De Ierse datawaakhond DPC heeft Meta twee boetes opgelegd van in totaal 390 miljoen euro, vanwege privacyschendingen bij Facebook en Instagram.
De waakhond begon een onderzoek nadat op 25 mei 2018 twee klachten over Meta waren ingediend, waaronder een klacht van een Oostenrijkse privacy-activist. Op die dag traden ook de Europese privacyregels (GDPR) in werking.
De klagers vonden dat gebruikers gedwongen werden de nieuwe voorwaarden van Instagram en Facebook te accepteren, omdat ze anders de platforms niet meer konden gebruiken. In die voorwaarden stond dat gebruikers toestemming gaven om hun persoonlijke data te gebruiken.
De toezichthouder gaf de klagers op het punt van gedwongen toestemming geven geen gelijk, maar vond wel dat Facebook en Instagram niet transparant genoeg waren over hoe en waarvoor ze de persoonlijke gegevens gebruiken. Dat is in strijd met de Europese privacyregels.
Alles bij de bron; NOS
De plannen van de Europese Commissie om alle chatberichten en ander verkeer van Europese burgers te inspecteren is zeer zorgwekkend, zo stelt Andy Yen, ceo van Proton, het bedrijf achter versleutelde e-maildienst Proton Mail en vpn-dienst Proton VPN, in een interview met Wired.
Yen maakt zich naar eigen zeggen grote zorgen over de scanplannen van Brussel. De aanpak van encryptie werd in het verleden gekoppeld aan de aanpak van terrorisme. "Nu hebben ze het gekoppeld aan kindermisbruik, wat een zeer toxisch onderwerp is", aldus de Proton-ceo, die toevoegt dat dit een rationeel debat in de weg staat...
...voor mij is het verplicht ondermijnen, verzwakken of breken van encryptie niet de juiste balans." De Proton-ceo merkt op dat mensen van privacy en versleuteling misbruik kunnen maken. "Dat is onvermijdbaar."
Yen wijst naar verschillende landen waar encryptie en privacy verboden zijn. "Mensen in die landen voelen zich niet veiliger. In een democratische samenleving moeten we privacy accepteren en verdedigen, zelfs als er negatieve externe effecten zijn, omdat het alternatief, geen privacy, erger is."
Alles bij de bron; Security
De Europese PNR-richtlijn (Passenger Name Record) verplicht luchtvaartmaatschappijen om passagiersgegevens aan de overheid te verstrekken. Vrijwel alle EU-lidstaten hebben de PNR-richtlijn tot nationale wetgeving verwerkt. In Nederland zorgt de wet ervoor dat gegevens van vliegtuigpassagiers met vertrek of aankomst in Nederland vijf jaar lang worden bewaard in een database van de eenheid Passagiersinformatie Nederland (Pi-NL). Het gaat dan om reserverings- en check-in-gegevens, zoals naam- en adresgegevens, telefoonnummers, e-mailadressen, geboortedata, reisdata, ID-documentnummers, bestemmingen, medepassagiers en betaalgegevens.
Het Hof van Justitie van de Europese Unie oordeelde afgelopen juni dat de geldigheid van de richtlijn niet in het geding is, maar dat er wel moet worden voldaan de fundamentele mensenrechten.
Volgens de privacytoezichthouders is het waarschijnlijk dat de manier waarop de meeste, en mogelijk alle, EU-lidstaten PNR-gegevens verwerken niet volledig aan de PNR-richtlijn voldoet zoals geïnterpreteerd door het Hof van Justitie van de Europese Unie. De PNR-systemen die binnen de EU worden gebruikt vormen daarmee mogelijk elke dag een disproportionele inbreuk op de fundamentele rechten van burgers, zo stelt de EDPB.
De privacytoezichthouders roepen EU-lidstaten dan ook op om ervoor te zorgen dat de nationale implementatie van de PNR-richtlijn voldoet aan de wijze waarop die door het Hof is geïnterpreteerd. Lokale privacytoezichthouders kunnen een onderzoek instellen of dit op nationaal niveau ook het geval is.
