over D66 blog
bloggers
huisbloggers
home

Posts Tagged ‘privacy’

Pavlov rules

Vrijdag, 29 juli , 2011

Enkele dagen na de aanslagen in Oslo kwamen de terrorisme experts van de lidstaten bijeen in Brussel. Zoals na elke aanslag is er een sterke reflex om nieuwe maatregelen te nemen. Dat is begrijpelijk, want na zo’n schok willen we graag gerustgesteld worden door een daadkrachtige regering die maatregelen neemt waarmee zoiets verschrikkelijks nooit meer kan gebeuren.

Begrijpelijk, maar niet verstandig. In de laatste jaren werd na elke aanslag in grote haast een nieuw pakket maatregelen doorgedrukt. New York, Madrid, Londen gaven steeds weer de aanzet voor een nieuwe ronde maatregelen waarmee terroristen met snode plannen in een vroeg stadium ontdekt zouden worden. De maatregelen bestaan voor een groot deel uit het inzamelen van zoveel mogelijk informatie over zoveel mogelijk burgers, vanuit de gedachte dat bij een visexpeditie met zo’n “sleepnet” die éne potentiële terrorist er ook bij zit.

Dat is echter veel minder logisch dan het lijkt.

Bij vrijwel alle belangrijke aanslagen van de laatste jaren bleek achteraf dat politie en inlichtingendiensten de daders al lang in het vizier hadden, en dat ze heel veel essentiële informatie al hadden. De bevoegdheden om aan die informatie te komen waren dus al voorhanden. Echter, die informatie werd niet of onvoldoende uitgewisseld tussen de verantwoordelijke diensten en tussen landen. En in sommige gevallen was de risico-inschatting verkeerd. Het “gat” zat dus vooral in het gebrek aan samenwerking en uitwisseling, en minder in een gebrek aan informatie en bevoegdheden.

En toch kregen politie, justitie en inlichtingendiensten sinds 9/11 vergaande bevoegdheden voor de grootschalige opslag van gegevens, grotendeels van volstrekt onschuldige mensen en zonder enige toetsing van de rechter. Met andere woorden: we zijn op zoek naar een speld, maar we maken de hooiberg steeds groter. Daarnaast vindt sluipenderwijs een uitbreiding van de bevoegdheden plaats naar doelen buiten terreurbestrijding (“function creep”). Want als gegevensbestanden er eenmaal zijn, is de verleiding groot met al die gegevens ook allerlei andere dingen te doen.

Intussen is “Human Intelligence”, ofwel het vergaren van informatie door direct contact met personen, steeds meer naar de achtergrond geraakt als instrument voor het opsporen van (potentiële) terroristen. Onterecht, dit zou wel eens veel betrouwbaarder informatie kunnen opleveren dan technologie en geautomatiseerde zoektochten.

Het toverwoord is “preventie” geworden. Maar de niet aflatende stroom maatregelen is altijd gericht op de vorige aanslag, achter de feiten aan. Bovendien was er de laatste jaren een bijna obsessieve focus op terreur door moslimfundamentalisten. Het leeuwendeel van de middelen was daarop gericht, terwijl duidelijk was dat ook uit andere hoek de dreiging substantieel was (zoals nu ook is gebleken).

De effectiviteit van de zich opstapelende antiterreurmaatregelen is nooit echt getoetst. Alleen Nederland en Groot-Brittannië hebben een aanzet gegeven tot een evaluatie. In september stemt het Europees Parlement over een rapport van mijn hand, waarin wordt opgeroepen tot een grondige en nuchtere evaluatie van alle Europese antiterreurmaatregelen tot nu toe.

De Europese Commissie en de Raad lijken na Oslo weer nieuwe maatregelen in het leven te willen roepen om internetgebruikers in de gaten te houden. Commissie en Raad zouden er goed aan doen even te wachten met nieuwe maatregelen, en eerst grondig te evalueren wat we al hebben, hoe effectief dat is, en waar bestaande bevoegdheden aantoonbaar tekortschieten.

Pavlov moet zich even beheersen.

Klik hier voor het persbericht van het Europees Parlement over het Counter Terrorism rapport van Sophie in ‘t Veld.

 

Tags: , , , ,
Gepost door Sophie in 't Veld | No Comments »

Wat moet een sportclub met mijn paspoort?

