45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Nieuws uit Brussel

EU en Japan werken aan Privacy-Shield raamwerk voor uitwisselen data van Europeanen

Data-uitwisseling over landsgrenzen is voor veel bedrijven van groot belang. Denk hierbij aan informatie over werknemer, creditcarddetails bij het verwerken van online orders of gegevens over gebruikers om gericht advertenties te kunnen aanbieden. Europese databeschermingswetgeving verbiedt bedrijven echter data van Europeanen op te slaan op landen waarin de privacy van Europeanen onvoldoende is gewaarborgd. Slechts 12 landen wereldwijd voldoen aan de voorwaarden die de EU hiervoor stelt. 

De EU werkt aan een deal om het uitwisselen van persoonlijke data met Japan mogelijk te maken. Naar verwachting wordt hierover begin 2018 een overeenkomst gesloten. De nieuwe overeenkomst met Japan waar de EU aan werkt biedt een juridisch raamwerk dat het uitwisselen van data van Europeanen met Japan mogelijk maakt. "...goed nieuws voor bedrijven, aangezien dit het mogelijk maakt persoonlijke data van de EU naar Japan te verplaatsen zonder extra autorisaties", legt Eurocommissaris voor Justitie Věra Jourová uit.

De overeenkomst met Japan is onderdeel van een vrij handelsverdrag met dit land, waarover op 6 juli 2017 overeenstemming werd bereikt. Al langer bestaat een dergelijke overeenkomst met de Verenigde Staten: het EU-US Privacy Shield.

Alles bij de bron; ExecutivePeople


 

Uitvoeringswet AVG (UAVG) gepubliceerd - een eerste analyse

Het wetsvoorstel voor de Uitvoeringswet AVG (UAVG) is gepubliceerd op Rijksoverheid.nl. Veel van de huidige Wet bescherming persoonsgegevens komt terug, maar er zijn verschillen. In deze blog licht ik een paar zaken er uit die me bij eerste lezing opvallen...

In de UAVG is in artikel 3 bepaald dat de wet ook van toepassing is op verwerkingen van persoonsgegevens die buiten de werkingsfeer van het Unierecht vallen. Dat maakt de UAVG een nog universelere privacywet. Want dankzij de UAVG is in Nederland de AVG altijd relevant bij de verwerking van persoonsgegevens (direct of van overeenkomstige toepassing)...

Iedereen die zich in Nederland bevindt en persoonsgegevens verwerkt heeft straks met de UAVG te maken. Ook al worden alleen persoonsgegevens van buitenlanders verwerkt (bijv. bij internationale hosting). Artikel 4 UAVG kiest namelijk voor een “simpel” territoriaal toepassingsbereik: aanwezig zijn in Nederland is voldoende. Dat is een afwijking van het huidige stelsel, waarbij juist de consument altijd met zijn lokale privacyrecht te maken heeft...

Het regime voor de verwerking van bijzondere persoonsgegevens (artikel 22 e.v.) lijkt bij eerste indruk sterk op dat van de Wbp. Opmerkelijk is dat de verwerking van biometrische gegevens – een nieuw soort bijzonder persoonsgegevens – is toegestaan, zolang het maar voor authenticatie of beveilingsdoeleinden gebeurt. De in de praktijk belangrijkste grond om dergelijke biometrische gegevens te verwerken is dus gewoon toegestaan. Het bijzondere persoonsgegevens wordt zo bijna een gewoon persoonsgegevens...

In artikel 40 UAVG staat dat het verbod om mensen te onderwerpen aan geautomatiseerde besluitvorming niet geldt indien de wet dat verplicht stelt. De overheid bouwt hier dus ruimte in voor eigen ‘big data’ toepassingen. Een beetje flauw is vervolgens wel weer dat de verantwoordelijk dan zelf “passende maatregelen” moet treffen (lid 2). Het is wat mij betreft kiezen of delen: als je als wetgever een partij verplicht stelt persoonsgegevens te verwerken, zorg dan als wetgever zelf voor die passende waarborgen...

Net als onder de Wbp mag het BSN onder de UAVG straks alleen worden verwerkt binnen de kaders van de wet (artikel 46 UAVG). Een van onze populairdere blogberichten over het gebruik van BSN-nummers blijft dus nog wel even relevant...

Alles bij de bron; DirkZwagerIT [via Privacy & Technologie]


 

EP stemt voor e-Privacy-verordening met cookiemuurverbod - Update

Het Europees Parlement heeft ingestemd met de e-Privacy-verordening. Daarmee zijn de nieuwe regels, die onder meer cookiemuren verbieden en WhatsApp strengere regels opleggen, dichterbij gekomen. De Raad van Ministers, met ministers uit alle lidstaten, moet de wetgeving nu nog goedkeuren. Het kan gebeuren dat de Raad de regels afzwakt of andere wijzigingen voorstelt.

De regels zorgen ervoor dat de privacyregels die gelden voor providers, ook gaan gelden voor aanbieders van elektronische communicatiediensten. Daarmee doelt de regelgeving op partijen als WhatsApp en Skype. Zo moeten deze aanbieders de geheimhouding van communicatie kunnen garanderen, zodat het onderscheppen of aftappen van gegevens alleen kan gebeuren met de toestemming van de gebruiker.

Verder moet de regelgeving een einde maken aan cookiemuren door gebruik te maken van browserinstellingen, waarmee gebruikers kunnen aangeven of ze tracking toestaan. Ook tracking via wifi moet aan banden worden gelegd.

Alles bij de bron; Tweakers

RTLZ update;

In het wetsvoorstel staan onder andere regels hoe bedrijven met jouw online data moeten omgaan. De belangrijkste punten:

  • Alle elektronische communicatie, zoals die met WhatsApp of Gmail, moet voortaan vertrouwelijk zijn. Als bedrijven met jouw communicatie willen meelezen, moeten ze daarvoor nadrukkelijk toestemming vragen. In Nederland is dit sinds kort al vastgelegd in de wet.
  • De cookiemuren die veel websites gebruiken en die jou toegang weigeren als je het niet accepteert, worden verboden. Daarnaast moeten websites voortaan duidelijk toestemming vragen of adverteerders op de website jou mogen volgen. Dat kan onder andere via de browserinstellingen worden geregeld, waar websites zich aan te houden hebben.
  • Apparaten en software moeten standaard op de 'privacyvriendelijke instellingen' worden ingesteld. Dat geldt bijvoorbeeld voor browsers, maar ook voor smartphones en apps.
  • Websites mogen het gebruik van een adblocker detecteren en 'passende maatregelen' nemen en bijvoorbeeld vragen of de gebruiker zijn adblocker wil uitzetten.
  • Mensen mogen in de 'echte wereld' ook worden gevolgd, bijvoorbeeld met wifi-tracking, maar daar moeten ze nadrukkelijk voor worden gewaarschuwd, bijvoorbeeld met duidelijke borden.
  • De toezichthouder kan bedrijven en organisaties hogere boetes opleggen van maximaal 10 miljoen euro of 2 procent van de wereldwijde omzet.

 

Ook Europese Commissie wil geen beperking of verzwakking van encryptie

Om moedeloos van te worden, zo vaak roepen politici in al hun onmacht dat encryptie niet een vrijhaven van terroristen mag zijn en dat de politie over achterdeurtjes moet beschikken. Maar soms gloort er hoop. Zo zijn we nog altijd blij met het standpunt van onze eigen regering: het is niet wenselijk om de ontwikkeling, de beschikbaarheid en het gebruik van encryptie in te perken. En blijkbaar dringt het belang van dat standpunt ook langzaam door bij anderen.

