De EU onderzoekt of de afspraken over persoonsgegevens van Europeanen die in de VS worden opgeslagen wel voldoende bescherming bieden. EU-commissaris Vera Jourova (Justitie) besprak het zogeheten Privacy Shield maandag met de Amerikaanse handelsminister Wilbur Ross. Het Privacy Shield-akkoord werd in juli vorig jaar gesloten en is de opvolger van Safe Harbor, dat EU-burgers volgens Europese rechters onvoldoende beschermde.
Het Europees Parlement, Europese privacywaakhonden en consumentenorganisaties waren eerder dit jaar erg kritisch over Privacy Shield, mede omdat Amerikaanse opsporingsdiensten de gegevens zouden kunnen gebruiken zonder tussenkomst van de rechter. Ook zijn er zorgen over het niet goed functioneren van de Amerikaanse toezichthouder, die juist in het leven is geroepen om te waken voor misbruik van persoonsgegevens.
Het rapport van Jourova wordt in de tweede helft van oktober verwacht.
De Volksbank (SNS, ASN Bank, RegioBank) gaat rekeninginformatie vanaf 2018 streng bewaken. Via een soort noodknop kunnen klanten hun data afschermen en waar nodig gegevens terugvorderen. Op 13 januari 2018 wordt de Payment Service Directive 2 (PSD2) van kracht en dat verandert de betaaldienstverlening voor bankklanten.
De Europese richtlijn verplicht banken om financiële (betaal)gegevens van hun klanten aan andere dienstverleners te verstrekken. Zelfs aan partijen zonder bankvergunning. Het doorgeven van de (betaal)gegevens door de bank zal uitsluitend gebeuren via de strikte veiligheidseisen vanuit de wet.
Nadat (betaal)data is doorgegeven hebben de merken van de Volksbank geen controle meer wat daarmee gebeurt. Toch willen de banken klanten een ontsnappingsroute bieden, al dan niet via een noodklop, waarmee alle gegevens weer worden ‘teruggefloten’. De banken willen zelfs rechtszaken voeren om de privacy van klanten te waarborgen, stelt de Nederlandse Vereniging van Banken (NVB). ‘Als een partij zich misdraagt en de klant daardoor wordt benadeeld, dan zullen banken rechtszaken niet uit de weg gaan’, aldus NVB-directeur Eelco Dubbeling.
Banken zijn vanaf volgend jaar verplicht om je betaalgegevens en je saldo te delen met commerciële partijen, als die daarom vragen. Mits je daar als cliënt toestemming voor geeft. En daar zitten privacy-risico's aan, zegt Maurice Oostendorp, topman van de Volksbank.
'Als we kijken naar de Europese verordening gegevensbescherming, dan vinden wij wel dat klanten bewust gemaakt moeten worden van het feit dat zij met het verstrekken van die gegevens aan een ander bepaalde risico’s kunnen lopen', zegt Oostendorp. De Volksbank, voorheen SNS, zal daar dan ook rekening mee houden in de manier waarop ze met de nieuwe regelgeving zullen omgaan. '... we moeten voorkomen dat er impliciete goedkeuring sprake is', vindt Oostendorp. 'Er komt een soort schakelaar bij je betaalopdracht, die kun je aan- of uitzetten. Staat die schakelaar uit, dan kan het verzoek van een derde om die gegevens te verstrekken niet worden gehonoreerd voordat die klant bij ons die schakelaar naar ‘aan’ heeft omgezet.'
De baas mag toch niet zomaar meelezen met privéberichten die via bedrijfsmiddelen verstuurd worden. Werknemers moeten namelijk op de hoogte worden gesteld van controles, zodat de baas niet kan meekijken met privézaken. Dat oordeelde het Europees Hof voor de Rechten van de Mens vandaag.
De zaak was in 2007 al aangespannen door een Roemeen. Hij werd in 2006 ontslagen omdat hij tijdens werktijd via een zakelijk account van Yahoo Messenger privéberichtjes verstuurde naar zijn broer en verloofde. Volgens de man had zijn baas berichten kunnen lezen over zijn seksleven en gezondheid en was zijn privacy hierdoor geschonden. Toen hij bij de rechter in eigen land geen gelijk kreeg, stapte hij naar het Europees Hof voor de Rechten van de Mens (EHRM).
