Binnenkort gebruiken burgers in de gehele Europese Unie de zogeheten Iban-Naam Check om te controleren of een online-overschrijving naar het juiste bankrekeningnummer plaatsvindt. De tool, ontwikkeld door het Utrechtse bedrijf Surepay, wordt Europawijd uitgerold nu de EU-lidstaten en het Europees Parlement daarover een akkoord sloten.
Hoewel alle grote Nederlandse banken de controle op bankrekeningnummer en tenaamstelling al sinds 2017 inzetten, verkeert de check in veel andere lidstaten nog in de beginfase. Betere controle is noodzakelijk. Foutieve invoer van de lange iban-reeks van letters en cijfers ertoe kan leiden dat je geld overmaakt naar een onbekende. Daarnaast kunnen criminelen zich voordoen als een bekende, terwijl ze een frauduleus iban-nummer gebruiken.
Tot voor kort kon je daarmee alleen Nederlandse, Franse en Italiaanse rekeningnummers controleren, maar dat is inmiddels uitgebreid. Het bedrijf biedt zijn diensten ook aan aan andere grote organisaties. Naast de iban-controle heeft Surepay een controletool voor btw-nummers, kvk-nummers en de leeftijd van bankrekeningnummers
Alles bij de bron; Computable
Wetenschappers en andere experten trekken aan de alarmbel over de eIDAS regelgeving waar Europa momenteel de laatste hand aan legt. Last minute aanpassingen bevatten enorme risico’s om burgers af te luisteren en je digitale identiteit volledig in kaart te brengen.
eIDAS (electronic IDentification Authentication and trust Services) is een Europese verordening rond elektronische identificatie. Eenvoudig samengevat is het een wettelijk kader om een digitale identiteit doorheen de EU op te zetten. Daar wordt nu een wettekst rond klaargestoomd zodat bijvoorbeeld een Belg ook in Spanje met zijn nationale digitale identiteitskaart (of een online identificatie zoals Itsme) kan gebruik maken van online overheidsdiensten ter plaatse.
In een open brief waarschuwen 335 wetenschappers uit 32 landen en enkele NGO’s, waaronder de Electronic Frontier Foundations (EFF) dat de wettekst zaken bevat die onze privacy en online veiligheid op de helling kunnen zetten.
Concreet waarschuwt de brief voor de inhoud van artikel 45. Die geeft overheden de mogelijkheid om zelf certificaten (cryptografische sleutels) uit te reiken, die ook alleen maar met toestemming van die overheid kunnen worden ingetrokken.
Dat oogt als een praktische omschrijving, maar de wetenschappers in de brief waarschuwen dat dat zeer foute gevolgen kan hebben. ‘Normaal gaat aan het mogen aanmaken van zo’n sleutels een complex controleproces vooraf. Maar door overheden het de facto zelf te laten doen, omzeilen ze die controle,’ zegt professor Bart Preneel (KU Leuven) aan Data News.
Hij wijst er op dat in het verleden Frankrijk al betrapt werd op de uitgave van valse certificaten: ‘Als dat in deze omstandigheid opnieuw zou gebeuren, dan kan een browser als Firefox die sleutels ook niet intrekken,’ waarschuwt hij. Enkel de betrokken overheid kan dat doen volgens de wettekst.
Dat overheden zelf certificaten uitgeven zet de deur open voor misbruik en controle op internetverkeer. Preneel wijst als voorbeeld naar Diginotar, een Nederlandse certificaatverstrekker die in 2011 werd gehackt. Daardoor kon Iran valse certificaten uitreiken waardoor het land burgers kon bespioneren die bijvoorbeeld hun Google-account raadpleegden. De overheid kon als ‘man in the middle’ het verkeer afluisteren terwijl de gebruiker een certificaat zag die deed uitschijnen dat het verkeer versleuteld was.
Een ander heikel punt in de wettekst is dat ze ook toelaat dat overheden, maar ook commerciële dienstverleners, de activiteiten uit een digitale portefeuille van een burger gaan linken en zo een sterk digitaal profiel van je kunnen opbouwen. De open brief zegt dat de wettekst weliswaar toelaat dat privacybeschermende technologie wordt gebruikt om dat te voorkomen, maar het is niet verplicht.
De wetenschappers merken op dat die vaagheid in de tekst een privacyrisico kan vormen wanneer ze door de lidstaten wordt geïmplementeerd. Ze vrezen dat technologiebedrijven zich zouden kunnen vestigen in het land dat de zwakste regels hanteert om online activiteiten gescheiden te houden.