Maandag, 6 september , 2010

Steeds vaker is voor het verkrijgen van een dienst, product of lidmaatschap vereist om een groot aantal persoonsgegevens, waaronder meestal een kopie van paspoort of ID kaart, af te staan aan bedrijven en organisaties.  Telecom aanbieders eisen een kopie van identiteitsbewijs en een bankafschrift voor het verkrijgen van een abonnement, maar ook de plaatselijke sportclub stelt dezelfde eisen voor een lidmaatschap.

Ik heb een aantal bezwaren tegen deze groeiende praktijk, zowel uit oogpunt van privacy als consumentenbescherming. Ten eerste heeft een consument eigenlijk geen echt vrije keus, aangezien in veel gevallen alle bedrijven binnen een sector dezelfde categorieën persoonsgegevens vragen. Het afstaan van een kopie van het identiteitsbewijs en een bankafschrift wordt de facto een voorwaarde voor het verkrijgen van bepaalde diensten en producten. Dit geldt vooral voor essentiële diensten als toegang tot het internet of een telefoonabonnement.

In de tweede plaats lijken de gevraagde gegevens me volstrekt onnodig voor de bedrijfsvoering. Het controleren van de kredietwaardigheid van een klant lijkt in veel gevallen excessief, aangezien het gaat om kleine bedragen voor een dienst die veelal bij wanbetaling simpelweg afgesloten kan worden. In de gevallen waar vooruit moet worden betaald, is het me al helemaal onduidelijk waarom kredietwaardigheid dient te worden getoetst. Ook is mij niet duidelijk waarom het voor een goede bedrijfsvoering essentieel zou zijn om de officiële identiteit van een klant te verifiëren.

Heel veel bedrijven leveren (dure) producten en diensten zonder te vragen om identificatie of kredietwaardigheid. Bijvoorbeeld bestellen van meubels, het verrichten van (verbouwingswerkzaamheden) in huis, het boeken van een vakantiereis, het bezorgen van boodschappen, enzovoort. Mijn grootste bezwaar is echter de grootschalige opslag van de gevraagde persoonsgegevens. Bedrijven leggen feitelijk grote bestanden aan van kopieën van paspoorten en identiteitsbewijzen en bankafschriften. De noodzaak van dergelijke bestanden voor de bedrijfsvoering is mij niet duidelijk. Van veel bedrijven betwijfel ik of ze bekend zijn met de regels inzake bescherming persoonsgegevens (zoals in het voorbeeld van de sportclub), en of de veiligheidsmaatregelen rondom een dergelijk bestand wel adequaat zijn. Dergelijke bestanden brengen aanzienlijke risico’s op verlies, lekken diefstal en fraude met zich mee. Daarnaast is er geen duidelijkheid over de risico’s van gebruik van deze bestanden door derden (inclusief politie, justitie en inlichtingendiensten) en het combineren van deze bestanden met gegevens in andere bestanden.

Een gemiddelde consument komt voor in talloze bestanden. Daardoor kan eenvoudig een gedetailleerd beeld worden gevormd van de levensstijl en activiteiten van een persoon, zonder dat hij/zij zich daarvan bewust is. Tenslotte maakt de interne markt dat bedrijven en consumenten over de grenzen heen diensten en producten kunnen aanbieden respectievelijk afnemen. Dit werpt de vraag op welke regels van toepassing zijn.

(Dit is een bewerking van een brief die Sophie in ‘t Veld eind augustus 2010 heeft geschreven aan het College Bescherming Persoonsgegevens met daarin de vraag of het CBP bekend is met de praktijk en de ontwikkelingen in andere EU Lidstaten)

Tags: , , , ,
Gepost door Sophie in 't Veld | No Comments »

Feiten en fictie in de strijd tegen terrorisme

Zondag, 3 januari , 2010

De laatste tijd waren de meeste mensen vooral bezig met het hoofd boven water houden in de economische crisis, maar dank zij een handjevol terroristen is het gevoel van dreiging weer volop terug op de agenda.

In de afgelopen dagen is veel zin en onzin gedebiteerd over veiligheid, met een sterke fixatie op body scanners als dé remedie tegen terrorisme. In het licht van deze discussie wil ik graag eens een paar feiten en ficties op een rijtje zetten.

 FEIT: het Europees Parlement heeft de plaatsing van body scans niet geblokkeerd.
Elke Lidstaat kan gewoon zelf besluiten om de scans te plaatsen. In het EU-voorstel was plaatsing hoe dan ook pas in 2010 voorzien. Het Europees Parlement heeft de democratische plicht elk voorstel voor Europees beleid kritisch door te lichten.

