
DIGITALE SAMENLEVING
Met de steeds snellere digitalisering van de samenleving, de toename van cybercriminaliteit en nieuwe vormen van werken en leven komt een gezonde balans tussen privacy en (digitale) veiligheid steeds meer onder druk te staan. Steeds meer hebben de gevestigde politieke partijen hun mond vol van privacy maar werken ze als het erop aankomt wel mee aan het uithollen van dit grondrecht. De zorgwekkende stand van zaken vraagt om concrete actie en heldere standpunten als het gaat om een gezonde, ook digitaal veilige samenleving waarin privacy als grondrecht overeind blijft.
GRONDBEGINSELEN VAN DE DIGITALE SAMENLEVING
Voor internet geldt het Netneutraliteitsbeginsel. Burgers hebben recht op een vrij internet zonder filters die discrimineren naar gebruiker, inhoud, website, platform, toepassing, soort aangesloten apparatuur of communicatiemethode.
De overheid heeft een inspanningsverplichting om de burgers die digitaal actief zijn op haar grondgebied zoveel als mogelijk te vrijwaren van - en te beschermen tegen spionage, discriminatie, grove privacyschendingen en andere grondrechten binnen het digitale domein.
Het maken van een privé-kopie voor eigen gebruik is een recht en de heffing op media- of hardware is vanuit dit oogpunt fundamenteel onjuist. De thuiskopieheffing dient afgeschaft te worden.
Burgers van wie gegevens zijn geraadpleegd kunnen laagdrempelig digitaal of schriftelijk verzoeken om uitleg. Ongeoorloofde raadplegingen worden bestraft.
Iedere organisatie die persoonsgegevens verzamelt of verwerkt dient deze gegevens op aanvraag online en zonder kosten beschikbaar te stellen aan de betreffende persoon.
Iedere overheidsorganisatie die persoonsgegevens registreert of verwerkt vanuit haar taakstelling dient deze volledig en geactualiseerd via mijnoverheid.nl inzichtelijk te maken voor de burger.
Nederlandse data wordt zoveel mogelijk opgeslagen in datacentra waar Nederland zeggenschap over heeft, zodat de zeggenschap over de data niet direct onder Amerikaanse -, Chinese-, of andere wetgeving buiten de EU val
PRIVACY IN DE DIGITALE SAMENLEVING
Bank- en betaalgegevens van burgers zijn vertrouwelijk, daarom moet er voorkomen worden dat derden zonder expliciete toestemming in bankrekeningen kunnen kijken. Het het onderdeel ‘toegang van derden tot de betaalrekeningen’ (PSD2) moet dan ook worden afgeschaft.
De inkomensafhankelijke huurverhoging, de 'gluurverhoging', leidt tot een onacceptabele schending van de privacy en wordt afgeschaft of anders ingevuld.
Het verzamelen van gedragsinformatie in de publieke ruimte (bijv. via Wi-Fi of gezichtsherkenning) door private partijen wordt verboden. Alleen beveiligingsbedrijven en/of particuliere onderzoeksbureaus die opereren in opdracht van een publieke organisatie zijn hiervan uitgezonderd. De overheid zelf dient uitermate terughoudend te zijn bij het verzamelen van dergelijke informatie.
Commercieel gebruik van (persoons)gegevens die burgers en bedrijven verplicht aan de overheid ter beschikking stellen – te denken valt aan het Handelsregister en het Kadaster – wordt verboden.
Kortingen op (verzekerings)producten in ruil voor het verstrekken van gedragsgegevens worden verboden.
Grote internetbedrijven worden gedwongen openheid te geven over opslag en gebruik van data en de verwerking van algoritmes.
Gebruik van data van burgers wordt beperkt en data doorverkopen zonder expliciete toestemming wordt verboden.
De burger kan via de Berichtenbox van mijnoverheid.nl per overheidsorganisatie aangeven geïnformeerd te willen worden over wijzigingen en raadplegingen van persoonsgegevens. Dit wordt met prioriteit doorgevoerd voor de meest gevoelige registraties: de bevolkingsadministratie (BRP), de basisadministraties bij het UWV (polisadministratie) en de SVB, bij de SUWInet inkijkservice en de diverse elektronische patiëntendossiers.
De overheid verbiedt het registreren van persoonsgegevens, al dan niet versleuteld, in bestanden die technisch gezien vrij toegankelijk zijn of op meerdere servers staan. Concreet: geen persoonsdata op blockchain technologie.