Vervolgens kan een technologiebedrijf van daaruit zonder veel beperking de online activiteiten van alle EU-burgers aan elkaar linken, gekoppeld aan een Europese identiteit. Daarom pleit de open brief om ook de privacybescherming te harmoniseren voor alle lidstaten.
‘Zonder deze nodige amendementen riskeert de eIDAS regulering een geschenk te worden voor Google en andere big tech spelers. Een Europese oplossing voor de centrale vraag om met gevoelige identiteitsinformatie om te gaan, moet burgers beschermen tegen surveillance kapitalisme door sterke technische mechanismen en moet weerbaar zijn tegen pogingen om het systeem te misbruiken door aan jurisdictie-shopping te doen’, aldus de wetenschappers in de brief.
‘Het is voorzien dat als de industrie die wallet gebruikt, je mag werken met pseudoniemen,’ vertelt Preneel. ‘Je kan dan bijvoorbeeld nog steeds bewijzen dat je een Belgische burger bent bij een bank, Europese instelling of een ander bedrijf waar je je identificeert, maar zonder veel kans dat die zaken aan elkaar worden gekoppeld. Maar op het laatste moment is dat luik optioneel gemaakt. Als één lidstaat dan bijvoorbeeld geen pseudoniemen toelaat, dan gaan alle techspelers zich daar vestigen en veel vlotter gebruikers kunnen identificeren. Dit past in de context van de bestrijding van internetmisdaad, maar alle burgers identificeerbaar maken vinden we een stap te ver.’
Last minute wijzigingen
Preneel hekelt dat de tekst lange tijd publiek was, maar in de bijna-finale versie blijkt dat er achter gesloten deuren details worden aangepast die de inhoud stevig wijzigt.
‘We kregen plots een versie, die naar ons is gelekt, onder ogen die met een paar kleine aanpassingen plots de deur opent voor massasurveillance,’ zegt Preneel. Die tekst gaat op 8 november naar de triloog, een overleg tussen de Europese Commissie, het Europees Parlement en de Raad van Ministers. Daarna volgt een goedkeuring in het Europees Parlement op basis van de laatste versie van de tekst.
Alles bij de bron; DutchIT
De European Data Protection Board, een samenwerkingsverband van verschillende Europese privacytoezichthouders, hebben na een spoedprocedure besloten dat Meta onrechtmatig persoonsgegevens van gebruikers verwerkt. Meta doet dat terwijl hier geen juridische basis voor is, zo schrijft de Autoriteit Persoonsgegevens.
Het samenwerkingsverband suggereert dat Meta op basis van posts, woonplaats, leeftijd en interactie met berichten een gebruikersprofiel aanmaakt dat interessant is voor adverteerders, waarmee het bedrijf geld verdient. Meta zou daarentegen niet kunnen rechtvaardigen dat er op deze manier gebruikersgegevens verwerkt moeten worden. "Meta houdt bij wat je op Facebook en Instagram zet, aanklikt of leuk vindt en gebruikt die informatie voor het aanbieden van persoonsgerichte advertenties", aldus de EPDB. "Het onterecht verwerken van de persoonlijke informatie van miljoenen mensen op Facebook is een verdienmodel voor Meta. Door hier een eind aan te maken, is de privacy van mensen beter beschermd."
Het spoedproces dat aan het verbod op gepersonaliseerde advertenties voorafging, werd in werking gezet door Noorwegen. Eerder besloot de Noorse privacytoezichthouder Datatilsynet al om Meta vanaf begin augustus drie maanden lang 88.000 euro boete per dag te geven voor het overtreden van de AVG.
Het samenwerkingsverband draagt de privacytoezichthouder van Ierland, het land waar Meta in Europa is gevestigd, op om binnen twee weken maatregelen tegen het socialemediabedrijf te nemen. De Ierse Data Protection Commission zou tot dusver niet 'voortvarend genoeg' hebben opgetreden tegen Meta.
Alles bijde bron; Tweakers
Na eerdere kritiek van privacy-experts verzet nu ook het Europees Parlement zich tegen een omstreden anti-kinderpornowet.
Het presenteerde donderdag een alternatief, dat online kindermisbruik moet aanpakken zonder daarbij Europeanen op hun telefoons en computers te hoeven surveilleren.
‘Het internet is nu onveilig voor kinderen. Het is alsof we ze zonder begeleiding achterlaten in het centrum van een drukke stad’, zegt Europarlementariër Paul Tang (PvdA).
Daarom presenteerde het Europees Parlement vandaag een tegenvoorstel dat kinderen moet beschermen zonder massaal de end-to-end-versleuteling van chatverkeer te omzeilen.
In het tegenvoorstel van het Europees Parlement moeten social media-accounts van kinderen op bijvoorbeeld Instagram en YouTube Kids standaard op ‘privé’ staan. Hierdoor kunnen onbekenden niet zomaar kinderen benaderen of screenshots van hun profiel maken.
