Juridisch Nieuws nr. 74 – augustus 2024.  

Telegram, Signal, WhatsApp… Hoe goed zijn instant messaging-diensten in een professionele context?

De arrestatie in Frankrijk van Pavel Durov, de oprichter van de berichtenapp, heeft in de media tal van reacties opgeroepen. Telegram.

Los van de politieke debatten over dit onderwerp, biedt deze zaak ons de gelegenheid om de betrouwbaarheid van instant messaging-diensten te evalueren.

In hoeverre is de uitgewisselde informatie daadwerkelijk vertrouwelijk? Zijn deze applicaties vergelijkbaar en kunnen ze in een professionele context worden gebruikt?

De meeste instant messaging-diensten adverteren tegenwoordig met het versleutelen van hun communicatie.

De werkwijze verschilt echter per berichtendienst.

Veel Telegram-gebruikers hebben de afgelopen dagen dus ontdekt dat hun communicatie niet standaard beveiligd is.

Alleen directe communicatie tussen twee deelnemers die handmatig versleuteling hebben geactiveerd in hun gespreksopties is beveiligd.

Het is belangrijk om te weten dat Telegram geen gebruik maakt van open-source encryptie zoals het Signal-protocol, maar vertrouwt op een "eigen" technologie die onmogelijk te verifiëren is. 

Groepsdiscussies (of chatkanalen) kunnen niet worden versleuteld, waardoor Telegram toegang heeft tot de inhoud ervan, evenals tot informatie over de leden en beheerders van deze groepen.

De uitwisselingen hier lijken meer op die van een sociaal netwerk dan op die van een berichtenapp.

Telegram wordt al jaren bekritiseerd vanwege het gebrek aan moderatie van discussiekanalen, het negeren van verzoeken van vele overheden om illegale inhoud te verwijderen en het weigeren om informatie over potentiële overtreders te delen.

Deze verplichtingen tot moderatie en samenwerking met de wetshandhaving zijn vastgelegd in de Franse wetgeving en de Europese verordening inzake digitale diensten.

In deze context werd de oprichter gearresteerd wegens gebrek aan medewerking en medeplichtigheid aan georganiseerde misdaad.

Deze verplichting tot samenwerking kent echter wel grenzen: zo blijft end-to-end versleutelde communicatie vertrouwelijk en kan deze niet worden onderschept door een derde partij, of het nu de berichtenprovider, een overheid of een hacker is.

Sommige staten maken zich zorgen over het wijdverbreide gebruik van encryptie en lobbyen voor wetswijzigingen die het mogelijk zouden maken om encryptie te omzeilen.

Dit is met name het geval in de context van de voorgestelde Europese verordening inzake seksueel misbruik van kinderen.

Deze druk om de vertrouwelijkheid van communicatie te verzwakken, lokt talrijke reacties uit van verdedigers van individuele vrijheden en gegevensbeschermingsautoriteiten. Zij vrezen dat dit neerkomt op grootschalige surveillance van privécommunicatie, de digitale veiligheid ondermijnt door encryptie te doorbreken en geen enkel bewijs levert dat het de beoogde doelstelling, namelijk de bescherming van kinderen, daadwerkelijk zal bereiken.

Gezien de huidige stand van de wet en technologie, wordt ten zeerste aangeraden om end-to-end versleutelde berichten te gebruiken voor het uitwisselen van professionele berichten, vooral wanneer de inhoud van het bericht gevoelig is (bijvoorbeeld medische of financiële gegevens).

En in dit opzicht zijn niet alle applicaties gelijk. Hoewel de inhoud van berichten beschermd kan zijn, voorkomt encryptie niet dat bepaalde gebruikersidentificatie- en/of verbindingsgegevens worden verzameld.

Bij het gebruik van discussiegroepen is in alle gevallen extra voorzichtigheid geboden.

Het gebruik van groepen WhatsApp Het uitwisselen van gevoelige gegevens in een professionele context heeft ertoe geleid dat een gegevensverwerker door een gegevensbeschermingsautoriteit is gesanctioneerd.

Signaal Het wordt algemeen erkend als een systeem dat een hoge mate van bescherming biedt, maar het is niet het enige.

We kunnen bijvoorbeeld het volgende noemen: Threema En Olvid Deze diensten hebben als voordeel dat ze Europees zijn. Het nadeel is echter dat ze nog relatief onbekend zijn. Binnen een bedrijf kunnen dergelijke berichtensystemen desondanks een interessant alternatief vormen.

NB / Talrijke analyses beschrijven de sterke en zwakke punten van berichtenapps. Zie bijvoorbeeld de analyse van Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Voor een uitgebreidere analyse van wat wetshandhavers kunnen verkrijgen via een berichtenservice, zie dit FBI-trainingsdocument dat is verkregen via een verzoek op grond van de Freedom of Information Act door Property of the People, een Amerikaanse non-profitorganisatie die zich inzet voor transparantie binnen de overheid: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS médecins maakte op 2 september bekend dat de CNIL (de Zwitserse Nationale Autoriteit voor de Bescherming van Persoonsgegevens) toestemming had gegeven voor de oprichting van een datawarehouse, genaamd "Contact".

Volgens SOS médecins is Contact "gewijd aan zorg buiten de reguliere openingstijden en het verbeteren van de toegang tot zorg, en zal het onderzoek en innovatie in de gezondheidszorg bevorderen."

Het systeem zal de gegevens van miljoenen patiënten die jaarlijks binnen de 64 aangesloten verenigingen worden behandeld, veilig en vertrouwelijk samenvoegen.

Volgens de federatie zouden deze gegevens hergebruikt moeten worden ten behoeve van patiënten, om de werkwijze te verbeteren en de zorg te optimaliseren.

De Universiteit Paris-Saclay heeft bekendgemaakt dat zij op 11 augustus het doelwit is geworden van een ransomware-aanval. Dit incident vond plaats een week na een andere cyberaanval op meer dan 40 culturele instellingen in Frankrijk: cybercriminelen zouden het computersysteem van de "Réunion des musées nationaux – Grand Palais" hebben geïnfiltreerd, waarin alle financiële gegevens van deze instellingen zijn gecentraliseerd, en dreigden de gegevens binnen 48 uur openbaar te maken als er geen losgeld werd betaald.

Volgens L'Usine Digitale werden de 36 winkels die door het netwerk worden beheerd getroffen en raakten de systemen uitgevallen. Het Openbaar Ministerie van Parijs heeft een onderzoek ingesteld.

 

Europese instellingen en organen

De Europese Commissie heeft een raadpleging geopend, die loopt tot 30 september, over de bescherming van minderjarigen online. met name in de context van de Digital Services Act (DSA) en de Reporting of Child Pornography Material (CSAM).

Volgens de DSA moet de Commissie richtlijnen ontwikkelen om de betreffende online platformen te helpen voldoen aan de eisen voor de bescherming van de privacy en veiligheid van minderjarigen.

"Deze richtlijnen bieden een niet-uitputtende lijst van goede praktijken en aanbevelingen voor aanbieders van online platformen om hen te helpen de risico's met betrekking tot de bescherming van minderjarigen te verminderen. De richtlijnen zullen de Commissie en coördinatoren van digitale diensten ook helpen bij het toezicht op platforms en de handhaving van de DSA."

De Europese Commissie publiceert dit najaar haar eerste rapport over de werking van het "Data Privacy Framework" (DPF) tussen de Europese Unie en de Verenigde Staten. In juli vond een bilaterale evaluatiebijeenkomst over dit onderwerp plaats en de Commissie heeft tevens een openbare raadpleging geopend, waarbij tot 6 september reacties kunnen worden ingediend.

China en de EU zijn begonnen met besprekingen over gegevensoverdracht in het kader van een nieuw "mechanisme voor grensoverschrijdende gegevensuitwisseling". Volgens de Europese Commissie is het doel van het mechanisme om manieren te vinden om de grensoverschrijdende overdracht van niet-persoonlijke gegevens voor Europese bedrijven te vergemakkelijken, evenals hun naleving van de Chinese gegevensbeschermingswetgeving.

 

Nieuws uit de lidstaten van Europa.

In Duitsland heeft het Hof van Beroep in Frankfurt Microsoft bevolen af te zien van het plaatsen en opslaan van cookies op de apparaten van de betrokkene zonder diens toestemming, zelfs als dit betekent dat Microsoft helemaal geen trackingcookies meer plaatst.

Deze beslissing lijkt in lijn te zijn met een recente uitspraak van een Nederlandse rechtbank die Microsoft, LinkedIn en Xandr verbood om trackingcookies te plaatsen zonder toestemming van de gebruiker en een boete van 1.000 euro per bedrijf oplegde voor elke dag dat het bedrijf zich niet aan de uitspraak hield (via GDPRhub).

De Belgische Autoriteit voor Gegevensbescherming (AP) heeft een klacht van een betrokkene over een datalek afgewezen. Het oordeelde dat de door de verwerkingsverantwoordelijke genomen technische en organisatorische maatregelen op grond van artikel 32 van de AVG passende waren.

Deense ODA werd overwogen dat, om te kunnen spreken van vrije en expliciete toestemming voor het gebruik van gezichtsherkenning voor toegang tot een fitnesscentrum, de betrokkene over andere verificatiemethoden moet beschikken die geen verwerking van biometrische gegevens met zich meebrengen.

In Spanje heeft de Autoriteit voor Gegevensbescherming (APD) een gegevensverwerker een boete van € 145.000 opgelegd na de diefstal van een onversleutelde USB-stick met persoonsgegevens die verband hielden met een strafzaak.Ze constateerde een schending van het vertrouwelijkheidsbeginsel, hoewel er geen bewijs was dat de gegevens waren ingezien.

In Italië is de APD Een boete van 20.000 euro is opgelegd aan een gemeente die de namen van niet-geslaagde kandidaten in een openbare selectieprocedure illegaal had gepubliceerd. Bovendien had de gemeente geen bindende overeenkomst gesloten met haar onderaannemer, wat een schending van artikel 28, lid 3, van de AVG vormt.

De APD heeft een telecomaanbieder ook een boete van één miljoen euro opgelegd omdat deze zonder geldige toestemming contact opnam met klanten voor commerciële doeleinden. De gegevensbeschermingsautoriteit was van mening dat een gegevensverwerker zich niet kon beroepen op een gerechtvaardigd belang om telefonische marketinggesprekken met zijn klanten te voeren.

Op 22 juli heeft de Nederlandse Autoriteit Persoonsgegevens (APD), in samenwerking met de CNIL, een boete van 290 miljoen euro opgelegd aan Uber BV (gevestigd in Nederland) en Uber Technologies INC. (gevestigd in de Verenigde Staten) voor het overdragen van persoonsgegevens buiten de EU zonder voldoende waarborgen.

De CNIL (Franse Autoriteit voor Gegevensbescherming) ontving een collectieve klacht van de Liga voor de Rechten van de Mens, die meer dan 170 chauffeurs op het platform vertegenwoordigt. De Nederlandse Autoriteit Persoonsgegevens (APD) stelde vast dat de verwerking van persoonsgegevens van chauffeurs, waarvoor Uber BV en Uber Technologies Inc. gezamenlijk verantwoordelijk zijn, overdrachten naar de Verenigde Staten met zich meebrengt. Tussen 6 augustus 2021 en 21 november 2023 (de datum waarop Uber werd toegevoegd aan het Kader voor Gegevensbescherming) waren deze overdrachten niet onderworpen aan passende waarborgen. De APD concludeerde dat er sprake was van een schending van artikel 44 van de AVG. Uber heeft aangekondigd in beroep te gaan tegen deze beslissing, die het als ongegrond beschouwt.

De Nederlandse Autoriteit Persoonsgegevens (APD) heeft Clearview AI op 3 september een boete van € 30,5 miljoen opgelegd, plus een extra boete van € 5 miljoen voor het niet naleven van de regels. Clearview had met name een illegale database aangemaakt met miljarden gezichtsafbeeldingen, waaronder die van Nederlandse burgers. De APD heeft Clearview ook een verbod opgelegd op het gebruik van hun diensten. Omdat het bedrijf geen bereidheid heeft getoond om zijn werkwijze te veranderen, heeft de APD aangegeven dat zij verschillende juridische mogelijkheden onderzoekt, waaronder de mogelijkheid om de directieleden van het bedrijf persoonlijk aansprakelijk te stellen voor deze overtredingen.

De Noorse Universiteit voor Wetenschap en Technologie (NTNU) heeft een rapport gepubliceerd met de titel "Copilot testen voor Microsoft 365" onder auspiciën van de "sandboxes" van de Noorse Autoriteit voor Gegevensbescherming.

De universiteit testte Microsofts Copilot-dienst voor kunstmatige intelligentie en publiceerde begin zomer 2024 acht belangrijke bevindingen, die nuttig zijn voordat men deze nieuwe dienst in gebruik neemt.

De Sloveense Autoriteit voor Gegevensbescherming (APD) oordeelde dat een school een verzoek om inzage van een ouder gedeeltelijk mag weigeren als de openbaarmaking van bepaalde gegevens de belangen van de minderjarige zou kunnen schaden.