Privacy is geen absoluut begrip. De overheid mag geen misbruik maken van privacywetgeving (AVG) om bepaalde zaken te verbergen of achter te houden, zoals het zwart maken van persoonlijke beleidsopvattingen van een ambtenaar in via de WOB opgevraagde documenten. Een jeugdzorginstantie behoort geen data onder zich te houden wanneer dat gevaar oplevert voor haar cliënten. Een verjaardaglijstje van een voetbalteam is geen schending van de AVG.
De Autoriteit Persoonsgegevens behandelt publieke instellingen niet anders dan private bedrijven. Dit betekent dat een datalek of andere overtreding van de AVG net als bij bedrijven door publieke instellingen direct moet worden opgelost. Overheidssystemen waarin de privacy van burgers en hun data niet kan worden gegarandeerd, worden afgeschaft of met spoed aangepast aan de privacy eisen.
Gegevensuitwisseling en privacy in de zorg is een blijvend punt van zorg. Het Landelijke Elektronisch Patiëntendossier (EPD) mag er niet komen, ook niet onder de vlag van het Landelijk Schakelpunt (LSP) of een andere naam (bijvoorbeeld Online Toestemmingsvoorziening OTV/Mitz). Het is voor Splinter onacceptabel dat er vanuit het Ministerie van VWS via omwegen of achterkamertjes toch aangestuurd word op een centraal en landelijk EPD.
De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS), ook wel bekend als ‘Super SyRI’, vormt de blauwdruk voor nog meer toeslagenaffaires en dient te worden teruggetrokken. De ruimte die deze wet biedt aan zowel overheden als bedrijven in zogeheten samenwerkingsverbanden door het verplicht aan elkaar koppelen van bestanden staat niet in verhouding tot het doel: het bestrijden van fraude en criminaliteit met behulp van data analyse.
CONTROLE IN DE DIGITALE SAMENLEVING
Burgers en bedrijven verstrekken verplicht (persoons)gegevens aan de overheid, die met die gegevens beleid voert en lasten verdeelt. Het is een maatschappelijk belang dat de overheid deze gegevens controleert en vergelijkt met eerdere en andersoortige gegevens die de burger heeft aangeleverd. Het nalatig zijn hierin benadeelt eerlijke burgers en bedrijven.
Wij leven in een EU-waarin een half miljard mensen legaal in Nederland mogen verblijven. Bij een verblijf in ons land van langer dan 6 maanden dient men verplicht een Burgerservicenummer te krijgen. Van mensen zonder Burgerservicenummer mogen biometrische gegevens worden vastgelegd zolang zij niet deugdelijk zijn geregistreerd of definitief uit Nederland zijn vertrokken. Op deze wijze wordt een goede balans gegarandeerd tussen privacy en veiligheid.
Aanbieders of makers van software, ICT apparatuur of communicatiemiddelen mogen niet door de overheid verplicht worden achterdeurtjes in te bouwen ten behoeve van politie en veiligheidsdiensten. Evenmin mag dit door deze partijen gebeuren zonder dat de gebruiker hiervan weet.
Werkgevers mogen binnen redelijke grenzen controle uitoefenen op thuiswerkende werknemers, met inachtneming van de geldende privacy wet – en regelgeving en alleen na uitdrukkelijke toestemming van de werknemer. Werknemers mogen meekijksoftware weigeren. Bedrijfsreglementen waarin meekijksoftware verplicht wordt gesteld dienen op dat punt ongeldig te zijn. Controles door de werkgever op thuiswerken waarvan de werknemer niet op de hoogte is worden bestraft met boetes voor de werkgever en een verdubbeling van de transitievergoeding voor vertrekkende werknemers binnen een jaar na de geconstateerde overtreding.
Studenten mogen meekijksoftware, bijvoorbeeld voor het maken van tentamens, weigeren te installeren op hun computer. Onderwijsinstellingen worden geholpen met behulp van alternatieve oplossingen om op veilige wijze tentamens te organiseren, zodat meekijksoftware achterwege kan blijven en fraude voorkomen wordt.
De Nederlandse overheid tapt in het kader van opsporing en veiligheid haar burgers op grote schaal af. De politiek dient terughoudend te zijn met ingrijpen, maar dient wel te weten hoeveel er wordt getapt. Politie en veiligheidsdiensten worden verplicht om de Kamer hierover minimaal jaarlijks te rapporteren. Ook worden burgers tegen wie geen onderzoeken lopen met enkele jaren vertraging via mijnoverheid.nl geïnformeerd dat ze zijn afgetapt.
Overheidsorganisaties die de burgers en bedrijven bij wet verplichten om (persoons)gegevens aan te leveren mogen deze nimmer “verrijken” met gegevens van derden, met name waar dit gedragsgegevens zijn, tenzij dit expliciet bij wet is bepaald. Camerabeelden, parkeerinformatie, abonnementen, energieverbruik, telefoon- en internetgedrag, kijk- en luistergedrag, reisinformatie, enzovoorts worden alleen gebruikt voor de directe doelstelling (veiligheid, tol, kostenberekening) en niet voor andere doeleinden.
Gedragsgegevens mogen wel worden opgevraagd en gebruikt bij concrete vermoedens van fraude en andersoortige criminaliteit. Het is niet toegestaan om dergelijke gegevens van burgers tegen wie geen verdenking bestaat op voorraad bij te houden.
Controles worden niet uitgevoerd door organisaties die zich kunnen onttrekken aan het zicht van burgers en Kamer. Het Inlichtingenbureau dient afgeschaft te worden of te worden ondergebracht in een publieke rechtsvorm die gecontroleerd kan worden door de Kamer en / of instanties als de Rekenkamer.
Overheidsorganisaties met veel macht worden complete gegevenscatalogus te publiceren. Tot deze organisaties behoren in elk geval de Belastingdienst, het UWV, de Politie en de gemeenten. De enige uitzondering op publicatie is de nationale veiligheid of als de gegevens onderdeel zijn van een lopend onderzoek door opsporing of veiligheidsdiensten.
Fraudepreventie en -bestrijding kan een legitieme reden opleveren om algoritmen waarmee controles worden uitgevoerd niet vrij te geven. Waar dit gebeurt dienen deze algoritmen en de onderliggende gegevens wel te zijn beschreven en beschikbaar te zijn. Bij (vermoedens van) misbruik of knevelarij zoals bij de Toeslagenaffaire door de Belastingdienst/Toeslagen worden deze vrijgegeven voor inspectie.
De Wiv (‘Sleepwet’) wordt aangepast aan redelijke privacy normen. Net als bij tapgedrag wordt het soort gebruik van persoonsgegevens door veiligheidsdiensten gerapporteerd aan de Kamer voor zover dit geen onacceptabel risico oplevert voor de veiligheid, de veiligheidsdiensten zelf en haar medewerkers of onderzoeken.
KINDEREN IN DE DIGITALE SAMENLEVING
Kinderen verdienen, zeker in deze tijd, extra aandacht daar waar het over privacy gaat. Splinter ziet dat aanvullend op de Algemene Verordening Persoonsgegevens (AVG) extra waarborgen dienen te komen die de privacy van kinderen verhogen. Voorkomen moet worden dat een incident of verkeerde beslissing een kind de rest van het leven kan achtervolgen. Samen met burgerrechtenorganisaties wil Splinter werken aan aanvullende wetgeving specifiek gericht op de bescherming van de privacy van kinderen.
Het Digitale Geletterdheid curriculum zoals dat voor het basis – en voortgezet onderwijs is opgezet moet worden geactualiseerd en daadwerkelijk in de praktijk worden uitgerold op scholen, waarbij publieke en private sector samen optrekken. Doel is om kinderen, ouders en leerkrachten vertrouwd te maken de Digitale Samenleving en hun net als bij lezen en schrijven ook digitaal geletterd te maken op het gebied van digitale veiligheid, cyberpesten, social media en online privacy.
OVERHEID IN DE DIGITALE SAMENLEVING
Er komt geen Ministerie van Digitale Zaken, hiermee zouden andere bewindspersonen hun verantwoordelijkheid voor een veilig digitaal beleid kunnen afschuiven. In plaats hiervan komt er een adviesorgaan op dit gebied, bestaande uit onder meer leden van de Cyber Security Raad, Bureau ICT Toetsing (BIT), aangevuld met externe experts op het terrein van Cybersecurity, ICT en Privacy. Dit orgaan rapporteert aan een vaste Kamercommissie voor Digitale Zaken en desgewenst de Kamer en is het belangrijkste adviesorgaan van de regering als het gaat om de Digitale Samenleving, Cybersecurity en Privacy.