De Kamer van het EHRM oordeelde in januari dat bazen wel degelijk privéberichten mogen lezen, als deze tijdens kantooruren via een professioneel account worden verstuurd. Het zou 'niet onredelijk zijn voor een werkgever dat hij wil verifiëren wat zijn werknemers tijdens werktijd doen'. Maar de Grote Kamer denkt daar dus anders over.
Zes van de elf rechters van deze hogere instantie van het EHRM vinden dat de werkgever van de Roemeen hem op de hoogte had moeten stellen van de controles. Ontslag was daarnaast wel een erg zware maatregel. Meelezen zou mogelijk wel mogen als de werkgever hier een goede reden voor heeft, zoals verdenking van fraude, het onthullen van bedrijfsgeheimen aan concurrenten of de media of het in diskrediet brengen van de werkgever. Maar omdat daar in dit geval de zaak niet om draaide, zijn die argumenten theoretisch en doet het Hof daar ook geen uitspraak over.
Een voormalige Amerikaanse politieagent zit al 2 jaar vast omdat hij zijn twee versleutelde harde schijven niet wil ontsleutelen. De man is niet wegens een misdrijf aangeklaagd, maar zit sinds 30 september 2015 vast wegens minachting van de rechtbank. In theorie kan hij net zolang gevangen blijven totdat hij zijn via Apple's FileVault versleutelde harde schijven ontsleutelt...
...Bij het hooggerechtshof is nu bezwaar aangetekend. Daarnaast heeft de advocaat van de man de rechter gevraagd hem vrij te laten, aangezien op het niet voldoen aan een bevel om te getuigen of het niet verstrekken van informatie in een gerechtelijke procedure een maximale gevangenisstraf van 18 maanden staat. De ex-politieagent zit echter al 23 maanden vast. Het Amerikaanse Openbaar Ministerie reageerde op het verzoek van de advocaat door te stellen dat de man gevangen moet blijven totdat hij zijn schijven ontsleutelt.
Hij wordt volgens de aanklager niet vastgehouden op basis van het niet voldoen aan een bevel om te getuigen of het verstrekken van informatie, maar op basis van de All Writs-wetgeving uit 1789. Dezelfde wetgeving die eerder ook tegen Apple werd ingezet.
Het Indiaas hooggerechtshof heeft bepaald dat het recht op privacy een fundamenteel recht is, omdat het een intrinsiek onderdeel van het recht op leven en vrijheid is. Eerder hadden Indiase rechters nog gesteld dat privacy geen fundamenteel recht is.
De uitspraak volgt op een reeks petities tegen het identiteitskaartprogramma van de Indiase overheid genaamd Aadhaar. Via dit programma worden biometrische kenmerken van burgers verzameld en opgeslagen, waaronder scans van hun vingerafdruk en iris. Elke burger krijgt daarnaast een twaalfcijferige code toegekend. Inmiddels zijn van 1 miljard Indiërs de biometrische gegevens opgeslagen.
In 2010 werd het systeem gelanceerd als een initiatief waaraan men op vrijwillige basis kon meedoen. In maart van dit jaar maakte de premier Narendra Modi de registratie in de biometrische databank verplicht om beroep te kunnen doen op allerlei overheidsdiensten. Wie een examen wil afleggen, een belastingsaangifte invullen, een rijbewijs halen, een pensioen wil krijgen of een mobiel telefoonnummer aanvragen, heeft voortaan een Aadhaar-nummer nodig. Hierdoor kan tegenwoordig niemand nog om de registratie heen.
Volgens tegenstanders schendt het verplicht gebruik van Aadhaar het recht op privacy en worden er zoveel gegevens opgeslagen dat het mogelijk is om het privéleven van burgers uitgebreid te volgen. Daarbij verschuift de focus van de regering steeds meer van dienstverlening naar toezicht en controle. Bedrijven beginnen ook steeds meer aan te dringen om toegang te krijgen tot de Aadhaar-gegevens van haar klanten.