Op 14 augustus heeft Zwitserland een adequaatheidsbesluit aangenomen voor de Verenigde Staten, waardoor de overdracht van gegevens aan bedrijven die gecertificeerd zijn volgens een Zwitsers-Amerikaans "kader voor gegevensbescherming" is toegestaan.

Zwitserland sluit zich daarmee aan bij de Europese Unie en het Verenigd Koninkrijk, die organisaties toestaan om de persoonsgegevens van hun inwoners onder vergelijkbare voorwaarden naar de Verenigde Staten over te dragen.

De ngo noyb waarschuwde de media op 12 augustus voor het sociale netwerk "X", dat illegaal de persoonsgegevens van meer dan 60 miljoen gebruikers in de EU/EER gebruikt om zijn AI-technologie ("Grok") te trainen zonder hun toestemming.

In tegenstelling tot Meta (dat onlangs zijn AI-training in de EU moest stopzetten), heeft Twitter, volgens de ngo, zijn gebruikers niet van tevoren geïnformeerd. De Ierse gegevensbeschermingscommissie heeft een rechtszaak aangespannen tegen X, en noyb heeft in negen Europese landen klachten ingediend om deze praktijken te stoppen. De toezegging van X om te stoppen met het gebruik van deze gegevens kwam uiteindelijk toen de nieuwe versie van Grok beschikbaar kwam. Volgens de ngo werd het AI-model in de tussentijd inderdaad getraind met behulp van EU-gegevens.

 

In het Verenigd Koninkrijk kreeg een gegevensbeheerder een berisping omdat hij, zoals vereist in artikel 35 van de Britse AVG, geen privacy-effectbeoordeling had uitgevoerd voordat hij een gezichtsherkenningssysteem in een school in gebruik nam. De gegevensbeheerder had bovendien geen geldige toestemming verkregen.

De Verenigde Naties en de Internationale Arbeidsorganisatie hebben een rapport gepubliceerd met de titel "Mind the AI Divide – Shaping a Global Perspective on the Future of Work".

Het rapport vermeldt onder andere dat technologische vooruitgang banen in gevaar brengt in sectoren zoals callcenters en andere vormen van business process outsourcing die wijdverbreid zijn in sommige ontwikkelingslanden.

Hoewel sommige taken in deze beroepen potentieel geautomatiseerd zouden kunnen worden, voegt het document eraan toe dat de meeste nog steeds menselijke tussenkomst vereisen. "Een dergelijke gedeeltelijke automatisering zou kunnen leiden tot efficiëntiewinst, waardoor mensen meer tijd aan andere werkgebieden kunnen besteden."

Een Amerikaanse federale rechter oordeelde op 5 augustus dat Google een illegaal monopolie op internetzoekmachines had. De rechter concludeerde dat "Google artikel 2 van de Sherman Act had overtreden door zijn monopolie in twee productmarkten in de Verenigde Staten – algemene zoekdiensten en algemene tekstadvertenties – te handhaven via zijn exclusieve distributieovereenkomsten."

Nigeria publiceerde afgelopen augustus zijn "nationale AI-strategie".

Het document stelt met name het volgende: “Nigeria en het bredere Afrikaanse continent kennen enkele van de meest specifieke en aantrekkelijke uitdagingen en kansen die AI zou kunnen aanpakken. Van het optimaliseren van de landbouw in diverse klimaten tot het verbeteren van de infrastructuur voor de volksgezondheid: lokaal ontwikkelde AI-oplossingen, afgestemd op de lokale omstandigheden, zijn veel beter in staat om deze uitdagingen aan te gaan dan extern opgelegde modellen die zijn ontwikkeld voor een volledig andere context en bevolking. (...) Veel datasets in Nigeria lijden onder onnauwkeurigheden, onvolledigheid en een gebrek aan standaardisatie. De datakwaliteit moet worden verbeterd om de betrouwbaarheid en effectiviteit van AI-algoritmen te garanderen, die schone en nauwkeurige data nodig hebben om optimaal te functioneren.”

"X" heeft zijn activiteiten in Brazilië opgeschort na maandenlange conflicten met de rechter van het Hooggerechtshof.

Op 31 augustus gelastte de rechter een verbod op X en een bevriezing van de activa van Elon Musks ruimtevaartbedrijf Starlink. Deze beslissing volgt op een maandenlang onderzoek naar de verspreiding van valse en lasterlijke informatie via het sociale netwerk, evenals een verder onderzoek naar Musk wegens vermeende belemmering van de rechtsgang.