Eerdere TILT Clinics

Juni 2022

DPO Consultancy

DPO Consultancy is een Nederlands bedrijf dat wereldwijd opereert met een focus op dataprivacyoplossingen. Ze zijn een one-stop-shop, met klanten in diverse branches, zoals de Nederlandse overheid, de automotive industrie en life sciences.

Opdracht

De opdracht voor deze kliniek was het onderzoeken en rapporteren van hoe life sciences partijen optimaal kunnen regelen dat onderzoeksdata gebruikt kunnen worden voor mogelijk toekomstig wetenschappelijk onderzoek en toch voldoen aan de AVG.

Voordat een klinische proef begint, worden personen die willen deelnemen aan de klinische proef, de proefpersonen, geïnformeerd over en stemmen zij in met het gebruik van hun persoonlijke gegevens in een formulier voor geïnformeerde toestemming (ICF). In deze ICF is ook het doel van de verwerking van hun gegevens voor dat specifieke onderzoek opgenomen. 

In de praktijk is het vaak een wens van wetenschappers om de verzamelde ruwe data verder te onderzoeken en te gebruiken voor ander onderzoek. In het kader van de AVG heeft men te maken met de uitdagingen van dit secundaire gebruik van persoonsgegevens. 

Een voorbeeld om dit te illustreren: Sponsor A voert een klinische proef uit via klinische site B om een nieuw medicijn tegen borstkanker te testen. Proefpersonen worden geïnformeerd dat hun gegevens worden verwerkt om de onderzoeksvraag van dat specifieke onderzoek te beantwoorden, waarmee zij instemmen. Onderzoeker C werkt bij onderzoeksfaciliteit X en wil de ruwe data van dat onderzoek graag gebruiken voor haar eigen onderzoeksproject. Onderzoeker C vraagt sponsor A om de ruwe gegevens met haar te delen. Sponsor A realiseert zich echter dat een eventuele gegevensoverdracht aan onderzoeker C op een AVG-conforme manier moet gebeuren.

In hun onderzoek stelden studenten zichzelf vragen als:

• Hoe moet u een situatie beoordelen waarin Sponsor A een verzoek ontvangt van Onderzoeker C?
• Welke aspecten moet u beoordelen?
• Moet je proefpersonen informeren over het secundaire gebruik van hun gegevens?
• Hoe kan worden omgegaan met het beginsel van doelbinding bij hergebruik van de onderzoeksgegevens voor verschillende onderzoeksdoeleinden?
• Wat zijn de mogelijke rechtsgrondslagen voor het verwerken van de gegevens voor ander onderzoek?
• Hoe beperkt u de privacyrisico's die bij een dergelijke gegevensoverdracht gepaard gaan?

(Maart – April 2020)

SafeCity

Safecity ontving een pionierssubsidie van het ISDNfonds (Nederlandse autoriteit ter ondersteuning van veilig internet) voor de ontwikkeling van een vergelijkingswebsite over de betrouwbaarheid van apps en IoT-apparaten, in het kader van cybersecurity en gegevensbescherming. Het doel hier was om een website te ontwikkelen waar eindgebruikers de betrouwbaarheid van de betreffende app of IOT-apparaat kunnen controleren, wat zou leiden tot meer bewustzijn op het gebied van cyber- en databeveiliging voor gebruikers en de ontwikkelaars van apps en IOT-apparaten zou motiveren om een hoge score te behalen bij de betrouwbaarheidsvergelijking.

Opdracht

Studenten kregen de opdracht een goed doordachte vragenlijst te ontwikkelen die een indicatie geeft van het niveau waarop een app of IoT-apparaat voldoet aan bepaalde criteria op het gebied van:

• Privacy / AVG met gegevens.
• Beveiliging van gegevensopslag.
• Omgaan met data en combineren met andere data.
• Integriteit van ontwikkelaar/aanbieder.

Studenten kregen ook de opdracht om op basis van deze vragenlijst een classificatiesysteem te ontwikkelen, om de relevante apps of IoT-apparaten te vergelijken en te categoriseren.

(April - Mei 2020)

InnoSportLab Sport & Beweeg

InnoSportLab Sport & Beweeg is een non-profit innovatiecentrum, gevestigd in Eindhoven, dat innoveert om sporten en bewegen vanzelfsprekend te maken. Om dit te bereiken werken zij samen met eindgebruikers, bedrijven, overheden en kennisinstellingen. Samen bedenken zij slimme nieuwe producten, diensten en methoden die bijdragen aan deze missie, zowel binnen de sportomgeving als in de openbare ruimte.

Opdracht

De opdracht betrof de ontwikkeling van twee producten/diensten die gedijen op data verzameld in de openbare ruimte: ‘Meet & Move’ en ‘Buurtbewegingskaart’. De focus van deze clinic was het ontwikkelen van inzichten in de mogelijke gegevensbeschermingskwesties met betrekking tot deze producten/diensten, en het vervolgens creëren van de noodzakelijke onderliggende documentatie voor verantwoordingsdoeleinden.

Meet & Move maakt gebruik van slimme technologie (bijvoorbeeld kunstmatige intelligentie en Bluetooth) om beweeggedrag in de openbare ruimte efficiënt en effectief te meten. De volgende parameters moeten worden gemeten: Vergadering (groepsgrootte, hotspots, gebruikerspiektijden) en activiteit (verschillende intensiteitsniveaus). Studenten kregen van InnoSportLab Sport & Beweeg de opdracht de volgende vragen te beantwoorden:

• Kunnen wij in overleg met een gemeente zelf meetinstrumenten ophangen in de openbare ruimte zoals WiFi/Bluetooth bakens en (passieve thermische) camera's?
• Onder welke omstandigheden kunnen we camerabeelden in de openbare ruimte gebruiken om bewegings-/ontmoetingspatronen te herkennen met behulp van AI-technologie?
• Dezelfde vraag voor Bluetooth gebruik, om via Bluetooth/WiFi, in combinatie met camerabeelden, mensen op centrale punten te kunnen blijven volgen.
• Moeten we bepaalde gegevens eruit filteren? Moeten we bepaalde gegevens opslaan en moeten we nadenken over waar we gegevens opslaan? Kunnen we, en zo ja, onder welke voorwaarden, mensen unieke ID’s geven op basis van herkenning?
• Indien het project de daadwerkelijke verwerking van persoonsgegevens betreft, wat is er dan nodig qua verantwoording om aan de minimale eisen van de AVG te voldoen en kunt u deze aanleveren? (Registreren, DPIA nodig? Overzicht van PbD-maatregelen die zijn of kunnen worden genomen om risico's te mitigeren? Anders, zoals privacybeleid, algemene voorwaarden, verwerkersovereenkomsten?

