Naar de inhoud Naar het menu

Maandoverzicht december 2022

Nieuws van deze maand over security, privacy & andere mensenrechten

nieuws/maandoverzicht-december-2022.png

Voilà! Ditmaal geen weekoverzicht maar een heus maandoverzicht. We kwamen er in deze laatste decembermaand niet aan toe jullie wekelijks te berichten. Het overzicht is daardoor goedgevuld met razend interessante onderwerpen. Dus wacht niet langer en lees snel verder.

Wij gaan ondertussen nadenken over de vorm van dit overzicht in 2023 :-)

In dit maandoverzicht lees je van alles over - hoe kan het anders - Nederlands gebruik van de Amerikaanse cloud, cyberdreiging, hoe privacytoezichthouders worden aangezet tot handhaving, de teloorgang van Twitter, de Nederlandse visie op Europese wetten, het belang van end-to-end encryptie en de breedbandmarkt.

Let op: we verwijzen in deze tekst naar andere websites. Deze websites hanteren een ander cookiebeleid dan wij. Je kunt meestal cookies weigeren in het cookie menu, zodra je op de website terechtkomt. Vergeet niet om op 'lijst met derden' of 'partners' te klikken. Ook daar kun je vaak nog cookies weigeren. Wat Freedom vindt van cookies lees je hier.

Gegevens Nederlandse studenten in Amerikaanse cloud

Het kabinet is zich bewust van de risico’s die spelen bij Nederlandse universiteiten die grootschalig gebruik maken van Amerikaanse clouddiensten. VVD, SP en Groep Van Haga stelden schriftelijke vragen naar aanleiding van het artikel in het Financieel Dagblad. Driekwart van alle studentgegevens staan in de cloud van Microsoft of Amazon.

Lucratief seizoen voor cybercriminelen

Ook bericht het FD over het lucratieve plukseizoen van cybercriminelen. Mede door opkomst van deepfakes en kunstmatige intelligentie wordt beveiliging van banken complexer. De crimineel richt de blik vooral op de zwaktse schakel, de consument. Vooral nu er online veel kadootjes worden gekocht.

Cyberdreiging uit China en Rusland

In een brief aan de Kamer wordt bericht over Chinese en Russische dreiging en de veiligheid van Nederland. Vaak zijn bedrijven doelwit van aanval. Dit wordt bevestigd door de inlichtingendiensten AIVD en MIVD en door de Nationale Coördinator Terrirismebestrijding en Veiligheid. Door ondergrondse leidingen, open kenniseconomie en hoogwaardige digitale infrastructuur is Nederland doelwit voor spionage activiteiten. Eerder verscheen al een persbericht van de Rijksoverheid over de dreiging.

Huawei in VS verboden

De VS verbiedt de verkoop van Huawei-apparatuur. De Amerikaanse toezichthouder van telecom en media heeft de import en verkoop van Huawei producten verboden. De apparatuur zou een onacceptabel risico vormen voor de veiligheid. Huawei werkt volgens de inlichtingendiensten samen met de Chinese overheid. Het risico bestaat op spionage via de apparatuur. In 2020 mocht Huawei-apparatuur al niet langer met overheidsgeld worden betaald.

Datalek bij Delta en Caiway Mobiel

Onlangs werden gegevens van waarschijnlijk tienduizenden klanten van Delta Fiber gestolen. Het gaat om klanten van Delta Mobiel of Caiway Mobiel. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

Ierse toezichthouder moet handhaven

noyb diende in 2018 klachten in. Die hebben er uiteindelijk toe geleid dat de Europese toezichthouder op de privacy met een besluit kwam. De toezichthouder heeft besloten dat Facebook, Instagram en WhatsApp niet langer gepersonaliseerde advertenties mogen aanbieden zonder toestemming van de gebruiker.

Dit betekent volgens de Wallstreet Journal dat het verdienmodel van moederbedrijf Meta gebaseerd op gepersonaliseerde advertenties illegaal is verklaard in de EU. noyb had op 25 mei 2018 klachten ingediend. Vanaf die dag geldt de Europese privacywet, de AVG. Op 5 december 2022 na ruim 4 jaar heeft de Europese toezichthouder besloten dat de Ierse toezichthouder boetes moet vaststellen. 