Ook verplicht het online platforms en techbedrijven om preventieve maatregelen te treffen om online kindermisbruik te voorkomen. Het gaat daarbij onder meer om een online verplichting voor techbedrijven om de leeftijd van gebruikers te verifiëren, bijvoorbeeld met hun DigiD.
Ten slotte wil het Parlement online platforms verplichten een knop op hun platform te zetten, die identiek is op alle apps, waarmee kinderen onveilige situaties kunnen melden aan een Europese waakhond.
Alleen wanneer opsporingsdiensten kunnen bewijzen dat mensen in een chatgroep zich schuldig maken aan kindermisbruik, mag een rechter een scan aanvragen die berichten en gebruikersgegevens van de groepsdeelnemers verzamelt. Dit mag uitsluitend op niet-versleutelde diensten zoals Telegram, dus niet op WhatsApp of Signal.
Tech-expert Bert Hubert vindt het een goede zaak dat het Parlement afziet van surveillance-software. Maar het tegenvoorstel heeft weer eigen valkuilen: ‘Leeftijdsverificatie staat altijd op gespannen voet met de online anonimiteit, bijvoorbeeld als je er je DigiD voor moet aanleveren.’
Alles bij de bron; Volkskrant
Een rechter zet een streep door een Britse privacyboete die ClearView AI eerder opgelegd kreeg. Het oordeelt dat de Britse Information Commissioner's Office (ICO) geen bevoegdheid heeft om Clearview AI deze boete op te leggen.
Het Britse tribunaal dat zich over het hoger beroep heeft gebogen erkent dat de kans dat de ook foto's van Britse burgers in de database van ClearView zijn opgenomen aannemelijk is gezien de omvang van het land en het uitgebreide gebruik van zowel internet als social media in het Verenigd Koninkrijk (VK).
Tegelijkertijd oordeelt het echter dat de dataverwerking van ClearView buiten het 'territoriale bereik' van de regelgeving valt, en de ICO hierdoor geen bevoegdheid heeft om zich over de zaak te buigen.
Alles bij de bron; DutchIT
Na twee jaar van onderzoek is de Europese Centrale Bank (ECB) de volgende fase gestart van de digitale euro. Deze fase zal nog eveneens twee jaar in beslag nemen.
Europese data toezichthouders maken zich echter zorgen en willen duidelijkere privacyregels. De European Data Protection Board en de European Data Protection Supervisor hebben in een gezamenlijk statement gereageerd op de plannen van de ECB.
Zo zouden de twee data toezichthouders graag verbeterde mechanismen zien die de persoonlijke data van gebruikers beschermen.
Een ander onderdeel is dat alle transacties onderworpen worden aan anti-witwas en anti-terrorisme regels. De twee Europese data toezichthouders prefereren “minder extreme maatregelen”. Ze geven de voorkeur aan een zogenaamde ‘privacy drempel’ voor online transacties. Transacties met een waarde onder deze drempel moeten niet worden onderworpen aan deze anti-witwas en anti-terrorisme maatregelen, vinden de data toezichthouders.
Critici van een digitale euro maken zich het meeste zorgen over privacy implicaties. Een Europese CBDC zou namelijk alle financiële vrijheid wegnemen bij gebruikers. Dit zijn dus terechte zorgen als het aan de twee Europese data toezichthouders ligt. Het is nu aan de ECB om de adviezen van de data toezichthouders te beoordelen en zo nodig te implementeren.
Begin september zei Fabio Panetta, bestuurslid van de ECB, nog dat de digitale euro een hoge mate van anonimiteit zou hebben. Aan het eind van de maand werd hier echter op teruggekomen. Ook de meest recente plannen van de ECB tonen aan dat de digitale euro nog een hoop privacy implicaties heeft.
Alles bij de bron; Crypto-Insider
De Europese Centrale Bank (ECB) heeft vandaag besloten door te gaan met de voorbereiding van de digitale euro en een app voor de digitale munt te testen.
Tijdens de volgende fase wordt het fundament voor een 'potentiële digitale euro' gelegd en providers gekozen die het platform en de onderliggende infrastructuur zullen ontwikkelen. Deze voorbereidingsfase die op 1 november begint en twee jaar duurt, zal uiteindelijk de weg banen voor een potentieel toekomstige beslissing over de uitgifte van een digitale euro, zo claimt de ECB.
De ECB claimt dat de digitale euro databescherming een prioriteit maakt. "Het Eurosysteem kan de persoonlijke data van gebruikers niet zien of betaalinformatie aan individuen koppelen. De digitale euro zal ook een cash-achtig privacyniveau voor offline betalingen bieden."
De Nederlandsche Bank (DNB) laat weten dat het samen met de ECB en andere centrale banken nu een app voor een digitale euro gaat testen.....Ondanks deze woorden stelt DNB dat het nog onzeker is of er een digitale euro komt. "Daarover beslist de politiek".
Alles bij de bron; Security
Een klant van ING heeft door middel van een systeemfout toegang tot de rekening van een andere klant gekregen. De klant logde door middel van Face ID in op de ING-app, maar kreeg daarbij niet zijn eigen rekeninggegevens te zien, maar die van een andere klant. De klant maakte screenshots en informeerde de bank. ING bevestigt het voorval en stelt dat het door een ‘fout in het systeem’ is veroorzaakt....
....ING liet in eerste instantie weten dat het om een uniek geval ging waarbij een klant de rekening van een andere klant kon zien en geld overmaken. Dat blijkt niet zo te zijn en de bank laat nu tegenover de NOS weten dat vijf klanten slachtoffer van dezelfde systeemfout werden.
"Het kwam door een verandering die we hebben doorgevoerd in het systeem en we nu hebben teruggedraaid," aldus een woordvoerder van ING. "We voeren continu veranderingen door, allemaal technische zaken aan de achterkant van het systeem, waar de klanten helemaal niets van zien." Details zijn niet door de bank gegeven. Ook doet de bank geen uitspraken of er misbruik van de fout is gemaakt.
Alles bij de bron; Security
De BBB heeft demissionair minister Kaag van Financien om opheldering gevraagd of het klopt dat voor de offline mogelijkheden van de digitale euro alsnog gebruik wordt gemaakt van anonieme metadata.
Volgende week maandag vindt er een vergadering van de Eurogroep plaats waarbij ook de digitale euro wordt besproken. In aanloop naar de vergadering heeft minister Kaag de agenda gepubliceerd, waar verschillende Kamerfracties nu vragen over hebben gesteld.
"Klopt het dat er voor de offline mogelijkheden van de digitale euro alsnog gebruikt wordt gemaakt van anonieme metadata? Is het kabinet van mening dat metadata daadwerkelijk anoniem zijn en nooit getraceerd kunnen worden naar een individu?", zo wil de BBB weten.
Vorige week meldde Kaag dat de Europese Centrale Bank (ECB) naar verwachting later deze maand besluit over de volgende fase van de digitale euro, waarbij er onder andere wordt gekeken naar het 'technisch werk' dat moet worden verricht. Het genoemde besluit gaat nog niet over de vraag of de ECB daadwerkelijk overgaat tot uitgifte van een digitale euro. Pas als er een politiek akkoord is bereikt tussen de lidstaten en met het Europees Parlement over de voorstellen en de verordeningen van kracht worden, kan de ECB de digitale euro uitgeven.
Alles bij de bron; Security
Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren leidt tot een disproportionele beperking van verschillende grondrechten en kan voor false positives zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.
Morgen vindt in de Tweede Kamer een rondetafelgesprek plaats waarbij experts Kamerleden over client-side scanning en de gevolgen hiervan zullen informeren. Van Hoepman, Hubert en Borgesius is het position paper openbaar, waarin ze hun standpunt kenbaar maken.
Alle drie de experts wijzen op de gevaarlijke gevolgen die client-side scanning kan hebben. "Misschien helpt een vergelijking met bestaande technologie duidelijk te maken dat het voorstel van de commissie een gevaarlijk precedent schept", stelt Hoepman.
De experts waarschuwen ook voor de vergaande gevolgen die een onterechte melding kan hebben. Brussel wil door een algoritme zowel onbekende als bekende misbruikafbeeldingen detecteren. "In de praktijk komt het nu al voor dat communicatiediensten zoals Microsoft en Google ten onrechte de account van een gebruiker afsluiten, omdat hun AI-systemen onschuldige beelden aanzien voor CSAM-materiaal", merkt Borgesius op.
Volgens Hubert zijn onterechte meldingen niet zonder gevolgen. "Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was."
De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. "Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren."
Borgesius noemt in zijn position paper ook de aantasting van grondrechten van burgers. "Als het voorstel wordt aangenomen, zou voor het eerst in Europa de communicatie van honderden miljoenen onschuldige mensen worden gemonitord en geanalyseerd voor de overheid", waarschuwt de hoogleraar. Hij verwacht ook dat het voorstel voor zo veel ‘false positives’ zal zorgen, dat de autoriteiten overspoeld worden en de meldingen niet kunnen onderzoeken. "De verordening zal daarom waarschijnlijk niet effectief zijn."
Alles bij de bron; Security