Hoe gevaarlijk is de Europese Digitale Identiteit voor de burger? | EUID Wallet, eIDAS

Geplaatst op 19 augustus 2024 door Ellen Timmer

Gisteren schreef ik over deelname aan een consultatie waarin leeftijdsverificatie aan de orde komt. Die leeftijdsverificatie zou onder meer plaats kunnen vinden aan de hand van de ‘Europese Digitale Identiteit’ waar Europa mee bezig is, ook wel de ‘EU Digital Identity Wallet’ of de ‘europäische digitale Brieftasche’ genoemd.

Open brief burgerrechtenorganisaties
Over de uitvoering van de Europese plannen is op 7 augustus jl. namens een groot aantal burgerrechtenorganisatie en deskundigen een Engelstalige open brief (pdf) verstuurd aan de Europese Commissie en de landen van de Europese Raad. Zij schrijven:

De academici en deskundigen uit het maatschappelijk middenveld die deze brief hebben ondertekend, zien ernstige tekortkomingen in het huidige voorstel die de veiligheid en privacy van alle burgers die deze digitale identiteitsportefeuille van de EU gebruiken, in gevaar zouden brengen.

Hun bezwaren:

  • Het voorstel bevat een achterdeurtje voor de overheid om iedere gebruiker te heridentificeren op verzoek van opsporingsautoriteiten.
  • De voorgestelde cryptografische mechanismen zijn verouderd en zijn gekozen om compatibel te zijn met de thans gebruikte verouderde digitale identiteitssystemen. Basiseisen die nodig zijn in een datagedreven economie worden verwaarloosd [2].

Gevolg is dat het niet veilig is voor  burgers om de EU Digital Identity Wallet te gebruiken.

Deze gebreken zijn een gevolg van de te korte implementatietermijnen waartoe de Europese Commissie heeft besloten. Uit de brief [3]:

Voor de bescherming van de burgers en een zorgvuldige uitvoering van de noodzakelijke waarborgen moeten de termijnen echter realistisch worden vastgesteld, vooral wanneer het gaat om de technische uitvoering van EU-wetgeving. Dit blijkt zelfs uit recente voorbeelden van zeer technische uitvoeringshandelingen waarbij het risico voor burgers laag was en waarbij technische complicaties toch leidden tot de vertraagde goedkeuring van uitvoeringshandelingen meer dan een jaar na de wettelijk voorgeschreven termijn.

De ondertekenaars roepen op meer tijd te nemen zodat kan worden gezorgd voor een veilig systeem. Zij geven aan dat als de Wallet niet veilig zou zijn, zij in een situatie terechtkomen waarin zij het publiek moeten waarschuwen om af te zien van het gebruik van de Wallet omdat het burgers niet kan beschermen tegen tracking, staatstoezicht en over-identificatie, terwijl voorts de mogelijkheid van schadeloosstelling ontbreekt in geval van fraude of identiteitsdiefstal.

Meer over het onderwerp

Dit jaar:

Vorig jaar:

Zoekwoorden: EUID wallet, digitale identiteit, ID-wallet.

 

 

Noten:

[1] Machinevertaling van “The academics and civil society experts that signed this letter see severe shortcomings in the current proposal that would jeopardize the security and privacy of all citizens using this EU Digital Identity Wallet“.
[2] “Key privacy requirements the law obliges for unlinkability, unobservability or zero knowledge proofs are ignored completely“.
[3] Machinevertaling van “For the protection of citizens and careful implementation of necessary safeguards, however, timelines have to be set realistically especially, when it comes to the technical implementation of EU law. This is evident even from recent examples of very technical implementing acts where the risk for citizens was low and still technical complications lead to the delayed adoption of implementing acts more than a year after their legally mandated deadline“.

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Deelname aan Europese consultatie digitale bescherming van minderjarigen met reactie over leeftijdsverificatie

Geplaatst op 18 augustus 2024 door Ellen Timmer

Onlangs heb ik mee gedaan aan een Europese consultatie Richtsnoeren bescherming van minderjarigen met de volgende reactie [*]:

Uw consultatieoproep gaat over twee onderwerpen:
[1] bewijs van leeftijd;
[2] maatregelen om jeugdigen te beschermen, onder meer door content moderation.
Het tweede onderwerp zal moeten worden verzorgd door krachtig toezicht door de overheid van het aanbod van digitale aanbieders.

Mijn reactie betreft alleen [1] aangezien leeftijdsverificatie risico’s met zich mee brengt voor iedere Europese burger (dus niet alleen jonge mensen).
Het is onverstandig om de leeftijdsverificatie te koppelen aan de Europese digital identity wallet, aangezien niet vast staat dat die wallet veilig genoeg zal zijn, waarvoor ik verwijs naar de kritiek van deskundigen.

