image

EU-waakhond wil strengere privacyregels voor communicatie

maandag 25 juli 2016, 10:54 door Redactie, 7 reacties

De Europese privacywaakhond EDPS pleit voor strengere, slimmere en duidelijkere privacyregels om elektronische communicatie te beschermen. Zo moet bijvoorbeeld het gebruik van end-to-end-encryptie om communicatie te beschermen worden toegestaan en het kraken hiervan worden verboden.

Dat heeft de Europese Databeschermingsautoriteit (EDPS) vandaag in een opinie (pdf) bekendgemaakt. De EDPS reageerde op verzoek van de Europese Commissie op een herziening van de Europese wetgeving, de ePrivacy-richtlijn, over het verwerken van persoonlijke gegevens en de bescherming van privacy in de elektronische communicatiesector. Volgens EDPS Giovanni Buttarelli is er niet alleen een nieuw juridisch raamwerk nodig, maar ook meer duidelijkheid en handhaving.

"Het moet de vertrouwelijkheid van onze communicatie garanderen, een fundamenteel recht in Artikel 7 van de Fundamentele Rechten van de Europese Unie", zo laat hij in zijn opinie weten. De nieuwe regels moeten verder de Europese privacywetgeving aanvullen. In het geval de ePrivacy-richtlijn meer bescherming biedt dan de Europese privacywetgeving, dan moet dit behouden blijven.

De nieuwe regels moet ook gelden voor machines die via het Internet of Things met elkaar communiceren, ongeacht van het soort netwerk en de communicatiediensten die worden gebruikt. Verder wil Buttarelli dat de nieuwe regels de vertrouwelijkheid van alle communicatie van gebruikers die via openbare netwerken plaatsvindt beschermen, waaronder wifi-netwerken in hotels, winkels en vliegvelden en door de overheid neergezette hotspots.

Tracking

Ook roept Buttarelli op tot het afschaffen van "cookie walls" en zou op een aantal uitzonderingen na, zoals analytics, de communicatie van gebruikers nooit zonder hun toestemming mogen worden gevolgd of gemonitord. Als voorbeeld noemt hij dan cookies, het fingerprinten van apparaten of andere technologische middelen. Gebruikers moeten ook op eenvoudige wijze via de browser hun toestemming weer kunnen intrekken.

De nieuwe regels moeten gebruikers ook toestaan om end-to-end-encryptie te gebruiken om hun communicatie te beschermen. Buttarelli vermeldt specifiek dat de encryptie geen backdoors mag bevatten. Verder wil de EDPS het ontsleutelen, reverse engineeren of monitoren van versleuteld verkeer verbieden. Als laatste moeten de nieuwe regels tegen ongewenste communicatie beschermen en moeten gebruikers altijd toestemming hebben gegeven voordat ze op elektronische wijze worden benaderd.

Reacties (7)
25-07-2016, 11:40 door Anoniem
Dat klinkt alsof ze het begrepen hebben. En als zodanig te mooi om waar te zijn. Waar zit de adder?
25-07-2016, 12:13 door Anoniem
Geen addertje. Samen met de Artikel 49 werkgroep is het het werk van de EDPS on voorstander van privacy te zijn.

Wel is het zo dat invloed om het ook daadwerkelijk voor elkaar te krijgen met name gemeten wordt uit hoeveel invloed je op de regering kan uitoefenen. Even los van dat de EU niet geregeerd wordt maar uit 27 1/2 met elkaar kibbelende landjes bestaat, is de invloed van deze groepen te vergelijken met de letterlijke betekenis van een parlement. Een praatclub dus.
25-07-2016, 15:26 door Anoniem
En Google en consorten gaat zich hier wat van aantrekken en minder data slorpen? Canvas fingerprinting stopt, onveilige IDs tracking stopt. Dat denken we toch zeker niet. Zijn deze giganten in overtreding dan calculeren ze de eventuele boetes in binnen het verdien/winst model en betalen die grif. "Too big to fail, too big to stop".
25-07-2016, 16:43 door Erik van Straten
Verder wil de EDPS het ontsleutelen, reverse engineeren of monitoren van versleuteld verkeer verbieden.
Niet mee eens. Verboden werken niet bij personen die de wet toch al aan hun laars lappen.

Het is uitstekend als kundige mensen encryptie proberen te ontsleutelen of te reverse engineeren; als dat lukt deugde het protocol, de implementatie ervan of het sleutelbeheer niet en dat moet aan de kaak gesteld worden voordat (te veel) kwaadwillenden er misbruik van maken. Zonder dit soort onderzoekers waren onze browsers nu veel lekker geweest en had iedereen nog RC4 en MD5 gebruikt.

