindgebruikers interesseert dit geen ene zier. Ze vullen alle CAPTCHA's lustig in en klikken naar alles op hun scherm(pjes). Kom hier dan ook niet klagen.
#sockpuppet

@Erik van Straten: Laten we uitgaan van de wettelijke privacybepalingen die voor Nederland gelden:
waarbij in de uitleg van beide artikelen ook verwerking van persoonlijke gegevens onder de strekking van het artikel getrokken wordt.

Ik denk dat je met 1/(risico op privacy inbreuk) een leuke maat hebt; maar er is wel een probleem van hoe je privacy-schade meet, want risico=kans*schade.

Prachtig, maar mensen zoals Mark Zuckerberg, en zeker ongrijpbare criminelen, trekken zich hier niets van aan. Ook de GDPR/AVG maakt nauwelijks indruk op het eerste type, en nul op het tweede.

Dat probleem heb je bij elke risico-analyse.

Bij persoonsgegevens verwacht ik dat het niet heel moeilijk is om een tabel te maken voor impact (schade), gebaseerd op het type persoonsgegeven met een gewichtsfactor naarmate meer gegevens bij elkaar zijn opgeslagen en/of kunnen worden gekoppeld aan publieke (bijv. eerder gelekte) gegevens. M.a.w. de verschillende soorten persoonsgegevens moeten worden geclassificeerd. Of een persoon een BN'er is, zal waarschijnlijk ook een rol moeten spelen (als iemand jouw Twitter-account hacked, haalt dat vast de kranten niet, wel dat van POTUS).

De kans wordt in elk geval bepaald door de genomen beveiligingsmaatregelen (en/of het ontbreken daarvan), de marktwaarde van de gegevens en het aantal personen waarvan gegevens wordt bewaard.

Als organisaties meldingsplichtig zouden zijn voor de risico's die "klanten" (al dan niet betalend) lopen doordat zij gegevens van hen opslaan/verwerken, en hun systemen moeten laten auditten ter controle, zou er al veel gewonnen kunnen zijn. Verder helpt het als organisaties moeten aantonen dat die gegevens noodzakelijk zijn voor hun "bedrijfsvoering" in dienst van de klant, zijn geminimaliseerd voor dat doel en zeker niet uitsluitend bedoeld zijn voor marketing of zelfs manipulatie.

Ik kan me ook voorstellen dat bedrijven een belasting per record * risico gaan betalen, of dat betalen als een verplichte verzekeringspremie (waaruit "klanten" schadeloos gesteld kunnen worden zodra hun risico's toenemen en/of misbruik concreet wordt).

Ten slotte moet de onzin de wereld uit dat jouw gegevens niet van jou zouden zijn. Zoals ik al eerder schreef, net als auteursrecht moet het copyright van jouw gegevens bij jou liggen, noem het "infovanrecht", "datavanrecht", "gegevensvanrecht" of wat je wilt - maar dit moet m.i. stevig in de wet verankerd worden. Zonder jouw toestemming, geen kopie! En wordt er ongeautoriseerd gekopieerd, dan moet jij een schadevergoeding ontvangen, en niet alleen de staat na een eventuele (en zeer onwaarschijnlijke) boete van de AP - waar te vaak bijna niets van overblijft na de eerste de beste rechtszaak (doordat de GDPR een gatenkaas is).

Ik vind het nu echt allemaal veel te soft - en of het nou "privacy" heet, "popocatepetl" of whatever, er moet m.i. ASAP iets gebeuren.

Ik reken Mark Z. tot de criminelen; maar Mark wordt nog een beetje door zijn juristen in bedwang gehouden.
Ik ben het met je eens dat het niet moeilijk is om een impact-tabel te maken, maar dan komt de vraag of de impact constant of omgevingsafhankelijk is. Als jouw naam als "nieuw lid" in een Nederlands kerkblaadje komt, heeft dat wel andere effecten dan publiek genoemd worden als "nieuw christen" in een moslimland zonder godsdienstvrijheid. Is de impact lineair? Of als je A en B weet dan geldt altijd dat impact(A+B) gelijk aan impact(A)+impact(B). (Voorbeeld A="Ron is pedofiel"; B="Ron woont op <adres>")

Zolang jij duidelijk maakt dat je je met jouw maat richt op het "gegevens-verwerkings-privacy-risico" en niet kijkt naar fysieke privacy schendingen (Hoe is het om drie keer per dag door een politieagent naar je ID-bewijs gevraagd te worden?) vind ik het prima en wens je veel succes op je zoektocht.
En ja, het is tijd dat het negeren van de EU privacy regels harder aangepakt moet worden. Laten we eens beginnen met onze eigen stoep schoon te vegen van Facebook like buttons en andere trackers op Europese websites.

@ Erik van Straten, 22:38 uur.
Ik ben er mee eens dat dat zonder jouw toestemming geen recht tot kopiëren van gegevens geldt.

Met betrekking tot meer blootstelling risico’s die kleven aan gegevens met meer raakvlakken - zie passages in bijdragen hierboven - een voorbeeld van paspoorten waar de uitleg over de omgang daarmee niet kloppen met de historische ontstaans redenen en bedoelde werking van de privacy principes.

