Gemeenten zouden op grote schaal burgers bespieden op sociale media

| AE 12672 | Regulering | 10 reacties

Nederlandse gemeenten zouden op grote schaal meekijken met burgers op sociale media, zo las ik bij Nu.nl (op gezag van dit rapport). Controversieel is dat de gemeente onder meer nepaccounts gebruikt, terwijl dit niet zou zijn toegestaan. “Een methode die alleen politie en inlichtingendiensten onder strikte voorwaarden mogen inzetten”, aldus de nieuwssite. En dat terwijl 95 procent van de ondervraagde ambtenaren zegt dat hun gemeente aan online monitoring van burgers doet, en 54% dat er geen beleid op is. Hoe zit dat juridisch?

Het klopt dat politie en inlichtingendiensten alleen onder strikte voorwaarden undercoveroperaties mogen uitvoeren. En ja, met dat grote woord omschrijven we ook het aanmaken van nepaccounts om mensen online te volgen terwijl ze zich onbespied waren. Waarmee niet gezegd is dat ieder account van een agent automatisch een undercoveroperatie is: met een Instagram-account rondkijken naar “toegankelijk voor alle ingelogde gebruikers”-content is bijvoorbeeld geheel legaal. Het gaat om dingen als vrienden worden met mensen, in besloten groepen toegelaten worden of in privéconversaties dingen vernemen van mensen.

Die strenge regels zijn er omdat in het strafrecht de belangen groot zijn, en de zorgen over machtsmisbruik ook. Bij gemeentes is er de complicatie dat dit geen strafrecht is maar bestuursrecht, en daar zijn de regels vaak net even anders. Er is bij mijn weten in de Algemene Wet Bestuursrecht geen verbod op het undercover vergaren van inlichtingen. Helaas staat er ook niet expliciet dat het wél mag, behalve dan de generieke zin dat de opsporingsambtenaar bevoegd is “elke plaats te betreden met uitzondering van een woning zonder toestemming van de bewoner.” Ook moet iedereen meewerken en inlichtingen geven.

Het rapport wijst echter op een veel directer conflict: zo’n elektronisch volgen en monitoren is een vorm van elektronisch verwerken van persoonsgegevens die onder de AVG valt. En sterker nog, die verboden is onder de AVG omdat het door een overheidsorgaan gebeurt. Er is immers geen specifieke wettelijke regeling die het toelaat, zodat de grondslag onder de AVG ontbreekt. (De grondslag van het legitiem belang mag een overheidsorgaan niet gebruiken bij uitoefening van haar openbare taak.)

Er blijken ook gemeentes te zijn die de data bij een extern bedrijf inkopen. Ik lees dan de bekende idioterie dat “dit niet onder de privacywet valt omdat het om openbare gegevens gaat” of dat zo’n bedrijf een legitiem belang kan claimen bij haar bronnenonderzoek. Dat is gek maar doet voor de gemeente niet af dat zij voor verwerking van zulke gegevens een wettelijke grondslag nodig heeft.

Tot mijn (positieve) verbazing sluit het rapport dan zo af:

Binnen gemeenten wordt gemonitord om redenen die volstrekt begrijpelijk zijn, gelet op de juridische positie van de burgemeester en de maatschappelijke positie van de gemeente. Veel van de juridische eisen lijken in de praktijk nageleefd. Dat is niet vanwege kennis van een concreet juridisch kader. Want maar 21% van de medewerkers vindt het juridisch kader duidelijk. Toch lijken intuïtief of op basis van ethische overwegingen veel zaken goed te gaan. Zo worden er volgens respondenten in beperkte mate dossiers bijgehouden, zijn medewerkers terughoudend in het ‘doorklikken’ op profielen en geven ze aan dat ze voor online monitoring nooit (40%) of beperkt gebruikmaken van privéaccounts (38%) en nooit (67%) of beperkt gebruikmaken van nepaccounts (13%).
De zorg is wel dat gemeente denken “We hebben de mensen, we hebben de middelen, het lijkt te werken, en dus gebruiken we het.” Slechts één op de zes gemeenten betrekt de functionaris gegevensbescherming bijvoorbeeld bij monitoring. Dat kan dus grote problemen opleveren, inclusief schadeclaims door mensen die onterecht bekeken of gevolgd zijn. (Nog los van de praktische problemen zoals nepaccounts, of mensen die ‘grappig’ doen door bijvoorbeeld nepdrugs of zogenaamd de nieuwe auto te laten zien.)

Dit moet dus beter: een wettelijke regeling lijkt me zeker een goed idee. Mij is niet helemaal duidelijk waarom het rapport zegt dat dit niet in de APV mag maar een wet in formele zin vereist (een wet aangenomen door het parlement), volgens mij eist de AVG alleen dat er een wéttelijke regeling is en de APV is materieelrechtelijk gewoon een wet. Maar het is natuurlijk in ieder geval de beste route als de rijksoverheid de kaders stelt waarbinnen gemeenten mogen opereren, lijkt me.

Arnoud

 

Raad van State: Tweede Kamer hoeft broncode van debat-app niet openbaar te maken

| AE 12600 | Informatiemaatschappij | 1 reactie

De Tweede Kamer hoeft de broncode van de Debat Direct-app definitief niet openbaar te maken, meldde Tweakers donderdag. Dit is de einduitspraak in die zaak van laatst, waarin een IT’er al sinds 2018 probeert toegang te krijgen tot de broncode van de Debat Direct app van het parlement. De Raad van State oordeelt nu dat dit niet kan, omdat de ingezette wetten – de Wob en de Wet hergebruik overheidsinformatie – niet van toepassing zijn op de Tweede Kamer als orgaan. Het artikel bij Tweakers gaf vele reacties, inclusief speculatie waarom de overheid toch zo moeilijk zou doen met het achterhouden van deze informatie. Die nota bene feitelijk al online staat, want het is Javascript.

Mijn gevoel bij de zaak is dat men dacht, een Apple + Android app én een webapp dan kan iedereen erbij. Er is dan geen reden om ook nog de API’s vrij te geven. Misschien kortzichtig/naïef, maar ik zie het praktijkgerichte argument wel dat “iedereen er nu toch naar kan kijken”? De vraag om API’s is marginaal te noemen.

Je houdt dan het principiële punt over, en dat is natuurlijk een zeer geliefde kluif voor juristen. (Wat zegt een advocaat in een contractenzaak als eerste? “Pacta sunt servanda”. En als tweede? “Dit lijkt een eenvoudig geschil, maar het gaat om het principe”. De rechter weet dat het dan een lange dag gaat worden.)

Bij een principieel punt moet natuurlijk je algemene regels aandragen om je zaak te onderbouwen, en dan gaan andere belangen meespelen. Zoals hier, als je zegt “in principe heeft de burger recht op de broncode” dan moet je een wet zoals de Wet hergebruik overheidsinformatie erbij slepen. En dan is er een principieel verweer: de TK valt buiten die wet. Je wilt dan niet als TK het precedent scheppen dat je voor software wél onder die wet valt. Waarom niet? Uit principe niet. Dat werkt twee kanten op.

Vervolgens liet men de advocaten los en die zijn vanuit dat principieel verweer gaan terugvechten. Er is dan niemand die een stap terugdoet, zoals door te zeggen “jongens alles stáát al online” of “weet je wat, hier is een API definitie en onze endpoint staat hier, zullen we de rest van het geld besteden aan wat nuttigs”. Want het ligt onder de rechter, dus blijf je eraf.

Zoals ik wel vaker zeg, geen complot veronderstellen waarin simpele incompetentie of naïviteit genoeg is als verklaring.

Arnoud

Ombudsman over probleem etnisch profileren: draai bewijslast om

| AE 12589 | Informatiemaatschappij, Regulering | 81 reacties

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in hoeverre etniciteit daarbij een rol heeft gespeeld. Hiermee wordt voorkomen dat de burger zelf moet aantonen dat een uitkomst op basis van verboden etnisch profileren is gerealiseerd, iets wat gezien de black box van overheidsbesluiten vaak onmogelijk is. Sommigen zouden zeggen dat de AVG dit al eist.

Etnisch profileren is het gebruik van criteria als ras, huidskleur, nationaliteit, taal, geloof of afkomst bij opsporing of rechtshandhaving terwijl dat niet objectief te rechtvaardigen is, zo valt te lezen in het rapport “Gekleurd beeld” dat eerder deze week verscheen. Daarbij doet het er niet toe of dit de bedoeling was (zoals bij de toeslagenaffaire) of dat het een onbewuste bijkomstigheid is van bijvoorbeeld data-gedreven opsporing – dat de data een bepaalde wijk aanwijst, omdat de postcodes sterk correleren met een etnische verdeling. Waar het om gaat, is dat we als samenleving niet op basis van deze criteria willen handelen, ook al lijken ze goede voorspellers van het te bestrijden gedrag.

De reden is natuurlijk simpel: deze criteria zijn geen voorspellers.

Desondanks blijft het idee hardnekkig, met name nu we steeds vaker met data-analyses werken die dan objectief zouden zijn. Want ja, als uit de data blijkt dat criminelen vaker uit regio X komen, dan is dat een feit toch? Dan mag je daar best op sturen, toch? Nou ja, nee: je handelt dan omgekeerd, uit die data volgt niet dat mensen met afkomst uit regio X significant vaker crimineel zijn. Om eens wat te noemen. En zelfs als de correlatie beide kanten op klopt, dan nog heb je waarschijnlijk een onderliggende factor over het hoofd gezien. Net zoals ze in Maine al jaren het aantal echtscheidingen terugdringen door margarineconsumptie te bestrijden. De cijfers zijn overtuigend, immers.

