Vóór digitale privacy? Wat ben je, een terrorist of pedofiel?

Weet je wie jij hiermee in de kaart speelt?”. Het is een van de meest voorkomende retorische trucs. “Heb je commentaar op een standbeeld? Weet je wie er ook commentaar hebben? Racisten. Wil je daar soms
bijhoren?”. “Heb je kritiek op vaccinatiedwang? De complotdenkers en antivaxers die met fakkels bij de minister langs gaan zijn dolblij met jou”. “En vind jij het belangrijk dat je privacy beschermd wordt? Weet
jij wie dat ook belangrijk vinden? Terroristen en pedofielen. Zij maken dankbaar gebruik van de versleuteling van privéberichten zoals die op WhatsApp en andere techplatforms plaatsvindt”.

Dat niemand je privéberichten kan zien is uiteraard behoorlijk belangrijk, gezien de digitale dataverzamelwoede, de lekkage en ongelukjes en de IT-bedrijven die graag met sleepnetten door onze
digitale huiskamer trekken. Deze vorm van privacy wordt nu bedreigd door nieuwe EU-wetgeving. De Europese Commissie bereidt een wet voor die techplatforms ertoe verplicht alle berichten voordat ze
versleuteld worden te surveilleren op verdachte content. Wanneer ze matchen met een ‘hitlist’ van beelden en woorden worden ze bij de politie gemeld. Uw telefoon wordt geprogrammeerd om die scans uit te voeren. Maar maakt u zich daar vooral geen zorgen over. Enige onschuldige bijvangst, een foto van een bloot kindje in een badje dat u naar uw moeder appt, betekent gewoon dat uw onschuldige
privébericht even wordt bekeken door een anonieme meneer of mevrouw. Heeft u verder geen last van. Het is voor de zekerheid. U wilt toch ook niet dat pedofielen hun vrije gang kunnen gaan? Dit stukje beleid heeft zoveel aspecten die exemplarisch zijn voor wat er mis gaat met hedendaags beleid. Gaan we echt de sleepnetsurveillance uitbesteden aan een algoritme? Is dat een zelflerend algoritme? Hebben we zicht op wat zo’n robot allemaal uit zichzelf als verdacht gaat bestempelen naarmate hij/zij/hen meer ervaring opdoet met speurwerk? We hebben algoritmes gezien die racistisch zijn, zich op nationaliteit, taal of postcode gaan concentreren en tegen wier verdachtmakingen je je als simpele burger nauwelijks kunt verweren. Wat zou daar nou mis mee kunnen gaan?

Ondertussen doet minister Dilan Yesilgöz-Zegerius (Justitie en Veiligheid, VVD) al het geklets over de bedreiging van de privacy af als nepnieuws. De versleuteling blijft in stand, belooft ze. Maar wanneer je de commentaren van ingewijden leest, valt het op hoe onnavolgbaar het Nederlandse standpunt in Europa op dit dossier is. Men houdt inderdaad vast aan de versleuteling van de berichten maar
verlegt het sleepnet gewoon naar het moment dat u de brief in de envelop stopt. Een cosmetisch onderscheid. U denkt: die Tweede Kamer zal het vast druk hebben, met parlementaire enquêtes en eindeloze crisisoverleggen. Maar nee, de Tweede Kamer had hier heel goed opgelet. Een motie van D66-Kamerlid Lisa van Ginneken waarin de minister werd opgeroepen om tegen een Europese verordening te stemmen waardoor zomaar ieders berichten zouden worden gemonitord, kreeg een ruime meerderheid. Afgelopen week kondigde de minister aan de motie naast zich neer te leggen. Een aangenomen parlementaire motie is kennelijk ook maar een mening.

https://www.nrc.nl/nieuws/2023/07/08/voor-digitale-privacy-wat-ben-je-een-terrorist-of-pedofiel-a4169229

De ‘cowboys’ van de Belastingdienst kregen opdracht bij opsporing ‘grenzen op te zoeken’

Het management van Belastingdienst wist al in 2014 dat ook onschuldige toeslagenouders tot fraudeur werden bestempeld. Het speciale fraudeopsporingsteam CAF kreeg bij de oprichting in 2013 nadrukkelijk
opdracht ‘de grenzen op te zoeken’ bij het opsporen van fraude. Al in 2014 was bij het management van de Belastingdienst bekend dat het CAF ‘veelvuldig’ de wettelijke grenzen opzocht. Ook was toen
bekend dat zeker 20 procent van de ouders van onderzochte gastouderbureau’s hierdoor ten onrechte beschuldigd zouden worden van fraude. Er werd met die informatie niets gedaan. Het zogeheten
CAF-team van de Belastingdienst kreeg bij zijn oprichting in 2013 zelfs nadrukkelijk de opdracht zo creatief mogelijk te werk te gaan bij de fraudeopsporing. Ze mochten daarbij methodes gebruiken waarvan ‘de juridische kaders nog niet helemaal zijn uitgekristalliseerd’. In het plan van aanpak staat hoever het CAF-team mocht gaan: ‘Als niet op voorhand duidelijk is dat iets niet mogelijk is binnen de
huidige regelgeving, doen we het.’ Onderzoeksbureau KPMG doet hiernaar onderzoek in opdracht van het ministerie van financiën. Het onderzoeksteam werd ingesteld nadat de politiek fraudebeleid tot
topprioriteit had benoemd vanwege de zogeheten Bulgarenfraude. Opvallend is dat al in 2014 binnen de Belastingdienst werd besproken dat bij de jacht op foute gastouderbureaus er rekening mee moest
worden gehouden dat 20 procent van de ouders te goeder trouw is. “Toch kunnen deze ouders door de aanpak van het CAF-team wel als fraudeur te boek komen te staan,” waarschuwde een manager. Er werd echter geen voorstel of actie ondernomen om deze ‘te goedertrouw’-ouders daadwerkelijk te beschermen tegen de onconventionele aanpak.

https://www.trouw.nl/politiek/de-cowboys-van-de-belastingdienst-kregen-opdracht-bij-opsporing-grenzen-op-te-zoeken~b79ee781/

https://www.privacynieuws.nl/binnenlands-nieuws/politiek-en-overheid/de-%E2%80%98cowboys%E2%80%99-van-de-belastingdienst-kregen-opdracht-bij-opsporing-%E2%80%98grenzen-op-te-zoeken%E2%80%99.html

UWV verzamelde illegaal data uitkeringsontvangers via cookies en ip-adressen

Het UWV heeft door gebruik te maken van cookies en ip-adressen

illegaal gegevens van uitkeringsontvangers verzameld, zo melden de NOS
en Nieuwsuur. De overheidsinstantie wilde zo achterhalen of mensen ten
onrechte een WW-uitkering ontvingen terwijl ze in het buitenland
verbleven. Voor het monitoren werden bij het bezoek van de
verschillende UWV-sites stiekem cookies geplaatst om gebruikers te
volgen. Die konden zo worden geïdentificeerd en gekoppeld aan hun
ip-adres. Ook werd bijgehouden hoe lang mensen ingelogd waren. De
verzamelde informatie werd vervolgens geanalyseerd via het
fraude-algoritme “Risicoscan Verblijf Buitenland”, waarmee het UWV
fraude met WW-uitkeringen wil opsporen. Het algoritme geeft mensen op
basis van een onbekend aantal kenmerken een risicoscore. Bij hoge
scores voerde het UWV verder onderzoek uit. Alle bezoekers van de
UWV-sites werden op deze manier door het UWV gevolgd, zo staat in een
advies van de landsadvocaat. Voor het op deze manier volgen van mensen
was echter geen enkele juridische basis. Het systeem werd begin dit
jaar daarom stilletjes stopgezet. Dat geldt ook voor honderden
onderzoeken die aan de hand van de gegeven risicoscores plaatsvonden,
ook als er aantoonbaar fraude had plaatsgevonden. Om fraudeurs niet
wijzer te maken wilde het UWV niet dat minister Van Gennip van Sociale
Zaken de Tweede Kamer informeerde over het stopzetten van het
algoritme. De Autoriteit Persoonsgegevens heeft het UWV inmiddels om
opheldering gevraagd.

https://www.security.nl/posting/803503

EU-voorstel laat inlichtingendiensten spyware tegen journalisten
inzetten

De Europese Raad heeft in een voorlopige versie van de European Media

Freedom Act voorgesteld dat inlichtingen- en veiligheidsdiensten
spyware op de telefoons van journalisten mogen installeren als dit
nodig is in het belang van de “nationale veiligheid”. Volgens
Europarlementariër Sophie in’t Veld is dit “een leugen”. D66 heeft
minister Hoekstra van Buitenlandse Zaken om opheldering gevraagd.
Vorig jaar september kwam de Europese Commissie met de Media Freedom
Act, die het gebruik van spyware tegen mediaorganisaties, journalisten
en hun gezinnen verbiedt, behalve als de nationale veiligheid in het
geding is of er onderzoek naar misdrijven wordt gedaan. Ook in het
voorstel van de Europese Raad is de uitzondering van “nationale
veiligheid” opgenomen. “Wat de raad doet is onacceptabel. Het is ook
onbegrijpelijk, althans, het is onbegrijpelijk als ze democratie
serieus zouden nemen”, aldus in’t Veld tegenover The Guardian. De
Nederlandse Europarlementariër deed eerder onderzoek naar het gebruik
van spyware door Europese overheden. Volgens de European Federation of
Journalists (EFJ) is het EU-voorstel een klap voor de mediavrijheid en
laat het journalisten nog meer risico lopen. De federatie stelt dat
“nationale veiligheid” vaker door EU-lidstaten is gebruikt om
onrechtmatige maatregelen tegen journalisten te nemen en dat het
EU-voorstel een “chilling effect” op klokkenluiders zal hebben. Naar
aanleiding van de berichtgeving door The Guardian heeft D66 nu
Kamervragen gesteld.

https://www.security.nl/posting/802330

Kabinet werkt aan totstandkoming van systeem voor online
leeftijdscontrole

Het demissionaire kabinet werkt aan de totstandkoming van online
systemen voor leeftijdscontrole. Dat moet volgens de regering
voorkomen dat kinderen zich kunnen aanmelden voor online platforms
waarvoor ze te jong zijn. “Handhaving van geldende leeftijdsgrenzen
blijkt in de praktijk moeilijk, doordat kinderen in veel gevallen een
hogere leeftijd kunnen opgeven dan dat ze daadwerkelijk hebben. Goede
systemen voor leeftijdsverificatie zijn dus van groot belang”, aldus
demissionair staatssecretaris Van Huffelen van Digitalisering. Volgens
Van Huffelen wordt met adequate leeftijdsverificatiesystemen voorkomen
dat kinderen in aanraking komen met voor hen schadelijke content, dat
hun persoonlijke gegevens worden verzameld en dat zij geprofileerd
worden. “Daarom werken wij aan de totstandkoming van goede
leeftijdsverificatiesystemen. Tegelijkertijd werken we aan versterking
van het toezicht.” Eerder dit jaar is er overleg geweest met experts
over online leeftijdsverificatiesystemen. Daaruit is naar voren
gekomen dat de ontwikkeling van dergelijke systemen het best aan de
markt kan worden overgelaten. Wel gaat de overheid eisen stellen,
onder andere op het gebied van privacyvriendelijkheid, veiligheid en
de mate waarin leeftijd met zekerheid kan worden vastgesteld.
Daarnaast wordt onderzocht of er een certificeringssysteem voor online
leeftijdsverificatie kan komen. De mogelijkheden om
leeftijdsverificatiesystemen te certificeren zouden eind dit jaar
duidelijk moeten zijn.
https://www.security.nl/posting/803430

