De Raad van de Europese Unie heeft een resolutie aangenomen waarin staat dat autoriteiten toegang moeten kunnen krijgen tot versleutelde data. Dergelijke resoluties zijn niet juridisch bindend, maar omvatten standpunten van de Raad.
In de resolutie, die nog steeds 'Security through encryption and security despite encryption' wordt genoemd, stelt de Raad onder andere dat het de ontwikkeling en het gebruik van sterke encryptie steunt. Tegelijkertijd meldt de Raad dat er 'een betere balans' gevonden moet worden tussen encryptie en beveiliging.
De Raad beschrijft niet hoe dergelijke toegang met behoud van sterke versleuteling moet werken. Wel stelt de Raad dat hiervoor een actieve discussie met de techindustrie aan moet worden gegaan. Ook moeten mogelijke oplossingen 'transparant' ontwikkeld worden. "Technische solutions voor het verkrijgen van toegang tot gecodeerde gegevens moeten voldoen aan de beginselen van wettigheid, transparantie, noodzakelijkheid en evenredigheid, met inbegrip van de bescherming van persoonsgegevens."
Er wordt al langer gepleit voor toegang tot versleutelde data door autoriteiten. Minister Grapperhaus van Justitie en Veiligheid pleitte bijvoorbeeld vorig jaar al over een zogeheten achterdeur in encryptie.
Alles bij de bron; Tweakers
In een voorstel voor nieuwe Europese wetgeving moeten zeer grote techplatforms, in het wetsvoorstel omschreven als online platforms met meer dan 45 miljoen gebruikers, de aanpak van illegale content op hun platformen verbeteren en daarnaast transparanter communiceren over advertenties. Indien bedrijven de wetgeving overtreden, kunnen zij een boete opgelegd krijgen die kan oplopen tot 6% van hun jaaromzet.
Reuters meldt dat het wetsvoorstel genaamd Digital Services Act naar verwachting op 15 december officieel wordt aangekondigd. Het voorstel komt niet onverwachts; al langer is de aanpak van illegale content op online platforms een belangrijk onderwerp voor de Europese Unie (EU). Volgens het wetsvoorstel is het opleggen van extra verplichtingen aan deze platforms nodig voor de aanpak van systematische risico's die diensten van deze platforms opleveren.
Met illegale content gaat het onder meer om haatdragende content, kinderpornografische materiaal, misbruik van platformen op een manier die indruist fundamentele rechten en bewuste manipulatie van platforms, zoals het gebruik van geautomatiseerde bots voor het beïnvloeden van verkiezingen. Daarnaast worden de platforms verplicht informatie te verstrekken over online adverteerders op hun platforms. Ook moeten zij inzage geven in meetwaarden die worden gebruikt door hun algoritme voor het voorstellen en ordenen van gegevens. Naleving van de wetgeving wordt gemonitord door onafhankelijke auditors.
Alles bij de bron; DutchIT
Bedrijven die hopen dat de Europese Unie en de nieuwe regering van de Verenigde Staten snel een akkoord bereiken waarmee gegevens tussen de twee gebieden uitgewisseld kunnen worden, moeten daar waarschijnlijk nog maanden op wachten, zegt het hoofd van de Europese privacywaakhond.
Het eerdere akkoord met de naam Privacyschild werd in juli door het Europese Hof van Justitie van tafel geveegd, omdat gegevens van Europese burgers in de VS naar het oordeel van de hoogste Europese rechter onvoldoende beschermd worden.
Vijfduizend bedrijven die van het Privacyschild gebruikmaakten om het sturen van gegevens naar de VS te verantwoorden, moesten daar onmiddellijk mee stoppen.
"Ik verwacht niet binnen enkele weken een vervanger voor Privacyschild, en waarschijnlijk ook niet binnen enkele maanden", zegt Wojciech Wiewiorowski, de Europese toezichthouder voor gegevensbescherming (EDPS).
Het Privacyschild is het tweede akkoord tussen Washington en Brussel dat door het Europees Hof nietig werd verklaard. Hetzelfde gebeurde in 2015 met de voorganger: het Safe Harbour-verdrag. Beide werden van tafel geveegd na zaken van de Oostenrijkse privacyactivist Max Schrems. Hij vreest dat gegevens van burgers eenvoudig in handen van Amerikaanse inlichtingendiensten komen.
Alles bij de bron; NU
Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen. Daarover heeft de Europese Raad een resolutie opgesteld die over twee weken wordt besproken. De Raadsresolutie Encryptie vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te krijgen.
Volgens de minister zijn opsporingsdiensten steeds meer afhankelijk van toegang tot digitale gegevens, terwijl versleuteling de toegang tot digitale gegevens uitdagend of praktisch onmogelijk maakt. Grapperhaus stelt dat de resolutie past binnen het kabinetsstandpunt over encryptie.
In 2016 kwam het kabinet met een standpunt over encryptie, dat het op dit moment geen 'beperkende wettelijke maatregelen' wil nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland.
