De Europese Unie kwam vrijdag na een uitzonderlijk lange onderhandeling tot een voorlopig akkoord om de ontwikkeling van kunstmatige intelligentie aan banden te leggen.
Vanuit de tech-industrie is zeer veel moeite gedaan om de nieuwe AI-wet iets af te zwakken. Deels met succes, maar de strengste regels bleven overeind.
De AI-wet moet ervoor zorgen dat AI-modellen in Europa straks veilig en transparant worden ingezet. Hoe hoger het risico op problemen, des te zwaarder de regels. Sommige systemen worden helemaal verboden. Denk aan programma’s die burgers kunnen beoordelen op hun gedrag, zoals in China gebeurt.
Voordat deze week de laatste gesprekken begonnen, was er een enorme lobby vanuit de techindustrie.
Een van de struikelblokken tijdens de gesprekken was de inzet van slimme camera's in de publieke ruimte, waarmee mensen gevolgd kunnen worden. Er komt een verbod, maar met uitzonderingen voor opsporingsdiensten.
"Daar zijn wij echt teleurgesteld in", zegt Nadia Benaissa van burgerrechtenorganisatie Bits of Freedom. "Wij hebben er altijd voor gepleit dat mensen zich vrij in de openbare ruimte moeten kunnen begeven. Deze uitzonderingen op het verbod lijken de deur open te zetten voor het legitimeren van massasurveillance."
Ook Europarlementariër Kim van Sparrentak had liever een volledig verbod. Maar volgens haar trokken sommige lidstaten daar een absolute grens, waardoor er water bij de wijn moest.
Over het algemeen is Bits of Freedom voorzichtig positief over de AI-wet. Ook Bo Hijstek, onderzoeker naar generatieve AI verbonden aan het Rathenau Instituut, prijst dat gedeelte van de wet. "Maar er blijven wel vragen open", zegt ze. "Hoe meet je of een AI-model voldoet aan mensenrechtelijke bescherming? Eisen in de regels zijn vaak op veel manieren te interpreteren. Bij veel producten is het functioneren controleerbaar, maar of iets aan mensenrechten voldoet is veel abstracter."
Overigens gaat het nog wel even duren voordat de Europese AI-wet van kracht is. Begin volgend jaar wordt er door de Europese raad en de lidstaten gestemd. Dit is doorgaans een formaliteit. Daarna duurt het nog twee jaar voordat de regels daadwerkelijk ingaan.
Alles bij de bron; NU
De Europese Commissie overweegt iMessage van Apple niet als poortwachter onder de Digital Markets Act (DMA) te laten vallen. Vooral de beperkte populariteit van de dienst zou hieraan ten grondslag liggen.
De Europese Commissie identificeerde een reeks platforms als poortwachters onder de DMA. Het gaat daarbij om 22 diensten van in totaal zes bedrijven. In september startte de EC een onderzoek naar iMessage, evenals Bing, Edge en het advertentieplatform van Microsoft. Met deze onderzoeken wil de commissie in kaart brengen of ook deze diensten onder de DMA vallen.
In het onderzoek naar iMessage lijken Europese ambtenaren nu voorzichtig te concluderen dat iMessage niet populair genoeg is om onder de DMA te vallen.
Alles bij de bron; DutchITChannel
Digitale burgerrechtenbeweging EDRi verwacht niet dat er een akkoord wordt bereikt over het plan van de Europese Commissie om alle berichten van burgers door middel van client-side scanning te controleren.
Burgerrechtenbewegingen, privacyorganisaties, beveiligingsexperts, academici en techbedrijven waarschuwden voor het plan. Dat zou namelijk tot massasurveillance leiden en een ernstige aantasting van de privacy en vrijheid van burgers vormen.
Het Europees Parlement verwierp eerder deze maand het plan van Brussel om client-side scanning in te voeren. Nu het parlement een positie heeft ingenomen vindt er een trialoog plaats, overleg tussen het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie.
Het doel van een trialoog is om tot een voorlopig akkoord over een wetgevingsvoorstel te komen dat voor zowel het Parlement als de Raad, de medewetgevers, aanvaardbaar is. Er is echter nog altijd geen voorgestelde tekst, laat staan een politiek akkoord van voldoende EU-lidstaten, merkt EDRi op.
De digitale burgerrechtenbeweging merkt op dat de volgende stappen voor het wetsvoorstel onduidelijk zijn, maar dat het hier om een mijlpaal gaat in de bescherming van digitale mensenrechten en het erop rekent dat de Raad op dit gebied. geen stappen terugdoet.
