De Europese Unie werkt aan de ontwikkeling van een app waarmee inwoners van de EU-lidstaten zich bij zowel overheden als bedrijven in heel Europa kunnen identificeren.
Behalve voor het identificeren is de app ook te gebruiken voor de opslag van wachtwoorden en betaalgegevens. Burgers kunnen hem straks in alle landen van de Europese Unie gebruiken. Ook voor gevoelige toepassingen, want het openen van de app kan alleen met biometrische identificatie. Bijvoorbeeld met een vinger- of gezichtsscan. Handig is dat de app ook als ‘digitale kluis’ kan dienen voor een afbeelding van het paspoort en het rijbewijs. De EU laat op dit moment onderzoeken of de app voldoende beveiligd is en bijvoorbeeld niet misbruikt kan worden voor commerciële doeleinden.
De app is bedoeld om burgers gemak te bieden en zal derhalve niet worden verplicht.
Alles bij de bron; BeveilNieuws
De EDPS ziet er als onafhankelijke autoriteit op toe dat organisaties verbonden aan de Europese Unie zich houden aan afspraken over privacy en bescherming van persoonsgegevens. Afgelopen najaar riep de toezichthouder Europese instellingen op om te melden of en hoe zij zulke gegevens delen met bedrijven van buiten de EU.
Veel EU-instellingen maken gebruik van de diensten van Amerikaanse cloud-aanbieders AWS en Microsoft. De organisaties tekenden hiertoe begin vorig jaar zogeheten Cloud II-contracten met de aanbieders. Dit gebeurde enkele maanden voordat het Europese Hof van Justitie het toenmalige verdrag voor trans-Atlantische data-uitwisseling Privacy Shield ongeldig verklaarde.
Het is nu de vraag of de Cloud II-contracten voldoen aan de nieuwe situatie waarin het Privacy Shield niet meer van kracht is.
Volgens EDPS-chef Wojciech Wiewiórowski hebben AWS en Microsoft maatregelen aangekondigd zodat ze voldoen aan nieuwe situatie. Hij twijfelt evenwel of dit voldoende is om de Europese regels voor databescherming volledig te volgen.
Het tweede onderzoek van de EDPS richt zich op het gebruik van het cloudgebaseerde kantoorsoftwarepakket Microsoft 365 door de Europese Commissie. Vastgesteld moet worden of de Commissie eerdere aanbevelingen van de EDPS over het gebruik van Microsoft-producten wel opvolgt.
Alles bij de bron; Computable
Vanaf 1 juli installeren de meeste EU-lidstaten het coronapaspoort, het ‘EU-covid-certificaat’, of het ‘digitale groene certificaat’, zoals het tot voor kort heette. Wie gevaccineerd is of een negatief testbewijs heeft, kan aan de hand van een QR-code een groen vinkje tonen en zo een vliegtuig, boot of trein betreden naar een zonnig buitenland.
Maar het coronapaspoort toont meer medische gegevens dan Nederland in eerste instantie wilde, meldt een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport. Zo kan een buitenlandse reisbeambte zien welk vaccin iemand heeft gehad, hoeveel doses en wanneer. Ook is zichtbaar of je ziek bent geweest, negatief getest of gevaccineerd.
“Onze inzet bij het digitale certificaat is altijd geweest: een code die niet te herleiden valt naar de persoon", zegt de VWS-woordvoerder. “Maar met de EU-landen is nu wat anders afgesproken.” Vanwege de extra data-eisen van de EU besloot VWS twee codes in de app te genereren: een binnenlandse en een buitenlandse. “De code voor binnenlands gebruik bevat minder persoonsgegevens dan de Europese”, legt een woordvoerder uit.
Europese lidstaten mogen de gegevens uit het digitale groene certificatat niet centraal opslaan. “Dat is bij wet vastgelegd”, benadrukt privacyadvocaat Jurriaan Jansen van Norton Rose Fulbright.
