Geheime diensten krijgen van de politiek nooit een ‘nee’: Bits of Freedom blikt terug
Afgelopen 12 maart heeft de Eerste Kamer het voorstel over de Cyberwet aangenomen. De Cyberwet is een nieuwe wet die het, in het heel kort, voor de inlichtingendiensten AIVD en MIVD op verschillende manieren makkelijker maakt om grootschalig gegevens te verzamelen. Dat is nodig, aldus de diensten, om Nederland te beschermen tegen cyberaanvallen. De wet verruimt de bevoegdheden van de geheime diensten, terwijl het toezicht juist vermindert.
De totstandkoming ervan is erg rommelig verlopen en vooral ontzettend complex gemaakt. Het voorstel kwam in de vorm van een tijdelijke spoedwet, terwijl al was aangekondigd dat de hoofdwet (de Wet op de inlichtingen- en veiligheidsdiensten, de “sleepwet”) structureel zou worden gewijzigd. Hier kwam vervolgens nog een nota van wijziging overheen die weer een andere reikwijdte had en dus zowel de tijdelijke wijziging als de hoofdwet wijzigde. Verschillende Kamerleden gaven aan dat ze gewoon niet meer snapten wat er nu eigenlijk met de wet werd voorgesteld. Laat staan dat nog uit te leggen was aan burgers wat er nu eigenlijk op het spel stond. De aangenomen Cyberwet laat goed zien dat de geheime diensten van de politiek eigenlijk nooit een ‘nee’ krijgen.
Geheime diensten krijgen van de politiek nooit een ‘nee’ – Bits of Freedom
De Verkliksamenleving
Aangemoedigd door de politie filmen we in Nederland massaal de straat en ontstaat er een collectieve massasurveillance. Inmiddels zouden er volgens onderzoeksbureau Multiscope 1,2 miljoen van dit type deurbellen in gebruik zijn. Het ‘touwtje uit de brievenbus’ waar oud-politicus Jan Terlouw acht jaar terug voor pleitte mocht dan tot de verbeelding spreken, in de praktijk kiezen Nederlanders steeds vaker voor surveillance dan voor nonchalance.
Privacywetgeving schrijft voor dat het filmen van de openbare weg verboden is en dat een camera alleen activiteit vlak voor de eigen deur mag vastleggen. Maar de overheid lijkt vooralsnog niet al te gemotiveerd om burgers aan te spreken op mogelijke privacyschendingen. „Maar waarom zouden ze ook”, zegt Lotte Houwing van digitale burgerrechtenorganisatie Bits of Freedom. „Het heeft voor hen alleen maar voordelen.” De politie moedigt mensen juist aan hun beelden te delen, met het project Camera in Beeld, een online platform waar burgers hun camera’s kunnen registreren. Bij een misdrijf kan de politie zo eenvoudig zien welke camerabeelden ze kunnen vorderen, waarmee vervolgens je naam en adres in een strafzaak terecht kan komen..
Bovendien zijn cameradeurbellen al jaren uitgerust met gezichtsherkenning. Een beetje handige programmeur uit de buurt bouwt er zelf een applicatie bij en legt voor de hele buurt vast wie de hond uitlaat. Alle beelden worden opgeslagen in de cloudsystemen van de fabrikanten, waarbij het maar de vraag is wat ze daar werkelijk mee doen. De deurbellen zijn eenvoudig te hacken, dus ook voor geïnteresseerde Chinezen en Russen die gezichten willen kunnen herkennen.
Over dit onderwerp kun je op NRC dit artikel lezen: 1,2 miljoen slimme deurbellen filmen je – en je privacy heeft het nakijken – NRC (archive.ph) en De Verkliksamenleving – Privacy First
Europees Parlement akkoord met AI-wet die live gezichtsherkenning toestaat
Het Europees Parlement is op 13 maart akkoord gegaan met de Artificial Intelligence Act die onder andere opsporingsdiensten in bepaalde gevallen live gezichtsherkenning laat inzetten. De AI-wet stelt regels aan het gebruik van kunstmatige intelligentie. Eén van de onderdelen betreft het gebruik van live gezichtsherkenning door justitie bij de volgende gevallen:
- het zoeken van mensen die worden vermist
- het zoeken van mensen die slachtoffer zijn van mensenhandel of seksueel misbruik
- het voorkomen van een ‘specifieke en actuele’ terroristische dreiging
- het vinden van de locatie of het identificeren van personen die worden verdacht van misdrijven, waaronder terrorisme, mensenhandel, seksueel misbruik, moord, kidnapping, verkrachting, gewapende overvallen, deelname aan een criminele organisatie en milieudelicten.