De uitspraak kan dan ook grote gevolgen voor het identiteitskaartprogramma hebben, aangezien de Indiase overheid moet aantonen dat het dwingen van burgers om hun biometrische gegevens af te staan en de identiteitskaart te gebruiken niet in strijd met hun privacy is.
We willen absoluut niet dat bedrijven in onze bankafschriften gaan neuzen om er geld aan te verdienen. Dat werd wel duidelijk toen ING in 2014 een proef aankondigde waarbij de bank betalingsgedrag van klanten wilde gebruiken voor gerichte advertenties. Toch gaat dit binnenkort misschien alsnog gebeuren. Hoe zit dat?...
...Een nieuwe Europese wet, ‘PSD2’ genaamd, verplicht banken namelijk vanaf begin 2018 hun gegevens gratis te delen met zogenaamde Fintech-bedrijven — zij het met instemming van de rekeninghouder. Met de wet wil de EU de financiële innovatie in Europa een duw in de rug geven. En zo wordt het ‘plan-Hagenaars’ — het gebruiken van bankafschriften om commerciële partijen te laten adverteren — via een omweg alsnog werkelijkheid...
...het was helder dat het de ING in 2014 daar niet om te doen was: de andere commerciële partij zou de bank namelijk betalen om de gerichte advertenties naar rekeninghouders te mogen versturen. Op die manier zou de bank dus doodleuk meer kunnen verdienen aan haar bestaande rekeninghouders.
Het enige probleem voor ING: financiële privacy bleek in Nederland uitermate gevoelig te liggen. Van klanten en politici tot toezichthouders en belangenorganisaties, iedereen viel over de bank heen. Niet omdat ING iets wilde doen dat verboden was — de bank wilde haar klanten netjes om de wettelijk vereiste toestemming vragen — maar omdat men het simpelweg niet zag zitten dat een bank geld verdiende aan persoonlijke financiële data van haar klanten. Dit bleek ook uit een opinieonderzoek van Radar: bijna een derde van de geïnterviewde ING-klanten gaf aan te overwegen naar een andere bank over te stappen als de bank het plan zou uitvoeren. En dus verdween het onderwerp in de ijskast. Maar met de PSD2-wet is het plan terug van weggeweest.
Net als met het mislukte plan van ING is er wel de voorwaarde dat de rekeninghouder moet instemmen met het delen van haar of zijn data. Om actief te mogen zijn in de EU moeten de bedrijven daarnaast een vergunning aanvragen bij De Nederlandsche Bank (DNB) of de centrale bank van een andere EU-lidstaat.
Vergeet geld: data is de nieuwe valuta. Wie het controleert, is de baas — of je nu een bedrijf, overheid, hacker, burger of journalist bent. Daarom zijn de belangen rondom data enorm. Follow the Money onderzoekt wat deze belangen zijn en welke gevolgen ze voor ons kunnen hebben.
Alles bij de bron; FollowTheMoney [registratie noodzakelijk]
Vorige week bleek dat het Amerikaanse ministerie van Justitie de hoster van de anti-Trump-website disruptj20 had gevraagd om gegevens te overhandigen van 1,3 miljoen bezoekers van de site. Dreamhost weigerde het verzoek omdat het te breed was. Niet alleen zou de overheid hebben gevraagd om ip-adressen, maar ook om contactinformatie, e-mailadressen en foto's van duizenden mensen om vast te stellen wie de site heeft bezocht. Dreamhost vond dat bezoekers aan de hand van deze informatie geïdentificeerd konden worden, waardoor hun grondrechten in gevaar zouden komen.
Hoster Dreamhost vroeg het departement om het oorspronkelijke doorzoekingsbevel aan te passen en gerichter te maken. Het departement heeft dat inmiddels gedaan; de ip-adressen worden niet langer gevraagd. Ook hoeft de hostingprovider niet langer ongepubliceerde concepten, afbeeldingen en metadata te overhandigen. Alleen de inhoud van de website en de activiteiten daarop worden nu gevraagd, tussen de periode van 1 juli 2016 en 20 januari 2017.
De overheid heeft in een officieel document aangegeven dat het ministerie van Justitie niet op de hoogte was van de grote hoeveelheid data die de hoster Dreamhost in zijn bezit had en dat het verzoek om de informatie daardoor veel te breed uitpakte.
