Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren leidt tot een disproportionele beperking van verschillende grondrechten en kan voor false positives zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.
Morgen vindt in de Tweede Kamer een rondetafelgesprek plaats waarbij experts Kamerleden over client-side scanning en de gevolgen hiervan zullen informeren. Van Hoepman, Hubert en Borgesius is het position paper openbaar, waarin ze hun standpunt kenbaar maken.
Alle drie de experts wijzen op de gevaarlijke gevolgen die client-side scanning kan hebben. "Misschien helpt een vergelijking met bestaande technologie duidelijk te maken dat het voorstel van de commissie een gevaarlijk precedent schept", stelt Hoepman.
De experts waarschuwen ook voor de vergaande gevolgen die een onterechte melding kan hebben. Brussel wil door een algoritme zowel onbekende als bekende misbruikafbeeldingen detecteren. "In de praktijk komt het nu al voor dat communicatiediensten zoals Microsoft en Google ten onrechte de account van een gebruiker afsluiten, omdat hun AI-systemen onschuldige beelden aanzien voor CSAM-materiaal", merkt Borgesius op.
Volgens Hubert zijn onterechte meldingen niet zonder gevolgen. "Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was."
De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. "Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren."
Borgesius noemt in zijn position paper ook de aantasting van grondrechten van burgers. "Als het voorstel wordt aangenomen, zou voor het eerst in Europa de communicatie van honderden miljoenen onschuldige mensen worden gemonitord en geanalyseerd voor de overheid", waarschuwt de hoogleraar. Hij verwacht ook dat het voorstel voor zo veel ‘false positives’ zal zorgen, dat de autoriteiten overspoeld worden en de meldingen niet kunnen onderzoeken. "De verordening zal daarom waarschijnlijk niet effectief zijn."
Alles bij de bron; Security
Om de verspreiding van het Covid-19-virus tegen te gaan grepen heel wat Europese landen een tijdlang naar ingrijpende beperkingen op buitenlandse reizen. Daarnaast werd ook het PLF ingevoerd voor wie de grens overstak of naar ons land kwam: zij moesten daarop de details van hun reis aangeven.
Dergelijke maatregelen waren al tijdens het hoogtepunt van de coronacrisis erg omstreden. Het nut van een PLF was niet altijd duidelijk, en bovendien botsten die ingrepen op de grenzen van de privacy en de vrijheid van beweging in Europa.
Toch zette de Kamer deze week het licht op groen om reisbeperkingen en een PLF in te kunnen voeren zonder dat er sprake is van een pandemie. Niet iedere uitbraak van een gevaarlijk virus wordt immers meteen als een pandemie bestempeld. Maar als ergens opnieuw ebola uitbreekt, is het belangrijk om reizen uit die landen enigszins in handen te houden, klinkt het.
Tijdens de coronacrisis was er grote kritiek dat de regering via de pandemiewet al te veel macht naar zich toe trok. Volgens oppositiepartij N-VA is dat probleem nog altijd niet van de baan. “Er wordt op geen enkele manier voorzien in enige parlementaire controle. Dat kan voor ons niet in een moderne democratie”, aldus fractieleider Peter De Roover.
Ook hij vindt de wet te hypothetisch opgesteld. De tekst heeft het over infectieziekten met grensoverschrijdende risico’s voor de Belgische volksgezondheid. Daar kan heel veel onder vallen. “In welke omstandigheden zou dit wettelijk kader kunnen worden geactiveerd? En hoe zullen toekomstige besmettelijk ziektes zich manifesteren? Dat weet niemand. Met Europese reisbeperkingen mag toch niet lichtzinnig worden omgesprongen.”
Alles bij de bron; deMorgen
Daar is plots het ‘passagier lokalisatie formulier’ weer. U weet wel: het PLF, dat reizigers in volle pandemie dienden in te vullen als ze België wilden binnenkomen.
Nu heeft de Kamer een wet goedgekeurd die het mogelijk maakt om het PLF en zelfs een inreisverbod tijdelijk in te voeren buiten een epidemische noodtoestand. Dat gebeurde afgelopen donderdag vrij geruisloos, met een gewone stemming van meerderheid tegen minderheid. De meerderheid kraaide er geen victorie over, de oppositie sloeg geen alarm.
