Naar de inhoud Naar het menu

Weekoverzicht #42 2022

Nieuws van deze week over security, privacy & andere mensenrechten

nieuws/weekoverzicht-week42.png

Deze week: de overheid analyseert onze twitterberichten, handhaving van privacyrechten in het geding, meer over de doorgifte gegevens tussen EU-VS, een luistertip, de Geneefse Conventie Surveillance, Starlink in Oekraïne en de Belastingdienst kan niks met tips.

Let op: we verwijzen in deze tekst naar andere websites. Deze websites hanteren een ander cookie beleid dan wij. Je kunt soms cookies weigeren in het cookie menu, zodra je op de website terechtkomt. Vergeet niet om op 'lijst met derden/partners' of legitiem belang' te klikken. Ook daar kun je vaak nog cookies weigeren. Wat Freedom vindt van cookies lees je hier.

Handhaving van privacyrechten enorm beperkt door rechter?

Een adviseur van de Europese rechter (de AG) heeft een niet-bindende opinie gegeven in een rechtszaak over immateriële schade tegen de Oostenrijkse Post. De Post heeft de politieke voorkeur van miljoenen Oostenrijkers berekend en dat is tegen de privacywet (AVG).   

Een Oostenrijker was onterecht aangemerkt als iemand die waarschijnlijk stemt op de rechts populistische Freedom partij. De persoon vroeg om 1.000 euro vergoeding van immateriële schade. De hoogste rechter in Oostenrijk bevestigde dat de Post tegen de wet had gehandeld, maar verwees de vraag over vergoeding van immateriële schade door naar de Europese rechter. Want, moet schade, die volgens de rechter in Oostenrijk niet echt bestaat, worden vergoed? Ook vroeg de Oostenrijkse rechter of een extra drempel mocht worden opgeworpen om dit soort schadevergoeding toe te wijzen, ook al voorziet de privacywet daar niet in.

In de opinie van de AG wordt gesuggereerd dat lidstaten hun eigen drempel mogen opwerpen. Dit leidt tot een enorme beperking van de mogelijkheid tot schadevergoeding en fragmentering van regels in de EU. Als de Europese rechter de opinie van de AG volgt, dan wordt het bijna onmogelijk om schade vergoed te krijgen nadat het gegevensbeschermingsrecht is geschonden. Deze optie is expliciet in de privacywet opgenomen en handhaving van de wet op dat punt wordt nu misschien onmogelijk. Enorm problematisch dus, bericht noyb.      

Lees hier de analyse van Max Schrems.

Nieuws over de doorgifte van gegevens tussen de VS en de EU

In een eerste reactie bespreekt noyb het besluit van president Biden over surveillance door de VS. Deze ‘executive order’ zou doorgifte van gegevens weer mogelijk moeten maken binnen de door de Europese rechter gestelde voorwaarden. Het Europese Hof eist (1) dat surveillance door de VS is proportioneel zoals bedoeld in artikel 52 van het Handvest en (2) dat de mogelijkheid bestaat om je te verweren zoals bedoeld in artikel 47 van het Handvest.

Volgens noyb voldoet het besluit niet: er is nog steeds sprake van grootschalige surveillance en geen echte rechter om beklag te doen.

De VS gebruikt nog steeds programma’s als PRISM* en Upstream. Als de VS dezelfde proportionaliteitstest zou volgen als het Europese Hof, dan zou volgens noyb het probleem opgelost zijn. Op dit moment verschilt de Amerikaanse uitleg van het woord proportioneel wezenlijk met de Europese uitleg van het woord.

Ook is de voorgestelde “Data Protection Review Court” geen onafhankelijk rechter, maar onderdeel van de Amerikaanse regering.

Nu het presidentieel besluit is genomen, is de volgende stap dat de Europese wetgever (de Europese Commissie) een adequaatsheidsbesluit neemt op grond van artikel 45 AVG. Daar mogen de lidstaten en Europese toezichthouder ook nog wat van vinden, maar de wetgever hoeft zich daar niet aan te verbinden.

Nederlandse overheid verzamelt je tweets zonder dat je het weet

In de Trouw en op AGconnect verscheen een stuk over de overheid die tweets verzamelt van burgers. Deze werkwijze is problematisch volgens experts, omdat gebruikers ten onrechte niet worden geïnformeerd. Commerciële tools als Coosto wordt ingezet om Twitter te ‘tappen’. Dat wil zeggen dat berichten worden verzameld voor data-analyse. De overheid wil het sentiment dat heerst over een bepaald thema rapporteren en dienstverlening verbeteren. Door het Sociaal Cultureel Planbureau werden ook bijzondere persoonsgegevens verzameld, zoals politieke opvatting of etnische afkomst.

