Ga meteen door naar de genomineerden voor de Publieksprijs: Edith Schippers, Rob Bertholee, WhatsApp, en stem op jouw favoriete kandidaat. Of bekijk de genomineeren voor de Expertprijs: de Gemeente Rotterdam, Klaas Dijkhoff en het Verbond van Verzekeraars.

Nominaties Publieksprijs

 

Edith Schippers brokkelt medisch beroepsgeheim verder af

In september stuurde Edith Schippers haar voorstel naar de Tweede Kamer om de Wet marktordening gezondheidszorg aan te passen. Dat zorgde voor veel ophef. Voor de inzenders van nominaties is dit het zoveelste voorbeeld van het afkalven van het medisch beroepsgeheim, dit keer ook nog eens om een heel mager resultaat te bereiken.

De inzenders benadrukken de waarde van het medisch beroepsgeheim als “essentieel patiëntenrecht” dat “de veilige arts-patiëntrelatie” beschermt en “bestaat om de vrije toegang tot de zorg te waarborgen”. Immers, een patiënt kan niet goed behandeld worden als diegene zich niet meer vrij voelt om een arts intieme informatie te vertellen die essentieel is voor een goede behandeling. Dat is niet alleen voor die ene persoon van betekenis, het dient ook het maatschappelijk belang dat iedereen zich vrijelijk tot zorgverleners moet kunnen wenden voor gezondheidszorg.

Het wetsvoorstel zorgt voor een uitbreiding van de mogelijkheid voor zorgverzekeraars om inzage te krijgen in het medisch dossier van patiënten om fraude aan te pakken. Dit is al mogelijk bij patiënten die zorg afnemen bij zorgverleners die een contract hebben met de verzekeraar. Minister Schippers wil deze inzagemogelijkheid nu verder uitbreiden naar alle patiënten met een restitutiepolis die behandeld worden bij een niet-gecontracteerde zorgverlener.

Het steekt des te meer dat het medisch beroepsgeheim steeds verder afbrokkelt omwille van een ontzettend klein percentage van de fraude. Uit een rapport van Zorgverzekeraars Nederland blijkt dat verzekerden in 2015 voor 1,4 miljoen euro fraude pleegden (13% van de totale fraude, 0,015 % van het totale zorgbudget), terwijl zorgverleners 9,6 miljoen euro op hun conto schreven (met ruim 8,8 miljoen is dat 80% van de totale fraude). Dat voor zo’n klein percentage het “zeer kostbare principe van vertrouwelijkheid van de spreekkamer” wordt aangetast, maakt dat de inzenders stellen dat de minister “volledig uit de bocht vliegt”.

 

Rob Bertholee – Hoofd AIVD is privacydiscussie beu… en versleuteling eigenlijk ook

In een interview in De Volkskrant ging Rob Bertholee, hoofd van de Algemene Inlichtingen- en Veiligheidsdiensten, frontaal in de aanval tegen het recht op privacy en stelt hij dat de AIVD versleuteling altijd ongedaan moet kunnen maken. Volgens Bertholee moeten burgers niet zo zeuren over privacy in de strijd tegen terrorisme. Bertholee zet privacy en veiligheid in het interview neer als elkaars tegenpolen. Voor betere privacybescherming lever je veiligheid in en vice versa. Of in de woorden van Bertholee zelf: ”hoeveel veiligheid is privacy je eigenlijk waard?”

Ook schoot zijn suggestie, afkomstig uit hetzelfde interview, dat als er een aanslag plaats zou vinden privacyvoorvechters dat zouden hebben “toegestaan” velen in het verkeerde keelgat. Met dit soort uitlatingen wordt een beargumenteerd debat volgens hen onmogelijk gemaakt.