Neighbourhood Movement is een platform met als doel de wensen en behoeften van bewoners te verzamelen, wat zich kan vertalen in advies voor gemeenten om hun wijk bewegingsvriendelijk in te richten. Van bewoners wordt gevraagd naar: leeftijd, sociaal-culturele situatie, woonplaats (postcode), motivatie en/of belemmering om te verhuizen. 

Om het bewegingsgemak te beoordelen, gebruikt InnoSportLab deze informatie om verschillende wijkpersona's in een buurt te onderscheiden. Bewoners geven hun wensen en behoeften verder aan op een kaart. Hierbij worden wijk, persona en woonplaats gekoppeld aan bepaalde wensen en behoeften. Aan studenten is gevraagd om de mogelijkheid hiervan te onderzoeken, evenals om de relevante voorwaarden hiervoor onder de AVG te onderzoeken. Vervolgens kregen de studenten de opdracht om te beoordelen welke maatregelen er genomen moeten worden om relevante persoonsgegevens conform de AVG te verwerken.

(Oktober 2020 – Maart 2021)

WECS

Women in Energy, Climate and Sustainability (WECS) is een publieke stichting die is opgericht om gendergelijkheid te bevorderen als katalysator voor de transitie naar een klimaatneutrale economie in Europa en wereldwijd. De doelstelling van WECS is het faciliteren van genderdiversiteit en de empowerment van vrouwen op het gebied van energie, klimaat en duurzaamheid. WECS fungeert als een facilitator voor projecten en partnerschappen die zijn ontworpen om de doelstellingen van de stichting te bereiken, die nauw aansluiten bij en ondersteunend zijn aan een aantal relevante internationale initiatieven, waaronder:

• Het Akkoord van Parijs
• Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties, in het bijzonder Doelstelling 5: Gendergelijkheid; Doel 7: Betaalbare en schone energie; Doel 12: Verantwoorde consumptie en productie; en Doelstelling 13: Klimaatactie
• De strategische langetermijnvisie van de EU voor een welvarende, moderne, concurrerende en klimaatneutrale economie tegen 2050
• Europese Green Deal
• Europese genderstrategie

WECS wordt vertegenwoordigd door Dr. Gokce Mete, hoofd Kennis, en Daria Nochevnik, Hoofd Operaties en Communicatie.

Opdracht

Uit recente gegevens van het International Renewable Energy Agency (IRENA, 2019) blijkt dat vrouwen ongeveer 32% van de beroepsbevolking in de hernieuwbare energiesector vertegenwoordigen, wat slechts 10% hoger is vergeleken met het aandeel vrouwen in de traditionele olie- en gasindustrie. Tegelijkertijd waren vrouwen waarschijnlijk werkzaam in lagerbetaalde, niet-technische en administratieve functies in de sector dan in technische, leidinggevende of beleidsbepalende functies. 

Als het gaat om senior managementfuncties in de energie- en nutssector, bekleden vrouwen minder dan 15% (EY, 2019). In de publieke sector bekleedden vrouwen ongeveer 17% van de besluitvormingsposities op hoog niveau in de milieu-, transport- en energiesectoren in heel Europa (EIGE, 2012). De status quo in de sector stond in schril contrast met het feit dat vrouwen meer dan de helft van de universiteitsstudenten vertegenwoordigen, en bijna 50% van de beroepsbevolking over de hele wereld.

Gegevens en huidig onderzoek naar genderperspectieven op sociale gelijkheid en de toegang van vrouwen tot besluitvormingsprocessen zijn beperkt tot de context van de ontwikkelingslanden (Global South). Met de opkomst van nieuwe technologieën, nieuwe energiedragers en de voortdurende digitalisering in de energiesector wordt het belang van het analyseren van de impact van energieprojecten en transformaties op gendergelijkheid en inclusie in de ontwikkelde wereld echter noodzakelijk. Verder is, zoals uit de bovenstaande cijfers blijkt, de betrokkenheid van vrouwen die in de energiesector werken een probleem. Tegen deze achtergrond probeerde WECS een methodologie te ontwikkelen voor een model Gender Impact Assessment in de energiesector, dat aan de Europese Commissie zou worden gepresenteerd, met het oog op stroomlijning in de Europese Green Deal en de Europese Genderstrategie.

Projectmijlpalen voor de studenten waren onder meer:

1. Het identificeren van bestaande toolkits voor gendereffectbeoordeling die zijn ontwikkeld door nationale overheden, EU-instellingen of internationale organisaties (zoals de Wereldbank) in de energie- en andere sectoren, zoals onderwijs, gezondheidszorg en stadsplanning.
2. Het identificeren van eventuele beste praktijken in de energiesector of in andere sectoren.
3. In kaart brengen van de lessen die zijn getrokken uit milieu- en sociale effectbeoordelingen (of en zo ja, hoe genderspecifieke vragen zijn meegenomen).

Het uiteindelijke doel van het project was dat de studenten het volgende zouden produceren:

1. Een rapport over mijlpalen 1-3 over de belangrijkste bevindingen, gepresenteerd aan de WECS Foundation.
2. Een modelmethodologie voor een genderimpactbeoordeling van projecten in de energiesector.

Opdracht: Ontwikkeling educatief hulpmiddel voor ingenieurs
De ingenieurs van de toekomst werden geconfronteerd met een sneller tempo van technologische ontwikkeling en steeds complexere problemen. Ze hadden zowel diepgaande discipline-expertise als interdisciplinair inzicht nodig. Bij het ontwikkelen van technologie voor de samenleving was een basiskennis van juridische onderwerpen van groot belang. Omdat de Technische Universiteit Eindhoven in de eerste plaats een technische universiteit is, werd de discipline ‘juridisch’ vooralsnog beperkt onderwezen aan studenten.

De geopende TU/e Innovation Space biedt onderdak aan verschillende studententeams en spin-offs die een gebrek aan inzicht ervaren over hun juridische positie. Volgens soortgelijke instellingen aan andere (technische) universiteiten kampen deze universiteiten met vergelijkbare problemen. Het belangrijkste doel van dit project was om (toekomstige) ingenieurs te informeren over hun rechtspositie door middel van een educatief instrument.

