Met een nieuwe brief vragen wetenschappers bijkomende waarborgen aan de Europese Commissie en de Raad om de eIDAS-wetgeving alsnog aan te passen. Ze zien eIDAS als een gevaar voor de privacy. ‘Als gevolg van onze brief zijn er in extremis nog een aantal aanpassingen gedaan, maar volgens ons zijn die onvoldoende’, zo stelt professor Bart Preneel, één van de initiatiefnemers.
Daarom hebben wij een nieuwe brief geschreven die voorstelt aan het parlement om bijkomende waarborgen te vragen aan de Commissie en de Raad.’
eIDAS staat voor Electronic Identitification And Trust Services en is een Europese verordening rond elektronische identificatie die wederzijdse erkenning van nationale inlogmiddelen mogelijk moet maken.
Door gebruik te maken van eIDAS moeten gebruikers binnen de Europese Unie zich bijvoorbeeld onderling kunnen aanmelden op digitale toepassingen van de verschillende Europese lidstaten.
Voornamelijk Europese wetenschappers hebben hun bezwaren. Nieuw is dat niet. Begin deze maand hadden meer dan vijfhonderd wetenschappers en een groot aantal ngo's een open brief geschreven over ernstige problemen met de nieuwe eIDAS-verordening over elektronische identificatie en ‘trust services’. ‘Het gaat over de EU digitale portefeuille van de EU (de zogenaamde digital wallet) en mobiele authenticatie, maar er zijn ook implicaties op de veiligheid van het web’, licht Preneel toe.
De kern van het probleem is, zo stelt hij, dat EU-lidstaten de mogelijkheid krijgen om burgers af te luisteren door regels op te leggen aan browsercertificaten. ‘De regels voor portefeuille bieden ook onvoldoende waarborgen tegen het volgen of tracken van gebruikers.’
Alles bij de bron; Computable
De Europese Raad, het Europees Parlement en de Europese Commissie hebben een voorlopig akkoord bereikt over de Prüm II-verordening. Als onderdeel daarvan moet het mogelijk worden om meer soorten data tussen verschillende politiekorpsen in de EU automatisch uit te wisselen.
De Prüm II-verordening staat toe dat ook mugshots of biometrische foto's van verdachten of veroordeelde criminelen voortaan uitgewisseld worden tussen EU-landen, waarna ze bijvoorbeeld gebruikt kunnen worden voor het automatisch vergelijken van gezichten. Ook politierapporten mogen onder de nieuwe wet gedeeld worden. In het Verdrag van Prüm uit 2005 mochten dna-gegevens, vingerafdrukken en voertuigregistratiegegevens al uitgewisseld worden met andere EU-landen, maar het aantal categorieën wordt nu dus uitgebreid...
...het 'hit-no-hit'-principe wordt nu deels van tafel geveegd, aangezien autoriteiten voortaan zonder eerst een geautomatiseerde match te krijgen, alle categorieën mogen doorzoeken om vermiste personen te vinden. Namen, geboortedata en zaaknummers van strafprocedures mogen nog steeds enkel worden uitgewisseld na een positieve match. Als er een positieve match is, moet het land in kwestie de relevante gegevens binnen 48 uur verstrekken.
Verder is het de bedoeling dat er een centrale router wordt opgezet, zodat het verbinden van de databases van de verschillende lidstaten wordt vereenvoudigd, stelt de EU.
Alles bij de bron; Tweakers
De veiligheid van degenen die in Europa wonen is een topprioriteit voor de Europese Commissie.
Daarom verwelkomt de Commissie het politieke akkoord dat het Europees Parlement en de Raad hebben bereikt over de verordening inzake geautomatiseerde gegevensuitwisseling voor politiële samenwerking (Prüm II).
Het Prüm-raamwerk heeft bewezen een grote rol te hebben gespeeld bij het oplossen van veel misdaden in Europa. Uitwisselingen in het kader van het Prüm-kader worden dagelijks door de politie gebruikt...
Dit raamwerk wordt nu aanzienlijk verbeterd door gezichtsopnamen en politieregistraties toe te voegen, die cruciaal zijn voor de rechtshandhaving, en door gegevensstromen te centraliseren, om ze sneller en effectiever te maken .