Maar Bertholee’s wens om het gebruik van versleuteling in te perken en toegang te krijgen tot versleutelde communicatie is uiteindelijk voor velen de belangrijkste reden om hem te nomineren. Van internetbankieren tot het beschermen van bedrijfsgeheimen, versleuteling houdt ons veilig. Zelfs als we ons er niet altijd van bewust zijn, gebruiken we het heel veel. Door het beperken van versleuteling worden alle internetters in Nederland kwetsbaarder voor cybercriminelen en buitenlandse geheime diensten. Bertholee’s standpunt gaat dan ook lijnrecht in tegen het kabinetsstandpunt om geen achterdeurtjes in te bouwen of versleuteling anderszins te beperken. De inzenders wijzen op de negatieve gevolgen van het beperken van versleuteling en het daarmee in gevaar brengen van “niet alleen onze burgerlijke vrijheden, maar ook onze welvaart”.

 

WhatsApp status: Belofte gebroken

WhatsApp was zo veelbelovend. Zelfs nadat het bedrijf in 2014 was overgenomen door Facebook schreef het: “Respect for your privacy is coded into our DNA, and we built WhatsApp around the goal of knowing as little about you as possible.” Er werd plechtig beloofd om geen data tussen de twee bedrijven te delen: “If partnering with Facebook meant that we had to change our values, we wouldn’t have done it. Instead, we are forming a partnership that would allow us to continue operating independently and autonomously.” Mark Zuckerberg zei zelf nog: “We are absolutely not going to change plans around WhatsApp and the way it uses user data.” En als klap op de vuurpijl beschermden ze begin 2016 ook nog eens in één keer de communicatie van meer dan een miljard gebruikers door hun chats te versleutelen met end-to-end encryptie. Een indrukwekkende stap waarmee ze voorliepen op veel andere bedrijven. De indieners spreken van een “juichstemming”.

Die stemming sloeg dit najaar hard om. WhatsApp wijzigde haar voorwaarden zodat bedrijven gebruikers berichten kunnen sturen. Ook gaat WhatsApp gegevens delen met het moederbedrijf en met Facebook’s andere dochterbedrijven, zoals Instagram en Oculus. Op Facebook krijgen gebruikers daardoor meer gepersonaliseerde advertenties te zien. Maar wat er precies met Facebook gedeeld wordt? Dat blijft in de voorwaarden onduidelijk. Het lijkt erop dat in elk geval je telefoonnummer, ‘laatst gezien’-gegevens en device identifier doorgegeven worden naast je profielnaam, profielfoto en de telefoonnummers in het adresboek van je telefoon.

Een échte keuze kregen de trouwe gebruikers van de app niet. De indieners wijzen dan ook op de “vreemde constructie” die werd gebruikt om toestemming te krijgen. Wie binnen 30 dagen zijn of haar instellingen niet aanpaste, zou als vanzelf toestemming geven voor het delen van gegevens met Facebook “om je ervaring met advertenties en producten op Facebook te verbeteren”. Als je dat al bezwaarlijk vindt: in haar voorwaarden maakt WhatsApp ook nog onderscheid tussen verschillende doeleinden waarvoor het bedrijf data gebruikt en deelt. De opt-out? Die geldt voor het verwerken van data voor dat ene doel – voor alle andere doeleinden gaat het datadelen met Facebook rustig door. Dus niet alleen werd de oorspronkelijke belofte gebroken om geen data tussen de bedrijven te delen, zelfs de opt-out voorkomt dat niet.

 

Nominaties Expertprijs

De gemeente Rotterdam bepaalt waar jij mag huren

Een wereld waarin een gemeente kan bepalen of je wel of niet in een wijk mag wonen. Het klinkt als iets uit een science fiction roman, maar het is de werkelijkheid in 2016 in Nederland. En vanaf 2017 mag daarvoor op grond van een Verklaring omtrent gedrag (VOG) of op basis van politiegegevens gescreend worden.

