Nieuws uit Brussel
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De cookiepop-ups van IAB Europe, die op grote schaal door websites worden gebruikt om gebruikers toestemming te vragen voor het plaatsen van cookies, zijn in strijd met de AVG. Dat heeft het Hof van Justitie van de Europese Unie vandaag geoordeeld (pdf). De Belgische privacytoezichthouder GBA oordeelde al in 2022 dat het systeem in strijd met de AVG is.
Het Interactive Advertising Bureau Europe (IAB Europe) is de ontwikkelaar van het Transparency and Consent Framework (TCF). Dit is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt en een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB).
Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor RTB, waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte.
Het TCF vergemakkelijkt het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon...
...IAB Europa is van mening dat het geen verwerkingsverantwoordelijke is, maar dat is volgens de GBA wel het geval. De Belgische privacytoezichthouder stelde twee jaar geleden vast dat IAB Europe op verschillende punten de AVG heeft geschonden.
Vanwege het overtreden van de AVG besloot de Belgische privacytoezichthouder een boete op te leggen. IAB Europe ging in beroep tegen de boete bij het hof van beroep in Brussel, dat prejudiciële vragen heeft voorgelegd aan het Europees Hof. Dat laat vandaag weten dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. Daarnaast moet IAB Europe worden beschouwd als een „gezamenlijke verwerkingsverantwoordelijke” in de zin van de AVG.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Autoriteit Persoonsgegevens en andere Europese privacytoezichthouders, verenigd in de EDPB, gaan dit jaar onderzoeken of organisaties zich wel houden aan het recht op inzage dat mensen hebben.
Onder de AVG heeft iedereen een recht op inzage en kan zo opvragen welke persoonsgegevens een organisatie over hem of haar heeft. De organisatie moet die vervolgens binnen een bepaalde tijd verstrekken. Ook kunnen zij hiermee controleren of organisaties zich aan de regels houden bij het verwerken van hun gegevens.
Wanneer mensen inzage hebben gekregen, kunnen zij beroep doen op andere privacyrechten, zoals het wijzigen van incorrecte gegevens of het verzoeken om gegevens te verwijderen, bijvoorbeeld als de organisatie die in strijd met de wet gebruikt.
De Autoriteit Persoonsgegevens zegt hierover vaak klachten te ontvangen, bijvoorbeeld over organisaties die niet of te laat reageren op een inzageverzoek. De Europese privacytoezichthouders gaan de komende tijd organisaties benaderen met een vragenlijst. Daarmee moet duidelijk worden hoe organisaties het recht op inzage in de praktijk vormgeven.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De nieuwe Europese platformwet — de Digital Services Act (DSA) — is sinds 17 februari van kracht. Met deze wet worden de rechten van gebruikers van online platformen, waaronder sociale media, beter beschermd tegen de macht van Big Tech.
Om gebruikers op deze nieuwe rechten te wijzen en hen aan te sporen hier gebruik van te maken, lanceerden we de campagne 'blijf luid!' en de website jouwplatformrechten.nl.
In deze extra aflevering van de Bits of Freedom podcast praten Inge en Lotje je hierover bij. Wat staat er precies in de DSA? Wat kun je er van merken als gebruiker op sociale media platformen? En wat voor aanpassingen kun je zelf doen op jouw profiel?
Alles bij de bron; Bits-of-Freedom
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Europese digitale burgerrechtenbeweging EDRi wil dat de Europese Commissie een groep ontmantelt die het heeft opgericht om te bespreken hoe opsporingsdiensten meer toegang tot data kunnen krijgen. Volgens EDRi hebben massasurveillance en encryptiebackdoors geen plek in Europa.
De High-Level Group (HLG) 'Going Dark' die de Commissie oprichtte bestaat uit afgevaardigden van nationale opsporingsdiensten met als doel het bespreken van 'toegang tot data voor effectieve rechtshandhaving'.
Onlangs oordeelde het Europees Hof van de Rechten van de Mens tegen het toevoegen van een backdoor aan chatdienst Telegram. Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van online communicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico's worden blootgesteld.
Een week na deze uitspraak houden Europese instellingen een publieke consultatie waarbij ze zoeken naar tools en andere 'potentiële oplossingen' voor de problemen waar opsporingsdiensten mee te maken hebben als ze toegang tot elektronische gegevens willen. De 'Going Dark' groep van de Europese Commissie moet aanbevelingen voor toekomstig EU-beleid en wetgeving opstellen om de toegang van opsporingsdiensten tot data te vergroten, aldus EDRi.
"We hebben vernomen dat dit 'Going Dark' initiatief een poging is om gevaarlijke maatregelen, die de online privacy en veiligheid van iedereen in gevaar brengen, wit te wassen en ze voor het publiek acceptabel te doen lijken", zegt Chloé Berthélémy, beleidsadviseur van EDRi.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De Europese Commissie opent een formeel onderzoek naar TikTok wegens het mogelijk schenden van de Digital Services Act. De Commissie gaat onder andere onderzoeken of TikTok de DSA heeft geschonden op het gebied van kinderbescherming en ook op het gebied van advertentietransparantie, datatoegang voor onderzoekers en risicobeheer rondom schadelijke content en 'verslavend ontwerp'.
Het onderzoek volgt op een vooronderzoek van de EU uit september 2023.
De Digital Services Act omvat onder andere verplichtingen rondom het beschermen van gebruikers en of de leeftijdsverificatietools van TikTok, die moeten voorkomen dat minderjarigen schadelijke content te zien krijgen, afdoende zijn. De Commissie onderzoekt ook of het platform voldoende privacymaatregelen neemt voor minderjarigen, bijvoorbeeld door strenge standaardinstellingen te bieden.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving, zo heeft het Europees Hof van de Rechten van de Mens geoordeeld.
Het Hof deed uitspraak in een zaak die een Russische burger tegen de Russische overheid had aangespannen. Het ging over een wet die communicatieproviders verplicht om alle communicatiedata voor een periode van een jaar op te slaan, en de inhoud van de berichten voor een periode van zes maanden. Tevens moeten providers de autoriteiten de informatie verstrekken om versleutelde berichten te ontsleutelen.
Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van online communicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico's worden blootgesteld.
Een wettelijke verplichting om end-to-end encryptie te kunnen ontsleutelen zorgt er eigenlijk voor dat chatproviders worden verplicht om de encryptie voor alle gebruikers te verzwakken, wat niet proportioneel is ten opzichte van het beoogde doel, aldus het Hof.
Volgens Patrick Breyer, Europarlementariër van de Piratenpartij, zorgt de uitspraak ervoor dat client-side scanning zoals de Europese Commissie wil invoeren illegaal is.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Steeds meer overheden kijken naar het verplichten van online leeftijdsverificatie om bepaalde websites te bezoeken, maar dit kan leiden tot surveillance, heeft privacygevolgen en maakt het internet niet veiliger, zo waarschuwt de Europese burgerrechtenbeweging EDRi.
Die maakt zich vooral zorgen over een Iers voorstel dat de hele EU kan raken. "Er is een berg aan bewijs waaruit blijkt dat techbedrijven en staten niet te vertrouwen zijn met de meest private gegevens van mensen en het beschermen van hun digitale veiligheid", aldus EDRi.
Staten kunnen de leeftijdsverificatie voor allerlei websites verplichten. Het gaat dan bijvoorbeeld om gok- en pornosites, maar ook algemene videoplatforms. Zo kwam de Ierse mediatoezichthouder laatst met een voorstel dat voor dergelijke platforms 'robuuste leeftijdsverificatietechnologie' verplicht.
Omdat veel techbedrijven hun hoofdkantoor in Ierland hebben kunnen de gevolgen van het voorstel in heel Europa voelbaar worden en miljoenen mensen treffen die diensten zoals Instagram en YouTube gebruiken, vreest EDRi. Niet alleen de Ierse autoriteiten kijken naar leeftijdsverificatie, ook in het Verenigd Koninkrijk en België is dit het geval.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Privacy First adviseert burgers om zich af te melden voor het delen van gegevens via de European Health Data Space (EHDS). Iets wat twee keer moet worden gedaan.
"Het architectuurmodel van de EHDS (voor primair gebruik) komt namelijk in grote mate overeen met het Landelijk EPD uit 2011. Daarmee ontstaan dezelfde risico’s voor de privacy en veiligheid, alleen dan op Europese schaal", aldus de stichting.
Het EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. De onderhandelingen over de EHDS zijn nog gaande, maar het is inmiddels duidelijk dat er met een opt-out zal worden gewerkt.
Het gaat zowel om het uitwisselen van gezondheidsgegevens voor primair als secundair gebruik. Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Burgers die niet willen dat hun gegevens worden uitgewisseld zullen zich apart voor het primaire en secundaire gebruik moeten afmelden. De EHDS bestaat namelijk uit twee systemen waar burgers zich kunnen afmelden. Voor primair gebruik komt er het Nationaal Contactpunt voor eHealth (NCPeH) en voor secundair gebruik komt er een Health Data Access Body (HDAB).In aanvulling daarop kan iedere lidstaat besluiten genetische gegevens uitsluitend met uitdrukkelijke toestemming van burgers beschikbaar te stellen.
"Je kan je dus als burger volledig afmelden en daarmee wordt het opvragen van je medische gegevens aan de bron geblokkeerd", aldus Privacy First, dat dit ook adviseert.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
De komende tijd wordt er in de EU onderhandeld over het voorstel om een Europese Dataruimte Gezondheidszorg op te richten. De bedoeling is dat er in deze European Health Data Space (EHDS) gezondheidsgegevens van patiënten in de hele EU gedeeld kunnen worden. Het is alleen hoogst problematisch dat hiervoor niet vooraf expliciet toestemming wordt gevraagd.
In het voorstel dat er nu ligt, is opgenomen dat patiënten alleen achteraf bezwaar kunnen maken. Dat is de omgekeerde wereld. Daarnaast is het zorgwekkend dat patiëntgegevens, met uitzondering van genetische gegevens, gedeeld kunnen worden met bedrijven uit de farmaceutische industrie, medische technologie en met ontwikkelaars van kunstmatige intelligentie.
Europese burgers lopen hiermee enorme risico’s. Er is geen enkele reden om aan te nemen dat hackers niet geïnteresseerd zouden zijn in een Europese databank vol persoonlijke gegevens. Nog maar enkele jaren geleden was er sprake van een grootschalige handel in miljoenen adresgegevens, telefoon- en burgerservicenummers uit coronasystemen van de GGD. Data zijn geld waard, en dat verhoogt de kans op misbruik en datalekken. Een ander risico is, dat mensen op basis van hun medische voorgeschiedenis gediscrimineerd zouden kunnen worden.
Het minste wat geregeld hoort te zijn is dat de patiënt de regie heeft over deelname aan deze databank. En daar zit het probleem: zoals de European Health Data Space op dit moment is vormgegeven, is onduidelijk wie de eigenaar is van de data en wie daar toegang tot heeft. Hierdoor staat de vertrouwelijkheid van patiëntengegevens onder druk.
Als de vertrouwelijkheid niet is gegarandeerd, bestaat het risico dat mensen zorg gaan mijden. Dit kan leiden tot toename van klachten en stijgende zorgkosten. Ook is onduidelijk tot welke informatie een zorgverlener toegang krijgt.
De komende maanden onderhandelen delegaties van de Europese Commissie, het Europees Parlement en de Raad van Ministers (de lidstaten) over de European Health Data Space.
Wat mij betreft komt de databank er niet, tenzij de regie over de gegevens bij de patiënt ligt en vooraf volstrekt duidelijk is wie wel of niet bij de gegevens kunnen komen.
Ik vind het belangrijk dat iedereen die zich hierover zorgen maakt nú in actie komt, bijvoorbeeld via de petitie ‘Bescherm patiëntengegevens nu het nog kan’, zodat de onderhandelingen over de databank voor gezondheidsgegevens positief beïnvloed kunnen worden.
Alles bij de bron; eurofractie [via het AD]
- Gegevens
- Hoofdcategorie: Internationaal Nieuws
Een nieuwe Europese wet die in 2026 van kracht wordt maakt het eenvoudiger voor autoriteiten om digitaal bewijsmateriaal op te vragen, ongeacht waar het zicht bevindt, aldus de Europese Raad. Het verkrijgen van digitaal bewijsmateriaal is op dit moment een lastig proces, omdat de gegevens zich vaak in andere landen bevinden.
"Online serviceproviders bewaren gebruikersgegevens op servers die zich in verschillende landen kunnen bevinden, zowel binnen als buiten de EU", aldus de Raad.
Door de 'e-evidence' verordening kunnen autoriteiten middels een 'productiebevel' in het ene land opgeslagen data bij een provider in een andere lidstaat direct opvragen. De serviceprovider moet binnen tien dagen reageren, of zes uur als het om een noodgeval gaat.
Daarnaast mag de provider de opgevraagde gegevens niet verwijderen zolang het 'productiebevel' wordt verwerkt.
De komende twee jaar zal het ministerie van Justitie en Veiligheid de veranderingen die de verordening betekenen doorvoeren. "Naast het ontwikkelen van nieuwe wetgeving omtrent het delen van digitaal bewijsmateriaal zijn er belangrijke veranderingen op til voor ons opsporingsapparaat en Openbaar Ministerie", aldus het ministerie.
Alles bij de bron; Security