Privacy Alerts #22: De nieuwe ‘Big Brother-wet’ kan leiden tot een nieuwe toeslagenaffaire

Share

De nieuwe ‘Big Brother-wet’ kan leiden tot een nieuwe toeslagenaffaire. Daarom moet de wet niet worden aangenomen, aldus de Autoriteit Persoonsgegevens (AP). De Wet gegevensverwerking door samenwerkingsverbanden (WGS) moet onder andere helpen bij het tegengaan van digitale fraude en internetoplichting. De meningen over de nieuwe data-koppelwet zijn scherp verdeeld: banken en overheden zien de wet als een belangrijke stap vooruit, maar vanuit privacy-oogpunt klinkt er veel kritiek. Verder in deze bijdrage: het kabinet heeft het wetsvoorstel voor de NCTV naar aanleiding van kritiek aangepast, woningcorporaties moeten meer persoonsgegevens kunnen uitwisselen volgens demissionair minister Ollongren en datingapp Grindr wordt door stichting Noyb aangeklaagd.

De voorgestelde anti-fraude wet (WGS) gaat te ver

Het wetsvoorstel in kwestie draait om de Wet gegevensverwerking door samenwerkingsverbanden (WGS). De Tweede Kamer heeft dat wetsvoorstel al goedgekeurd. Het wetsvoorstel is momenteel in de eerste fase van de behandeling in de senaat (Eerste Kamer).

Het wetsvoorstel biedt samenwerkingsverbanden van overheidsinstanties en private (commerciële) partijen zeer ruime bevoegdheden om (persoons)gegevens te delen en gezamenlijk te verwerken. Dit gebeurt bijvoorbeeld als er vermoedens van fraude of georganiseerde criminaliteit zijn. In het wetsvoorstel is een viertal samenwerkingsverbanden aangewezen. Het betreft het Financieel Expertisecentrum (FEC), de Infobox Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionale Informatie- en Expertisecentra (RIEC’s) en de Zorg- en Veiligheidshuizen (ZVH’s). Bovendien is in het wetsvoorstel ook opgenomen dat de regering later, bij algemene maatregel van bestuur, nieuwe samenwerkingsverbanden mag aanwijzen die bevoegd zijn om (persoons)gegevens te delen. De gedachte is dat overheidsinstanties daarmee meer data in handen krijgen waarmee ze gerichter fraude en georganiseerde criminaliteit kunnen opsporen.

De WGS maakt het derhalve mogelijk om informatie – bijvoorbeeld burgerservicenummers, woonsituatie, verblijfsstatus, financiële gegevens, politiegegevens en zelfs gegevens over seksueel gedrag en seksuele geaardheid – over potentiële fraudeurs uit te wisselen tussen overheidsinstanties onderling, maar ook met bepaalde private instanties, zoals banken. Bovendien gaat het daarbij niet alleen om gegevens van de potentiële fraudeurs zelf, maar ook van hun familie en vrienden.

De Nederlandse Vereniging van Banken (NVB) steunt het plan van het kabinet om meer data over burgers te delen. Volgens de NVB draagt de wet bij aan de bestrijding van internetoplichting. Bovendien bevat de wet de nodige waarborgen ten aanzien van privacy, aldus de NVB.

De Autoriteit Persoonsgegevens, die door de Eerste Kamer om advies was gevraagd, waarschuwt echter voor de impact van het wetsvoorstel. Het wetsvoorstel maakt het mogelijk dat té veel instanties – waaronder niet alleen overheidsinstanties maar dus ook private partijen – té veel persoonsgegevens met elkaar delen, zonder duidelijke aanleiding.

Het verwerken en uitwisselen van persoonsgegevens mag niet zomaar. Voor het uitwisselen van gegevens is een wettelijke basis nodig. Dit is momenteel bij het uitwisselen van persoonsgegevens tussen verschillende partijen van een samenwerkingsverband nog niet het geval. De nieuwe wet dient daarom als wettelijke basis voor het uitwisselen van gegevens tussen samenwerkingsverbanden.

