President Joe Biden legt met een executive order de overdracht van gevoelige persoonlijke data van Amerikanen naar China, Rusland, Iran, Cuba, Noord-Korea en Venezuela aan banden.
De regering maakt zich zorgen dat deze landen de persoonlijke informatie gebruiken voor het volgen en bespioneren van Amerikanen. Ook moet de executive order de toegang van buitenlandse inlichtingendiensten tot data van Amerikanen bemoeilijken.
De executive order is specifiek gericht op de bescherming van persoonlijke en gevoelige informatie beschermen. Denk daarbij onder meer aan genetisch informatie, biometrische gegevens, medische gegevens, locatiedata, financiële gegevens en bepaalde persoonlijk identificeerbare informatie.
Bron; Dutch-IT-Channel
Deel 2 van deze reeks gaat over CESOP: een database om btw-fraude via uw betaalgegevens op te sporen.
CESOP: het ‘Central Electronic System of Payment information’ is een centrale Europese database, die het overheidsdiensten in Europa gemakkelijker moet maken om btw-fraude op te sporen via informatie-uitwisseling tussen belastingdiensten en banken.
Sinds dit jaar moeten alle banken en andere betaaldienstverleners in Europa informatie over hun rekeninghouders aan de fiscale autoriteiten doorgeven, als die rekeninghouders meer dan 25 internationale betalingen per kwartaal ontvangen. De banken geven deze informatie door aan de belastingdienst van het land waar de ontvanger van de betaling gevestigd of woonachtig is. De nationale belastingdienst geeft de ontvangen gegevens weer door aan CESOP, zodat fraude-experts die data kunnen gebruiken en vergelijken met andere gegevens voor het bestrijden van btw-fraude.
De gegevens kunnen ook gebruikt worden voor onderzoek naar andere heffingen en belastingen. De regels gelden voor alle Europese banken en betaaldienstverleners, zodat CESOP een omvangrijke database is met de gegevens van miljarden betalingen.
De regels bepalen dat een betaling ‘grensoverschrijdend’ is als degene aan wie betaald wordt, woonachtig of gevestigd is in het buitenland. Het gevolg is bijvoorbeeld dat iedere rekeninghouder die weleens een product koopt bij de webwinkel van een buitenlands bedrijf van enige omvang – óók als dat bedrijf gebruik maakt van een Nederlands bankrekeningnummer – binnen de reikwijdte van CESOP komt.
Zo wordt iedere rekeninghouder in Nederland die iets koopt bij Alibaba of Amazon geraakt door CESOP. Hetzelfde geldt voor iedere rekeninghouder in Nederland, die een kopje koffie afrekent op het station in Antwerpen of Brussel. Alibaba, Amazon of de koffiekiosken in Antwerpen en Brussel hebben immers gemeen, dat zij meer dan 25 betalingen per kwartaal van rekeninghouders uit het buitenland zullen ontvangen.
CESOP is weer een voorbeeld van hoe de overheid bankrekeningen en betaalgegevens gebruikt als centraal element bij de controle- en opsporingstaken voor breed omschreven doelen. Burgers kunnen niet zonder bankrekening, maar hebben geen idee dat de overheid via vele kanalen toegang tot hun rekening heeft. Het brede gebruik van bankgegevens door de overheid is zeer zorgelijk en roept de vraag op of de overheid de grondrechten van burgers serieus neemt.
Alles bij de bron; PrivacyFirst
De nieuwe Europese platformwet — de Digital Services Act (DSA) — is sinds 17 februari van kracht. Met deze wet worden de rechten van gebruikers van online platformen, waaronder sociale media, beter beschermd tegen de macht van Big Tech.
Om gebruikers op deze nieuwe rechten te wijzen en hen aan te sporen hier gebruik van te maken, lanceerden we de campagne 'blijf luid!' en de website jouwplatformrechten.nl.
In deze extra aflevering van de Bits of Freedom podcast praten Inge en Lotje je hierover bij. Wat staat er precies in de DSA? Wat kun je er van merken als gebruiker op sociale media platformen? En wat voor aanpassingen kun je zelf doen op jouw profiel?
Alles bij de bron; Bits-of-Freedom
De Europese digitale burgerrechtenbeweging EDRi wil dat de Europese Commissie een groep ontmantelt die het heeft opgericht om te bespreken hoe opsporingsdiensten meer toegang tot data kunnen krijgen. Volgens EDRi hebben massasurveillance en encryptiebackdoors geen plek in Europa.
De High-Level Group (HLG) 'Going Dark' die de Commissie oprichtte bestaat uit afgevaardigden van nationale opsporingsdiensten met als doel het bespreken van 'toegang tot data voor effectieve rechtshandhaving'.
Onlangs oordeelde het Europees Hof van de Rechten van de Mens tegen het toevoegen van een backdoor aan chatdienst Telegram. Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van online communicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico's worden blootgesteld.
Een week na deze uitspraak houden Europese instellingen een publieke consultatie waarbij ze zoeken naar tools en andere 'potentiële oplossingen' voor de problemen waar opsporingsdiensten mee te maken hebben als ze toegang tot elektronische gegevens willen. De 'Going Dark' groep van de Europese Commissie moet aanbevelingen voor toekomstig EU-beleid en wetgeving opstellen om de toegang van opsporingsdiensten tot data te vergroten, aldus EDRi.
"We hebben vernomen dat dit 'Going Dark' initiatief een poging is om gevaarlijke maatregelen, die de online privacy en veiligheid van iedereen in gevaar brengen, wit te wassen en ze voor het publiek acceptabel te doen lijken", zegt Chloé Berthélémy, beleidsadviseur van EDRi.
Alles bij de bron; Security
De Europese Commissie opent een formeel onderzoek naar TikTok wegens het mogelijk schenden van de Digital Services Act. De Commissie gaat onder andere onderzoeken of TikTok de DSA heeft geschonden op het gebied van kinderbescherming en ook op het gebied van advertentietransparantie, datatoegang voor onderzoekers en risicobeheer rondom schadelijke content en 'verslavend ontwerp'.
Het onderzoek volgt op een vooronderzoek van de EU uit september 2023.
De Digital Services Act omvat onder andere verplichtingen rondom het beschermen van gebruikers en of de leeftijdsverificatietools van TikTok, die moeten voorkomen dat minderjarigen schadelijke content te zien krijgen, afdoende zijn. De Commissie onderzoekt ook of het platform voldoende privacymaatregelen neemt voor minderjarigen, bijvoorbeeld door strenge standaardinstellingen te bieden.
Alles bij de bron; Tweakers
Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving, zo heeft het Europees Hof van de Rechten van de Mens geoordeeld.
Het Hof deed uitspraak in een zaak die een Russische burger tegen de Russische overheid had aangespannen. Het ging over een wet die communicatieproviders verplicht om alle communicatiedata voor een periode van een jaar op te slaan, en de inhoud van de berichten voor een periode van zes maanden. Tevens moeten providers de autoriteiten de informatie verstrekken om versleutelde berichten te ontsleutelen.
Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van online communicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico's worden blootgesteld.
Een wettelijke verplichting om end-to-end encryptie te kunnen ontsleutelen zorgt er eigenlijk voor dat chatproviders worden verplicht om de encryptie voor alle gebruikers te verzwakken, wat niet proportioneel is ten opzichte van het beoogde doel, aldus het Hof.
Volgens Patrick Breyer, Europarlementariër van de Piratenpartij, zorgt de uitspraak ervoor dat client-side scanning zoals de Europese Commissie wil invoeren illegaal is.
Alles bij de bron; Security
Steeds meer overheden kijken naar het verplichten van online leeftijdsverificatie om bepaalde websites te bezoeken, maar dit kan leiden tot surveillance, heeft privacygevolgen en maakt het internet niet veiliger, zo waarschuwt de Europese burgerrechtenbeweging EDRi.
Die maakt zich vooral zorgen over een Iers voorstel dat de hele EU kan raken. "Er is een berg aan bewijs waaruit blijkt dat techbedrijven en staten niet te vertrouwen zijn met de meest private gegevens van mensen en het beschermen van hun digitale veiligheid", aldus EDRi.
Staten kunnen de leeftijdsverificatie voor allerlei websites verplichten. Het gaat dan bijvoorbeeld om gok- en pornosites, maar ook algemene videoplatforms. Zo kwam de Ierse mediatoezichthouder laatst met een voorstel dat voor dergelijke platforms 'robuuste leeftijdsverificatietechnologie' verplicht.
Omdat veel techbedrijven hun hoofdkantoor in Ierland hebben kunnen de gevolgen van het voorstel in heel Europa voelbaar worden en miljoenen mensen treffen die diensten zoals Instagram en YouTube gebruiken, vreest EDRi. Niet alleen de Ierse autoriteiten kijken naar leeftijdsverificatie, ook in het Verenigd Koninkrijk en België is dit het geval.
Alles bij de bron; Security
Privacy First adviseert burgers om zich af te melden voor het delen van gegevens via de European Health Data Space (EHDS). Iets wat twee keer moet worden gedaan.
"Het architectuurmodel van de EHDS (voor primair gebruik) komt namelijk in grote mate overeen met het Landelijk EPD uit 2011. Daarmee ontstaan dezelfde risico’s voor de privacy en veiligheid, alleen dan op Europese schaal", aldus de stichting.
Het EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. De onderhandelingen over de EHDS zijn nog gaande, maar het is inmiddels duidelijk dat er met een opt-out zal worden gewerkt.
Het gaat zowel om het uitwisselen van gezondheidsgegevens voor primair als secundair gebruik. Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Burgers die niet willen dat hun gegevens worden uitgewisseld zullen zich apart voor het primaire en secundaire gebruik moeten afmelden. De EHDS bestaat namelijk uit twee systemen waar burgers zich kunnen afmelden. Voor primair gebruik komt er het Nationaal Contactpunt voor eHealth (NCPeH) en voor secundair gebruik komt er een Health Data Access Body (HDAB).In aanvulling daarop kan iedere lidstaat besluiten genetische gegevens uitsluitend met uitdrukkelijke toestemming van burgers beschikbaar te stellen.
"Je kan je dus als burger volledig afmelden en daarmee wordt het opvragen van je medische gegevens aan de bron geblokkeerd", aldus Privacy First, dat dit ook adviseert.
Alles bij de bron; Security
De Amerikaanse toezichthouder FCC heeft robocalls met door AI-gegenereerde stemmen in de Verenigde Staten illegaal verklaard.
Bij een robocall wordt iemand door een computer gebeld en krijgt een vooraf opgenomen boodschap gemaakt met een computerstem te horen. Bedrijven kunnen robocalls voor marketingdoeleinden inzetten, maar het wordt ook gebruikt voor fraude. In 2022 zorgden robocalls nog voor veel slachtoffers in Nederland, waarbij mensen werden gebeld en een Engelstalige boodschap kregen te horen die van de ‘National Police’, ‘Dutch Supreme Court’ of het ‘Ministry of Justice’ afkomstig zou zijn.
Robocalls zijn in de Verenigde Staten niet verboden, maar dat geldt nu wel voor gesprekken waarbij er gebruik is gemaakt van stemmen die door middel van AI zijn gegenereerd. Volgens de toezichthouder maken kwaadwillenden misbruik van AI-stemmen om mensen af te persen, beroemdheden te imiteren of kiezers te misleiden. Naast de FCC is de Amerikaanse toezichthouder FTC bezig met de aanpak van door AI gekloonde stemmen.
Alles bij de bron; Security
Consumenten kunnen vanaf april als optie iDEAL-profielen aanmaken om te gebruiken bij webwinkels.
In dit profiel staat bijvoorbeeld het adres van de klant en de voorkeursbankrekening, zodat bestellingen sneller kunnen verlopen. De organisatie achter iDEAL noemt geen precieze datum voor de introductie van de profielen, alleen dat het aanmaken en gebruiken in april mogelijk moet zijn.
De profielen zouden volgens iDEAL goed zijn voor de privacy van klanten, omdat de gegevens centraal en 'met een hoge privacystandaard' worden opgeslagen. Naast de profielen hoeven gebruikers in de nieuwe iDEAL-versie niet langer te navigeren naar de site of app van hun bank om een bestelling af te ronden, maar kan dit via iDEAL zelf.
Alles bij de bron; Tweakers