45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

De gemiddelde despoot likt er zijn vingers af bij de aftapwet

‘Daar waar verdenking onmiddellijk overgaat in veroordeling, laat het wezen van terreur zich gelden.’ Misschien is deze aan de filosoof Hegel ontleende frase wel de meest puntige samenvatting van de aftapwet waar de Eerste Kamer op woensdag 11 juli 2017 mee instemde

Die wet maakt het mogelijk dat geheime diensten je kunnen hacken, aftappen of andere vormen van digitale huisvredebreuk mogen plegen, wanneer er zich onverhoopt een persoon in je netwerk bevindt die als veiligheidsrisico wordt aangemerkt. Wie nietsvermoedend een potentieel gevaar in zijn nabijheid weet, loopt zo het risico als digitale bijvangst in een surveillance-sleepnet terecht te komen. Beland je eenmaal in zo’n digitale fuik, dan zit je daar drie jaar lang vast. Dat je vervolgens als bij-bijvangst door de datahengelaars van de NSA opgevist kunt worden, is een bijkomstigheid die je maar voor lief moet nemen.

Wat hier gebeurt, is dat een van de fundamenten van onze rechtsstaat — je bent onschuldig tot het tegendeel is bewezen — feitelijk wordt omgedraaid. Met het kunststukje uit de hoge hoed van minister Plasterk ben je vanaf het moment dat deze wet in werking treedt schuldig, of op zo’n minst verdacht, tot het tegendeel bewezen wordt. En wie eenmaal als risicoprofiel in een digitaal archief belandt, zal een flinke kluif hebben om daar ooit weer uit te komen.

Wat hier gebeurt, is dat een mede-wetgevend orgaan dat de deugdelijkheid van wetten moet garanderen, de voorwaarden voor onze privacy van binnenuit ontmantelt. Privacy betekent namelijk dat je recht hebt op je eigen gedachten of gevoelens en dat je zelf bepaalt welke je daarvan wel of niet prijsgeeft. In een door algoritmen aangestuurde surveillancestaat komt aan die menselijke, al te menselijke conditie op den duur een eind. Wie wil weten hoe zoiets eruitziet, kan het werk van George Orwell, Aldous Huxley of Dave Eggers erop naslaan.

Wat hier gebeurt, is dat de Chambre de reflexion, zoals de Senaat ook wel wordt genoemd, precies het tegenoverstelde doet van hetgeen waarvoor ze in het leven is geroepen. Bevangen door een gepolitiseerd veiligheidsfetisj en behekst door een datadelirium, staat de Eerste Kamer het optuigen van een digitaal panopticum toe. De tirannieke datawaan van de dag luidt immers dat de gemiddelde brave burger toch niets te verbergen heeft en dat onze persoonlijke gegevens bij Vadertje Staat in veilige handen zijn. Dat deze opvatting op een misvatting berust, is genoeglijk aangetoond door de tech-jounalisten Dimitri Tokmetzis en Maurits Martijn in hun boek Je hebt wél iets te verbergen.

Wat hier gebeurt, is dat de vrijheid van meningsuiting in het gedrang komt. Wanneer iedere klik of swipe-beweging door veiligheidsdiensten gemonitord kan worden, treedt het zogeheten chilling-effect in werking: een verschijnsel waarbij mensen online bepaalde links niet meer durven aan te klikken, bevreesd als zij zijn voor de offline consequenties. Deze digitale druk leidt tot vormen van zelfcensuur, sociale rigiditeit en conformisme. 

Wat hier gebeurt, is iets waar de gemiddelde despoot zijn tirannieke vingers bij zou aflikken.

Alles bij de bron; FollowTheMoney [registratie (kosteloos) noodzakelijk]


 

Een sensor op elke straathoek in Eindhoven -Long Read-

Eindhoven loopt voorop als ‘slimme stad’. Wie van de rand van het centrum naar uitgaansstraat Stratumseind fietst, passeert zonder het te weten zo twintig sensoren. Ze regelen het verkeer, waarschuwen bewoners bij auto-inbraken en seinen de politie in als een ruzie op straat escaleert. Hoe meer sensoren de gemeente inzet, hoe meer praktische, juridische en ethische vraagstukken opdoemen. Het FD fietste met wethouder Staf Depla langs 'dichtbesensorde' stukken van de stad en besprak de voors en tegens.