Die stille terugkeer van het PLF verwondert. De bijdrage van het formulier, en zelfs van inreisverboden in het algemeen, aan de strijd tegen de pandemie mag sterk genuanceerd worden. Bovendien vielen er wel wat vragen te stellen bij de privacyrisico’s bij het registreren, stockeren en analyseren van private reisinformatie. Alleszins ontbreekt een evaluatie die glashelder aantoont dat de baten van het PLF de inperking van de privacy rechtvaardigen.
Wat nog meer verwondert, is dat de nieuwe wet expliciet bedoeld is voor andere situaties dan de zogenaamde “epidemiologische noodsituatie”. Voor die laatste is er immers een pandemiewet, die noodmaatregelen mogelijk maakt. Nu heet het dat er ook andere omstandigheden mogelijk zijn waarbij het mogelijk kan zijn om “reisbeperkende maatregelen” tijdelijk in te voeren om de volksgezondheid en het gezondheidssysteem te beschermen. Het is niet duidelijk welke omstandigheden dat zijn.
Dit zou alarmbellen mogen doen afgaan, de tendens wijst ontegensprekelijk naar steeds verdere opoffering van de individuele vrijheid op het altaar van de volledige veiligheid en risicoloze samenleving. Die trend voltrekt zich niet in schokken, maar schuift millimeter per millimeter op.
Natuurlijk kan je ook nu weer zeggen dat het weinig uitmaakt om een reisverbodwet te hebben voor uitzonderlijke omstandigheden. Tot een regering, bijvoorbeeld, op het idee komt om asiel of migratie uit sommige landen te verbieden omwille van het risico op besmettelijke ziekte. Klinkt dat absurd? Niet veel absurder dan de politie die beelden van alomtegenwoordige veiligheidscamera’s dreigt te misbruiken voor chantage of revanche. Het overkwam onlangs minister van Justitie Vincent Van Quickenborne (Open Vld).
In volle coronapandemie heeft de Belg vrij probleemloos ingestemd met drastische, tijdelijke inperkingen van zijn vrijheid, en de deal was dat al die uitzonderingsmaatregelen na de pandemie weer voorgoed zouden verdwijnen. “Na deze crisis moet de coronapas in een schuif, de schuif gaat op slot, en de sleutel gooien we weg”, zwoer premier Alexander De Croo begin vorig jaar. Voor het PLF geldt hetzelfde. Regeringsbronnen noemen de reisverbodwet een formaliteit. Ik noem het woordbreuk.
Alles bij de bron; deMorgen
De Europese Commissie heeft de eerste 'poortwachters' aangewezen die onder de Digital Markets Act vallen. Die moet de concurrentie in verschillende digitale markten bevorderen.
Onder de bedrijven die als poortwachter worden aangemerkt, vallen Alphabet, Amazon, Apple, ByteDance, Meta en Microsoft.
Al die bedrijven hebben verschillende diensten die aan strengere DMA-regels moeten voldoen. Die worden opgedeeld in meerdere categorieën.
Onder sociale media vallen bijvoorbeeld platforms als Facebook, Instagram en TikTok. Android, iOS en Windows worden onder de DMA gereguleerd als besturingssystemen en Chrome en Safari als webbrowsers. De DMA valt ook onder bepaalde zoekmachines, videodeelplatforms, berichtendiensten, intermediation-diensten en advertentieplatforms...
...De wet moet onder meer de gesloten platforms van poortwachters openbreken. Zo moeten aangemerkte berichtendiensten, zoals WhatsApp, begin volgend jaar interoperabel worden met concurrerende berichtendiensten. Dat geldt in eerste instantie voor basale tekstberichten, maar complexere functies moeten op de langere termijn ook werken tussen verschillende berichtendiensten. Groepsgesprekken moeten bijvoorbeeld binnen twee jaar interoperabel zijn, terwijl spraak- en videochats na vier jaar interoperabel moeten zijn met andere platforms.
De regels van de Digital Markets Act zijn overigens nog niet van kracht. De aangewezen poortwachters krijgen nu eerst een half jaar om aan de regels te voldoen. De deadline voor naleving ligt op 6 maart 2024.
