Nieuws
image

Europees Hof van Justitie mag blijven videovergaderen via Cisco Webex

vrijdag 14 juli 2023, 15:37 door Redactie, 6 reacties

Het Europees Hof van Justitie mag blijven videovergaderen via Cisco Webex. Het gebruik van de videoconferentiesoftware is niet in strijd met de AVG, zo heeft de Europese privacytoezichthouder EDPS bepaald (pdf). Twee jaar geleden gaf de EDPS tijdelijk toestemming voor het gebruik van modelcontracten voor het uitwisselen van persoonsgegevens tussen het Hof en Cisco.

Er werden vervolgens veertien voorwaarden gesteld om de toestemming te verlengen. De eerder gegeven toestemming werd vervolgens vorig jaar verlengd, maar het Hof moest voor 1 maart 2024 aantonen dat eerder vastgestelde problemen waren verholpen. Afgelopen mei kwam het Hof met een "compliance report" dat het aan de gestelde voorwaarden voldoet. Zo hebben het Hof en Cisco de bestaande overeenkomst aangepast zodat er geen persoonsgegevens buiten de EU worden verwerkt.

Het Hof heeft daarnaast verschillende technische en organisatorische maatregelen genomen om te voorkomen dat persoonlijke data buiten de EU wordt verwerkt. Zo hoeven gebruikers van het Hof en externe gebruikers zich niet eerst bij Cisco te registreren om van Webex gebruik te maken. Tevens werd de optie Global Distributed Meetings uitgeschakeld en verschillende optionele features geblokkeerd.

"EU-instanties moeten zich bij hun dagelijkse werkzaamheden inzetten om de fundamentele rechten van individuen te beschermen, en met name bij het gebruik van videoconferentietools de privacyregels. Dit is helemaal het geval wanneer bij deze tools het versturen van persoonlijke data buiten de EU kan plaatsvinden wat een vergroot risico kan zijn voor de rechten en vrijheden van individuen", zegt EDPS-voorzitter Wiewiórowski,

Reacties (6)
14-07-2023, 16:36 door Anoniem
Beter zou zijn om die software af te serveren om veiligheidsredenen. Dit programma download iedere keer dat je het opstart .exe bestanden in de user profiel directory en voert die dan uit. Wat normaal gesproken niet werkt natuurlijk (verboden door de beheerder) dus daar moeten dan uitzonderingen voor gemaakt worden.
Hiermee heeft Cisco de perfecte backdoor/trojan in handen. Dat wil je toch niet, zeker niet bij een hof van justitie.
14-07-2023, 16:52 door Anoniem
Het ergste in deze context is hoeveel tijd & moeite er blijkbaar gedaan is om de WebEx oplossing GDPR compliant - en enigszins operationeel verantwoord te krijgen - i.p.v. gewoon een fatsoenlijk alternatief te zoeken dat 1) geen data graait 2) niet een walgelijk slecht security & privacy-trackrecord heeft 3) geen gesloten ecosysteem is 4) niet een gatenkaas is (zowel de appliances als wel de reguliere client-software heeft jarenlang bekende RCE lekken gehad - closed reporting only) en 5) fatsoenlijke features & kwaliteit biedt voor het ziekelijk hoge licentie-bedrag.
14-07-2023, 17:05 door Anoniem
Volgens mij kan je een alternatief pas kiezen als die aan de eisen voldoet en kan je het zolang dat niet zeker is onmogelijk al gekozen hebben. Een eis is namelijk geen wens, een eis moet echt, die doet een alternatief afvallen als er niet aan voldaan wordt. Voldoen aan de wet is een eis. Ik snap dus niet hoe ze al voor een leverancier gekozen kunnen hebben zonder dat daar zekerheid over was.

