Veel EU-lidstaten willen dat chatberichten van burgers verplicht worden gecontroleerd, zo heeft demissionair minister Van Weel van Justitie en Veiligheid laten weten. De bewindsman reageerde op vragen van de vaste commissie voor Justitie en Veiligheid over de aankomende JBZ-Raad van morgen en overmorgen.
Eén van de vragen ging over een Europese CSAM-Verordening die volgens voorstanders kindermisbruik zou moeten tegengaan. Brussel wil een wet invoeren waardoor chatdiensten verplicht worden om alle berichten van hun gebruikers te controleren. Europese wetgeving vindt plaats via een trialoog, waarbij de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen.
Het Europees Parlement zag het voorstel van de Europese Commissie voor chatcontrole niet zitten en kwam met een eigen voorstel, waar nog steeds kritiek op is, maar wat end-to-end versleutelde diensten uitzondert. Binnen de EU-lidstaten is nog altijd geen positie ingenomen.
Vorige EU-voorzitters België en Hongarije kwamen met voorstellen voor de invoering van chatcontrole, maar die konden niet op een voldoende meerderheid rekenen. De huidige EU-voorzitter Polen kwam met een nieuw voorstel, waarbij chatcontrole vrijwillig is.
Volgens de minister vinden een aantal lidstaten dat een voorstel zonder verplichte chatcontrole onvoldoende mogelijkheden biedt voor het effectief bestrijden van kindermisbruik.
Eind vorig jaar liet het kabinet weten dat Nederland geen Europese voorstellen zal steunen die client-side scanning invoeren en verplichte detectie in de privécommunicatie van alle burgers inhouden. Dat standpunt is volgens de minister ongewijzigd.
Alles bij de bron; Security
Het werd met stille trom aangekondigd, maar volgende maand komt de Europese Commissie met een oplossing voor het online leeftijdsverificatieprobleem. Met een app geef je straks (veilig) aan of je achttien jaar of ouder bent. Tenminste, als sites en diensten de app gaan gebruiken....
...Dezelfde Commissie komt volgende maand met een app waarmee mensen bij websites kunnen aangeven dat ze oud genoeg zijn, zonder verdere informatie mee te sturen. Dat doen ze door de app aan een betrouwbare instantie te koppelen, zoals een bank of overheidsdienst. Het leeftijdsbewijs wordt vervolgens versleuteld in de app opgeslagen, zodat niemand erbij kan.
Als de gebruiker dan op een website komt die vraagt om een leeftijdscheck, geeft de app alleen op dat moment even door of de persoon oud genoeg is. "Het is als een muntje dat speciaal voor een sigarettenautomaat is gemaakt", zegt cybersecurityexpert Harm Teunis van ESET Nederland. "Daarmee toon je aan dat je oud genoeg bent, verder niks."
Wat de app dus eigenlijk doet, is al dan niet bevestigen dat iemand oud genoeg is, zonder überhaupt een geboortedatum mee te sturen. De controle vindt plaats in de beveiligde app, niet op de website.
Het moet volgens privacyonderzoeker Jaap-Henk Hoepman niet mogelijk zijn dat de uitgever van een leeftijdsbewijs, zoals de overheid of bank, weet waar en wanneer de gebruiker inlogt. Daar sluit Robbert Hoving van Offlimits, het expertisecentrum dat zich inzet tegen online kindermisbruik, zich bij aan. "Het is belangrijk dat we geen achterdeurtjes openzetten waardoor overheden en diensten toch bij privégegevens kunnen komen."
De app geldt als voorloper van een Europese digitale identiteit die volgend jaar door de EU-lidstaten uitgegeven moet worden. Daarmee kunnen burgers hun identiteitsbewijzen op een veilige manier op hun telefoon bewaren. Als instanties dan bepaalde informatie nodig hebben, kan die app ervoor zorgen dat alleen de benodigde informatie wordt gedeeld.
Omdat veel landen achterlopen met de ontwikkeling van deze 'wallets', komt de Commissie nu vast met een tijdelijke oplossing.