Alles bij de bron; Security
Het wordt voor consumenten gemakkelijker om collectief schade te verhalen op bedrijven die Europese regels hebben overtreden. Het Europees Parlement steunt nieuwe wetgeving die het belangenorganisaties mogelijk maakt overal in de EU naar de rechter te stappen in naam van een groep gedupeerden.
Met de Europese richtlijn voor groepsvorderingen kunnen bijvoorbeeld consumentenorganisaties groepen vertegenwoordigen, een rechtszaak aanspannen en schadevergoeding eisen als regels zijn overtreden op het gebied van bijvoorbeeld gegevensbescherming, reizen en toerisme, financiële diensten, energie en telecommunicatie.
Om grensoverschrijdende vorderingen voor de rechtbank te kunnen brengen, worden er strenge eisen gesteld aan de belangenorganisaties die namens gedupeerden optreden. Ook mogen nationale rechters buitenlandse claims toetsen op ontvankelijkheid en geldt het principe dat de verliezer betaalt.
De richtlijn treedt over enkele weken in werking, waarna de lidstaten de nieuwe regels binnen twee jaar moeten omzetten in nationaal recht. In Nederland is op 1 januari 2020 al de Wet afwikkeling massaschade in collectieve actie (WAMCA) in werking getreden waarmee belangenorganisaties collectief een schadevergoeding kunnen eisen.
Alles bij de bron; EuNu
De EU werkt aan een nieuwe set regels die bedrijven makkelijker toegang moet geven tot publieke en persoonlijke gegevens. Europa spiegelt zich zo aan de soepelere regels in de VS en Azië. Achterliggend idee: in die regio’s konden techbedrijven zich sneller ontwikkelen dankzij beter beschikbare data.
Maar de olifant in de kamer is Europa’s privacywetgeving GDPR.
De versoepelingen die op tafel liggen, zijn niet min. Zo moeten bedrijven die de data willen gebruiken niet langer hun hoofdkwartier in Europa hebben. De data moeten ook niet langer op Europees grondgebied ‘blijven’. Er moet wel altijd een lokale vertegenwoordiger zijn in het kader van de datatoegang.
Het doel van Europees commissaris voor de Interne Markt Thierry Breton is duidelijk; door bedrijven meer toegang te geven tot data waar ze ideeën op kunnen uitproberen, zullen die bedrijven makkelijker nieuwe diensten en producten kunnen ontwikkelen. Ook onderzoeksinstellingen zouden profiteren van de nieuwe regels om ‘maatschappelijke uitdagingen’ te helpen aanpakken...
...Het is niet meteen duidelijk hoe de nieuwe regels kunnen verzoend worden met de GDPR. De EU verzekert dat die zal blijven gelden voor bedrijven die onder de nieuwe regels met Europese data aan de slag willen gaan. Dat wil zeggen: technische oplossingen inbouwen die de privacy moeten beschermen. Zo zouden persoonsgegevens altijd geanonimiseerd moeten worden alvorens bedrijven ze kunnen inkijken.
De geschiedenis leert echter dat een set geanonimiseerde data vaak heel wat persoonlijke informatie kan opleveren wanneer die gekruist wordt met andere informatie. De Europese instellingen staan dus voor de uitdaging om slimme, innovatieve bedrijven voor te blijven alvorens ’s werelds grootste datamarkt verandert in ’s werelds grootste privacynachtmerrie.
Alles bij de bron; Business AM
De Europese Raad is een groot voorstander van encryptie om onze privacy en veiligheid te waarborgen. Tegelijkertijd pleit de instantie ervoor om opsporingsinstanties en andere bevoegde autoriteiten toegang te geven tot versleutelde berichten. Diensten die berichten versleutelen zouden zogeheten master keys moeten creëren en opslaan om dit mogelijk te maken.
Dat schrijft de Europese Raad, die is samengesteld uit de regeringsleiders van alle 27 EU-lidstaten, in een conceptvoorstel voor een resolutie over encryptie. Het document draagt de titel Security through encryption and security despite encryption...
...In een conceptversie van een resolutie over encryptie schrijven de regeringsleiders van de EU-lidstaten dat ze de ontwikkeling, implementatie en gebruik van encryptie steunen en respecteren, maar dat er een ‘betere balans’ moet komen.
“Beschermen van privacy en beveiliging van communicatie door middel van encryptie en tegelijkertijd ervoor zorgen dat bevoegde autoriteiten op het gebied van criminaliteit en beveiliging wettelijke toegang krijgen tot deze data voor het bestrijden van georganiseerde misdaad en terrorisme, zowel in de fysieke als digitale wereld, is van extreem groot belang”, zo schrijft de Europese Raad in het conceptvoorstel.
Alles bij de bron; VPN-Gids
Eurocommissaris Margrethe Vestager (Mededinging en Digitale samenleving) is ervan overtuigd dat Europa techreuzen op te laten splitsen als dat nodig is. Vestager deed de uitspraak dinsdag tegenover het Europees Parlement...