Sinds de invoering van de wet Bijzondere Maatregelen Grootstedelijke Problematiek (de Rotterdamwet) in 2006 is het mogelijk om “werkloze nieuwkomers” te weigeren in speciaal aangewezen delen van een gemeente. Rotterdam, vaandeldrager van de wet, deed dat dan ook. Bij de evaluatie bleek dat het weigeren van deze nieuwkomers de aangewezen wijken niet veiliger en leefbaarder maakte. De wet leek een schoolvoorbeeld van schijnveiligheid te worden.

Intussen bleken al 15 gemeenten, waaronder Rotterdam, te vragen of “nieuwkomers” bij de politie bekend zijn. In plaats van dit te problematiseren besloot minister Blok met instemming van de Tweede en Eerste Kamer deze praktijk te legaliseren. Expert Bart de Koning (De Correspondent) zegt hierover: “Dit is het zoveelste voorbeeld van het oprekken van bevoegdheden door de overheid.”

Met deze uitbreiding van de Rotterdamwet die naar verwachting per 1 januari 2017 in werking zal treden, wordt het mogelijk voor de burgemeester om te kijken naar de politiegegevens of de VOG. Nadat een woningzoekende zich aan heeft gemeld voor een huisvestingsvergunning kan op basis van deze informatie bepaald worden of de woningzoekende welkom is of niet. De gemeente Rotterdam heeft al aangekondigd om deze wet aan te grijpen om in bepaalde delen van Rotterdam “asociale, criminele of geradicaliseerde” bewoners te weren.

Voor de gemeente is het helder. Maar de woningzoekende tast in het duister. Het gaat om gegevens die niet bij de burger bekend zijn, maar waarop wel verregaande beslissingen worden genomen. Kloppen de gegevens wel? En als die gegevens niet tot vervolging hebben geleid, bijvoorbeeld omdat het ging om een ongegronde klacht, waarom mogen ze dan wel gebruikt worden om te bepalen of iemand ergens mag wonen? De Raad van State was hier buitengewoon kritisch op en gaf aan dat “de noodzaak van het voorstel onvoldoende is aangetoond omdat gegevens over de aard, omvang en ernst van het probleem ontbreken. Daarnaast is niet dragend gemotiveerd dat inzet van deze ingrijpende maatregelen proportioneel is. Ten slotte concludeert de Afdeling dat de effectiviteit van het voorstel niet overtuigend aangetoond.” Ook Bart de Koning steekt zijn kritiek niet onder stoelen of banken: “Burgers worden hierbij tot potentiële risico’s bestempeld en in feite preventief gestraft voor daden die ze nog niet begaan hebben, op grond van criteria en data die ze niet kennen. En zoals zo vaak zijn het vooral allochtonen die als risico’s geprofileerd worden.”

 

Staatssecretaris Klaas Dijkhoff kiest voor schijnveiligheid

In de strijd tegen criminaliteit heeft het kabinet het plan om apparaten van verdachten te kunnen hacken naar de Tweede Kamer gestuurd. Het voornemen is om de politie in te laten breken op allerlei apparaten van verdachten – van pacemakers tot telefoons tot en met auto’s. Vervolgens mogen die apparaten doorzocht worden, maar mogen ook webcam, gps en microfoons geactiveerd worden. De politie kan dus tot in de slaapkamer meekijken.

Om te kunnen hacken zal er in veel gevallen gebruik moeten worden gemaakt van zwakheden in software. Die zwakheden zitten vanzelfsprekend niet alleen in de apparaten van de verdachte, maar ook in de apparaten die worden gebruikt door onschuldige burgers. Daarmee zijn alle onverdachte mensen met eenzelfde apparaat ook kwetsbaar voor kwaadwillenden.

En om gebruik te kunnen maken van die zwakheden moeten ze er wel zijn. De politie krijgt daarmee een belang bij het blijven bestaan van (onbekende) kwetsbaarheden. Expert Jaya Baloo (KPN) zegt hierover: “Kwetsbaarheden ‘even open houden’ leidt tot oppotten en hamsteren van gevaarlijke gebrekken in hardware en software.” Dat ondermijnt de taakstelling van de politie: het veilig houden van de samenleving.

