EU: wetgeving is het antwoord op PRISM
Om Europese internetgebruikers weer vertrouwen in internet te geven en angst voor surveillance weg te nemen, moet Europa op één privacywet inzetten, aldus Eurocommissaris voor Justitie Vivianne Redding tijdens een speech deze week in Brussel.
Ze reageerde op de recente stroom van onthullingen over de spionagepraktijken van verschillende inlichtingendiensten. "Door al deze onthullingen is het vertrouwen verloren gegaan. Ze zijn met name schadelijk voor de digitale economie, omdat ze betrekking hebben op de bedrijven van wie de diensten dagelijks gebruiken."
Vertrouwen
Om de digitale economie te laten groeien moet volgens Redding als eerste het vertrouwen van de Europese consument worden hersteld. Dat moet worden gedaan via één sterke databeschermingswetgeving, die stelt dat niet-Europese bedrijven die producten en diensten aan Europese consumenten aanbieden, zich volledig aan de Europese databeschermingswetgeving moeten houden. Dit geldt vanaf het moment dat de gegevens worden verzameld totdat ze worden verwijderd.
Daarnaast bevat de wetgeving ook regels voor het verplaatsen van gegevens van een Europese server naar een Amerikaanse server, omdat ze daar binnen het bereik van de NSA vallen, aldus Redding. Verder geven de regels meer ruimte om harder tegen overtreders op te treden. Die kunnen straks een boete van 2% van hun wereldwijde omzet krijgen.
Antwoord
Als laatste bevat de wetgeving duidelijke regels over de verplichtingen en verantwoordelijkheden van cloudaanbieders, die op grote schaal gegevens verwerken. "Zoals PRISM heeft aangetoond, zijn zij een manier voor diegenen die toegang tot gegevens willen", ging de Eurocommissaris verder. "Samengevat, als de gegevens in de EU worden verzameld kan de EU waarborgen instellen. De databeschermingswetgeving is het antwoord van de Unie op de angst voor surveillance. Het is het antwoord op de indruk dat er niets aan te doen is."
Redding merkte verder op dat de huidige databeschermingswetgevingen binnen de verschillende EU-landen te bureaucratisch van aard zijn en ze tot één enkele verzameling van regels moeten worden vereenvoudigd die voor de gehele Unie geldt. Zo is de Duitse databeschermingswetgeving 60 pagina's lang. Al die wetgevingen moeten door één Europese privacywet worden vervangen. "Eén continent, één wet", aldus de eurocommissaris.
Dus, eerst vaststellen wat acceptabel is, en wat niet, en dat goed vastleggen in de wet. En vervolgens kijken hoe je dat het best kunt handhaven. Maar ook zaken die nu nog handhaafbaar zijn, zijn dat misschien over een paar jaar wel.
Wat ik alleen nog mis in het verhaal van Redding (speech zelf niet gelezen, alleen het bericht hierboven) is dat die cloud providers maar een deel van het probleem zijn. Wat ik veel erger vind, is dat overheden zichzelf niet strafbaar vinden als ze gewoon alle communicatie gaan vastleggen, en dat dan ook nog stiekum.
Een overheid dient controleerbaar bezig te zijn, en niet in het geniep z'n eigen burgers, of die van bevriende staten, te bespionneren. Dat soort praktijken hoort strafbaar gesteld te worden, ook door de eigen overheid. En wat wél is toegestaan, en onder welke voorwaarden, hoort ook duidelijk vast te liggen.
En bijv. hoort uitwisseling van dit soort "spionnage gegevens" zeker nooit met Ameria te worden gedeeld, aangezien hun privacywetten niet voor buitenlanders gelden. Kortom, wij worden daarmee rechteloos gemaakt.
Dus die samenwerking tussen de Britse en Amerikaans geheime diensten zou formeel strafbaar moeten worden. Dan krijgen de burgers namelijk de mogelijkheid om die praktijken voor een rechter aan te klagen. Zonder wetgeving kan dat niet eens....
Geloof maar dat de druk de VS enorm zal zijn, om Amerikaanse bedrijven te "sparen". Maw de wet aan te passen, zoals het de VS het beste uitkomt.
Voor bedrijven lijkt het me ook niet makkelijk als het zich aan tegenstrijdige wetgevingen van de diverse landen waarin ze opereren moet houden (wat op zich logisch is). Het moet dan ergens mis gaan (wat ook logisch is). Aangezien sancties op het je niet aan de (Patriot) wet houden aan VS zijde wel echt worden gehanteerd, verwacht ik dat het dus aan EU zijde zal zijn waar het mis gaat. Tegenover de VS gedraagt de EU zich over het algemeen toch als een oude tandeloze hond.