...Hoe de opsplitsing in zijn werk moet gaan in de praktijk blijft voorlopig nog onduidelijk. Ook Verstager kan die vraag nog niet beantwoorden. Vermoedelijk ontstaan er dan lange juridische processen.
Europa ligt net als de Verenigde Staten op veel terreinen overhoop met techreuzen. Facebook dreigde onlangs zijn digitale diensten, waaronder ook Instagram, terug te trekken uit de Europese Unie als privacytoezichthouders de huidige koers aanhouden. Onlangs bepaalde de EU-privacywaakhond dat doorgifte naar de VS niet meer is toegestaan.
Alles bij de bron; AGConnect
Waarom mijn titel ‘smeerboel’? Het is in ieder geval geen verwijt aan het Hof. Sterker nog, de uitspraak van het Hof is volkomen terecht. En viel ook te verwachten na de Schrems I uitspraak. Want in Schrems I oordeelde het Hof destijds al dat de Safe Harbor afspraak tussen de EU en de VS (de voorganger van Privacyshield) geen stand kon houden.
En het Hof heeft ook een kritische noot over de Standard Contractual Clauses (SCC) opgenomen. Je kunt niet volstaan met het simpel ondertekenen van de SCC. Je moet ook toetsen in het land van doorgifte hoe het met de nationale wetgeving zit, en met name of die wetgeving geen afbreuk doet aan de bescherming die je via die SCC’s wilt creëren.
Dat brengt me op mijn punt: het is Europa die er dus een smeerboel van maakt. Zeker als je op je klompen kunt aanvullen dat je nat gaat met Privacyshield. Dat mag niet alleen de EU commissie zich aantrekken (die die afspraak heeft gemaakt en ook de SCC), maar zeker ook de EU-privacywaakhonden. Die EU waakhonden zitten samen in een vehikel genaamd de European Data Protection Board (EDPB). En die hadden deze bui natuurlijk ook (allang) moeten zien hangen.
De EDPB is na drie maanden nog niet veel verder dan het benoemen van een taskforce die “will prepare recommendations to assist controllers and processors with their duty to identify and implement appropriate supplementary measures to ensure adequate protection when transferring data to third countries.”
Sinds Schrems II op 16 juli van kracht is, zit zo’n beetje heel ondernemend Europa met de handen in het haar en is er niemand die precies weet hoe je nu moet toetsen of in een bepaald land ‘een gelijkwaardig beschermingsniveau in de praktijk kan worden gewaarborgd’.
Ik vind het eerlijk gezegd behoorlijk triest wat de EU hier aan daadkracht laat zien, of beter: het gebrek eraan.
Alles bij de bron; AGConnect
De Europese Commissie onderzoekt of de Europese PNR-richtlijn (Passenger Name Record), die luchtvaartmaatschappijen verplicht om passagiersgegevens aan de overheid te verstrekken, ook naar andere vormen van transport kan worden uitgebreid. Een plan dat op instemming van minister Grapperhaus van Justitie en Veiligheid kan rekenen, die eerder al keek om het PNR-systeem naar hogesnelheidstreinen uit te breiden.
Vrijwel alle EU-lidstaten hebben de PNR-richtlijn tot nationale wetgeving verwerkt. In Nederland zorgt de wet ervoor dat gegevens van vliegtuigpassagiers met vertrek of aankomst in Nederland vijf jaar lang worden bewaard in een database van de eenheid Passagiersinformatie Nederland (Pi-NL). Het gaat dan om reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.
De eenheid Pi-NL kan zowel de passagiersgegevens als het resultaat van de verwerking met Europol en vergelijkbare eenheden van andere lidstaten delen. Ook kunnen het Openbaar Ministerie, de politie, de bijzondere opsporingsdiensten, de Koninklijke marechaussee en de Rijksrecherche bij de eenheid Pi-NL informatie opvragen.
... De Europese Commissie heeft de richtlijn geëvalueerd en is over het algemeen positief dat die helpt bij de bestrijding van terrorisme en misdrijven (pdf).
De Commissie is naar aanleiding van de evaluatie niet van plan om wijzigingen in de PNR-richtlijn door te voeren. Wel gaat het onderzoeken of de richtlijn verder moet worden uitgebreid. Het gaat dan om reserveringen en gegevens van luchtvaartreizigers die via touroperators en reisbureaus worden verwerkt. Deze data ontbreekt namelijk nu.
Tevens zijn er al bepaalde landen die naast de gegevens van vliegmaatschappijen ook data van andere vervoersvormen opslaan. Het uitbreiden van de PNR-regel om ook gegevens van bijvoorbeeld internationale treinreizigers verplicht op te slaan roept grote juridische, praktische en operationele vragen op die eerst moeten worden onderzocht, aldus de Europese Commissie, die een dergelijk onderzoek ook heeft aangekondigd.