Alles bij de bron; Tweakers
De Gegevensbeschermingsautoriteit schrijft dat ze 389 oude dossiers niet langer in behandeling neemt. De GBA zegt dat het van die klachten 'niet langer opportuun is om de dossiers verder te behandelen'. "Dit onder meer omdat elk van die dossiers al langer dan één jaar niet behandeld werd en omdat de omstandigheden van de zaak niet in het bijzonder prioritair of maatschappelijk bovenmatig relevant zijn", zegt de toezichthouder.
Bij de oudere dossiers die nog op de plank lagen, kijkt de GBA nu per geval of het nog zin heeft ze te behandelen. Indieners van een klacht worden daarvan op de hoogte gebracht en kunnen bezwaar maken tegen de seponering.
Ook de Nederlandse Autoriteit Persoonsgegevens zegt dat ze te veel klachten en meldingen krijgt en daardoor zaken moet laten liggen, maar de AP seponeert die zaken vooralsnog niet.
Alles bij de bron; Tweakers
Privacy in het digitale tijdperk is een ongrijpbaar idee. Veel mensen zal het een zorg zijn dat hun data heen en weer flitsen tussen Europa en de VS. Dat voelt nu eenmaal anders dan een verborgen camera in de slaapkamer, of een ziekenhuis dat patiëntendossiers bij de vuilnisbak laat slingeren.
Ten onrechte. Het nieuwe Privacy Shield, dat deze week is afgesproken tussen Brussel en Washington, raakt elke EU-burger. Gegevens over het privéleven mogen weer op Amerikaanse computerservers worden bewaard. Chats, verzekeringsclaims, gedetailleerde reisgegevens, foto's, alles gaat erheen. Net als de data van de overheid, van strafblad- tot belastingdossiers.
Van zo'n deal mag een burger waterdichte privacybescherming verwachten. Maar die is er niet. Amerikaanse politie- en spionagediensten hebben toegang tot alle Amerikaanse computerservers. Om die reden sneuvelden de vorige twee overeenkomsten bij de Europese rechter in Luxemburg. En ook in de nieuwe deal zijn Europese burgerrechten niet goed beschermd, vinden zowel privacyexperts als het Europees Parlement.
Privacy Shield geeft de VS ook weer grotere macht over de Europese economie, terwijl Brussel juist meer autonomie wil. Want data die eenmaal in de Amerikaanse cloud zit, komt er niet meer uit.
Max Schrems, de bekende Oostenrijkse wreker die de vorige privacyregelingen torpedeerde, heeft al een rechtszaak aangekondigd. Als hij wint, moeten alle EU-data in de Amerikaanse cloud weer terug naar Europa.
Alles bij de bron: FD
De Europese Commissie heeft vandaag ingestemd met de opvolger van het zogeheten Privacy Shield, het EU-US Data Privacy Framework. Daarmee kunnen gegevens van Europese burgers in de VS worden opgeslagen.
Het verdrag treedt deze week meteen in werking.
Privacyactivist Max Schrems, de man die het Privacy Shield-verdrag deed sneuvelen, is van plan om het nieuwe verdrag te laten toetsen door het Europese Hof komt te liggen. Volgens Schrems s het Data Privacy Framework ‘grotendeels een kopie van het gefaalde Privacy Shield’.
Alles bij de bron; Emerce
Het Europees Parlement en de EU-Raad bereikten afgelopen week een voorlopig (!?) politiek akkoord over een Europese digitale identiteit (eID).
De Tweede Kamer debatteerde eerder heftig met staatsecretaris van Huffelen, die – tegen de uitdrukkelijke wil van de Kamer in – tóch ingestemde met het EU-voorstel. Iets dat de regering – dit weekend gevallen – wel vaker deed: zich niets aantrekken van de volksvertegenwoordiging.
Ironisch is dat een eigen Europese app voor Apple en Google platformen, Europa juist afhankelijk maakt van de Big Tech industrie. Zoals een Clingendael artikel terecht concludeert: ‘We worden afhankelijk van hun goedwillendheid wat betreft de controle over en de beschikbaarheid van een essentiële component van onze democratische rechtsorde: het vaststellen van identiteit, van burgerschap.’
Iedere burger heeft via een geboortebewijs en paspoort al een gedigitaliseerd identiteitsbewijs. Immers op de ingebouwde chip is identiteit inclusief foto, BSN en vingerafdruk eenduidig vastgelegd, inclusief de mogelijkheid tot elektronische communicatie. Wat is de meerwaarde van het hebben van extra digitale attributen? ....
....Onze nationale oplossingen om onze identiteit ook digitaal te presenteren, werken goed en zijn techniek en platform onafhankelijk. Het vaststellen van iemands identiteit mag nooit afhankelijk zijn of worden van de beschikbaarheid van een digitaal informatieplatform. Ook in een niet digitale wereld moet identificatie en authenticatie mogelijk blijven. We hebben met het corona-paspoort al gezien tot wat voor problemen dat leidde bij ouderen en andere niet of minder digitaal vaardigen.
De ironie is dat een eigen EU-app voor Apple en Google platformen Europa juist afhankelijker maakt van deze Big Tech industrie dan onafhankelijker. En zoals dit artikel in privacy-news stelt: Burgers zullen waarschijnlijk niet snel geneigd zijn het eID buiten de sfeer van publieke diensten te gebruiken. En juist dit heeft de Europese Commissie voor ogen heeft om het gebruik van het eID toe te laten nemen. Het lijkt mij nu al een duur project te worden met weinig kans op werkelijk succes.
Alles bij de bron; DutchIT
Het Europees Parlement wil misbruik van spionagesoftware strenger aan banden leggen. De leden roepen op tot beter onderzoek naar spywareprogramma's zoals Pegasus, zodat de veiligheid van burgers beter wordt beschermd. Ook moeten er duidelijke afspraken komen over de programma's en mogen lidstaten er geen misbruik van maken.
Een overtuigende meerderheid van het Parlement stemde donderdag voor het strengere toezicht. Dat gebeurde nadat een onderzoekscommissie woensdag haar bevindingen presenteerde over misbruik met spionagesoftware.
Het Parlement vindt dat de inzet van spyware alleen nog in uitzonderlijke gevallen moet worden toegestaan. Het doel moet vooraf bepaald zijn en er moet een beperkte periode zijn vastgesteld. Verder moeten mensen op de hoogte worden gebracht als zij doelwit zijn geweest van spyware of als hun gegevens zijn bekeken bij toezicht op iemand anders.
Naar verwachting komen de Europese Commissie en Europese Raad nog voor het zomerreces met een reactie. Daarin maken ze bekend wat ze gaan doen met de aanbevelingen van de onderzoekscommissie gaan doen.
Alles bij de bron; NU
De Europese privacytoezichthouder wil dat het digitale rijbewijs waar de Europese Commissie aan werkt, niet verplicht moet worden gekoppeld aan het Europese identiteitsbewijs. Dat is voorlopig ook niet de bedoeling, maar de EDPS waarschuwt er alvast tegen.
De European Data Protection Supervisor schrijft dat in een persbericht. De toezichthouder reageert met de denkwijze op plannen van de Europese Commissie om een digitaal rijbewijs te ontwikkelen.
De Europese privacytoezichthouder geeft nu zijn eerste mening gegeven over dat plan. Het opvallendste aan die mening is dat er volgens de EDPS geen verplichte koppeling mag komen met de Europese digitale identiteitswallet. Ook dat is een plan van de Commissie, die wil dat in de toekomst alle identiteitsbewijzen van Europeanen ook digitaal kunnen worden opgeslagen. De EDPS zegt dat 'het gebruik van de EU Digital ID Wallet voor mobiele rijbewijzen optioneel, niet verplicht zou moeten zijn'. Er was nog geen sprake van dat het rijbewijs aan de wallet zou worden gekoppeld, maar dat lag wel voor de hand.
De EDPS stelt nog meer maatregelen voor rondom het rijbewijs. De toezichthouder vindt dat lidstaten alleen rijbewijsgegevens mogen uitwisselen om onderzoek te doen naar verkeersovertredingen en niet voor andere zaken. Ook moet er een maximale bewaartermijn komen voor gegevens.
Hoewel het slechts gaat om aanbevelingen en geen officieel beleid, kunnen de uitspraken van de EDPS belangrijk zijn in het debat. Voor beleidsmakers is nu duidelijk welke normen de toezichthouder zou willen hanteren.
Alles bij de bron; Tweakers