Daar komt natuurlijk bij dat de AVG het gebruik van deze bijzondere persoonsgegevens eenvoudig verbiedt, tenzij met heel goede reden die wettelijk is vastgelegd (en met waarborgen). Nou, dat kun je vergeten.

En dan komen we bij het punt van de bewijslast. Inderdaad moet je normaal als burger aantonen dat je onrecht is aangedaan, en dat is lastig bij zoiets groots als een onderzoek naar uitkeringsfraude (want een fraudepercentage van 0,2% van de uitkeringen is natuurlijk een hele goede reden voor strikte handhaving, dit in tegenstelling tot zeg btw fraude die qua Europese omvang gelijk is aan het totaal van de uitkeringen in Nederland). Maar de AVG draait de bewijslast zelf al om, het voor mij cruciale artikel 5 lid 2:

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”).
Dit betekent dus dat je te allen tijde in staat moet zijn om uit te leggen hoe je tot bijvoorbeeld je keuze voor nader onderzoek bent gekomen. En dan mag het niet blijven bij mooie woorden over zorgvuldig gekozen datasets of historisch gevalideerde gegevens maar moet er echt een stappenplan bij, hoe kwam de conclusie tot stand en welke gegevens zijn daar precies bij gebruikt. Een simpele is “een willekeur-generator zegt bij 10% van de mensen ‘Nader controleren’ en dat was u”. Maar wat ook kan, is zeggen “we hebben alle uitkomsten gecorreleerd met etnische afkomst en zagen geen uitschieters”, daarmee toon je ook aan dat daar niet naar wordt gekeken.

Wat de meeste mensen willen, is gehoord worden en excuses krijgen als het misgegaan bleek:

De wijkagent kan als wit persoon nooit weten hoe het is. Maar hij kan wel zeggen: wat vervelend en naar dat dit u is overkomen. Dat hij mij het gevoel geeft: ik hoor u en zie u. Ik kan het niet oplossen, maar wel uw verhaal serieus nemen.
Helaas blijkt nou juist dát het moeilijkste om voor elkaar te krijgen. Maar misschien als we beginnen met die data-analyse en omgekeerde bewijslast, dat we dan de goede richting op geduwd worden.

Arnoud

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke… Lees verder

Keurig betaald met de parkeer-app en toch een bekeuring

| AE 12132 | Privacy | 30 reacties

Twee jaar geleden parkeerde rechtenhoogleraar Corien Prins haar auto in de Utrechtsestraat in het centrum van Tilburg, zo opende NRC een juridisch artikel. Ze betaalde met haar parkeer-app, die aangaf dat ze daar een uur mocht staan. Maar dat bleek niet te kloppen en ze kreeg een boete. Ja mevrouwtje, zo gaat het verhaal dan,… Lees verder

Politiek wil waakhond op algoritmes, maar ik heb liever een keurmerk voor de trainingsdata

| AE 11336 | Innovatie | 14 reacties

De Nederlandse politieke partijen D66 en CDA roepen het kabinet dinsdag in een motie op toezichthouder op te zetten die het gebruik van algoritmes bij de overheid in de gaten houdt. Dat las ik bij Tweakers maandag. De macht van algoritmes is een steeds grotere angst aan het worden: ze zijn niet transparant, ze kunnen… Lees verder

Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren,… Lees verder

Rechter oordeelt dat Trump op Twitter geen gebruikers mag blokkeren

| AE 10610 | Informatiemaatschappij | 40 reacties

President Donald Trump mag op Twitter geen gebruikers blokkeren, omdat dit in strijd is met de Amerikaanse grondwet. Dat meldde Nu.nl vorige week. “Op die manier wordt de vrijheid van meningsuiting daadwerkelijk, hoewel bescheiden, ingeperkt. Meer is er niet nodig om de grondwet te schenden.” aldus de rechtbank. Wanneer de overheid immers de burger toegang… Lees verder

Steeds meer Nederlanders lezen aanmaningen en berichten in MijnOverheid niet

| AE 9667 | Informatiemaatschappij | 61 reacties

Steeds meer Nederlanders lezen de berichten in de Berichtenbox van MijnOverheid niet, meldde Tweakers afgelopen woensdag op gezag van de Ombudsman. Daardoor krijgen die mensen waarschuwingen en aanmaningen niet onder ogen, wat tot gevolg kan hebben dat rekeningen oplopen en ze in de schulden belanden. Maar hoera, er komt een app dus alles wordt beter…. Lees verder

Mogen onze politici mensen op social media blokkeren?

| AE 9575 | Uitingsvrijheid | 17 reacties

Amerikaanse politici mogen van een rechter in de staat Virginia geen mensen blokkeren op sociale media, las ik bij Nu.nl. Dit is strijd met het 1st Amendment, de vrijheid van meningsuiting, omdat politici in een openbaar forum niet zomaar mensen mogen verbieden hun mening te uiten. En daaronder valt ook het als politicus jezelf afschermen… Lees verder