EU-toezichthouder: digitaal contactonderzoek maakt massasurveillance mogelijk
Digitaal contactonderzoek via een app maakt massasurveillance mogelijk, er moet dan ook goed naar de risico's van zogeheten corona-apps worden gekeken, stelt de Europese Toezichthouder voor gegevensbescherming (EDPS). De EDPS reageert via de eigen website op de inzet van bron- en contactonderzoeken bij de bestrijding van epidemieën. Via dergelijke onderzoeken wordt gekeken met wie besmette personen allemaal in contact zijn gekomen.
Zowel bij traditionele als digitale contactonderzoeken wordt er persoonlijke data verwerkt. Wanneer het data van een besmet persoon betreft is het gezondheidsdata en is er speciale bescherming vereist. Er is echter een verschil tussen traditionele en digitale contactonderzoeken, en dat is de schaal waarop digitale contactonderzoeken kunnen plaatsvinden.
Digitaal contactonderzoek introduceert dan ook allerlei nieuwe databeschermingsrisico's, omdat het mogelijk is om een groot deel van de populatie in publieke en private ruimtes te volgen. "Contactonderzoek-apps zullen als gevolg waarschijnlijk leiden tot een groot risico voor de rechten en vrijheden van individuen en vereisen dat ervoor de uitrol een data protection impact assessment plaatsvindt", aldus de EDPS.
Door contactgegevens met andere data te koppelen zou er een uitgebreid beeld van iemands leven kunnen worden verkregen. Volgens de toezichthouder is het daarom nodig om via dataminimalisatie en privacy verbeterende technologieën ervoor te zorgen dat contacten en besmette personen niet zijn te identificeren.
Een ander punt waarnaar wordt gewezen is het ontwerp van de app. Ontwikkelaars kunnen ervoor kiezen om het matchen van besmette personen aan hun contacten centraal of decentraal te laten plaatsvinden. Bij een centrale aanpak is grootschalige gedragsmonitoring mogelijk, aldus de EDPS. De centrale dienst is hierbij een 'single point of failure' die voldoende beveiligingsmaatregelen moet nemen om data te beschermen en het vertrouwen van gebruikers te winnen.
Wanneer er wordt gekozen voor een gedecentraliseerde app vindt het matchen van besmette personen plaats op de telefoon van gebruikers. Zodra iemand besmet is kan die ervoor kiezen om zijn keys, waarmee de identifiers zijn gegenereerd die via bluetooth worden uitgezonden, naar een centrale server te uploaden. Andere gebruikers downloaden dagelijks van deze centrale server een lijst met de keys van besmette personen. Vervolgens wordt lokaal op de telefoon gekeken of de gebruiker met een besmet persoon in contact is gekomen.
Bij deze aanpak worden de keys van besmette personen publiek verspreid. Aanvallers zouden deze keys kunnen koppelen aan eerder verzamelde timestamps en locatiegegevens, om zo de identiteit van besmette personen te achterhalen, aldus de EDPS. Zowel bij een centrale als decentrale aanpak zijn er dan ook privacyrisico's. Om ervoor te zorgen dat overheden en ontwikkelaars bij de ontwikkeling van een contactonderzoek-app vanaf het begin voldoen aan de Europese privacywetgeving hebben het Europees Comité voor gegevensbescherming (EDPB) en de Europese Commissie uitgebreide richtlijnen gepubliceerd.
Denk aan een schimmig bedrijf als Palantir, wat gebeurt er als de data daar terecht kunnen komen?
Denk ook aan wat het doet met de batterij van je mobieltje.
De meeste mensen interesseert het geen zier, wanneer ze via Bluetooth al hun data naar facebook & consorten blazen.
Ze willen zo graag hun lock-down ongemak inruilen voor wat tijdelijke app-zekerheid,
dat ze zeker over stag zullen gaan met het installeren van die app(s).
Hebben de academici al duidelijke antwoorden gekregen hoe onze primaire privacy is "geborgd",
of moeten we commercie, developers en overheden zomaar ongezien ermee vertrouwen.