Alles bij de bron; NU
Beveiligingsexperts, bedrijven en maatschappelijke organisaties hebben in een open brief hun zorgen geuit over de gevolgen van de nieuwe Europese interne veiligheidsstrategie voor encryptie.
Afgelopen april presenteerde Brussel de nieuwe Europese interne veiligheidsstrategie, met de naam ProtectEU. Als onderdeel van de strategie wordt gesproken over een "Roadmap voor rechtmatige en effectieve toegang tot data voor opsporingsdiensten". Daarnaast staat ook een Technologie Roadmap voor encryptie op de agenda, alsmede een "impact assessment" om de Europese bewaarplichtregels te herzien.
Via de roadmap wil de Europese Commissie technologische oplossingen vinden en beoordelen waardoor opsporingsdiensten toegang tot versleutelde data kunnen krijgen.
Volgens de experts probeert de Europese Commissie met de roadmap encryptie te ondermijnen of omzeilen en vragen de Europese Commissie in de open brief om drie zaken. Ten eerste moet sterke encryptie niet als een obstakel voor Europese veiligheid worden genoemd, maar juist als een voorwaarde. Verder moet de roadmap juist het belang van encryptie benadrukken en als laatste moeten er meer partijen, experts, bedrijven en maatschappelijke organisaties bij de roadmap worden betrokken.
Alles bij de bron; Security
Elf jaar geleden werd de richtlijn dataretentie, waardoor de telecomgegevens van burgers voor maanden of jaren mochten worden opgeslagen, door het Europese Hof van Justitie ongeldig verklaard. Nu wil Brussel onderzoeken of een Europabrede bewaarplicht weer kan worden ingevoerd.
Als onderdeel van de nu gestarte impact assessment wordt gevraagd naar feedback van het algemene publiek, ambtenaren die werkzaam zijn voor justitie, binnenlandse zaken en digitaal beleid, de politie, cybersecurity-experts, privacytoezichthouders, advocaten, academici, onderzoekers, denktanks en maatschappelijke organisaties. Inmiddels zijn er zo'n 2500 reacties binnengekomen die het plan in felle bewoordingen verwerpen.
De meeste mensen die reageerden maken zich zorgen over surveillance, proportionaliteit, transparantie en fundamentele rechten. "Dit is een gevaarlijk pad dat ieders privacy ernstig zal schaden", laat een reactie weten. "We ondermijnen onze eigen fundamentele rechten", meldt een ander.
Anderen stellen dat er geen bewijs is dat een bewaarplicht misdrijven voorkomt of tot aanzienlijk betere onderzoeken leidt. "Dit initiatief is zorgwekkend en gevaarlijk, schadelijk voor privacy en kan ons heel erg dicht bij massasurveillance brengen", waarschuwt een andere bezorgde EU-burger.
Reageren op het plan van de Europese Commissie kan tot 18 juni.
Alles bij de bron; Security
Een coalitie van ongeveer 40 organisaties en meer dan 40 individuele experts, heeft vandaag een gezamenlijke open brief gepubliceerd waarin de Europese Unie dringend wordt verzocht encryptie niet te ondermijnen met het nieuwe ProtectEU-ontwerp.
Een coalitie van ongeveer 40 organisaties en meer dan 40 individuele experts, waaronder Matthias Pfau, de oprichter van Tuta, heeft vandaag een gezamenlijke open brief gepubliceerd waarin de Europese Unie dringend wordt verzocht encryptie niet te ondermijnen met het nieuwe ProtectEU-ontwerp.
De open brief benadrukt de volgende cruciale punten:
Bedreiging voor fundamentele rechten en veiligheid: Het EU-plan om een Technology Roadmap over encryptie te ontwikkelen, omvat het idee om wetshandhavingsinstanties toegang te geven tot versleutelde gegevens.
Technisch onmogelijk: Cryptografie-experts benadrukken dat het onmogelijk is om dergelijke toegang te bieden zonder de encryptie te verzwakken; elke "uitzonderlijke toegang" introduceert kwetsbaarheden die kunnen worden misbruikt door kwaadwillende actoren en autoritaire regimes.
