Naar de inhoud Naar het menu

Weekoverzicht #43 2022

Nieuws van deze week over security, privacy & andere mensenrechten

nieuws/weekoverzicht-week43.png

Deze week in het overzicht: de Commordordion, de Franse privacy waakhond en Google Analytics, de 'reject all' knop en noyb, een brandbrief van strafpleiters, een hackathon bij de politie, kwetsbaarheden en updates, Amazon in huis en meer!

Let op: we verwijzen in deze tekst naar andere websites. Deze websites hanteren een ander cookie beleid dan wij. Je kunt soms cookies weigeren in het cookie menu, zodra je op de website terechtkomt. Vergeet niet om op 'lijst met derden' of 'partners' te klikken. Ook daar kun je vaak nog cookies weigeren. Wat Freedom vindt van cookies lees je hier.

Leger en geheime diensten uitgezonderd van Europese regels over KI?

Het Europees centrum voor not-or-profit recht (hierna: het ECNL) schrijft in een juridische onderbouwing over welke risico’s er zijn wanneer kunstmatige intelligentie toepassingen in het leger en voor nationale veiligheid niet worden meegenomen in de nieuwe Europese wetten.

Bij toepassing van KI moeten fundamentele rechten altijd goed worden geborgd. Om deze rechten bij het gebruik van KI te beschermen zijn nieuwe regels in de maak. In de EU* wordt nu de AI Act opgetuigd. Binnen de Raad van Europa** gaat een eerste versie rond van het nieuwe Verdrag inzake KI, mensenrechten, democratie en de rechtsstaat.  

Ondanks de voorstellen van het ECNL in maart dit jaar, lijken de wetgevers toch het gebruik van KI voor militaire doeleinden en geheime diensten uit te willen sluiten.

Prof. Douwe Korff van Oxford schrijft dat juist op dit gebied de kans groot is dat fundamentele rechten worden geschonden. Toepassing van KI kan niet zonder meer worden uitgesloten van de nieuwe regels. Zo moeten alle uitzonderingen proportioneel zijn en het EU recht mag niet ondermijnd worden. Op EU agenten als Europol en Frontex is het Handvest van fundamentele rechten van toepassing: zij staan niet boven de wet. Het ontwerp, de ontwikkeling en het gebruik van KI systemen voor nationale defensie doeleinden vallen binnen het bereik van het nieuwe verdrag en niet daarbuiten.

Als KI toepassingen op dit gebied niet worden meegenomen in de regels, dan creëeren we een zone die geheel vrij is van digitale rechten.   

noyb en de Franse toezichthouder

Terwijl de EU en de VS nieuwe afspraken maken over doorgifte van persoonsgegevens, heeft noyb niet stil gestaan dit jaar. In deze post een terugblik over de klachten ingediend bij de Franse toezichthouder.

In 2020 heeft de Europese rechter besloten dat doorgifte van EU persoonsgegevens naar de VS illegaal is. Na de uitspraak volgde een serie klachten vanuit noyb aan CNIL. Volgens noyb handelden verschillende Franse bedrijven tegen de wet door Google Analytics te gebruiken. De CNIL vond deze klachten terecht en heeft bedrijven bevolen om zich aan de AVG te houden.  

Handleiding CNIL

De Franse privacy waakhond CNIL schreef deze zomer een handleiding over het gebruik van Google Analytics. Om te voldoen aan de AVG kan volgens de CNIL gebruik worden gemaakt van een goed geconfigureerde proxy. Dit zou de operationele oplossing kunnen zijn om risico’s voor personen te limiteren.

Afspraken vastleggen in een contract is niet voldoende. Ook een simpele aanpassing van de instelling van de tool is niet voldoende. Wel kan het gebruik van een proxy server een mogelijke oplossing zijn. Dan moet zijn voldaan aan bepaalde voorwaarden die de Europese toezichthouder eerder heeft gesteld. De gegevens moeten dan gepseudonimiseerd worden.

Het alternatief is volgens de CNIL minder complex en kostbaar: oplossingen zoeken waar gegevens niet buiten de EU worden gebracht.  

>>Wil je weten waar de proxy aan moet voldoen? Scroll naar beneden op deze pagina.

>>Wil je lezen hoe noyb reageerde op de CNIL? Lees hier meer.

Ook bij andere toezichthouders heeft noyb klachten ingediend. Wil je weten hoe dat is afgelopen? Kijk dan hier en hier.