Dat kan ons nogal eens gaan opbreken op termijn, als het toch om een Big Brother surveillance insteek blijkt te gaan,
maar dan is het te laat (of is het dat eigenlijk al niet?).
#sockpuppet
Of dit artikel op waarheid berust weet ik niet, maar dergelijke situaties kan ik mij wel voorstellen (ook in Nederland ben je niet veilig, zie https://nos.nl/artikel/2333486-belaagd-homostel-amsterdam-opnieuw-aangevallen.html). Daarom vind ik dat elke oplossing (inclusief ondersteunende apps) met de grootst mogelijke zorg m.b.t. privacy omkleed moet worden.
Dat betekent ook dat je niet zomaar een callcenter kunt inschakelen of vrijwilligers van de straat kunt plukken voor het uitvoeren van BCO (bron- en contactonderzoek) namens de GGDen (zie ook "<2> Problemen bij bron- en contactonderzoek" in https://security.nl/posting/653782).
Aanvulling: in https://nos.nl/nieuwsuur/artikel/2333281-protocol-voor-contactonderzoek-kent-twee-grote-zwakke-plekken.html van afgelopen vrijdag spreekt epidemioloog Arnold Bosman opnieuw zijn zorgen uit (niet v.w.b. privacy) over de (voorgenomen) aanpak van de GGDen.
Het argument van de verspreiding van de keys is een centrale benadering waar ik in de basis gevaren zie.
Waarom de encryptie in een pgp gedachte niet lokaal tijdens het vastleggen gebeurd begrijp ik niet.
https://edition.cnn.com/2020/05/11/asia/china-south-korea-coronavirus-reopening-intl-hnk/index.html
Even een feestje, https://www.ad.nl/buitenland/uitgaansleven-zuid-korea-weer-op-slot-na-tweede-coronagolf~a9369cf5/
2000 vluchtige contacten en 40 zijn er besmet.
Daar hebben we onze anti-privacy piraat weer.Inmiddels lijkt me voldoende bewezen dat je een overheid niet met privacy van zijn burgers moet laten spelen. Of dat nu een NL-alert app betreft of het gebruikt van achternamen of tweede thuisland betreft.
(belastingdienst).
En wat is er eigenlijk mis met een beetje meer massasurveillance? Het plebs heeft al veel te lang veel te veel vrijheid genoten. Daar gaan ze alleen maar te veel van vreten en te grote auto's van kopen en rondhangen en -scheuren op parkeerplaatsen en fastfoodafval uit de autoraampjes op straat gooien. Nee, gewoon strak(ker) houden die boel!
https://www.unmaskparasites.com/security-report/
http://
www.security.nl
This page seems to be <suspicious>
1 suspicious inline script found: Long suspicious script
var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-3751914-1']); _gaq.push (['_gat._anonymizeIp']); _gaq.push(['_trackP...
Inline
_gaq.push(['_setAccount', 'UA-3563062-3']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script');
ga.type = 'text/javascript';
ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(ga, s);
})();
luntrus
De grootste anti privacy piraten zitten bij degen die beweren dat "mijn privacy" het hoogste goed is. De Big brother 1984 handleiding met newspeak wordt aardig gevolgd door deze figuren.
Volksgezondheid is een grondrecht , expliciet opgenomen bij de EHRM. Maar nee het recht om andere neer te schieten, ziek te maken is wegens privacy en voorkomen etnisch profileren kennelijk veel belangrijker als onderdeel van jouw eigen groep. Als je zo tegen de overheid bent, blijf eens ver weg van overheidsvoorzieningen.
De laaste status: Heb je Seoul gevolgd... teller vanuit 1 persoon aantoonbare besmettingen staat al op 86.
https://nos.nl/artikel/2331054-aantal-schietincidenten-toegenomen-politie-bezorgd.html
Waarom wordt dit probleem niet aangepakt, simpel wij moeten de privacy van burgers in dammen wij moeten
precies weten wat zij doen. Burgers hebben geen recht op privacy. En daarom zijn wij blij met criminelen,
zij geven ons het recht om burgers te mogen monitoren. Dus zolang wij geen criminelen aan pakken kunnen wij
mooi alles doen wat normaal nooit zou mogen.