Alles bij de bron; Security
Als het aan de Europa ligt, gaan internet-giganten grootschaals scannen op seksueel misbruik van kinderen. Dat maakt internet niet veiliger, waarschuwen Rejo Zenger, Beleidsadviseur digitale mensenrechtenorganisatie Bits of Freedom, en Arda Gerkens, Bestuurder Expertisebureau Online Kindermisbruik (EOKM)...
...Dit Europese plan moet internetbedrijven, zoals WhatsApp en Microsoft dwingen om ongericht alle berichten, apps, emails en reacties, te scannen op mogelijk kindermisbruik. Voorstanders zeggen dat dit grootschalige scannen nodig is om online seksueel kindermisbruik te bestrijden, maar ze hebben weinig oog voor de neveneffecten.
Want de Europese Commissie ondermijnt met dit plan de vertrouwelijkheid van communicatie op het internet voor iedereen – inclusief internetgebruikers die ze nu juist wil beschermen. De kunstmatige intelligentie die voor het detecteren wordt ingezet, is namelijk notoir slecht in het herkennen van context.
Er is niets mis met de foto die vader maakt van zijn badderende zoontje en die hij aan zijn vrouw stuurt. Maar als diezelfde foto in een andere context wordt gebruikt, kan dat wel problematisch zijn. Om dat goed te kunnen beoordelen moet de hele conversatie rondom de foto meegenomen worden. Dat is werk voor de politie, maar met deze wetgeving wordt dat overgelaten aan internetbedrijven.
Als klap op de vuurpijl suggereert de Europese Commissie dat deze zoektochten ook in beveiligde omgevingen gedaan moeten worden, zoals WhatsApp-berichten. Daarmee verzwakken ze de veiligheid van het internet. Juist van die verzwakking maken kwaadwillenden gebruik, op zoek naar materiaal waarmee ze jongeren kunnen compromitteren...
...gerichtheid is ver te zoeken in het Europese voorstel. Dat voorstel is te vergelijken met een voorstel om in alle kinderkamers camera’s op te hangen om te zien of er soms kinderen mishandeld worden. Niemand zou dat proportioneel vinden, want in onze rechtsstaat handelen we op grond van concrete verdenkingen. Daarnaast heeft de Europese Commissie weinig oog voor preventie.
Tijdens het Tweede Kamer-debat over misbruik zal online misbruik zeker onderwerp van gesprek zijn. Wij zijn bezorgd over de veiligheid van jongeren als de kans op het lekken van hun privéwereld groter wordt. Nederland weet door de toeslagenaffaire wat kunstmatige intelligentie kan aanrichten. We pleiten daarom voor een aanpak die gericht en proportioneel is en oog heeft voor de wereld van de jongere zelf.
Alles bij de bron; Trouw
De Europese Commissie heeft een volgende stap gezet in het vervangen van het geklapte Privacy Shield. Met Privacy Shield werd de doorgifte van data van persoonsgegevens vanuit de Europese Unie naar de VS geregeld, maar in juli 2020 zette een rechter een streep door het akkoord.
Officieel is het sinds dat moment niet meer toegestaan om zomaar data door te geven naar de VS. Alleen met een doorgiftecontract en extra aanvullende maatregelen waarmee gegarandeerd wordt dat persoonsgegevens veilig zijn, mogen nu data naar de VS doorgegeven worden.
De Europese Commissie kan veilige datadoorgifte echter ook mogelijk maken zonder regelingen als Privacy Shield. Op basis van artikel 45 van de AVG kan de Europese Commissie namelijk bepalen of een land buiten de EU een adequaat niveau van databescherming biedt. Met andere woorden: de databescherming daar moet in de buurt komen van onze AVG.
Dergelijke adequaatheidsbesluiten zijn al genomen voor bijvoorbeeld het Verenigd Koninkrijk, Zwitserland, Canada, Argentinië en Israël.
Nu heeft de Europese Commissie ook een concept adequaatheidsbesluit gepubliceerd voor de VS. De Amerikaanse president Biden tekende op 7 oktober namelijk een presidentieel bevel, waarmee onder meer extra regels worden ingesteld om te voorkomen dat de Amerikaanse autoriteiten en inlichtingendiensten zomaar toegang kunnen krijgen tot data.