Het doel van de Clinic was om de inhoud van een educatief instrument te helpen ontwikkelen en testen. Deze tool werd gebruikt om technische studenten te helpen de vragen te beantwoorden:

1. Heb ik intellectueel eigendom gecreëerd?
2. Wie is de eigenaar van het intellectuele eigendom dat ik heb gecreëerd?
3. Met welke juridische onderwerpen moet u rekening houden bij het starten van een bedrijf?

Studenten werkten bij advocatenkantoor Louwers IP|Technology Advocaten en bij de TU/e Innovation Space, beide gevestigd in Eindhoven.

Louwers IP|Technology Advocaten is een modern nichekantoor op het gebied van IT/internet, privacy en intellectueel eigendom, en vooral op het snijvlak van recht en technologie. Sinds 2006 is het bureau gevestigd in design- en technologieregio Brainport Eindhoven en vanaf 1 augustus 2014 ook in de eveneens innovatieve regio Den Haag. Meer informatie over ons advocatenkantoorbezoek.

Op vrijdag 4 mei 2018 presenteerden de studenten die deelnamen aan de TILT IP-clinic met Crossyn Automotive de resultaten van hun 2 maanden durende onderzoek naar intellectueel eigendomsrecht in het tijdperk van verbonden auto's.

Crossyn is een Tilburgse startup die een geavanceerd analyseplatform heeft ontwikkeld dat voertuigsensorgegevens verzamelt, analyseert en verrijkt. De inzichten uit deze data kunnen worden gebruikt om gepersonaliseerde datagestuurde mobiliteitsdiensten te creëren, terwijl ervoor wordt gezorgd dat de bestuurder de controle over zijn gegevens behoudt.

De auto-industrie wordt momenteel geconfronteerd met ontwrichtende veranderingen als gevolg van big data en connectiviteit, samengevat als slimme mobiliteit, die de kern vormt van Crossyns activiteiten. In een dergelijke competitieve en innovatieve omgeving is het hebben van een uitgebreid intellectueel eigendom (IP)-portfolio van cruciaal belang, vooral voor een startup. Zo kregen de studenten van de TILT-kliniek de opdracht om Crossyn te adviseren over een geschikt IP-framework dat op hun producten en diensten kon worden toegepast.

Om dit te doen, voerden de studenten, onder supervisie van hun mentoren van Tilburg University en Crossyn, een feitenonderzoek en verschillende interviews uit met medewerkers van Crossyn, om de zakelijke doelstellingen en potentiële intellectuele eigendomsrechten van Crossyn te begrijpen, en voerden ze normatief onderzoek uit naar toepasselijke wetgeving en relevante jurisprudentie.

Op basis daarvan identificeerden ze eerst de producten en diensten van Crossyn die zouden kunnen profiteren van IE-bescherming en stelden ze vervolgens aan Crossyn de gebieden van de IE-wetgeving voor die relevant zijn voor hun IE-activa, waaronder databaserechten, patenten, auteursrechten, handelsmerken, bedrijfsgeheimen en licentieovereenkomsten. en ging in op de mogelijke koersen die Crossyn zou kunnen volgen met hun IE-strategie.

Drie studenten van de Universiteit van Tilburg hebben, onder auspiciën van TILT-docenten, een interventie van derden voorbereid voor het Europese Hof voor de Rechten van de Mens in de OOO Flavus tegen Rusland en vier andere verzoeken. De uitspraak van het Hof zal belangrijke grenzen stellen aan de waarborgen tegen overblokkering door de staat online. Daarom heeft de interventie vooral betrekking op de eisen van een eerlijk proces en de beschikbaarheid van effectieve waarborgen tegen overblokkering van onderpand.

De opdracht is opgesteld door drie Tilburg University-studenten van de richtingen Recht en Technologie (Bojana Kostić, Martin Borgioli) en de richting Mensenrechten (Monika Hanych) onder supervisie van TILT assist. prof. Martin Husovec en docent John Waterson. In hun opmerkingen gingen zij vooral in op de eisen van een eerlijk proces en de beschikbaarheid van effectieve waarborgen tegen overblokkering van onderpand.

De interventie suggereert dat het Hof erkent dat staten niet volledig de vrijheid hebben om blokkeringsregelingen te ontwerpen en dat elke delegatie van handhaving gepaard moet gaan met een aantal eerlijke rechtsgang en corrigerende waarborgen. Ook respecteert het wettelijke kader de kwaliteit van het recht wanneer een blokkeringsbevel wordt uitgevaardigd en wordt benadrukt dat elke blokkeringsbepaling duidelijk door de wet moet worden voorgeschreven.

Bovendien herhaalt de interventie dat staten zichzelf niet mogen ontslaan van de verplichting om te voorzien in een effectief middel tegen overblokkering door simpelweg de implementatie van hun maatregelen aan private partijen te delegeren. Ten slotte moet de eigenaar van de geblokkeerde inhoud recht hebben op toegang tot de rechter, procedurele gelijkheid van wapens en efficiënte rechtsmiddelen.

Augmented Reality bij onderzeese bouwactiviteiten

Augmented Reality (AR) is een nieuwe technologie die wordt gedefinieerd als de uitbreiding van de fysieke realiteit door lagen van computergegenereerde informatie toe te voegen aan de echte omgeving. Deze lagen kunnen op verschillende manieren worden toegevoegd. Virtual Reality (VR) is niet hetzelfde als AR. VR dompelt de gebruiker volledig onder in een virtuele omgeving door hem/haar volledig af te sluiten van de fysieke realiteit. AR is als een zonnebril; de gebruiker ziet nog steeds zijn/haar omgeving, maar deze omgeving is verrijkt met digitale lagen. Zowel VR- als AR-technologieën groeien snel, maar AR zal naar verwachting binnenkort het marktaandeel van VR overnemen.