Ik stel dit aan de orde omdat het illustreert dat veel gehanteerde verdediging van een minister waarom de overheid of een wel iets zou moeten kunnen met onze privacy - voor of achter de voordeur - ernstige tegenstrijdigheden heeft.
Dat maakt elk handelen in dit kader van rechtswege een onrechtmatige daad!!
Overheden zijn zich de laatste 10 jaar steeds minder van bewust van hun eigen onrechtmatige handelen en de oneigelijke gaten in hun uitleg daarbij.
Ook blijken ze lessen van 10 tot 20 jaar geleden met vergelijkbare fouten niet uit hun hoofd te kennen.
En voor veel kamerleden is het kennelijk voldoende grond om ergens in mee te gaan dat de minister de elementaire specifieke lessen of informatie niet bij de hand heeft / er niet vooraf op na geslagen heeft.
Alsof niet ALLE weetjes ertoe doen maar enkel die die nadrukkelijk in extra vragen worden aangekaart.

Een kaptop hiervoor is de uitleg over paspoort registratie sinds medio 2010;
Minister Grapperhaus maakte bij zijn eigen uitleg hierover wel een kanttekening, namelijk dat bijvoorbeeld paspoort gegevens vanwege het belang van kunnen verwerking van iemands eigen gegevens op bijvoorbeeld het paspoort (eigendom van de staat) wel een gerechtvaardigd belang is.
Tot zover je mee zou kunnen gaan in de redenatie waarin een paspoort compatibel is met de Nederlandse privacy grondrechten, zou die mogelijkheid van verwerking van gegevens er ook enkel kunnen zijn met toestemming per geval.
Grapperhaus stelde hierbij echter dat een expliciet toestemming vereiste voor zoiets als gegevens verwerking die op een paspoort staan er impliciet al zou zijn omdat al die gegevens al ooit aan de overheid/gemeente door de toehoorder van de gegevens zijn verstrekt.

Alleen is dat in meerdere opzichten een drog-/ oneigelijke redenatie. En de volgende zeer terechte reeds geldende rechtsgronden wordt er onterecht lichtzinning van uit gegaan dat de uitleg van uitzondering gronden valide zou zijn terwijl die geenzins deze bestande valide rechtsprincipes ontkracht;
1. Gegevens verwerking mag volgens privacy wetgeving enkel met toestemming, tenzij .......

2. Belangrijk maatschappelijke redenen. Daarin is kosten afweging expliciet geen critierium, ook geen eigenlijk argument voor een rechter. Want privacy rechten worden nou juist geacht om niet te sneuvelen of gedeeltelijk het onderspit te delven bij een partij een tegenpartij die meer of zwaardere belangen bij de recht op tafel legt. De machtsverhouding individu-overheid is per definitie al ongelijk, in gevallen in het nadeel van het individu. Dat zou, tenzij strafrecht of belastingrecht onder voorwaarden speelt, juist in de gedachte van privacy betere bescherming van iemands privacy moeten opleveren.

3. Instemming is altijd tussen 2 of meer partijen, maar is niet van rechtswege onbeperkt of impliciet overdraagbaar tussen een gemeente waar bijvoorbeeld een paspoort wordt aangevraagd en andere overheid organisaties of bestuursorganen.
De bijsluiter die je krijgt bij aanvraag van een paspoort is ook een herbevstiging daarvan.

4. De toestemming bij een paspoort aanvraag wordt alleen afgegeven voor sec het kunnen verwerken van de gevoelige gegevens en die te hanteren voor het doel van het paspoort.

5. Het doel van gegevens opslag op bv. een paspoort is echter niet onbeperkt en onbegrensde controle.
Dat onderkent Grapperhaus zelf trouwens weer wel expliciet.
En dat is ook volstrekt logisch, zelfs in een D.D.R. was dat principe van kracht.
Anders is het einde zoek.
Waar Grapperhaus weer echter benauwend sterk richting een D.D.R. toeredeneerde was dat de gegevens op het paspoort om organisatie efficiency redenen wel oneindig verwerkt moeten kunnen worden.
Wat hij daarbij onterecht wegliet / over het hoofd zag is dat op gemeentehuizen die gegevens juist helemaal niet zomaar onbeperkt worden en mogen worden ingezien, laat staan dus kunnen worden gekopieerd.
Alleen al om redenen waar gemeenten zichzelf aan moeten houden zoals behoorlijk bestuur, expliciet en dus casus bij casus verkregen toestemming en nog meer voorwaarden.
Die staande geldende vereisten die gemeenten al jaren lang toepassen vergat Grapperhaus simpelweg erbij te vermelden. Schandalig eigenlijk. Bijvoorbeeld bij bijwerken van bevolkingsregisters, inzien van belasting administratie en dergelijke. Het betreft altijd intrinsieke casus bij casus handelingen.
Ook al wordt dit in gevallen als een opbos-actie uitgevoerd - wat ook al weer juist impliciete en dus veel neteligere risico’s op fouten met zich meebrengt - de grondslag daartoe is enkel op basis van de casus waarvoor de handeling echt nodig zou zijn.
Maar hieruit volgt dat effiiciëncy, of dwang door het rijk daartoe, gemeentes zou moeten dwingen om rechtsprincipes te overtreden of te negeren.
Privacy regels zijn er in beginsel natuurlijk oook om mensen tegen een optelsom van aangewende redenen hun privacy te laten houden.
Het belang daarvan TEGENgaande aan efficiency argumenten is natuurlijk in het oogspringend als je beseft dat privacy er juist is als kenmerk van een fatsoenlijke en deugdelijke overheid.