Het adequaatheidsbesluit wordt echter niet voor de gehele VS genomen, maar specifiek voor het Data Privacy Framework, waar in maart 2022 al een principeakkoord over werd gesloten. Amerikaanse bedrijven kunnen zich bij dat framework aansluiten als zij voldoen aan een gedetailleerde set aan privacyverplichtingen.
Het conceptbesluit wordt nu naar de European Data Protection Board gestuurd, die daar zijn mening over moet geven. Daarna moet het conceptbesluit voorgelegd worden aan vertegenwoordigers van de EU-lidstaten en moet het Europees Parlement nog akkoord gaan.
Max Schrems, een Oostenrijkse privacyactivist die al jaren een strijd voert tegen de Privacy Shield, is kritisch. Schrems vermoedt dat ook de nieuwe Privacy Shield een aanklacht bij het Hof van Justitie niet zal 'overleven'.
Alles bij de bron; AGConnect
Ondanks kritiek van browserleveranciers, burgerrechtenbewegingen en experts heeft de Raad van de Europese Unie vorige week ingestemd met een omstreden certificaatplan dat de veiligheid van het web in gevaar kan brengen, aldus de Amerikaanse burgerrechtenbeweging EFF.
Het gaat om de eIDAS 2.0-verordening, wat staat voor ‘Electronic Identities And Trust Services’.
De nieuwe versie waar de Raad vorige week akkoord over bereikte bevat bepalingen voor de Europese digitale identiteit. Een onderdeel van het voorstel, aangeduid als artikel 45.2, verplicht browserleveranciers om Qualified Website Authentication Certificates (QWACs) te accepteren die door Qualified Trusted Service Providers worden uitgegeven.
Qualified Trusted Service Providers is een andere naam voor certificaatautoriteiten, de partijen die tls-certificaten uitgeven gebruikt voor identificatie en versleutelde verbindingen tussen websites en bezoekers. Op dit moment accepteren browsers alleen certificaatautoriteiten die aan verschillende standaarden voldoen.
De Europese Commissie wil browserleveranciers kunnen dwingen om Qualified Trusted Service Providers te vertrouwen en aan hun browser toe te voegen, ongeacht of ze aan de eisen voldoen die voor andere certificaatautoriteiten gelden. Daarnaast hebben browserleveranciers geen mogelijkheid om Qualified Trusted Service Providers die zich misdragen uit de browser te verwijderen.
Volgens experts kan dit grote gevolgen voor de veiligheid van het web hebben en de EU werd dan ook opgeroepen om het certificaatplan te wijzigen. Ondanks steun van verschillende commissies voor het aanpassen van de tekst ging de Europese Raad toch akkoord met het omstreden certificaatplan.
Eerder dit jaar kwam ook Mozilla nog met een campagne tegen het certificaatplan. De Europese Raad en het Europees Parlement zullen nu over de nieuwe eIDAS-verordening gaan onderhandelen.
Alles bij de bron; Security
Google moet op verzoek zoekresultaten uit de zoekmachine verwijderen als de verzoeker kan aantonen dat die naar 'overduidelijk onjuiste' informatie wijzen. Dat heeft het Hof van Justitie van de Europese Unie vandaag geoordeeld.
Twee bestuurders van een groep investeringsmaatschappijen hadden Google verzocht om de links die na een zoekopdracht op hun namen worden getoond en leiden naar bepaalde artikelen waarin het investeringsmodel van deze ondernemingsgroep kritisch wordt voorgesteld, uit de zoekresultaten te verwijderen. De twee bestuurders stellen dat deze artikelen onjuiste beweringen bevatten. Ook verzochten ze Google om de thumbnails die bij de zoekresultaten op hun naam werden getoond te verwijderen.
Het Hof stelt dat de twee bestuurders onder de AVG een beroep kunnen doen op het recht om vergeten te worden. Voorwaarde is wel dat mensen die zoekresultaten verwijderd willen hebben kunnen aantonen dat de gelinkte informatie 'overduidelijke onjuist' is. Daarbij is het niet nodig dat er eerst een rechterlijke beslissing tegen de betreffende website heeft plaatsgevonden. (pdf).
