Waar TikTok toch al regelmatig onder vuur ligt vanwege het privacybeleid, is nu bekend gemaakt dat TikTok-medewerkers buiten Europa vanaf 2 december as. toegang krijgen tot data van Nederlandse (en andere Europese) gebruikers. Data van Nederlandse TikTokkers, opgeslagen op servers in de VS en in Singapore, is straks toegankelijk voor TikTok-personeel in – hou je vast – Brazilië, Canada, China, Israel, Japan, Maleisië, Filipijnen, Singapore, Zuid-Korea en de VS. Die medewerkers moeten bij de data kunnen om te zorgen dat u en ik een ‘een “consistente, plezierige en veilige ervaring’ hebben. TikTok gaat verder locatiegegevens verzamelen op basis van simkaart, ip-adres en gps-data. In de VS is al opgeroepen om TikTok te verbieden vanwege ‘ernstige dreiging voor de nationale veiligheid’.
privacy
EU voert nieuwe wet in om macht van techbedrijven te beteugelen
Per 1 november geldt in de Europese Unie de Digital Markets Act (DMA). Deze wet moet de macht van grote technologiebedrijven gaan inperken maar ook de privacy van gebruikers beter beschermen. Een van de onderdelen van de DMA is dat bedrijven hun chatdiensten moeten openstellen zodat gebruikers van verschillende diensten met elkaar kunnen praten. Oftewel: WhatsApp-gebruikers moeten met Signal-gebruikers kunnen chatten. En andersom natuurlijk. Ook DMA: wie een telefoon koopt, moet apps kunnen verwijderen die daar vooraf op zijn geïnstalleerd. De EC maakt uiterlijk over een jaar bekend welke bedrijven onder de DMA vallen.
Aantal cyberaanvallen op gemeenten verdubbeld
In 2021 is het aantal cyberaanvallen op Nederlandse gemeenten verdubbeld, van 150 naar 300. Er werden verder twee keer zo veel risicovolle, zwakke plekken in de software van gemeenten opgespoord, blijkt uit het (tweejaarlijkse) Dreigingsbeeld van de Informatiebeveiligingsdienst (IBD) van de VNG. De IBD ziet drie opvallende soorten dreigingen: er is meer ransomware, met destructievere gevolgen; er zijn steeds meer en ernstiger kwetsbaarheden in software; en als gemeenten samenwerken met externe partijen is er niet altijd genoeg aandacht voor informatiebeveiliging en privacy. Anders gezegd: het aantal incidenten neemt toe, het wordt steeds complexer om ze het hoofd te bieden en de impact is steeds ernstiger. Zo aarzelen criminelen steeds minder om privacygevoelige gegevens online te publiceren. En dat in een tijd waarin steeds meer taken krijgen, steeds meer data in beheer hebben en het beveiligen van al die systemen steeds duurder wordt en gekwalificeerd personeel steeds lastiger te vinden is.
Overheden verzamelen tweets zonder gebruikers te informeren
Ministeries, de Belastingdienst, de NVWA – allemaal verzamelen ze op grote schaal tweets over hun beleid. Dat doen ze zonder twittergebruikers daarover te informeren. En die toestemming is wel nodig om die tweets te analyseren, schrijft Trouw op basis van eigen onderzoek. Volgens de krant maken de overheidsinstanties gebruik van verschillende tools voor sentimentanalyse. Ook al zijn de tweets openbaar, de gebruikers hebben de overheid geen toestemming gegeven de tweets te verwerken. Volgens adviseur Floor Terra van Privacy Company is er sprake van een nieuw doel en ‘dan moet je opnieuw toestemming vragen van gebruikers’. Het gaat immers over de verwerking van persoonsgegevens en die mogen volgens de privacywet (de AVG) niet verwerkt worden zonder betrokkenen te informeren. De tweets bevatten ook ip-adressen en biografische gegevens van twitterprofielen. Hoogleraar ICT en privaatrecht Frederik Zuiderveen Borgesius spreekt daarom van een ‘wijdverbreid misverstand’ dat de AVG niet van toepassing zou zijn op openbare informatie’.