Europees Parlement akkoord met AI-wet die live gezichtsherkenning toestaat – Security.NL
Een veiliger land? Maar voor wie dan precies? Het zoveelste schandaal waarbij hele gemeenschappen onrechtmatig worden gesurveilleerd
De inlichtingendiensten kregen onlangs een forse tik op de vingers. Ze deden onrechtmatig onderzoek naar bevolkingsgroepen in Nederland, blijkt uit het laatste rapport van de toezichthouder (CTIVD), die drie dossiers onder de loep nam. Demissionair minister De Jonge nam het voor de diensten op, in alle drie dossiers was sprake van ‘dreigingsperspectief’, die vallen onder de taakomschrijving van de inlichtingendiensten. Dan kan het, aldus De Jonge, noodzakelijk zijn om een beeld op te bouwen van een gemeenschap. Maar de conclusie van de toezichthouder is helder: de onderzoeken naar ‘gemeenschappen’ stonden niet in verhouding tot het doel en er waren lichtere middelen voorhanden geweest. Doordat dit soort schandalen zo vaak voorkomt, verbaast het ons misschien steeds minder dat dit gebeurt.
Voor de fundamenten van onze democratische rechtsstaat is het echter ontzettend belangrijk om te blijven beseffen dat dergelijke discriminatie allerminst normaal is. Sterker nog, het is niet eens legaal. Maar belangrijker dan de vraag of dit wel mag of niet, is de vraag wat de impact is. De inlichtingendiensten kregen soms over één of enkele personen een signaal, en besloten op basis daarvan een hele gemeenschap te onderzoeken. Die gemeenschappen zijn gebaseerd op een gedeelde etniciteit, religieuze overtuiging of beroepsgroep. Behoor je tot zo’n gemeenschap, kan dat al voldoende aanleiding zijn om onderzoek naar jou te doen. Plotseling wordt je afkomst, geloof of beroep gecriminaliseerd; gemaakt tot een eigenschap die jou verdacht maakt. Je wordt het onderwerp van ingrijpende overheidssurveillance.
Het is een voorbeeld van hoe surveillance leidt tot profilering, vervolgens tot stigmatisering en soms zelfs tot criminalisering. Ineens maakt dit zo’n veiligheidsmaatregel toch niet zo veilig. Want wie beschermt ons eigenlijk tegen de overheid? Hoe denken we eigenlijk over de ‘veiligheid’ die dergelijke maatregelen nastreven? Het is een voorbeeld van hoe surveillance leidt tot profilering, vervolgens tot stigmatisering en soms zelfs tot criminalisering. Ineens maakt dit zo’n veiligheidsmaatregel toch niet zo veilig.
Het is tijd dat we het debat over veiligheid openbreken. Repressie en law and order maatregelen zijn niet altijd het antwoord. Ze dienen slechts een beperkte groep in de samenleving. Dit zorgt voor een machtsverschil waarbij de veiligheid van bepaalde groepen veel minder wordt beschermd, en potentieel zelfs bedreigd wordt.
Opinie: Een veiliger land? Maar voor wie dan precies? – Bits of Freedom
Amnesty: overheid zet steeds vaker risicoprofilering en algoritmen in
Overheidsorganisaties hebben zeer ruime bevoegdheden om mensen te controleren en zetten steeds vaker risicoprofilering en algoritmen in, wat de deur open zet voor machtsmisbruik en etnisch profileren, zo liet Amnesty International recent weten. Volgens de mensenrechtenorganisatie doet het kabinet te weinig om mensen in Nederland te beschermen tegen etnisch profileren.
De inzet van risicoprofilering en algoritmen vindt echter plaats zonder duidelijke regulering en waarborgen, zo claimt Amnesty in het rapport Etnisch profileren is overheidsbreed probleem – Nederlandse overheid moet burgers beschermen tegen discriminerende controles. De Tweede Kamer heeft wel moties aangenomen over een verplichte mensenrechtentoets voor algoritmes, maar volgens Amnesty is het onduidelijk hoe deze verplichting zal worden gehandhaafd. Amnesty vindt dat overheidsorganisaties transparant moeten zijn over het gebruik van algoritmen voor beslissingen over burgers, door zinvolle informatie te verstrekken over de onderliggende logica, het belang en de verwachte gevolgen van beslissingen, zelfs als de besluitvorming niet volledig geautomatiseerd is, en ongeacht de mate van menselijke betrokkenheid bij het besluitvormingsproces.
De mensenrechtenorganisatie constateert drie tekortkomingen aan het Algoritmeregister dat in december 2022 door het kabinet is gelanceerd: het register is nog altijd niet verplicht, de informatie in het register niet compleet en ontoereikend en het kabinet is voornemens om een uitzondering op de registratieplicht te introduceren voor opsporing, rechtshandhaving, defensie en inlichtingenverzameling.
Amnesty constateert ook dat de nieuwe algoritmetoezichthouder niet voldoende mandaat en middelen heeft gekregen om mensenrechtenschendingen als gevolg van de inzet van algoritmen effectief te kunnen aanpakken.
Amnesty: overheden zetten steeds vaker risicoprofilering en algoritmen in (privacynieuws.nl) en https://www.security.nl/posting/834880/Amnesty%3A+overheid+zet+steeds+vaker+risicoprofilering+en+algoritmen+in
Uw bankrekening: de sluiproute naar uw privéleven – deel 3; Wet Gegevensverwerking door Samenwerkingsverbanden (WGS)
De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) is een vergevorderd wetsvoorstel om uw bankgegevens structureel te delen tussen een keur van overheidsinstanties en private bedrijven. Het wetsvoorstel zal het mogelijk maken dat overheid en bedrijfsleven structureel data gaan delen in zogenaamde samenwerkingsverbanden om verschillende vormen van criminaliteit en overtredingen te bestrijden.
Een viertal van dit soort samenwerkingsverbanden bestaat al, terwijl de WGS er nog niet eens is. De wet wil deze bestaande samenwerkingen alsnog van een wettelijke basis voorzien, maar ook verdergaande samenwerking mogelijk maken en deelname hierin zelfs verplichten voor private partijen. De WGS maakt het mogelijk dat nog meer samenwerkingsverbanden gecreëerd worden én maakt de mogelijkheden van data delen veel groter en structureler. De WGS staat het toe bankgegevens te combineren met allerlei andere soorten data voor opsporingsdoeleinden. De gegevensdeling beperkt zich niet tot feiten, maar omvat ook het delen van ‘signalen’, vermoedens en zwarte lijsten. Tevens kunnen onder de WGS allerlei soorten private partijen verplicht worden om gegevens te delen met de overheid.
Gebruik van en het combineren van alle denkbare data wordt mogelijk: identificatiegegevens van personen en hun financiële data, vermogensgegevens, gegevens over relaties tussen personen en vermogensbestanddelen, informatie over eerdere onrechtmatigheden, over relaties of contactpersonen, politiegegevens, justitiële en strafvorderlijke gegevens, etc. etc.
De samenwerkingsverbanden moeten een periodieke privacy-audit laten uitvoeren en jaarverslagen opstellen, waarin zij rapporteren over de bruikbaarheid van de resultaten. De uitkomsten van de privacy-audits zijn alleen niet openbaar. De wet specificeert ook niet wanneer samenwerkingsverbanden als effectief kunnen worden beschouwd.
De WGS is momenteel in behandeling in de Eerste Kamer. De SyRI-coalitie, de maatschappelijke coalitie die begin 2020 de rechtszaak tegen het Systeem Risico Indicatie (SyRI) won heeft de Eerste Kamer al herhaaldelijk met klem gevraagd het wetsvoorstel WGS niet aan te nemen. Privacy First hoopt dat de Eerste Kamer nu doorpakt en het wetsvoorstel verwerpt.
Uw bankrekening: de sluiproute naar uw privéleven (deel 3) – Privacy First
Belastingdienst gebruikt risicomodel zonder benodigd privacyonderzoek
De Belastingdienst heeft verschillende risicomodellen die in 2021 werden uitgeschakeld omdat ze mogelijk niet aan de AVG voldeden weer in gebruik, maar voor één van de modellen moet het benodigde privacyonderzoek nog worden uitgevoerd. Dat meldt demissionair staatssecretaris Van Rij van Financiën aan de Tweede Kamer, die om een reactie op een artikel van Follow The Money had gevraagd. Vorig jaar kwam Follow The Money met het bericht dat de fiscus drie risicomodellen had uitgeschakeld, omdat ze niet aan de AVG zouden voldoen en mogelijk zelfs grondrechten zouden schenden.
Na een kortstondige stop besloot de fiscus de algoritmen toch weer aan te zetten. Het gaat onder andere om het risiocomodel OB Negatief, dat negatieve aangiften van een risicoscore voorziet. Op deze manier wil de Belastingdienst voorkomen dat het onterecht geld teruggeeft. Volgens Van Rij heeft de Belastingdienst een risicoafweging gemaakt bij het gebruik van de risicomodellen, waarin verschillende belangen zijn gewogen.
Belastingdienst gebruikt risicomodel zonder benodigd privacyonderzoek – Security.NL
EDRi: politiediensten hebben geen bewijs voor noodzaak encryptie-backdoors
Politiediensten die in de werkgroep ‘Going Dark’ van de Europese Commissie bespreken hoe ze meer toegang tot data kunnen krijgen hebben geen bewijs aangeleverd dat dit nodig is of dat encryptie-backdoors noodzakelijk zijn, zo stelt de Europese burgerrechtenbeweging EDRi die eerder nog opriep tot het ontmantelen van de werkgroep. “Het doel van deze groep is het vinden van manieren waardoor de EU-politiediensten juridisch en technisch toegang tot meer data kan geven, alsmede het omzeilen van encryptie en andere essentiële beveiligingsfeatures in al onze digitale apparaten”, aldus EDRi.
De burgerrechtenbeweging stuurde een 21 pagina’s tellend document naar de werkgroep waarin het allerlei bezwaren vermeld. “EDRi heeft er herhaaldelijk op gewezen dat EU-instellingen en autoriteiten van lidstaten geen bewijs hebben geleverd voor de marginale voordelen van toegang tot elektronische data in vergelijking met minder indringende alternatieven, wat leidt tot wetsvoorstellen die de noodzakelijkheidstoets niet kunnen doorstaan.” De burgerrechtenbeweging voegt toe dat de werkgroep zich vooral druk maakt om situaties waar encryptie en hardwarematige beveiliging ervoor zorgen dat er geen toegang tot data op een apparaat kan worden verkregen. “Er is geen statistische data gegeven om deze zorgen te ondersteunen”, aldus EDRi.
Smartphones vandaag de dag zijn een ware ‘goudmijn’ voor opsporingsdiensten waarop allerlei informatie is te vinden, zo gaat de burgerrechtenbeweging verder. “Met het wijdverbreide gebruik van online diensten en smartphones, en het dominante model van surveillancekapitalisme wat leidt tot grootschalige dataverzameling voor commerciële doeleinden, beleven opsporingsdiensten een gouden eeuw van surveillance met toegang tot meer data van Europese burgers dan ooit te voren.”
EDRi: politiediensten hebben geen bewijs voor noodzaak encryptie-backdoors – Security.NL
Worden cryptowallets echt verboden? Een diepere analyse
Op 19 maart hebben Europese commissies gestemd over een nieuw wetsvoorstel tegen witwassen. Het wetsvoorstel was van grote omvang: het betrof zowel betalingen met contant geld als crypto. In eerste instantie werden verschillende aspecten van het wetsvoorstel geïnterpreteerd als een verbod op hardware wallets. Maar daar komt men nu op terug. Het wetsvoorstel betreft geen hardware wallets. In plaats daarvan scherpt het de regels aan voor aanbieders van cryptodiensten. Daarmee worden onder andere crypto exchanges, brokers, lenders mee bedoeld.
Het uitvoeren van een betaling van iedere omvang aan een crypto-dienstverlener met een eigen anonieme hardware of software wallet wordt lastiger. Aanbieders van crypto diensten moeten deze transacties namelijk vanaf nu streng controleren. Ze worden echter niet verboden zoals verschillende media aanvankelijk rapporteerden. Daarnaast mogen aanbieders van crypto diensten geen privacy coins zoals monero aanbieden. Ook het aanbieden van anonieme crypto accounts wordt verboden. Het aanbieden van anonieme software wallets is verboden indien deze onder direct beheer staat van de aanbieder.
Het voorstel moet nog door het Europees Parlement en de Raad worden aangenomen.
Worden cryptowallets echt verboden? Een diepere analyse (crypto-insiders.nl)
Je paspoort uploaden naar LinkedIn? Dit zit er achter het verificatie-vinkje
Nieuw! Nu nog krachtiger! Met 60 procent meer indruk! Het lijkt wel een wasmiddelreclame, de manier waarop LinkedIn gebruikers probeert over te halen zich te verifiëren. Sinds een paar maanden biedt het sociale netwerk voor professionals (wereldwijd 1 miljard leden) in Nederland de mogelijkheid om je identiteit te bevestigen door je paspoort te uploaden. Je krijgt een vinkje achter je profielnaam – een ‘badge’ – en dat levert volgens LinkedIn gemiddeld 60 procent meer profielbezoekers op.
Het slaat aan: in de VS, waar LinkedIn al eerder met de vinkjes begon, stond de teller in oktober 2023 op 18 miljoen geverifieerde gebruikers. LinkedIn streeft wereldwijd naar 100 miljoen vinkjes in 2025, 10 procent van het totaal. Wie afhankelijk is van professioneel contact via LinkedIn, eigendom van Microsoft, kan baat hebben bij wat extra zichtbaarheid met zo’n geverifieerd profiel.
Maar lukraak je paspoort uploaden naar een webdienst is niet verstandig. De paspoortverificatie buiten de VS heeft LinkedIn uitbesteed aan het Amerikaanse bedrijf Persona, dat gespecialiseerd is in het controleren van identiteiten. In vaktermen: KYC,know your customer. Ze doen er ook aan know your business, KYB, om bedrijven door te lichten. Maar wat weten we eigenlijk van Persona? Volgens LinkedIn is Persona ‘expert in identiteitsverificatie’ met een ‘commitment aan databeveiliging’. De dienst uit San Francisco bewaart, zo blijkt uit de privacyvoorwaarden, bijna alle gegevens van het paspoort, inclusief biometrische data als vingerafdrukken. Daarnaast behoudt Persona zich het recht voor om je persoonlijke gegevens te delen met externe partijen, zoals bedrijven en overheden in landen die er heel andere privacyregels op nahouden dan de EU. Persona, opgericht in 2018 en zo’n 100 miljoen dollar jaaromzet, werkt ook samen met kredietbeoordelaars als Equifax en Experian.
Je paspoort uploaden naar LinkedIn? Dit zit er achter het verificatie-vinkje – NRC (archive.ph)
Tor Project lanceert WebTunnel voor omzeilen overheidscensuur
Het Tor Project heeft op 12 maart een nieuwe tool gelanceerd waarmee Tor-gebruikers overheidscensuur kunnen omzeilen. WebTunnel, zoals de tool heet, neemt het Tor-verkeer en vermomt dat als gewoon webverkeer. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken.
De servers waar het Tor-netwerk uit bestaat zijn openbaar. Regimes die niet willen dat hun bevolking van het Tor-netwerk gebruikmaakt kunnen de ip-adressen van al deze servers blokkeren. Om dergelijke blokkades te omzeilen zijn er “Tor-bridges”. Dit zijn privé Tor-servers die als springplank dienen om toegang tot het Tor-netwerk te krijgen. Niet alleen zijn de Tor-bridges privé, ze kunnen ook hun netwerkverkeer aanpassen waardoor het lastig is om te zien dat iemand van Tor gebruikmaakt. WebTunnel is ook een soort bridge.
Tor Project lanceert WebTunnel voor omzeilen overheidscensuur – Security.NL