Wetenschappers waarschuwen in brief voor gevaar van client-side
scanning

Tientallen wetenschappers en hoogleraren van vooraanstaande Britse
universiteiten die werken op het gebied van cryptografie en
it-veiligheid hebben in een open brief gewaarschuwd voor het gevaar
van client-side scanning en het ondermijnen van end-to-end encryptie
om de chatberichten van burgers te lezen, zoals de Britse regering via
een wetsvoorstel wil realiseren. “Het is onze zorg dat
surveillancetechnologieën worden uitgerold in de geest van het bieden
van online veiligheid. Dit wetsvoorstel ondermijnt privacygaranties,
en ook de veiligheid op internet”, aldus de wetenschappers. De kritiek
is gericht op de Online Safety Bill van de Britse regering die
chatdiensten kan verplichten tot het controleren van de berichten die
hun gebruikers verzenden. Het wetsvoorstel kwam eerder door experts en
burgerrechtenbewegingen onder vuur te liggen omdat die encryptie zou
ondermijnen en een bedreiging voor de vrijheid van meningsuiting zou
vormen. Vervolgens kwam de Britse regering met een aangepast
wetsvoorstel. Dat zou volgens de beleidsmakers end-to-end encryptie
niet verbieden. Ook op het aangepaste voorstel is inmiddels felle
kritiek. Het zou namelijk nog steeds end-to-end encryptie kunnen
ondermijnen en stelt nergens expliciet dat encryptie moet worden
beschermd. Na eerdere kritiek van WhatsApp en Signal kwam laatst ook
Apple met een waarschuwing tegen het voorstel. De briefschrijvers
stellen dat toegang tot chatberichten op twee manieren kan worden
verkregen. De eerste is onderweg, als het bericht wordt verstuurd.
Hiervoor zou de gebruikte encryptiemethode moeten worden gekraakt of
worden voorzien van een backdoor, zodat de autoriteiten kunnen
meekijken. Toegang die autoriteiten wordt geboden is echter ook voor
andere partijen beschikbaar. “Alle technologische oplossingen die
worden genoemd geven een derde partij toegang tot privégesprekken
onder voorwaarden die door deze derde partij worden bepaald”, stellen
de wetenschappers. De andere optie voor het controleren van de
chatberichten van burgers is client-side scanning. Hierbij wordt de
inhoud van het bericht voor het versturen geïnspecteerd. De
wetenschappers vergelijken dit met het continu aftappen van burgers
via een “politieagent in de broekzak”. Het probleem is dat deze
detectie nauwkeurig moet zijn om ongewenste content te detecteren en
geen content te detecteren die niet wordt gezocht, als er al een
duidelijke overeenkomst is van wat er moet worden gezocht.
Verschillende chatdiensten hebben aangegeven het Verenigd Koninkrijk
te zullen verlaten als het wetsvoorstel wordt aangenomen, waardoor
Britse burgers alleen nog van kwetsbare chatapps gebruik kunnen maken,
merken de wetenschappers verder op. “Vanuit onze kant is het lastig om
in te schatten hoe serieus die dreigementen zijn”, liet minister
Yesilgöz van Justitie en Veiligheid tijdens een overleg dat vorige
week plaatsvond weten. “De verklaringen van WhatsApp en Signal zullen
waarschijnlijk meer een poging tot beïnvloeding van de behandeling
zijn, van het parlementaire proces voordat de Online Safety Bill wordt
aangenomen, omdat dat nu echt onderwerp van gesprek is.”

https://www.security.nl/posting/802150; zie ook
https://www.security.nl/posting/802053 en
https://www.security.nl/posting/801848.

Een Digitale EU identiteit, nuttig of overbodig…?

Europees Parlement en EU-Raad bereikten afgelopen week een voorlopig

(!?) politiek akkoord over een Europese digitale identiteit (eID). De
Tweede Kamer debatteerde eerder heftig met staatsecretaris van
Huffelen, die – tegen de uitdrukkelijke wil van de Kamer in –
tóch ingestemde met het EU-voorstel. Iets dat de regering wel vaker
deed: zich niets aantrekken van de volksvertegenwoordiging. Ironie is
dat een eigen Europese app voor Apple en Google platformen, Europa
juist afhankelijk maakt van de Big Tech industrie. Zoals een
Clingendael artikel terecht concludeert: ‘We worden afhankelijk van
hun goedwillendheid wat betreft de controle over en de beschikbaarheid
van een essentiële component van onze democratische rechtsorde: het
vaststellen van identiteit, van burgerschap.’ De Eu rept met geen
woord over de nadelen. De overheid legt identiteit bij geboorte vast
en verifieert die op verzoek. Eigenlijk moet je de
verantwoordelijkheid voor een eigen digitale identiteit bij de burger
zelf leggen. Het mooie is dat dat technisch al mogelijk is. Op basis
van bestaande identificatiemogelijkheden – zoals ons paspoort –
een eigen digitale identiteit met attributen zoals rijbewijs, aanmaken
en beheren. Zonder enige bemoeienis van commerciële bedrijven of een
Europese overheid. Immers in een digitale wallet op je eigen mobiele
telefoon kan iedereen zijn identiteit al digitaal vastleggen, dit
formeel laten bevestigen en hiermee zich online verder te
identificeren. Wat is de meerwaarde dat de EU zich hiermee bemoeit? De
EU wil echter meer dan alleen de juridische identiteit zoals je BSN
ontsluiten, hetgeen DigID nu doet. Je kunt er veel meer attributen met
betrekking tot je identiteit in kwijt, van trouwboekje tot diploma en
van rijbewijs tot vaccinatiestatus. De Commissie zegt dat te doen om
de fundamentele rechten van de burger te (kunnen) beschermen. De
burger betere controle over zijn privacy te geven. Vraag is natuurlijk
of je een overheid toegang wilt verlenen tot zoveel persoonlijke
attributen, die nu decentraal rondom de burger en door die burger zijn
opgeslagen en toegankelijk zijn. Ook wel het gevaar van
over-identificatie genoemd: personen en instanties die je toegang
geeft tot de wallet kunnen mogelijk meer informatie zien, dan op dat
moment puur noodzakelijk. Het corona-paspoort maakte duidelijk dat
informatie over iemands gezondheid makkelijk als toegangscriterium kan
worden opgelegd. Een Europees eID heeft zeker dit gevaar in zich.
Vanuit ‘bescherming’ zou men kunnen controleren of iemands
financiële situatie gezond is, bij toegang tot een casino of de
aankoop van dure goederen. Tijdens de ‘coronacrisis’ hebben we
gezien dat in dergelijke situaties bestuurders makkelijk naar deze
maatregelen grijpen. Te makkelijk moeten we achteraf vaststellen.
Daarom is zo’n in potentie ‘niet te stoppen’ centraal beheerde,
digitale identiteit iets dat je niet zou moeten willen. Niet vanuit de
rechten en de vrijheid van de burger en ook niet vanuit de onze
grondrechten. De ironie is dat een eigen EU-app voor Apple en Google
platformen Europa juist afhankelijker maakt van deze Big Tech
industrie dan onafhankelijker. Zoals het Clingendael artikel terecht
concludeert: ‘We worden afhankelijk van hun goedwillendheid wat
betreft de controle over en de beschikbaarheid van een essentiële
component van onze democratische rechtsorde: het vaststellen van
identiteit, van burgerschap.’

https://www.dutchitchannel.nl/news/380483/een-digitale-eu-identiteit-nuttig-of-overbodig

Schneier: zelfrijdende auto’s zijn surveillancecamera’s op wielen

Zelfrijdende auto’s zijn surveillancecamera’s op wielen, zo stelt de

bekende beveiligingsexpert Bruce Schneier. Aanleiding is berichtgeving
van Bloomberg dat de Amerikaanse politie negen zoekbevelen bij
Google-zusterbedrijf Waymo indiende waarbij beelden van zelfrijdende
taxi’s werden opgevraagd. Waymo ontwikkelde technologie voor
zelfrijdende auto’s en biedt in verschillende Amerikaanse steden een
taxidienst met dergelijke voertuigen aan. De zelfrijdende auto’s
beschikken over tientallen camera’s met een 360 graden beeld van de
omgeving. Politiekorpsen in San Francisco en Maricopa County dienden
meerdere zoekbevelen in waarbij ze voor het onderzoek naar moorden,
overvallen en een poging tot ontvoering beelden van de autonome taxi’s
wilden hebben. Waymo laat tegenover TechCrunch weten dat het
beeldmateriaal alleen na een bevel of dagvaarding verstrekt. Bloomberg
merkt op dat zelfrijdende diensten zoals Waymo en Cruise nog niet
dezelfde marktpenetratie hebben als deurbelcamera Ring, maar de
hoeveelheid beeldmateriaal die tijdens de ritjes wordt gemaakt nieuwe
mogelijkheden voor politie biedt. In alle gevallen die Bloomberg
onderzocht ontving politie het gevraagde beeldmateriaal kort nadat het
bevel was ingediend.

https://www.security.nl/posting/801916

Links:

[1] https://www.security.nl/posting/802568