...het drukke kruispunt Cederlaan-Beukenlaan, aan de rand van het centrum van Eindhoven, zit er vol mee. Camera's die kentekens lezen registeren de verkeersdrukte. De vele bussen die het punt passeren - onder meer richting het vliegveld van Eindhoven - regelen hun eigen 'groene golf' met behulp van een radiosysteem. Depla wil graag dat de stoplichten direct met de auto's gaan communiceren. Als het stoplicht hier weet dat op het kruispunt hiervoor vijf auto's bij het stoplicht staan, moet dit stoplicht dat weten. Dan kan het precies lang genoeg op groen om die auto's door te laten en staat niemand onnodig lang stil.'

TomTom heeft de technologie om dit te regelen, en wil dit ook best. Toch zijn gesprekken tussen de gemeente en het Amsterdamse navigatiebedrijf stukgelopen. En wel omdat TomTom zich het eigendom van de verzamelde gegevens van de verkeersgebruikers wil toe-eigenen. Oftewel: zou Eindhoven de verzamelde verkeersdata in de toekomst willen gebruiken voor een andere dienst, dan zou de gemeente deze van TomTom moeten kopen. Hier speelt een principiële vraag: van wie is de informatie die met dit soort technologie wordt gegenereerd? Is die van degenen die de data 'maken' of van de bedrijven die de technologie hebben om deze te 'mijnen'?

Een woud van camera’s kijkt vanaf het dak van de fabriek van Bosch, dat allerlei sensoren produceert, neer op de terrasjes op het plein Strijp-S. Maar die camera's worden slechts door Bosch getest en verzamelen geen gegevens. Bezoekers kunnen over een tijdje de camera's in de palen tegen betaling van een paar cent een selfie laten maken. Als je wilt kan de camera straks ook aan het door jou gereserveerde restaurant laten weten dat je auto is gesignaleerd en je dus binnen een paar minuten zult aanschuiven.

En er zijn geluidscamera's. Het zijn witte, platte kastjes, uitgerust met 64 microfoontjes die het omgevingsgeluid registreren en analyseren. Een idee waarmee wordt geëxperimenteerd: Binnenkort start een proef om omwonenden met een appje op de hoogte te stellen als de geluidscamera's zorgwekkende incidenten waarnemen, zoals geloste schoten, ingetikte autoruitjes of aanhoudend geschreeuw. Regelgeving voor dit soort camera's is er niet. Welke data mag je ermee verzamelen en hoe lang bewaar je die? De gemeente heeft het voor Strijp-S in een privaatrechtelijk contract laten vastleggen met de organisatie die het gebied ontwikkelt. Maar het liefst zou je dit in een algemene plaatselijke verordening (apv) vastleggen, zegt Depla, net zoals dat het geval is bij gewone camera's. 'Maar dat kan niet. De wetten en regels houden dit soort ontwikkelingen niet meer bij.'

'City beacons' heten de hoge witte zuilen die verspreid over het centrum van Eindhoven staan. De belangrijkste functie is nu nog bewegwijzering. Maar de beacons kunnen veel meer. Bovenin hangen camera's, het ding kan via wifi-tracking de looproutes van voorbijgangers nagaan, hij is uitgerust met webcams, microfoons en speakers. Je kunt er contactloos mee betalen en de zuil meet temperatuur, luchtvochtigheid en de luchtvervuiling. Depla doet het even voor bij de beacon die midden op Stratumseind, de uitgaansstraat van Eindhoven, staat. Hij kiest een filtertje met een gek hoedje, drukt af. En dan blijkt dat de foto, zonder dat daarvoor toestemming wordt gevraagd, direct op een Facebookpagina belandt. 'Dat kan dus echt niet', zegt Depla. 'Daar moeten we wat aan doen!...

...De vele verschillende soorten data die met behulp van de beacons en andere sensoren in de stad kunnen worden vergaard, maken de situatie bijzonder, zegt Depla. Iedere sensor op zich zegt nog niet zoveel over een passerende auto, een restaurantganger of een voetganger op weg naar de kroeg. 'Elk stukje informatie op zich kan anoniem zijn. Maar als je al die losse stukjes bij elkaar legt, komt je toch dicht in de buurt van persoonsgegevens.' En die gegevens zijn natuurlijk interessant voor ondernemingen. 'Het zijn grote bedrijven waar je dan als gemeente mee te maken krijgt', zegt Depla. 'Ze helpen ons met de hard- en software en willen de data daarvoor terug...'

Alles bij de bron; FD


[registratie (kostenloos) noodzakelijk]

Differentiële privacy. Beschermt gebruikersgegevens?

Met het groeiend aantal diensten en apps, die allemaal toegang willen tot je persoonlijke gegevens en data over je willen verzamelen, komt het privacy aspect steeds vaker naar voren. Het lijkt er soms bijna op dat er geen technologische innovatie kan plaatsvinden, zonder dat je daarvoor je privacy moet inleveren.  Zo zou Apple dagelijks miljoenen gegevens binnen krijgen via onder andere iPhones, iPads en Macs. Hoewel Apple ook steeds meer data verzamelt, zou de identiteit van de gebruikers hierbij anoniem blijven.

Sinds vorig jaar gebruikt Apple met de invoering van iOS 10 differentiële privacy om de identiteit van gebruikers te beschermen. Bij diferentiële privacy wordt statistische ruis toegevoegd aan verzamelde data, zodat er geen individuele gebruikers uit de data gefilterd kunnen worden. Het is een relatief nieuwe technologie, welke is ontwikkeld om het maken van koppelingen tussen datasets tegen te gaan. Door deze koppelingen te maken zou je namelijk achter bepaalde gegevens van gebruikers kunnen komen. Onder iOS 11 een veel grotere rol gaan spelen. Het algoritme zal dan ook ingezet worden om browser data en gezondheidsgerelateerde data te beschermen. 

Het bedrijf krijgt hierover vaak kritiek. De manier waarop Apple de data beschermt zou mogelijk de ontwikkeling van andere producten kunnen verhinderen. 

Alles bij de bron; AllAboutPhones


 

5 Lekkages in 'slim' alarm geven aanvaller controle over apparaat en klantdata

Verschillende kwetsbaarheden in het, ook in NL verkrijgbare, slimme alarmsysteem iSmartAlarm kunnen een aanvaller op afstand volledige controle over het apparaat en de gegevens van alle gebruikers geven, waaronder hun adresgegevens. Daarvoor waarschuwt onderzoeker Ilia Shnaidman van BullGuard. ISmartAlarm is een met internet verbonden alarmsysteem dat via een app is te bedienen. 

In totaal vond de onderzoekers vijf beveiligingslekken in het alarmsysteem en de achterliggende infrastructuur. Zo controleert het alarmsysteem niet de geldigheid van aangeboden ssl-certificaten en is het mogelijk om een denial of service-aanval op het apparaat uit te voeren zodat het apparaat niet meer werkt. Ook kan een aanvaller het apparaat uitschakelen, inschakelen of het "panic alarm" laten afgaan. Verder blijkt de achterliggende infrastructuur van iSmartAlarm toegankelijk. Zodoende kunnen van alle gebruikers de gegevens worden achterhaald, waaronder hun adresgegevens. 

Hij waarschuwde de fabrikant op 30 januari van dit jaar en omdat er een half jaar later nog geen updates beschikbaar zijn heeft Shnaidman de details vrijgegeven.

Alles bij de bron; Security


 

Bedrijf mag niet zomaar sollicitanten screenen via de sociale media

Volgens de Autoriteit Persoonsgegevens en 27 andere Europese privacytoezichthouders mogen werkgevers niet zomaar de sociale media van sollicitanten of werknemers doorzoeken. Dit mag alleen als er een legitieme reden is en er voldaan is aan de wettelijke voorwaarden. Overtreding kan gaan leiden tot boetes van wel 20 miljoen euro als in mei volgend jaar de nieuwe Europese privacyverordening van kracht wordt. Daarin wordt het misbruik van sociale media expliciet verboden. 

Maar ook nu gelden er al algemene regels die ook van toepassing zijn op sociale media. Zo mag alleen screening van personen plaatsvinden als daar een legitieme reden voor is en aan wettelijke voorwaarden wordt voldaan. Toestemming van de sollicitant is niet voldoende, want die kan vanwege de ongelijke machtspositie ook worden afgedwongen. Ook belangrijk is dat alleen naar informatie wordt gezocht die relevant is voor de (toekomstige) functie van de persoon. Er mag bijvoorbeeld niet gezocht worden naar medische informatie, tenzij dit wettelijk verplicht is voor de functie. De sollicitant of werknemer dient hierover vooraf geïnformeerd te worden. De AP waarschuwt verder dat informatie over personen door anderen op internet geplaatst kan zijn via een vals profiel.

Of de regels ook zijn te handhaven is zeer de vraag. Het advies is dan ook aan mensen om na te denken over wat zij op sociale media publiceren. Goed gedrag wordt dankzij internet steeds belangrijker, want wie zichzelf al niet voor werkgevers onaantrekkelijk maakt op sociale media, wordt vaak wel door anderen publiek gemaakt.

Alles bij de bron; BeveilNieuws


 

Start-up Kivu zoekt toekomstige terroristen via hun netwerken -LongRead + video-

Kivu ontwikkelt software die politie en veiligheidsdiensten helpt bij het opsporen van mensen die aanslagen willen plegen. „Twee jihadi’s in je netwerk kan per ongeluk voorkomen, bij twintig is het geen toeval meer.”

Toen de Duitse politie in november 2016 bij massale huiszoekingen een paar islamitische activisten arresteerde, hadden ze bij een start-up in de Oostenrijkse hoofdstad Wenen een buitengewoon goede dag. De arrestaties in Duitsland bevestigden dat zij met die software op de goede weg waren. De Nederlandse ingenieur Jan van Oort en een paar collega’s van de Weense startup Kivu hadden zichzelf exact die taak gesteld: aanslagen voorkomen door connecties en netwerken op te sporen en zichtbaar te maken – en wel op zo’n manier dat persoonsgegevens verborgen blijven, terwijl terreuractiviteiten eruit worden gelicht. „Toen we hoorden van de arrestaties in Duitsland wisten we: onze aanpak werkt,” zegt Van Oort. „Toekomstige daders van aanslagen vind je eerder door naar hun netwerken te kijken, dan naar de berichten die ze posten.”

In mei 2016 begonnen Wesley, Van Oort en een paar anderen een systeem te bouwen. Try-outs met bestaande software liepen op niets uit, dus ze ontwierpen een nieuw systeem. Na een paar maanden hadden ze een basis. Ze vonden een aantal bekende islamitische activisten op sociale media en keken met wie die direct (eerstegraads) contact hadden. Vervolgens trokken ze een expert in ‘geospatiale analyse’ aan. Zij hielp hen om op de computer zichtbaar te maken waar die contacten zich bevonden. Wat je dan op je scherm ziet, zijn allemaal netwerken, verspreid over meerdere werelddelen. Het zijn allemaal spinnenwebben, met puntjes erin of ertussen – dat zijn personen.

Op het scherm verschijnen geen persoonsgegevens als namen en telefoonnummers, alleen codes die bestaan uit cijfers en letters. De persoonsgegevens van de mensen die bij die codes horen, zijn automatisch versleuteld in het systeem. Wat telt, is niet hun naam of telefoonnummer, maar hun plaats binnen en tussen netwerken. „Iedereen kan min of meer per ongeluk contact hebben met één of twee jihadi’s”, zegt Van Oort, terwijl hij met de muis op een contactpersoon klikt – zo’n puntje met draadjes eraan naar andere puntjes – en hem omhoog tilt in het netwerk, zodat je ziet met wie hij contacten heeft. „Maar als je iemand vindt met twintig jihadi’s in zijn netwerk, is het geen toeval meer. Dan wordt het tijd om die onder de loep te nemen. Ook al post hij nooit iets verdachts.”...