FICTIE: met body scans bereiken we 100% veiligheid.
De gewone body scanners detecteren geen objecten of stoffen die in het lichaam verborgen worden.  Dat weten terroristen ook en die oefenen al lang met het verstoppen van objecten in het lichaam (maag, lichaamsholten). We moeten dus investeren in nog meer geavanceerde technologie.  Met zogeheten Puffer Machines kunnen bijvoorbeeld explosieve materialen worden gedetecteerd. In plaats van nu in grote haast scanners te plaatsen, zou de regering er beter aan doen eens goed na te denken over welk type scanners, en hoe die worden ingepast in een samenhangende, effectieve anti-terreur strategie.

En al zouden we theoretisch luchthavens en vliegtuigen 100% kunnen beveiligen tegen terroristen, dan blijven er nog legio soft targets: winkelcentra, sport- en muziekevenementen, scholen, treinen en bussen, en nog veel meer.

FICTIE: privacywetten zijn een obstakel voor veiligheid.
De meeste anti-terreurmaatregelen kunnen prima worden genomen onder de huidige privacywetten. En ook technologie kan veel bijdragen aan privacy bescherming. Zo heeft Schiphol besloten de scannerbeelden door de computer te laten analyseren, in plaats van door een persoon. Ook moeten er strakke regels zijn voor wie de beelden mag zien, hoe lang ze worden bewaard, etc. Gewone burgers hebben heel veel privacy en vrijheid opgegeven, maar in tegenstelling tot wat vaak wordt gedacht leidt dat niet automatisch tot meer veiligheid. Van veel van de genomen maatregelen is de effectiviteit op zijn zachtst gezegd onduidelijk. De grootschalige opslag van passagiersgegevens bijvoorbeeld levert helemaal geen kant-en-klare lijst van mensen met slechte bedoelingen op. Gegevens op zich leveren helemaal niks op. Alles hangt af van de verwerking ervan, zoals weer eens blijkt uit het geval van de Nigeriaanse terrorist. De passagiersgegevens worden dan ook voor heel andere doeleinden gebruikt dan terreurbestrijding.

FEIT: body scanners en overige screenings op luchthavens zijn slechts een allerlaatst veiligheidsfilter in de hele keten anti-terreur maatregelen.
 Technologie kan geen slechte bedoelingen detecteren. Het vooraf verzamelen van informatie (intelligence gathering) over mogelijke terroristische activiteiten is nog belangrijker dan technische snufjes. Maar het is al jaren bekend dat intelligence gathering juist een zwakke schakel is in de keten. Bij de meest bekende aanslagen – 9/11, Madrid, Theo van Gogh en de Nigeriaanse Kerstvakantie-terrorist – was veel informatie al lang beschikbaar. Probleem is dat veiligheidsdiensten eigen koninkrijkjes zijn die weigeren of falen informatie te delen en uit te wisselen, samenwerking tussen diensten (nationaal en internationaal) is onvoldoende en de risico analyse schiet tekort. De terreurlijsten zijn een rommeltje (volgens rapporten van de VS regering zelf!). Dit alles is al jaren bekend. Technologie en het opslaan van steeds meer gegevens van onschuldige burgers gaat deze tekortkomingen niet oplossen. Integendeel: het risico bestaat dat alle inspanningen zich richten op zaken als body scanners, en dat de noodzakelijke (maar minder sexy) maatregelen ter verbetering van de informatieverzameling achterwege blijven.

Voorbeeldje: ikzelf (met honderdduizenden buitengewoon onschuldige en ongevaarlijke mensen) stond op een lijst voor extra screening, maar de Nigeriaan niet. D66 heeft al vaak haar zorg uitgesproken over deze verspilling van kostbare capaciteit.

FICTIE: Zoete Lieve Gerritje gaat het betalen
De laatste jaren worden steeds vaker bedrijven (luchthavens, luchtvaartmaatschappijen, telecom bedrijven, banken, etc) belast met allerlei veiligheidstaken namens de overheid. Daar is steeds meer geld mee gemoeid. Het zijn publieke taken, moet dus met publiek geld worden gefinancierd. En dat zou trouwens best eens kunnen leiden tot meer terughoudendheid bij het voorstellen van almaar nieuwe maatregelen!

 FEIT: de herhaalde roep van D66 om een grondige evaluatie van anti-terreur maatregelen is urgent!En dat gaat de regering hopelijk ook doen: http://www.nctb.nl/Actueel/persberichten/2009/persbericht_090710.aspx

Tags: , , , , , , , , , ,
Gepost door Sophie in 't Veld | No Comments »