Een ander punt, dat bij al die AVG-problemen met Amerikaanse softwareleveranciers geldt, is dat kennelijk alles huppeldepup as a service is geworden. Software van Amerikaanse leveranciers hoeft geen probleem te zijn als die leverancier de software levert maar de verwerking en het beheer niet doet, als je als klant het op eigen systemen draait en zelf beheert, of dat uitbesteedt aan een partij binnen de EU bij wie het probleem om te beginnen al niet optreedt. Het lijkt wel of een mogelijkheid die 20 jaar geleden vanzelfsprekend was helemaal uit het bewustzijn is verdwenen. Ik beweer niet dat we terug moeten naar alles zo inrichten als 20 jaar geleden, maar het kan geen kwaad om te beseffen dat de problemen die er nu zijn niet alleen liggen aan conflicterende wetgeving maar ook aan de manier waarop onder de noemer "cloud" IT-leveranciers alles naar zich toe trekken. Er zijn dus aanpassingen denkbaar op heel andere gebieden dan wetgeving en verdragen die het probleem vermoedelijk beter zouden oplossen.
15-07-2023, 10:57 door Anoniem
Door Anoniem: Volgens mij kan je een alternatief pas kiezen als die aan de eisen voldoet en kan je het zolang dat niet zeker is onmogelijk al gekozen hebben. Een eis is namelijk geen wens, een eis moet echt, die doet een alternatief afvallen als er niet aan voldaan wordt. Voldoen aan de wet is een eis. Ik snap dus niet hoe ze al voor een leverancier gekozen kunnen hebben zonder dat daar zekerheid over was.

Een ander punt, dat bij al die AVG-problemen met Amerikaanse softwareleveranciers geldt, is dat kennelijk alles huppeldepup as a service is geworden. Software van Amerikaanse leveranciers hoeft geen probleem te zijn als die leverancier de software levert maar de verwerking en het beheer niet doet, als je als klant het op eigen systemen draait en zelf beheert, of dat uitbesteedt aan een partij binnen de EU bij wie het probleem om te beginnen al niet optreedt. Het lijkt wel of een mogelijkheid die 20 jaar geleden vanzelfsprekend was helemaal uit het bewustzijn is verdwenen. Ik beweer niet dat we terug moeten naar alles zo inrichten als 20 jaar geleden, maar het kan geen kwaad om te beseffen dat de problemen die er nu zijn niet alleen liggen aan conflicterende wetgeving maar ook aan de manier waarop onder de noemer "cloud" IT-leveranciers alles naar zich toe trekken. Er zijn dus aanpassingen denkbaar op heel andere gebieden dan wetgeving en verdragen die het probleem vermoedelijk beter zouden oplossen.
Wat had je dan liever gezien: Zoom met servers in China of Microsoft Teams die überhaupt de moeite niet doet om aan de AVG te voldoen (al claimen ze dat wel).
Daarnaast klopt het artikel zelf maar half, voor externen hoef je je niet standaard bij Webex (Cisco) te registeren, data kan inderdaad volledig in de EU verwerkt worden en een optie als volledige end2end encryptie op de volledige meeting inclusief video is al jaren aanwezig.
enigste nadeel van de laatste optie is dat gebruikers (extern dus ook) de desktop client moeten installeren en dus niet via een privacy lekkende browser kunnen deelnemen. Daarnaast kun je de oplossing ook prima op eigen infrastructuur draaien, maar aangezien bijna geen organisatie dat meer heeft, zal ook het hof dat vast niet kunnen.
Let wel: het was corona tijd dus ze moesten iets, zoals veel organisaties.
Oh ja, het hof hoeft niet te voldoen aan de AVG trouwens. De Europese Unie heeft haar eigen privacy verordening namelijk 2018/1725.
15-07-2023, 15:18 door Anoniem
landen met een offensief cyber programma moesten toch geweerd worden?
de vs heeft de grootste cyber offense tegen bondgenoten ter wereld...
15-07-2023, 19:33 door Anoniem
Door Anoniem: Oh ja, het hof hoeft niet te voldoen aan de AVG trouwens. De Europese Unie heeft haar eigen privacy verordening namelijk 2018/1725.
Ehm, die verordening geldt voor het Europees Parlement en de Raad voor de Europese Unie, en dus niet voor het Europees Hof van Justitie.

Verder heb ik tot nu toe in die verordening niet kunnen vinden dat die 2016/679 (de AVG) buiten werking stelt voor het Europees Parlement en de Raad voor de Europese Unie, en de AVG stelt zichzelf voor zover ik zie ook niet buiten werking voor die twee EU-organisaties. Dan denk ik dat de AVG in beginsel van toepassing is en dat 2018/1725 details specifiek voor het Parlement en de Raad nader uitwerkt en mogelijk op bepaalde punten de AVG overruled, als de AVG toestaat dat unierecht dat doet. Ik zie niet hoe met een eigen verordening een algemene verordening in zijn geheel aan de kant kan worden geschoven. "Algemeen" betekent dat die algemeen geldt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure