Internationaal

Een Canadese rechter heeft de Nederlandse politie toestemming gegeven om een server te benaderen waar mogelijk criminelen berichten hebben uitgewisseld. De criminelen communiceerden met elkaar via BlackBerry's die waren aangesloten op een speciaal netwerk.

Volgens de Canadese autoriteiten is het de Nederlanders geoorloofd om de informatie op de bewuste server te onderzoeken, al is het fysiek verschepen van de server naar Nederland niet toegestaan. Dat komt omdat de server rond de 20.000 gebruikers heeft, en de autoriteiten willen dat de privacy van onschuldige gebruikers gewaarborgd blijft. De uitspraak is online gezet op een Canadese website.

Specifiek gaat het om een server die gebruikt werd voor communicatie van BlackBerry-apparaten die met pgp versleutelde berichten uitwisselden. Dat deden zij met behulp van Ennetcom, die daarvoor een speciaal communicatienetwerk optuigde. Volgens de Nederlandse autoriteiten faciliteerde dit bedrijf actief criminele activiteiten; in april deed de politie een inval. De eigenaar van Ennetcom, dat voor ongeveer 1500 euro aangepaste BlackBerry's leverde, werd daarbij aangehouden. Op de server waar de Nederlandse politie mag gaan kijken staan mogelijk berichten van criminelen die gaan over overvallen, moord en andere criminele zaken. 

Alles bij de bron; Tweakers


Google zegt dat het aan het nieuwe privacyverdrag tussen de Verenigde Staten en Europese Unie voldoet voor het uitwisselen van persoonsgegevens. De internetgigant heeft dan ook de Privacy Shield-certificering naar het Amerikaanse ministerie van Handel gestuurd.

"Dit is een grote mijlpaal voor de bescherming van persoonlijke data van Europeanen en bevordert het vertrouwen in de digitale economie", zegt Marc Crandall van Google. Crandall stelt dat Google de Privacy Shield-regels en maatregelen voor het uitwisselen van data heeft geïmplementeerd en gebruikers hier verder niets voor hoeven te doen. Als de Amerikaanse overheid de certificeringsaanvraag goedkeurt zal de naam van Google op deze lijst verschijnen. 

Alles bij de bron; Security


De leden van de Vaste Commissies voor Immigratie & Asiel/JBZ Raad en voor Veiligheid en Justitie hebben mij in hun brief van 18 juli 2016, nr. 159079.06u, enige vragen gesteld over het het EU - US Privacy Shield. Ik dank de leden voor deze vragen. Ik zal ze graag beantwoorden.

De leden van de fractie van D66 vragen of ik mij hard heb gemaakt voor de invoering van een horizonbepaling in het onlangs aangenomen ontwerpuitvoeringsbesluit van de Europese Commissie betreffende het EU - US Privacy Shield. Indien dat niet het geval is geweest vragen deze leden om een toelichting waarom dit niet is gebeurd. De leden van de fracties van de PvdA en GroenLinks sluiten zich bij deze vragen aan.

...De vergroting van de zeggenschap van betrokkenen over hun persoonsgegevens en de verdere ontwikkeling van het stelsel van toezicht op de verwerking van persoonsgegevens zijn altijd belangrijke onderdelen geweest van mijn beleid inzake de bescherming van persoonsgegevens. Ik heb onder meer met het EU - US Privacy Shield ingestemd omdat de bijlagen bij het ontwerpbesluit diverse nieuwe toezeggingen van de autoriteiten van VS bevat die betrokkenen de mogelijkheid bieden die zeggenschap te vergroten. De instelling van de Ombudspersoon voor het behandelen van klachten tegen vermeende privacyschendingen door inlichtingen- en veiligheidsdiensten door de VS is daar een goed voorbeeld van. Ook de ontwikkeling van een uitgebreid stelsel van klacht- en rechtsbeschermingsmogelijkheden van burgers tegen bedrijven juich ik zeer toe.

Juist met het oog op de burger heeft de Commissie inmiddels de "Guide to the EU - US Privacy Shield" bekendgemaakt. Burgers kunnen daarmee op gemakkelijke wijze inzicht krijgen in hun rechten onder het Shield. Ik stel deze inspanning van de Commissie zeer op prijs.

