Europees Hof verbiedt verzwakken van end-to-end encryptie
Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, wat kan leiden tot het verzwakken van encryptie, is niet proportioneel en heeft geen plaats in een democratische samenleving, zo heeft het Europees Hof van de Rechten van de Mens geoordeeld. Het Hof deed uitspraak in een zaak die een Russische burger tegen de Russische overheid had aangespannen. Het ging over een wet die communicatieproviders verplicht om alle communicatiedata voor een periode van een jaar op te slaan, en de inhoud van de berichten voor een periode van zes maanden. Tevens moeten providers de autoriteiten de informatie verstrekken om versleutelde berichten te ontsleutelen.
Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van onlinecommunicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico’s worden blootgesteld. Een wettelijke verplichting om end-to-end encryptie te kunnen ontsleutelen zorgt er eigenlijk voor dat chatproviders worden verplicht om de encryptie voor alle gebruikers te verzwakken, wat niet proportioneel is ten opzichte van het beoogde doel, aldus het Hof.
Volgens Patrick Breyer, Europarlementariër van de Piratenpartij, zorgt de uitspraak ervoor dat client-side scanning zoals de Europese Commissie wil invoeren illegaal is.
https://www.security.nl/posting/829559/Europees+Hof+verbiedt+verzwakken+van+end-to-end+encryptie
Commentaar van de redactie (ED):
Het is wel aardig dat deze uitspraak aantoont, dat de politiek van de EU-commissie precies dezelfde is als die van het Kremlin. De pot verwijt de ketel dat-ie zwart ziet. Laten we versleutelen, versleutelen, versleutelen. Opdat ze hun pogingen opgeven. Utinam discedant!
Ombudsman start onderzoek naar extremisme- en terrorismeregistraties
De Nationale ombudsman is een onderzoek gestart naar de manier waarop de overheid omgaat met extremisme- en terrorismeregistraties. Het gaat dan specifiek om CTER-registraties, wat staat voor Contraterrorisme, Extremisme en Radicalisering. De politie kan informatie over iemand met een registratie delen met verschillende (veiligheids)instanties, opsporingsdiensten en landen.
Burgers met een dergelijke registratie weten dit vaak zelf niet. Zo kunnen zij onverwachts in de problemen komen, bijvoorbeeld doordat zij op vakantie het land van bestemming niet in mogen of zelfs in het buitenland vast komen te zitten. Ondanks de grote gevolgen van een dergelijke registratie, is het onduidelijk waar burgers terecht kunnen met vragen, waarom ze zijn geregistreerd, wie hiervoor verantwoordelijk is en hoe er bezwaar kan worden gemaakt. Tientallen burgers klaagden bij de ombudsman omdat ze vermoeden dat ze een zogenaamde CTER-registratie op hun naam hebben staan. De ombudsman wil nu weten of de overheid op een behoorlijke manier omgaat met deze gegevens. Uit de klachten over CTER-registraties, blijkt dat burgers niet goed weten waar ze terecht kunnen, en ze het gevoel hebben van het kastje naar de muur te worden gestuurd.
Ombudsman start onderzoek naar extremisme- en terrorismeregistraties – Security.NL
Europese toezichthouders kritisch over CSAM-plan Europees Parlement
Begin 2022 kwam de Europese Commissie met een voorstel om alle chatberichten en ander verkeer van burgers te inspecteren. In het geval van end-to-end versleutelde chatdiensten zou dit via client-side scanning moeten plaatsvinden, waarbij alle berichten van alle burgers zouden worden gecontroleerd. Eind vorig jaar bleek dat het Europees Parlement tegen het voorstel van de Europese Commissie is en kwam met een eigen voorstel.
De Europese privacytoezichthouders verenigd in de EDPB zijn kritisch over deze plannen. Volgens de privacytoezichthouders is het belangrijk dat elk nieuw juridisch instrument eenduidig is en de fundamentele rechten op privacy en databescherming respecteert. “Een buitensporige toegang tot online communicatie zou deze principes ondermijnen en kan zelf negatieve gevolgen hebben op de rechten en veiligheid van zowel volwassenen als kinderen”, stelt EDPB-voorzitter Anu Talus. Volgens de privacytoezichthouders is het huidige voorstel een verbetering ten opzichte van de vorige het voorstel, zoals het uitsluiten van end-to-end encryptie van detectiebevelen. Toch zijn de voornaamste kritiekpunten van de toezichthouders nog steeds aanwezig. Detectiebevelen, waarbij het verkeer van iemand wordt geïnspecteerd, zouden gericht en alleen bij een redelijke verdenking moeten plaatsvinden.
De Europese Commissie wil in haar voorstel nieuw en bekend misbruikmateriaal alsmede grooming kunnen detecteren. Experts en ook de privacytoezichthouders stelden dat zeker bij detectie van nieuw materiaal de kans op fouten zeer groot is, waardoor mensen onterecht kunnen worden aangemerkt dat ze zich met misbruikmateriaal bezighouden.
https://www.security.nl/posting/829688
Burgerrechtenbeweging wil dat Brussel ‘Going Dark’ groep ontmantelt
De Europese digitale burgerrechtenbeweging EDRi wil dat de Europese Commissie een groep ontmantelt die het heeft opgericht om te bespreken hoe opsporingsdiensten meer toegang tot data kunnen krijgen. Volgens EDRi hebben massasurveillance en encryptiebackdoors geen plek in Europa.