6. Grapperhaus stelde zelf ook terecht aan de orde dat een paspoort niet overal gevraagd mag worden in te zien.
Hij noemde daarbij de situatie van iemand die bij een hotel incheckt als voorbeeld waar hotels zelf niet altijd correct omgaan met de privacy van hun overnachters waar vaak slechter mee wordt omgegaan dan alleen de bezoekers die enkel op bezoek komen en/of iets komen nuttigen in het hotel.
Hij stelde zelf dat hotel en reisbranche een domein is waar de praktijk van omgang met privacy echt beter onder de loep moet worden genomen en zo mogelijk nader moet worden geevalueerd.
Maar in beginsel zijn de opmerkingen van Grapperhaus een treffende illustratie van een grensvlak waar privacy beter op het netvlies moet staan van degenen die stellen dat ze er wel inbreuken op mogen / moeten kunnen maken om bepaalde moverende redenen, al dan niet als verwachting van lokale autoriteiten zelf.
Het willen inzien van iemands persoonlijke levenssfeer is ook hier gebonden aan sec een specifieke handeling die de toehoorder van diens privacy aangaat, maar dus niet andersom - alsof een overheid of instantie iets zou willen en de individu dat maar naar willekeurig inzicht van een verzoeker zonder eis-bevoegdheden heeft op te volgen.
Die eis-bevoegdheden met een dwingende verplichting zijn er vooral in gevangenis regimes en bij onder curatele stelling, niet zonder reden voegde Grapperhaus er terecht aan toe.

Uit bovenstaande 6 punten volgt automatisch dat Grappeehaus zelf juist een uitleg geeft van nogal wat beperkingen die volgen uit de langjarige staande Nederlandsw wet-praktijk omtrent privacy, persoonlijke en ongeschreven levenssfeer.

Die punten illustreren juist dat efficiency überhaupt geen argument kan zijn in relatie tot oorloven van eventuele inbreuken op privacy.
Dit - al dan niet in combinatie met andere argumenten - kan geen stand houden als reden voor een dergelijk handelen zonder inachtneming van iemands rechten en de door de wetgever zelf daarbij vereist geachte grondrecht van iemands privacy en dwingende verplichtingen die op overheden rusten.
En sterker, die ze zelf al lang kennen en toepassen.
Hetgeen ook past binnen de basisprincipes voor de overheid, zoals ondermeer behoorlijk bestuur.

Simpelweg dwingt het Nederlands recht de overheid, instanties, mensen en bedrijven zelf altijd al en volledig casus-based te blijven ZONDER zelf-toeeigening en/of oprekking van een verkregen recht om iets specifieks met gevoelige informatie doen. Ook niet zondermeer wanneer het niet-privacy gevoelige informatie betreft, alsus Grapperhaus.
Omdat dat dat naar algemene opvatting niet past binnen de Nederlandse rechtssytseem blijkt te passen,, verklaarde hij zelf.
Zelfs ook niet in Nederland als er een soort Chelsea Manning of Bill Binley achtige casus aan de orde is, is het algemeen verkregen of afgedwongen instemming incongruent met het Nederlands recht.
Eenmaal verkregen recht is expliciet volgens Grapperhaus zelf geen reden om alles te kunnen doen met het specifiek verkregen of namens overheid afgedwongen recht. Nadrukkelijk ook niet via achterdeurtjes of kantoor-kamer gesprekken omdat dat volgens Grapperhaus en de Nederlandse wet niet past binnen transparantie beginselen die dwingend op de overheid en in principe ook gelden voor bedrijven en andere organisaties rusten aldus Grapperhaus.

Daarom zijn grote big-data verwerkers die daar nauwelijks of geen rekening mee hielden - zoals E.D.S. in de VS - in niet al te ver verleden ook zo goed als failliet gegaan nadat mensen daar naar de rechter stapten.
Waarbij de opmerking dient te worden gemaakt dat de corrigerende werking inzake recht en privacy in EU landen doorgaans meer door zwaartepunten in ons rechtssysteem meer bij overheden, toezichthouders en bureaucratie regels ligt en in de VS meer bij rechters en constitutionele hof van de VS.
Dat laatste vereist een actievere appelering door burgers zelf terwijl hier juist omwille van bescherming van grondrechten als privacy overheden vooraf vooral zichzelf moeten beheersen en elkaar moeten corrigeren indien ze fundamentele dingen wegmasseren en niet daarmee willen stoppen.
Waarbij die overheden hier wel bijna onbeperkt juridisch aanspreekbaar zijn op het nakomen van die verantwoordelijkheid.
Hetgeen op vlak van ICT en overheid nog een lange weg van leren en uit de naïviteit komen vergt.
Het principe van detournement de pouvoir zouden meer kamerleden, daaronder helemaal veel 1e kamerleden met collega’s van de regering partijen, zich nadrukkelijker rekenschap van mogen geven.

Onder andere de spoedwet betoogt sprake van nood, maar van onmiddelijkheid is met 6 maanden de boel in de war sturen natuurlijk geen sprake meer.
Nood of spoed is in deze context vooral een oproep van de regering zelf om als regering zelf meer tot bezinning te komen.
En een regering onder curatele stellen vanwege overhaast en onbehoorlijk bestuur is tegelijk ook niet zomaar iets.

De vraag is dus, gaat deze regering en haar opvolger, onbewust en/of onterecht nog meer voorbij aan haar eigen omissies inzake privacy rechten of gaat ze zich eerst op die omissies op degelijke wijze beraden en daarover een grondiger debat voeren dan Hugo de Jonge op tamelijk infame wijze de eerste kamer, op maandag avond bij de behandeling van zijn spoedwet rondom privacy en daarover in gesprek gaan, enkel mooi weer in het vooruitzicht stelde.

Omdat hij dezelfde avond met zijn eigen woorden nadrukkelijk betoogde dat de spoedwet hem juist meer armslag moet geven om niet langer vooraf eerst toestemming te moeten vragen voordat hij iets mag doen of regelen weten we sindsdien dat de AP en belanghebbers van privacy hun zaak voortaan juist uitgebreider moeten gaan bepleiten.
Want een Hugo de Jongen wil voortaan als minister met super-rechten liever enkel achter zijn eigen lezing komen uitleggen en niet meer op allerlei terrein - casus bij casus - eventueel hoeven te bevestigen of hij zijn rechten wil oprekken omdat “de nood” ondanks eerdere stappen eventueel nog altijd hoog is.
Hugo de Jonge wil zijn verantwoording liever generiek aftikken, of bij algemene uitleg bij een niet al te rijp beraad vanwege “spoed” voor een nieuwe maatregel die hij eventueel dan wil nemen.
Hij heeft meer dan 6 maanden lang alternatieve aanpakken moeten wegdenken en aanhoren maar dat is hem teveel werk.
Van een inefficientie van z’n ict middelen als dashboard, app en sensoren in riolen wil hij, gezien zijn handelen, geen tijd nemen om lessen te leren die niet in dat straatje passen,
Dat geeft echt te denken mensen!

Volgens mij moeten we ons meer richten tot minister Grapperhaus.
Die heet Hugo’s politieke mentor te zijn.
Grapperhaus heeft nu bijvoorbeeld bijzondere zaken met Binnenlandse zaken rond te breien als het gaat om voorkomen dat mensen bijvoorbeeld via poststemmen bij 2e kamer verkiezingen niet door mensen uit hun buurt of sociale netwerk worden gepusht/voorgeschreven op partijen te stemmen die een andere uitleg van delen van de grondwet nastreven en willen doorvoeren.

Iets waarover bijvoorbeeld in 2002 en recentere tweede kamer verkiezingen nogal wat inwoners met migratie achtergrond en bewoners van verzorging tehuizen in onder andere Gouda, Rotterdam (destijds Schiebroek, Spangen, Omnoord en R’dam-Zuid), Tilburg (centrum) en Arnhem-centrum Noord en Arnhem-Zuid zich met klachten over stelsematige indoctrinatie en dwang pogingen op radio 1 en radio Rijmond meldden en geinterviewd werden.
Het kan voor 2021 niet zomaar zo zijn dat de optelsom van de koers van persoonlijke motivering over handelingen door mw. Ollongren en dhr. de Jonge ertoe leidt dat Grapperhaus’ ministerie (politie) en gemeenten (maatschappelijke wijk steun, winkels en handhaving) een onmogelijke en lastig te handhaven capaciteit noodzaak krijgen om potentiele inbreuken op de persoonlijke levenssfeer vooruitlopend op het stemmen per post door de handen te zien glippen.


De privacy en de vrijheid om je leven te mogen leven staat dus zeer realistisch op het spel.
Zowel de komende maanden in aanloop naar de verkiezingen, in verdere uitvoering geven aan de “spoedwet” als inderdaad digitale gegevens verwerking en opslag door de overheid met tal van bijkomende campagnes op terrein waar anderen niets bij onze eigen levenssfeer te zoeken hebben.

De voorkeur van deze regering om het analoge in de digitale aggregaties te verwerken duikt sinds enkele jaren weer op.

Ten aanzien van je facebook like buttons merk ik op dat - dat hoe ideeel een bericht ook kan zijn dat je mogelijk zou willen liken - facebook verwerkt die op seggegerende wijze.
Ook degene die een bericht niet liken worden in een hokje geplaatst.
Dus ook degenen die je je loyaliteit of goodwill gunt maar nog niet op die like button hebben geklikt worden ermee na een paar likes uit jouw bubbel weggefilterd.
Dat creeert dus juist het tegenovergestelde van onderlinge verbondenheid.

