De Autoriteit Persoonsgegevens (AP) heeft kanttekeningen bij het Wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten, dat bekend staat als PSD2 (European Payment Services Directive 2). Dat blijkt uit het advies dat de privacytoezichthouder naar de minister van Financiën stuurde (pdf).

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dit betekent dat de regels van de AVG gelden zodra PSD2 wordt ingevoerd. De AP heeft daarom in haar advies gekeken naar de verhouding tussen het wetsvoorstel en de AVG. De AP benadrukt dat betaalgegevens persoonsgegevens zijn en de privacywetgeving van toepassing is. In het wetsvoorstel zijn echter ook aparte regels opgenomen voor privacybescherming. Dat werkt verwarrend, aldus de toezichthouder.

De Autoriteit Persoonsgegevens adviseert daarom om de verhouding tussen PSD2 en de AVG te verduidelijken. Dan weten particulieren, bedrijven en banken waar ze aan toe zijn. Verder adviseert de toezichthouder om in het wetsvoorstel te benadrukken dat de AP niet gebonden is aan een oordeel van de Nederlandse Bank (DNB) als het om privacybescherming gaat. Het is namelijk aan de Europese privacytoezichthouders, en vervolgens aan de rechter, om een definitieve interpretatie te geven van de rechtstreeks werkende normen uit de AVG.

Alles bij de bron; Security


 

Om moedeloos van te worden, zo vaak roepen politici in al hun onmacht dat encryptie niet een vrijhaven van terroristen mag zijn en dat de politie over achterdeurtjes moet beschikken. Maar soms gloort er hoop. Zo zijn we nog altijd blij met het standpunt van onze eigen regering: het is niet wenselijk om de ontwikkeling, de beschikbaarheid en het gebruik van encryptie in te perken. En blijkbaar dringt het belang van dat standpunt ook langzaam door bij anderen.

Vorige week lanceerde de Europese Commissie haar “Progress report towards an effective and genuine Security Union.” Daarin beschrijft ze allerlei maatregelen die Europa veiliger moet maken, zoals het beter beschermen van de openbare ruimte, het ontmoedigen van de financiering van terroristische organisaties en het ondersteunen van opsporingsdiensten bij het omgaan met versleutelde informatie.

Dat laatste betekent meestal niet veel goeds, maar ditmaal worden we verrast. De Europese Commissie stelt vast dat “het gebruik van encryptie essentieel is voor cybersecurity en de bescherming van persoonlijke gegevens”. De Commissie constateert vervolgens dat encryptie steeds vaker een obstakel is in onderzoeken van de politie. Daarom komt ze met zes maatregelen om die diensten vooruit te helpen, en dit is het belangrijkste: “without prohibiting, limiting or weakening encryption.”

De maatregelen zijn heel divers. Zo wordt geïnvesteerd in het vergroten van de capaciteit van Europol om versleutelde informatie die zij in haar onderzoeken tegenkomt, toch te ontsleutelen. Dan moet je, vermoeden we, denken aan het versterken van de opties om een wachtwoord te brute-forcen en het vergroten van kennis over versleuteling. En een andere maatregel: een inventarisatie van alternatieve onderzoeksmethode om te compenseren voor het gebrek aan toegang tot versleutelde informatie.

Twijfels hebben we over het feit dat de Europese Commissie een belangrijke rol ziet weggelegd voor “service providers and other industry partners.” Dat betekent vaak dat bedrijven onder druk worden gezet om “vrijwillig” “hun verantwoordelijkheid te nemen”. Je zou dan kunnen denken aan meer of minder subtiele hints voor het wel aanbieden van encryptie, maar het niet standaard aanzetten ervan. Vrijwillig, maar wel onder druk van het risico dat er anders wettelijke regels komen die hetzelfde zullen afdwingen.

Desondanks zijn we, alles bij elkaar genomen, wel blij met dit verhaal. Het is in ieder geval niet meer met een gestrekt been er in en schreeuwen om schijnoplossingen zoals achterdeurtjes. Het onderwerp vraagt om waakzaamheid, zeker de maatregel waarin de Europese Commissie aankondigt samen te werken met de partijen die encryptie toepassen. Maar voor nu lijkt erop dat we best tevreden kunnen zijn met het standpunt van de Europese Commissie.

Alles bij de bron; Bits-Of-Freedom


 

Facebook heeft een tegenslag gekregen bij zijn strategie om alleen verantwoording af te leggen aan de toezichthouder voor gegevensbescherming in Ierland. De Advocaat-Generaal van het Europees Hof van Justitie vindt dat Facebook in Duitsland ook door de Duitse autoriteiten kan worden gereguleerd. Het gaat om een advies aan het Europees Hof, dat nog een uitspraak gaat doen. 

Facebook is in een aantal Europese landen verwikkeld in juridische procedures, waaronder in België, Nederland en Frankrijk voor vergelijkbare zaken. Het bedrijf houdt vol dat toezichthouders niet bevoegd zijn omdat het met zijn hoofdkantoor in Ierland zit. 

De AG van het Hof in Luxemburg stelt dat de beheerder van de Facebookpagina onder toezicht staat van de Duitse autoriteiten. Dat geldt ook voor het bedrijf dat de data verwerkt – Facebook – omdat het in Duitsland advertenties verkoopt. 

Alles bij de bron; TelecomPapers


 

De vingerafdrukken en gezichtsscans van niet-EU-burgers die naar Nederland en andere zogenoemde Schengenlanden willen reizen, worden in de toekomst drie jaar opgeslagen in een databank. De identiteitscontrole wordt dan volledig digitaal. Het Europees Parlement gaf woensdag groen licht voor dit zogenoemde in- en uitreissysteem, met 477 tegen 139 stemmen.

De persoonsgegevens worden opgeslagen bij het EULISA-agentschap in Estland. Nationale opsporingsdiensten en Europol kunnen daar iemands reisgeschiedenis opvragen. Critici stellen dat het opslaan van gegevens in strijd is met Europese wetgeving.

Voor reizigers uit de ongeveer zestig landen zonder visumplicht voor de EU wordt ook nog een ander systeem opgetuigd, genaamd ETIAS. Zij moeten voor hun reis eerst online een aanvraag indienen.

Alles bij de bron; EUNU


 

Miljoenen Nederlanders die betalingsproblemen hebben of hebben gehad, staan zonder dat ze dat weten in de systemen van commerciële databedrijven. Die verzuimen de personen daarover in te lichten, waardoor ze in strijd handelen met de wet, schrijft De Groene Amsterdammer.

Het tijdschrift deed onderzoek naar de handel in betaalgegevens van miljoenen Nederlanders. De afgelopen jaren hebben dergelijke handelaren grote zwarte lijsten aangemaakt. Deze bedrijven zijn de commerciële variant van het Bureau Kredietregistratie.

Het bedrijf EDR beschikt volgens De Groene over de gegevens van 7,5 miljoen Nederlanders. Lindorff heeft van 10,3 miljoen mensen informatie en Focum spant de kroon met informatie over 10,5 miljoen Nederlanders. Op basis van verzamelde informatie brengen zij een advies uit (groen, oranje en rood) aan klanten, bijvoorbeeld telecomproviders of energieleveranciers, of iemand kredietwaardig is.

Niet alleen het niet op tijd betalen van een rekening (bedrag maakt niet uit) kan invloed hebben, maar ook de wijk waar je woont of zelfs het huis dat je huurt of hebt gekocht. Als daar in het verleden mensen hebben gewoond met betalingsproblemen, kun jij daar nog last van krijgen.

Alles bij de bron; NOS


 

De Amerikaanse overheid heeft besloten dat dataverzoeken aan techbedrijven niet langer standaard geheim zullen zijn. Daardoor mogen bijvoorbeeld Microsoft of Google aan gebruikers laten weten dat de Amerikaanse overheid toegang heeft gehad tot hun account.