Het Europees Parlement en de Raad zullen de verordening nu formeel moeten goedkeuren, in overeenstemming met het bereikte politieke akkoord.
Alles bij de bron; DutchIT
Google en Microsoft gaan niet in beroep tegen hun aanwijzing als poortwachter onder de Europese Digital Markets Act. Dat bevestigen de bedrijven tegen Reuters.
"We zullen blijven samenwerken met de Europese Commissie om te voldoen aan de verplichtingen die Windows en LinkedIn onder de DMA opgelegd hebben gekregen", aldus een woordvoerder van Microsoft.
Bedrijven die tegen hun benoeming als poortwachter zijn, kunnen tot 16 november bezwaar aantekenen.
Meta en TikTok zouden dat bijvoorbeeld overwegen. Meta, dat onder de DMA valt met Instagram, Facebook, Messenger, WhatsApp en zijn advertentieplatform, wilde niet reageren op vragen.
TikTok wilde dat ook niet, maar zei eerder al dat het bedrijf het fundamenteel oneens is met zijn benaming als gatekeeper.
Ook Apple schijnt van plan te zijn om in beroep te gaan; die techgigant valt onder de DMA met zijn App Store, de Safari-webbrowser en het iOS-besturingssysteem.
Onder de Digital Markets Act krijgen techgiganten te maken met strengere concurrentieregels. Die regels gelden voor Microsoft Windows en Google Android.
Alles bij de bron; Tweakers
Het huidige voorstel voor client-side scanning van de Europese Unie krijgt felle kritiek van Europese experts. Het voorstel zou onder meer end-to-end-encryptie ondermijnen. Tijdens een recent seminar over het onderwerp van de overkoepelende Europese privacytoezichthouder EDPS uiten diverse experts hun zorgen.
Critici stellen dat de aanpak de privacy van gebruikers aantast. Zo stellen experts op het seminar dat de voorgestelde aanpak de private communicatie van gebruikers aantast, ook indien deze niet gerelateerd is aan kindermisbruik.
Met name kinderen zijn hierbij kwetsbaar, aangezien beelden die zij bewust privé delen als schadelijk kunnen worden geclassificeerd door client-side scanning.
Ook stellen de experts dat de voorgestelde werkwijze end-to-end-encryptie op kritieke wijze ondermijnt terwijl dit juist van cruciaal belang is om cyberdreigingen tegen te gaan.
Alles bij de bron; DutchITChannel
Wetenschappers en andere experten trekken aan de alarmbel over de eIDAS regelgeving waar Europa momenteel de laatste hand aan legt. Last minute aanpassingen bevatten enorme risico’s om burgers af te luisteren en je digitale identiteit volledig in kaart te brengen.
eIDAS (electronic IDentification Authentication and trust Services) is een Europese verordening rond elektronische identificatie. Eenvoudig samengevat is het een wettelijk kader om een digitale identiteit doorheen de EU op te zetten. Daar wordt nu een wettekst rond klaargestoomd zodat bijvoorbeeld een Belg ook in Spanje met zijn nationale digitale identiteitskaart (of een online identificatie zoals Itsme) kan gebruik maken van online overheidsdiensten ter plaatse.
In een open brief waarschuwen 335 wetenschappers uit 32 landen en enkele NGO’s, waaronder de Electronic Frontier Foundations (EFF) dat de wettekst zaken bevat die onze privacy en online veiligheid op de helling kunnen zetten.
Concreet waarschuwt de brief voor de inhoud van artikel 45. Die geeft overheden de mogelijkheid om zelf certificaten (cryptografische sleutels) uit te reiken, die ook alleen maar met toestemming van die overheid kunnen worden ingetrokken.
Dat oogt als een praktische omschrijving, maar de wetenschappers in de brief waarschuwen dat dat zeer foute gevolgen kan hebben. ‘Normaal gaat aan het mogen aanmaken van zo’n sleutels een complex controleproces vooraf. Maar door overheden het de facto zelf te laten doen, omzeilen ze die controle,’ zegt professor Bart Preneel (KU Leuven) aan Data News.
Hij wijst er op dat in het verleden Frankrijk al betrapt werd op de uitgave van valse certificaten: ‘Als dat in deze omstandigheid opnieuw zou gebeuren, dan kan een browser als Firefox die sleutels ook niet intrekken,’ waarschuwt hij. Enkel de betrokken overheid kan dat doen volgens de wettekst.
Dat overheden zelf certificaten uitgeven zet de deur open voor misbruik en controle op internetverkeer. Preneel wijst als voorbeeld naar Diginotar, een Nederlandse certificaatverstrekker die in 2011 werd gehackt. Daardoor kon Iran valse certificaten uitreiken waardoor het land burgers kon bespioneren die bijvoorbeeld hun Google-account raadpleegden. De overheid kon als ‘man in the middle’ het verkeer afluisteren terwijl de gebruiker een certificaat zag die deed uitschijnen dat het verkeer versleuteld was.
Een ander heikel punt in de wettekst is dat ze ook toelaat dat overheden, maar ook commerciële dienstverleners, de activiteiten uit een digitale portefeuille van een burger gaan linken en zo een sterk digitaal profiel van je kunnen opbouwen. De open brief zegt dat de wettekst weliswaar toelaat dat privacybeschermende technologie wordt gebruikt om dat te voorkomen, maar het is niet verplicht.
De wetenschappers merken op dat die vaagheid in de tekst een privacyrisico kan vormen wanneer ze door de lidstaten wordt geïmplementeerd. Ze vrezen dat technologiebedrijven zich zouden kunnen vestigen in het land dat de zwakste regels hanteert om online activiteiten gescheiden te houden.
Vervolgens kan een technologiebedrijf van daaruit zonder veel beperking de online activiteiten van alle EU-burgers aan elkaar linken, gekoppeld aan een Europese identiteit. Daarom pleit de open brief om ook de privacybescherming te harmoniseren voor alle lidstaten.
‘Zonder deze nodige amendementen riskeert de eIDAS regulering een geschenk te worden voor Google en andere big tech spelers. Een Europese oplossing voor de centrale vraag om met gevoelige identiteitsinformatie om te gaan, moet burgers beschermen tegen surveillance kapitalisme door sterke technische mechanismen en moet weerbaar zijn tegen pogingen om het systeem te misbruiken door aan jurisdictie-shopping te doen’, aldus de wetenschappers in de brief.
‘Het is voorzien dat als de industrie die wallet gebruikt, je mag werken met pseudoniemen,’ vertelt Preneel. ‘Je kan dan bijvoorbeeld nog steeds bewijzen dat je een Belgische burger bent bij een bank, Europese instelling of een ander bedrijf waar je je identificeert, maar zonder veel kans dat die zaken aan elkaar worden gekoppeld. Maar op het laatste moment is dat luik optioneel gemaakt. Als één lidstaat dan bijvoorbeeld geen pseudoniemen toelaat, dan gaan alle techspelers zich daar vestigen en veel vlotter gebruikers kunnen identificeren. Dit past in de context van de bestrijding van internetmisdaad, maar alle burgers identificeerbaar maken vinden we een stap te ver.’
Last minute wijzigingen
Preneel hekelt dat de tekst lange tijd publiek was, maar in de bijna-finale versie blijkt dat er achter gesloten deuren details worden aangepast die de inhoud stevig wijzigt.
‘We kregen plots een versie, die naar ons is gelekt, onder ogen die met een paar kleine aanpassingen plots de deur opent voor massasurveillance,’ zegt Preneel. Die tekst gaat op 8 november naar de triloog, een overleg tussen de Europese Commissie, het Europees Parlement en de Raad van Ministers. Daarna volgt een goedkeuring in het Europees Parlement op basis van de laatste versie van de tekst.
Alles bij de bron; DutchIT
De European Data Protection Board, een samenwerkingsverband van verschillende Europese privacytoezichthouders, hebben na een spoedprocedure besloten dat Meta onrechtmatig persoonsgegevens van gebruikers verwerkt. Meta doet dat terwijl hier geen juridische basis voor is, zo schrijft de Autoriteit Persoonsgegevens.