Reject all

Is het je al opgevallen dat je steeds vaker op websites de mogelijkheid krijgt om op een reject all knop te drukken? noyb heeft meer dan 700 klachten ingediend bij bedrijven met een cookie banner die niet voldeed aan de privacywet. Dit ging hand in hand met de klachten richting de toezichthouders. In anderhalf jaar constateert noyb een significante verbetering.

Security update

Apple-gebruikers, er zijn weer security-updates! Er zijn updates voor alle apparaten iPhones, iPads, Apple Watches en Macs.

>>https://support.apple.com/en-us/HT201222

Voor Macs is er ook een nieuwe versie van macOS uitgekomen: macOS Ventura (13.0), beschikbaar via de App Store. Maak voor het installeren zekerheidshalve een backup.

Ierse organisatie dreigt supermarkt Tesco voor de rechter te slepen

In de Financial Times: een Ierse burgerrechtenorganisatie, de ICCL, dreigt de supermarktketen Tesco voor de rechter te slepen. De reden is de verplichting voor klanten om mee te doen aan het loyalty programma. Dit schrijft de organisatie in een brief aan de directeur van Tesco. Volgens Johnny Ryan van ICCL is er geen noodzaak om klantgegevens op te slaan bij het doen van boodschappen.

Het gaat in dit verhaal om het check out free winkelen. Dat gaat als volgt: je loopt de winkel in met een credit card op zak, pakt je boodschappen en loopt de winkel uit. Niet alle winkels die deze mogelijkheid bieden, hebben een verplicht loyalty programma.

Tesco staat op het punt meer van dit soort check out free winkels te openen.    

Brandbrief strafadvocaten

NRC bericht over de zaak Shifter en een grote groep strafadvocaten die een brandbrief hebben gepubliceerd.

De zaak Shifter is een van de opsporingsonderzoeken die zijn gestart nadat de politie versleutelde berichtendiensten heeft gekraakt. In Shifter wordt voor het eerst gebruik gemaakt van een nieuwe mogelijkheid in strafzaken: het stellen van vragen aan de Hoge Raad. Sinds 1 oktober mag de rechtbank (en het gerechtshof) tijdens een lopende procedure aan de hoogste rechter vragen stellen om zo alvast bepaalde rechtsregels duidelijk te krijgen.   

Deze zaak leent zich hier goed voor en het voornemen door de rechter om prejudiciële vragen te stellen is warm onthaald door de advocatuur. De vraag die voor ligt is hoe moet worden omgegaan met de miljoenen berichten die afgelopen jaren zijn verzameld bij internationale politie operaties. Als advocaten de rechtmatigheid van het gebruik van de chatberichten willen aanvechten, vinden zij bij de rechter tot nu toe geen succes.  

Brief

In de brief wordt aangehaald dat politie en OM in de opsporing vaker versleutelde communicatiediensten tappen en hacken. Team High Tech Crime van de politie neemt daarbij een sleutelrol in. Alle inhoudelijke communicatie en meta data van bepaalde communicatiediensten werden afgelopen jaren onderschept en overgedragen voor onderzoek. Deze diensten zijn bijvoorbeeld Ennetcom, PGPsafe, Encrochat en SkyeECC.

Deze nieuwe en grensoverschrijdende vormen van opsporing kunnen nodig zijn bij bestrijding van zware criminaliteit, aldus de juristen. Maar deze methoden vragen om transparantie. Alleen dan kan een rechter toetsen of bewijsmateriaal rechtmatig is verkregen en betrouwbaar is.

Er is op dit moment geen sprake van de nodige transparantie. In het bijzonder het recht op een eerlijk proces en het recht op privacy (dreigen te) worden geschonden.  

De advocaten pleiten ervoor de balans te bewaken tussen waarheidsvinding en effectieve bestraffing aan de ene kant en het in stand houden van de rechtstaat en integere opsporing aan de andere kant.     

Kritieke kwetsbaarheid gevonden in OpenSSL

Op security.nl werd vorige week gewaarschuwd voor een kritieke kwetsbaarheid in OpenSSL. Voor de tweede keer ooit bericht OpenSSL over een kwetsbaarheid van deze orde van grootte. De eerste keer dat dit gebeurde was in 2016. Morgenmiddag op dinsdag 1 november 2022 tussen 14:00 en 18:00 uur wordt de patch beschikbaar gesteld. Het gaat om versie 3.0.7.  

Tip van onze collega’s: de Commordordion

In voor een filmpje dat direct een glimlach op je gezicht tovert? Zoek niet verder. Hier hoor je hoe de 8-bit accordeon klinkt en zie je hoe deze in elkaar wordt gezet met behulp van floppy discs, twee keer een C64 en tape. 

Kritiek op cloudbeleid overheid slaat plank mis

Michiel Steltman geeft in een publicatie op agconnect.nl zijn visie op de kritiek die eerder werd gegeven op het cloudbeleid van de overheid. Hij zet zijn betoog tevens uiteen in een interview bij De Technoloog op BNR.

Volgens Steltman ligt het genuanceerder dan dat IT in eigen beheer betekent dat je de controle hebt en bij inzet van clouddiensten de regie volledig weg is. Bij de overheid betekent IT in eigen beheer een complexe keten van hardware, software en diensten. Daarbij zijn de Amerikaanse diensten bij de overheid al in grote mate aanwezig. Juist investeren in publieke clouddiensten komt bijvoorbeeld projecten als Gaia-X ten goede.

Cyber Resilience Act beschadigt open source ecosysteem

In een blog op internetsociety.org zet Olaf Kolkman uiteen hoe het Europese wetsvoorstel voor de Cyber Resilience Act het open source ecosysteem zal beschadigen. Om dit te voorkomen moet een amendement worden toegevoegd. Software met open source licentie en gedistribueerd zonder winstoogmerk moet worden uitgezonderd van de regels. Dit is precies hoe de Europese wetgever dit al voor zich zag. In september publiceerde de Europese Commissie het wetsvoorstel.

Kolkman stelt dat certificatie kwetsbaarheden niet voorkomt, ook wanneer volledig wordt voldaan aan de regelgeving (compliance). De hang naar certificeren en de dreiging van boetes zal open source ontwikkeling tegengaan en dus de ontwikkeling van het internet dat hier sterk mee samenhangt. Veel standaarden die zijn ontwikkeld in open standaard organisaties als IETF en W3C zijn afhankelijk van open source software.

De voorgestelde wet zou tot ongewenst effect kunnen hebben dat open source developers buiten de Unie geen toegang meer verlenen omdat ze niet aansprakelijk willen zijn. Het zijn vaak hobbyisten en geen experts op het gebied van dit soort regels. Voor developers binnen de Unie kunnen de kosten die komen kijken bij het voldoen aan de regels te hoog worden.       

Het wetsvoorstel is zeer onduidelijk over wat commerciële activiteiten precies zijn. Not-for-profits die open source software maken moeten daarom expliciet worden uitgesloten, aldus Kolkman.   

Hackathon bij de politie

Security.nl en politie.nl berichten over de hackathon die de politie organiseerde. In samenwerking met burgers werden echte cyberzaken onderzocht. Deelnemers moesten een geheimhoudingsverklaring ondertekenen. Doel van de samenwerking is uitwisselen van kennis en inzichten.

ECP jaarfestival

Het platform voor de informatie samenleving, ECP, geeft eind november een jaarfestival. Je kunt je aanmelden via deze link

Alexa, zet timer om dit artikel te lezen op 15 minuten

Vraag je Alexa om een timer te zetten als je een cake bakt? Dan is dit artikel misschien interessant. In de Washington Post wordt per slim apparaat in huis aangegeven hoe je Amazon van alles over jezelf vertelt. Het artikel is trouwens ook interessant als je niet weet wie Alexa is en een kookwekker gebruikt.   

Techreuzen verantwoordelijk gehouden?

In een column in Trouw vraagt Ilyaz Nasrullah zich af of techreuzen eindelijk verantwoordelijk worden gehouden. Internetbedrijven worden niet als uitgevers behandeld en werden tot voor kort daarom vrij gesteld van de verantwoordelijkheid over wat hun gebruikers publiceren. Schadelijke content wordt moeiteloos via sociale media verspreid. De nieuwe digitale diensten wet maakt hier een einde aan. Techbedrijven worden verplicht in te grijpen bij illegale content.

Ook buiten de EU is de boel aan het veranderen. In het VK is voor het eerst wereldwijd een aanbevelingssysteem van techbedrijven als doodsoorzaak aangewezen.

Het Hooggerechtshof in Amerika heeft besloten de zaak Gonzalez versus Google te horen. In deze zaak heeft de familie van Nohemi Gonzalez, die is vermoord in 2015 tijdens de aanslagen in Parijs, Google aangeklaagd, omdat video’s op YouTube werden gebruikt om IS strijders te rekruteren. Volgens de familie is Google aansprakelijk voor de gevolgen van het automatisch aanbevelen van video’s aan gebruikers.