Markten die gedomineerd worden door een paar leveranciers en waarbij het gebruik van software gefinancierd is uit belastingmiddelen, zoals bij gemeenten, in de zorg of bij woningcorporaties, worden verplicht hun software na maximaal 8 jaar volledig als open source software aan te bieden.
Alle software die is gebouwd met belastinggeld moet als open source software vrijelijk door anderen gebruikt kunnen worden, tenzij er zwaarwegende (veiligheids)belangen zijn om dit niet te doen. Dit geldt met terugwerkende kracht ook voor software van mislukte of mislukkende ICT-projecten bij de overheid. Actuele voorbeelden zijn het PGB systeem en de software voor de omgevingswet.
Binnen de overheid dienen er binnen 10 jaar alleen nog source software of opensource componenten geïmplementeerd te worden, tenzij er een gegronde reden is om hiervan af te moeten wijken. Deze afwijkingen en bijbehorende kosten budgetten worden jaarlijks gerapporteerd aan de Kamer en openbaar gepubliceerd.
Schikkingen tussen overheidsorganisaties en een ICT-leverancier worden gemeld aan de CIO Rijk en jaarlijks aan de Kamer gerapporteerd.
Het Bureau ICT-toetsing (BIT) krijgt een echt onafhankelijke positie, zoals de Ombudsman. En valt niet meer onder de ministeriele verantwoordelijkheid van het ministerie van BZK.
AVG verwerkingen in registers van overheidsorganisaties of ICT stichtingen gelieerd aan de overheid zoals Inlichtingenbureau, Stichting ICTU, Stichting RINIS worden voor iedere burger toegankelijk.
Er komt geen separate toezichthouder voor algoritmen. Algoritme-software die de overheid gebruikt voor (geautomatiseerde) besluitvorming wordt actief openbaar gemaakt, tenzij er een aantoonbaar en zwaarwegend belang is om dit niet te doen. Een dergelijke motivering wordt altijd door de Raad van State getoetst.
Omdat de praktijk van Europese Aanbestedingen een grote bron is van grootschalige geldverspilling wordt deze onder de loep genomen. Te overwegen maatregelen zijn onder meer:
-
Verbod op onredelijke financiële eisen aan ICT-aanbieders.
-
Verplichting tot volledige publicatie van contracten met ICT-aanbieders tenzij dit evident tegen het landsbelang is.
-
Verplichting tot melding en publicatie van (voorgenomen) wijzigingen in contracten.
-
Verbod op het vervangen van resultaatverplichtingen in inspanningsverplichtingen.
VEILIGHEID IN DE DIGITALE SAMENLEVING
Het kabinet neemt de adviezen zoals gedaan door de Cyber Security Raad in 2021 geheel en zonder voorbehoud over en investeert tenminste het gevraagde bedrag van 833 miljoen in middelen, mensen en kennis om de algehele cyberveiligheid – en weerbaarheid van Nederland te vergroten. Het genoemde bedrag moet beschouwd worden als een initiële investering, jaarlijks dient er vanuit de overheid voldoende budget vrijgemaakt te worden om de cyberveiligheid en - weerbaarheid op peil te houden.
Het Nationaal Cyber Security Center (NCSC) krijgt vanuit haar rol als centraal cybersecurity orgaan meer doorzettingsmacht en mandaat bij het bestrijden of voorkomen van cyberaanvallen gericht overheidsinstellingen, als vitaal bestempelde organisaties of instellingen met een grote maatschappelijke impact.
Biometrische kenmerken zoals vingerafdrukken mogen niet verplicht centraal geregistreerd staan zonder dat hier vanuit opsporing of veiligheidsonderzoeken een grondslag voor bestaat. Deze gegevens kunnen immers niet worden gewijzigd na een datalek of succesvolle cyberaanval.De overheid spant zich in om een verplichte opslag bij buitenlandse instanties zoals douanes tegen te gaan.
De als vitaal aangemerkte infrastructuur dient indien nodig te worden uitgebreid en omvat energie, communicatie, financiële diensten, defensiebedrijven, hoger onderwijs en onderzoek, dataopslag- en verwerking, voedsel en supermarkten, gezondheidszorg, ruimtetechnologie, transport en watersector. Organisaties die actief zijn in deze sectoren krijgen een strengere meldplicht van cyberincidenten. Deze dienen binnen uiterlijk 12 uur na ontdekking gemeld te worden bij het NCSC.
