Het voorstel van EU-voorzitter België voor de aanpak van misbruikmateriaal (CSAM) is in de kern hetzelfde als het plan van de Europese Commissie om alle berichten van burgers door middel van client-side scanning te controleren, zo waarschuwen Europarlementariërs en de Europese burgerrechtenbeweging EDRi op basis van gelekte documenten .
De laatste versie van het voorstel die nu gelekt is, blijkt niet propotioneler te zijn dan het originele weggestemde voorstel van de Europese Commissie uit 2022, aldus EDRi.
Zo moeten chatapps en andere online diensten zelf bepalen hoe groot het risico is dat er via hun platforms CSAM-materiaal wordt verspreid. Afhankelijk van het risico kan een autoriteit de dienst opleggen maatregelen te treffen. In het geval van diensten met een 'hoog' risico kan er een detectiebevel worden gegeven, waarbij het verkeer van gebruikers moet worden gecontroleerd.
Volgens EDRi zijn de primaire voorwaarden voor het geven van een dergelijk detectiebevel onveranderd ten opzichte van het oorspronkelijke voorstel en gelden detectiebevelen nog steeds voor de gehele dienst. Daarnaast kunnen end-to-end versleutelde diensten nog steeds worden gedwongen om de cybersecurity te verzwakken of ondermijnen, zo gaat de burgerrechtenbeweging verder. Een nieuw onderdeel van het voorstel is dat de Europese Commissie vergaande bevoegdheden krijgt om de risicoregels te interpreteren en op te rekken, wat zonder feedback van de Raad of het Europees Parlement gebeurt.
EDRi roept de Raad dan ook op om zich tegen het voorstel te keren, omdat het in de kern nog steeds 'chat control' is. "Miljoenen privéberichten en privéfoto's van onschuldige burgers zullen door onbetrouwbare technologie worden doorzocht en verwijderd, zonder dat degenen die het betreft iets met kindermisbruik te maken hebben. Dit vernietigt ons digitale briefgeheim." aldus Patrick Breyer, Europarlementariër voor de Piratenpartij.
Alles bij de bron; Security
De Europese gezondheidswet EHDS bedreigt het medisch beroepsgeheim, zo stelt de Europese digitale burgerrechtenbeweging EDRi.
De EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. Standaard zullen gezondheidsgegevens voor zowel primair als secundair gebruik worden uitgewisseld.
Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Vorige maand werd bekend dat de Europese Commissie, het Europees Parlement en de Raad van Ministers een voorlopig politiek akkoord over de EHDS hebben bereikt. "De EHDS stelt de medische dossiers van iedereen bloot aan onnodige beveiligings- en privacyrisico's in de naam van onderzoek en 'innovatie'", zegt Jan Penfrat van EDRi. "Het verplicht elk ziekenhuis om private medische gegevens van elke patiënt te delen, voor het doel van secundair gebruik dat niets met de behandeling te maken heeft, met een zogenoemde health data access body." Dit is de instantie voor toegang tot gezondheidsgegevens.
Hoe en welke patiëntgegevens worden gedeeld kan per lidstaat verschillen. Penfrat merkt op dat de EHDS nog steeds niet beperkt wie toegang tot gezondheidsgegevens kan krijgen voor secundair gebruik. Daarnaast hekelt hij de centrale opslag van zeer gevoelige medische informatie van miljoenen patiënten op servers van de overheid, bij landen die voor dit model kiezen.
Alles bij de bron; Security
De verplichting om twee vingerafdrukken op te nemen op elektronische identiteitskaarten gaat niet in tegen het recht op privacy. Dat concludeert het Europees Hof van Justitie in een arrest.
De Europese verordening die de verplichting regelt moet niettemin op de schop, omdat ze gebaseerd is op “een onjuiste rechtsgrondslag”.
Omdat de gevolgen te groot zouden zijn als het Europees Hof de verordening meteen ongeldig verklaart, blijft ze gehandhaafd tot 31 december 2026. Tegen die datum moet er een nieuwe verordening zijn.
Alles bij de bron; HLN
De EP-leden hebben met 464 stemmen vóór, 92 stemmen tegen en bij 65 onthoudingen groen licht gegeven voor nieuwe wetgeving om journalisten en media in de EU te beschermen tegen politieke of economische inmenging.
Op grond van de nieuwe regels worden de EU-landen verplicht de onafhankelijkheid van de media te beschermen en alle vormen van inmenging in redactionele beslissingen verboden.
Autoriteiten mogen geen druk uitoefenen op journalisten en redacteuren om hun bronnen openbaar te maken. Zo mogen ze hen niet vastzetten of sancties opleggen, hun kantoren niet doorzoeken, en ook geen intrusieve surveillancesoftware op hun elektronische apparaten installeren.
Het Parlement heeft belangrijke voorzorgen toegevoegd om het gebruik van spyware toe te staan. Dit zal altijd per geval moeten worden bekeken en is alleen mogelijk met toestemming van een rechterlijke autoriteit die ernstige misdrijven onderzoekt waarop een vrijheidsstraf staat.
Zelfs in deze gevallen hebben de betroffen personen het recht om op de hoogte worden gehouden na de surveillance. Bovendien kunnen zij de surveillance aanvechten voor de rechter.
De EP-leden hebben ervoor gezorgd dat de verordening een mechanisme bevat om te voorkomen dat zeer grote onlineplatforms zoals Facebook, X (het voormalige Twitter) of Instagram willekeurig onafhankelijke media-inhoud verwijderen of de toegang ertoe beperken.
Deze platforms moeten eerst onafhankelijke media onderscheiden van niet-onafhankelijke bronnen. Een platform moet het een mediakanaal laten weten als het van plan is om inhoud te verwijderen of de toegang ertoe te beperken. Het kanaal moet 24 uur de tijd krijgen om te reageren. Pas na het antwoord van het kanaal (of als dat uitblijft) kan het platform de inhoud verwijderen of de toegang ertoe beperken als deze nog steeds niet voldoet aan de voorwaarden ervan.
Alles bij de bron; Europarlement
Het Parlement heeft met 523 stemmen voor, 46 tegen en bij 49 onthoudingen de AI-verordening goedgekeurd om de veiligheid en de naleving van de grondrechten te waarborgen en innovatie te stimuleren.
De nieuwe regels hebben tot doel de grondrechten, de democratie, de rechtsstaat en de milieuduurzaamheid te beschermen tegen AI-systemen met een hoog risico. Tegelijkertijd moeten ze innovatie stimuleren en van Europa een leider maken op het gebied van AI. Met de verordening komen er verplichtingen voor AI-systemen op basis van de potentiële risico’s en gevolgen die ze met zich meebrengen.
Op grond van de nieuwe regels worden bepaalde AI-toepassingen verboden die de rechten van burgers in gevaar brengen. Denk daarbij aan systemen voor biometrische categorisering op basis van gevoelige kenmerken, of aan de ongerichte scraping van gezichtsafbeeldingen van het internet of CCTV-beelden om databanken voor gezichtsherkenning aan te leggen.
Daarnaast komt er een verbod op emotieherkenning op het werk en op school. Hetzelfde geldt voor burgerscores, voorspellend politiewerk dat uitsluitend is bedoeld om mensen te profileren of hun kenmerken te beoordelen, en AI waarmee menselijk gedrag wordt gemanipuleerd of de kwetsbaarheden van mensen worden uitgebuit.
Verbod met vrijstellingen voor rechtshandhavingsinstanties
Het gebruik van systemen voor biometrische identificatie op afstand (RBI) door rechtshandhavingsinstanties wordt in beginsel verboden. Alleen in limitatief opgesomde en nauwkeurig omschreven omstandigheden kan hiervan worden afgeweken.
RBI-systemen mogen alleen in real time worden ingezet als aan strikte waarborgen wordt voldaan. Zo mogen ze alleen tijdens een beperkte periode en binnen een beperkt geografisch gebied worden gebruikt en moet de rechter of de administratie vooraf specifieke toestemming hebben gegeven. Deze systemen kunnen bijvoorbeeld worden gebruikt om gericht te zoeken naar een vermiste persoon of om terroristische aanslagen te voorkomen. RBI-systemen die achteraf worden ingezet (“RBI achteraf”), worden beschouwd als systemen met een hoog risico. De toestemming van de rechter moet in zulke gevallen verband houden met een strafbaar feit.
Ook worden er duidelijke verplichtingen ingevoerd voor andere AI-systemen met een hoog risico. Deze kunnen namelijk aanzienlijke schade toebrengen aan de gezondheid, de veiligheid, de grondrechten, het milieu, de democratie en de rechtsstaat. AI-systemen met een hoog risico worden onder meer gebruikt op het gebied van kritieke infrastructuur, onderwijs en beroepsopleidingen, en werkgelegenheid.
Ze worden ook ingezet in essentiële particuliere en openbare diensten, zoals de gezondheidszorg en het bankwezen. Verder worden ze toegepast op het gebied van rechtshandhaving, migratie en grensbeheer, justitie en democratische processen, bijvoorbeeld om verkiezingen te beïnvloeden.
Deze systemen moeten transparant en nauwkeurig zijn, en de risico’s ervan moeten worden beoordeeld en beperkt. Bovendien moeten in het geval van systemen met een hoog risico logboeken worden bijgehouden en moet menselijk toezicht mogelijk zijn. Burgers hebben het recht om klachten over AI-systemen in te dienen en uitleg te krijgen over beslissingen die zijn genomen op basis van AI-systemen met een hoog risico en die gevolgen hebben voor hun rechten.
AI-systemen voor algemene doeleinden en de modellen waarop ze zijn gebaseerd, moeten voldoen aan bepaalde transparantievereisten, zoals voor de EU-wetgeving over auteursrecht en ze moeten informatie publiceren over de content gebruikt voor trainingen. Voor krachtigere modellen die systeemrisico’s met zich mee kunnen brengen komen er aanvullende vereisten. Denk daarbij aan de uitvoering van modelevaluaties, de beoordeling en beperking van systeemrisico’s, en de rapportage van incidenten.
Daarnaast moeten kunstmatige of gemanipuleerde afbeeldingen, audiobestanden en video-inhoud (“deepfakes”) duidelijk als zodanig worden aangeduid.
Alles bij de bron; Europarlement
De Europese digitale identiteit wordt niet verplicht om diensten in de Europese Unie te kunnen afnemen, zo heeft demissionair staatssecretaris Van Huffelen van Digitalisering laten weten. De bewindsvrouw reageerde naar aanleiding van vragen van GroenLinks-PvdA. De partijen wilden weten wat de risico's zijn dat de Europese digitale identiteit (EDI) voor veel meer zaken ingezet gaat worden dan oorspronkelijk is bedoeld en aangekondigd, ook wel function creep genoemd.
De staatssecretaris stelt dat organisaties en bedrijven in de hele EU geen diensten kunnen aanbieden waarbij alleen een Europese digitale identiteit is te gebruiken. "Hier vloeit uit voort dat bedrijven die een EDI-wallet accepteren altijd een alternatief moeten bieden", aldus de staatssecretaris.
De alternatieven die organisaties moeten bieden kunnen zowel digitaal als niet-digitaal zijn.
Alles bij de bron; Security
Rond 2026 kunnen alle 450 miljoen Europese burgers hun digitale identiteit zelf bewaren en beheren. Het duurde even om de wet zo aan te passen dat-ie het web niet ongewild onveiliger maakte door digitale certificaten te ondermijnen, maar de tekst is rond. De Piratenpartij vindt bijvoorbeeld dat het nóg privacyvriendelijker had gekund.
Taaie kost, misschien zelfs saaie kost, dat gedoe met identiteiten. Maar zo’n ‘wallet’ is onmisbaar. Bijvoorbeeld om veilig gegevens te delen, transacties te doen of te bewijzen hoe oud je bent. Onlinediensten zijn verplicht de digitale portemonnee met het Europese identiteitsbewijs te accepteren om leeftijdchecks uit te voeren. Zodat bedrijven zeker weten dat iemand online mag gokken, porno kijken, (18+) of een eigen account op TikTok af mag sluiten (13+).
Volgens de Deense Europarlementariër Karen Melchior zijn grote onlineplatforms uit de VS nog niet verplicht om de Europese digitale portemonnee te gebruiken als alternatief voor hun bestaande verificatiesystemen.
Dat is jammer, „Ik zou graag zien dat ze de Europese wallets omarmen, want die bieden goede privacybescherming. Dat weten we van de commerciële techniek niet zeker.”
Alles bij de bron; NRC
De cookiepop-ups van IAB Europe, die op grote schaal door websites worden gebruikt om gebruikers toestemming te vragen voor het plaatsen van cookies, zijn in strijd met de AVG. Dat heeft het Hof van Justitie van de Europese Unie vandaag geoordeeld (pdf). De Belgische privacytoezichthouder GBA oordeelde al in 2022 dat het systeem in strijd met de AVG is.
Het Interactive Advertising Bureau Europe (IAB Europe) is de ontwikkelaar van het Transparency and Consent Framework (TCF). Dit is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt en een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB).
Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor RTB, waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte.
Het TCF vergemakkelijkt het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon...
...IAB Europa is van mening dat het geen verwerkingsverantwoordelijke is, maar dat is volgens de GBA wel het geval. De Belgische privacytoezichthouder stelde twee jaar geleden vast dat IAB Europe op verschillende punten de AVG heeft geschonden.
Vanwege het overtreden van de AVG besloot de Belgische privacytoezichthouder een boete op te leggen. IAB Europe ging in beroep tegen de boete bij het hof van beroep in Brussel, dat prejudiciële vragen heeft voorgelegd aan het Europees Hof. Dat laat vandaag weten dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. Daarnaast moet IAB Europe worden beschouwd als een „gezamenlijke verwerkingsverantwoordelijke” in de zin van de AVG.
Alles bij de bron; Security
De Autoriteit Persoonsgegevens en andere Europese privacytoezichthouders, verenigd in de EDPB, gaan dit jaar onderzoeken of organisaties zich wel houden aan het recht op inzage dat mensen hebben.
Onder de AVG heeft iedereen een recht op inzage en kan zo opvragen welke persoonsgegevens een organisatie over hem of haar heeft. De organisatie moet die vervolgens binnen een bepaalde tijd verstrekken. Ook kunnen zij hiermee controleren of organisaties zich aan de regels houden bij het verwerken van hun gegevens.
Wanneer mensen inzage hebben gekregen, kunnen zij beroep doen op andere privacyrechten, zoals het wijzigen van incorrecte gegevens of het verzoeken om gegevens te verwijderen, bijvoorbeeld als de organisatie die in strijd met de wet gebruikt.
De Autoriteit Persoonsgegevens zegt hierover vaak klachten te ontvangen, bijvoorbeeld over organisaties die niet of te laat reageren op een inzageverzoek. De Europese privacytoezichthouders gaan de komende tijd organisaties benaderen met een vragenlijst. Daarmee moet duidelijk worden hoe organisaties het recht op inzage in de praktijk vormgeven.
Alles bij de bron; Security
De nieuwe Europese platformwet — de Digital Services Act (DSA) — is sinds 17 februari van kracht. Met deze wet worden de rechten van gebruikers van online platformen, waaronder sociale media, beter beschermd tegen de macht van Big Tech.
Om gebruikers op deze nieuwe rechten te wijzen en hen aan te sporen hier gebruik van te maken, lanceerden we de campagne 'blijf luid!' en de website jouwplatformrechten.nl.
In deze extra aflevering van de Bits of Freedom podcast praten Inge en Lotje je hierover bij. Wat staat er precies in de DSA? Wat kun je er van merken als gebruiker op sociale media platformen? En wat voor aanpassingen kun je zelf doen op jouw profiel?
Alles bij de bron; Bits-of-Freedom