Maar goed. Dit verhaal zal uiteindelijk neer komen op: houdt de meute een worst voor en zeg dat vanaf nu alles weer veilig is, en de meute kalmeert wel weer.
Wanneer (amerikaanse) bedrijven met die tegenstrijdige wetgeving te maken krijgen , en de EU echt hard op gaat treden zoals hierboven in het artikel te lezen is (boetes tot 2% van wereldwijde omzet) dan kan er ook een situatie ontstaan waar bedrijven een keuze moeten gaan maken. Doorgaan op de huidige voet en grote boetes van de EU tegemoet zien of europese en amerikaanse activiteiten strict scheiden. Zodat de amerikaanse tak zich aan de voorwaarden van de NSA kan voldoen terwijl de europese tak daar geen last van heeft en zich aan de europese regels kan houden.
Nou acht ik die kans misschien niet zo groot maar zou toch leuk zijn als dat gebeurt.
ps. ja ik weet het , word lastig om dingen als google , microsoft , facebook , twitter enz op te splitsen , maar het zou voor cloudproviders en dergelijke wel degelijk moeten kunnen.
Geloof maar dat de druk de VS enorm zal zijn, om Amerikaanse bedrijven te "sparen". Maw de wet aan te passen, zoals het de VS het beste uitkomt.
Zo is het met de Amerikanen net zo: Voor eigen volk gelden de beschermende wetten, voor buitenlanders is er geen enkele bescherming.
Nu wil de EU dat er naast de landelijke wetgeving een algemene wetgeving komt die de privacy van EU onderdanen beschermd, verder dan de grenzen van hun eigen landelijke wetgeving. Deze EU wetgeving zou als het goed is niet de landelijke wetgeving in de weg zitten of ondermijnen, maar juist versterken op een niveau waar de landelijke wetgever niet bij kan.
Ik vraag me wel af wat er nou op het gebied van handhaving te redden valt. Gaat Nederland ooit een klacht indienen omdat de Britten Nederlanders aan het afluisteren zijn? Via de officiële kanalen kom je het toch niet te weten en daarnaast zijn de betreffende ministers dikke vriendjes van elkaar.
Je kunt als onderdaan van het Koninkrijk der Nederlanden ook niet even aangifte doen bij de EU politie omdat de Amerikanen je Dropbox bekijken.
Awel, het is een begin. Laten we hopen dat het een beetje zinvol wordt.
Dank... :-)
Zo'n boete klinkt leuk, maar dat gebeurt echter *alleen* als de EU eens ruggegraat gaat tonen en zich niet meer als oude tandeloze hond naar de VS gedraagt en naast wetgeving ook de handhaving in orde heeft. Vooralsnog zie ik dat niet gebeuren want "we" van de EU willen teveel het vriendje van de VS zijn. Zoals eerder opgemerkt, riekt het voor mij ook naar een wassen neus.
Een boete zoals destijds aan Microsoft is uitgedeeld is werkelijk een hoge uitzondering, en het ging toen niet over dit onderwerp.
Nou acht ik die kans misschien niet zo groot maar zou toch leuk zijn als dat gebeurt.
Eens.
Ook eens. Maar ik denk dat de mensen die zo'n bedrijf opzetten wel manieren hebben om zoiets te doen.
Ach, en nou lees ik toch net op Tweakers dat AMS-IX een VS tak wil beginnen... En daarmee onder de Patriot Act zal vallen. http://tweakers.mobi/nieuws/91421
En we slapen weer verder...
Dus, eerst vaststellen wat acceptabel is, en wat niet, en dat goed vastleggen in de wet. En vervolgens kijken hoe je dat het best kunt handhaven. Maar ook zaken die nu nog handhaafbaar zijn, zijn dat misschien over een paar jaar wel.
De ervaring is dat als we weten wat strafbaar is, we dus ook specifieke wetten kunnen maken om uitzondering te maken voor bepaalde overheidsinstanties. Als het fotograferen van kentekens verboden is, maar politie doet het toch, dan zijn ze strafbaar. Maar dat maakt het ook eenvoudig om een wet te maken die het alleen de politie toestaat om te doen.
Vergelijk het met de wetgeving voor UAV's. Niemand mag zo maar in afgesloten tuinen van derden kijken. Maar we gaan wel een aparte wet maken die het politie toestaat om dat te doen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
