De Europese Raad is een groot voorstander van encryptie om onze privacy en veiligheid te waarborgen. Tegelijkertijd pleit de instantie ervoor om opsporingsinstanties en andere bevoegde autoriteiten toegang te geven tot versleutelde berichten. Diensten die berichten versleutelen zouden zogeheten master keys moeten creëren en opslaan om dit mogelijk te maken.

Dat schrijft de Europese Raad, die is samengesteld uit de regeringsleiders van alle 27 EU-lidstaten, in een conceptvoorstel voor een resolutie over encryptie. Het document draagt de titel Security through encryption and security despite encryption...

...In een conceptversie van een resolutie over encryptie schrijven de regeringsleiders van de EU-lidstaten dat ze de ontwikkeling, implementatie en gebruik van encryptie steunen en respecteren, maar dat er een ‘betere balans’ moet komen. 

“Beschermen van privacy en beveiliging van communicatie door middel van encryptie en tegelijkertijd ervoor zorgen dat bevoegde autoriteiten op het gebied van criminaliteit en beveiliging wettelijke toegang krijgen tot deze data voor het bestrijden van georganiseerde misdaad en terrorisme, zowel in de fysieke als digitale wereld, is van extreem groot belang”, zo schrijft de Europese Raad in het conceptvoorstel.

Alles bij de bron; VPN-Gids

Eurocommissaris Margrethe Vestager (Mededinging en Digitale samenleving) is ervan overtuigd dat Europa techreuzen op te laten splitsen als dat nodig is. Vestager deed de uitspraak dinsdag tegenover het Europees Parlement...

...Hoe de opsplitsing in zijn werk moet gaan in de praktijk blijft voorlopig nog onduidelijk. Ook Verstager kan die vraag nog niet beantwoorden. Vermoedelijk ontstaan er dan lange juridische processen.

Europa ligt net als de Verenigde Staten op veel terreinen overhoop met techreuzen. Facebook dreigde onlangs zijn digitale diensten, waaronder ook Instagram, terug te trekken uit de Europese Unie als privacytoezichthouders de huidige koers aanhouden. Onlangs bepaalde de EU-privacywaakhond dat doorgifte naar de VS niet meer is toegestaan.

Alles bij de bron; AGConnect

Waarom mijn titel ‘smeerboel’? Het is in ieder geval geen verwijt aan het Hof. Sterker nog, de uitspraak van het Hof is volkomen terecht. En viel ook te verwachten na de Schrems I uitspraak. Want in Schrems I oordeelde het Hof destijds al dat de Safe Harbor afspraak tussen de EU en de VS (de voorganger van Privacyshield) geen stand kon houden.

En het Hof heeft ook een kritische noot over de Standard Contractual Clauses (SCC) opgenomen. Je kunt niet volstaan met het simpel ondertekenen van de SCC. Je moet ook toetsen in het land van doorgifte hoe het met de nationale wetgeving zit, en met name of die wetgeving geen afbreuk doet aan de bescherming die je via die SCC’s wilt creëren.

Dat brengt me op mijn punt: het is Europa die er dus een smeerboel van maakt. Zeker als je op je klompen kunt aanvullen dat je nat gaat met Privacyshield. Dat mag niet alleen de EU commissie zich aantrekken (die die afspraak heeft gemaakt en ook de SCC), maar zeker ook de EU-privacywaakhonden. Die EU waakhonden zitten samen in een vehikel genaamd de European Data Protection Board (EDPB). En die hadden deze bui natuurlijk ook (allang) moeten zien hangen.

De EDPB is na drie maanden nog niet veel verder dan het benoemen van een taskforce die “will prepare recommendations to assist controllers and processors with their duty to identify and implement appropriate supplementary measures to ensure adequate protection when transferring data to third countries.”

Sinds Schrems II op 16 juli van kracht is, zit zo’n beetje heel ondernemend Europa met de handen in het haar en is er niemand die precies weet hoe je nu moet toetsen of in een bepaald land ‘een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd’.

Ik vind het eerlijk gezegd behoorlijk triest wat de EU hier aan daadkracht laat zien, of beter: het gebrek eraan. 

Alles bij de bron; AGConnect

De Europese Commissie onderzoekt of de Europese PNR-richtlijn (Passenger Name Record), die luchtvaartmaatschappijen verplicht om passagiersgegevens aan de overheid te verstrekken, ook naar andere vormen van transport kan worden uitgebreid. Een plan dat op instemming van minister Grapperhaus van Justitie en Veiligheid kan rekenen, die eerder al keek om het PNR-systeem naar hogesnelheidstreinen uit te breiden.

Vrijwel alle EU-lidstaten hebben de PNR-richtlijn tot nationale wetgeving verwerkt. In Nederland zorgt de wet ervoor dat gegevens van vliegtuigpassagiers met vertrek of aankomst in Nederland vijf jaar lang worden bewaard in een database van de eenheid Passagiersinformatie Nederland (Pi-NL). Het gaat dan om reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.

De eenheid Pi-NL kan zowel de passagiersgegevens als het resultaat van de verwerking met Europol en vergelijkbare eenheden van andere lidstaten delen. Ook kunnen het Openbaar Ministerie, de politie, de bijzondere opsporingsdiensten, de Koninklijke marechaussee en de Rijksrecherche bij de eenheid Pi-NL informatie opvragen.

... De Europese Commissie heeft de richtlijn geëvalueerd en is over het algemeen positief dat die helpt bij de bestrijding van terrorisme en misdrijven (pdf). 

Het ongericht verzamelen van telefoon- en internetgegevens is strijdig met Europese privacyregels. Landen mogen niet van providers vragen om metadata in bulk te bewaren of te delen, heeft het Europees Hof van Justitie bepaald.

Het EU-recht laat het algemeen gebruik van zo'n 'sleepnet' niet toe, oordeelt het hof. Maar als de veiligheid van een land ernstig in gevaar is, kan de overheid wel tijdelijk opdracht geven voor het ongericht verzamelen van deze gegevens. Dat mag dan niet langer duren dan strikt noodzakelijk. Bovendien moet een rechter of onafhankelijke instantie toezicht houden.

Nederland heeft sinds 2018 een Wet op de inlichtingen- en veiligheidsdiensten, die door tegenstanders sleepwet wordt genoemd. De wet geeft de AIVD en de MIVD meer bevoegdheden. Ook in Nederland was er veel discussie over de toegang van geheime diensten tot privédata van burgers. In een raadgevend referendum stemden meer mensen tegen de wet dan ervoor.

Alles bij de bron; RTL

Binnenkort komt er duidelijkheid over de maatregelen die bedrijven moeten nemen voor de uitwisseling van persoonsgegevens met de VS. De gezamenlijke Europese privacy-toezichthouders bereiden hiertoe handvatten voor. Het Europees Comité voor gegevensbescherming (EDPB) komt naar verwachting in oktober met richtsnoeren.

Overigens kan de Brexit ook tot problemen leiden bij de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk. De Europese Commissie bekijkt momenteel of het VK voldoende gegevensbescherming biedt. Wanneer dit onderzoek niet voor het eind van dit jaar is afgerond en stappen zijn genomen, zullen bedrijven die persoonsgegevens doorgeven aan het VS eveneens moeten terugvallen op SCC’s of bindende bedrijfsvoorschriften.

Minister Sander Dekker (Rechtsbescherming) meldt dit in een brief aan de Tweede Kamer. 

Alles bij de bron; Computable

Een draft van de Digital Services Act van de Europese Commissie stelt dat grote techbedrijven als Google en Apple niet langer eigen apps en diensten mogen voorinstalleren op hun apparaten. Ook mogen ze daar andere bedrijven niet toe dwingen, schrijft Financial Times.

Dat voorinstalleren gebeurt nu wel veel: na de set-up staan er bijvoorbeeld veel Apple-diensten op iPhones, bij Android-telefoons staan er veel Google-diensten op. Het is onbekend of de Europese Commissie wil voorkomen dat fabrikanten alle apps niet langer automatisch installeren of dat het alleen gaat om bepaalde diensten. De eerste publieke versie van de Digital Services Act moet eind dit jaar verschijnen.

Het gaat niet alleen om het voorinstalleren van apps op hardware. Ook mogen grote techbedrijven niet langer van data gebruik maken zonder die ook aan concurrenten te geven. 

Alles bij de bron; Tweakers

De Europese Commissie is in gesprek met Amerikaanse autoriteiten over betere privacybescherming van EU-burgers. Volgens commissaris Didier Reynders (Justitie en Consumentenzaken) kan het echter wel even duren voor een wettelijke oplossing wordt gevonden voor de recente nietigverklaring door het Europees Hof van Justitie van het zogenoemde Privacy Shield. 

Volgens Reynders is de uitspraak van het hof een „sterke herbevestiging van het fundamentele recht op databescherming.” Volgens Europarlementariër Paul Tang (PvdA) was de uitspraak van het hof geen grote verrassing. Zijn collega Sophie in ’t Veld (D66) vindt dat het dagelijks EU-bestuur de burger in de kou laat staan. Ze zei dat een overeenkomst met de VS over databescherming „Schrems-proof” moet zijn, verwijzend naar de Oostenrijkse privacyactivist Maximilian Schrems.

Hij had de zaak aan het rollen gebracht met een klacht over de doorgifte door Facebook Ierland van persoonsgegevens aan het moederbedrijf in de VS. Hij betwijfelde of die gegevens in Amerika wel voldoende beschermd zijn. In 2015 won Schrems ook al een soortgelijke zaak. Toen vernietigde de rechter het zogeheten Safe Harbour Programme, de voorganger van het Privacy Shield.

Alles bij de bron; NRC