De overheid spant zich in om onveilige, op het internet aangesloten apparatuur van de markt te houden. De burger moet beschermd worden tegen de gevaren van zogenaamde ‘slimme’ apparaten waardoor de privacy van de gebruiker en zijn persoonlijke gegevens gevaar lopen. Aanbieders van dergelijke apparaten dienen aan minimum eisen te voldoen om toegelaten te worden tot de Nederlandse markt.
Er komt geen verbod op het uitkeren door verzekeraars aan slachtoffers van cyberaanvallen, zoals bij ransomware. Evenmin komt er een verbod op verrichten van betalingen door slachtoffers van cyberaanvallen. Wel dienen er minimale eisen te komen op het gebied van cybersecurity waaraan organisaties moeten voldoen om dekking te krijgen of te houden vanuit een cyberverzekering. Deze eisen dienen periodiek door een onafhankelijk cybersecuritybedrijf bij organisaties gecontroleerd te worden.
Vanuit de overheid dient er een richtlijn te komen dat ten minste 10% van het totale ICT budget van een organisatie besteed wordt aan cybersecurity. Het budget dient te worden ingezet om de cybersecurity en – weerbaarheid van een organisatie tenminste op een per sector te bepalen minimumniveau te krijgen of te houden. De overheid dient hierbij zelf het goede voorbeeld te geven. Bedrijven moeten deze uitgaven als aparte post meenemen in hun financiële verslaglegging, naast hun reguliere resterende ICT budget.
Het delen van informatie over cyberdreigingen, op handen zijnde – of actieve aanvallen is essentieel bij het borgen van de cyberveiligheid, zowel voor de overheid en vitale organisaties als voor burgers en private organisaties en moet verder uitgebreid worden. Wettelijke beperkingen voor het delen van deze informatie tussen publieke organisaties als het NCSC, het Digital Trust Center (DTC) en de private sector dienen zoveel mogelijk weggehaald te worden, waarbij wel de vertrouwelijkheid, betrouwbaarheid en privacy conform de geldende wet – en regelgeving is en goed geborgd blijft.
Publieke organisaties zijn verplicht om via incident rapportage hun ‘lessons learned’ van ernstige cybersecurity incidenten te delen, zoals bijvoorbeeld gebeurde bij de Universiteit van Maastricht. Op deze manier kunnen organisaties van elkaar leren en zo de weerbaarheid tegen cyberaanvallen en – criminaliteit verhogen. Ook draagt het bij aan het verminderen van de schaamte die bestaat bij organisaties om te delen dat zij slachtoffer zijn. Private organisaties zijn niet verplicht om dergelijke zaken te delen, maar dit zal wel gestimuleerd worden.
Circa 70% van de cyberaanvallen is gericht op MKB-ondernemingen, die vaak niet of slechts deels over de kennis en middelen beschikken om zich hiertegen afdoende te kunnen verdedigen. Splinter wil dat de overheid actief ondersteuning gaat bieden aan het MKB in de vorm van kennis en middelen om zo ook een veilig digitaal ondernemersklimaat te scheppen in ons land.
Nederland dient zich beter voor te bereiden op een massieve verstoring van de maatschappij als gevolg van een cyberaanval, bijvoorbeeld gericht op de stroomvoorziening of andere vitale infrastructuur. Hiervoor worden periodiek zo realistisch mogelijke oefeningen gehouden, waarbij alle stakeholders van de vitale infrastructuur betrokken zijn, aangevuld met Defensie, hulpdiensten etc.
Er moet meer inspanning geleverd worden om het ‘Cyber Skills Gap’ niet groter te laten worden of liefst dit tekort aan cybersecurity professionals te verkleinen door meer aandacht te geven aan cybersecurity studies en – opleidingen. Vanuit de overheid kunnen, via het UWV en andere uitvoeringsinstanties ook gerichte omscholings – of bijscholingstrajecten worden opgestart.
Vanuit de overheid worden semi-overheidsinstellingen, gemeenten, provincies, waterschappen, etc waar nodig en gewenst ondersteund bij het opstellen van cybersecuritydraaiboeken, handelingsprotocollen en andere documentatie, kennis en middelen die helpt om deze publieke organisaties weerbaarder te maken tegen cyberaanvallen.