Het kan zijn dat Meta nu een enorm bedrag aan boete moet betalen omdat ze lange tijd de privacy van vele gebruikers heeft geschonden. De boete zal moeten worden betaald aan Ierland.

Meer hier info over deze zaak en een video vind je op de website van noyb.

Een paar weken geleden kreeg Meta overigens van de toezichthouder in Nederland een grote boete opgelegd.

Ook handhaving van de AVG in Zweden

Een andere klacht die door noyb is ingediend, heeft ertoe geleid dat de privacywet nu kan worden gehandhaafd in Zweden. De klacht over niet-naleving van de privacywet door Spotify was in januari 2019 ingediend. Volgens de privacywet hebben gebruikers bepaalde rechten. Gebruikers van een dienst moeten altijd voldoende controle en toegang hebben tot hun persoonsgegevens. Een Oostenrijkse gebruiker van Spotify had de dienst om toegang tot de persoonlijke gegevens verzocht. Omdat Spotify onvolledig was in haar antwoord, is de klacht door noyb ingediend.

De Zweedse toezichthouder heeft de klacht gedurende 3 jaar onderzocht maar kwam niet met een besluit. Nadat noyb in beroep is gegaan bij de Zweedse rechter, heeft de rechter besloten dat de Zweedse toezichthouder de initiële klacht moet onderzoeken.

Volgens de Zweedse rechter moet de toezichthouder klachten binnen 6 maanden afhandelen. Tot nu toe was de Zweedse toezichthouder van mening dat gebruikers geen partij zijn in zaken die gaan over hun privacyrechten. De Zweedse rechter heeft hier een streep doorheen gezet.      

Kijk voor de samenvatting van de Zweedse zaak op GDPRhub of voor het volledige verhaal op de website van noyb.

Stapt Schrems weer naar de rechter?

Vorige week publiceerde de Europese Commissie het nieuwe 'adequaatheidsbesluit'. Deze nieuwe afspraak tussen de EU en de VS vervangt een oude afspraak. Die oude afspraak heette ‘Privacy Shield’. Op grond van die afspraak werden EU gegevens doorgegeven aan de VS, maar de Europese rechter heeft die afspraak twee jaar terug ongeldig verklaard.

Deze nieuwe afspraak is gebaseerd op het presidentiële besluit van Biden.

Bij doorgifte naar de VS worden de gegevens blootgesteld aan surveillance door Amerika. Zo lang de VS geen garantie kan geven dat dit niet gebeurt, kunnen vanwege de privacywet geen EU gegevens worden doorgegeven. Het besluit van Biden biedt volgens noyb geen garantie dat Europeanen niet worden onderworpen aan massale surveillance door de Amerikaanse veiligheidsdiensten. Ook is er onvoldoende sprake van een volwaardige manier voor EU burgers om bezwaar te maken. Daarom is het zeer waarschijnlijk dat noyb ook deze nieuwste afspraak zal aanvechten bij de rechter.

Wil je meer over dit onderwerp horen, luister dan naar deze podcast waarin Max Schrems uitleg geeft. Ook kun je de iAPP conferentie terugkijken.    

Als je dit dossier in het geheel wil nalezen dan kun je terecht op de website van noyb.

EU tikt Twitter op de vingers

De EU dreigt met een verbod op Twitter als het bedrijf zich niet aan de regels houdt. Eurocommissaris Thierry Breton heeft Elon Musk gewezen op de nieuwe Europese regels waarin staat dat platforms haatzaaien en desinformatie moeten aanpakken. Deze regels zijn te vinden in de DSA, de digitale dienstenwet. Vanaf volgend jaar moeten Twitter en andere grote platforms aan deze regels voldoen. De verwachting is dat het bedrijf met te weinig overgebleven personeel niet kan voldoen aan de regels. Dat zal dan kunnen leiden tot een boete van 6% jaaromzet of gedwongen vertrek uit Europa. Door handelen van Musk komt het vrije woord in gevaar en lijkt een toename aan Chinese beïnvloeding te worden gesignaleerd.