Het samenwerkingsverband suggereert dat Meta op basis van posts, woonplaats, leeftijd en interactie met berichten een gebruikersprofiel aanmaakt dat interessant is voor adverteerders, waarmee het bedrijf geld verdient. Meta zou daarentegen niet kunnen rechtvaardigen dat er op deze manier gebruikersgegevens verwerkt moeten worden. "Meta houdt bij wat je op Facebook en Instagram zet, aanklikt of leuk vindt en gebruikt die informatie voor het aanbieden van persoonsgerichte advertenties", aldus de EPDB. "Het onterecht verwerken van de persoonlijke informatie van miljoenen mensen op Facebook is een verdienmodel voor Meta. Door hier een eind aan te maken, is de privacy van mensen beter beschermd."
Het spoedproces dat aan het verbod op gepersonaliseerde advertenties voorafging, werd in werking gezet door Noorwegen. Eerder besloot de Noorse privacytoezichthouder Datatilsynet al om Meta vanaf begin augustus drie maanden lang 88.000 euro boete per dag te geven voor het overtreden van de AVG.
Het samenwerkingsverband draagt de privacytoezichthouder van Ierland, het land waar Meta in Europa is gevestigd, op om binnen twee weken maatregelen tegen het socialemediabedrijf te nemen. De Ierse Data Protection Commission zou tot dusver niet 'voortvarend genoeg' hebben opgetreden tegen Meta.
Alles bijde bron; Tweakers
Na eerdere kritiek van privacy-experts verzet nu ook het Europees Parlement zich tegen een omstreden anti-kinderpornowet.
Het presenteerde donderdag een alternatief, dat online kindermisbruik moet aanpakken zonder daarbij Europeanen op hun telefoons en computers te hoeven surveilleren.
‘Het internet is nu onveilig voor kinderen. Het is alsof we ze zonder begeleiding achterlaten in het centrum van een drukke stad’, zegt Europarlementariër Paul Tang (PvdA).
Daarom presenteerde het Europees Parlement vandaag een tegenvoorstel dat kinderen moet beschermen zonder massaal de end-to-end-versleuteling van chatverkeer te omzeilen.
In het tegenvoorstel van het Europees Parlement moeten social media-accounts van kinderen op bijvoorbeeld Instagram en YouTube Kids standaard op ‘privé’ staan. Hierdoor kunnen onbekenden niet zomaar kinderen benaderen of screenshots van hun profiel maken.
Ook verplicht het online platforms en techbedrijven om preventieve maatregelen te treffen om online kindermisbruik te voorkomen. Het gaat daarbij onder meer om een online verplichting voor techbedrijven om de leeftijd van gebruikers te verifiëren, bijvoorbeeld met hun DigiD.
Ten slotte wil het Parlement online platforms verplichten een knop op hun platform te zetten, die identiek is op alle apps, waarmee kinderen onveilige situaties kunnen melden aan een Europese waakhond.
Alleen wanneer opsporingsdiensten kunnen bewijzen dat mensen in een chatgroep zich schuldig maken aan kindermisbruik, mag een rechter een scan aanvragen die berichten en gebruikersgegevens van de groepsdeelnemers verzamelt. Dit mag uitsluitend op niet-versleutelde diensten zoals Telegram, dus niet op WhatsApp of Signal.
Tech-expert Bert Hubert vindt het een goede zaak dat het Parlement afziet van surveillance-software. Maar het tegenvoorstel heeft weer eigen valkuilen: ‘Leeftijdsverificatie staat altijd op gespannen voet met de online anonimiteit, bijvoorbeeld als je er je DigiD voor moet aanleveren.’
Alles bij de bron; Volkskrant
Het plan van de Europese Commissie om alle chatberichten van burgers door middel van client-side scanning te controleren leidt tot een disproportionele beperking van verschillende grondrechten en kan voor false positives zorgen die ingrijpende gevolgen voor burgers kunnen hebben, zo stelt Frederik Zuiderveen Borgesius, hoogleraar ICT en recht aan de Radboud Universiteit.
Morgen vindt in de Tweede Kamer een rondetafelgesprek plaats waarbij experts Kamerleden over client-side scanning en de gevolgen hiervan zullen informeren. Van Hoepman, Hubert en Borgesius is het position paper openbaar, waarin ze hun standpunt kenbaar maken.