Deze TILT-clinic richtte zich op één van de onderzoeksvragen in een gezamenlijk onderzoek met de Technische Universiteit Delft en Tideway Offshore Solutions. Het doel van dit gezamenlijke onderzoek was om de toegevoegde waarde van het gebruik van AR tijdens onderzeese bouwactiviteiten te beoordelen. Dit werd gedaan door een real-time model met een AR-gebruikersinterface te ontwikkelen, dat uiteindelijk door meerdere mensen aan boord van een offshore bouwschip zal worden gebruikt. Experts op het gebied van onderzeese constructies uit het veld hadden een grote zorg met betrekking tot deze technologie. Deze zorg is geanalyseerd in de TILT-kliniek en wordt beschreven in de onderstaande opdracht.

Studenten van Tilburg University (Jaime Geer, Yusuf Muzak, Lisette Gotink en Kirill Khotulev) werkten op 11 september 2017 4 weken 2 dagen per week aan dit onderwerp.

Amicus Brief voor het EHRM in Kharitonov tegen Rusland (in samenwerking met HSE)

De aanhangige zaak Vladimir Vladimirovitsj Kharitonov tegen Rusland werd van groot belang geacht voor de toekomst van de informatiemaatschappij en de plaats van de vrijheid van meningsuiting van veel individuen daarin. Dit was de reden waarom er een juridische kliniek was opgericht die als Amicus Curiae in deze zaak zou interveniëren. Het is belangrijk dat het Europees Hof voor de Rechten van de Mens een volledig beeld van het probleem krijgt voordat het zijn belangrijke beslissing neemt, die zonder twijfel een mensenrechtennorm zal stellen voor de vrijheid van meningsuiting online.

Het doel van de kliniek was om het Hof op verschillende manieren te helpen via een verklaring van een derde partij. Als vrienden van het Hof kregen de deelnemers aan de kliniek een kort vergelijkend onderzoek aangeboden naar de 'afweging van belangen' die betrokken zijn bij het blokkeren van zaken over hostingdiensten die de kwesties van de vrijheid van meningsuiting raken, waarbij niet alleen rekening werd gehouden met de jurisprudentie van het EHRM in soortgelijke gevallen. Zaken (zie bijvoorbeeld Ahmet Yıldırım tegen Turkije (nr. 3111/10, EHRM 2012), maar ook ander relevant internationaal materiaal (zie bijvoorbeeld de gezamenlijke VN-verklaring over de vrijheid van meningsuiting en het internet van 1 juni 2011) Ten tweede werden de deelnemers mogelijke mensenrechtenbeperkingen voorgesteld tegen het willekeurig blokkeren van de toegang tot een website die alleen legale inhoud bevat, in de context van artikel 10 van het Europees Verdrag voor de Rechten van de Mens.

De clinic was een gezamenlijke samenwerking tussen geselecteerde studenten van de Master in Law and Technology van de Universiteit van Tilburg en de Higher School of Economics van Moskou.

De komende Algemene Verordening Gegevensbescherming legt, in tegenstelling tot de huidige Richtlijn Gegevensbescherming, veel verplichtingen op aan ‘verwerkers’ (zoals gedefinieerd in Art. 4 (8) AVG), zoals aanbieders van IT-diensten.

Als verwerkers dergelijke verplichtingen niet nakomen, wordt dit in de AVG bestraft met zeer hoge boetes (d.w.z. boetes tot 20.000.000 euro of 4% van de totale wereldwijde jaaromzet van de onderneming). Op grond van de richtlijn waren de verplichtingen en sancties voornamelijk gericht tegen ‘verwerkingsverantwoordelijken’ (zoals gedefinieerd in artikel 4, lid 7 AVG). Deze verandering naar meer verantwoordelijkheid voor verwerkers zal gevolgen hebben voor de verplichtingen en aansprakelijkheden van dergelijke verwerkers. 

Dit zou voor hen de noodzaak kunnen creëren om bestaande clausules in algemene voorwaarden en gegevensverwerkingsovereenkomsten met betrekking tot verplichtingen en aansprakelijkheden met betrekking tot privacy en gegevensbescherming aan te passen om hun blootstelling aan.

De masterstudenten Recht en Technologie die bij de Clinic betrokken zijn, werd gevraagd een juridische beoordeling uit te voeren van de conformiteit van het WE ARE DATA – Mirror Room-project met de toepasselijke regelgeving en ethische normen. Bij de juridische beoordeling van deze compatibiliteit werd ook rekening gehouden met de relevante bepalingen van de Algemene Verordening Gegevensbescherming, en deze werd opgeleverd in de vorm van een rapport. De uitkomsten van het assessment zijn gepresenteerd op TILT. Op bepaalde tijden en zoals afgesproken tussen de studenten en de coördinator waren enkele studenten tijdens de TILTing Perspectives Conference 2017 (17-19 mei) beschikbaar in de gebouwen van de Mirror Room om bezoekers te ontvangen en uitleg te geven over het privacybeleid van de Mirror Room .

De ontwikkeling van het experiment had in april plaatsgevonden. Gedurende een maand (van 20 april tot en met 4 mei 2017) hebben vijf (5) studenten gewerkt aan de praktijkopdracht, in opdracht van het TILT in samenwerking met het WE ARE DATA – Mirror Room project. De clinic werd afgesloten met een schriftelijk rapport gericht aan de coördinatoren van het project en een mondelinge presentatie op de TILTing Perspectives Conference 2017. Studenten kregen primair input en feedback van de twee academische supervisors van de Clinic.

Lees het eindrapport

I. Over Privacy International

Privacy International is een non-profit, niet-gouvernementele organisatie gevestigd in Londen die zich inzet voor de verdediging van het recht op privacy over de hele wereld. Privacy International, opgericht in 1990, doet onderzoek en onderzoek naar staats- en bedrijfstoezicht, met een focus op de technologieën die deze praktijken mogelijk maken. 

We hebben geprocedeerd of geïntervenieerd in zaken waarin het recht op privacy betrokken was bij de rechtbanken van de Verenigde Staten, het Verenigd Koninkrijk ('VK') en Europa, waaronder het Europees Hof voor de Rechten van de Mens ('EHRM') en het Hof van Justitie van de Verenigde Staten. de Europese Unie. Om universeel respect voor het recht op privacy te garanderen, pleit Privacy International voor sterke nationale, regionale en internationale wetten die dit recht beschermen. Ook versterken we de capaciteit van partnerorganisaties in ontwikkelingslanden om hetzelfde te doen.