Alles bij de bron; Security
Met een nieuwe brief vragen wetenschappers bijkomende waarborgen aan de Europese Commissie en de Raad om de eIDAS-wetgeving alsnog aan te passen. Ze zien eIDAS als een gevaar voor de privacy. ‘Als gevolg van onze brief zijn er in extremis nog een aantal aanpassingen gedaan, maar volgens ons zijn die onvoldoende’, zo stelt professor Bart Preneel, één van de initiatiefnemers.
Daarom hebben wij een nieuwe brief geschreven die voorstelt aan het parlement om bijkomende waarborgen te vragen aan de Commissie en de Raad.’
eIDAS staat voor Electronic Identitification And Trust Services en is een Europese verordening rond elektronische identificatie die wederzijdse erkenning van nationale inlogmiddelen mogelijk moet maken.
Door gebruik te maken van eIDAS moeten gebruikers binnen de Europese Unie zich bijvoorbeeld onderling kunnen aanmelden op digitale toepassingen van de verschillende Europese lidstaten.
Voornamelijk Europese wetenschappers hebben hun bezwaren. Nieuw is dat niet. Begin deze maand hadden meer dan vijfhonderd wetenschappers en een groot aantal ngo's een open brief geschreven over ernstige problemen met de nieuwe eIDAS-verordening over elektronische identificatie en ‘trust services’. ‘Het gaat over de EU digitale portefeuille van de EU (de zogenaamde digital wallet) en mobiele authenticatie, maar er zijn ook implicaties op de veiligheid van het web’, licht Preneel toe.
De kern van het probleem is, zo stelt hij, dat EU-lidstaten de mogelijkheid krijgen om burgers af te luisteren door regels op te leggen aan browsercertificaten. ‘De regels voor portefeuille bieden ook onvoldoende waarborgen tegen het volgen of tracken van gebruikers.’
Alles bij de bron; Computable
De Europese Raad, het Europees Parlement en de Europese Commissie hebben een voorlopig akkoord bereikt over de Prüm II-verordening. Als onderdeel daarvan moet het mogelijk worden om meer soorten data tussen verschillende politiekorpsen in de EU automatisch uit te wisselen.
De Prüm II-verordening staat toe dat ook mugshots of biometrische foto's van verdachten of veroordeelde criminelen voortaan uitgewisseld worden tussen EU-landen, waarna ze bijvoorbeeld gebruikt kunnen worden voor het automatisch vergelijken van gezichten. Ook politierapporten mogen onder de nieuwe wet gedeeld worden. In het Verdrag van Prüm uit 2005 mochten dna-gegevens, vingerafdrukken en voertuigregistratiegegevens al uitgewisseld worden met andere EU-landen, maar het aantal categorieën wordt nu dus uitgebreid...
...het 'hit-no-hit'-principe wordt nu deels van tafel geveegd, aangezien autoriteiten voortaan zonder eerst een geautomatiseerde match te krijgen, alle categorieën mogen doorzoeken om vermiste personen te vinden. Namen, geboortedata en zaaknummers van strafprocedures mogen nog steeds enkel worden uitgewisseld na een positieve match. Als er een positieve match is, moet het land in kwestie de relevante gegevens binnen 48 uur verstrekken.
Verder is het de bedoeling dat er een centrale router wordt opgezet, zodat het verbinden van de databases van de verschillende lidstaten wordt vereenvoudigd, stelt de EU.
Alles bij de bron; Tweakers
De veiligheid van degenen die in Europa wonen is een topprioriteit voor de Europese Commissie.
Daarom verwelkomt de Commissie het politieke akkoord dat het Europees Parlement en de Raad hebben bereikt over de verordening inzake geautomatiseerde gegevensuitwisseling voor politiële samenwerking (Prüm II).
Het Prüm-raamwerk heeft bewezen een grote rol te hebben gespeeld bij het oplossen van veel misdaden in Europa. Uitwisselingen in het kader van het Prüm-kader worden dagelijks door de politie gebruikt...
Dit raamwerk wordt nu aanzienlijk verbeterd door gezichtsopnamen en politieregistraties toe te voegen, die cruciaal zijn voor de rechtshandhaving, en door gegevensstromen te centraliseren, om ze sneller en effectiever te maken .
Het Europees Parlement en de Raad zullen de verordening nu formeel moeten goedkeuren, in overeenstemming met het bereikte politieke akkoord.
Alles bij de bron; DutchIT
Google en Microsoft gaan niet in beroep tegen hun aanwijzing als poortwachter onder de Europese Digital Markets Act. Dat bevestigen de bedrijven tegen Reuters.