Volksgezondheid is een grondrecht , expliciet opgenomen bij de EHRM.
Privacy is echter ook een grondrecht.
Dus er moet wel een duidelijke dringende noodzaak voor zijn als men volksgezondheid wil laten prevaleren boven privacy.
Daarom: als sommige delen geanonimiseerd kunnen dan verdient dit de voorkeur. (denk aan de exposure app)
Volksgezondheid is een grondrecht , expliciet opgenomen bij de EHRM.
Privacy is echter ook een grondrecht.
Dus er moet wel een duidelijke dringende noodzaak voor zijn als men volksgezondheid wil laten prevaleren boven privacy.
Daarom: als sommige delen geanonimiseerd kunnen dan verdient dit de voorkeur. (denk aan de exposure app)
Daarbij, als het werkelijke doel de volksgezondheid zou zijn dan zou je iedere toerist, expat, ambassadeur, diplomaat, vluchteling, buitenlandse student, doorreiziger, en noem maar op, ook moeten verplichten de nationale app te installeren (liefst ook gekoppeld aan medische dossiers, belastingaangifte, vingerafdrukken, pasfoto, betaalrekeningen, spaargelden, deposities, verzekeringen, pensioenrechten, IMEI mobiel, ID-bewijs met RFID, en noem maar op), want alles wat iemand volksgezondheid noemt gaat kennelijk altijd voor welke privacy, internationaal recht, verdragen en rechten van de mens dan ook (want wie het ook waren die dat allemaal bedacht en ondertekend hebben, zullen er vast niet over nagedacht hebben dat er mogelijk ook andere zaken belangrijk zijn, toch?).
Of iemand dient met een heel goed onderbouwde analyse te komen die onweerlegbaar aantoont dat die duizenden en duizenden buitenlanders van betekenisloze invloed zijn qua hun interacties met duizenden en duizenden Nederlandse staatsburgers (=nationale volksgezondheid), die dan op een of andere manier verklaren waarom staatsburgers juist wel, en buitenlanders juist niet, aan hetzelfde regime onderworpen dienen te worden om reden van de (medische) volksgezondheid.
Daarnaast dien je niet te zwaar te tillen aan de EHRM, want er zijn nog steeds duizenden daklozen, duizenden kinderen die in armoede opgroeien, duizenden jongvolwassenen die tot voorbij hun dertigste thuis blijven wonen vanwege woningnood, duizenden moderne slaven in, bijvoorbeeld, de gedwongen seksindustrie, en duizenden die zich gedwongen voelen "te kiezen" voor mindere gezondheidszorg vanwege de van bovenaf opgelegde "bijdrage naar vermogen". Dus zo belangrijk is die EHRM kennelijk niet. Misschien dienen mensen zich eens af te vragen waarom sommige aspecten van een internationaal verdrag wel worden aangepakt en opgevolgd, terwijl andere aspecten (soms zelfs binnen hetzelfde internationale verdrag) klaarblijkelijk totaal genegeerd worden. Regelgeving is derhalve een schild, een buigbaar instrument, geen richtlijn dat leidend en bepalend is, en zeker geen gegeven.
...
luntrus
Nou... 'on-topic'... Het is toch gewoon de standaard Google Analytics code van security.nl? Ik vermoed dat die on-line scanner die je hebt gebruikt een beetje doorschiet.
Dit is data hamsteren zoals facebook, google en apple al jaren doen maar dan in XXL formaat vanuit de overheid en nog erger, Brussel.
Mensen hoeven niet gedwongen worden om een surveilance app te installeren een relatief lichte pandemie is reeds genoeg.
...
luntrus
Nou... 'on-topic'... Het is toch gewoon de standaard Google Analytics code van security.nl? Ik vermoed dat die on-line scanner die je hebt gebruikt een beetje doorschiet.
Don't panic. This test is not 100% accurate.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