@ Erik, zou facebook naar jouw inzicht in ieder geval like buttons uit eventuele campagnes van de Nederlandse overheid moeten verwijderen, of werkt dat niet / averechts?

Zou de nederlandse overheid wel algemene campagne boodschappen moeten kunnen pushen via facebook campagnes?
Wist je dat facebook in ieder geval sinds 2014 tegen extra betaling voor een campagne die campagne voorrang zou krijgt in weergave ten opzichte van andere berichten en daarmee ook een hogere kans krijgt om in meer gevallen onder de aandacht wordt gebracht voor een like ten opzichte van niet betaalde facebook berichten?
Dat werkt dus de facto als uitgebreidere mogelijke inbreuk op andermans privacy (van de niet likers) en het recht om niet extra door de overheid lastig gevallen te worden.

Een voorbeeld waar de overheid tussen 1998 en 2006 van terug kwam en daarna zich langere tijd wel redelijk voor wist te behoeden:
in de nadagen van Hyves probeerden advertenties ook als comminicatie middel uit.
Dat was expliciet onder voorwendsel van een “uitprobeelsel”.
Mijn inziens gingen goedbedoelende communicatie mensen bij ministeries verder dan waarvoor ze waren aangesteld en konden overzien. Verder in ieder geval dan bij postbus 51 TV campagnes die minder invasief en seggegerend voor iemands eigen omgeving door kan werken. Namelijk verder dan iemands eigen huis- slaapkamer.


Ook met oproepen om vooral te gaan stemmen kochten Nederlandse ambtenaren toen advertenties in om prominent tussen zoekresultaten van Altavista te verschijnen.
Altavista was zoals bekend de go to zoekmachine zoals google dat nu is en heeft vele fouten toegegeven (die Nederlandse overheid nu Google zonder al te veel poes pas - out in the open - volgens hetzelfde script zonder vingerwijzingen opnieuw laat begaan.
Praktijken waarvan Altavista nota bene in de VS medio 2005 tegenover de rechter nog erkende dat het zowel qua privacy en privé niet helemaal deugde.
En zeker zich niet had moeten inmengen in verkiezingtijd met daarop gerichte advertentie.
Altavista zei zelf dat dat bijkomend ook nog eens oneerlijk werkte tegenover andere betaalde en niet betaalde advertenties (verstoring van gelijk spelersveld en evenredige informatie vergaring) en dus in strijd met datgeen dat ze zelf als hun core business hadden omschreven.

Wat stel je verder nog meer voor in relatie tot facebook?
Wat met betrekking tot shadow banning van de niet-advertentienberichten bijvoorbeeld?

Moet je een Amerikaan eens proberen wijs te maken...

Bent u misschien in de war met het begrip "vertrouwelijkheid"?

Mag ik u vragen als meelezer precizer aan te geven waar u precies op doelt door stil te staan bij aan stelling / mening / weergave van feiten door een Amerikaan?
Wat doet deze in juridische ertoe doet over wat er voor een Nederlander opgaat?

Beiden hebben namelijk niet met zondermeer dezelfde rechtsgronden te maken.
Kijk bijvoorbeeld naar verschillend in geldend copyright in de zin bepaalde zaken in Europa al niet patenteerbaar zijn maar in de VS weer wel.
In de VS lopen meer privacy kwesties waar corrigerende werking van uit gaat via rechtzaken tussen burgers en bedrijven terwijl dat in Nederland en Europa dat meer via overheid - namens het gezamelijke belang - versus bedrijven via handhaving mandaten en daarna eventuele bijkomende rechtzaken die de overheid dan aanspant.

De accenten rondom rechten - privacy en wie daarbij eventueel aan zet zijn verschillen tussen de VS en NL - Europa / EU & Raad van Europa dus aanzienlijk.
Daarbij geldt - ook volgens de regering - het rechts-principe dat je in Nederland NOOIT afstand kan doen of daartoe worden gedwongen van je grondrechten.
Daarbij volgt uit de Nederlandse wet tevens dat - behoudens daar waar het door de rechter bewezen en onbestreden verklaarde gronden als reden voor straffen in kader van strafrecht zijn uitgedeeld - het recht op persoonlijke levenssfeer.
Vertrouwelijkheid is echt een ander juridisch begrip dat bijvoorbeeld ook kan gaan over een dossier met staatsgevoelige informatie en gaat dus primair niet aan de toehoorder of beherende partij van de gevoelige informatie.
Privacy en persoonlijke levenssfeer gaat dan weer veel meer over de verplichtende werking voor iedereen voor eerbiediging van eenieders persoonlijke levenssfeer en privacy.
Vertrouwelijkheid zou je in die zin daar niet mee moeten verwarren of verwisselen.

De werkingssfeer rondom begrippen als privacy en persoonlijke levensfeer staan daar niet los van maar kunnen wel hun eigen context gebonden vertrouwelijkheid hebben.
Maar die vertrouwelijkheid is gegrond in de privacy wet- en regelgeving.

@ Erik van Straaten,


Dat hangt samen met een logische reden;
Een algemeen belang zou bij monde van Grapperhaus bij verhandelingen in de 2e kamer over de AVG gaan om iets dat eigenlijk eerder een zwaarder en explicieter wegend belang van de burger vereist, gezien de ontwikkelingen op vlak van de digitale maatschappij.
Alleen stelde hij sterk te worstelen met zijn team op de ministeries om dat in 1 of paar concreet toetsbare begrippen in plaats van uitlegbaar maar niet meetbare kwalificaties te gieten.
Om reden van zeg maar scope-creep, of zoals Grapperhaus de praktijk in het rechtssysteem en het openbare bestuur van verhouding accenten in burger-versus overheid in het nadeel zag verschuiven daar waar gewoonlijk meer kwantificaties / managers invloeden toenamen en meer en meer eenzijdig ten bate van een immer goed bedoelende overheid werden geduid en ook in juridische oordelen zo kwamen te vallen.
Het gevaar van een uit liefde beknevelde burger was welliswaar niet direct op dat moment aan de orde maar moest als beginsel ten alle tijden niet door de overheid inzake privacy balans burger - overheid & grote bedrijven worden opgezocht.
Hij voegde eraan toe dat hem ook dwars zat dat, hoewel een andere weging voor mkb (???, tot 300 man personeel is ook mkb) een praktischere hantering van regels mogelijk meer ten faveure van mkb dan van diens klanten mag uitvallen.
Dat vanwege de kleinere organisatiekracht die mkb-bedrijven zouden hebben om alle even strenge privacy vereisten na te leven en te controleren.
Waarbij dat voor de overheid volgens Grapperhaus een absoluut gebod / dwingend juridische verplichting is om in z'n geheel alles toe te passen en niets maar dan ook helemaal niets van de vastgestelde geldende privacy regels bij uitvoering van haar taken kon worden nagelaten moesten de overheden ook in staat zijn die zwaardere last ook te kunnen dragen en handen en voeten kunnen geven.

Wil je toch meer te weten komen dan kom je onder andere terecht in de rechts-filosofie en de evaluaties van het Nederlandse- en bijvoorbeeld het EVRM rechtsysteem.
Dan met de vraag of de jurispedentie ook in lijn is met wat men bedoelde.
En met men gaat het om de zowel de opstellers van wet- en regelgeving en richtlijnen enerzijds als de rechtsvorming in de praktijk via eventueel uitdijende/beperkt blijvende jurispedentie.

In dat kader is het misschien interessant om publicaties van de rechts-advies college websites, publicaties van ministers, ministers van staat, rijksadviseurs van binnenlandse zaken / defensie / justitie en raad van state met jaarverslagen en advies stukken eens te doorzoeken op privacy.
Waarbij je kan kijken of er bericht wordt over eventuele verschuivingen in belangen afwegingen voor burgers (al dan niet verworpen door 2e of 1e kamer).
Verder moet daarover ook een en ander in position papers, inanguratie redes en thesis van rechten-professoren en ombudsmannen terug te vinden zijn.
Daar verwacht ik het een en ander over dat je bij de rechten faculteiten in Groningen, Univerisiteit Van Amsterdam en Leiden op hun website moet kunnen terugvinden.
Die hebben naast praktische opleiding richtingen recht ook uitgebreidere track records als het gaat om staatsrecht.
Binnen diverse afdelingen van het recht is ongetwijfeld ook bij staatsrecht het een en ander geborgd.
Besef daarbij dat afhankelijk van de opsteller en de paraplu waaronder de publicatie is opgesteld gebruik van privacy gerelateerde begrippen net iets van elkaar kan verschillen.
Het kan hetzij concreter benoemd zijn (toegepast recht/kader vormend recht), hetzij abstracter afgevangen zijn (vaker bij kader stellend recht).

Het genoemde bij punt 4. heb niet ik geschreven, maar Anoniem op 3 november. Diezelfde dag heb ik o.a. daarop gereageerd in https://security.nl/posting/676492.

Nogmaals: toegang tot "privacy-gevoelige" gegevens van een persoon is ofwel legitiem [1], ofwel er is sprake van misbruik. Zo moeilijk is dat toch niet?

[1] D.w.z. rechtsgeldig, conform de wet, desgewenst getoetst tot aan de hoogste rechter. Nb. er is ook geen sprake van misbruik indien expliciet toestemming voor toegang tot die specifieke gegevens is verleend door de betrokkene (tenzij onder druk - maar dan is het weer misbruik).

Privacy according to the Cambridge Dictionary: the state of being alone, or the right to keep one’s personal matters and relationships secret.

Wat ik bedoelde is uiteraard: natuurlijk kan je privacy worden weggeven!
In Amerika gebeurt dat nog gemakkelijker. (maar hier kan het ook)
Bijv. in 2017 kopte men in https://www.wired.com/2017/03/congress-give-away-online-privacy/:

https://www.nrc.nl/nieuws/2007/05/22/privacy-ik-heb-niks-te-verbergen-parlement-speelt-11327713-a583126

Twee voorbeelden dus die gaan over weggeven van privacy.
Waarmee is aangetoond dat dit kan, in tegenstelling tot wat u beweert.
Dus u weet het nu: privacy kan worden weggegeven. (door jezelf of door iemand anders)
En weet u wat nu zo aantrekkelijk is: uw privacy weggeven is meestal helemaal gratis!
Misschien dat u het daarom nog niet door had dat privacy kan worden weggegeven?

Wat u echter niet kunt weggeven is vertrouwelijkheid:
https://nl.wikipedia.org/wiki/Vertrouwelijkheid

Mijn boodschap was dus: verwar privacy niet met vertrouwelijkheid.
Het zijn namelijk twee verschillende begrippen.
Hoop dat dit nu duidelijk is.
(en anders ook)

@ Erik van Straaten

Je verwart echt een paar dingen, wel geef je een paar verhelderende toelichtingen.

Voordat ik die aanhaal is het belangrijk om te beseffen dat de lezing van de Nederlandse juridisch overheid zelf is dat je privacy NIET kan weggeven.
Enkel als er verkeerde handelingen plaatsvinden waarmee iemands privacy mee in het geding is ontstaan er in juridische zin inbreuken. Die eventuele inbreuken kan je dan juridisch weer wegen als geoorloofd in zeer beperkt verband, onrechtmatig, rechtmatig maar onredelijk gezien de consequentisch.
In de spreekwijze wordt er echter wel vaker een juridisch ondeudgelijke duiding van privacy inbreuken gehanteerd.
Dat is door die inbreuken gemakshalve als "weg gegeven" of "overeengekomen" inbreuken op iemands privacy.
De duiding to give away your privacy is dus vooral spraaktaal.

Zelfs iemand als Michael Hayden - met wie meerdere Amerikanen het niet bepaald inhoudelijk eens waren - vond dat allerlei privacy elementen van mensen in en buiten de VS - Amerikaan en niet amerikaan - bondgenoot en niet bondgenoot - moest kunnen wijken voor hogere belangen.
Hij sprak daarbij nadrukkelijk vanuit het kader van geoorloofde of ongeoorloofde inbreuken, vaak met voorbeelden van vraagstukken voor de Amerikaanse overheid-diensten zelf.
Hij stelde hierbij ook wel de fillosofische vraag of de inbreuken die de Amerikaanse overheid volgens hem moest kunnen maken per saldo veel verschil zou maken ten opzichte dat veel mensen toch al prive informatie uit hun eigen leven hadden weggegeven.
Verder ben je als het goed is ook op de hoogte dat de procedures omtrent de FCC maar ook die van Obama/Biden/Yaden policies omtrent privacy inbreuken na 2017 in het congres nog een heleboel stof hebben doen opwaaien en er fellere kritieken op de FCC koers kwam.
Tevens is de Amerikaanse leest in juridische zin nog weer wat anders dan de west-Europees continentale leest.
Misschien was je het volgende voorbeeld nog niet helemaal bekend maar dat wijst wel op die stevige verschillen.
De Navo-kwartieren in- en om Brussel vallen in meerdere - maar niet alle gevallen! - onder eigen jurisdictie en eigen wetgeving. Daarbij zijn in gevallen sommige Amerikanen en Canadezen die iets ongeoorloofds vanuit die kwartieren begingen zelfs harder gestraft dan dat ze in eigen land onder het land-militaire recht zouden zijn bestraft.
Waarmee ik maar wil aangeven, de Amerikaanse duiding en de media weergave van privacy en persoonlijke levenssfeer zijn een ander hoofdstuk en liggen feitelijk anders de bij de west-Europees continentale rechts-sfeer.

Lees, bij privacy heb je het over inbreuken, bij persoonlijke levenssfeer over vrijwillige toegang bieden.
Volgens Grapperhaus moet je het bij persoonlijke levensfeer echter ook niet bij voorbaat iedereen toegang tot je persoonlijke levenssfeer bieden. Omdat je bij onder druk gezet voelen en door aandringen het hebt over aanzetten tot danwel dwang door een ander. Wees ook net zo zorgvuldig op je eigen levenssfeer als bijvoorbeeld het pin nummer van je bankpas, aldus Grapperhaus.
En weggeven van je eigen levensfeer kon eerder volgens Grapperhaus impliceren dat er sprake was van vrijheid beneming (categerie ernstig persoonlijke bedreiging zoals dreigen met ontvoering of uitzitten van een straf in de gevangenis).
Toegang tot je persoonlijke levenssfeer zou je doordacht en vrijwillig kunnen doen, weggeven is meer te grabbel gooien of onder dwang afstaan.

Maar "privacy weggeven" klopt juridisch-maatschappelijk handeling-technisch dus niet.

