Nieuwsbrief week 45

Corry
10 november 2022


AP: wetsvoorstel opent deur naar ongekende massasurveillance door banken

Met het  wetsvoorstel ‘Plan van aanpak witwassen’ , dat minister Kaag van Financiën eind oktober naar de   Tweede Kamer stuurde, worden alle banktransacties van alle Nederlanders in één gecentraliseerde database gemonitord met behulp van algoritmes.

De Autoriteit Persoonsgegevens  waarschuwde   onlangs dat het voorstel tot   ongekende massasurveillance   kan leiden. Privacystichting Privacy First noemt het een 'bancair sleepnet'   en de Raad van State sprak eerder van een  ' vergaande inbreuk op de grondrechten   van burgers'.

Het conceptwetsvoorstel waarmee het kabinet witwassen wil aanpakken opent in zijn huidige vorm de deur naar een ongekende massasurveillance van Nederlanders, zo concludeert de AP. Het conceptwetsvoorstel ‘Plan van aanpak witwassen’ zorgt ervoor dat alle banktransacties van alle Nederlandse rekeninghouders in één gecentraliseerde database worden gemonitord met het behulp van algoritmes.

Banken zijn nu al wettelijk verplicht om individuele controles uit te voeren naar mensen of bedrijven die mogelijk geld witwassen of terrorisme financieren. Ongebruikelijke transacties moeten ze melden bij de autoriteiten. Deze onderzoeken door banken zijn voor veel mensen erg ingrijpend en ingewikkeld, aldus de AP. Ook kunnen ze ervoor zorgen dat mensen zich als crimineel weggezet voelen.

De AP waarschuwt dat het voorstel banken bevoegdheden geeft die nog verder gaan. Op basis van het voorstel kunnen banken voor het eerst het betaalgedrag van alle Nederlanders op één gezamenlijke plek verzamelen en monitoren. Dit systeem kan er ook toe leiden dat mensen geheel ten onrechte toegang verliezen tot hun bankrekening, aldus de AP.

Banken zullen de monitoring straks uitbesteden aan een derde partij die hierbij gebruikmaakt van algoritmes. Bovendien moeten banken met elkaar klantgegevens gaan uitwisselen. "De risico’s die dit systeem met zich meebrengt, staan in geen verhouding tot het doel van het wetsvoorstel", zo oordeelt de toezichthouder. Zo dreigen er bijvoorbeeld situaties waarin mensen die door één bank ten onrechte als een risico worden aangewezen, bij alle andere banken in Nederland ook een kruisje achter hun naam krijgen. Voor zulke mensen kan het praktisch onmogelijk worden om nog ergens een bankrekening te kiezen.


Qatar spyware: Noorse omroep NRK meldt serieus privacy-issue

Iedereen die tijdens het wereldkampioenschap voetbal naar Qatar reist, wordt gevraagd twee apps te downloaden: Ehteraz en Hayya. Dit meldt de Noorse omroep  NRK .

Ehteraz is een covid-19 tracking-app, terwijl Hayya een officiële WK-app is die wordt gebruikt om wedstrijdtickets bij te houden en toegang te krijgen tot de gratis metro in Qatar.

Ehteraz vraagt toegang tot verschillende rechten op je mobiel. Zoals toegang om alle inhoud op de telefoon te lezen, te verwijderen of te wijzigen, maar ook toegang om verbinding te maken met WiFi en Bluetooth, andere apps te overrulen en te voorkomen dat de telefoon in slaapstand gaat. Daarnaast krijgt de Ehteraz-app ook een aantal andere toegangen zoals een overzicht van je exacte locatie, de mogelijkheid om rechtstreeks te bellen via je telefoon en de mogelijkheid om je schermvergrendeling uit te schakelen. 

De Hayya-app vraagt minder, maar heeft ook een aantal kritische aspecten. De app vraagt onder andere toegang tot het delen van je persoonlijke informatie met bijna geen beperkingen. Daarnaast biedt de Hayya-app toegang om de exacte locatie van de telefoon te bepalen, te voorkomen dat het toestel in slaapstand gaat en de netwerkverbindingen van de telefoon te bekijken.


Raad van State kritisch over kabinetsvoorstel voor hergebruik persoonsgegevens

Na de Autoriteit Persoonsgegevens is ook de Raad van State (RvS) kritisch over een wetsvoorstel van het kabinet voor het hergebruik van overheidsinformatie, waaronder persoonsgegevens. De  RvS adviseert  het kabinet het wetsvoorstel niet in te dienen bij de Tweede Kamer, tenzij het wordt aangepast. Eerder  adviseerde ook de AP  een grondige aanpassing.

Met de Wet implementatie Open data richtlijn moedigt het kabinet overheidsinstellingen aan om overheidsdata, inclusief persoonsgegevens, beschikbaar te stellen voor hergebruik, zodat die ook voor andere toepassingen zijn te gebruiken. Zo moeten overheidsdata beschikbaar komen voor bijvoorbeeld onderzoek, maar ook voor commercieel gebruik. Die data moeten volgens het voorstel ook doorzoekbaar zijn met software en te combineren zijn met andere data.