"We zullen blijven samenwerken met de Europese Commissie om te voldoen aan de verplichtingen die Windows en LinkedIn onder de DMA opgelegd hebben gekregen", aldus een woordvoerder van Microsoft.
Bedrijven die tegen hun benoeming als poortwachter zijn, kunnen tot 16 november bezwaar aantekenen.
Meta en TikTok zouden dat bijvoorbeeld overwegen. Meta, dat onder de DMA valt met Instagram, Facebook, Messenger, WhatsApp en zijn advertentieplatform, wilde niet reageren op vragen.
TikTok wilde dat ook niet, maar zei eerder al dat het bedrijf het fundamenteel oneens is met zijn benaming als gatekeeper.
Ook Apple schijnt van plan te zijn om in beroep te gaan; die techgigant valt onder de DMA met zijn App Store, de Safari-webbrowser en het iOS-besturingssysteem.
Onder de Digital Markets Act krijgen techgiganten te maken met strengere concurrentieregels. Die regels gelden voor Microsoft Windows en Google Android.
:strip_exif()/i/2006076636.jpeg?f=imagenormal)
Alles bij de bron; Tweakers
Het huidige voorstel voor client-side scanning van de Europese Unie krijgt felle kritiek van Europese experts. Het voorstel zou onder meer end-to-end-encryptie ondermijnen. Tijdens een recent seminar over het onderwerp van de overkoepelende Europese privacytoezichthouder EDPS uiten diverse experts hun zorgen.
Critici stellen dat de aanpak de privacy van gebruikers aantast. Zo stellen experts op het seminar dat de voorgestelde aanpak de private communicatie van gebruikers aantast, ook indien deze niet gerelateerd is aan kindermisbruik.
Met name kinderen zijn hierbij kwetsbaar, aangezien beelden die zij bewust privé delen als schadelijk kunnen worden geclassificeerd door client-side scanning.
Ook stellen de experts dat de voorgestelde werkwijze end-to-end-encryptie op kritieke wijze ondermijnt terwijl dit juist van cruciaal belang is om cyberdreigingen tegen te gaan.
Alles bij de bron; DutchITChannel
Wetenschappers en andere experten trekken aan de alarmbel over de eIDAS regelgeving waar Europa momenteel de laatste hand aan legt. Last minute aanpassingen bevatten enorme risico’s om burgers af te luisteren en je digitale identiteit volledig in kaart te brengen.
eIDAS (electronic IDentification Authentication and trust Services) is een Europese verordening rond elektronische identificatie. Eenvoudig samengevat is het een wettelijk kader om een digitale identiteit doorheen de EU op te zetten. Daar wordt nu een wettekst rond klaargestoomd zodat bijvoorbeeld een Belg ook in Spanje met zijn nationale digitale identiteitskaart (of een online identificatie zoals Itsme) kan gebruik maken van online overheidsdiensten ter plaatse.
In een open brief waarschuwen 335 wetenschappers uit 32 landen en enkele NGO’s, waaronder de Electronic Frontier Foundations (EFF) dat de wettekst zaken bevat die onze privacy en online veiligheid op de helling kunnen zetten.
Concreet waarschuwt de brief voor de inhoud van artikel 45. Die geeft overheden de mogelijkheid om zelf certificaten (cryptografische sleutels) uit te reiken, die ook alleen maar met toestemming van die overheid kunnen worden ingetrokken.
Dat oogt als een praktische omschrijving, maar de wetenschappers in de brief waarschuwen dat dat zeer foute gevolgen kan hebben. ‘Normaal gaat aan het mogen aanmaken van zo’n sleutels een complex controleproces vooraf. Maar door overheden het de facto zelf te laten doen, omzeilen ze die controle,’ zegt professor Bart Preneel (KU Leuven) aan Data News.
Hij wijst er op dat in het verleden Frankrijk al betrapt werd op de uitgave van valse certificaten: ‘Als dat in deze omstandigheid opnieuw zou gebeuren, dan kan een browser als Firefox die sleutels ook niet intrekken,’ waarschuwt hij. Enkel de betrokken overheid kan dat doen volgens de wettekst.
Dat overheden zelf certificaten uitgeven zet de deur open voor misbruik en controle op internetverkeer. Preneel wijst als voorbeeld naar Diginotar, een Nederlandse certificaatverstrekker die in 2011 werd gehackt. Daardoor kon Iran valse certificaten uitreiken waardoor het land burgers kon bespioneren die bijvoorbeeld hun Google-account raadpleegden. De overheid kon als ‘man in the middle’ het verkeer afluisteren terwijl de gebruiker een certificaat zag die deed uitschijnen dat het verkeer versleuteld was.
Een ander heikel punt in de wettekst is dat ze ook toelaat dat overheden, maar ook commerciële dienstverleners, de activiteiten uit een digitale portefeuille van een burger gaan linken en zo een sterk digitaal profiel van je kunnen opbouwen. De open brief zegt dat de wettekst weliswaar toelaat dat privacybeschermende technologie wordt gebruikt om dat te voorkomen, maar het is niet verplicht.
De wetenschappers merken op dat die vaagheid in de tekst een privacyrisico kan vormen wanneer ze door de lidstaten wordt geïmplementeerd. Ze vrezen dat technologiebedrijven zich zouden kunnen vestigen in het land dat de zwakste regels hanteert om online activiteiten gescheiden te houden.
Vervolgens kan een technologiebedrijf van daaruit zonder veel beperking de online activiteiten van alle EU-burgers aan elkaar linken, gekoppeld aan een Europese identiteit. Daarom pleit de open brief om ook de privacybescherming te harmoniseren voor alle lidstaten.
‘Zonder deze nodige amendementen riskeert de eIDAS regulering een geschenk te worden voor Google en andere big tech spelers. Een Europese oplossing voor de centrale vraag om met gevoelige identiteitsinformatie om te gaan, moet burgers beschermen tegen surveillance kapitalisme door sterke technische mechanismen en moet weerbaar zijn tegen pogingen om het systeem te misbruiken door aan jurisdictie-shopping te doen’, aldus de wetenschappers in de brief.
‘Het is voorzien dat als de industrie die wallet gebruikt, je mag werken met pseudoniemen,’ vertelt Preneel. ‘Je kan dan bijvoorbeeld nog steeds bewijzen dat je een Belgische burger bent bij een bank, Europese instelling of een ander bedrijf waar je je identificeert, maar zonder veel kans dat die zaken aan elkaar worden gekoppeld. Maar op het laatste moment is dat luik optioneel gemaakt. Als één lidstaat dan bijvoorbeeld geen pseudoniemen toelaat, dan gaan alle techspelers zich daar vestigen en veel vlotter gebruikers kunnen identificeren. Dit past in de context van de bestrijding van internetmisdaad, maar alle burgers identificeerbaar maken vinden we een stap te ver.’
Last minute wijzigingen
Preneel hekelt dat de tekst lange tijd publiek was, maar in de bijna-finale versie blijkt dat er achter gesloten deuren details worden aangepast die de inhoud stevig wijzigt.
‘We kregen plots een versie, die naar ons is gelekt, onder ogen die met een paar kleine aanpassingen plots de deur opent voor massasurveillance,’ zegt Preneel. Die tekst gaat op 8 november naar de triloog, een overleg tussen de Europese Commissie, het Europees Parlement en de Raad van Ministers. Daarna volgt een goedkeuring in het Europees Parlement op basis van de laatste versie van de tekst.
Alles bij de bron; DutchIT
De European Data Protection Board, een samenwerkingsverband van verschillende Europese privacytoezichthouders, hebben na een spoedprocedure besloten dat Meta onrechtmatig persoonsgegevens van gebruikers verwerkt. Meta doet dat terwijl hier geen juridische basis voor is, zo schrijft de Autoriteit Persoonsgegevens.
Het samenwerkingsverband suggereert dat Meta op basis van posts, woonplaats, leeftijd en interactie met berichten een gebruikersprofiel aanmaakt dat interessant is voor adverteerders, waarmee het bedrijf geld verdient. Meta zou daarentegen niet kunnen rechtvaardigen dat er op deze manier gebruikersgegevens verwerkt moeten worden. "Meta houdt bij wat je op Facebook en Instagram zet, aanklikt of leuk vindt en gebruikt die informatie voor het aanbieden van persoonsgerichte advertenties", aldus de EPDB. "Het onterecht verwerken van de persoonlijke informatie van miljoenen mensen op Facebook is een verdienmodel voor Meta. Door hier een eind aan te maken, is de privacy van mensen beter beschermd."
Het spoedproces dat aan het verbod op gepersonaliseerde advertenties voorafging, werd in werking gezet door Noorwegen. Eerder besloot de Noorse privacytoezichthouder Datatilsynet al om Meta vanaf begin augustus drie maanden lang 88.000 euro boete per dag te geven voor het overtreden van de AVG.
Het samenwerkingsverband draagt de privacytoezichthouder van Ierland, het land waar Meta in Europa is gevestigd, op om binnen twee weken maatregelen tegen het socialemediabedrijf te nemen. De Ierse Data Protection Commission zou tot dusver niet 'voortvarend genoeg' hebben opgetreden tegen Meta.
Alles bijde bron; Tweakers