Gebrekkige oplossingen: Voorstellen zoals client-side scanning zijn niet privacyvriendelijk; ze maken massasurveillance mogelijk en vergroten het risico op datalekken.
Encryptie moet end-to-end zijn: Sterke encryptie is cruciaal voor de bescherming van mensenrechten en een veilige digitale infrastructuur in heel Europa.
De volledige tekst van de open brief en de lijst met alle ondertekenende organisaties en individuen is beschikbaar op de website van Tuta en andere deelnemende organisaties.
Alles bij de bron; DutchITChannel
Een groep van meer dan tachtig privacyexperts en burgerrechtenbewegingen heeft een open brief gepubliceerd waarin ze zich uitspreken tegen het 'ProtectEU' plan, volgens de critici eigenlijk het omstreden chatcontrole-plan in een nieuw jasje.
Vorige maand kwam Brussel met een nieuwe Europese interne veiligheidsstrategie, genaamd ProtectEU. Als onderdeel van de strategie wordt gesproken over een "Roadmap voor rechtmatige en effectieve toegang tot data voor opsporingsdiensten". De roadmap zou dit jaar nog moeten verschijnen. "We werken nu aan een roadmap en zullen natuurlijk ook kijken wat technisch haalbaar is, maar op politiek niveau is het probleem dat onze opsporingsdiensten terrein aan criminelen verliezen omdat onze rechercheurs geen toegang tot data hebben", aldus de Finse Eurocommissaris Henna Virkkunen voor Digitale soevereiniteit, veiligheid en democratie na de presentatie.
Privacyexperts en burgerrechtenbewegingen maken zich grote zorgen. "We zijn bezorgd dat het geplande framework voor toegang tot data door opsporingsdiensten het uitoefenen van fundamentele rechten en onze gezamenlijke cybersecurity kan ondermijnen", aldus de brief.
De experts herhalen nogmaals dat er wetenschappelijke consensus is dat het technisch onmogelijk is om opsporingsdiensten toegang tot end-to-end versleutelde communicatie te geven, zonder dat dit kwetsbaarheden introduceert waar kwaadwillenden en repressieve regimes misbruik van kunnen maken.
De brief is onder andere ondertekend door Big Brother Watch, Bits of Freedom, Chaos Computer Club, Electronic Frontier Foundation, European Digital Rights (EDRi), Privacy First, Privacy International, The Centre for Democracy & Technology Europe en meerdere hoogleraren, waaronder Bart Preneel, Jaap-Henk Hoepman en Tanja Lange.
Alles bij de bron; Security
De Europese Commissie ondermijnt fundamentele rechten als het online leeftijdsverificatie invoert waardoor mogelijk miljoenen mensen geen toegang tot online diensten krijgen, zo stelt de Amerikaanse burgerrechtenbeweging EFF op basis van gepubliceerde plannen.
Brussel presenteerde eerder het plan voor een 'Age Verification Mini-ID Wallet' waarmee gebruikers kunnen aantonen of ze volwassen zijn of niet. Dit wordt voorgesteld als een kortetermijnoplossing.
"Veel van de mechanismes die worden voorgesteld om de privacy van gebruikers te beschermen zijn geen noodzakelijke vereisten, maar optioneel", aldus de EFF. De burgerrechtenbeweging is niet alleen kritisch over de technische specificaties, maar ziet ook problemen op het gebied van toegankelijkheid.
Zo zal het lastig zijn voor mensen zonder identiteitskaart, paspoort of geboortecertificaat om een elektronische identiteit aan te maken. Het gaat dan onder andere om kinderen en tieners, aldus de burgerrechtenbeweging. In de meeste EU-lidstaten is het pas vanaf 18 jaar mogelijk om een identiteitsbewijs zonder ouderlijke toestemming aan te vragen. Wanneer ouders niet willen dat hun kind een identiteitsbewijs krijgt, kan het kind niet zijn leeftijd online laten verifiëren en zo geen toegang tot online diensten krijgen.