Privacy-advocaat Jansen heeft “sterke twijfels” over privacy bij het coronapaspoort. “De eerste regel bij gebruik van medische gegevens is: leg het minimale vast, dat wat je écht nodig hebt om je doel te bereiken.” Of het coronapaspoort door die test komt, betwijfelt hij. “In principe zijn de vaccins allemaal goedgekeurd door de EU. Daarom is de vraag of het medisch relevant is welk vaccin iemand heeft gehad. Zonder die relevantie mag het delen van gegevens niet.”
Alles bij de bron; Trouw
Het Europees Parlement roept de Europese Commissie op om op te treden tegen Ierland vanwege gebrekkige handhaving van van de Algemene Verordening Gegevensbescherming (AVG). In Dublin stapelen privacyonderzoeken naar techgiganten zich op, terwijl beslissingen uitblijven. "We weten hoe Ierland werkt: lage belastingen en weinig regels", reageert Europarlementariër Paul Tang (PvdA). "Dan zie je dat de belangen van bedrijven zwaarder wegen dan de privacy van burgers. En dat is dan dé privacytoezichthouder van Europa", verzucht hij.
Omdat het Europese hoofdkwartier van veel grote techbedrijven in Ierland staat, is de Ierse toezichthouder primair aangewezen om te controleren of onder meer Apple, Facebook en Google zich aan de strenge Europese privacyregels houden.
Een meerderheid van het Europees Parlement stemde donderdag in met de oproep aan de Commissie om een zogenoemde inbreukprocedure te starten. Daarmee kan Brussel proberen af te dwingen dat Ierland zich aan EU-wetgeving houdt en dus moet zorgen voor goede handhaving van de privacyregels uit de AVG.
Europarlementariër Sophie in 't Veld (D66) is blij dat een meerderheid de Commissie oproept om Ierland aan te klagen. "Het is volstrekt onacceptabel dat de Ierse privacytoezichthouder zo ontzettend traag is met het grondig onderzoek doen naar wantoestanden bij grote techbedrijven."
Ze stelt dat het gebrekkige optreden van de Ierse toezichthouder in heel Europa nagalmt. "Het systeem dat één nationale privacytoezichthouder als poortwachter dient voor heel Europa, is als een keten: zo sterk als de zwakste schakel."
Alles bij de bron; NU
De Algemene Verordening Gegevensbescherming (AVG) maakte Ierland in Europa de primaire toezichthouder voor privacykwesties bij vrijwel alle techgiganten. Na drie jaar staat vast dat dit model niet werkt, zeggen Nederlandse volksvertegenwoordigers in het Europees Parlement.
Ruim 96 miljoen slachtoffers komen uit de Europese Unie, waar de AVG geldt. Nederland is met 5,4 miljoen personen hard geraakt: 31,4 procent van de bevolking. Binnen de EU is alleen Italië (59,1 procent van de inwoners) relatief zwaarder getroffen.
Toch is het niet Italië of Nederland, maar de Ierse privacytoezichthouder die een onderzoek start. "Onze Ierse collega's nemen het voortouw in dit onderzoek", laat de Autoriteit Persoonsgegevens (AP), "want Facebooks Europese hoofdkwartier is in Ierland gevestigd."
Dankzij die redenering heeft de Ierse toezichthouder de afgelopen drie jaar het ene na het andere grensoverschrijdende AVG-onderzoek op zijn bord gekregen. Want niet alleen Facebook (ook eigenaar van Instagram en WhatsApp), maar ook de Europese hoofdvestiging van bijvoorbeeld Apple, Google en Twitter staan in Ierland.
Op zich is het niet vreemd dat de Amerikaanse techgiganten in Europa één loket hebben voor AVG-kwesties, zegt Kim van Sparrentak, die namens GroenLinks in het Europees Parlement zit. "Zo werkt de Europese markt. Als je in één land zaken doet, doe je dat in de hele Europese Unie. Maar het is gek dat de Ierse toezichthouder daardoor moet controleren of álle grote techbedrijven zich aan de AVG houden. Die gaat het niet bolwerken."
De PvdA en D66 pleiten in Brussel voor een overkoepelende Europese toezichthouder die grote grensoverschrijdende zaken op zich kan nemen, terwijl de Europarlementariërs van het CDA en GroenLinks vooral willen dat nationale toezichthouders meer capaciteit krijgen en beter onderling samenwerken.