Het wetsvoorstel verplicht om gegevens uit wetenschappelijk onderzoek openbaar te maken en beschikbaar te maken voor hergebruik. "Deze verplichting gaat veel verder dan de Europese richtlijn: die gaat ervan uit dat onderzoekers zelf bepalen welke gegevens ze openbaar maken", aldus de RvS. Het adviesorgaan noemt de verplichting een inbreuk op het grondrecht van (intellectuele) eigendom.


EDPS opinie over AI-systemen

De EDPS heeft op 13 oktober " Opinion 20/2022  on the Recommendation for a Council Decision authorising the opening of negotiations on behalf of the European Union for a Council of Europe convention on artificial intelligence, human rights, democracy and the rule of law" gepubliceerd.

De EDPS benadrukt dat AI-systemen onaanvaardbare risico's met zich meebrengen en verboden moeten worden, met name: social scoring, biometrische identificatie in openbare ruimten, categorisering van personen op basis van biometrische gegevens, en categorisering van personen op basis van hun waargenomen emoties.

"Het verdrag is een gelegenheid om het eerste juridisch bindende internationale instrument inzake kunstmatige intelligentie te ontwikkelen overeenkomstig de EU-normen en -waarden inzake mensenrechten, democratie en de rechtsstaat. Daartoe moet het verdrag passende, sterke en duidelijke waarborgen bevatten ter bescherming van personen die door het gebruik van AI-systemen kunnen worden getroffen", aldus EDPS-voorzitter Wojciech Wiewiórowski.

In de Opinie wordt ook geadviseerd in het verdrag rekening te houden met het bestaande rechtskader van de EU inzake gegevensbescherming en het  voorstel van de Europese Commissie  inzake kunstmatige intelligentie ( Artificial Intelligence Act ) aan te vullen.


Steeds meer websites hebben optie om cookies af te wijzen

Privacyorganisatie noyb scande in maart 2021 meer dan 3.600 websites en verzamelde gegevens over de vraag of de toestemmingsbanners voor cookies op deze sites een schending van de AVG inhielden. Op basis van deze gegevens diende noyb meer dan 700 klachten in. 

Deze golf van klachten ging gepaard met andere handhavingsmaatregelen van de gegevensbeschermingsautoriteiten; zo heeft de Franse CNIL richtsnoeren ingevoerd en Google verplicht een "weiger"-knop in te voeren, wat ook werd gezien als een signaal aan veel bedrijven om hun banners aan te passen en in Frankrijk tot belangrijke meetbare verbeteringen leidde.

Anderhalf jaar later, in oktober 2022, werd de scan herhaald en werden vergelijkingswaarden berekend voor 1.631 websites. Deze laten aanzienlijke verbeteringen voor de gebruikers zien: 56% van alle gescande pagina's is de afgelopen anderhalf jaar ten goede veranderd en is gestopt met het gebruik van misleidende kleuren voor links en knoppen en vooraf aangevinkte subcategorieën. De meest voorkomende overtreding was ook de meest vervelende: 82% (1.377) van alle websites had in maart 2021 geen knop om alle cookies te weigeren. Gebruikers moesten in submenu's duiken om een verborgen "afwijzen" optie te vinden. 574 (41%) van de gescande websites hebben nu een knop "weigeren" ingevoerd. Het totale aantal ingestelde cookies is ook met ongeveer 10% gedaald.


Kabinet overweegt om geen gebruik meer te maken van Facebook

Staatssecretaris Alexandra van Huffelen (Digitalisering) gaat mogelijk besluiten dat de overheid vanwege privacy geen gebruik meer mag maken van Facebook, zoals eerder ook al gebeurde in Duitsland. Dit meldt het  Leidsch Dagblad . De bewindsvrouw heeft doorgelicht of het sociale medium zich wel aan de regels houdt, bijvoorbeeld waar het aankomt op privacy en het cookiebeleid. Haar bevindingen liggen nu ter wederhoor bij moederbedrijf Meta, voordat ze volgende week bekendmaakt of de Nederlandse overheid nog actief blijft op het platform.

De Duitse equivalent van de Autoriteit Persoonsgegevens maakte begin dit jaar bekend dat overheidsorganisaties in het land hun pagina's op Facebook moeten sluiten, omdat het sociale medium zich niet houdt aan de privacywetgeving. Dat was aanleiding voor Van Huffelen om te onderzoeken of een dergelijk besluit ook nodig is in Nederland. Ze wil niet zeggen welke bevindingen ze aan Facebook heeft voorgelegd naar aanleiding van het onderzoek en ook niet vooruitlopen op een besluit.

"Als Facebook niet voldoet aan de vereisten zal die dat alsnog moeten doen, omdat we er anders afscheid van moeten nemen", zegt Van Huffelen tegen het ANP. Ze heeft het hier over de pagina's die overheidsorganisaties hebben op Facebook. Het ministerie van Defensie heeft bijvoorbeeld een pagina met 29.000 volgers met wervende video's over het leger. De staatssecretaris maakt zich zorgen over de gegevens die Meta bijhoudt van bezoekers van zulke pagina's.