Tweakers schrijft dat Twitter accounts van journalisten schorst. Musk zegt dit te doen omdat journalisten van onder andere CNN, New York Times en The Washingston Post hem doxxen. Het gaat om het verspreiden van openbare vluchtgegevens. Volgens Musk zijn journalisten niet speciaal en gebonden aan dezelfde regels als andere gebruikers.

Inmiddels heeft Twitter de schorsing van de journalisten teruggedraaid. Ook hebben mensen hun vetrouwen in Musk als directeur van Twitter opgezegd. Dit volgde uit een online stemming. Het is op moment van schrijven onduidelijk of Musk opstapt.

Digitale Zaken

Inmiddels is over de moties die zijn ingebracht bij het wetgevingsoverleg Digitale Zaken gestemd. Hieronder een aantal moties die zijn aangenomen.

Zo is een motie aangenomen om te onderzoeken of internetdiensten ook kunnen vallen onder de universele dienstverlening van telefoniediensten. Ook is een motie aangenomen om te onderzoeken hoe deepfakes tegen te gaan en eventueel strafbaar te stellen als er ook sprake is van politieke beïnvloeding. Een andere motie die is aangenomen vraagt om keurmerk voor mkb in verband met security beleid. Daarnaast wordt het kabinet verzocht om ethische hackerscollectieven als doelgroep mee te nemen als ondersteunende schakelorganisatie in de Nationale Cubersecurity Strategie. Ook is de motie aangenomen waarin wordt verzocht om een integraal plan voor duurzame digitalisering. Daarnaast wordt het kabinet verzocht om op nationale en Europese schaal socialmediaplatforms te dwingen algoritmes voor kinderen uit te zetten of aan te passen. Ook wordt verzocht de Code voor Kinderrechten uit te werken en uit te voeren.   

Op verzoek van CU en D66 is tijdens de procedurevergadering van Digitale Zaken op 7 december 2022 besloten om een hoorzitting te plannen met TikTok. Daaraan voorafgaand wordt een rondetafelgespek over TikTok georganiseerd om te spreken over privacy, nationale veiligheid en gevolgen voor kinderen.

Telecomraad

In een brief aan de Kamer laat staatssecretaris van Huffelen weten een eerder in de Tweede Kamer aangenomen motie niet te zullen uitvoeren. In de EU wordt nu besloten over de Europese digitale identiteit. Onder andere SP, ChristenUnie en D66 vinden dat fundamentele rechten onvoldoende worden geborgd. Van Huffelen denkt dat tegen het huidige voorstel stemmen resulteert in het feit dat Nederland zichzelf in het vervolg van de onderhandelingen buiten spel zet. Wel zegt de staatssecretaris de geuite zorgen mee te zullen nemen in de Telecomraad en de triloogfase.

Meer over het commissiedebat Telecomraad vind je hier.   

SIDN onderzoekt mee

SIDN meldt in een persbericht deel te nemen aan het Europees project rondom de Digital Identity Wallet. De ervaring met IRMA zou goed van pas komen. De pilot is bedoeld om de Europese Digital Identity Wallet te onderzoeken. Er doen meer dan 60 partijen mee aan de pilot waaronder het ministerie Economische Zaken.

AI Act

Door Volt en D66 zijn zorgen geuit over uitzonderingen in de AI Act. Minister Adriaansens zegt met de D66 van mening te zijn dat de uitzondering niet ruimer moet zijn dan noodzakelijk, maar geeft tegelijkertijd aan dat de uitzondering zelf ook noodzakelijk kan zijn.

In Brussel is inmiddels een akkoord bereikt over de wet op kunstmatige intelligentie, de AI Act, binnen de Telecomraad. Deze raad bestaat uit Europese telecomministers. Minister Adriaansens van Economische Zaken zegt over het akkoord dat een testomgeving belangrijk is voor onderzoek en onderneming. AI-systemen moeten natuurlijk wel veilig zijn. Dit akkoord is een stap op weg naar de juiste balans. Staatssecretaris Van Huffelen van Digitale Zaken zegt dat het akkoord zorgt voor innovatie voor de markt en het beschermen van de fundamentele rechten. Burgers moeten altijd weten wanneer kunstmatige intelligentie wordt ingezet en een klacht in kunnen dienen.

Het is nu aan het Europees Parlement en de Europese Commissie om de wet verder uit te onderhandelen. De wet moet duidelijkheid gaan scheppen voor AI-ontwikkelaars die hun producten willen aanbieden op de Europese markt.

Data Act en Cyber Resilience Act

Ook werden in de Telecomraad twee andere wetsvoorstellen besproken, de Data Act en de Cyber Resilience Act.

In verband met de Data Act vindt het kabinet het belangrijk dat gebruikers kunnen overstappen van de ene clouddienst naar de andere. Dat wordt in het huidige voorstel nog niet geregeld. Daarnaast moet precies worden geregeld hoe rechten van gebruikers van slimme apparaten en toegang tot hun data effectief kunnen worden ingezet terwijl dit uitvoerbaar blijft voor de aanbieders van de apparaten.  

Over de Cyber Resilience Act zijn door Nederland al een aantal aanbevelingen gestuurd in samenwerking met Denemarken en Duitsland.

End-to-end encryptie

PvdD, SP en D66 benadrukken het belang van het in stand houden van end-to-end-encryptie en vragen het kabinet Europese voorstellen die dat onmogelijk maken niet te steunen. CDA keert zich in hun vraagstelling tegen deze oproep en vraagt of de minister ook van mening is dat het belang van het terugdringen van online seksueel kindermisbruik voorop moet staan en dit belang zwaarder weegt dan de privacy van betrokkenen.

Wil je meer uitleg over het wetsvoorstel dat online seksueel kindermisbruik wil voorkomen? Luister dan naar de podcast van Bits of Freedom.

In dit verband schrijft Tweakers dat Apple stopt met het gebruik van de iCloud-scanner die kindermisbruik moet detecteren. Apple heeft na uitgebreid overleg met experts besloten af te zien van de foto scanner omdat kinderen kunnen worden beschermd zonder data van gebruikers te doorzoeken. Wel zal het bedrijf gaan werken aan communicatie veiligheid. Die functie is opt-in en Apple krijgt daarbij geen toegang tot beelden van gebruikers.

In de zomer van 2021 kondige Apple aan foto’s op icloud te controleren op kindermisbruik. Deze plannen werden heftig bekritiseerd door juristen, onderzoekers en privacyactivisten. De introductie van de scanner werd daarom uitgesteld. Inmiddels heeft Apple besloten de scanner niet in te zetten.

Security updates

Ook in de laatste maand van het jaar: start your update engines! Deze ronde in december van Windows Update zijn 74 kwetsbaarheden verholpen. Ééntje die in het oog springt, is een kwetsbaarheid waarmee SmartScreen omzeild kon worden. Een volledig overzicht van alles wat gerepareerd is, vind je bij Microsoft op:

>>https://msrc.microsoft.com/update-guide/releaseNote/2022-Dec

Apple-gebruikers doen deze maand mee, want ook Apple heeft een rits updates uitgegeven. Er zijn beveiligingsupdates voor macOS, iOS/iPadOS, watchOS, tvOS. Ook is er een update die een kwetsbaarheid in Safari verhelpt. Alle informatie vind je bij Apple op:

>>https://support.apple.com/nl-nl/HT201222

Updaten is het devies!

Microsoft opslag in EU

Vanaf 1 januari 2023 kunnen Microsoft-klanten ervoor kiezen hun gegevens in Europa op te laten slaan, schrijft AGConnect. Microsoft kondigt op haar website aan dat de gegevensstromen vanuit Europa naar de VS hiermee aanzienlijk worden beperkt. Met deze ‘EU Data Boundry’ wil het bedrijf tegemoet komen aan Europese waarden en soevereiniteitsbehoeften (lees: wettelijke verplichtingen).

Eerder concludeerde de toezichthouder in Duitsland dat Microsoft 365 niet voldeed aan de wet. In theorie kan de Amerikaanse regering namelijk gegevens van EU burgers opvragen. Bovendien legt het bedrijf niet duidelijk uit hoe data voor eigen doeleinden wordt gebruikt.

TikTok onder vuur

Tweakers bericht over de VS waar een wetsvoorstel ligt om TikTok te verbieden. Het wordt gesteund door zowel de Republikeinen als de Democraten. Ook in Nederland wordt kritisch gekeken naar TikTok. De zorgen zijn ontstaan nadat het bedrijf het privacybeleid had gewijzigd waardoor Chinese medewerkers data van EU gebruikers kunnen inzien.   

Bedrijven slecht voorbereid op stroomuitval of hack

Bedrijven in Nederland zijn kwetsbaar omdat zij werken met centrale IT-systemen, bericht de FD. Als het netwerk wegvalt door stroomuitval of een cyberaanval komt het werk stil te liggen. Nederlandse bedrijven zijn kwetsbaarder dan bedrijven in omliggende landen zoals Duitsland. Veel bedrijven en overheden kunnen niet langer terugvallen op een niet-digitale werkwijze. De veiligheidsdienst NCTV wijst op de risico's.

Volgens nieuwe Europese regels moeten grotere bedrijven en overheden werken aan goede beveiliging en noodoplossingen klaar hebben liggen. In Nederland is geen centraal beleid als het gaat om het electriciteitsnetwerk.

Er zijn soms generatoren aanwezig voor achtervang maar daar wordt onvoldoende mee geoefend, aldus Bert Hubert.

Ruimere bevoegdheden geheime diensten

Deze week bespreekt de Commissie Binnenlandse Zaken het wetsvoorstel om AIVD en MIVD tijdelijk onderzoek te laten doen naar landen met een offensief cyberprogramma tegen Nederland. Eerder deze maand kondigde het kabinet aan deze tijdelijke wet in te willen voeren. Lees hier de Kamerbrief en de brief aan de Bewindspersoon.

Breedbandmarkt

De minister van Economische Zaken stelt zich nu nog terughoudend op als het gaat om de 19.000 adressen in de buitengebieden die op de glasvezel moeten worden aangesloten. Mocht het de komende tijd niet lukken dan volgen dwangmaatregelen. Volgend jaar lente wordt de Kamer hierover verder geïnformeerd.

Binnenkort komt de ACM met een analyse over de kosten voor internetverbindingen. Die kosten zijn vrij hoog en daarom voert de toezichthouder een onderzoek uit naar de concurrentie in de markt. 

Lees hier het transscript van het telecom en post commissiedebat of bekijk de video via de website.

EU vergroot staatssteun breedbandnetwerken

De Europese wetgever schrijft in een persbericht dat nieuwe regels zijn goedgekeurd waardoor aanvullende investeringen mogelijk zijn om alle Unieburgers te voorzien van gigabitconnectiviteit en 5G dekking. De lidstaten kunnen nu de nodige ondersteuning bieden om de termijn van 2030 te halen.

Europese verklaring digitale rechten en beginselen

In Europa hebben het Parlement, de wetgever en de Raad een verklaring ondertekend. De verklaring is een leidraad voor beleidsmakers en bedrijven op het gebied van digitale rechten en beginselen. Volgens Commissievoorzitter Von der Leyen handelt de verklaring over een digitale transformatie met de mens centraal.

Digitale overheid

De staatssecretaris van Digitale Zaken informeert de Kamer per brief over één plek waar burgers terecht kunnen met al hun vragen over digitale producten en diensten van de overheid.

Jongeren vaker betrokken bij cybercrime

NOS bericht dat jongeren vaker zijn betrokken bij fraude en cybercrime. De politie en OM maken zich zorgen. Vorig jaar was in 47 procent van de gevallen iemand van 21 jaar of jonger betrokken. Dit blijkt uit cijfers van het OM.  

Geen killer robots in San Fransisco

Het leek er even op dat de politie van San Fransico killer robots kon gaan inzetten. Dezelfde regels zouden gelden voor deze robots als voor agenten. Alleen in “extreme gevallen” zou dodelijk geweld toegestaan zijn. Toch is op het laatste moment ervoor gestemd die niet toe te staan.

Rechtszaak tegen Google verworpen

In Australië is een rechtszaak tegen Google verworpen. De Australische toezichthouder voor consumenten was een zaak gestart omdat Google consumenten zou misleiden. Volgens de rechter is dit niet het geval. Google had het privacybeleid veranderd om gebruik en verzameling van persoonlijke gegevens uit te breiden. Hierover had Google gebruikers niet adequaat geïnformeerd, aldus de toezichthouder.