Voor de leeftijdsverificatie op het internet is het volgende essentieel:
#1 Internationale bedrijven mogen voor leeftijdsverificatie van een Europeaan uitsluitend gebruik maken van een in Europa gevestigd bedrijf of organisatie, dat voldoet aan #2
#2 Aanbieders van leeftijdsverificatiesystemen zijn getoetst op onafhankelijkheid van de grote IT-bedrijven, ze worden jaarlijks geaudit op veiligheid en voldoening aan de zorgplicht. De partijen die aan de eisen voldoen worden op een zodanige manier aan het publiek bekend gemaakt dat er geen verwarring kan ontstaan over hun integriteit.
#3 De sub #2 bedoelde aanbieders zijn nooit verplicht om persoonsgegevens van burgers aan de overheid of aan derden te geven, tenzij het type digitale dienst waarvan de burger gebruik maakt grote criminaliteitsrisico’s met zich mee brengt.

De consultatie loopt nog tot en met 30 september a.s.

Lees over de risico’s van het Europese digitale identiteitsproject onder meer de open brief van 7 augustus jl. die is ondertekend door een groot aantal burgerrechtenorganisaties (onder meer Privacy First) en door diverse experts.

 

 

[*] Dit is een vertaling van mijn Engelstalige reactie: “Your call for evidence covers two topics: [1] evidence of age; [2] measures to protect juveniles, including through content moderation. The second topic will have to be provided by strong government oversight of digital providers’ offerings.
My response concerns only [1] since age verification poses risks to every European citizen (i.e. not only young people). It is unwise to link age verification to the European digital identity wallet, as it is not certain that the wallet will be secure enough, for which I refer to experts’ criticisms. For age verification on the internet, the following is essential:
#1 International companies should only use a European-based company or organisation for age verification of a European, which complies with #2
#2 Providers of age verification systems are tested for independence from major IT companies, they are audited annually for security and fulfilment of duty of care. Compliant parties are disclosed to the public in such a way that there can be no confusion about their integrity.
#3 The providers referred to in sub #2 are never obliged to give citizens’ personal data to the government or third parties, unless the type of digital service used by the citizen poses high crime risks.

 

Aanvulling 4 november 2024
Bits of Freedom publiceerde deze maand het bericht Strikte leeftijdsverificatie geen oplossing voor sociale media paniek, waarin Lotje Beek en Wouter van den Bos schrijven:

Afgelopen weken was er veel nieuws over Teens, een tienerversie van Meta’s Instagram. Experts zijn daar, terecht, kritisch op: de aanpassingen zijn een papieren tijger die vooral de privacy van kinderen schaden. Meta ontwijkt hiermee de verantwoordelijkheid voor hun verslavende en giftige app. Dat er wordt gezocht naar een manier om jongeren te beschermen, is niet gek, want jongeren kampen met telefoonverslavingen en komen steeds extremere content tegen.
Maar de oplossingsrichting hoort niet vanuit Meta, een commercieel bedrijf, te komen. Als alternatief komt er vanuit bezorgde ouders en beleidsmakers de roep om strenge leeftijdsverificatie en leeftijdsbegrenzing, waarbij mensen hun leeftijd moeten aantonen door bijvoorbeeld hun paspoort te uploaden. Een slecht idee, want dat is een enorme inperking van de privacy. Er zijn veel effectievere oplossingen. Als samenleving moeten we enerzijds blijven inzetten op opvoeding, en anderzijds op het reguleren van sociale media via wetgeving door verslavende elementen te verwijderen en mensen meer controle te geven over hun online omgeving.

Lees verder

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Pleidooi Bart Joosen voor de nationalisatie van de betaalinfrastructuur voor consumenten

Geplaatst op 17 augustus 2024 door Ellen Timmer

Bart Joosen heeft in zijn oratie van 24 mei jl. gepleit voor de nationalisatie van de betaalinfrastructuur voor consumenten, lees de aankondiging en de oratie (pdf). Joosen schrijft:

Het aanhouden van een betaalrekening wordt gezien als een essentiële randvoorwaarde voor het deelnemen door burgers aan het maatschappelijk verkeer.

maar geeft niet aan waarom dit alleen voor consumenten zou gelden.

In de huidige tijd met zeer machtige buitenlandse bedrijven (onder meer uit de VS en China) verkeert het midden- en kleinbedrijf in dezelfde positie als consumenten. Voor zowel consumenten als het mkb geldt dat zij grote problemen ondervinden van de door banken uitgevoerde overheidstaken (witwasbestrijding, bestrijding terrorismefinanciering en sanctieregelgeving), waarover Joosen niet rept.

Het in ieder geval nuttig dat er over de betaalinfrastructuur wordt nagedacht.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft | Tags: , , | Plaats een reactie

De politie moet meer te zeggen hebben in de totstandkoming van regelgeving

Geplaatst op 16 augustus 2024 door Ellen Timmer

Terwijl voor mijn gevoel de opsporing een dikke vinger in de pap heeft bij regelgeving, onder andere via de antiwitwas- en antiterrorismefinancieringsregelgeving, bijvoorbeeld via hun invloed op de National Risk Assessments en de Supranational Risk Assessment, is dat volgens EU-lidstaat Zweden nog niet genoeg.
Lees het artikel van Statewatch over een door de Zweden uitgebracht non-paper. Onderdeel van de paper zijn voorstellen tot toegang tot digitale gegevens van iedere burger, ook bekend als de ‘Going Dark’ voorstellen.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , , | Plaats een reactie

Shadowbanning uitspraak van de Nederlandse rechter

Geplaatst op 15 augustus 2024 door Ellen Timmer

Eerder schreef ik over de middeleeuwse toestanden die in de asociale media heersen. Het stiekem gebruikers ‘in de ban stoppen’ (shadowbanning) maakt daar deel van uit.
Dankzij een actieve gebruiker van het platform dat voorheen twitter heette, Danny Mekić, is er nu een rechterlijke uitspraak over van de Rechtbank Amsterdam (kantonrechter). Over de digitale verbanning oordeelt de kantonrechter:

6. Niet in geschil is dat het account van [verzoeker] gedurende een periode beperkingen heeft gehad. Door Twitter is erkend dat deze beperkingen eruit bestonden dat het account van [verzoeker] niet verscheen als autocomplete suggestie als een gebruiker een bericht aan het account van [verzoeker] wilde koppelen, uit het mentionen, dat de berichten van [verzoeker] niet verschenen in de zoekresultaten bij een zoekopdracht via X en dat zijn berichten niet getoond werden in de tijdlijn van de gebruikers die [verzoeker] niet volgen. Vast staat dat deze functionaliteiten vóór het ingrijpen door Twitter wel aan [verzoeker] ter beschikking stonden.

Twitter ontkent dat sprake was van wanprestatie aangezien hij onbeperkt kon rondkijken op het platform. Daar gaat de kantonrechter niet in mee en acht de algemene voorwaarden oneerlijk. Hij gaat ook mee in het verwijt van verzoeker inzake een contactpunt:

23. [verzoeker] heeft aangevoerd dat Twitter niet heeft voldaan aan artikel 12 DSA. Het was onmogelijk om contact te krijgen met Twitter, aldus [verzoeker] . Contact opnemen via het contactformulier was onmogelijk. Er was volgens dat geautomatiseerde formulier geen sprake van een beperking. Via een zoekmachine ontdekte hij een ander contactformulier, maar bezwaar maken tegen een algehele shadowban veroorzaakte een foutmelding, er was bovendien slechts beperkte reactieruimte en het meesturen van een bijlage bleek niet mogelijk. Ook een e-mailadres bleek niet vindbaar via de Nederlandse website, maar was enkel toegankelijk via de Engelstalige Rules and Policies-pagina die via de Nederlandse website niet vindbaar was. Bovendien heeft Twitter niet rechtstreeks met [verzoeker] gecommuniceerd, enkel via advocaten.

De kantonrechter komt tot de conclusie dat Twitter wanprestatie heeft gepleegd tegen verzoeker die een betaald abonnement heeft en veroordeelt het bedrijf tot betaling van $ 1,87 aan hoofdsom. Verder veroordeelt hij Twitter:

om binnen twee weken na betekening van deze beschikking aan [verzoeker] een contactpunt ter beschikking te stellen als bedoeld in artikel 12 DSA op verbeurte van een dwangsom van 100,00 per dag voor iedere dag dat Twitter nalaat aan deze veroordeling te voldoen, met een maximum van 100.000,00;

met veroordeling van Twitter in de kosten (EUR 162,43).

Marloes de Koning schreef er over in het NRC: Nederlander wint twee zaken tegen X over ‘shadowbanning’. ‘Alsof je mond wordt afgeplakt’

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , | 1 reactie

Deelname Privacy First aan consultatie sanctieregelgeving

Geplaatst op 14 augustus 2024 door Ellen Timmer

Privacy First heeft deel genomen aan een wetgevingsconsultatie over een nieuw sanctieregelgevingsvoorstel. Sanctieregels hebben onder meer betrekking op mensen die op sanctielijsten zijn gezet door de EU of Nederland wegens terrorisme en andere onrechtmatige activiteiten en wiens vermogen geblokkeerd moet worden. Bedrijven moeten al hun klanten en relaties van klanten screenen tegen die lijsten, de zgn. ‘sanctiescreening’.

Privacy First wijst er op dat ook gewone burgers met persoonsgerichte sancties te maken kunnen krijgen. In de consultatiereactie heeft Privacy First aangedrongen op maatregelen om schade voor onschuldige burgers te voorkomen, onder meer door het instellen van een onafhankelijke financiële ombudsman, laagdrempelige toegang tot de onafhankelijke rechter en speciale maatregelen voor mensen die een naam hebben die lijkt op de naam van iemand op een sanctielijst.