Automobilisten maken al rijdend foto’s van dodelijk ongeluk
De politie, die van Breda deze keer, heeft zich weer eens druk gemaakt over automobilisten die foto’s en filmpjes maakten van een verkeersongeluk. Bij dat ongeluk kwam een motorrijder om het leven. Op facebook schrijft de politie te zijn getipt dat diverse mensen foto’s en filmpjes van de aanrijding en de hulpverlening maakten en online deelden. ‘Dit filmen is niet leuk en niet slim’, aldus het bericht op facebook. ‘Bedenk je even hoe jij dat zou vinden wanneer het een familielid of vriend van jou betreft’. Het plaatsen van de beelden is op zich al een stap te ver, schrijft de agent-van-dienst. ‘Je mobiele telefoon tevoorschijn halen om een incident of ongeluk te filmen is niet stoer, niet leuk, niet interessant en niet slim’. Volgens de posting kunnen automobilisten die al rijdend foto’s maakten ‘post verwachten’ van het CJIB.
Privacytoezichthouder bezorgd over cybercrimeverdrag Verenigde Naties
Naast het bekende Cybercrimeverdrag van de Raad van Europa (Boedapest, 2001) werkt ook de Verenigde Naties aan zo’n verdrag. Het ontwerp daarvoor kan echter rekenen op forse kritiek. Zo waarschuwde persvrijheidsorganisatie CPJ januari jl. al voor té vergaande aantasting van rechten van journalisten en is er deze week nieuwe kritiek van de European Data Protection Supervisor (EDPS). Ook die meent dat het verdrag de bescherming van fundamentele rechten van personen kan aantasten. De EU moet daarom niet deelnemen, tenzij enkele fundamentele rechten alsnog worden geborgd. In het UN-cybercrimeverdrag gaat het vooral over juridische samenwerking bij de bestrijding van cybercrime, zoals het uitwisselen van persoonsgegevens. Dat mag niet onbeperkt, bepleit de EDPS. ‘Het uitwisselen van persoonlijke data tussen EU-lidstaten en niet-EU-landen om cybercrime te bestrijden komt met een grote verantwoordelijkheid’, aldus EDPS-voorzitter Wojciech Wiewiorowski. Hij wil garanties dat de bescherming van persoonlijke data van EU-burgers in niet-EU-landen niet wordt ondermijnd. Samenwerking tussen landen moet worden beperkt tot de misdrijven die in het verdrag vermeld staan. Toegang tot en uitwisseling van persoonlijke data moet daarnaast zorgvuldig worden gemonitord, wil Wiewiorowski.
In 2021 vijfentwintigduizend meldingen van datalekken
Bij de Autoriteit Persoonsgegevens (AP) is in 2021 circa 25 duizend keer melding van datalekken gedaan. Volgens het jaarverslag 2021 waren er ook nog 19 duizend klachten van mensen over organisaties die hun privacy schenden. In 2020 ontving de AP nog zo’n 24.000 datalekmeldingen. Al die meldingen waren volgens de AP ‘meer impactvol’. De organisatie schrijft daarom ‘niet voldoende uitgerust’ te zijn om effectief als toezichthouder te kunnen optreden. Slechts bij enkele honderden datalekmeldingen kon actie worden ondernomen. De AP legde in 2021 verder elf boetes op, meer dan ooit, voor het overtreden van de AVG. Onder meer de Belastingdienst, TikTok, UWV, Booking.com en de gemeente Enschede kregen een boete.
Cyberwegenkaart informeert gemeenten over online monitoren van burgers
Een nieuwe ‘Cyberwegenkaart‘ van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) beschrijft de mogelijkheden voor gemeenten over het online monitoren van burgers en bij online aangejaagde ordeverstoringen. Gemeenten moeten zicht hebben op online activiteiten, aldus de kaart. Online monitoren van burgers dus. Maar dat gaat niet altijd volgens de regels, bleek al eerder uit onderzoek. Volgens het CCV is monitoring op internet lastiger dan in het fysieke domein ‘omdat er bij het volgen van personen op sociale media volgens de AVG-normen een inbreuk op de persoonlijke levenssfeer kan optreden’. Inwoners moeten daarom duidelijk geïnformeerd worden, niet alleen over de manier waarop monitoring plaatsvindt maar ook over de opslag van gevonden gegevens. ‘Neem privacy en ethiek vanaf het begin mee en betrek inwoners en de gemeenteraad bij het vaststellen van ethische dilemma’s, doelen en werkwijze’, adviseert de nieuwe kaart die ook enkele handelingsperspectieven beschrijft. Eerdere Cyberwegenkaarten gingen over de eigen digitale systemen van de gemeente, over cyberincidenten en cybercrisis (voorbereid zijn) en over cybercrime en gedigitaliseerde criminaliteit (weerbaar maken van bewoners en ondernemers).
“EU-voorstel voor aanpak kindermisbruik leidt tot massasurveillance”
De Europese Commissie wil dat alle providers van chat- of berichtendiensten verplicht worden om misbruikmateriaal te detecteren, te rapporteren en te verwijderen. Het voorstel stuit op veel kritiek van burgerrechtenbewegingen. De providers zouden daarvoor gedwongen zijn élk privébericht te controleren. En dat schept een gevaarlijk precedent voor massasurveillance van privécommunicatie, vinden de (35) burgerrechtenbewegingen. Ze uiten hun zorgen in een open brief aan de Commissie. Daarin staat dat alleen gerichte interventies moeten worden toegestaan, ‘verankerd in de wet en met gerechtelijk toezicht’ en dat de maatregelen ‘een zo’n klein mogelijke impact als mogelijk op de privacy’ moeten hebben.
Strengere regels nodig voor opsporing via openbare bronnen door AIVD
Volgens de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (Ctivd) moeten er betere regels komen voor opsporing via openbare bronnen. AIVD/MIVD hebben niet genoeg goede waarborgen om ‘automated osint-onderzoek’ wettelijk goed te kunnen uitvoeren. De huidige methodes brengen ‘ernstigere privacy-inbreuk met zich mee dan is voorzien’. Volgens de commissie moet in de wet worden opgenomen wanneer osint-onderzoek mag worden gedaan en met welke waarborgen dat moet gebeuren. Er zou vooral voorafgaand aan het onderzoek moeten worden getoetst welke tools worden gebruikt en welke achterliggende openbare bronnen worden onderzocht. Het gaat overigens om geautomatiseerd onderzoek en niet om gespecialiseerd onderzoek waarbij AIVD’ers handmatig met openbarebronnenonderzoek naar verdachte personen kijken.
Veroordeling oplichter mag online, foto niet
Een opvallend arrest van de Hoge Raad, net voor het eind van 2021: de veroordeling van een oplichter mag online blijven staan maar diens foto moet weg. In de zaak gaat het over een man die tot zes jaar is veroordeeld voor grootschalige oplichting, verduistering, diefstal en valsheid in geschrift. De verdachte ging, volgens het vonnis van het hof, daarbij ‘meedogenloos te werk’ en liet ‘een spoor van schade en verdriet’ achter, ondanks herhaaldelijke veroordelingen voor soortgelijke feiten. Het hof wijst op de ‘uitzonderlijke en aangrijpende ernst van de feiten’ en het ‘volstrekt onverbeterlijke gedrag’ van de verdachte. Het hof zag daarin aanleiding de uitspraak openbaar te maken met daarbij ‘een afbeelding van het aangezicht van de verdachte’. Diens advocaat vroeg de Hoge Raad daarop de publicatie van de foto te vernietigen. De raad bepaalt nu dat de rechter weliswaar mag bepalen hoe zijn uitspraak openbaar wordt gemaakt, maar ook dat de rechter niet de bevoegdheid heeft om andere gegevens van de verdachte in die uitspraak op te nemen dan wat wettelijk moet worden vermeld. ‘Een foto van de verdachte behoort niet tot de gegevens die volgens de wet in een uitspraak worden opgenomen’, aldus de Hoge Raad. De uitspraak zelf blijft online staan .
Nieuwe datakoppelwet: privacy-inbreuk of essentieel voor fraudebestrijding?
Is de nieuwe ‘datakoppelwet’ echt belangrijk voor de opsporing van fraude of is het een ‘zorgelijke inbreuk’ op de privacy? Waar banken en overheid vooral het eerste zien, is er vanuit privacyorganisaties veel kritiek. Die wijzen op een mogelijke herhaling van de toeslagenaffaire en vrezen dat burgers zonder aanleiding op zwarte lijsten komen te staan. De Autoriteit Persoonsgegevens heeft de Eerste Kamer geadviseerd de wet niet aan te nemen. De nieuwe Wet gegevensverwerking samenwerkingsverbanden (WGS) moet de juridische basis leggen voor alle uitwisseling van persoonsgegevens. Nu moet nog iedere keer dat informatie over bijvoorbeeld fraude of criminaliteit wordt uitgewisseld, een aparte afspraak gemaakt worden. Met de WGS kan de overheid bij ‘zwaarwegende algemene belangen’ datakoppelingen mogelijk maken met een AMvB. Opsporingsinstanties zijn, niet verrassend, voorstander. ‘Geen enkele organisatie kan dit alleen. Daarom werken we samen’, aldus een woordvoerder van de Financial Intelligence Unit die er op wijst dat ‘juist nu criminelen steeds slimmer worden, data uit meerdere bronnen moeten worden gecombineerd’. Het OM noemt de WGS zelfs ‘essentieel’ in de strijd tegen fraude en georganiseerde criminaliteit – de politie zou bijvoorbeeld geen vordering meer nodig hebben om informatie van banken te krijgen. De WGS is door de Tweede Kamer al aangenomen.