Het ligt wel iets preciezer.
Ik snap misschien wel wat je bedoelt te zeggen, maar de begrippen die je erbij betrekt zijn die van andere meta.
De toegang tot iemands gevoelige gegevens is in de wetgeving in elk geval verder gedifferntieerd dan de tenzij waar je maar 1 optie van vermeld.
Daarbij is misbruik specifiek gebonden aan een bepaald domein in het recht.
Terwijl je volgens mij het volgens mij generiek in plaats van beperkt tot 1 rechtsdomein probeert aan te vliegen.
1) Van misbruik bij privacy is sprake in in geval van strafrecht en in geval van bestuursrecht (in geval van een feodale dwangmatige handelen).
2) Ongeoorloofde toegang c.q. op oneigelijke gronden (liegen, niet voldoende onderbouwde reden, ongeoorloofd rondsnuffelen) in geval van bestuursrecht.
3) Onrechtmatige daad als onderdeel van een onwettige voorwaarde in geval van een private overeenkomst, zoals een SLA, in het privaat recht.
4) De overige terreinen. Hoe men daar de oneigelijke handeling kwalificeert zal per overig terrein kunnen verschillen.
in het tuchtrecht en in de diplomatieke rechts-regels is ook weer van belang, maar ben ik onvoldoende mee onbekend. Jammer genoeg, want nogal eens worden privacy inbreuken gepleegd via ambassade of attachees. Zoals het recente voorbeeld van de spionage van Nederlanders via de Deense diensten waarbij ook weer blijkt.
En hoe zit het met Chinese staatsburgers en Nederlands paspoort die hier - al dan niet door Chinese diplomaten of ambtenaren of mede burgers (vanuit bv. het 1000-talents program) - inbreuken op privacy van chinezen als Nederlands ingezete plegen. En bijvoorbeeld Iraniers. Daarbij kunnen ook de belangen van privacy van diens familie leden ernstig in het geding raken.
Geen idee hoe je deze toch heftige en met potentieel ernstige(re) consequenties van privacy inbreuken gebalanceerd wilt kwantificeren ten opzichte van die gevallen bij elk afzonderlijke rechts-domeinen 1, 2 of 3.

Noot: daarbij is het rechts-terrein van de diplomatiek een lappen-deken van regels, regelingen en omarmde verklaringen.
Die horen volgens Grapperhaus soms formeel slechts gedeeltelijk tot het recht, maar ik weet niet of dat klopt.
Wel geldt dat qua privacy in de eerste 3 rechtsterreinen in principe geen vereiste is van toetsing door een rechter om van kracht te zijn.
Privacy en persoonlijke levenssfeer regels zijn automatisch (van rechtswege) van kracht.
Wel gelden bij rechtszaken - van casus op casus bekeken - in geval van een categorie verdacht van een misdaad komt in strafrecht meer toegang tot iemands persoonlijke levenssfeer aan de orde en kunnen meer inbreuken op iemands privacy geoorloofd bevonden kunnen worden door officier van justitie.

Wel mee eens.


Dat is een attributie van vertrouwelijkheid die de lading van vertrouwelijkheid niet dekt.
Vertrouwelijkheid is volgens Grapperhaus niet OF een kwestie die gaat over iets confidentieel behandelen OF bekend zijn met bepaalde informatie maar die niet aan de grote klok hangen.
Vertouwelijkheid is een begrip in de volle breedte, dus niet OF OF.
Daarom dekt de tekst van de wikipedia site de juridisch gewogen lading ook enkel in te beperkte mate.


Mee eens, Grapperhaus is dat ook met ons eens. Net als waarschijnlijk vele meelezers met ons.
Hanteer dus ook bijkomend ook standaard gescheiden begrippen die een onderhavige kwestie over effect of handeling behandelen.

Voor je kwantficering poging komen we dus uit bij het inzicht dat het onwettig omgaan met iemands privacy allerlei differntaties heeft. Net als slordig omgaan met iemands/je eigen persoonlijke levenssfeer.
Voor de kansen kwantificering voor dat laatste krijg je dan ook geheel eigen wegingen en anders dan onwettig omgaan met iemands privacy.

Ook is de vraag of de kans in geval van een onrechtmatige daad omtrent iemands privacy als die eenmaal optreed eenduidig voor alle gevallen er een lijn valt door te trekken die afvlakkend/toenemend en lineair door te trekken is richting indien je een risico-beperkende maatregel er voor kan treffen?
Ook lijkt de kans verdeling bij slordig omgaan met iemands persoonlijke levenssfeer eerder een soort gradueel verloop te kunnen hebben dan risico's bij privacy die mogelijk eerder en meer binair (100% opgetreden of niet) van karakter zullen kunnen zijn.
Bij privacy heb je dus niet snel tot misschien wel helemaal GEEN linair inverse verloop.
Bij persoonlijke levenssfeer heb kan er mogelijk een soort liniair verloop met op willekeurige plek in die curve - afhankelijk van de handeling en de ernst van de effecten (voor zover die eenduidig te duiden zijn) een dis-continum of trapjes / schokkerige sprongen.

Maar voordat je daar aan toe kan komen moet je de generieke eenduidig zien te verenigen met de differentie die mensen (gelukkig) plegen toe te passen als het gaat om de diverse karatkers van de optredende effecten.

Daarom verwijs ook ik mede naar de verhandelingen van de voorbije jaren in de tweede kamer.