Alle drie de experts wijzen op de gevaarlijke gevolgen die client-side scanning kan hebben. "Misschien helpt een vergelijking met bestaande technologie duidelijk te maken dat het voorstel van de commissie een gevaarlijk precedent schept", stelt Hoepman.
De experts waarschuwen ook voor de vergaande gevolgen die een onterechte melding kan hebben. Brussel wil door een algoritme zowel onbekende als bekende misbruikafbeeldingen detecteren. "In de praktijk komt het nu al voor dat communicatiediensten zoals Microsoft en Google ten onrechte de account van een gebruiker afsluiten, omdat hun AI-systemen onschuldige beelden aanzien voor CSAM-materiaal", merkt Borgesius op.
Volgens Hubert zijn onterechte meldingen niet zonder gevolgen. "Er komen onderzoeken, telefoons worden leeggetrokken, ouders worden verdachten, iedereen wordt met de nek aangekeken. Veilig Thuis komt over de vloer om onderzoek te doen. Dit ontwricht hele gezinnen, mogelijk met thuissituaties die dit er niet bij kunnen hebben. Als we geluk hebben concludeert men al binnen een paar maanden (!) dat de onterechte melding echt onterecht was."
De beveiligingsexpert stelt dat het ook veelvuldig is gebleken dat ook onterechte meldingen kunnen leiden tot veroordelingen, die soms pas na vele jaren hoger beroep teruggedraaid worden. Daarnaast kunnen ook afgehandelde meldingen leiden tot blijvende sporen in databases. "Een andere vreselijke uitkomst is dat er geen officieel oordeel wordt geveld en iemand eindeloos blijft hangen in een schaduwtoestand ‘niet bewezen/niet weerlegd’. Dit alleen al kan je leven ruïneren."
Borgesius noemt in zijn position paper ook de aantasting van grondrechten van burgers. "Als het voorstel wordt aangenomen, zou voor het eerst in Europa de communicatie van honderden miljoenen onschuldige mensen worden gemonitord en geanalyseerd voor de overheid", waarschuwt de hoogleraar. Hij verwacht ook dat het voorstel voor zo veel ‘false positives’ zal zorgen, dat de autoriteiten overspoeld worden en de meldingen niet kunnen onderzoeken. "De verordening zal daarom waarschijnlijk niet effectief zijn."
Alles bij de bron; Security
Om de verspreiding van het Covid-19-virus tegen te gaan grepen heel wat Europese landen een tijdlang naar ingrijpende beperkingen op buitenlandse reizen. Daarnaast werd ook het PLF ingevoerd voor wie de grens overstak of naar ons land kwam: zij moesten daarop de details van hun reis aangeven.
Dergelijke maatregelen waren al tijdens het hoogtepunt van de coronacrisis erg omstreden. Het nut van een PLF was niet altijd duidelijk, en bovendien botsten die ingrepen op de grenzen van de privacy en de vrijheid van beweging in Europa.
Toch zette de Kamer deze week het licht op groen om reisbeperkingen en een PLF in te kunnen voeren zonder dat er sprake is van een pandemie. Niet iedere uitbraak van een gevaarlijk virus wordt immers meteen als een pandemie bestempeld. Maar als ergens opnieuw ebola uitbreekt, is het belangrijk om reizen uit die landen enigszins in handen te houden, klinkt het.
Tijdens de coronacrisis was er grote kritiek dat de regering via de pandemiewet al te veel macht naar zich toe trok. Volgens oppositiepartij N-VA is dat probleem nog altijd niet van de baan. “Er wordt op geen enkele manier voorzien in enige parlementaire controle. Dat kan voor ons niet in een moderne democratie”, aldus fractieleider Peter De Roover.
Ook hij vindt de wet te hypothetisch opgesteld. De tekst heeft het over infectieziekten met grensoverschrijdende risico’s voor de Belgische volksgezondheid. Daar kan heel veel onder vallen. “In welke omstandigheden zou dit wettelijk kader kunnen worden geactiveerd? En hoe zullen toekomstige besmettelijk ziektes zich manifesteren? Dat weet niemand. Met Europese reisbeperkingen mag toch niet lichtzinnig worden omgesprongen.”
Alles bij de bron; deMorgen