Volgens The Washington Post komt het nieuwe beleid erop neer dat er een einde komt aan het routinematig opleggen van zogenaamde gag orders of geheimhoudingsverplichtingen bij dataverzoeken door de overheid aan bedrijven. Daarbij kan het bijvoorbeeld gaan om e-mails of documenten. Door de verplichting mogen bedrijven hun klanten niet inlichten over de verzoeken. In veel gevallen zou er ook geen einde komen aan gag orders door het gebrek van een einddatum.

Alles bij de bron; Tweakers


 

Voormalig BVD-baas Arthur Docters van Leeuwen "waarschuwt dat de kans op aanslagen groter wordt als de sleepwet niet doorgaat", zei hij bij WNL zondag. De tegenstanders van het sleepwetreferendum gooien dus nu al met vacuümbommen. De uitspraak van Docters van Leeuwen schept namelijk een valse tegenstelling, en dezelfde redeneerlijn hebben we al van meer Haagse voorstanders van massatappen gehoord.

Als de sleepwet er niet komt, vallen er volgens Docters van Leeuwen straks doden. De discussie over effectiviteit van een massale en ongerichte datacollectie, wordt chronisch vermeden en het debat over privacy achteloos weggewuifd.

De sleepwet is bovendien niet zozeer een middel in de strijd tegen terreur, het is een megalomane opporingsmethode die de privacy van alle burgers offert voor de schijn van toenemende veiligheid. Maar aanslagen gebeuren niet op internet, die gebeuren in het echte leven - en hoe slimmer de aanslagpleger in spé, hoe kleiner de kans dat hij internet of andere vormen van digitale communicatie zal gebruiken om zijn daad voor te bereiden.

Al je privacy opgeven voor een beetje meer veiligheid is alsof je vrijwillig een bom onder je burgerrechten legt, en dan gaat zitten hopen dat-ie nooit afgaat. Schimmige figuren als Arthur Docters van Leeuwen, Ronald Prins en MinPres Rutte proberen burgers zo bang te maken dat ze uit zichzelf die vacuümbom onder hun fundamentele rechten willen neerleggen en dus we kunnen alleen maar hopen dat Nederland in verzet komt tegen de sleepwet, en bij het referendum in maart 2018 massaal tégen de wet stemt. Ons enige wapen is de democratie - zolang die nog bestaat onder het antidemocratische Rutte III.

Alles bij de bron; GeenStijl


 

In een persconferentie zei Eurocommissaris Věra Jourová dat 'de VS zich aan zijn beloftes houdt en dat het systeem werkt'. De Commissie heeft het rapport en de bijbehorende conclusies gepubliceerd. Daarin is vermeld dat inmiddels meer dan 2400 bedrijven het zelfcertificeringsproces van het Privacy Shield hebben doorlopen. De Commissie schrijft verder: "De Amerikaanse autoriteiten hebben hebben de nodige klachtbehandeling- en handhavingsprocedures in het leven geroepen om de rechten van individuen te beschermen."

Amerikaanse wetgeving over toegang tot persoonsgegevens van Europese burgers zou voldoende waarborgen bieden tegen 'verzameling en gebruik van elektronische communicatiegegevens op een algemene basis', concludeert de Commissie. Dat is een eis uit de Schrems-zaak, waarin de voorloper van het Privacy Shield, de zogenaamde Safe Harbour-regeling, ongeldig werd verklaard

Toch is er ook nog ruimte zijn voor verbetering.

Zo zou het Amerikaanse ministerie van Economische Zaken actiever bedrijven moeten opsporen die ten onrechte claimen onder het Privacy Shield gecertificeerd te zijn. Daarnaast zou het regelmatig moeten controleren of bedrijven zich daadwerkelijk aan de daarin vastgelegde regels houden. De Commissie raadt bovendien aan om meer bewustzijn onder EU-burgers te creëren over hoe ze hun rechten onder het Privacy Shield kunnen uitoefenen. Meer dan een jaar geleden uitte de Artikel 29-werkgroep, een orgaan waarin de privacytoezichthouders van de EU-lidstaten zijn verenigd, dat het Privacy Shield nog enkele gebreken bevatte, zoals waarborgen tegen surveillance.

Destijds zei de organisatie dat er geen actie ondernomen zou worden, maar dat er gewacht zou worden tot de eerste evaluatie heeft plaatsgevonden. Burgerrechtenorganisatie Digital Rights Ireland diende een klacht in tegen de overeenkomst.

Alles bij de bron; Tweakers


 

De Autoriteit Persoonsgegevens heeft juridische bezwaren tegen een pilot van het initiatief FraudeInfodesk, waarbij bedrijven gegevens over fraudeurs en wanbetalers met elkaar delen. Bij de FraudeInfoDesk moeten gegevens van vermoedelijke en bevestigde fraudeurs en wanbetalers verzameld worden op een plek, zoals KvK-nummers, BSN's en naw-gegevens. Door deze gegevens te delen kunnen organisaties en bedrijven personen op de zwarte lijst als klant weigeren. Daar moet bovendien een afschrikwekkende werking van uitgaan.

Onder andere Betaalvereniging Nederland, KPN, Wehkamp, ICS en Stedin doen mee met het initiatief, dat georganiseerd is door Stichting Aanpak Financieel-Economische Criminaliteit in Nederland, of Safecin, dat ook achter de FraudeHelpdesk zit. VNO-NCW/MKB Nederland steunt het project.

Als deelnemers van FraudeInfodesk een zwarte lijst van fraudeurs en wanbetalers met elkaar willen delen, moeten ze daar toestemming voor vragen aan de Autoriteit Persoonsgegevens en ook moeten ze aantonen waarom de gegevensverwerking gerechtvaardigd en noodzakelijk is. Dat stelt de Autoriteit Persoonsgegevens tegen het FD. De autoriteit spreekt van een 'enorme inbreuk op het grondrecht van privacy': "Het kan immers leiden tot uitsluiting van deze mensen, bijvoorbeeld van krediet."

Alles bij de bron; Tweakers


 

Een betaal-API van webstandaardenorganisatie W3C die momenteel wordt ingevoerd bij alle grote browsers heeft op z'n minst een privacy-issue en in het slechtste geval zelfs een beveiligingsprobleem. De API specificeert hoe webapplicaties betaalmethodes weergeven en wat er gebeurt als een gebruiker voor een methode kiest: hoe de betaal-app wordt gestart en welke data er wordt ontvangen. Dat komt erop neer dat de betaalmethode informatie ontvangt uit de browser en bijvoorbeeld pasgegevens vast invult.

Er zijn uiteraard mechanismes ingebouwd om te voorkomen dat malafide websites gevoelige informatie kunnen aanspreken, maar die zijn niet toereikend, schrijft onderzoeker Lukasz Olejnik. Zo heeft Chrome een beperking dat de informatie maar eens in de dertig minuten kan worden aangesproken, om aanvallen te voorkomen die meerdere opties uitproberen. Maar dat tijdslot kan worden omzeild door meerdere iframes te gebruiken die elk een andere iteratie proberen.

Alle grote browsers werken aan implementatie: Chrome, Safari, Edge, Firefox, de browser van Samsung en ook Facebook werkt eraan om de Payment Requests-API te kunnen gebruiken. Chrome en Edge hebben de API inmiddels geïmplementeerd, meldt Olejnik, en WebKit en Firefox volgen binnenkort. Het Chrome-team werkt al een tijdje aan een patch die moet worden afgeleverd op 13 oktober, enkele dagen voor Chrome 62 live gaat.

Alles bij de bron; WebWereld


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha