Franse overheid wil browsers via blocklist dwingen om websites te blokkeren

De Franse overheid wil de mogelijkheid hebben om browsers via een blocklist te dwingen om bepaalde websites voor gebruikers te blokkeren. Firefox-ontwikkelaar Mozilla slaat alarm en stelt dat dit voor zelfs de meest repressieve regimes ter wereld onontgonnen gebied is. Het wetsvoorstel om de “digitale ruimte te beveiligen en reguleren” zou browserleveranciers dwingen om websites te blokkeren die op een door de overheid verstrekte lijst staan. Ook zijn er geen verwijzingen of maatregelen opgenomen die misbruik van de implementatie moeten voorkomen. “De beslissing om websites direct binnen de browser te blokkeren zou desastreus voor het open internet zijn en disproportioneel voor het doel van het voorstel, namelijk het bestrijden van fraude”, zegt Mozillas Udbhav Tiwari. “Het schept ook een zorgwekkend precedent en creëert technische mogelijkheden die andere regimes voor veel meer malafide doeleinden zullen inzetten.” Volgens Tiwari is het zelfs voor de meest repressieve regimes ter wereld onontgonnen gebied om websites binnen de browser of het besturingssysteem te blokkeren, aangezien dergelijke regimes op dit moment de voorkeur geven aan een blokkade hoger in netwerk, bijvoorbeeld op niveau van de internetprovider. Tiwari vreest dat als het Franse wetsvoorstel wordt aangenomen dit het veel lastiger voor browserontwikkelaars maakt om soortgelijke verzoeken van andere overheden te weigeren.

Regering hield tijdens coronacrisis optie open om Telegram te verbieden

De regering heeft tijdens de coronacrisis de optie opengehouden om chatapp Telegram te verbieden. Ook werd er contact met de Verenigde Arabische Emiraten gezocht om content op het platform aan te pakken, zo meldt BNR op basis van documenten die het via een beroep op de Wet Open Overheid van het ministerie van Justitie en Veiligheid ontving. Begin 2022 werd in Duitsland gesproken over het blokkeren van Telegram. Volgens de Duitse autoriteiten maakten tegenstanders van de coronamaatregelen en rechtsextremisten gebruik van het platform om demonstraties en acties te organiseren. Binnen de Duitse overheid werd daarom gekeken naar wet- en regelgeving en een Europees uniform juridisch framework om Telegram aan banden te leggen. De Duitse minister van Binnenlandse Zaken vond dat Apple en Google Telegram uit hun appstores moesten verwijderen. Zorgen over Telegram speelden ook bij de Nederlandse regering. Het ging dan met name om gebruik van het platform door rechtsextremisten vermengd met coronademonstranten. De autoriteiten stellen in de openbaar gemaakte documenten dat het lastig is om content op Telegram aan te pakken, omdat het geen hoofdkantoor of aanspreekpunt in de EU heeft. Het hoofdkantoor staat in de Verenigde Arabische Emiraten. De regering zocht dan ook via de Nederlandse ambassadeur in Abu Dhabi de hulp van de Emiraten. Dat leverde echter niets op. Toenmalig minister Grapperhaus van Justitie hield eind 2021 ook de mogelijkheid van een verbod open. “Het is zeer wenselijk dat bedrijven die hun diensten aanbieden binnen de EU ook een zetel hebben in tenminste één van de EU-landen. Op den duur kan de minister ook niet uitsluiten dat bedrijven die hier niet aan voldoen geen toegang meer krijgen tot het web in de EU.” Een verbod van Telegram was voor minister Yesilgöz van Justitie en Veiligheid “in ieder geval op dit moment” een stap te ver, zo liet ze vorig jaar februari weten.

Voormalig AIVD-directeur Bertholee in adviesraad Autoriteit Persoonsgegevens

Oud-directeur van de AIVD Rob Bertholee is benoemd als lid van de adviesraad van de Autoriteit Persoonsgegevens (AP). Hij is door minister Weerwind voor Rechtsbescherming benoemd voor een periode van vier jaar en volgt daarmee Jeanine Peek op. Haar termijn eindigde eerder dit jaar. “Met de komst van Rob Bertholee wordt de kennis en ervaring op het gebied van rechtshandhaving en nationale veiligheid binnen de raad versterkt”, aldus de AP. Bertholee had een lange carrière in de krijgsmacht en was van 2011 tot en met 2018 hoofd van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Bij zijn afscheid liet Bertholee weten dat hij veiligheid belangrijker dan privacy vindt. “Ik snap dat de Nederlandse burger hecht aan zijn privacy. Daar hecht ik zelf ook aan. Volgens mij kun je daar ook niet omheen. De tegenstelling wordt heel vaak gemaakt tussen veiligheid en privacy. Je zou hem zo kunnen noemen, maar ik zou hem toch iets anders stellen. Uiteindelijk gaat het om het belang van de Nederlandse gemeenschap in zijn geheel versus het belang van de individuele burger en daar moet je afwegingen in maken”, aldus Bertholee destijds.

Kuipers: niet gelukt EU te overtuigen van opt-in voor delen medische data

De Tweede Kamer gaf minister Kuipers vorig jaar de opdracht om ervoor te zorgen dat gezondheidsgegevens van Nederlanders alleen via een opt-in binnen de Europese Unie mogen worden gedeeld, maar het is niet gelukt de andere lidstaten te overtuigen, zo laat de bewindsman weten. Wat de gevolgen hiervan zijn voor privacy, medisch beroepsgeheim en toegang tot de zorg en hoe hiermee moet worden omgegaan wordt nog onderzocht. De Europese Commissie kwam vorig jaar met het plan voor de invoering van de European Health Data Space (EHDS), een digitaal patiëntendossier dat in een gemeenschappelijk Europees formaat is opgesteld en in alle EU-lidstaten is te gebruiken. Daarnaast zorgt de EHDS ervoor dat gezondheidsgegevens van Europese burgers beschikbaar komen voor onderzoek, innovatie en beleidsvorming. Afgelopen september kwam PVV-Kamerlid Agema met een motie waarin de regering werd opgeroepen om een opt-in voor de EHDS te waarborgen. Medische gegevens van Nederlanders zouden alleen na een uitdrukkelijke toestemming mogen worden gedeeld. De motie werd met 104 stemmen voor en 46 stemmen tegen aangenomen. D66, PvdA, GroenLinks, Volt, BIJ1, Fractie Den Haan en Gündogan stemden tegen. “Zoals reeds aan uw Kamer is medegedeeld, is gebleken dat er bij andere lidstaten geen draagvlak is voor een volledige opt-in binnen de EHDS voor het grensoverschrijdend uitwisselen van elektronische gezondheidsgegevens”, zegt Kuipers nu.

Minister: zorgautoriteit mag zonder opt-in gegevens ggz-patiënten verzamelen

De Nederlandse Zorgautoriteit (NZa) mag zonder opt-in gegevens van ggz-patiënten verzamelen, zo stelt minister Helder voor Langdurige Zorg. De dataverzameling vindt sinds 1 juli plaats. De minister was door de SP en GroenLinks gevraagd of ze het nog verantwoord vindt om vanaf 1 juli met de verplichte aanlevering van ggz-gegevens te starten, aangezien het platform voor ggz-patiënten MIND zich wegens privacyzorgen teruggetrokken had uit het overleg over de aanlevering van de data. MIND heeft sindsdien herhaaldelijk gevraagd om ggz-patiënten en naasten zeggenschap over de gegevensdeling te geven. “Hier is tot nu toe geen gehoor aan gegeven”, aldus de belangenbehartiger. MIND stelt dat patiënten voldoende zeggenschap over hun eigen zorggegevens moeten hebben. “En dat de cliënt zelf kan beslissen of hij toestemming wil geven voor het gebruik van die gegevens door andere partijen. Om die beoordeling te kunnen maken, moet iemand beschikken over juiste, volledige en begrijpelijke informatie voorafgaand aan het behandeltraject.” De beslissing van de NZa om met terugwerkende kracht via een opt-out de HoNOS+-uitkomsten van alle ggz-patiënten op te vragen en te analyseren past hier volgens MIND niet bij.

Kabinet weigert aangenomen motie over client-side scanning uit te voeren

Het kabinet gaat een motie die door een meerderheid in de Tweede Kamer werd aangenomen en oproept tot het tegengaan van client-side scanning, waarbij alle chatberichten van burgers worden gecontroleerd, niet uitvoeren. Volgens minister Yesilgöz van Justitie en Veiligheid is de inbreuk op grondrechten die hierbij plaatsvindt proportioneel en gerechtvaardigd. Door de Tweede Kamer aangenomen moties hoeft het kabinet niet uit te voeren, maar dit is uitzonderlijk, aldus het kabinet zelf in een reactie over het niet uitvoeren van een motie over de Europese digitale identiteit. Vorig jaar mei kwam de Europese Commissie met een voorstel dat chatdiensten en andere techbedrijven verplicht om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming. Volgens critici wordt hiermee end-to-end encryptie en de vertrouwelijkheid van communicatie op het internet ondermijnd. In april van dit jaar kwam D66-Kamerlid Van Ginneken met een motie waarin het kabinet wordt opgeroepen om ervoor te zorgen dat het scanplan van de Europese Commissie geen “encryptiebedreigende chatcontrol” bevat, zoals client-side scanning, en anders de verordening van Brussel niet goed te keuren. Het kabinet gaat de motie echter niet uitvoeren. Minister Yesilgöz claimt dat dit negatieve gevolgen voor de aanpak van online kindermisbruik heeft en de onderhandelingspositie van Nederland in Brussel beperkt. Het kabinet is ook voorstander van het scanplan. De inbreuk die hierbij op de grondrechten van burgers wordt gemaakt is volgens Yesilgöz proportioneel en gerechtvaardigd. “Met het negeren van de motie negeert de minister de wens van de volksvertegenwoordiging in Nederland. Dat past niet in een democratische rechtsstaat. En nog minder in een klimaat waarin het vertrouwen van burgers in de overheid toch al onder druk staat”, laat Rejo Zenger van burgerrechtenbeweging Bits of Freedom via Twitter weten. “Daarom moet de Tweede Kamer nu snel een motie aannemen die het kabinet opdraagt in de Europese onderhandelingen nergens mee in te stemmen, zonder vooraf de Tweede Kamer gevraagd te hebben.”

Apple protesteert ook tegen Brits wetsvoorstel over scannen naar kinderporno

Apple verzet zich tegen een aankomende wet van de Britse regering. Die zou berichtendiensten verplichten om berichten te scannen op zoek naar content van kindermisbruik. WhatsApp en Signal protesteren al langer. Apple roept in een statement aan de BBC op om de wet aan te passen, die regelt dat berichtendiensten moeten scannen op materiaal van kindermisbruik. “End-to-endencryptie is een essentiële functie die de privacy van journalisten, mensenrechtenactivisten en diplomaten beschermt. Het helpt ook gewone burgers zichzelf te beschermen tegen toezicht, identiteitsdiefstal, fraude en datalekken. De Online Safety Bill vormt een ernstige bedreiging voor deze bescherming en zou Britse burgers nog meer in gevaar kunnen brengen. Apple dringt er bij de regering op aan om het wetsvoorstel zodanig aan te passen dat sterke end-to-endencryptie wordt beschermd ten behoeve van iedereen.”

UWV wil dat instanties eenvoudiger gegevens van burgers kunnen delen

Het UWV en de Sociale Verzekeringsbank (SVB) willen dat overheidsinstanties eenvoudiger gegevens van burgers met elkaar kunnen delen. Op dit moment mogen gegevens alleen worden gedeeld als daar een wettelijke grondslag voor is binnen de grenzen van de privacyregels. “Dat beschermt burgers tegen ongewenst gebruik van die gegevens”, aldus de SVB. De Verzekeringsbank stelt dat het ook van “groot belang” is dat gegevens eenvoudiger mogen worden gedeeld om “proactieve dienstverlening” mogelijk te maken. Nu is proactief gegevens delen nog lang niet altijd mogelijk omdat daarvoor vaak een wettelijke grondslag ontbreekt. De huidige grondslagen zijn namelijk beperkt tot alleen de uitvoering van regelingen. “Door meer gebruik te maken van bij de overheid beschikbare gegevens, hoeven burgers minder gegevens zelf aan te leveren”, aldus de SVB. “Binnen de sociale zekerheidsketen gebeurt al veel om informatiedeling mogelijk te maken om zo de burger een optimale dienstverlening te kunnen bieden. Er is echter nog meer nodig om gegevensdeling te verbeteren en het mogelijk te maken om burgers proactief en gericht te kunnen benaderen.” De Verzekeringsbank vraagt in een “knelpuntenbrief” om een bredere taakopdracht die dit mogelijk moet maken.

Iers wetsvoorstel: verbied kritiek op privacytoezichthouder!

Privacyactivist Max Schrems maakt zich grote zorgen over een Iers wetsvoorstel, dat kritiek op de Ierse privacytoezichthouder DPC en Big Tech zou verbieden. Het gaat om een nieuwe sectie die de Ierse regering aan de privacywetgeving wil toevoegen. Volgens Schrems zal het van de meeste berichten over procedures of beslissingen van de DPC een misdrijf maken. De privacyactivist merkt op dat de DPC en bigtechbedrijven zoals Meta en Google al jaren proberen om AVG-procedures die tegen hen zijn gestart onder het tapijt te vegen door die als vertrouwelijk te bestempelen. Het nieuwe wetsvoorstel verbiedt de publicatie van vertrouwelijke informatie en laat de DPC elke informatie het label vertrouwelijk geven. Op het toch delen van informatie staan boetes van duizenden euro’s. Schrems en zijn privacyorganisatie noyb liggen al jaren met de Ierse privacytoezichthouder overhoop. Zo werd de DPC al meerdere keren door noyb voor de rechter gesleept om ingezonden privacyklachten te beoordelen. “Je kunt een toezichthouder of bigtechbedrijven niet bekritiseren als je niet mag zeggen wat er in een procedure plaatsvindt. Door elk beetje informatie ‘vertrouwelijk’ te verklaren proberen ze publiek debat en berichtgeving te hinderen”, stelt Schrems. “In plaats van het reageren op legitieme kritiek, proberen ze het nu te criminaliseren. Het wetsvoorstel in Ierland maakt het strafbaar om informatie over een procedure te delen. Dit laat zien dat ze het publiek en verslaggevers meer dan iets anders vrezen De wet zou de DPC echter toestaan om selectief informatie te delen wanneer het dit wil. Het is verbijsterend dat dit in een Europees land zou kunnen gebeuren”, gaat de privacyactivist verder. “Als anderen niet meer over hen mogen praten, blijft er alleen nog een ‘overheidswaarheid’ over. Dit is zeer problematisch in een democratische samenleving.”

Van Huffelen tegen identificatieplicht voor social media: “anonimiteit groot goed”

Staatssecretaris Van Huffelen van Digitalisering is tegen een identificatieplicht voor accounts op social media. “Anonimiteit op het internet is een groot goed”, zo laat ze weten. D66 had de staatssecretaris gevraagd of ze zich in Brussel wilde inspannen voor een identificatieplicht zodat personen die opruiende berichten op social media plaatsen zijn te achterhalen. “Hoewel het doel begrijpelijk is en dit door mij wordt onderschreven lijkt dit niet direct een goed idee. Er zijn op dit moment al diverse mogelijkheden om personen die strafbare feiten plegen, zoals online opruiing, te herleiden”, reageert Van Huffelen. Ze voegt toe dat het belangrijk is dat online platformen niet meer gegevens verzamelen en verwerken dan strikt noodzakelijk is. Daarnaast is er volgens de staatssecretaris niet direct iets mis met online anonimiteit, zo laat ze verder weten. “Anonimiteit op het internet is een groot goed: dit behoort tot het recht op zelfbeschikking en privacy. Voorbeelden die dit onderstrepen zijn autoritaire regimes die uitingen van dissidenten monitoren en hen vervolgens opsporen en vastzetten.”

Gemeenten wisten dat het niet mocht, maar gingen toch jarenlang te ver met onderzoek naar extremisme (op kosten van de NCTV)

De gemeenten Zoetermeer, Delft en Gouda wisten dat er geen wettelijke basis voor hun onderzoek naar extremisme was, maar zijn er toch jaren mee doorgegaan. Tussen 2017 en 2021 werd een grote hoeveelheid informatie verzameld over verschillende bewoners, met het risico dat zij onterecht bestempeld konden worden als ‘geradicaliseerde burger’ of ‘terrorist’. Adviesbureau Considerati concludeerde al in 2019 dat er een risico was dat mensen die niets te maken hebben met radicalisering, toch onterecht dit stempel zouden kunnen krijgen. Ook zou het onzorgvuldig omgaan met de gevonden informatie kunnen leiden tot discriminatie, blijkt uit de documenten. Als de gemeenten hiermee door wilden, moest de wet worden aangepast of moest de samenwerking tussen de gemeenten en de politie anders worden vormgegeven. Maar, de gemeente Zoetermeer was onderhand al twee jaar bezig met onderzoek naar radicalisering en extremisme. Delft en Gouda haakten een jaar later – in 2018 – aan bij de samenwerking. De gemeenten gingen, nadat het advies was uitgebracht, vervolgens tot 2021 door met onderzoeken, terwijl zij wisten van de risico’s en dus ook wisten dat het niet zomaar mocht. En dat onderzoek naar extremisme ging best ver, blijkt uit mailcontact binnen de gemeente Zoetermeer over een vrouwennetwerk dat werd onderzocht door de werkzame informatieanalist. ‘Iedereen zit onder een kunya of alias, en persoonlijke gegevens heb ik soms van die personen, maar er moet samengewerkt worden met andere gemeentes om te achterhalen wie deze personen zijn en of ze überhaupt bekend zijn.’ De data die werd opgezocht gaat bijvoorbeeld over informatie als namen van bewoners, met wie zij omgaan, in welke gemeenschap zij zich bevinden, waar zij wonen, de nationaliteit, wie de kinderen zijn en zaken als naar welke gebedshuizen of andere bijeenkomsten zij gaan. Al die informatie werd bij elkaar gezocht om mogelijk radicaliserende netwerken online in kaart te brengen. Soms werd ook samengewerkt met de politie. Dat deze informatiewinning voor problemen kan zorgen, blijkt uit voorbeelden die de afgelopen maanden onder de aandacht kwamen. Zo kwamen Follow The Money, Argos en De Volkskrant allemaal met voorbeelden waarbij onzorgvuldig handelen met persoonsgegevens voor problemen zorgt, zeker wanneer het gaat om radicalisering. Bewoners op reis werden tegengehouden, vastgezet in het buitenland en teruggestuurd omdat ze een gevaar zouden zijn voor de samenleving. Mogelijk was ergens het label ‘terrorist’ of ‘mogelijk geradicaliseerd’ op hen geplakt en het was onduidelijk waar ze vervolgens moesten aankloppen om die misvatting recht te zetten. Willem Bantema, lector Bestuur in een Digitale Samenleving aan NHL Stenden Hogeschool en de Thorbecke Academie, keek mee met de stukken die Omroep West kreeg uit een Woo-verzoek. Hij bevestigt dat er meerdere privacy risico’s naar voren komen en ziet dat de motivering om toch door te gaan is weggelakt. De stukken roepen volgens de lector veel vragen op. ‘Het is laakbaar dat de gemeenten niet transparant zijn over de werkwijze en er geen verantwoording over wordt afgelegd richting haar inwoners en de maatschappij.’ Zoetermeer begon zelf met experimenteren in 2017. Op kosten van de NCTV begon de gemeente met openbronnenonderzoek naar radicalisering. Ze verzamelden daarbij niet alleen informatie uit eigen stad, er werd ook informatie bij elkaar gezocht uit andere gemeenten. Op die manier wilden zij inschatten of mensen of netwerken radicaliseren, maar dat deden ze dus zonder dat ze wisten of dit ook echt mocht. Eén nieuwe informatieanalist was vervolgens vanaf 2018 tot 2021 ook in dienst bij Gouda, Delft en Zoetermeer, nadat de gemeenten opnieuw geld aanvroegen voor openbronnenonderzoek. Deze functie werd ook bekostigd door de NCTV, de gemeenten maakten vervolgens ook gebruik van een werkwijze en een convenant die door de NCTV was ontwikkeld. Een eigen werkwijze ontbrak.

Inlichtingendiensten VS kopen op grote schaal data over burgers

Een voormalig geheim rapport bevestigt dat Amerikaanse inlichtingendiensten grote hoeveelheden commerciële data aankopen om het leven van burgers in kaart te brengen. Die data is in theorie anoniem, maar in praktijk nauwelijks. Dat staat te lezen in een rapport van The Office of the Director of National Intelligence, kortweg ODNI. Het rapport dateert van januari 2022 en was geheim, maar wordt nu vrijgegeven op vraag van Amerikaans senator Ron Wyden, die wel vaker privacygerelateerde kwesties aankaart. In dat rapport bevestigt de dienst dat verschillende inlichtingen- en spionagediensten in de VS commercieel beschikbare informatie aankopen van Amerikaanse burgers. Het gaat dan onder meer om gegevens van geconnecteerde voertuigen, van smartphones of surfgedrag, meldt Techcrunch. Het volledige rapport, met sommige delen nog gecensureerd, is hier beschikbaar. Welke agentschappen precies data aankopen is evenmin duidelijk. In theorie gaat het ook telkens om geanonimiseerde data. Maar meerdere studies hebben de afgelopen jaren aangetoond dat dat vaak een relatief begrip is. Locatiedata van een telefoon zonder iemands naam lijkt anoniem. Maar als dat toestel 5 dagen per week overdag in een kantoorgebouw en ‘s avonds thuis zit, dan is het niet al te complex om daar een naam op te plakken en vervolgens te weten waar die persoon nog naartoe gaat. In het verlengde daarvan toonden onderzoekers deze week nog hoe de heatmap functie van Strava het vrij makkelijk maakt om iemands huisadres te achterhalen.