AP maakt bezwaar tegen SZW-wetsvoorstel minister: niet duidelijk genoeg
De Autoriteit Persoonsgegevens (AP) maakt bezwaar tegen een wetsvoorstel van demissionair ministers Van Gennip van Sociale Zaken en Werkgelegenheid en Schouten voor Armoedebeleid. Volgens de privacytoezichthouder is het voorstel in zijn huidige vorm niet duidelijk genoeg en ontbreken er allerlei zaken.
Het voorstel voor de Wet proactieve dienstverlening SZW laat het UWV, de SVB en gemeenten proactief mensen benaderen die waarschijnlijk recht hebben op een uitkering of een andere ondersteunende voorziening, maar deze niet gebruiken. De instanties mogen contact opnemen met deze mensen en hen ondersteunen als zij een aanvraag voor een uitkering of voorziening willen doen. Hiervoor mogen de instanties persoonsgegevens verwerken.
De AP heeft verschillende kritiekpunten waarom het bezwaar tegen het voorstel maakt. Zo is het nog niet bekend bij welke uitkeringen en sociale voorzieningen de nieuwe werkwijze precies gaat gelden. Die komen in lagere regelgeving te staan, die niet via het parlement loopt en die het parlement dus niet kan controleren. Ook noemt het wetsvoorstel niet welke persoonsgegevens het UWV, de SVB en gemeenten kunnen gaan verwerken.
"Zolang dit niet vaststaat, kunnen mensen niet goed inschatten of zij dit wel willen. Het wetsvoorstel moet duidelijk aangeven welke (categorieën van) persoonsgegevens de instanties gaan gebruiken bij de nieuwe aanpak", aldus de toezichthouder. Daarnaast wil de AP dat er een bewaartermijn voor de persoonsgegevens wordt vastgelegd. Als laatste moeten mensen via één opt-out kunnen aangeven dat ze niet willen dat hun gegevens worden gebruikt voor 'proactieve dienstverlening'. In het huidige voorstel moet dit bij alle drie de instanties worden gedaan.
De Autoriteit Persoonsgegevens kan zich vinden in de intentie van het voorstel. "Het is natuurlijk goed als iemand daadwerkelijk krijgt waar diegene recht op heeft", zegt AP-bestuurslid Katja Mur. "Maar regel het dan wel meteen goed. Met duidelijke afspraken van tevoren over welke informatie van mensen wordt gebruikt, zodat zij niet verrast worden."
Doet een beetje denken aan de film Apocalypse Now waar de Amerikaanse overheid een Vietnamees dorp verwoest en dan dan via luidsprekers rondbazuint: 'We are here to help you.'
Het ongevraagd en zonder toestemming binnendringen van iemands privacy omdat je hem 'misschien kunt helpen' is verboden en moet dat ook gewoon blijven.
Dus niet opt-out, maar opt-in. Opt-out is een schaamlap voor het ongewenst schenden van ieders privacy.
Maar de AP vindt het op zich een goed idee omdat 'de bedoelingen goed zijn'. O, dus als ik goede bedoelingen heb voor persoon A mag ik daarom persoon B's privacy schenden? Laat dan toch die hele facade dat Nederlanders nog recht op privacy hebben toch achterwege. De AVG is een fiasco, de AP is een fiasco, onze zogeheten 'rechtsstaat' is een fiasco.
Doet een beetje denken aan de film Apocalypse Now waar de Amerikaanse overheid een Vietnamees dorp verwoest en dan dan via luidsprekers rondbazuint: 'We are here to help you.'
Het ongevraagd en zonder toestemming binnendringen van iemands privacy omdat je hem 'misschien kunt helpen' is verboden en moet dat ook gewoon blijven.
Dus niet opt-out, maar opt-in. Opt-out is een schaamlap voor het ongewenst schenden van ieders privacy.
Maar de AP vindt het op zich een goed idee omdat 'de bedoelingen goed zijn'. O, dus als ik goede bedoelingen heb voor persoon A mag ik daarom persoon B's privacy schenden? Laat dan toch die hele facade dat Nederlanders nog recht op privacy hebben toch achterwege. De AVG is een fiasco, de AP is een fiasco, onze zogeheten 'rechtsstaat' is een fiasco.
De weg naar de hel is geplaveid met goede bedoelingen.
Daarom vraagt het AP ook om het volgende:
- Maak duidelijk bekend bij welke uitkeringen en sociale voorzieningen de nieuwe werkwijze precies gaat gelden.