Alles bij de bron; RijksOverheid


Europese gebruikers van Gmail, Hotmail en MSN zijn voorlopig veilig voor de lange arm van de Amerikaanse wet. Een Amerikaanse rechtbank besliste 14 juli 2016 dat de Amerikaanse justitie Microsoft niet kan dwingen emailgegevens te overleggen die in een Iers datacentrum zijn opgeslagen. 

Toch zou deze beslissing zomaar een Pyrrusoverwinning kunnen zijn voor internationaal opererende internetproviders en -gebruikers, bezorgd om hun privacy. Niet alleen kan de Amerikaanse justitie nog in beroep gaan bij het Amerikaanse Hooggerechtshof, ook kan het Amerikaanse Congres steeds een andersluidende wet aannemen. De kernvraag is hoe we een efficiënte bestrijding van de transnationale misdaad kunnen verzoenen met adequate gegevensbescherming en respect voor de soevereiniteit van andere landen.

Microsoft biedt overal ter wereld clouddiensten aan. Die diensten zijn echter gesegmenteerd: de klantgegevens bevinden zich doorgaans in één of meerdere datacentra in de regio waar de klant zich bevindt. Microsoft zal daarom in principe de gegevens van iemand die opgeeft in Europa te wonen ook in Europa opslaan. Het probleem is dat Microsoft niet controleert of die persoon ook werkelijk in Europa woont. Dit creëert mogelijkheden voor criminelen om gegevens in Europa te stallen en zo te ontsnappen aan de Amerikaanse justitie. Binnen de Europese Unie kunnen ze bovendien een beroep doen op een hoog niveau van gegevensbescherming...

...Transnationale misdaad moet effectief bestreden kunnen worden. In eerste instantie zou justitie haar buitenlandse evenknie moeten verzoeken gegevens te overleggen. Maar die samenwerking loopt niet altijd even vlot.

Justitie zou daarom de mogelijkheid moeten hebben om eenzijdig op te treden, uiteraard binnen bepaalde grenzen. Relevante criteria om die grenzen af te bakenen kunnen zijn: de nationaliteit van de verdachte, de ernst van het misdrijf, de waarschijnlijkheid dat de gegevens cruciale informatie voor het onderzoek opleveren, en de kans op goede samenwerking met de andere staat. Nationale wetgevers moeten dringend dit debat voeren om te voorkomen dat criminelen het grenzeloze internet misbruiken om aan de wet te ontsnappen.

Laakbare praktijken van de Amerikaanse National Security Agency indachtig, moeten we tegelijk geen vrijbrief geven aan wetsdienaars om zomaar onze persoonlijke digitale gegevens in te kijken.

Alles bij de bron; NetKwesties


De Artikel 29-werkgroep heeft een opinie gepubliceerd over het recent aangenomen Privacy Shield, waaronder organisaties persoonsgegevens in de VS kunnen opslaan. Het collectief van EU-privacytoezichthouders meldt dat concrete waarborgen tegen het in bulk verzamelen van informatie ontbreken.

Door de Amerikaanse regering is weliswaar toegezegd dat de ombudspersoon haar taken objectief zal uitvoeren en niet op ontoelaatbare wijze zal worden beïnvloed, maar dit is niet formeel vastgelegd. Ook blijft er onduidelijkheid bestaan over de precieze bevoegdheden van de ombudspersoon en daarmee de effectiviteit. Daarnaast kunnen internationale organisaties of multinationals voor de doorgifte van persoonsgegevens tussen de verschillende vestigingen gebruik blijven maken van verschillende andere regels. Deze moeten wel aan de Europese privacyregels voldoen.

Ook hekelen de toezichthouders dat het Privacy Shield nog altijd geen verzekering biedt dat Amerikaanse inlichtingendiensten niet meer op grootschalige en ongerichte wijze persoonsgegevens afkomstig uit de EU zullen verzamelen. Tijdens de eerste jaarlijkse gezamenlijke controle van de afspraken zullen vertegenwoordigers van de toezichthouders beoordelen of de kritiekpunten in de praktijk zijn opgelost en of de waarborgen van Privacy Shield werkbaar en effectief zijn.

Alles bij de bronnen; Tweakers & Security


Een rechter in de Verenigde Staten eist van Yahoo tekst en uitleg over e-mails die aan de autoriteiten zijn overhandigd in een drugszaak. Die mails waren namelijk door de gebruiker verwijderd. Het gaat om een hoger beroep in een zaak tegen de veroordeelde drugshandelaar. Hij werd veroordeeld, waarbij de verwijderde e-mails als bewijsmateriaal werden gebruikt.

De rechter in San Francisco wil van Yahoo weten wat het beleid is omtrent verwijderde e-mails, meldt Motherboard. In de rechtszaak werden e-mails getoond die in een periode van zes maanden waren geschreven en daarna verwijderd. Advocaten van de Britse drugshandelaar vermoeden dat de e-mails zijn onderschept door de geheime dienst NSA, of dat Yahoo traceert wat gebruikers in hun mailaccount typen.

...De man zou van plan zijn geweest vijf ton cocaïne te importeren uit Zuid-Amerika. Daarvoor had hij via een Yahoo-mailaccount contact met iemand in Colombia. De twee communiceerden via concept-mails. In het account schreven ze omstebeurt brieven in concept. Na het lezen werden die verwijderd, waarop een nieuw concept kon worden geschreven. De mails zijn verwijderd uit zowel de conceptenmap als de prullenbak. Op die manier probeerden de twee zo min mogelijk sporen achter te laten voor de autoriteiten.

De Britse autoriteiten hebben eerder al informatie opgevraagd bij Yahoo over de mails. Yahoo liet weten in 2009 en 2010 screenshots te hebben gemaakt van het account, maar volgens de advocaten zou daarop niets te zien moeten zijn. De mails die in de rechtszaak zijn verschenen, zouden bewaard zijn gebleven met een auto-savefunctie. Die functie slaat mails en delen daarvan op, voor het geval de verbinding met internet wordt verbroken.

Yahoo heeft tot 31 augustus de tijd gekregen om documenten te overhandigen en een getuige naar voren te schuiven.

Alles bij de bron; NU


Vorige week besliste de Amerikaanse rechter in hoger beroep over een belangrijke zaak: mag de Amerikaanse overheid gegevens vorderen bij een Amerikaans bedrijf als die gegevens niet in Amerika zijn opgeslagen? Het is een exemplarisch voorbeeld van een internationaal probleem.

Het is een kwestie die al speelt zolang overheden grip willen hebben op het internet en digitale communicatie. De gegevens die we downloaden of uploaden, de apps die we gebruiken, sites die we bezoeken en e-mails die we versturen: die gegevens bevinden zich vaak niet in het land waar de gebruiker woont.

Op basis van het internationale recht is het niet de bedoeling dat landen op eigen houtje in andere landen vorderingen aan bedrijven richten. Landen moeten elkaars grenzen en soevereiniteit respecteren. En dat valt overheden nogal lastig in het digitale tijdperk. Want waar moeten die opsporingsdiensten dan aankloppen? Bij het land waar de data is opgeslagen – als dat al duidelijk is -, bij de lokale vestiging van de dienst in het land waar de gebruiker zich bevindt, of in het land waar de hoofdvestiging van het bedrijf is?

Stel dat een Nederlandse verdachte gebruik maakt van een Amerikaanse dienst, zoals Outlook, en Nederlanse opsporingsdiensten willen de gegevens van die gebruiker hebben, dan moeten die opsporingsdiensten een rechtshulpverzoek bij de Verenigde Staten indienen. Als dat rechtshulpverzoek wordt goedgekeurd, dan kunnen de gegevens naar Nederlandse opsporingsdiensten. Op die rechtshulpverzoeken is veel kritiek, voornamelijk omdat ze volgens overheden, waaronder ook de Nederlandse, te traag verlopen.

De Amerikaanse overheid worstelt ook met dit probleem en wilde gegevens die Microsoft had van een gebruiker. De zaak rechter stond voor de volgende vraag: als een Amerikaans bedrijf gegevens opslaat buiten de Verenigde Staten, mogen de Amerikaanse opsporingsdiensten dan die gegevens vorderen?