ProtonMail wint rechtszaak over bewaarplicht voor e-mailproviders
Over privacy gesproken: E-mailproviders in Zwitserland, zoals ProtonMail, zijn géén telecomproviders en hoeven dus ook niet te voldoen aan bewaarplichtregels voor telecomproviders. Een rechtbank in Zwitserland vonniste onlangs in een zaak die ProtonMail tegen de overheid had aangespannen. Ook chatdiensten zijn geen telecomproviders, oordeelde het Hooggerechtshof in Zwitserland eerderp dit jaar. Volgens ProtonMail zijn beide uitspraken ‘een overwinning voor de privacy in Zwitserland’: veel Zwitserse bedrijven zijn nu uitgezonderd van het overhandigen van bepaalde gebruikersinformatie aan politie en justitie. ProtonMail, dat ooit bewust koos voor Zwitserland als thuisbasis, stelt verder dat het bedrijf ‘zich blijft aanpassen om ervoor te zorgen dat de jurisdictie waar we gevestigd zijn de best mogelijke privacybescherming biedt’.
Fraudehelpdesk mag geen gegevens over mogelijke fraudeurs verwerken
Het verzoek van de Fraudehelpdesk om gegevens van mogelijke oplichters te verwerken, is wederom afgewezen. De Autoriteit Persoonsgegevens (AP) geeft geen vergunning. De Fraudehelpdesk legde jarenlang vormen van online fraude vast en bouwde een bestand met phishingmails die door internetgebruikers werden doorgestuurd. Ook werden spooknota’s en nepfacturen opgeslagen en werd informatie met de politie gedeeld. Daar maakte de AP in 2019 bezwaar tegen: de Algemene verordening gegevensbescherming (AVG) zou overtreden worden. Een vergunningaanvraag werd geweigerd waarna de Fraudehelpdesk stopte met het vastleggen van informatie. Een nieuwe vergunningsaanvraag is dus ook afgewezen. Volgens de AP is de Fraudehelpdesk geen opsporingsinstantie en zijn de strafrechtelijke gegevens dus ook niet nodig. Bovendien hebben mensen in de systemen van de Fraudehelpdesk ‘niet dezelfde rechten als verdachten bij de politie’ en ‘kunnen mensen onterecht als fraudeur bestempeld worden’. Opsporing is een taak van de politie, benadrukt de AP. En als de politie capaciteitsproblemen heeft, ‘mag de oplossing niet zijn dat we politietaken overhevelen naar een stichting waar de belangrijke waarborgen voor burgers ontbreken’.
Brief aan Rutte brengt Rosalinde (14) in problemen
Door een blunder van (ambtenaren van) demissionair premier Mark Rutte weet heel Nederland waar Rosalinde Leijdekker (14) woont. Het meisje schreef medio augustus een brief aan Rutte om nu eens eindelijk ernst te maken met het klimaatprobleem. De brief belandde, als een openbaar Kamerstukken op de website van de Tweede Kamer. De hele brief, dus inclusief het privéadres van Rosaline. Het meisje werd daarna overspoeld met haatberichten. Die kreeg ze nog voordat ze door Rutte’s ambtenaren was geïnformeerd. Op een verzoek van de familie om het adres weg te lakken, kwam aanvankelijk geen reactie. Wel het advies om de politie in te schakelen, aldus vader Leijdekker. Enkele dagen later werd de brief alsnog geanonimiseerd, maar bleek het adres via Google nog gewoon te achterhalen. Een woordvoerder van Rutte zegt de zaak ‘achteraf te betreuren’.
Cops in cyberspace 