De WGS is echter volgens de toezichthouder ‘’zo algemeen, zo vaag en biedt zoveel ruimte, dat een nieuwe affaire zoals de toeslagenaffaire onvermijdelijk lijkt.’’ Het wetsvoorstel beschrijft niet duidelijk genoeg het doel waarmee de samenwerkingsverbanden op grote schaal (persoons)gegevens willen delen, opslaan en analyseren.

Op grond van de WGS mogen partijen (persoons)gegevens uitwisselen ten behoeve van ‘zwaarwegende algemene belangen’. Maar volgens de AP is dit criterium te vaag. Wat er precies moet worden verstaan onder ‘zwaarwegende algemene belangen’ is niet duidelijk terwijl juist dat heel belangrijk is met het oog op de inbreuk die de wet maakt op de privacy van burgers. Aan een overheid die zoveel machtsmiddelen heeft, mogen we strenge eisen stellen.

“Net als in de toeslagenaffaire maakt deze wet het mogelijk om grote groepen mensen zonder aanleiding door de mangel te halen”, zegt Aleid Wolfsen, de voorzitter van de AP. Bovendien doet de wet denken aan het bekritiseerde anti-fraudesysteem SyRI (Systeem Risico Indicatie). SyRI bleek in strijd met Europese wetgeving (artikel 8 EVRM). Volgens de AP-voorzitter gaat de WGS – door critici ook wel Super SyRI genoemd – zelfs verder dan SyRI. “Het wetsvoorstel zet de deur wagenwijd open voor een onbegrensde surveillance door een onbegrensde hoeveelheid partijen”. Volgens de privacytoezichthouder is de kans te groot dat mensen ‘op het verkeerde lijstje’ terechtkomen en ook ligt het risico van massasurveillance op de loer.’ Daarom moet de Eerste Kamer de nieuwe wet niet aannemen, aldus de privacywaakond.

Kabinet past wetsvoorstel NCTV aan na kritiek Autoriteit Persoonsgegevens en Raad van State

Het demissionaire kabinet heeft – naar aanleiding van stevige kritiek van de Autoriteit Persoonsgegevens (AP) en de Raad van State (RvS) – het wetsvoorstel over de uitbreiding van bevoegdheden voor de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) aangepast.

Het wetsvoorstel dient ertoe om de verwerking van persoonsgegevens binnen samenwerkingsverbanden te voorzien van een wettelijke basis. In het kader van de bescherming van de nationale veiligheid en het verhogen van de weerbaarheid (van de samenleving) tegen terrorisme kan het volgens de minister van Justitie en Veiligheid (J&V) noodzakelijk zijn om burgers online te monitoren en om (bijzondere) persoonsgegevens van burgers te laten verzamelen, analyseren en delen door de NCTV.

Uit de adviezen van de AP en de RvS bleek echter dat de privacy van burgers in het oorspronkelijke voorstel onvoldoende was gewaarborgd. Het ontbreken van sterke waarborgen maakt het voor rechters en toezichthouders lastig om het werk van de NCTV te toetsen. Ook was niet duidelijk waarom de NCTV zich bezig zou houden met activiteiten op gebieden waarop ook inlichtingendiensten zoals de AIVD actief zijn. Volgens de minister is er nu een duidelijke begrenzing aangebracht tussen de taken van de NCTV enerzijds en de taken van de algemene inlichtingendienst AIVD en de politie anderzijds.

Het voorstel is naar de Tweede Kamer gestuurd voor inhoudelijke behandeling.

Woningcorporaties moeten meer (persoons)gegevens kunnen verwerken

Demissionair minister Ollongren van Binnenlandse Zaken wil dat woningcorporaties meer persoonsgegevens van huurders kunnen verwerken, onder andere gegevens over de gezondheid en strafrechtelijke gegevens.

Op dit moment mogen woningcorporaties voor het uitvoeren van hun taken – het uitvoeren van de huurovereenkomst – al persoonsgegevens verwerken, zoals naam, adres en woonplaats (NAW-gegevens of gewone persoonsgegevens). Voor het verwerken van persoonsgegevens moet er altijd een grondslag zijn (artikel 6 AVG). In dit geval kan de verwerking worden gebaseerd op artikel 6 lid 1 sub b AVG (de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is). Voor het verwerken van bijzondere persoonsgegevens zoals gezondheidsgegevens gelden aanvullende voorwaarden.

Behalve voor het uitvoeren van de huurovereenkomst moeten wooncorporaties ook hun wettelijke verplichtingen – wat betreft het ‘passend toewijzen’ en het tegengaan van scheefwonen – kunnen uitvoeren. Het gaat bijvoorbeeld om het toewijzen van woningen aan mensen met een medische complicatie op grond van een medische urgentieverklaring. Daarnaast dient woonoverlast als gevolg van conflicten tussen huurders, of als gevolg van verwaarlozing van de woning of woonomgeving door een huurder, opgelost en voorkomen te worden. Volgens Ollongren moeten woningcorporaties in bepaalde gevallen daarom meer persoonsgegevens kunnen verwerken dan alleen de gewone persoonsgegevens. Hiervoor bestaat nog geen expliciete grondslag.

Ollongren is van plan om de Autoriteit Persoonsgegevens advies te vragen over het wetsvoorstel dat de juridische grondslag moet bieden voor het verwerken en delen van gegevens door woningcorporaties.

Grindr in strijd met privacywetgeving

De Stichting None of your business (Noyb) van privacyactivist Max Schrems heeft bij de Oostenrijkse toezichthouder (DSB) een AVG-klacht ingediend tegen de datingapp Grindr. De dating-app voor homoseksuelen, biseksuelen en transgenders vraagt gebruikers die op grond van hun recht op inzage (artikel 15 van de Algemene verordening gegevensbescherming) opvragen welke gegevens Grindr over hen heeft verzameld om een foto van hun identiteitskaart en e-mailadres ter verificatie. Schrems stelt dat Grindr hiermee de Algemene verordening gegevensbescherming (AVG) overtreedt en noemt dit een “onevenredige en ongerechtvaardigde procedure”.

Bij de registratie voor Grindr vraagt de app gebruikers niet om verifieerbare persoonlijke informatie met het oog op anonimiteit. Noyb stelt echter dat deze anonimiteit vervalt zodra gebruikers hun recht op inzage willen uitoefenen. De stichting wijst erop dat het verzamelen van persoonlijke informatie volgens de AVG tot een minimum moet worden beperkt (dataminimalisatie ex artikel 5 lid 1 sub c AVG).

Het opvragen van extra informatie is volgens Noyb toegestaan indien er aannemelijke twijfel bestaat over de identiteit van de gebruiker die informatie opvraagt. Bedrijven die in Europa actief zijn hebben de verplichting om de identiteit van degene die de gegevens opvraagt te controleren en moeten per geval beoordelen of er gerede twijfel is over de identiteit van een gebruiker. Dat is om de privacy van burgers te beschermen, zodat niet zomaar iedereen toegang krijgt tot andermans gegevens. Het is niet toegestaan om ten aanzien van de controleplicht een algemeen beleid te hanteren.

In de aanklacht schrijft Noyb dat het verzoek van Grindr een overtreding is van meerdere regels die zijn vastgelegd in de AVG. Verder wijst Noyb erop dat artikel 12 lid 6 AVG, dat bedrijven de mogelijkheid biedt om aanvullende informatie te vragen om de identiteit van de betrokkene vast te stellen, niet van toepassing is in deze zaak. Noyb wil dat de DSB een einde maakt aan deze vergaande identificatieplicht bij inzageverzoeken. Ook vindt ze dat een boete op zijn plaats is. Als de toezichthouder daarmee instemt, riskeert Grindr een boete van ruim 3,2 miljoen euro.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.