Onlangs oordeelde het Europees Hof van de Rechten van de Mens tegen het toevoegen van een backdoor aan chatdienst Telegram. Volgens het Hof speelt encryptie een belangrijke rol in het beschermen van het recht op een privéleven en de privacy van onlinecommunicatie. Om berichten van end-to-end versleutelde chatapps te ontsleutelen moet de encryptie voor alle gebruikers worden verzwakt, ook die geen onderdeel van een onderzoek zijn. Daarnaast zorgt het verzwakken van encryptie ervoor dat burgers aan allerlei risico’s worden blootgesteld. Een week na deze uitspraak houden Europese instellingen een publieke consultatie waarbij ze zoeken naar tools en andere ‘potentiële oplossingen’ voor de problemen waar opsporingsdiensten mee te maken hebben als ze toegang tot elektronische gegevens willen. De ‘Going Dark’ groep van de Europese Commissie moet aanbevelingen voor toekomstig EU-beleid en wetgeving opstellen om de toegang van opsporingsdiensten tot data te vergroten, aldus EDRi.
“We hebben vernomen dat dit ‘Going Dark’ initiatief een poging is om gevaarlijke maatregelen, die de online privacy en veiligheid van iedereen in gevaar brengen, wit te wassen en ze voor het publiek acceptabel te doen lijken”, zegt Chloé Berthélémy, beleidsadviseur van EDRi.
Burgerrechtenbeweging wil dat Brussel ‘Going Dark’ groep ontmantelt – Security.NL
Europese burgerrechtenbeweging EDRi vreest toenemende leeftijdsverificatie op internet
Steeds meer overheden kijken naar het verplichten van online leeftijdsverificatie om bepaalde websites te bezoeken, maar dit kan leiden tot surveillance, heeft privacygevolgen en maakt het internet niet veiliger, zo waarschuwt de Europese burgerrechtenbeweging EDRi. Die maakt zich vooral zorgen over een Iers voorstel dat de hele EU kan raken. “Er is een berg aan bewijs waaruit blijkt dat techbedrijven en staten niet te vertrouwen zijn met de meest private gegevens van mensen en het beschermen van hun digitale veiligheid”, aldus EDRi. Staten kunnen de leeftijdsverificatie voor allerlei websites verplichten. Het gaat dan bijvoorbeeld om gok- en pornosites, maar ook algemene videoplatforms. Zo kwam de Ierse mediatoezichthouder laatst met een voorstel dat voor dergelijke platforms ‘robuuste leeftijdsverificatietechnologie’ verplicht. Omdat veel techbedrijven hun hoofdkantoor in Ierland hebben kunnen de gevolgen van het voorstel in heel Europa voelbaar worden en miljoenen mensen treffen die diensten zoals Instagram en YouTube gebruiken, vreest EDRi. Niet alleen de Ierse autoriteiten kijken naar leeftijdsverificatie, ook in het Verenigd Koninkrijk en België is dit het geval.
Privacy First adviseert burgers opt-out van European Health Data Space
Privacy First adviseert burgers om zich af te melden voor het delen van gegevens via de European Health Data Space (EHDS). Iets wat twee keer moet worden gedaan. “Het architectuurmodel van de EHDS (voor primair gebruik) komt namelijk in grote mate overeen met het Landelijk EPD uit 2011. Daarmee ontstaan dezelfde risico’s voor de privacy en veiligheid, alleen dan op Europese schaal”, aldus de stichting.
Het EHDS is een voorstel van de Europese Commissie voor het delen van medische gegevens in de Europese Unie in een gemeenschappelijk gebruikt formaat. De onderhandelingen over de EHDS zijn nog gaande, maar het is inmiddels duidelijk dat er met een opt-out zal worden gewerkt. Het gaat zowel om het uitwisselen van gezondheidsgegevens voor primair als secundair gebruik. Bij primair gebruik gaat het om het gebruik van gezondheidsgegevens voor het verlenen van zorg. Bij het secundaire gebruik van gezondheidsgegevens gaat het om zaken zoals onderzoek, onderwijs, ontwikkeling van diensten en producten, inclusief AI, beleidsvorming en leveren van gepersonaliseerde zorg door behandelaars.
Burgers die niet willen dat hun gegevens worden uitgewisseld zullen zich apart voor het primaire en secundaire gebruik moeten afmelden. De EHDS bestaat namelijk uit twee systemen waar burgers zich kunnen afmelden. Voor primair gebruik komt er het Nationaal Contactpunt voor eHealth (NCPeH) en voor secundair gebruik komt er een Health Data Access Body (HDAB). In aanvulling daarop kan iedere lidstaat besluiten genetische gegevens uitsluitend met uitdrukkelijke toestemming van burgers beschikbaar te stellen. “Je kan je dus als burger volledig afmelden en daarmee wordt het opvragen van je medische gegevens aan de bron geblokkeerd”, aldus Privacy First, dat dit ook adviseert.
