De aanbevelingen van de European Data Protection Board (EDPB) voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) zijn definitief. De aanbevelingen zijn opgesteld om het bedrijfsleven meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde in de zogeheten Schrems II-uitspraak.
Het gaat om een aangepaste versie van de aanbevelingen, nadat onder meer bedrijven en brancheverenigingen reageerden op het eerder opgestelde concept.
Doorgifte van persoonsgegevens naar de VS en de meeste andere landen buiten de EU kan nog wel op basis van modelcontracten (ook wel standaardcontractbepalingen of standard contractual clauses genoemd). Begin juni heeft de Europese Commissie een nieuw modelcontract gepubliceerd.
De voorwaarde voor doorgifte op basis van een modelcontract is dat een bedrijf voldoende aanvullende maatregelen neemt om de veiligheid van de doorgifte te waarborgen. Dat is de eigen verantwoordelijkheid van dat bedrijf. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Dan adviseert de AP om de doorgifte te stoppen en data in de EU te houden.
Als de VS persoonsgegevens beter gaan beschermen, kunnen er nieuwe afspraken komen tussen de EU en de VS, vergelijkbaar met het Privacy Shield. De doorgifte van persoonsgegevens naar de VS zal dan makkelijker en veiliger zijn. De Europese Commissie is dan ook in onderhandeling met de VS over nieuwe afspraken.
Alles bij de bron; AP
Gezichtsherkenning en andere real time biometrie in de openbare ruimte moet verboden worden. Dit stelt de European Data Protection Board (EDPB) in een reactie op een wetsvoorstel van de Europese Commissie over artificiële intelligentie (AI). De EDPB wil daarnaast een verbod op AI-systemen die mensen indelen op basis van bijvoorbeeld etniciteit, geslacht of seksuele voorkeur.
‘Een camera met gezichtsherkenning ziet niet alleen wat je doet, maar die identificeert jou meteen ook. Die ziet meteen wie je bént’, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP) en vicevoorzitter van de EDPB.
‘Elke camera met gezichtsherkenning die we ophangen op straat, in het park, de trein of de bus, is een stap dichter bij een surveillancemaatschappij. Een maatschappij waarin je nooit meer ongedwongen over straat loopt. Waarin je niet kunt ontsnappen aan de priemende ogen van systemen die jou in de gaten houden en jou herkennen, dus jou de hele dag kunnen volgen. Je stapt de deur uit en weet: ik word constant in de gaten gehouden. Dat is beklemmend, zorgt dat mensen zich minder vrij voelen om zichzelf te zijn.’
De EDPB en de EDPS doen nog een derde oproep: ze pleiten ook voor een verbod op AI die emoties herkent. Aan emotieherkenning kunnen grote risico’s zitten voor de vrijheid van burgers. Denk aan de politie die uit voorzorg mensen staande houdt die volgens het systeem ‘boos’ of ‘ontevreden’ zijn terwijl zij op straat lopen.
De EDPB bestaat uit de privacytoezichthouders van alle EU-landen. Samen met de Europese toezichthouder European Data Protection Supervisor (EDPS) hebben zij gereageerd op het wetsvoorstel.
Alles bij de bron; AP
Gebruikers in de staat Massachusetts zeggen dat Android automatisch de corona-tracingapp MassNotify heeft geïnstalleerd. Google heeft dit bevestigt en dat het hier samen met de overheid aan heeft gewerkt. Het gaat om de MassNotify-app, die net als andere corona-tracingapps gebruikmaakt van Googles Exposure Notifications-framework.
Volgens 9to5Google gaat het hierbij om de Express-variant van dit framework, waarbij overheden geen app hoeven te ontwikkelen, maar bepaalde informatie aan Google moeten geven.
Het gaat daarbij om bestanden die aangeven wanneer notificaties getriggerd moeten worden, en wat de gebruiker moet doen na het ontvangen van een notificatie, logo's en teksten. Deze Express-werkwijze moet overheden sneller corona-tracingapps laten opzetten.