II. Hacking en surveillance door de overheid

Als onderdeel van ons werk op het gebied van staatstoezicht heeft Privacy International zich geconcentreerd op de kwestie van hacken door de overheid en stelt een TILT Clinic over dit onderwerp voor. In de eerste subsectie hieronder vindt u een korte uitleg over hacken. In de tweede subsectie wordt het project van Privacy International beschreven om een reeks aanbevelingen te ontwikkelen met betrekking tot hacking door de overheid voor surveillancedoeleinden. In de derde en laatste subsectie wordt het potentiële project beschreven dat hacking door de overheid wil aanpakken.

A. A Brief Explainer on Hacking

Hacken is het doorbreken van de beveiliging van en het verkrijgen van ongeautoriseerde toegang tot een systeem.[1]

Systeem wordt in de breedste zin van het woord gebruikt om zowel naar elke combinatie van hardware en software als naar een onderdeel daarvan te verwijzen. De meest voor de hand liggende doelwitsystemen zijn desktopcomputers, laptops, tablets en mobiele telefoons. Ze kunnen ook het groeiende aantal fysieke apparaten omvatten die deel uitmaken van het ‘internet der dingen’ – auto’s, tv’s, koelkasten, elektriciteitsmeters, babyfoons – die gegevens genereren, verzamelen en uitwisselen. Doelsystemen kunnen ook de netwerkinfrastructuur zelf omvatten, zoals de routers die het netwerkverkeer regelen of de computers die de netwerkbeveiliging controleren.

III. TILT Clinic Project

Privacy International is momenteel bezig met het formaliseren van de hackaanbevelingen en presenteert deze als een middel voor belangenbehartiging. Als onderdeel van dit proces willen we verschillende casestudylanden selecteren en hun hackwetgeving en -praktijk analyseren. We hebben al een vrij uitgebreide analyse gemaakt van de relevante wetgeving en praktijk in Groot-Brittannië, maar streven naar een beter begrip van het hacken door de overheid voor surveillance in verschillende andere Europese landen. Daarom stellen wij voor dat de TILT-kliniek een memo opstelt over deze kwestie in drie landen: Duitsland, Italië en Nederland.

Feitelijk zou de memo bijvoorbeeld moeten proberen het volgende te verduidelijken:

• Welke overheidsinstanties hacken?
• Voor welke doeleinden hacken elk van deze autoriteiten (bijvoorbeeld wetshandhaving)?
• Welke hacktechnieken gebruikt elk van de bureaus?

Juridisch gezien zou de memo moeten proberen het huidige juridische landschap – bijvoorbeeld relevante wetten, regelgeving, beleid en jurisprudentie – met betrekking tot hacking uit te leggen, waaronder bijvoorbeeld:

• Wat is het toepasselijke autorisatieproces?
  • Bijv. Is er sprake van een warrantregime?
  • Bijv. Beschrijven de warrantaanvragen de methode/omvang van de voorgestelde hackoperatie?
• Welke waarborgen zijn er eventueel van toepassing met betrekking tot de inbreuk op de privacy?
  • Bijv. Wat wordt er gedaan met irrelevante informatie die wordt verkregen en/of in beslag wordt genomen als onderdeel van een hackoperatie?
• Welke waarborgen zijn er eventueel van toepassing met betrekking tot de veiligheid?
  • Bijv. Moet de overheid de veiligheidsimplicaties voor het beoogde apparaat en voor communicatiesystemen in het algemeen beoordelen?
• Welke juridische uitdagingen zijn er aangericht tegen hacking door de overheid?

Bij de juridische analyse moet ook rekening worden gehouden met eventuele lopende ontwikkelingen in het juridische landschap, zoals wetsontwerpen die momenteel in behandeling zijn.

Privacy International probeert een rapport of een soortgelijk belangenbehartigingsinstrument op te stellen om de hackaanbevelingen uit te leggen, dat een analyse van verschillende casestudylanden zou omvatten. We verwachten dat het werk van de TILT-kliniek kan worden opgenomen in deze belangenbehartigingsresultaten.

[1] Volgens de Internet Security Glossary, die is opgesteld door de Internet Engineering Task Force ('IETF'), een instantie die internetstandaarden ontwikkelt, is een definitie van 'hacken' 'een of andere kwalijke zaak uithalen, vooral om een grap uit te halen of een systeem binnen te dringen.' De verklarende woordenlijst definieert ‘cracker’, die het beschrijft als synoniem voor ‘hacker’, als ‘[s]iemand die probeert de beveiliging te doorbreken van en ongeautoriseerde toegang te krijgen tot het systeem van iemand anders, vaak met kwade bedoelingen.’ IETF, Internet Security Glossary, versie 2, augustus 2007, https://tools.ietf.org/html/rfc4949. Volgens de Jargon File, een verklarende woordenlijst van computerprogrammeertermen, is een definitie van ‘hacker’ ‘[een] kwaadaardige bemoeizucht die gevoelige informatie probeert te ontdekken door rond te snuffelen.’ Het Jargonbestand verduidelijkt echter dat de 'juiste term voor deze betekenis cracker is' en definieert 'cracker' als “[iemand die de beveiliging op een systeem verbreekt” en 'kraken' als '[de] handeling van het inbreken in een computer systeem.' Eric S. Raymond, ed., The On-Line Hacker Jargon File, versie 4.4.8, 1 oktober 2004, http://www.catb.org/~esr/jargon/. 

Wat zijn de juridische implicaties van het opnemen van gezichtsherkenning (en andere biometrische) mogelijkheden in op het lichaam gedragen cameratechnologieën die zijn ontworpen voor gebruik door wetshandhavings-, transport- en openbaar veiligheidspersoneel.

Bedrijfsprofiel Zepcam
Zepcam is een Nederlands technologiebedrijf gespecialiseerd in op het lichaam gedragen video- en mobiele videosystemen voor professioneel gebruik. Zepcam ontwikkelt producten en oplossingen voor opdrachtgevers in de openbare veiligheid, het openbaar vervoer, de brandweer en de industrie.

Het bedrijf biedt geïntegreerde high-end oplossingen die de volledige technische keten bestrijken: veldapparatuur, back-end- en netwerkoplossingen, clientapplicaties en videomanagementsysteemintegraties voor commando- en controlekamers. Deze geïntegreerde aanpak resulteert in een aanzienlijk betere kwaliteit, implementatiegemak en een hoge bedrijfszekerheid.

De videosystemen van Zepcam worden gebruikt voor het opnemen en livestreamen van video, audio en locatiebepaling via 2G, 3G, 4G en Wi-Fi. Zepcam-producten worden gebruikt voor videobewijs, vermindering van agressie, situaties van alleenwerkers, verbetering van het situationeel bewustzijn en hulp op afstand van buitendienstmedewerkers.

Zepcam is een erkende pionier en leider in zijn markten. De producten en oplossingen worden verkocht aan klanten in meer dan 30 landen, waaronder de politiekorpsen van Duitsland, Nederland en Zwitserland.

Clinic overzicht en toepassingsinstructies
TILT presenteert met trots een nieuwe TILT Clinic in samenwerking met Zepcam, een toonaangevend Nederlands mobiel videobedrijf gevestigd in de buurt van Zaltbommel. Gedurende een maand (van 28 oktober tot en met 25 november 2016) gaan vier (4) studenten aan de slag met een praktijkopdracht, in opdracht van Zepcam. De studenten zullen aan het begin van de clinic één dag doorbrengen op het kantoor van Zepcam, gevolgd door gemiddeld twee dagen per week bij TILT, eindigend met schriftelijke en mondelinge rapporten aan bedrijfsleiders en de TILT-gemeenschap. Studenten krijgen input en feedback van supervisors met zowel academische als praktische zakelijke perspectieven, hoewel de primaire feedback afkomstig zal zijn van de twee academische supervisors van de kliniek.

Aanmelding bij de TILT/Zepcam Clinic staat open voor alle (internationale en binnenlandse) masterstudenten aan de Tilburg Law School. Een deel van de kliniekopdracht zal gericht zijn op het begrijpen van de binnenlandse wettelijke regulering van het gebruik en de inzet van op het lichaam gedragen camera's, met een specifieke focus op het integreren van gezichtsherkenning en andere biometrische technologieën, in een klein aantal landen (idealiter twee of drie), waaronder Nederland. Vanwege de noodzaak om een analyse van het Nederlandse recht in het project op te nemen, zijn we van plan om ten minste één student te selecteren die de Nederlandse taal vloeiend beheerst en enige expertise heeft in het Nederlandse recht. Andere geselecteerde studenten zullen vloeiend en achtergrondexpertise hebben in de taal en het relevante recht van een ander Europees land (met enige voorkeur voor Duits, Engels, Italiaans, Pools, Tsjechisch of Sloveens).

De TILT/Zepcam Clinic loopt van 28 oktober tot en met 25 november 2016. De specifieke werkdagen omvatten één vrijdag bij Zepcam in de eerste week (bijvoorbeeld 28 oktober) en twee dagen per week bij TILT in elk van de vier weken ( specifieke dagen zijn bespreekbaar en te bepalen op basis van de beschikbaarheid van studenten en begeleiders).

Sollicitaties, inclusief een motivatiebrief, CV/cv en cijferlijst (transcript), moeten per e-mail worden ingediend bij Dr. Bryce C. Newell via b.c.newell@uvt.nl. Motivatiebrieven moeten een verklaring bevatten waarin wordt aangegeven in welke juridische jurisdictie(s) de aanvrager het meest geïnteresseerd is om onderzoek te doen, en welk niveau van juridische onderzoekservaring de aanvrager heeft met het recht van de geïdentificeerde jurisdictie(s). Het volledige aanmeldingsmateriaal moet op of vóór 23 september 2016 zijn ontvangen. TILT zal, in coördinatie met Zepcam, maximaal vier (4) studenten selecteren om deel te nemen aan de Clinic. Studenten krijgen op (of vóór) 10 oktober bericht over deelname. Aan deelname aan de TILT/Zepcam Clinic is geen financiële vergoeding verbonden. Reiskosten naar het Zepcam-kantoor in Zaltbommel worden vergoed als studenten niet in het bezit zijn van een gratis OV-chipkaart.

Deelname aan de TILT/Zepcam Clinic is voorbehouden aan de beste studenten en zal een waardevolle aanvulling zijn op je CV. Kliniekorganisatoren behouden zich het recht voor om naar eigen goeddunken minder dan vier studenten te selecteren als de aanmeldingen niet aan de gewenste criteria voldoen.

De opdracht van TILT/Zepcam Clinic houdt het volgende in:

• Onderzoek doen naar de juridische en politieke implicaties van het integreren van gezichtsherkenning (en andere biometrische) mogelijkheden in op het lichaam gedragen cameratechnologieën die zijn ontworpen voor gebruik door wetshandhavings-, transport- en openbare veiligheidspersoneel in Nederland en een of twee andere landen (nader te bepalen door de kliniekbegeleiders, rekening houdend met de interesses/expertise van geaccepteerde studenten); evenals mogelijk wat breder juridisch onderzoek naar de manier waarop op het lichaam gedragen camera's in dezelfde rechtsgebieden worden gereguleerd;
• Het halverwege de kliniek presenteren van vroege bevindingen aan de supervisors van de kliniek, om feedback en vragen te ontvangen en op te nemen in het definitieve onderzoeksrapport;
• Het opstellen van een eindrapport, gebaseerd op het uitgevoerde onderzoek, waarin de juridische analyse en andere onderzoeksresultaten worden uiteengezet die van toepassing zijn in elk onderzocht land.

Het presenteren van het afgeronde onderzoek en de bevindingen aan begeleiders bij Zepcam en TILT.

Van eind oktober tot en met januari 2017 organiseert TILT in opdracht van de gemeente Eindhoven een Law Clinic. Er worden steeds meer gegevens verzameld in de openbare ruimte. het meten van lucht en temperatuur, maar ook verkeersstromen en mensenstromen. Deze data verzameld in de openbare ruimte zijn volgens de gemeente Eindhoven voor iedereen beschikbaar en eigendom van iedereen. Daarom wil de gemeente Eindhoven beoordelen of zij regelgeving geldig mag maken voor de digitale dagelijkse omgeving. Deze vraag wordt beantwoord door de deelnemers aan de Law Clinic.

TILT presenteert graag de volgende TILT Clinic in samenwerking met Bits of Freedom. Gedurende een maand gaan vier studenten aan de slag met een praktijkopdracht, in opdracht van Bits of Freedom. De studenten zullen één dag in de week verblijven bij TILT en één dag in de week in het pand van Bits of Freedom, op het adres Bickersgracht 208, Amsterdam. Hierdoor kunnen studenten begeleid en begeleid worden, zowel vanuit een academisch als vanuit een intern juridisch en burgerrechtenperspectief. De TILT Clinic zal in het Engels zijn, hoewel kennis van het Nederlandse recht vereist is.

Bits of Freedom

Bits of Freedom is de toonaangevende Nederlandse digitale rechtenorganisatie, gericht op privacy en communicatievrijheid in het digitale tijdperk. Bits of Freedom streeft ernaar de wetgeving en zelfregulering te beïnvloeden, op nationaal en Europees niveau. Bits of Freedom is een van de oprichters en lid van European Digital Rights (EDRi).

Over de opdracht

Achtergrond

De nieuwe Algemene Verordening Gegevensbescherming (AVG) zal de Gegevensbeschermingsrichtlijn (Richtlijn) vervangen en zal van toepassing zijn vanaf 25 mei 2018. Hoewel de Richtlijn een bepaling bevatte over geautomatiseerde besluitvorming (Art. 15), ging deze niet in op de problemen die verband houden met profilering. De AVG bevat nu wel een definitie van profilering (artikel 4, lid 4) en de AVG is tot op zekere hoogte van toepassing op profilering (overweging 72).

De rechten en plichten waarin artikel 22 AVG voorziet, zijn echter alleen van toepassing op volledig geautomatiseerde besluiten (bijvoorbeeld op basis van profilering) die ‘rechtsgevolgen’ teweegbrengen of ‘op vergelijkbare wijze aanzienlijke gevolgen hebben’ voor de betrokkene. Juridische gevolgen zijn niet gedefinieerd; daarom zal het voor de betrokken persoon moeilijk zijn om de rechtsgevolgen te bewijzen, tenzij hij/zij een contract heeft met de verwerkingsverantwoordelijke. Een 'contract tussen de betrokkene en een verwerkingsverantwoordelijke' vormt echter een uitzondering op het recht om bezwaar te maken tegen profilering. De term "die eveneens een significante invloed heeft" is zelfs nog vager. In de praktijk zal het voor betrokken personen vaak lastig zijn om deze eisen te bewijzen.

Bovendien bieden de artikelen 22 (b) en 23 van de AVG de EU en de lidstaten de mogelijkheid om de reikwijdte van de toepassing van de rechten en plichten waarin artikel 22 AVG voorziet, te beperken. Dit zou de harmonisatie kunnen verzwakken en tot rechtsonzekerheid kunnen leiden als de lidstaten verschillende regels aannemen.

Een ander probleem is dat het niet duidelijk is of de AVG de belangrijkste kwesties in verband met profilering voldoende aanpakt (bijvoorbeeld het manipuleren van de (economische) beslissingen en het gedrag van individuen, het categoriseren van individuen, het sorteren en discrimineren tussen individuen, en andere oneerlijke effecten), en of dit wel het geval is. feitelijk het passende juridische kader om deze kwesties aan te pakken. Koops heeft gesuggereerd dat profilering en bescherming tegen geautomatiseerde besluitvorming ook aan bod zouden kunnen komen in andere rechtsinstrumenten, zoals het consumentenbeschermingsrecht (oneerlijke handelspraktijken) of het non-discriminatierecht, of, voor de publieke sector, in het bestuursrecht. [1]

De taak

Bits of Freedom wil dat studenten onderzoeken hoe de AVG de belangrijkste kwesties aanpakt die verband houden met online profilering door private partijen en of andere juridische instrumenten op dit gebied een rol kunnen spelen. Dit kan worden onderzocht door de volgende twee vragen te beantwoorden:

• Welke geautomatiseerde gegevensverwerkingsactiviteiten vallen binnen (of buiten) de definitie van ‘profilering’, en welke profileringsactiviteiten vallen binnen (of buiten) de reikwijdte van de bepaling over geautomatiseerde besluitvorming? Leidt dit tot leemten in de regelgeving?
• Hoe pakken andere juridische instrumenten (naar Nederlands recht), zoals de antidiscriminatiewetgeving en het consumentenrecht, de belangrijkste kwesties met betrekking tot profilering aan?

De leerlingen kunnen er bijvoorbeeld voor kiezen om twee groepjes van twee leerlingen te maken die één van deze vragen beantwoorden.
 
Resultaten

• Een kort schriftelijk verslag
• Een presentatie van de belangrijkste bevindingen en mogelijke aanbevelingen
• Een blogpost (max. 1.200 woorden) voor een algemeen publiek

Schema

De Law Clinic vindt plaats van 19 september tot en met 15 oktober 2016.

De exacte data voor de Clinic zijn als volgt:

• 22 september
• 29 september
• 6 oktober
• 13 oktober

Gezien de beperkte ruimte die we hebben, raden wij aan om maximaal twee studenten tegelijkertijd op ons kantoor te laten verblijven. Uiteraard zijn alle studenten welkom op de dag van de presentatie.

Aanmelding staat open voor masterstudenten Recht en Technologie van de Universiteit van Tilburg. TILT selecteert 4 studenten op basis van de Motivatiebrief, CV en cijferlijst, die uiterlijk 31 augustus per e-mail moeten worden ingediend bij mevrouw K. La Fors, e-mail: K.LaFors@tilburguniversity.edu. Van deze aanmeldingen is de TILT-BoF Clinic gereserveerd voor de beste 4 studenten. Voor de geselecteerde studenten zal deze clinic zeker een waardevolle aanvulling zijn op hun CV.

[1] B.J. Koops (2014), ‘The trouble with European data protection law’, International Data Privacy Law, doi:10.1093/idpl/ipu023.

Interventie-inzendingen van derden door EISi

Het Europese Instituut voor de Informatiemaatschappij

Vier masterstudenten hebben met succes inzendingen voorbereid voor interventies van derden door het European Information Society Institute (EISi) voor het EHRM

Op 19 februari 2016 heeft het European Information Society Institute, een denktank, officieel zijn tussenkomst van derden ingediend bij het Europees Hof voor de Rechten van de Mens in de Satamedia-zaak. Het besluit van de Grote Kamer zal van groot belang zijn voor de toekomst van de datajournalistiek in Europa.

De opdracht voor de interventie werd opgesteld door vier excellente studenten van Tilburg Law School (Cora Arts, Diana van Wanrooij) en Stanford Law School (Laurel Elizabeth Mills, Eric Dunn) als onderdeel van een Legal Clinic onder supervisie van professoren van Tilburg University ( Martin Husovec en Karolina La Fors) en Stanford University (Phil Malone en Daphne Keller).