...Lang voordat Twitter en Facebook bestonden, verdronk de NSA in de data. Dus analyseerde ze die verkeerd. Daarom probeerden technisch directeur Bill Binney en enige medewerkers slimmere software te ontwerpen, voor zogeheten targeted surveillance. Ze bedachten een programma en noemden het Thin Thread. Mosers film A Good American laat zien hoe ze dat deden. En hoe succesvol het was: lang voor 9/11 gaf hun computerprogramma aan dat ze een zekere Osama Bin Laden moesten volgen. Ze hadden zelfs zijn telefoonnummer.

Maar Binney en de zijnen streken daarmee de NSA-top tegen de haren in. Thin Thread gaf de NSA-top aanwijzingen om een grote aanslag te voorkomen. Maar zijn hoogste bazen, mensen die in of met de veiligheidsindustrie hadden gewerkt, reageerden door het programma te verbieden. Na 9/11 werden de computers van Binney en zijn collega’s zelfs in beslag genomen. Een maand later namen ze ontslag en werden ze ‘klokkenluiders’. 

Moser vertoonde zijn film bij Kivu in Wenen. „We waren als door de bliksem getroffen,” zegt Van Oort. Thin Thread focuste, net als hun programma, niet op verdachte postings of personen, maar op netwerken. Ze haalden Binney en een oud-NSA-collega meteen naar Wenen, en toonden wat ze aan het doen waren. Hún programma, ‘Tarim’, was bijna identiek aan Thin Thread. De Amerikanen gaven hen allerlei tips. Allen concludeerden dat Tarim – anders dan Thin Thread – niet de nek om kon worden gedraaid door veiligheidsdiensten, omdat de software onafhankelijk was geproduceerd. „Die paar dagen met de Amerikanen waren de belangrijkste in mijn carrière,” zegt Van Oort...

....Bij Kivu werken nu twaalf mensen. Tarim is bijna klaar. Via-via legde Van Oort contact met europarlementariër Sophie in ’t Veld (D66), die hem en Binney prompt uitnodigde voor een hoorzitting in Brussel eind mei, met Eurocommissaris voor Veiligheid Julian King. [videolink via PrivacyFirst] Het Europees parlement is bezorgd dat privacy van burgers wordt weggevaagd in de jacht op terroristen. Tijdens die hoorzitting legde Van Oort daar de nadruk op. Tarim, zei hij, is een algebraïsch programma: het focust alleen op data over bedreigingen en niet op personen. Op het moment dat het programma gaat lopen, worden alle persoonsgegevens automatisch versleuteld – voordat er ook maar één menselijk oog op kan vallen. De sleutel wordt in drie stukken geknipt: één deel wordt in de computer bewaard, één gaat naar een rechter en één naar een democratisch gekozen comité (bijvoorbeeld in een parlement).

Alleen onder bepaalde, wettelijk omschreven omstandigheden kunnen speurders de rechter en het comité verzoeken hun deel van het slot te ontgrendelen en te kijken om wie het gaat. Alleen als alle drie de sleutels in het slot worden gestoken, komt de informatie – tijdelijk – vrij. Als er één ontbreekt, kunnen speurders niets.

Er is veel te doen over de vraag of algoritmes die data doorzoeken wel neutraal zijn. Democratische controle op ongrondwettige algoritmes is lastig, omdat die geheim zijn of moeilijk te lezen. Kivu zoekt echter op metadata, niet op data zelf. Van Oort zegt: „Wat ons interesseert is niet iemands geslacht of naam maar de topologie van een netwerk: communiceert netwerkentiteit BBA77EF012D vaak met netwerkentiteit CAF80132CE48B? Is netwerkentiteit 4001ADC8450FF ineens ‘ondergedoken’? Waar ze zitten of welke taal ze spreken, interesseert ons niet. Maar we zijn altijd bereid onze algoritmen aan vertegenwoordigers van een magistraat of een democratisch orgaan te laten zien. Zo kunnen we onze algoritmes vertrouwelijk houden, terwijl zij kunnen controleren dat we niets ongrondwettigs doen.”

Met een programma als Tarim zal de samenwerking tussen veiligheidsdiensten intensiever worden, en meer Europees: deze software negeert landsgrenzen, net als terreurnetwerken zelf. Voor de experts achter de computerschermen in Favoriten is er nu eindelijk een goede match tussen terroristen en terreurbestrijding.

Alles bij de bron; NRC


 

Een jaar na ‘Nice’: In Frankrijk wordt de noodtoestand tot normaal verheven

Vorige week heeft de Franse Assemblée Nationale met ruime meerderheid ingestemd met de inmiddels zesde verlenging, nu tot november. Maar het eind is in zicht. Deze verlenging is in principe de laatste, liet minister van Binnenlandse Zaken Gérard Collomb weten.

Toch stemt dat critici nauwelijks tevreden. Want veel van de extra bevoegdheden voor de politie die gelden onder de noodtoestand, worden vanaf dit najaar onderdeel van het gewone Franse recht. Dit leidt tot een situatie van „permanente uitzondering”, vrezen niet alleen mensenrechtenorganisaties als Amnesty, maar vindt ook de Franse nationale ombudsman. 

De nieuwe antiterrorismewet van Collomb geeft prefecten, in departementen verantwoordelijk voor de ordehandhaving, onder andere de mogelijkheid om zonder goedkeuring vooraf van een rechter mensen huisarrest op te leggen of om ze te verbieden hun gemeente te verlaten. ‘Huisarrest’ mag dat om juridische redenen niet meer heten, het worden nu ‘individuele surveillancemaatregelen’ genoemd. Ook huiszoekingen in verband met terrorismeonderzoek (‘visites’ in newspeak) kunnen voortaan zonder goedkeuring vooraf.

De nieuwe wet „staat het toe om vrijheidsbeperkende maatregelen te nemen op basis van een verdenking, van gedrag, van een houding of van relaties die [een verdachte] heeft”, zei ombudsman Jacques Toubon. De nationale cohesie komt in gevaar omdat „99 procent van deze personen dezelfde religie hebben”, zei hij: de islam. Omdat het voor prefecten ook makkelijker wordt om ‘godsdienstige plekken’ tijdelijk te sluiten, maken vertegenwoordigers van de katholieke kerk zich zorgen om de scheiding van kerk en staat. Sinds het begin van de noodtoestand zijn er zestien radicale moskeeën gesloten.

Alles bij de bron; NRC [registratie/paywall]


 

Hoe krom; AP hoeft van rechter niet tegen Arnhemse afvalpas op te treden

De beslissing van de Autoriteit Persoonsgegevens (AP) om niet op te treden tegen het afvalpassysteem van de gemeente Arnhem is onterecht, maar de voorzieningenrechter van rechtbank Gelderland heeft besloten om handhaving door de toezichthouder tegen de gemeente niet af te dwingen...

...Er bestaat volgens de AP een concreet zicht op legalisatie. Handhaving zou onder deze omstandigheid onevenredig zijn, gelet op de kosten die een aanpassing van het huidige systeem met zich mee zou brengen. Tijdens de zitting bleek dat er helemaal geen concreet zich op legalisatie is. De gemeente Arnhem bevestigde dat op 10 juli 2017 in de gemeenteraadsvergadering over Diftar zal worden gesproken, maar liet ook weten dat niet zeker is dat de invoering van dit systeem op 1 januari 2018 gereed zal zijn. 

Nu nog onzeker is hoe en wanneer Diftar gaat functioneren, is dus ook nog onzeker of en wanneer aan de huidige situatie een einde wordt gemaakt. Het is dan ook te verwachten dat het besluit van de Autoriteit Persoonsgegevens waartegen bezwaar werd gemaakt, bij de beslissing op bezwaar geen stand zal houden. De voorzieningenrechter ziet hierin aanleiding om het besluit van de toezichthouder te schorsen. De voorzieningenrechter wil de Autoriteit Persoonsgegevens echter niet dwingen om, in dit stadium van de procedure, tegen de gemeente Arnhem handhavend op te treden. Bij de beslissing op bezwaar kan de toezichthouder tenslotte rekening houden met alle ontwikkelingen rond de invoering van Diftar binnen de gemeente Arnhem. Ontwikkelingen die volgens de rechter op dit moment nog te onzeker zijn.

Alles bij de bron; Security