Autofabrikanten delen gegevens over het rijgedrag van bestuurders met verzekeringsmaatschappen wat tot hogere premies leidt, zo meldt The New York Times. Een Amerikaan laat tegenover de krant weten hoe zijn autoverzekering door het nauwkeurig analyseren van zijn rijgedrag met 21 procent omhoog was gegaan. Ook premievoorstellen van andere verzekeraars waren veel hoger dan hij eerst betaalde. Dit leidde de bestuurder naar LexisNexis, een datahandelaar die autoverzekeraars van allerlei data voorziet.
De Amerikaan vroeg informatie bij LexisNexis op en kreeg een 258 pagina's tellend rapport, met 130 pagina's waarin stond hoe vaak hij en zijn vrouw in de auto hadden gereden. Het ging om gegevens over 640 autoritten, hun start- en eindtijden, afgelegde afstand en gevallen van snelheidsovertredingen, te hard remmen of plotselinge versnellingen. Het enige wat ontbrak was waar het koppel precies had gereden.
Autobedrijven hebben relaties met verzekeringsmaatschappijen. Zo hebben autofabrikanten, waaronder General Motors, Honda, Kia en Hyundai, allerlei optionele features in hun 'connected-car apps'. Wanneer bestuurders deze features inschakelen delen de autofabrikanten informatie over het rijgedrag met datahandelaren zoals LexisNexis.
Volgens The New York Times is deze samenwerking tussen fabrikant en verzekeraar voor veel bestuurders onzichtbaar en wordt de toestemming verkregen via de kleine lettertjes in het privacybeleid dat maar weinigen lezen. De krant noemt het met name verontrustend dat meerdere bestuurders van auto's gemaakt door General Motors aangeven dat hun rijgedrag getrackt werd, ook als ze de betreffende feature niet hadden ingeschakeld en als gevolg daarvan een hogere premie moesten betalen.
Volgens Jen Caltrider, een onderzoeker van Mozilla die het privacybeleid van 25 autofabrikanten analyseerde, hebben bestuurders geen idee waar ze toestemming voor geven als het aankomt op dataverzameling. "Het is onmogelijk voor consumenten om te begrijpen." Volgens Caltrider zijn moderne auto's dan ook een 'privacynachtmerrie op wielen.'
Alles bij de bron; Security
Het Home Office, het Britse ministerie van Binnenlandse Zaken, is onzorgvuldig omgegaan met de gegevens van meer dan 76.000 immigranten. Deze zijn onder meer geregistreerd onder de verkeerde namen en er zijn foto’s van immigranten door elkaar gehaald.
Uit interne documenten blijkt dat het ministerie een tool heeft ontwikkeld om potentiële samengevoegde identiteiten te signaleren. Tot nu toe zijn daarmee ruim 38.000 problemen gesignaleerd, die elk ten minste twee mensen hebben getroffen. Een woordvoerder van het Home Office zegt dat de problemen naar schatting 0,02 procent van de personen in de database hebben getroffen.
Door de fout van het Home Office kunnen de getroffenen niet solliciteren en komen ze niet in aanmerking voor een woning of voor behandeling bij de National Health Service, schrijft The Guardian donderdag op basis van uitgelekte documenten. Dat komt doordat er in het systeem van het Home Office identiteiten zijn samengevoegd. Dat houdt in dat de biografische en biometrische gegevens van twee of meer personen aan elkaar zijn gekoppeld.
Het ging vaak om gegevens van immigranten die volgens The Guardian ‘totaal niets met elkaar te maken hadden’. De krant heeft gesproken met een aantal getroffenen. Een man uit Nicaragua zou meer dan honderd keer naar het Home Office hebben gebeld om aan zijn werkgevers te kunnen bewijzen dat hij een werkvergunning had. Een andere vluchteling zag herhaaldelijk het identiteitsbewijs met de foto van een vreemde toen ze inlogde op haar account.
Alles bij de bron; Tweakers
De FTC en het toenmalige Facebook sloten in 2020 een privacyovereenkomst in een rechtszaak over Meta's rol in het Cambridge Analytics-schandaal. Onderdeel van die overeenkomst was een boete van 5 miljard dollar. Ook moest Meta voldoen aan een aantal strikte regels voor de privacy van gebruikers.
De Amerikaanse toezichthouder concludeerde afgelopen mei dat Meta die regels geschonden heeft. De FTC wil daarom de rechtszaak heropenen en de regels strenger maken. Zo zou Meta niet mogen profiteren van data die het verzamelt van gebruikers onder de achttien en moet het nadrukkelijk toestemming van de gebruiker hebben voor toekomstig gebruik van gezichtsherkenningstechnologie.
De FTC wil verder dat Meta eerst schriftelijke toestemming van een onafhankelijke privacybeoordelaar moet krijgen voordat het nieuwe of gewijzigde producten, diensten of functies op de markt mag brengen. Op die manier moet verzekerd worden dat Meta voldoet aan het privacybevel uit 2020.
Volgens de rechter impliceren de zorgen van de FTC 'belangrijke publieke belangen'. Ook benadrukt de rechter dat Meta bezwaar kan maken tegen de beslissingen van de FTC.
Alles bij de bron; Tweakers
De EP-leden hebben met 464 stemmen vóór, 92 stemmen tegen en bij 65 onthoudingen groen licht gegeven voor nieuwe wetgeving om journalisten en media in de EU te beschermen tegen politieke of economische inmenging.
Op grond van de nieuwe regels worden de EU-landen verplicht de onafhankelijkheid van de media te beschermen en alle vormen van inmenging in redactionele beslissingen verboden.
Autoriteiten mogen geen druk uitoefenen op journalisten en redacteuren om hun bronnen openbaar te maken. Zo mogen ze hen niet vastzetten of sancties opleggen, hun kantoren niet doorzoeken, en ook geen intrusieve surveillancesoftware op hun elektronische apparaten installeren.
Het Parlement heeft belangrijke voorzorgen toegevoegd om het gebruik van spyware toe te staan. Dit zal altijd per geval moeten worden bekeken en is alleen mogelijk met toestemming van een rechterlijke autoriteit die ernstige misdrijven onderzoekt waarop een vrijheidsstraf staat.
Zelfs in deze gevallen hebben de betroffen personen het recht om op de hoogte worden gehouden na de surveillance. Bovendien kunnen zij de surveillance aanvechten voor de rechter.
De EP-leden hebben ervoor gezorgd dat de verordening een mechanisme bevat om te voorkomen dat zeer grote onlineplatforms zoals Facebook, X (het voormalige Twitter) of Instagram willekeurig onafhankelijke media-inhoud verwijderen of de toegang ertoe beperken.
Deze platforms moeten eerst onafhankelijke media onderscheiden van niet-onafhankelijke bronnen. Een platform moet het een mediakanaal laten weten als het van plan is om inhoud te verwijderen of de toegang ertoe te beperken. Het kanaal moet 24 uur de tijd krijgen om te reageren. Pas na het antwoord van het kanaal (of als dat uitblijft) kan het platform de inhoud verwijderen of de toegang ertoe beperken als deze nog steeds niet voldoet aan de voorwaarden ervan.
Alles bij de bron; Europarlement
Het Parlement heeft met 523 stemmen voor, 46 tegen en bij 49 onthoudingen de AI-verordening goedgekeurd om de veiligheid en de naleving van de grondrechten te waarborgen en innovatie te stimuleren.
De nieuwe regels hebben tot doel de grondrechten, de democratie, de rechtsstaat en de milieuduurzaamheid te beschermen tegen AI-systemen met een hoog risico. Tegelijkertijd moeten ze innovatie stimuleren en van Europa een leider maken op het gebied van AI. Met de verordening komen er verplichtingen voor AI-systemen op basis van de potentiële risico’s en gevolgen die ze met zich meebrengen.
Op grond van de nieuwe regels worden bepaalde AI-toepassingen verboden die de rechten van burgers in gevaar brengen. Denk daarbij aan systemen voor biometrische categorisering op basis van gevoelige kenmerken, of aan de ongerichte scraping van gezichtsafbeeldingen van het internet of CCTV-beelden om databanken voor gezichtsherkenning aan te leggen.
Daarnaast komt er een verbod op emotieherkenning op het werk en op school. Hetzelfde geldt voor burgerscores, voorspellend politiewerk dat uitsluitend is bedoeld om mensen te profileren of hun kenmerken te beoordelen, en AI waarmee menselijk gedrag wordt gemanipuleerd of de kwetsbaarheden van mensen worden uitgebuit.
Verbod met vrijstellingen voor rechtshandhavingsinstanties
Het gebruik van systemen voor biometrische identificatie op afstand (RBI) door rechtshandhavingsinstanties wordt in beginsel verboden. Alleen in limitatief opgesomde en nauwkeurig omschreven omstandigheden kan hiervan worden afgeweken.
RBI-systemen mogen alleen in real time worden ingezet als aan strikte waarborgen wordt voldaan. Zo mogen ze alleen tijdens een beperkte periode en binnen een beperkt geografisch gebied worden gebruikt en moet de rechter of de administratie vooraf specifieke toestemming hebben gegeven. Deze systemen kunnen bijvoorbeeld worden gebruikt om gericht te zoeken naar een vermiste persoon of om terroristische aanslagen te voorkomen. RBI-systemen die achteraf worden ingezet (“RBI achteraf”), worden beschouwd als systemen met een hoog risico. De toestemming van de rechter moet in zulke gevallen verband houden met een strafbaar feit.
Ook worden er duidelijke verplichtingen ingevoerd voor andere AI-systemen met een hoog risico. Deze kunnen namelijk aanzienlijke schade toebrengen aan de gezondheid, de veiligheid, de grondrechten, het milieu, de democratie en de rechtsstaat. AI-systemen met een hoog risico worden onder meer gebruikt op het gebied van kritieke infrastructuur, onderwijs en beroepsopleidingen, en werkgelegenheid.
Ze worden ook ingezet in essentiële particuliere en openbare diensten, zoals de gezondheidszorg en het bankwezen. Verder worden ze toegepast op het gebied van rechtshandhaving, migratie en grensbeheer, justitie en democratische processen, bijvoorbeeld om verkiezingen te beïnvloeden.
Deze systemen moeten transparant en nauwkeurig zijn, en de risico’s ervan moeten worden beoordeeld en beperkt. Bovendien moeten in het geval van systemen met een hoog risico logboeken worden bijgehouden en moet menselijk toezicht mogelijk zijn. Burgers hebben het recht om klachten over AI-systemen in te dienen en uitleg te krijgen over beslissingen die zijn genomen op basis van AI-systemen met een hoog risico en die gevolgen hebben voor hun rechten.
AI-systemen voor algemene doeleinden en de modellen waarop ze zijn gebaseerd, moeten voldoen aan bepaalde transparantievereisten, zoals voor de EU-wetgeving over auteursrecht en ze moeten informatie publiceren over de content gebruikt voor trainingen. Voor krachtigere modellen die systeemrisico’s met zich mee kunnen brengen komen er aanvullende vereisten. Denk daarbij aan de uitvoering van modelevaluaties, de beoordeling en beperking van systeemrisico’s, en de rapportage van incidenten.
Daarnaast moeten kunstmatige of gemanipuleerde afbeeldingen, audiobestanden en video-inhoud (“deepfakes”) duidelijk als zodanig worden aangeduid.
Alles bij de bron; Europarlement
De Europese digitale identiteit wordt niet verplicht om diensten in de Europese Unie te kunnen afnemen, zo heeft demissionair staatssecretaris Van Huffelen van Digitalisering laten weten. De bewindsvrouw reageerde naar aanleiding van vragen van GroenLinks-PvdA. De partijen wilden weten wat de risico's zijn dat de Europese digitale identiteit (EDI) voor veel meer zaken ingezet gaat worden dan oorspronkelijk is bedoeld en aangekondigd, ook wel function creep genoemd.
De staatssecretaris stelt dat organisaties en bedrijven in de hele EU geen diensten kunnen aanbieden waarbij alleen een Europese digitale identiteit is te gebruiken. "Hier vloeit uit voort dat bedrijven die een EDI-wallet accepteren altijd een alternatief moeten bieden", aldus de staatssecretaris.
De alternatieven die organisaties moeten bieden kunnen zowel digitaal als niet-digitaal zijn.
Alles bij de bron; Security
Tienduizend Nederlanders zijn vorig jaar slachtoffer geworden van bankhelpdeskfraude en werden daarbij voor ruim 28 miljoen euro opgelicht.
In 2023 werd de schade door bankhelpdeskfraude in 31 procent van de gevallen niet vergoed.
Banken vinden dat criminelen online nog veel te gemakkelijk anoniem kunnen opereren of zich voordoen als iemand anders. "Zo is het nu nog veel te makkelijk voor online criminelen om anoniem te blijven of zich voor te doen als iemand anders. Het zou daarom goed zijn als aanbieders van onlinedienstverlening en bijvoorbeeld prepaid simkaarten worden verplicht om de identiteit van hun klanten te checken."
Daarnaast willen de banken dat het eenvoudiger moet worden om gegevens te delen.
Alles bij de bron; Security
Rond 2026 kunnen alle 450 miljoen Europese burgers hun digitale identiteit zelf bewaren en beheren. Het duurde even om de wet zo aan te passen dat-ie het web niet ongewild onveiliger maakte door digitale certificaten te ondermijnen, maar de tekst is rond. De Piratenpartij vindt bijvoorbeeld dat het nóg privacyvriendelijker had gekund.
Taaie kost, misschien zelfs saaie kost, dat gedoe met identiteiten. Maar zo’n ‘wallet’ is onmisbaar. Bijvoorbeeld om veilig gegevens te delen, transacties te doen of te bewijzen hoe oud je bent. Onlinediensten zijn verplicht de digitale portemonnee met het Europese identiteitsbewijs te accepteren om leeftijdchecks uit te voeren. Zodat bedrijven zeker weten dat iemand online mag gokken, porno kijken, (18+) of een eigen account op TikTok af mag sluiten (13+).
Volgens de Deense Europarlementariër Karen Melchior zijn grote onlineplatforms uit de VS nog niet verplicht om de Europese digitale portemonnee te gebruiken als alternatief voor hun bestaande verificatiesystemen.
Dat is jammer, „Ik zou graag zien dat ze de Europese wallets omarmen, want die bieden goede privacybescherming. Dat weten we van de commerciële techniek niet zeker.”
Alles bij de bron; NRC
Nederlanders met een niet-westerse migratieachtergrond worden vaker door hun bank gecontroleerd op mogelijk verdachte transacties dan autochtone landgenoten. Dat zegt Medy van der Laan, voorzitter van de Nederlandse Vereniging van Banken (NVB).
Dit volgt volgens haar uit de anti-witwaswet waar banken zich aan moeten houden, de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Mensen met een niet-westerse migratieachtergrond hebben vaker een band met zo’n hoog-risicoland, zegt Van der Laan, bijvoorbeeld omdat zij er nog familie hebben wonen.
Banken gaan zelf niet over welke landen op de lijsten staan. Die worden samengesteld door de Europese Commissie en de intergouvermentele Financial Action Task Force.
Nationaal Coördinator Discriminatie en Racisme Rabin Baldewsingh spreekt in een reactie toch van discriminatie. Hij zegt dat ‘iets ook discriminatie kan zijn als het niet zo bedoeld is, maar wel zo uitwerkt.’ Wel is hij het met de banken eens dat dit voor een deel aan de Wwft ligt. “Die pakt nadelig uit voor moslims en mensen die banden hebben met moslimlanden.”
Baldewsingh sprak zich een jaar geleden ook uit tegen discriminatie van moslims door hun bank. Destijds zei hij dat moslims zich soms moeten verantwoorden voor kleine donaties tijdens de ramadan, of zelfs voor het online bestellen van een islamitisch boek. Dat soort klachten krijgt hij nog steeds. “En niet alleen als het gaat om transacties met landen op de hoogrisicolijsten, ook voor kleine bedragen binnen Nederland”, zegt hij.
Alles bij de bron; Trouw [abonnee artikel, scan ontvangen van een lezer]
De cookiepop-ups van IAB Europe, die op grote schaal door websites worden gebruikt om gebruikers toestemming te vragen voor het plaatsen van cookies, zijn in strijd met de AVG. Dat heeft het Hof van Justitie van de Europese Unie vandaag geoordeeld (pdf). De Belgische privacytoezichthouder GBA oordeelde al in 2022 dat het systeem in strijd met de AVG is.
Het Interactive Advertising Bureau Europe (IAB Europe) is de ontwikkelaar van het Transparency and Consent Framework (TCF). Dit is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt en een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB).
Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor RTB, waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte.
Het TCF vergemakkelijkt het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon...
...IAB Europa is van mening dat het geen verwerkingsverantwoordelijke is, maar dat is volgens de GBA wel het geval. De Belgische privacytoezichthouder stelde twee jaar geleden vast dat IAB Europe op verschillende punten de AVG heeft geschonden.
Vanwege het overtreden van de AVG besloot de Belgische privacytoezichthouder een boete op te leggen. IAB Europe ging in beroep tegen de boete bij het hof van beroep in Brussel, dat prejudiciële vragen heeft voorgelegd aan het Europees Hof. Dat laat vandaag weten dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. Daarnaast moet IAB Europe worden beschouwd als een „gezamenlijke verwerkingsverantwoordelijke” in de zin van de AVG.
Alles bij de bron; Security