Vorige week lanceerde de Europese Commissie haar “Progress report towards an effective and genuine Security Union.” Daarin beschrijft ze allerlei maatregelen die Europa veiliger moet maken, zoals het beter beschermen van de openbare ruimte, het ontmoedigen van de financiering van terroristische organisaties en het ondersteunen van opsporingsdiensten bij het omgaan met versleutelde informatie.

Dat laatste betekent meestal niet veel goeds, maar ditmaal worden we verrast. De Europese Commissie stelt vast dat “het gebruik van encryptie essentieel is voor cybersecurity en de bescherming van persoonlijke gegevens”. De Commissie constateert vervolgens dat encryptie steeds vaker een obstakel is in onderzoeken van de politie. Daarom komt ze met zes maatregelen om die diensten vooruit te helpen, en dit is het belangrijkste: “without prohibiting, limiting or weakening encryption.”

De maatregelen zijn heel divers. Zo wordt geïnvesteerd in het vergroten van de capaciteit van Europol om versleutelde informatie die zij in haar onderzoeken tegenkomt, toch te ontsleutelen. Dan moet je, vermoeden we, denken aan het versterken van de opties om een wachtwoord te brute-forcen en het vergroten van kennis over versleuteling. En een andere maatregel: een inventarisatie van alternatieve onderzoeksmethode om te compenseren voor het gebrek aan toegang tot versleutelde informatie.

Twijfels hebben we over het feit dat de Europese Commissie een belangrijke rol ziet weggelegd voor “service providers and other industry partners.” Dat betekent vaak dat bedrijven onder druk worden gezet om “vrijwillig” “hun verantwoordelijkheid te nemen”. Je zou dan kunnen denken aan meer of minder subtiele hints voor het wel aanbieden van encryptie, maar het niet standaard aanzetten ervan. Vrijwillig, maar wel onder druk van het risico dat er anders wettelijke regels komen die hetzelfde zullen afdwingen.

Desondanks zijn we, alles bij elkaar genomen, wel blij met dit verhaal. Het is in ieder geval niet meer met een gestrekt been er in en schreeuwen om schijnoplossingen zoals achterdeurtjes. Het onderwerp vraagt om waakzaamheid, zeker de maatregel waarin de Europese Commissie aankondigt samen te werken met de partijen die encryptie toepassen. Maar voor nu lijkt erop dat we best tevreden kunnen zijn met het standpunt van de Europese Commissie.

Alles bij de bron; Bits-Of-Freedom


 

Facebook valt in elk land onder privacy-toezicht, stelt AG Europees Hof

Facebook heeft een tegenslag gekregen bij zijn strategie om alleen verantwoording af te leggen aan de toezichthouder voor gegevensbescherming in Ierland. De Advocaat-Generaal van het Europees Hof van Justitie vindt dat Facebook in Duitsland ook door de Duitse autoriteiten kan worden gereguleerd. Het gaat om een advies aan het Europees Hof, dat nog een uitspraak gaat doen. 

Facebook is in een aantal Europese landen verwikkeld in juridische procedures, waaronder in België, Nederland en Frankrijk voor vergelijkbare zaken. Het bedrijf houdt vol dat toezichthouders niet bevoegd zijn omdat het met zijn hoofdkantoor in Ierland zit. 

De AG van het Hof in Luxemburg stelt dat de beheerder van de Facebookpagina onder toezicht staat van de Duitse autoriteiten. Dat geldt ook voor het bedrijf dat de data verwerkt – Facebook – omdat het in Duitsland advertenties verkoopt. 

Alles bij de bron; TelecomPapers


 

Gezichtsscan reizigers 3 jaar in databank EU

De vingerafdrukken en gezichtsscans van niet-EU-burgers die naar Nederland en andere zogenoemde Schengenlanden willen reizen, worden in de toekomst drie jaar opgeslagen in een databank. De identiteitscontrole wordt dan volledig digitaal. Het Europees Parlement gaf woensdag groen licht voor dit zogenoemde in- en uitreissysteem, met 477 tegen 139 stemmen.

De persoonsgegevens worden opgeslagen bij het EULISA-agentschap in Estland. Nationale opsporingsdiensten en Europol kunnen daar iemands reisgeschiedenis opvragen. Critici stellen dat het opslaan van gegevens in strijd is met Europese wetgeving.

Voor reizigers uit de ongeveer zestig landen zonder visumplicht voor de EU wordt ook nog een ander systeem opgetuigd, genaamd ETIAS. Zij moeten voor hun reis eerst online een aanvraag indienen.

Alles bij de bron; EUNU


 

Europese Commissie positief over Privacy Shield, ziet wel verbeterpunten

In een persconferentie zei Eurocommissaris Věra Jourová dat 'de VS zich aan zijn beloftes houdt en dat het systeem werkt'. De Commissie heeft het rapport en de bijbehorende conclusies gepubliceerd. Daarin is vermeld dat inmiddels meer dan 2400 bedrijven het zelfcertificeringsproces van het Privacy Shield hebben doorlopen. De Commissie schrijft verder: "De Amerikaanse autoriteiten hebben hebben de nodige klachtbehandeling- en handhavingsprocedures in het leven geroepen om de rechten van individuen te beschermen."

Amerikaanse wetgeving over toegang tot persoonsgegevens van Europese burgers zou voldoende waarborgen bieden tegen 'verzameling en gebruik van elektronische communicatiegegevens op een algemene basis', concludeert de Commissie. Dat is een eis uit de Schrems-zaak, waarin de voorloper van het Privacy Shield, de zogenaamde Safe Harbour-regeling, ongeldig werd verklaard

Toch is er ook nog ruimte zijn voor verbetering.

Zo zou het Amerikaanse ministerie van Economische Zaken actiever bedrijven moeten opsporen die ten onrechte claimen onder het Privacy Shield gecertificeerd te zijn. Daarnaast zou het regelmatig moeten controleren of bedrijven zich daadwerkelijk aan de daarin vastgelegde regels houden. De Commissie raadt bovendien aan om meer bewustzijn onder EU-burgers te creëren over hoe ze hun rechten onder het Privacy Shield kunnen uitoefenen. Meer dan een jaar geleden uitte de Artikel 29-werkgroep, een orgaan waarin de privacytoezichthouders van de EU-lidstaten zijn verenigd, dat het Privacy Shield nog enkele gebreken bevatte, zoals waarborgen tegen surveillance.

Destijds zei de organisatie dat er geen actie ondernomen zou worden, maar dat er gewacht zou worden tot de eerste evaluatie heeft plaatsgevonden. Burgerrechtenorganisatie Digital Rights Ireland diende een klacht in tegen de overeenkomst.

Alles bij de bron; Tweakers


 

Europarlement wil elke 100 kilometer beveiligde truckparking

Europa moet veel meer doen om vrachtwagenchauffeurs te beschermen. De risico’s die zij lopen worden steeds groter. De georganiseerde misdaad aast op hun lading, terroristen op hun truck om er aanslagen mee te plegen en in de buurt van havensteden kruipen er terwijl zij slapen verstekelingen aan boord.

Sommige lidstaten willen dat chauffeurs, om niet achter het stuur in slaap te vallen, verplicht in hotels overnachten. Maar tenzij er veel meer beveiligde parkeerplaatsen komen zal dat er alleen maar toe leiden dat hun lading nog vaker gestolen wordt, aldus het Europese Parlement. Dat wil op belangrijke doorgaande wegen om de honderd kilometer een beveiligde parking. Volgens cijfers van het wegvervoer is het aantal ladingdiefstallen het afgelopen jaar met een kwart toegenomen, de vier jaar daarvoor met meer dan 200 procent. ,,En wellicht is het door een gebrekkige rapportage in werkelijkheid nog veel meer”, aldus Jourová zelf. Zij wees tankstations en onbeveiligde wegparkings aan als ‘de echte hotspots’.

Alles bij de bron; AD