EU-regelgeving (1): Europese eIDAS-wet onder wetenschappelijk vuur
Het Europees Parlement en de lidstaten hebben een akkoord bereikt over de invoering van de Digitale Identiteit (eiDAS). Direct daarna zei EU-commissaris Breton: “Nu we een digitale identiteitsportefeuille hebben, moeten we er iets in stoppen…”, waarmee hij een verband suggereerde tussen CBDC en eID. Ze negeerden alle privacy-experts en beveiligingsspecialisten. Het Europees Parlement moet overigens nog over het conceptwetsvoorstel stemmen, maar dat zal wel wederom een formaliteit zijn.
Als de wet inderdaad van kracht wordt, zal iedereen die in de EU woont binnenkort een digitale portemonnee hebben, met daarin al je persoonlijke informatie, biometrische gegevens, medische dossiers en natuurlijk binnenkort ook je Digitale Euro (digitale valuta van de Centrale Bank).
Met een nieuwe brief vragen wetenschappers bijkomende waarborgen aan de Europese Commissie en de Raad om de eIDAS-wetgeving alsnog aan te passen. eIDAS staat voor “Electronic Identitification And Trust Services” en is een Europese verordening rond elektronische identificatie die wederzijdse erkenning van nationale inlogmiddelen mogelijk moet maken. Door gebruik te maken van eIDAS moeten gebruikers binnen de Europese Unie zich bijvoorbeeld onderling kunnen aanmelden op digitale toepassingen van de verschillende Europese lidstaten.
De wetenschappers zien eIDAS als een gevaar voor de privacy. ‘Als gevolg van onze brief zijn er in extremis nog een aantal aanpassingen gedaan, maar volgens ons zijn die onvoldoende’, zo stelt professor Bart Preneel, één van de initiatiefnemers. Begin deze maand hadden meer dan vijfhonderd wetenschappers en een groot aantal ngo’s ook al een open brief geschreven over ernstige problemen met de nieuwe eIDAS-verordening over elektronische identificatie en ‘trust services’. ‘Het gaat over de EU digitale portefeuille van de EU (de zogenaamde digital wallet) en mobiele authenticatie, maar er zijn ook implicaties op de veiligheid van het web’, licht Preneel toe. De kern van het probleem is, zo stelt hij, dat EU-lidstaten de mogelijkheid krijgen om burgers af te luisteren door regels op te leggen aan browsercertificaten. ‘De regels voor portefeuille bieden ook onvoldoende waarborgen tegen het volgen of tracken van gebruikers.’
EU-regelgeving (2): Burgerrechtenbeweging EDRI verwacht geen akkoord over client-side scanning
Digitale burgerrechtenbeweging EDRi verwacht niet dat er een akkoord wordt bereikt over het plan van de Europese Commissie om alle berichten van burgers door middel van client-side scanning te controleren. Burgerrechtenbewegingen, privacy organisaties, beveiligingsexperts, academici en Tech bedrijven waarschuwden voor het plan. Dat zou namelijk tot massasurveillance leiden en een ernstige aantasting van de privacy en vrijheid van burgers vormen.
Ook het Europees Parlement verwierp eerder deze maand het plan van Brussel om client-side scanning in te voeren. Nu het parlement een positie heeft ingenomen vindt er een trialoog plaats, overleg tussen het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie. Het doel van een trialoog is om tot een voorlopig akkoord over een wetgevingsvoorstel te komen dat voor zowel het Parlement als de Raad, de medewetgevers, aanvaardbaar is. Er is echter nog altijd geen voorgestelde tekst, laat staan een politiek akkoord van voldoende EU-lidstaten, merkt EDRi op.
Burgerrechtenbeweging verwacht geen akkoord over client-side scanning – Security.NL
Medische gegevens (1): Privacy First: Brussel maakt einde aan medisch beroepsgeheim met EHDS
Met het voorstel voor het oprichten van een European Health Data Space (EHDS) maakt Brussel een einde aan het medisch beroepsgeheim, zo stelt stichting Privacy First. Onlangs liet demissionair minister Kuipers al weten dat door het EHDS medische data van burgers zonder toestemming toegankelijk wordt gemaakt voor derden. Het EHDS is een digitaal patiëntendossier dat in een gemeenschappelijk Europees formaat is opgesteld en in alle EU-lidstaten te gebruiken moet zijn. “Volledige medische dossiers, met de meest gevoelige en persoonlijke informatie, kunnen straks door Brussel worden opgevraagd en worden gebruikt voor een breed scala aan doeleinden. Patiënten wordt hiermee de controle over hun medische gegevens ontnomen”, aldus Privacy First. De stichting waarschuwt dat door de opzet van het EHDS zowel overheid als private partijen toegang tot medische dossiers van alle burgers in de Europese Unie krijgen.
Daarmee komt er ook een einde aan het medisch beroepsgeheim, zo stelt Privacy First. “Op dit moment garandeert het medisch beroepsgeheim de vertrouwelijkheid binnen een behandelrelatie en daarmee het vertrouwen in de zorg. De EHDS maakt daar een einde aan.” Daarnaast zou het geanonimiseerd of gepseudonimiseerd verstrekken van gegevens aan derden een illusie van veiligheid creëren. “Medische gegevens zijn namelijk zo specifiek, dat de herleidbaarheid naar een patiënt eerder een garantie is dan een kans. Dat risico neemt alleen maar toe wanneer verschillende bestanden met gegevens aan elkaar worden gekoppeld.”
In tegenstelling tot de situatie in Nederland, waarbij gezondheidsgegevens voornamelijk alleen met toestemming van de patiënt mogen worden verwerkt, gaat het EHDS-voorstel uit van een andere juridische grondslag, waarbij toestemming niet is vereist. “Dit komt de databeschikbaarheid ten goede”, aldus Kuipers afgelopen oktober. Het gaat zowel om primair als secundair gebruik van gezondheidsgegevens. Privacy First vreest ook dat de schaal waarop gegevens straks ontsloten worden, enorme risico’s voor de veiligheid en privacy van burgers met zich meebrengt. “De inrichting van de EHDS maakt het technisch mogelijk om op Europese schaal het gedrag van burgers te volgen en te sturen, zonder dat deze kunnen zien of en hoe dat gebeurt.” Daarnaast zou het EHDS het onderscheid tussen de wetgevende en controlerende macht vertroebelen.
Privacy First: Brussel maakt einde aan medisch beroepsgeheim met EHDS – Security.NL
Amerikaanse senator: VS betaalt AT&T om telefoongegevens te doorzoeken
De Amerikaanse autoriteiten betalen telecomprovider AT&T zodat opsporingsdiensten de telefoongegevens van klanten kunnen doorzoeken, vaak zonder gerechtelijk bevel, zo stelt de Amerikaanse senator Ron Wyden. Die heeft de Amerikaanse procureur-generaal Merrick Garland nu gevraagd om informatie over het ‘Hemisphere’ telefoonsurveillanceprogramma openbaar te maken. Met het programma kunnen opsporingsdiensten grote hoeveelheden Amerikaanse telefoongegevens doorzoeken, meestal zonder gerechtelijk bevel, stelt Wyden.
De telefoongegevens gaan terug tot 1987 en elke dag worden er vier miljard nieuwe ‘records’ aan toegevoegd. In 2013 maakte The New York Times het bestaan van het surveillanceprogramma openbaar. Hetzelfde jaar besloot het Witte Huis de financiering ervan stop te zetten. Volgens Wyden wordt het programma met federaal overheidsgeld betaald, maar komt het via een obscuur beursprogramma bij AT&T terecht, waardoor het geen verplichte federale privacy controle hoeft te ondergaan. Via het programma zouden diensten andere telefoonnummers gebruikt door een doelwit kunnen achterhalen, alsmede locatiegegevens en gespreksgegevens van iedereen die met het doelwit belde.
Hoewel het Witte Huis de financiering in 2013 stopzette, bleef het programma onder een andere programmanaam overheidsgeld ontvangen. In 2017 werd de oorspronkelijke financiering hervat en in 2021 gepauzeerd, om vorig jaar weer te worden hervat. Wyden zegt dat hij zich ernstig zorgen maakt over de rechtsgeldigheid van het surveillanceprogramma. Eerder verstrekte documenten bevatten volgens de senator ‘zorgwekkende’ informatie die veel Amerikanen boos zou maken. Doordat de informatie als ‘Law Enforcement Sensitive’ is aangemerkt mag die niet openbaar worden. Wyden wil nu dat het Amerikaanse ministerie van Justitie de documenten wel openbaar maakt.
