Steeds meer overheden kijken naar het verplichten van online leeftijdsverificatie om bepaalde websites te bezoeken, maar dit kan leiden tot surveillance, heeft privacygevolgen en maakt het internet niet veiliger, zo waarschuwt de Europese burgerrechtenbeweging EDRi.
Die maakt zich vooral zorgen over een Iers voorstel dat de hele EU kan raken. "Er is een berg aan bewijs waaruit blijkt dat techbedrijven en staten niet te vertrouwen zijn met de meest private gegevens van mensen en het beschermen van hun digitale veiligheid", aldus EDRi.
Staten kunnen de leeftijdsverificatie voor allerlei websites verplichten. Het gaat dan bijvoorbeeld om gok- en pornosites, maar ook algemene videoplatforms. Zo kwam de Ierse mediatoezichthouder laatst met een voorstel dat voor dergelijke platforms 'robuuste leeftijdsverificatietechnologie' verplicht.
Omdat veel techbedrijven hun hoofdkantoor in Ierland hebben kunnen de gevolgen van het voorstel in heel Europa voelbaar worden en miljoenen mensen treffen die diensten zoals Instagram en YouTube gebruiken, vreest EDRi. Niet alleen de Ierse autoriteiten kijken naar leeftijdsverificatie, ook in het Verenigd Koninkrijk en België is dit het geval.
Alles bij de bron; Security
Privacy First adviseert burgers om zich af te melden voor het delen van gegevens via de European Health Data Space (EHDS). Iets wat twee keer moet worden gedaan.
"Het architectuurmodel van de EHDS (voor primair gebruik) komt namelijk in grote mate overeen met het Landelijk EPD uit 2011. Daarmee ontstaan dezelfde risico’s voor de privacy en veiligheid, alleen dan op Europese schaal", aldus de stichting.
Het EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. De onderhandelingen over de EHDS zijn nog gaande, maar het is inmiddels duidelijk dat er met een opt-out zal worden gewerkt.
Het gaat zowel om het uitwisselen van gezondheidsgegevens voor primair als secundair gebruik. Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Burgers die niet willen dat hun gegevens worden uitgewisseld zullen zich apart voor het primaire en secundaire gebruik moeten afmelden. De EHDS bestaat namelijk uit twee systemen waar burgers zich kunnen afmelden. Voor primair gebruik komt er het Nationaal Contactpunt voor eHealth (NCPeH) en voor secundair gebruik komt er een Health Data Access Body (HDAB).In aanvulling daarop kan iedere lidstaat besluiten genetische gegevens uitsluitend met uitdrukkelijke toestemming van burgers beschikbaar te stellen.
"Je kan je dus als burger volledig afmelden en daarmee wordt het opvragen van je medische gegevens aan de bron geblokkeerd", aldus Privacy First, dat dit ook adviseert.
Alles bij de bron; Security
De komende tijd wordt er in de EU onderhandeld over het voorstel om een Europese Dataruimte Gezondheidszorg op te richten. De bedoeling is dat er in deze European Health Data Space (EHDS) gezondheidsgegevens van patiënten in de hele EU gedeeld kunnen worden. Het is alleen hoogst problematisch dat hiervoor niet vooraf expliciet toestemming wordt gevraagd.
In het voorstel dat er nu ligt, is opgenomen dat patiënten alleen achteraf bezwaar kunnen maken. Dat is de omgekeerde wereld. Daarnaast is het zorgwekkend dat patiëntgegevens, met uitzondering van genetische gegevens, gedeeld kunnen worden met bedrijven uit de farmaceutische industrie, medische technologie en met ontwikkelaars van kunstmatige intelligentie.
Europese burgers lopen hiermee enorme risico’s. Er is geen enkele reden om aan te nemen dat hackers niet geïnteresseerd zouden zijn in een Europese databank vol persoonlijke gegevens. Nog maar enkele jaren geleden was er sprake van een grootschalige handel in miljoenen adresgegevens, telefoon- en burgerservicenummers uit coronasystemen van de GGD. Data zijn geld waard, en dat verhoogt de kans op misbruik en datalekken. Een ander risico is, dat mensen op basis van hun medische voorgeschiedenis gediscrimineerd zouden kunnen worden.
Het minste wat geregeld hoort te zijn is dat de patiënt de regie heeft over deelname aan deze databank. En daar zit het probleem: zoals de European Health Data Space op dit moment is vormgegeven, is onduidelijk wie de eigenaar is van de data en wie daar toegang tot heeft. Hierdoor staat de vertrouwelijkheid van patiëntengegevens onder druk.
Als de vertrouwelijkheid niet is gegarandeerd, bestaat het risico dat mensen zorg gaan mijden. Dit kan leiden tot toename van klachten en stijgende zorgkosten. Ook is onduidelijk tot welke informatie een zorgverlener toegang krijgt.
De komende maanden onderhandelen delegaties van de Europese Commissie, het Europees Parlement en de Raad van Ministers (de lidstaten) over de European Health Data Space.
Wat mij betreft komt de databank er niet, tenzij de regie over de gegevens bij de patiënt ligt en vooraf volstrekt duidelijk is wie wel of niet bij de gegevens kunnen komen.
Ik vind het belangrijk dat iedereen die zich hierover zorgen maakt nú in actie komt, bijvoorbeeld via de petitie ‘Bescherm patiëntengegevens nu het nog kan’, zodat de onderhandelingen over de databank voor gezondheidsgegevens positief beïnvloed kunnen worden.
Alles bij de bron; eurofractie [via het AD]
Een nieuwe Europese wet die in 2026 van kracht wordt maakt het eenvoudiger voor autoriteiten om digitaal bewijsmateriaal op te vragen, ongeacht waar het zicht bevindt, aldus de Europese Raad. Het verkrijgen van digitaal bewijsmateriaal is op dit moment een lastig proces, omdat de gegevens zich vaak in andere landen bevinden.
"Online serviceproviders bewaren gebruikersgegevens op servers die zich in verschillende landen kunnen bevinden, zowel binnen als buiten de EU", aldus de Raad.
Door de 'e-evidence' verordening kunnen autoriteiten middels een 'productiebevel' in het ene land opgeslagen data bij een provider in een andere lidstaat direct opvragen. De serviceprovider moet binnen tien dagen reageren, of zes uur als het om een noodgeval gaat.
Daarnaast mag de provider de opgevraagde gegevens niet verwijderen zolang het 'productiebevel' wordt verwerkt.
De komende twee jaar zal het ministerie van Justitie en Veiligheid de veranderingen die de verordening betekenen doorvoeren. "Naast het ontwikkelen van nieuwe wetgeving omtrent het delen van digitaal bewijsmateriaal zijn er belangrijke veranderingen op til voor ons opsporingsapparaat en Openbaar Ministerie", aldus het ministerie.
Alles bij de bron; Security
Er moet permanente wetgeving komen die ervoor zorgt dat de inhoud van chatberichten kan worden gecontroleerd en zolang die er niet is moet de tijdelijke wet voor het controleren van berichten worden verlengd, zo stelt Eurocommissaris en Big Brother Award-winnaar Ylva Johansson.
In juli 2021 keurde het Europees Parlement nieuwe regels goed waardoor online aanbieders vrijwillig misbruikmateriaal kunnen blijven opsporen, verwijderen en rapporteren. Volgend jaar augustus verloopt deze tijdelijke wet en volgens Johansson moet dit door een strengere, permanente wet worden vervangen. Ze doelt daarbij op haar eigen wetsvoorstel.
"We hebben een permanente wet nodig, om preventie op de eerste plaats te zetten en bedrijven te verplichten misbruikmateriaal te detecteren wanneer preventie faalt, en ervoor te zorgen dat alle bedrijven hun verantwoordelijkheid nemen. Zeker nu Meta end-to-end versleuteling aan het uitrollen is", aldus de Eurocommissaris.
Johansson heeft voorgesteld de tijdelijke wetgeving net zolang te verlengen totdat er een akkoord is bereikt.
Alles bij de bron; Security
De Europese lidstaten zijn onderling verdeeld over de invoering van client-side scanning, waarbij alle chatberichten van burgers worden gecontroleerd zoals de Europese Commissie wil. Het Europees Parlement had eerder al aangegeven dat het tegen client-side scanning is, maar de Europese lidstaten hebben nog geen gezamenlijke positie ingenomen en die is er nog altijd niet.
Daardoor zal er dit jaar geen akkoord worden bereikt, zo heeft ook Spanje erkend. Volgend jaar is een Europees verkiezingsjaar, onderhandelingen tussen het Europees Parlement en de Europese Raad over client-side scanning, als die al zullen plaatsvinden, zullen dan pas op z'n vroegst in de herfst van volgend jaar kunnen starten.
Volgens eDRI wil dit niet zeggen dat de strijd tegen client-side scanning voorbij is, waarbij het naar een nieuw voorstel wijst. "Ook gaan er geruchten rond dat de Europese Commissie zeer gefrustreerd is dat het Parlement opkomt voor onze digitale rechten en opties en strategieën overweegt om, ongeacht een gebrek aan politieke geloofwaardigheid, brede en ongerichte scanmogelijkheden door te drukken", waarschuwt de burgerrechtenbeweging.
Ales bij de bron; Security
De Europese Unie kwam vrijdag na een uitzonderlijk lange onderhandeling tot een voorlopig akkoord om de ontwikkeling van kunstmatige intelligentie aan banden te leggen.
Vanuit de tech-industrie is zeer veel moeite gedaan om de nieuwe AI-wet iets af te zwakken. Deels met succes, maar de strengste regels bleven overeind.
De AI-wet moet ervoor zorgen dat AI-modellen in Europa straks veilig en transparant worden ingezet. Hoe hoger het risico op problemen, des te zwaarder de regels. Sommige systemen worden helemaal verboden. Denk aan programma’s die burgers kunnen beoordelen op hun gedrag, zoals in China gebeurt.
Voordat deze week de laatste gesprekken begonnen, was er een enorme lobby vanuit de techindustrie.
Een van de struikelblokken tijdens de gesprekken was de inzet van slimme camera's in de publieke ruimte, waarmee mensen gevolgd kunnen worden. Er komt een verbod, maar met uitzonderingen voor opsporingsdiensten.
"Daar zijn wij echt teleurgesteld in", zegt Nadia Benaissa van burgerrechtenorganisatie Bits of Freedom. "Wij hebben er altijd voor gepleit dat mensen zich vrij in de openbare ruimte moeten kunnen begeven. Deze uitzonderingen op het verbod lijken de deur open te zetten voor het legitimeren van massasurveillance."
Ook Europarlementariër Kim van Sparrentak had liever een volledig verbod. Maar volgens haar trokken sommige lidstaten daar een absolute grens, waardoor er water bij de wijn moest.
Over het algemeen is Bits of Freedom voorzichtig positief over de AI-wet. Ook Bo Hijstek, onderzoeker naar generatieve AI verbonden aan het Rathenau Instituut, prijst dat gedeelte van de wet. "Maar er blijven wel vragen open", zegt ze. "Hoe meet je of een AI-model voldoet aan mensenrechtelijke bescherming? Eisen in de regels zijn vaak op veel manieren te interpreteren. Bij veel producten is het functioneren controleerbaar, maar of iets aan mensenrechten voldoet is veel abstracter."
Overigens gaat het nog wel even duren voordat de Europese AI-wet van kracht is. Begin volgend jaar wordt er door de Europese raad en de lidstaten gestemd. Dit is doorgaans een formaliteit. Daarna duurt het nog twee jaar voordat de regels daadwerkelijk ingaan.
Alles bij de bron; NU
De Europese Commissie overweegt iMessage van Apple niet als poortwachter onder de Digital Markets Act (DMA) te laten vallen. Vooral de beperkte populariteit van de dienst zou hieraan ten grondslag liggen.
De Europese Commissie identificeerde een reeks platforms als poortwachters onder de DMA. Het gaat daarbij om 22 diensten van in totaal zes bedrijven. In september startte de EC een onderzoek naar iMessage, evenals Bing, Edge en het advertentieplatform van Microsoft. Met deze onderzoeken wil de commissie in kaart brengen of ook deze diensten onder de DMA vallen.
In het onderzoek naar iMessage lijken Europese ambtenaren nu voorzichtig te concluderen dat iMessage niet populair genoeg is om onder de DMA te vallen.
Alles bij de bron; DutchITChannel
Digitale burgerrechtenbeweging EDRi verwacht niet dat er een akkoord wordt bereikt over het plan van de Europese Commissie om alle berichten van burgers door middel van client-side scanning te controleren.
Burgerrechtenbewegingen, privacyorganisaties, beveiligingsexperts, academici en techbedrijven waarschuwden voor het plan. Dat zou namelijk tot massasurveillance leiden en een ernstige aantasting van de privacy en vrijheid van burgers vormen.
Het Europees Parlement verwierp eerder deze maand het plan van Brussel om client-side scanning in te voeren. Nu het parlement een positie heeft ingenomen vindt er een trialoog plaats, overleg tussen het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie.
Het doel van een trialoog is om tot een voorlopig akkoord over een wetgevingsvoorstel te komen dat voor zowel het Parlement als de Raad, de medewetgevers, aanvaardbaar is. Er is echter nog altijd geen voorgestelde tekst, laat staan een politiek akkoord van voldoende EU-lidstaten, merkt EDRi op.
De digitale burgerrechtenbeweging merkt op dat de volgende stappen voor het wetsvoorstel onduidelijk zijn, maar dat het hier om een mijlpaal gaat in de bescherming van digitale mensenrechten en het erop rekent dat de Raad op dit gebied. geen stappen terugdoet.
Alles bij de bron; Security
Met een nieuwe brief vragen wetenschappers bijkomende waarborgen aan de Europese Commissie en de Raad om de eIDAS-wetgeving alsnog aan te passen. Ze zien eIDAS als een gevaar voor de privacy. ‘Als gevolg van onze brief zijn er in extremis nog een aantal aanpassingen gedaan, maar volgens ons zijn die onvoldoende’, zo stelt professor Bart Preneel, één van de initiatiefnemers.
Daarom hebben wij een nieuwe brief geschreven die voorstelt aan het parlement om bijkomende waarborgen te vragen aan de Commissie en de Raad.’
eIDAS staat voor Electronic Identitification And Trust Services en is een Europese verordening rond elektronische identificatie die wederzijdse erkenning van nationale inlogmiddelen mogelijk moet maken.
Door gebruik te maken van eIDAS moeten gebruikers binnen de Europese Unie zich bijvoorbeeld onderling kunnen aanmelden op digitale toepassingen van de verschillende Europese lidstaten.
Voornamelijk Europese wetenschappers hebben hun bezwaren. Nieuw is dat niet. Begin deze maand hadden meer dan vijfhonderd wetenschappers en een groot aantal ngo's een open brief geschreven over ernstige problemen met de nieuwe eIDAS-verordening over elektronische identificatie en ‘trust services’. ‘Het gaat over de EU digitale portefeuille van de EU (de zogenaamde digital wallet) en mobiele authenticatie, maar er zijn ook implicaties op de veiligheid van het web’, licht Preneel toe.
De kern van het probleem is, zo stelt hij, dat EU-lidstaten de mogelijkheid krijgen om burgers af te luisteren door regels op te leggen aan browsercertificaten. ‘De regels voor portefeuille bieden ook onvoldoende waarborgen tegen het volgen of tracken van gebruikers.’
Alles bij de bron; Computable