Wat betreft het verwijderen van de thumbnails merkt het Hof op dat Google moet nagaan of het weergeven van deze foto's nodig is voor de uitoefening van het recht op vrije informatie van internetgebruikers die deze foto’s mogelijk zouden willen bekijken.
Alles bij de bron; Security
De Europese Commissie heeft opdracht gegeven tot de ontwikkeling van een prototype van een digitale portefeuille. Het is de bedoeling dat zo’n wallet, die iemands digitale identiteit bevat, overal in de EU bruikbaar wordt.
Aan een Zweedse it-dienstverlener en een branchegenoot uit Luxemburg is de taak toebedeeld om een prototype en twee volgende releases te bouwen.
Uiteindelijk moet het project leiden tot een veilige Europese digitale identiteit. Het kan hierbij gaan om middelen tot digitale identificatie, elektronische handtekeningen en validatie van documenten. Het gebruik van data dient transparant te zijn.
Onlangs bezwoer staatssecretaris Van Huffelen aan de Tweede Kamer dat het gebruik van zo’n Europese digitale identiteit niet verplicht wordt.
Ook zonder zo’n wallet kan de burger zijn oude leven blijven leiden en diensten blijven afnemen. De burger behoudt ook de regie over de inhoud van de wallet. Deze kan zelf kiezen wat in de portefeuille komt te staan. Van Huffelen: ‘Het is vooral bedoeld om te zorgen dat we zo weinig mogelijk gegevens van iedereen op heel veel plekken hebben.’ Volgens de staatssecretaris wordt het straks heel gemakkelijk zaken te doen zonder dat iedereen meer van je weet dan nodig is.
Alles bij de bron; Computable
Het Europese Hof van Justitie heeft geoordeeld dat het UBO-register 'in de huidige vorm de grondrechten en privacy van burgers ernstig aantast'. Het gaat daarbij vooral om de bepaling dat bepaalde gegevens door iedereen mogen worden ingezien.
Het Europees Hof schrijft dinsdag dat het tot het oordeel is gekomen naar aanleiding van 'een reeks prejudiciële vragen over de uitlegging van een aantal bepalingen van de antiwitwasrichtlijn' door een Luxemburgse rechter.
Het Hof is het eens met de rechter en heeft daarom bepaald dat het beschikbaar stellen van bepaalde gegevens voor iedereen 'buitenproportioneel is, niet beperkt is tot wat strikt noodzakelijk is en niet evenredig is met het nagestreefde doel'.
Alles bij de bron; Tweakers
De Europese Unie heeft woensdag de tweede grote techwet in werking gesteld. De Digital Service Act (DSA) moet ervoor zorgen dat inwoners van de EU online beter zijn beschermd. De DSA bestaat naast een andere grote techwet, de Digital Markets Act (DMA). Die wet is begin deze maand ingegaan.
Waar de DMA zich focust op een gelijk speelveld voor bedrijven, is de DSA meer gericht op hoe de platforms zijn ingericht. Daardoor gaan internetgebruikers in het dagelijks gebruik meer merken van de DSA.
Met de DSA wil de EU onder meer gepersonaliseerde advertenties aanpakken. Onder de DSA mogen bedrijven gevoelige data van gebruikers daarvoor niet meer gebruiken. Daarbij gaat het om informatie zoals religie, seksuele voorkeur en etniciteit. Voor minderjarigen geldt dat zij helemaal geen gepersonaliseerde advertenties te zien mogen krijgen.
De overheden van lidstaten van de EU kunnen dankzij de nieuwe wetgeving aangeven dat online platforms illegale content moeten verwijderen. Het gaat daarbij bijvoorbeeld om desinformatie of berichten die terrorisme, kindermisbruik of haat verspreiden. Daarnaast moeten bedrijven verplicht regels opstellen voor het aanpakken van illegale berichtgeving.
Het komende jaar geldt als een overgangsperiode. Op 17 november 2024 is de DSA volledig van kracht.
Alles bij de bron; NU