Monitoring is in enige vorm meestal nodig om kwaadaardige verbindingen te detecteren en passende maatregelen te kunnen nemen (zoals uitgaande verbindingen vanuit een bedrijf naar blacklisted websites bijv. omdat die malware verspreiden of omdat ze om bedrijfpolicy-redenen zijn geblokkeerd). Wat verboden moet worden is dat de partijen die deze monitoring uitvoeren, de bijbehorende informatie voor een ander doel gebruiken (of weggeven/verkopen) en/of langer bewaren dan noodzakelijk. En bij overtredeningen moet je, als overheid, keihard optreden.
25-07-2016, 20:12 door karma4
Door Erik van Straten:
Verder wil de EDPS het ontsleutelen, reverse engineeren of monitoren van versleuteld verkeer verbieden.
Niet mee eens. Verboden werken niet bij personen die de wet toch al aan hun laars lappen.
Ben het het met jou eens Erik van Straten (kan ook). Dat is wat betreft je argumentatie voor de kwaliteit van het encryptie algoritme en de monitoring. Mag ik:
- die monitoring uitbreiden tot wie welke gegevens benaderd en wat voor acties hij er mee doet.
- Voor het algoritme dat het een OSS (code / implementatie) benadering moet zijn. Reverse engineering zit bij licensering en een vendor-lockin. Met OSS is er geen bestaansrecht voor reverse engineering. Als het achterhalen van een password (Rainbow phishing) reverse engineering moet gaan heten dan brengt dat ons wel erg ver van draagvlak betekenis/begrippen.
- Met het auteursrecht is wegens het voorkomen van niet overwogen vendor-lockin expliciet het recht tot reverse engineering genoemd http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32009L0024&from=EN artikel 5,6.
26-07-2016, 00:23 door Anoniem
Verder wil de EDPS het ontsleutelen, reverse engineeren of monitoren van versleuteld verkeer verbieden
Dat gaat dan ook betekenen dat onderzoekers geen malware meer mogen reverse engineeren, botnetverkeer niet meer mogen monitoren en niet meer mogen ontcijferen.

Beveiliging, en dus ook encryptie, brengt altijd het risico met zich mee. Het is zo sterk als de zwakste schakel. Met een verbod op reverse engineeren van versleuteld verkeer maken we encryptie niet sterker en werpen we schijnveiligheid op die implementatie van zwakke encryptie aanspoort en criminelen op voorsprong zet.

Dit soort bescherming is voor personen die niet willen snappen dat ze zelf verantwoordelijk zijn voor een goede beveiliging en dus afdoende encryptie. Dit soort bescherming is voor personen die denken dat ze veilig zijn omdat er achteraf een jurist met deze wet de tegenaanval kan inzetten als door slechte encryptie hun persoonsgegevens op het internet staan en de dader onvindbaar is.

Er bestaat allang wetgeving tegen het onbevoegd onderscheppen of lezen van communicatie. Opsporingsdiensten hebben eigen wettelijke bevoegdheden om communicatie te onderscheppen en doorbreken. Reverse engineering is standaard afgedekt via gebruiksovereenkomsten.

Ik ben niet gevoellig voor het argumenten dat het verbod geen probleem is omdat de criminelen, politie of een openbaar ministerie van een Europees land het niet tegen slachtoffers of onderzoekers zal gebruiken. Als we wetgeving maken moeten we realistisch zijn over wat we stellen en wat de uitwerking, het nut en noodzaak daarvan is.
26-07-2016, 01:07 door Anoniem
Door Erik van Straten:
Verder wil de EDPS het ontsleutelen, reverse engineeren of monitoren van versleuteld verkeer verbieden.
Niet mee eens.

Ik ben het eens met je tegenargumenten.
Verbieden helpt inderdaad niet tegen criminelen. Securityonderzoek moet mogelijk blijven, dus reverse-engineering moet mogen (en ontsleutelen ook binnen de nodige kaders). Monitoring (zonder onstsleutelen) moet inderdaad niet domweg verboden worden, maar via privacy-wetgeving (proportionaliteit, doelbinding, etc.) worden gereguleerd.

Maar evengoed is een verbod op onrechtmatig ontsleutelen (op wat voor manier dan ook) geen gek idee. Het geeft duidelijker aan wat de kaders zijn van onze maatschappij: met een verbod zeggen we expliciet dat we dit niet tolereren. Er zijn helaas nog altijd genoeg bedrijven die als het geld oplevert rustig iets doen dat moreel fout, maar wettelijk gewoon toegestaan is. Ik verwacht dat het grootste deel daarvan het niet meer doet als de actie crimineel is.
(Je hebt natuurlijk ook nog de categorie "we kunnen alles flikken, zolang de scheids het maar niet ziet", maar dat zijn dan uiteindelijk criminelen en daar helpt wetgeving dan ook vrijwel niet tegen).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.