De app is dan ook niet eenvoudig te verwijderen net als andere apps, gebruikers moeten hiervoor naar de Play Store-pagina van de app navigeren om deze hier te kunnen verwijderen. De app is ook binnen de Exposure Notifications-instellingen te verwijderen. "De functionaliteit is ingebouwd in de instellingen van de smartphone en wordt automatisch gedistribueerd via de Google Play Store, zodat gebruikers geen losse app hoeven te downloaden", schrijft het Google.
Normaliter moet die app pas gedownload worden als gebruikers hier via het Covid-19 Exposure Notification-programma toestemming voor geven, merkt een Reddit-gebruiker op. Meerdere gebruikers reageren dat zij hier echter geen toestemming voor hebben gegeven en dat die app alsnog geïnstalleerd is. Ook op de Play Store-pagina geven gebruikers aan dat ze geen toestemming hebben gegeven voor het installeren van de app.
Google benadrukt dat gebruikers zelf eerst toestemming moeten geven voordat de functionaliteit van MassNotify geactiveerd wordt en informatie wordt gedeeld. Alleen het feit dat de app geïnstalleerd is, betekent dus niet dat hij meteen actief is.
Alles bij de bron; Tweakers
Google werkt aan een manier waarop je Android-telefoons terug kan vinden, zelfs wanneer ze uit staan. 9to5Mac vond een functie in de beta-code van Google Play genaamd 'Find My Device network' die dat op moet lossen. De onderliggende communicatiemethode heet 'Spot'. In de code vond 9to5Mac een verwijzing naar 'het vinden van andermans apparaten'.
Het lijkt op een soortgelijke functie van Apples Find My-netwerk, waarbij smartphones ook Bluetooth-signalen uitzenden als ze niet aan staan. Alle Apple-apparaten in de buurt maken vervolgens melding van Bluetooth-signalen die ze ontvangen en geven dat door via het netwerk. Op die manier kan je je apparaten toch terugvinden, ook al staan ze uit.
Het is nog niet duidelijk wat voor invloed Spot zal hebben op de bestaande Find My Device-functie van Android. 'Find My Device network' staat in ieder geval als aparte optie in het instellingenscherm, boven de Find My Device-app.
Alles bij de bron; RTL
Cruisemaatschappijen Holland America Line, Carnival Cruise Line en Princess Cruises zijn getroffen door een datalek nadat een aanvaller toegang wist te krijgen tot e-mailaccounts van moedermaatschappij Carnival Corp. Er zijn aanwijzingen dat er misbruik van de gestolen data wordt gemaakt. Dat blijkt uit een datalekmelding die het bedrijf deed bij de procureur-generaal van de Amerikaanse staat Montana (pdf).
Volgens Carnival Cruise heeft een aanvaller op 19 maart toegang tot een aantal e-mailaccounts gekregen. In deze accounts was persoonlijke informatie aanwezig van gasten en medewerkers. Het gaat onder andere om namen, adresgegevens, telefoonnummers, paspoortnummers, geboortedatum, gezondheidsinformatie en nationale identificatienummers. Hoe de aanvaller kon inbreken op de accounts is niet bekendgemaakt.
Alles bij de bron; Security
De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. De Britse waarborgen voor de bescherming van de data zouden voldoende zijn.
De stap betekent dat bedrijven en organisaties persoonsgegevens van de EU naar Groot-Brittannië mogen blijven doorgeven. De goedkeuring opent de weg naar vrije gegevensstromen voor langere tijd, schrijft Netzpolitik. Volgens de site moet het college van Eurocommissarissen nu nog officiële goedkeuring geven, maar dat zou een formaliteit zijn.
Netzpolitik wijst er op dat het EU-Hof vorig jaar een streep haalde door het Privacy Shield-verdrag tussen de EU en de VS. Het EU-Hof wees daarbij op 'beperkingen bij de bescherming van persoonsgegevens die voortkomen uit de Amerikaanse wetgeving over de toegang tot en het gebruik van die data door Amerikaanse autoriteiten', en benadrukte de verregaande surveillanceprogramma's in de VS.
Volgens critici doen de Britse inlichtingendiensten GCHQ en MI6 niet onder voor de Amerikanen, wat onder andere uit de Snowden-onthullingen zou blijken. Ook het Europees Hof van Justitie en het Europees Hof voor de Rechten van de Mens spraken zich uit over massaal verzamelen van communicatie- en locatiegegevens van gebruikers van een telecommunicatiedienst door het GCHQ. Dit is in strijd met grondrechten, zo luidde het oordeel.
Alles bij de bron; Tweakers
De Britse privacytoezichthouder ICO maakt zich ernstig zorgen over misbruik van live gezichtsherkenningssystemen in de openbare ruimte, mede op basis van eigen onderzoek waarbij alle onderzochte organisaties die de technologie gebruikten of wilden inzetten zich niet aan de regels hielden.
"Wanneer gevoelige persoonlijke data op enorme schaal wordt verzameld zonder dat mensen dit weten, een keuze of controle hebben kunnen de gevolgen zeer groot zijn", zegt Elizabeth Denham, de Britse Information Commissioner. "We moeten onze kinderen mee naar buiten kunnen nemen, een winkelcentrum bezoeken of de hoogtepunten van een stad kunnen zien zonder dat onze biometrische data bij elke stap die we nemen wordt verzameld en geanalyseerd."
Denham merkt op dat in tegenstelling tot traditioneel cameratoezicht live gezichtsherkenning en de gebruikte algoritmes mensen meteen kunnen identificeren en profileren. "In de toekomst is er de potentie om beveiligingscamera's van live gezichtsherkenning te voorzien, en zelfs te combineren met socialmediagegevens of andere 'big data' systemen. Live gezichtsherkenning is supercharged cameratoezicht", waarschuwt de informatiecommissaris.
Ze heeft een opinie (pdf) geschreven over het gebruik van live gezichtsherkenning in de openbare ruimte en gaat daar ook in op de spelregels voor het gebruik van gezichtsherkenning.
Alles bij de bron; Security
Het Hof van Justitie van de EU heeft bepaald dat het systematisch registreren van IP-adressen van gebruikers van peer-to-peernetwerken die mediabestanden delen, onder voorwaarden is toegestaan. Het gaat hier om het verzamelen van namen en adressen voor een schadevordering...
...In zijn beoordeling verduidelijkt het Hof dat het uploaden van bestanden via een peer-to-peernetwerk een openbaarmaking oplevert en dus in strijd met het auteursrecht kan zijn. Het Hof zegt dat de gebruiker geen minimaal aantal onderdelen van een bewust mediabestand hoeft te downloaden en dat er al sprake is van beschikbaarstelling aan het publiek als hij toegang verleent tot de beschermde werken, mits hij daarbij volledige kennis heeft over de gevolgen hiervan.
Daarnaast stelt het Hof dat het een bedrijf is toegestaan om een schadevergoeding bij de vermeende inbreukmakers te vorderen, mits er bij een dergelijk verzoek geen sprake is van misbruik. Het Hof onthoudt zich van het geven van voorbeelden om gevallen van misbruik helder te krijgen; het is dus aan de nationale rechters om te bepalen of en zo ja wanneer er sprake is van misbruik.
Tot slot onderstreept het Hof dat het systematisch registreren van IP-adressen niet in strijd is met het EU-recht. Dat geldt ook voor het meedelen van de namen en postadressen van de gebruikers aan een partij om een schadevergoeding in te kunnen stellen. Dergelijke handelingen moeten echter wel 'gerechtvaardigd en evenredig' zijn en mogen geen misbruik maken van de feiten en omstandigheden.
Het Hof merkt daarbij op dat het EU-recht 'geen verplichting inhoudt om persoonsgegevens aan particulieren mee te delen met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht. Het Unierecht staat de lidstaten evenwel toe een dergelijke verplichting op te leggen'.
Alles bij de bron; Tweakers