Dat Ierland als primaire toezichthouder wordt gezien, belemmert ook andere Europese toezichthouders die tegen techgiganten willen optreden. Facebook zegt dat de andere autoriteiten niet bevoegd zijn om een procedure te voeren. Alleen Ierland zou dat mogen doen. De vraag of dat daadwerkelijk zo is, ligt nu bij het Europese Hof van Justitie, dat zich er naar verwachting in juni over uitspreekt.
Alles bij de bron; NU
Het Europees Parlement heeft voor de invoering van een coronapaspoort gestemd dat het voor houders eenvoudiger moet maken om binnen de EU te reizen. Het nieuwe "EU COVID-19 certificate", in plaats van het "Digital Green Certificate" dat de Europese Commissie voorstelde, mag maximaal twaalf maanden worden toegepast. Daarna moet het systeem worden afgebroken.
Het document, dat zowel in digitaal als papieren formaat beschikbaar komt, laat zien dat de houder is gevaccineerd, negatief getest of hersteld is van een coronabesmetting. Het coronapaspoort zal niet als een reisdocument fungeren maar moet ervoor zorgen dat houders niet met aanvullende reisbeperkingen te maken krijgen, zoals quarantaine of tests.
De Europese Commissie zal nu een gateway bouwen waardoor nationale coronapaspoorten binnen de hele EU zijn te verifiëren. De persoonlijke data van de houder gaat niet via deze gateway, alleen de informatie voor de verificatie van de digitale handtekening. Er komt dan ook geen centrale certificaatdatabase, liet EU-commissaris Didier Reynders voor Justitie eerder weten.
Alles bij de bron; Security
Tenminste zes EU-instanties zijn het slachtoffer geworden van de SolarWinds-aanval, zo blijkt uit cijfers van het Computer Emergency Response Team van de EU (CERT-EU). De cijfers werden bekendgemaakt door Eurocommissaris Johannes Hahn voor Begroting die reageerde op vragen van Europarlementariër Cornelia Ernst (pdf).
Ze wilde van Hahn weten of EU-instanties door de SolarWinds-aanval zijn getroffen en wat hiervan de impact was. De Eurocommissaris vroegen vervolgens CERT-EU om verdere informatie. De organisatie laat weten dat veertien EU-instanties van het Orion-platform van SolarWinds gebruikmaakten. Tenminste zes daarvan zijn door de aanval getroffen...
...De impact is verschillend, van geen impact tot een zeer grote impact, merkt Hanh op. In sommige gevallen had de aanval grote gevolgen voor it-netwerken en -sytstemen en is er ook sprake van persoonlijke datalekken. Specifieke details worden niet door Hahn gegeven.
De Eurocommissaris stelt dat beveiligingsincidenten op een vrijwillige basis aan het CERT-EU worden doorgegeven. Gisteren stelde de Amerikaanse regering dat Rusland voor de aanval verantwoordelijk is.
Alles bij de bron; Security
In zogeheten adequaatheidsbesluiten stelt de EC vast dat persoonsgegevens in het VK voldoende beschermd zijn. En dat er dus geen bezwaar is om persoonsgegevens vanuit de EU naar het VK door te geven.
De privacytoezichthouders, verenigd in de European Data Protection Board (EDPB), publiceerden op 13 april 2 adviezen aan de EC in reactie op 2 voorgenomen adequaatheidsbesluiten.
In de 2 adviezen geeft de EDPB aan dat het stelsel van gegevensbescherming in het VK erg lijkt op het Europese systeem het VK heeft immers zowel de AVG als de Richtlijn politie en justitie ‘gekopieerd’ in eigen wetgeving.
Toch spreekt de EDPB ook een aantal zorgen uit. Vooral over de mogelijkheid dat persoonsgegevens straks – via het VK – naar andere landen worden doorgegeven, waar persoonsgegevens onvoldoende worden beschermd. Zoals de Verenigde Staten.