Jaya Baloo roept op om eerst te kijken naar hoe Nederland wel veiliger gemaakt kan worden: “Voordat wij in Nederland kwetsbaarheden inzetten om terug te hacken moeten wij eerst met elkaar afspreken hoe en wanneer wij responsible disclosure gaan inzetten.” Daarbij heeft Nederland de taak het beter te doen dan in het buitenland: “Om de proportionaliteit, redelijk en billijkheid ervan te toetsen heeft dit geleid tot de ‘Vulnerabilities Equities Process’ in de VS. Helaas is het proces ver van volmaakt en is niet altijd even duidelijk hoe en wanneer deze toets gebeurt.”

Vooralsnog is hier geen sprake van. Nederland zal met dit voorstel daarom dus een aandeel hebben in een kwetsbare digitale infrastructuur. Een onveilige situatie dus, mede mogelijk gemaakt door de politie.

 

Verbond van Verzekeraars verklaart klant vogelvrij

Slachtoffers van letselschade kunnen beter twee keer over hun schouder kijken. Zorgverzekeraars hebben natuurlijk belang bij het opsporen van fraude, maar geven door het opstellen van te vage regels onderzoeksbureaus de ruimte om mensen intensief te bespioneren.

Verzekeraars willen graag fraude opsporen en fraude voorkomen. Daarvoor kunnen ze onderzoek doen. Om dat goed te borgen heeft het Verbond van Verzekeraars een gedragscode opgesteld voor onderzoek naar fraude. Als zorgverzekeraars het vermoeden hebben dat er sprake kan zijn van fraude of als de verzekeraar niet zeker weet of er uitgekeerd moet worden, kan een zogenaamd “persoonlijk onderzoek” worden uitgevoerd. Dat is een eufemistische term voor wat kan leiden van het interviewen van verzekerden, het inwinnen van informatie bij derden tot het observeren van de klant. Daarbij mag dit door een onderzoeksbureau worden uitgevoerd.

In de praktijk blijkt echter dat de gedragscode niet voldoet. Volgens Arnold Roosendaal (Privacy Company) zijn de regels “algemeen van aard en bieden onvoldoende handvatten voor de praktijk”. Zo blijkt bijvoorbeeld uit artikel 7.3 van de gedragscode dat “situaties waarin personen een gerechtvaardigde verwachting hebben dat zij onbevangen zichzelf moeten kunnen zijn, worden ontzien”. Dat is behoorlijk vaag.

En dat is zorgelijk, want de onderzoeksbureaus blijken behoorlijk ver te gaan. Zo worden mensen voor lange periodes gevolgd met camera’s, soms tot in de tuin. Ook wordt er zelfs overnacht in de bed and breakfast van een van de geobserveerden. Al met al, volgens Arnold Roosendaal, een “forse privacyinbreuk dus, met bijzonder weinig waarborgen en voor verzekerden vaak de schijn tegen.”

Toevallig heeft het Europese Hof voor de Rechten van de Mens onlangs over zulke onderzoeken geoordeeld. Uit die uitspraak blijkt dat de Zwitserse verzekeraars ook vage regels hadden. Die te vage regels zijn in strijd met het recht op privacy. Dat geeft te denken voor de rechtmatigheid van de Nederlandse praktijk.

 

De experts
Jaya Baloo (KPN), Bart de Koning (De Correspondent), Arnold Roosendaal (Privacy Company), Tanja Lange (Technische Universiteit Eindhoven), Gerrit-Jan Zwenne (Universiteit Leiden), Dennis Broeders (Erasmus Universiteit Rotterdam), Frederik Zuiderveen Borgesius (Universiteit van Amsterdam) en Ot van Daalen (Project Moore) dienden nominaties in voor de Expertprijs.