De tekst van de consultatiedeelname is hier te vinden.

 

Aanvulling 6 september 2024
Op de site van Privacy First verscheen het artikel Naleving financiële sancties mag niet tot schending burgerrechten leiden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Sanctieregels | Tags: , , , | Plaats een reactie

Digitale illusies

Geplaatst op 14 augustus 2024 door Ellen Timmer

Lees over de huidige digitale illusies het artikel van Barath Raghavan en Bruce Schneier: Seeing Like a Data Structure. Zij beschrijven hoe de ‘datagedreven’ overheden en grootbedrijven de werkelijkheid versimplificeren:

Creating abstract representations by necessity leaves out important detail and context. Inevitably, as Scott cataloged, the use of large-scale abstractions fails, leaving leadership bewildered at the failure and ordinary people worse off.

De datastructuren met hun rationele illusies creëren chaos, schrijven de auteurs. Ze zorgen voor schijnstructuren waardoor mensen het zicht op de werkelijkheid kwijt raken.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , | Plaats een reactie

Wraak van de ondermens | Revenge of the Chickenized ReverseCentaurs

Geplaatst op 13 augustus 2024 door Ellen Timmer

Cory Doctorow beschrijft in zijn artikel Revenge of the Chickenized ReverseCentaurs, hoe mensen die zich door AI laten ondersteunen ‘centaurs’ [1] worden genoemd en hoe kleine ondernemers in de Amerikaanse gevogeltesector te maken hebben met “chickenization”, door de monopolies van hun afnemers [2].
Hij geeft aan dat het chickenization-fenomeen ook van toepassing is op ‘digitale’ bedrijven zoals Uber, die zijn ondermensen klein houdt:

Uber drivers are paid on a variable reinforcement drip-feed that gives them just enough to keep up the lease and gas and insurance payments on their vehicles, but not enough to give them breathing space to think about changing careers.

Bedrijven die werk verschaffen aan schijnzelfstandigen worden ‘gig companies’ genoemd. Doctorow beschrijft dat degenen die voor hen werken ‘reverse-centaurs’ zijn, de mens dient de AI in plaats van omgekeerd:

From the instant you get behind the wheel of an Amazon van, you are being surveilled by an array of cameras hooked up to high-handed, judgemental AIs that monitor your facial expressions, your eye movements, and your ability to meet an impossible quota.

Vervolgens meldt hij dat er een een tegenbeweging is, waarvan het de vraag is of die zal slagen [3]. Het kan ook zijn dat mensen robots worden [4].

 

Noten:

[1] Een centaur of kentaur is de paardmens uit de Griekse mythologie (wikipedia).
[2] “three monopolistic packers”
[3] Over de digitale ondermens schreef ik eerder: Zijn we straks allemaal zzp-slaafjes van Facebook en Google?
[4] Daar schreef ik al over:

 

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Veilige instellingen Libre Office

Geplaatst op 12 augustus 2024 door Ellen Timmer

Security.nl meldde dat de Duitse overheidsinstantie BSI [*] tips heeft gegeven voor het veilig instellen van Libre Office. Dat is belangrijk voor iedereen de zo weinig mogelijk zaken wil doen met internetgigant Microsoft. De tips voor kleine ondernemingen en privépersonen staan hier.

De meeste standaardinstellingen kloppen. BSI adviseert onder meer aanpassing van onderstaande beveiligingsopties:

en het uitzetten van het bijwerken van koppelingen, onderstaand als voorbeeld in het spreadsheetprogramma, maar het geldt ook voor tekstverwerking:

Deze screenprints komen uit Libre Office versi 24.2.5.2.

 

[*] Bundesamt für Sicherheit in der Informationstechniek.

Geplaatst in ICT, privacy, e-commerce | Tags: , | Plaats een reactie

Domeinnaammisbruik is te gemakkelijk en de regelgeving wordt niet aangepast

Geplaatst op 11 augustus 2024 door Ellen Timmer

Het is veel te makkelijk om domeinnamen aan te maken die lijken op domeinnamen van reguliere partijen. Dat werd weer zichtbaar na de Crowdstrike affaire, lees bij security.nl Criminelen registreren tal van malafide CrowdStrike-domeinen. Ik schreef een blog over een geval dat ik in de praktijk tegen kwam.
Het is onbegrijpelijk dat de regelgeving inzake domeinnamen niet wordt aangepast en dat er geen controle plaats vindt. Daar zou kunstmatige intelligentie heel geschikt voor zijn. Nu faciliteert het domeinnamen systeem criminelen.

Geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Strafrecht | Tags: | Plaats een reactie