- Benoem welke persoonsgegevens het UWV, de SVB en gemeenten kunnen gaan verwerken.
- Leg een bewaartermijn voor de persoonsgegevens vast.
- Mensen moeten via één opt-out kunnen aangeven dat ze niet willen dat hun gegevens worden gebruikt voor 'proactieve dienstverlening'. (In het huidige voorstel moet dit bij alle drie de instanties worden gedaan)
En ja, OPT-IN is beter dan OPT-OUT.
Echter:
Het gaat om mensen die waarschijnlijk recht hebben op een uitkering of een andere ondersteunende voorziening, maar deze niet gebruiken.
Bv omdat ze de ingewikkelde regelgeving niet snappen of niet het risico willen lopen dat ze iets fout invullen en later grote bedragen terug moeten betalen (Toeslagen affaire iemand?)
Een betere oplossing zou zijn om die problemen aan te pakken.
Simpelere regelgeving (die ook een 12 jarige nog snapt en kan uitleggen), en niet meteen zware straffen en boetes opleggen bij het maken van een foutje.
Vertrouwen ipv wantrouwen. (Dat laatste is helaas iets waar onze politiek en overheid te gemakkelijk in geworden zijn)
En ja, daar zal dan misbruik van gemaakt gaan worden.
Het is het een of het ander. Of je helpt mensen in nood of je laat ze stikken.
Hoeveel opt-outs moeten Nederlanders straks op eigen initiatief aangeven als ze simpelweg willen dat hun privacy wordt gerespecteerd? Bij medische privacy lijkt het om vier verschillende opt-outs te gaan (waarvan twee m.b.t. EHDS). Nu komen daar nog één tot drie opt-outs m.b.t. "pro-actieve dienstverlening" bij.
Straks moet er dan weer nog een extra "pro-actieve dienstverlening" worden opgestart om Nederlanders te attenderen op de mogelijkheid om gebruik te maken van hun mogelijkheden om d.m.v. opt-outs hun privacy te beschermen.
Ongetwijfeld komt er dan een slimme ambtenaar of andere vertegenwoordiger van de PMC (Professional and Management Class - zie het recente artikel van Ewald Engelen in de Groene Amsterdammer) op het idee dat er voor iedere Nederlander een centrale "opt-out-registratie" zal worden opgetuigd waarin je persoonlijke opt-outs worden bijgehouden - tenzij je dat weigert door middel van... nog weer een opt-out - die dan ook weer ergens wordt geregistreerd.
Op basis van zo'n opt-out-registratie (inclusief je wel- of niet-deelname daaraan) kun je dan ook weer geprofileerd worden. "Hmm... u heeft uzelf ge-opt-out voor de opt-out-registratie. Dat is ongebruikelijk en roept vragen op. Nee, het is niet verdacht, maar het roept wel vragen op, ik zie hier een code oranje en moet die vragen aan u stellen, anders kan ik u niet verder helpen. Kunt u aangeven waarom u bij ons een bankrekening wilt openen /hypotheek wilt afsluiten /verzekering wilt afsluiten /hotelovernachting wilt boeken als u weigert uw opt-outs in het nationale opt-out-register te laten registeren? Wat is uw reden om niet te willen deelnemen aan die opt-out-registratie? Heeft u ooit overwogen om terrorist of KP-verspreider te worden? Nee, nee, wij verdenken u daar niet van, alleen roept uw ongebruikelijke gedrag vragen bij ons op, en we moeten ons KYC (Know Your Customer)-beleid nu eenmaal volgen, dat is wettelijk wèl voorgeschreven."
Het idee dat je, om je privacy te behouden, allerlei opt-outs moet laten registreren, gaat lijnrecht in tegen de bedoeling en de systematiek van de AVG. Denk bijvoorbeeld aan de manier waarop "vrijwillige instemming" in de AVG wordt gedefinieerd. Instemming met verwerking persoonsgegevens kan niet geacht worden te zijn gegeven door alleen maar te zwijgen, of door een reeds vooraangevinkt hokje onaangeroerd te laten.
Grondrechten moeten gerespecteerd worden zonder dat burgers daar speciaal nog eens om moeten verzoeken.
M.J.
Hoeveel opt-outs moeten Nederlanders straks op eigen initiatief aangeven als ze simpelweg willen dat hun privacy wordt gerespecteerd? Bij medische privacy lijkt het om vier verschillende opt-outs te gaan (waarvan twee m.b.t. EHDS). Nu komen daar nog één tot drie opt-outs m.b.t. "pro-actieve dienstverlening" bij.
Straks moet er dan weer nog een extra "pro-actieve dienstverlening" worden opgestart om Nederlanders te attenderen op de mogelijkheid om gebruik te maken van hun mogelijkheden om d.m.v. opt-outs hun privacy te beschermen.
Ongetwijfeld komt er dan een slimme ambtenaar of andere vertegenwoordiger van de PMC (Professional and Management Class - zie het recente artikel van Ewald Engelen in de Groene Amsterdammer) op het idee dat er voor iedere Nederlander een centrale "opt-out-registratie" zal worden opgetuigd waarin je persoonlijke opt-outs worden bijgehouden - tenzij je dat weigert door middel van... nog weer een opt-out - die dan ook weer ergens wordt geregistreerd.
Op basis van zo'n opt-out-registratie (inclusief je wel- of niet-deelname daaraan) kun je dan ook weer geprofileerd worden. "Hmm... u heeft uzelf ge-opt-out voor de opt-out-registratie. Dat is ongebruikelijk en roept vragen op. Nee, het is niet verdacht, maar het roept wel vragen op, ik zie hier een code oranje en moet die vragen aan u stellen, anders kan ik u niet verder helpen. Kunt u aangeven waarom u bij ons een bankrekening wilt openen /hypotheek wilt afsluiten /verzekering wilt afsluiten /hotelovernachting wilt boeken als u weigert uw opt-outs in het nationale opt-out-register te laten registeren? Wat is uw reden om niet te willen deelnemen aan die opt-out-registratie? Heeft u ooit overwogen om terrorist of KP-verspreider te worden? Nee, nee, wij verdenken u daar niet van, alleen roept uw ongebruikelijke gedrag vragen bij ons op, en we moeten ons KYC (Know Your Customer)-beleid nu eenmaal volgen, dat is wettelijk wèl voorgeschreven."
Het idee dat je, om je privacy te behouden, allerlei opt-outs moet laten registreren, gaat lijnrecht in tegen de bedoeling en de systematiek van de AVG. Denk bijvoorbeeld aan de manier waarop "vrijwillige instemming" in de AVG wordt gedefinieerd. Instemming met verwerking persoonsgegevens kan niet geacht worden te zijn gegeven door alleen maar te zwijgen, of door een reeds vooraangevinkt hokje onaangeroerd te laten.
Grondrechten moeten gerespecteerd worden zonder dat burgers daar speciaal nog eens om moeten verzoeken.
M.J.
Mee eens.
1 centrale OPT-IN regstratie is veel beter.
Laat alle organisaties daar dan maar op in haken om toestemming op te halen. Is die er niet, dan geen persoonsgegevens gebruiken.
En dan hoeven we ook niet niet elke keer dezelfde OPT-OUT/OPT-IN discussie te voeren, als er weer een ballonnetje/wetje opgetuigd wordt door de politiek.
Misschien het berichtenbox-systeem ombouwen naar iets nuttigs zoals een OPT-IN register?
Win-win
Bleek toch niet zo'n best idee te zijn.
Met andere woorden volgens privacy activisten is het nooit goed. Pro actief met bekende gegevens is fout en zelfredzaamheid is fout.
Bleek toch niet zo'n best idee te zijn.
Met andere woorden volgens privacy activisten is het nooit goed. Pro actief met bekende gegevens is fout en zelfredzaamheid is fout.
Ja, er werd zoveeeel fraude mee gepleegd, dat dit uiteindelijk leidde tot de Toeslagenaffaire toen de politiek panisch overal fraudeurs zag.
Het gevolg: de herstelkosten van die affaire (ondertussen ruim 10 miljard) zijn velen malen hoger dan de oorspronkelijk gevonden fraude. Om over de menselijke schade (oa. uithuis plaatsingen) nog maar te zwijgen.
Die zelfredzaamheid was ook zo'n idee uit CDA en VVD hoek. Net als participatie (als het hun uitkomt)
Ordinaire bezuinigingsmaatregelen. Meer niet.
Alles wat de politkkem niet meer wil doen of betalen, daar mag de burger zelf voor opdraaien. De omgekeerde wereld.
Heeft allemaal niets met privacy te maken. Hoe graag je het zo wilt framen ook.
Eerder met mis-management door de politiek.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