Floor Terra van de Privacy Company zegt erover: “Je mag volgens de privacywet (AVG) geen gegevens verwerken zonder betrokkenen te informeren.”

En volgens Frederik Zuiderveen Borgesius, hoogleraar ICT en privaatrecht, is het een wijdverbreid misverstand dat de AVG niet van toepassing zou zijn op openbare informatie, zoals tweets.     

De media en hun datakluis

In een nieuwe samenwerking tussen DPG Media, Mediahuis, NPO, RTL Nederland en Talpa Network wordt een nieuwe decentrale data-infrastructuur onderzocht en ontwikkeld, die uitgaat van een persoonlijke datakluis. Stichting Nederlandse Datakluis gaat de samenwerking vormgeven. Hierover berichtten NOS pers en Tweakers van de week.

Het is natuurlijk de grote vraag hoe dit eruit gaat zien en welke gegevens in de persoonlijke kluis worden gestopt. Wel zeggen de uitgevers dat er straks betere personalisatie van diensten en advertenties kan worden aangeboden... 

Github Copilot Investigation

Momenteel vindt een onderzoek plaats naar de mogelijkheden om een rechtszaak te starten tegen Github Copilot. Werk je met met open-source code en en wil je meer weten of meewerken aan het onderzoek? Lees hier meer.  

Starlink in Oekraïne

Tweakers bericht over de EU die de mogelijkheden voor financiering van Starlink in Oekraïne onderzoekt. De EU wil niet dat de internettoegang van het land in handen ligt van een machtige persoon die het netwerk kan afsluiten. Tot nu toe financiert SpaceX de diensten in Oekraïne. 

Belastingsdienst doet niks met fraude tips

NRC schrijft over de Belastingdienst die tips over fraude laat liggen, omdat de systemen niet voldoen aan de privacywet. Na 2,5 jaar voldoen de systemen om fraudesignalen te registreren en verwerken nog niet aan de AVG. Er liggen inmiddels meer dan 25.000 tips van burgers en bedrijven op de plank. De FIOD gebruikt een ander systeem en kan nog wel tips die binnen komen verwerken. 

Sinds het oude systeem FSV uit de winkel werd gehaald zijn geen tips meer verwerkt. Het gebruik van FSV, ook wel de 'zwarte lijst', kwam door onthullingen van Trouw en RTL nieuws aan het licht. Het oude systeem groeide en er werden gegevens van 250.000 burgers opgeslagen. Het gebruik ervan leidde tot financiële onzekerheid van duizenden burgers, ook wanneer geen fraude was vastgesteld.   

De toezichthouder (de AP) deed onderzoek en kwam tot de conclusie dat de zwarte lijst in strijd is met de privacywet. De Belastingdienst kreeg daarom de hoogste boete ooit opgelegd door de AP. In juli vond de AP dat het tussentijdse systeem van de dienst nog niet in orde was en raadde af het te gebruiken. Dit advies werd in augustus overgenomen door de overheid.

Twee keer zo veel cyberaanvallen op gemeenten

De cyberaanvallen op gemeenten zijn verdubbeld, meldt de NOS, met 5 grote incidenten de afgelopen 2 jaar. Er worden steeds meer gegevens gestolen en het wordt steeds belangrijker om de gegevens te beschermen omdat er meer met data wordt gewerkt. Het is de vraag of de gemeenten genoeg geld hebben om de enorme problemen op te pakken en genoeg mensen op te leiden.  

Geneva Declaration on Targeted Surveillance and Human Rights

Accesnow heeft een Geneefse Conventie inzake gerichte surveillance en mensenrechten gepubliceerd in samenwerking met andere organisaties.

Luistertip van Sebas

De podcast van Bits of Freedom!

BOF lanceert Stop Scanning Me

En nu we het toch over BOF hebben: Bits of Freedom en andere mensenrechtenorganisaties lanceren Stop Scanning Me. Neem vooral een kijkje op de website over dit initiatief.

Security update

Voor de mensen die het gebruiken: zorg voor een Wordpress update! De meest recente versie is Wordpress 6.0.3. Er zijn kwetsbaarheden in de core dus een update is absoluut noodzakelijk.

Opgelet!

Let op! Wordt bij jou in de buurt glasvezel aangelegd? Laat alleen de monteur binnen als je weet dat er iemand langs komt. Of vraag om indetificatie en bel eventueel met je provider. Een bezoek is vaak wel maar helaas niet altijd aangekondigd. In de Heemsteder werd een oproep geplaatst van iemand die een ‘controleur van de KPN’ aan de deur had gehad, maar die de boel niet vertrouwde en dat bleek terecht.