"Daarom moeten we ons tegen leeftijdsverificatieverplichtingen verzetten. Niet omdat de veiligheid van kinderen niet belangrijk is, dat is het. Maar omdat leeftijdsverificatieverplichtingen cruciale toegang tot belangrijke diensten kunnen ondermijnen, privacy en databescherming aantasten en de vrijheid van meningsuiting beperken", laat de EFF weten.
Alles bij de bron; Security
In heel Europa woedt een verhit debat over de toegang van wetshandhavers tot versleutelde communicatie.
De opkomst van jeugdbendes heeft de uitdagingen van versleutelde berichtenapps onder de aandacht gebracht. Wetshandhavers beweren dat criminelen deze platforms gebruiken voor rekrutering, coördinatie en het plannen van criminele activiteiten. Ze beweren dat versleuteling hun vermogen om ernstige misdrijven te onderzoeken en te vervolgen, belemmert.
De Deense minister van Justitie, Peter Hummelgaard, suggereert dat platformen die weigeren mee te werken consequenties moeten ondervinden, wat een mogelijke terugtrekking uit de markt inhoudt als ze niet voldoen aan verzoeken van wetshandhavers.
De Europese Unie werkt actief aan wetgeving om dit probleem aan te pakken. Een voorgestelde wet voor het bewaren van gegevens zou berichtendiensten verplichten om gebruikersgegevens gedurende een bepaalde periode op te slaan, ondanks eerdere juridische uitdagingen die de privacy in gevaar brachten.
De stap naar het verzwakken van encryptie stuit echter op hevig verzet van privacyvoorvechters, cyberbeveiligingsdeskundigen en inlichtingendiensten die individuele rechten belangrijker vinden dan toegang voor wetshandhavers. Zij beweren dat het ondermijnen van encryptie de veiligheid van alle gebruikers in gevaar brengt en criminele activiteiten naar minder toegankelijke platforms kan leiden.
Technologiebedrijven zoals Signal hebben gezworen zich te zullen verzetten tegen pogingen om “achterdeurtjes” te creëren in versleutelde systemen, en hebben gedreigd zich terug te trekken uit landen die dergelijke maatregelen implementeren.
Het debat draait om een fundamentele vraag: kan wetshandhaving toegang krijgen tot versleutelde gegevens zonder de veiligheid van gewone burgers in gevaar te brengen? Wiskundig gezien lijkt het onmogelijk om een selectieve achterdeur te maken die alleen geautoriseerde toegang verleent. Elke kwetsbaarheid die door wetshandhavers wordt uitgebuit, zou ook door kwaadwillende actoren kunnen worden uitgebuit.
Door dit dilemma staat Europa op een tweesprong, met de mogelijkheid dat er wetgeving komt die de politie toegang geeft tot versleutelde communicatie of dat het debat eindeloos doorgaat zonder een bevredigende oplossing.
Alles bij de bron; msn
Als Europarlementariër is Kim van Sparrentak succesvol in het reguleren van techbedrijven.
Van Sparrentak beet zich de afgelopen jaren vast in de regulering van techbedrijven. Daaronder valt AI, oftewel kunstmatige intelligentie, maar ook digitale privacy en het beschermen van gebruikers, bijvoorbeeld tegen verslavende algoritmes. “Ik wilde altijd dat Europa meer voor mensen was, en door de digitalisering worden we steeds meer ontmenselijkt. Dit past daar precies bij.”
Ze stortte zich de afgelopen jaren op de verwezenlijking van een EU-brede AI-wet, de AI Act (AIA), die Europese burgers, overheden en bedrijven moet beschermen.
“We hebben in de Europese Unie productrichtlijnen en grondrechten. Medicijnen moeten ook worden getest voordat ze kunnen worden voorgeschreven. Dus waarom zou dat voor technologie niet gelden?”
Het stoort haar dat er al zoveel ongereguleerde AI in Europa in gebruik is. Bedrijven beweren dat ze ‘pas echt weten wat hun product doet’ als mensen er mee aan de slag gaan, aldus Van Sparrentak.
Als gevolg was een generatieve AI-toepassing als ChatGPT ineens gewoon beschikbaar. “We brengen het op de markt, of het mag weten we eigenlijk niet, maakt ook niet uit”, verwoordt ze het standpunt van de AI-ontwikkelaars. “Wij maken de wereld beter, dus accepteer het maar, hoe durf jij te zeggen dat dingen niet mogen. Je blokkeert innovatie!”
Ze trok de AIA vorig jaar met bloed, zweet en tranen over de finish. De uiteindelijke tekst werd goedgekeurd tijdens een onderhandelingssessie met lidstaatvertegenwoordigers die 38 uur duurde. “Niemand keek op het einde meer recht uit zijn ogen, maar het is wel gelukt.”
Tijdens een paneldiscussie op de rechtenfaculteit van Stanford legt ze aan een zaal vol Amerikaanse toehoorders uit hoe de wet werkt. Daarin worden AI-toepassingen ingedeeld in risicocategorieën. Op basis daarvan wordt bepaald in hoeverre producten mogen worden ingezet op de Europese markt. “Neem massasurveillance in de openbare ruimte met gebruik van biometrie.” Dit valt in de hoogste verboden risicocategorie: “Te riskant, en gaat in tegen onze fundamentele rechten. Dat willen we dus helemaal niet.”
Dan zijn er hoogrisicosystemen, die voordelen hebben mits ze op de juiste manier worden ingezet. AI als onderdeel van de beveiliging in een kerncentrale, bijvoorbeeld.
Wat generatieve AI betreft, tot slot, zijn er twee categorieën: “Kleine modellen moeten met name aantonen dat ze transparant zijn, grote modellen als ChatGPT ook dat hun systemen veilig zijn”.
Om het belang van toetsen en testen door mensen te onderstrepen, vertelt ze het publiek over de toeslagenaffaire, die in 2019 in Nederland aan het licht kwam. “De overheid gebruikte discriminerende algoritmes om fraudeurs op te sporen, mensen werden in de schulden gestort en kinderen zelfs uit huis geplaatst”, legt ze uit. De zaal is doodstil. “Maar mensen die ten onrechte als fraudeur werden aangemerkt en vroegen hoe dat kan, kregen keer op keer geen antwoord. Alleen: de computer zegt het nou eenmaal.”
“Wat een verschrikkelijk waarschuwingsverhaal”, zegt de discussieleider even later op sombere toon. Van Sparrentak knikt. Voor haar is de toeslagenaffaire nog altijd een north star, zegt ze, het morele ijkpunt waarop ze zichzelf in haar werk oriënteert. “Want zoiets mag echt nooit meer gebeuren.”
Alles bij de bron; Trouw
De Europese Commissie heeft besloten om het voorstel voor de ePrivacy Verordening in te trekken. De verordening had een aanvulling moeten worden op de Algemene verordening gegevensbescherming (AVG) en ging specifiek over de gegevensbescherming rond elektronische communicatie.
Er is jaren over de ePrivacy Verordening onderhandeld. De ePrivacy Verordening moest de ePrivacy Richtlijn uit 2002 vervangen. Nu dat niet gaat gebeuren blijft de oude richtlijn van kracht.
"Dit is niet goed, maar het beëindigen van deze puinhoop is een goede beslissing. Het was vastgelopen en er was geen interesse in de Europese Unie om de privacy van gebruikers te verbeteren", zegt onderzoeker Lukasz Olejnik. Hij hield de afgelopen jaren alle ontwikkelingen over de ePrivacy Verordening bij.
De bekende privacyactivist Max Schrems stelt dat het na tien jaar debatteren verstandig is om opnieuw te starten, zo laat hij weten. Schrems verwacht dat bepaalde bepalingen van de verordening zelfstandige wet- en regelgeving zullen worden.
Alles bij de bron; Security