EU-privacywaakhond bezorgd over koppelen van EU-databases
De Europese databeschermingsautoriteit EDPS maakt zich zorgen over de privacygevolgen van het koppelen van allerlei grote EU-databases aan elkaar en roept op tot een debat. De Europese Commissie heeft voorstellen gedaan om grote EU-informatiesystemen aan elkaar te kunnen koppelen.
De EU beheert verschillende grootschalige it-databases die door autoriteiten in de lidstaten voor zaken als migratie, asiel en veiligheid worden gebruikt. De Europese Commissie heeft voorstellen voor interoperabiliteit gedaan, zodat deze systemen met elkaar kunnen samenwerken en informatie uitwisselen. Volgen EDPS Giovanni Buttarelli heeft de EU een slimmere aanpak nodig om informatie op het gebied van veiligheid en grensbeleid uit te wisselen.
Het voorstel van de Europese Commissie gaat echter veel verder, zo merkt hij op. Zo krijgen publieke autoriteiten de bevoegdheid om de data in EU-it-systemen voor onderzoek naar identiteitsfraude en identiteitscontrole te gebruiken. Ook wordt de toegang van opsporingsdiensten tot databases die geen informatie van opsporingsdiensten bevatten gestroomlijnd. Het geven van politie en andere diensten toegang tot informatie die niet voor politiewerkzaamheden is verzameld heeft gevolgen voor de bescherming van fundamentele mensenrechten, aldus de EDPS in een opinie (pdf).
De privacywaakhond maakt zich met name zorgen over het aanleggen van een gecentraliseerde database die informatie van miljoenen niet-Europeanen bevat, waaronder hun biometrische gegevens. De omvang van de database en aard van de opgeslagen data houdt in dat een datalek een groot aantal mensen raakt. Volgens de EDPS moeten de juiste juridische, technische en organisatorische beveiligingsmaatregelen in elke database worden verwerkt, en dat met name aandacht wordt gegeven aan het doel en de voorwaarden van het gebruik.
"Zowel in juridische als technische termen voegen de voorstellen een extra laag van complexiteit toe aan bestaande en toekomstige EU-database met onduidelijke gevolgen voor databescherming en andere fundamentele rechten en vrijheden, alsmede voor de governance en toezicht van de databases", zegt Buttarelli. Met deze onzekerheden in het achterhoofd roept hij op tot een breder debat over dit probleem voordat er verdere stappen worden genomen om de voorstellen van de Europese Commissie over interoperabiliteit te implementeren.
Lang geleden heb ik het concept achter "dual use products" moeten leren. Zie o.a. http://ec.europa.eu/trade/import-and-export-rules/export-from-eu/dual-use-controls/. Daarbij worden exportrestricties vastgesteld voor goederen die zowel ten goede als ten kwade gebruikt kunnen worden. Ik denk dat dat principe gehanteerd moet gaan worden voor alle verregaande privacyschendende maatregelen die tegenwoordig uitgestort worden over de bevolking. Kunnen de maatregelen, wanneer het politieke klimaat verandert en mensen aan de macht komen waar de intenties niet altijd even zuiver van zijn, ook tegen de eigen mensen worden gebruikt? Kunnen maatregelen worden misbruikt wanneer corruptie aanwezig is of gaat toenemen bij inlichtingendiensten of opsporingsinstanties? Bij een heleboel maatregelen die ik de afgelopen jaren langs zie komen is het antwoord een volmondig "ja". Moeten we als samenleving die maatregelen dan nog wel willen?
Het is een vrij fundamenteel vraagstuk, waarbij ik het idee heb dat alleen het goede wordt benadrukt (betere samenwerking tussen de landen, betere grenscontroles mogelijk, lagere kosten door interoperabiliteit van IT-systemen, noem maar op), maar het potentieel slechte geen aandacht krijgt, of met de mantel der liefde wordt bedekt. We hebben toch organisatorische maatregelen om misbruik tegen te gaan? We hebben toch controlerende instanties die misbruik (achteraf) kunnen detecteren? We hebben toch beleid en privacywetgeving? De overheid kun je toch vertrouwen? Nou, dan kunnen we die bezwaren probleemloos terzijde schuiven!
Het is de gemakzucht waarmee over potentiële problemen wordt gestapt dat me nog het meest zorgen baart. En over 10 jaar zeggen dat die surveillance-staat zo allemaal niet was bedoeld en dat de intenties bij het doorvoeren van die maatregelen zo goed waren. Maak die maatregelen dan nog maar eens ongedaan. Dat gaat je niet lukken. Kijk maar naar de "anti-terrorisme maatregelen" in Nederland. Die worden alleen maar uitgebreid. Zie b.v. ook de uitspraken van het CDA toen die terrorist via Nederland Europa doorcrosste en in Italië werd afgeknald (https://www.cda.nl/buma/nieuws/buma-21e-eeuwse-grensbewaking-nodig/). Want ja, het kan, dus waarom niet. Die gemakzucht en profileringsdrang doet ons nog eens flink de das om.
Dat misdadigers en criminelen eigenlijk heiligen zijn en dat hun privacy beschermd moet worden is een ander doel.
Ik mis in al die polarisatie iets wat werkbaar is met bescherming van de burger.
https://fpf.org/2017/11/22/a-conversation-with-giovanni-buttarelli-about-the-future-of-data-protection-setting-the-stage-for-an-eu-digital-regulator/
https://www.theparliamentmagazine.eu/articles/news/cambridge-analytica-revelations-are-only-tip-iceberg-warns-eu-data-protection-chief
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