De EDPB vraagt de EC om opheldering op die punten. En om dit in toekomst nauwgezet te monitoren. De beoordeling van de EC geldt voor 4 jaar. Daarna wordt bekeken of het beschermingsniveau nog steeds passend is. Maar de EC kan niet tussentijds ingrijpen als het VK in de tussentijd maatregelen neemt die het beschermingsniveau effectief verlagen. Ook hier heeft de EDPB aandacht aan besteed in de adviezen. De EDPB verzoekt de EC – waar nodig – ook tussentijds bij te sturen.
De EC beslist voor 30 juni 2021 of de adequaatheidsbesluiten worden aangenomen. En dus of Europese bedrijven persoonsgegevens mogen doorgeven aan bedrijven in het VK.
Alles bij de bron; AutoriteitPersoonsgegevens
Dertig privacyorganisaties en burgerrechtenbewegingen, waaronder Bits of Freedom, Amnesty International en de EFF, hebben het Europees Parlement in een brief gevraagd om online tracking door advertenties waar gebruikers geen toestemming voor hebben gegeven te verbieden. De organisaties maken zich zorgen nu een voorstel voor de ePrivacy Verordening, die dit had moeten regelen, is afgezwakt (pdf).
De ePrivacy Verordening is een aanvulling op de Algemene verordening gegevensbescherming (AVG) en gaat specifiek over de gegevensbescherming rond elektronische communicatie. Er wordt al jaren over de ePrivacy Verordening onderhandeld.
Het Europees Parlement nam verschillende bepalingen aan om de privacy van internetgebruikers te beschermen;
Online tracking en monitoring zou alleen worden toegestaan met toestemming van de gebruiker of wanneer dit technisch noodzakelijk is voor de betreffende dienst. Tevens zou er een verbod op het gebruik van cookiewalls komen en zouden gebruikers via hun browser hun privacyvoorkeuren kenbaar kunnen maken, in plaats van dat ze dit per website moeten aangeven.
Deze bepalingen zijn echter door de Raad van de Europese Unie verwijderd of afgezwakt, zo stellen de privacyorganisaties. Ze roepen het Europees Parlement dan ook op om alle voorstellen die de ePrivacy Verordening verzwakken af te keuren, achter de eigen de bepalingen te gaan staan en ervoor te zorgen dat de verordening doet wat het beloofde te zullen doen.
"Dit is een fantastische kans om privacy by default in de online wereld te realiseren. Big Tech verdient zeer veel geld door het verzamelen van zoveel mogelijk data over mensen die online zijn. Mensen maken zich echter steeds meer zorgen over de persoonlijke data die wordt verzameld en wat hiermee wordt gedaan", zegt Eva Simon van de Civil Liberties Union for Europe.
Volgens Simon is er nu de kans om een beter internet te realiseren dat gebruikers dient door ingebouwde methodes voor het verzamelen van data en tracking te stoppen. "Het is belangrijk dat het Europees Parlement beseft dat het voor de mensen kan opkomen en niet de belangen van de grote techplatformen verdedigt", aldus Simon.
De privacytoezichthouders van de Europese Unie, verenigd in in de European Data Protection Board (EDPB), lieten vorige maand ook al weten dat ze niet tevreden zijn met het huidige voorstel voor de ePrivacy Verordening.
Alles bij de bron; Security
Het coronapaspoort waar Europese lidstaten aan werken moet alleen voor de huidige pandemie worden ingezet en niet voor soortgelijke infectieziektes, zoals de Europese Commissie wil. Daarnaast mag de data van het coronapaspoort na het einde van de pandemie niet meer worden ingezien of gebruikt.
Daarvoor pleiten de Europese Toezichthouder voor gegevensbescherming (EDPS) en het Europees Comité voor gegevensbescherming (EDPB). De EDPB is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG).
Tevens stellen de privacytoezichthouders voor dat de verordening niet mag leiden tot een centrale Europese database met persoonsgegevens. "Er moet voor worden gezorgd dat persoonlijke data niet langer dan strikt noodzakelijk wordt verwerkt en dat toegang tot en gebruik van deze data niet is toegestaan nadat de pandemie voorbij is. Ik heb altijd benadrukt dat de coronamaatregelen tijdelijk zijn en het onze taak is om ervoor te zorgen dat ze niet na de crisis van kracht blijven", zegt EDPS-voorzitter Wojciech Wiewiorowski.
Alles bij de bron; Security