De inzending gaat over de volgende kwesties:

1. de impact die dit besluit kan hebben op technologieën die journalisten helpen gegevens te gebruiken om nieuwe, nuttige informatie aan het publiek te verstrekken;
2. de noodzaak om de rechten op vrijheid van meningsuiting en privacy in evenwicht te brengen op een manier die ruimte laat voor journalisten om te innoveren met behulp van deze technologieën, en;
3. de manieren waarop de bestaande precedenten van dit Hof opnieuw kunnen worden gekalibreerd om rekening te houden met deze belangrijke belangen.

Satakunnan Markkinapörssi Oy and Satamed App No. 931/13

• De hele interventie

Van 14 februari - 15 maart 2016 hebben 4 studenten gewerkt aan een praktijkopdracht, in opdracht van Privacy Company.

Privacybedrijf

Privacy Company is een gespecialiseerde organisatie en platform van experts die zich richten op privacy- en gegevensbeschermingsvraagstukken in uiteenlopende domeinen. 

“Privacy Company onderscheidt zich door haar sterke klantgerichtheid, kwaliteit en kosten. Privacy Company gelooft in een praktische en klantgerichte aanpak. Naast het terugdringen van de juridische risico's en bedreigingen ziet Fine Privacy Company kansen om kwalitatieve data te gebruiken om processen, diensten of producten te verbeteren. Het team Privacy Company heeft ruime ervaring met privacyvraagstukken in brede zin en bestaat uit professionals met zakelijke, technische, organisatorische en juridische vaardigheden.”

De opdracht

Op 1 januari 2016 is de meldplicht datalekken op grond van de Wet bescherming persoonsgegevens in werking getreden. De meldingsplicht rust op de verwerkingsverantwoordelijke en strekt zich uit tot zowel de Gegevensbeschermingsautoriteit als de betrokkene. Het niet informeren van de betrokkene of DPA kan resulteren in een boete van 810.000 euro of 10% van de jaarlijkse netto-omzet. Reden te meer voor bedrijven om een datalekprocedure in te voeren.

Tegen deze achtergrond lijkt Nederland interessant genoeg de broedplaats te zijn voor de toekomstige Europese Verordening Gegevensbescherming (verwacht in 2016), waarin ook een meldplicht datalekken zal vallen.

De taak

The Privacy Company wilde dat studenten de procedures voor datalekken die al in andere landen zijn geïmplementeerd uitgebreid zouden onderzoeken om de volgende vragen te beantwoorden:

• Wat is een inbreuk op de gegevensbeveiliging die ernstige nadelige gevolgen heeft of waarschijnlijk zal hebben voor de bescherming van persoonsgegevens? Meer specifiek kan deze vraag ook betrekking hebben op een andere vraag:
• Hoe moeten de contractuele afspraken met data(sub)verwerkers eruit zien als bedrijven hun aansprakelijkheid willen beperken?

De TILT Clinic in samenwerking met ING begon op 8 oktober en eindigde op 8 november.

De opdracht

De studenten werkten aan de volgende opdracht: Hoe kan ING ervoor zorgen dat de belangrijkste informatie over gegevensverwerking ook daadwerkelijk door hun klanten wordt gelezen en begrepen?

Informatieverplichtingen zijn van groot belang in zowel de richtlijn gegevensbescherming als de voorgestelde verordening gegevensbescherming. Informatieverplichtingen staan niet op zichzelf, maar hangen nauw samen met andere concepten van de wetgeving inzake gegevensbescherming, zoals verantwoording en geïnformeerde toestemming. 

Hoewel het belang van het verstrekken van goede informatie sterk wordt onderkend, is een van de grootste problemen met informatieverplichtingen het ontbreken van een verplichting voor consumenten om de verstrekte informatie daadwerkelijk te lezen. Hoewel de literatuur en de voorgestelde verordening enkele suggesties bieden over hoe de kans kan worden vergroot dat consumenten het privacybeleid daadwerkelijk lezen, is ING nog steeds van mening dat we innovatieve oplossingen nodig hebben om dergelijke belangrijke informatie aan hun klanten over te brengen.

ASML is een van 's werelds toonaangevende leveranciers van geavanceerde technologiesystemen voor de halfgeleiderindustrie. Het bedrijf biedt lithografiesystemen aan, voornamelijk voor de productie van chips. Dit was de eerste TILT Clinic in samenwerking met een multinational. Deze clinic vond plaats in april – juni 2015.

Tijdens deze clinic werkten de studenten aan de volgende opdracht: Assisteren bij het charteren van het mondiale compliancelandschap (nieuwe ontwikkelingen, aandachtsgebieden) voor hightech, business-to-business bedrijven. De juridische gebieden die aan bod komen, zijn onder meer privacy, anti-omkoping, veiligheid en handel met voorkennis.

Het project bestond uit het eerst prioriteren van de belangrijkste onderwerpen die relevant zijn voor de activiteiten van ASML en training door de interne compliance-adviseur van ASML. Vervolgens zijn de studenten begonnen met een onderzoek naar de meest relevante nieuwe en verwachte ontwikkelingen op de geïdentificeerde onderwerpen, met speciale aandacht voor de rechtsgebieden waar de belangrijkste klanten van ASML zijn gevestigd (Azië en de VS). In het onderzoek is tevens een sectorbenchmark opgenomen. De opdracht resulteerde in een kort rapport en een presentatie aan het senior management met de belangrijkste bevindingen en adviezen.

De eerste TILT Clinic was in samenwerking met LOUWERS IP|TECHNOLOGY ADVOCATEN, een IP- en technologieboetiekbedrijf gevestigd in Eindhoven.

Deze clinic vond plaats in november en december 2014. De opdracht hield het volgende in: (Hoe) voldoen de vijf populairste wearables voor gezondheidsmonitoring aan de huidige en voorgestelde regelgeving inzake gegevensbescherming en (hoe) kan dit worden verbeterd? Tijdens het onderzoek analyseerden en vergeleken de studenten de algemene voorwaarden en het privacybeleid van de vijf populairste wearables in het licht van bestaande en voorgestelde EU-privacyregelgeving.

Resultaten

De studenten presenteerden de resultaten van hun onderzoek op een internationale conferentie en publiceerden hun resultaten in een paper.