Microsoft zei: “Luister, die gegevens zijn opgeslagen buiten de Verenigde Staten – en de wet is niet zo bedoeld dat je gegevens kunt vorderen die zich buiten de VS bevinden.” De regering van de Verenigde Staten was het daar natuurlijk mee oneens. De regering gaf aan dat het er om zou moeten gaan of Microsoft (een Amerikaans bedrijf) bij die gegevens zou kunnen – dat die gegevens van een server uit het buitenland zou moeten komen is van ondergeschikt belang.

De rechter – nu in hoger beroep – heeft Microsoft gelijk gegeven. Maar het is wel een wetstechnisch gelijk. De rechter zegt niet: als gegevens zich niet in de VS bevinden dan mogen die gegevens nooit worden overgedragen. De rechter zegt wel: de wet was uit 1986 en had deze problematiek nooit voorzien. Daarbij moet je erg voorzichtig zijn met het schenden van de soevereiniteit van andere landen – en dat betekent dat tenzij in de wet duidelijk is vastgelegd dat vorderingen grensoverschrijdend mogen werken, dat niet mag.

Glashelder dus, maar niet helemaal bevredigend. Het is nu natuurlijk wachten op een wetswijziging waardoor dit soort vorderingen wél rechtmatig gegeven kunnen worden. Bovendien zal de zaak van Microsoft vs de VS ongetwijfeld naar de Supreme Court gaan. Dus zullen de hoogste rechters in de VS beslissen hoe er met de gegevens die buiten de VS wordt opgeslagen. En daarmee, laten we dat niet vergeten, over de privacy van niet-Amerikanen. Opnieuw een nationaal antwoord op een internationaal probleem.

Die tendens zie je in tal van situaties. Neem bijvoorbeeld de controversiële wijziging van rule 41, waardoor de VS buiten de landsgrenzen zou mogen gaan hacken.Of de Nederlandse regering, die in het buitenland hacken ook niet zo´n probleem vindt. Ook zijn er Amerikaanse voorstellen om rechtshulpverzoeken te vereenvoudigen door ze omzeilen.

Het zijn stuk voor stuk gevaarlijke oplossingen voor een legitiem probleem. Als de Nederlandse politie een verdachte in het vizier heeft, dan moeten ze de mogelijkheid hebben om de gegevens van die verdachte op te vragen. Of dat nou in Oezbekistan, de VS of Nederland is. Maar nu wint kortzichtig handelen keer op keer van een werkbare situatie voor de lange termijn.

Het zou dus beter zijn om de internationale samenwerking te verbeteren. Het versnellen van rechtshulpverzoeken zou een prioriteit moeten zijn. 

Alles bij de bron; BoF


De Europese Unie doet te weinig om persoonsgegevens van burgers en het recht op privacy veilig te stellen in haar handelsovereenkomsten. Dat concluderen onderzoekers van de Universiteit van Amsterdam in een studie waarvan de resultaten woensdag zijn gepubliceerd. In de ''nieuwste generatie" handelsovereenkomsten wordt volgens de onderzoekers steeds vaker onbeperkte data-overdracht toegelaten, met inbegrip van persoonsgegevens, tussen de landen.

Gelet op zowel het Europese als het internationaal recht concluderen de onderzoekers dat de EU maatregelen moet nemen om de privacy van haar burgers beter te beschermen. Daarbij moet vooral worden voorkomen dat de juridische positie van burgers in handelsovereenkomsten wordt verzwakt. Volgens de Europese koepel van verbruikersorganisaties BEUC, een van de opdrachtgevers voor het onderzoek, is het onaanvaardbaar dat EU-regels over privacy kunnen worden aangevochten via handelsbeleid. BEUC krijgt daarin onder meer bijval van het Center for Digital Democracy (CDD) en European Digital Rights (EDRi). 

Een van de handelsverdragen die in de studie wordt genoemd is het TTIP-verdrag tussen de EU en de Verenigde Staten. Volgens CDD haalt Europa met het verdrag een "Trojaans paard" binnen, waarbij techreuzen als Google en Facebook de regels omtrent persoonsgegevens van burgers vakkundig zullen omzeilen. De organisatie noemt de studie een wake-upcall voor beleidsmakers. 

Alles bij de bronnen; AutomGids & NU


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha