TikTok wil zorgen over spionage wegnemen door gegevens in Europa te bewaren

| AE 13896 | Privacy, Regulering | 6 reacties

ananitit / Pixabay

TikTok wil ervoor zorgen dat gegevens van Europese gebruikers niet zomaar naar het moederbedrijf in China gaan. Dat meldde Nu.nl onlangs. Het is een reactie op het TikTok-verbod voor medewerkers van de Europese Commissie en het Europees Parlement, en meer algemeen de zorg bij veel bedrijven over wat de Chinese app-exploitant (en de staat) doet met de gegevens. Al in 2022 kondigde men iets dergelijks aan, wat gaat men nu doen en wat gaat het opleveren?

Vorig jaar november blogde ik al over de verrassende ontdekking dat data van de Chinese app naar China gaat. Zelden zorgde een juridische frase voor zo veel ophef als deze:

Standard contractual clauses: Certain entities in our Corporate Group located in countries without an adequacy decision are granted, under standard contractual clauses, limited remote access to information described in What Information We Collect to provide important functions. These entities are located in Brazil, China, Malaysia, Philippines, Singapore, and the United States.
De SCC zijn een standaardconstructie onder de AVG. Deze lap tekst met juridische eisen aan je niet-EU ontvanger is door de Europese Commissie voorgeschreven; je kwakt het in een contract en de wederpartij tekent, waarna de weg open is om ze data te geven. Dat is dus wat TikTok net als iedereen doet (hoi Meta, Twitter en collega’s), maar omdat “China” in de lijst staat werd het ineens spannend. Het droeg in ieder geval bij aan een discussie waarin steeds meer partijen overwegen TikTok te verbannen, of dat al gedaan hebben. Zoals dus de EC en het Europees Parlement.

In het nieuwe plan (dat Clover heet) zal TikTok haar data van Europese gebruikers alleen nog in Europa (Ierland en Noorwegen) opslaan, waarna een onafhankelijke derde partij iets vindt van opslag elders:

Under Clover, TikTok’s data controls and transfer of data outside of the continent will be monitored by a third-party European cybersecurity firm, although the company has yet to disclose the name of its security partner. TikTok said it would introduce “pseudonymisation” of personal data so an individual could not be identified without additional information.

Ik word altijd een tikje zenuwachtig van “pseudonimisering”, want zelden betekent dat wat men denkt dat het betekent. Maar het is alvast een hele stap vooruit dat men niet -zoals de rest van de wereld- liegt dat men anonimiseert. Bij anonimiseren heb je niets meer aan de data omdat hij niet meer te koppelen is aan personen, en het hele punt van al die data is nu juist dat je dingen over personen weet en daar wat mee doet. Wie “anonimiseren” zegt, bedoelt vrijwel altijd “ik haal de namen en contactgegevens weg” en dat is dus wat de AVG alleen maar “pseudonimiseren” noemt.

Het klinkt allemaal heel mooi:

Wij nemen ons voor om samen te werken met andere derde partijen aan de integratie van de nieuwste geavanceerde technologieën die een aanvulling vormen op deze reeds degelijke procedures. Dit omvat, maar is niet beperkt tot, het pseudonimiseren van persoonsgegevens, zodat een persoon niet kan worden geïdentificeerd zonder aanvullende informatie en het samenvoegen van individuele datapunten tot grote datasets om de privacy van personen te beschermen.
Als dit ook zo gerealiseerd wordt, dan zouden de zorgen objectief bekeken een heel eind weggenomen moeten worden. Bij een normaal bedrijf zou ik daarom ook optimistisch zijn over deze ontwikkeling. Echter, bij TikTok is er nog steeds een grote zorg over mogelijke spionage door de Chinese overheid. Ondanks de stappen die het bedrijf nu neemt, blijft het risico bestaan dat gevoelige informatie van Europese gebruikers toch in handen komt van de Chinese staat. En, belangrijker: dat de app gebruikt kan worden om mensen in Europa te beïnvloeden met Chinese propaganda.

Arnoud

[insert code as law joke here] of hoe de EU Cyber Resiliency Act softwareontwikkeling gaat veranderen

| AE 13891 | Innovatie, Ondernemingsvrijheid, Regulering, Security | 9 reacties

“The EU’s new Cyber Resilience Act is about to tell us how to code”, las ik op de blog van Bert Hubert (aanrader). De CRA is een concept-Verordening over cyberbeveiligingseisen voor producten met digitale elementen, zeg maar alles dat we IoT (internet of [st]hi[nt]g?s?) noemen, maar dan breder want netwerkverbinding is niet perse een eis. Dergelijke apparaten moeten eindelijk, eindelijk een goede cyberbeveiliging hebben, maar dat zal nogal wat voeten in de aarde krijgen, zo laat Hubert overtuigend zien. Hoe gaat de toekomst van cybersecurityrecht eruit zien?

De CRA (originele concepttekst) maakt deelt uit van de Europese Digitale Decade, het grote strategieplan van Europa om de wereld te transformeren. Veiligheid van digitale apparaten hoort daar natuurlijk bij, ik zou het zelfs een van de speerpunten van iedere serieuze ict-strategie durven te noemen. En met boetes tot 15 miljoen (of 2% wereldwijde omzet indien hoger) maakt deze Verordening het echt wel een belangrijk onderwerp. Toch is het ook een hele spannende, want afbakenen wat er nu écht allemaal gebeurt is nog razend ingewikkeld.

Neem bijvoorbeeld de uitzondering voor open source, wat een terecht aandachtspunt is omdat je vrijwilligers niet hetzelfde wilt behandelen als commerciële bedrijven. Alleen, hoe baken je dat op een beetje rechtlijnige manier af? Want als ik als bedrijf apparaten gratis weggeef (met alle broncode open source) en geld vraag voor een gekoppelde, verplichte SaaS-dienst dan wil je wel dat die apparaten aan de CRA voldoen. En dan heb je ook nog bedrijven die werknemers opdragen aan open source projecten te werken, omdat ze daar indirect voordeel uit halen bij het implementeren van ict-oplossingen bij klanten. De CRA zegt nu (overweging 10):

In the context of software, a commercial activity might be characterized not only by charging a price for a product, but also by charging a price for technical support services, by providing a software platform through which the manufacturer monetises other services, or by the use of personal data for reasons other than exclusively for improving the security, compatibility or interoperability of the software.
Vervolgens val je onder de CRA als je een product (dus hardware met “digitale elementen” erin) op de markt brengt vanuit een “commercial activity”. Je zou zeggen dat die vrijwilliger die alleen een stuk software op internet zet, hier buiten valt alleen al omdat hij geen producten op de markt brengt. Maar let op: de definitie van een product is “software or hardware product”, dus ook enkel software online zetten kan er al onder vallen, als je daarmee een commerciële activiteit ontplooit. Dat dat bij Microsoft geldt wanneer die gratis software online zetten is dan één ding, een vrijwilliger met een “doneer nu”-knop voelt toch heel anders. Gezien de aard van de verplichtingen is dit wel een zwaar ding, dat echt nog fors op de schop moet. Gelukkig hebben een hoop partijen zich al hierover uitgelaten, dus ik ben benieuwd wat de volgende versie van de tekst gaat zeggen.

Waarom is het dan zo zwaar? De kern is dat ieder “product met digitale elementen” voldoet aan een serie basiseisen, en als je product op een aparte lijst staat dan ben je “critical” en krijg je nog een extra set eisen op je ontwerp-bord. (Stop je er AI in dan krijg je nóg meer eisen, waarover een andere keer.) Het is jouw taak als fabrikant aan te tonen dat je voldoet aan die eisen, en om dat vooraf schriftelijk uitgewerkt te hebben (een cybersecurity risk assessment). Maar alleen een papieren gaapdocument is niet genoeg: je moet gedurende 5 jaar (of levensduur indien korter) een proces hebben om kwetsbaarheden op te lossen (art. 10 lid 6).

Maar er is meer, in die lijst met basiseisen staan namelijk deze twee heel belangrijke componenten:

  1. Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks;
  2. Products with digital elements shall be delivered without any known exploitable vulnerabilities;
Die tweede klinkt meteen héél erg sterk: een product mag niet worden verkocht als er bekende kwetsbaarheden in zitten. Hoe ga je dat doen met een productielijn waarbij het zeg drie maanden duurt van fabriek tot schap in de winkel? Dat kun je zien als een bug, maar ik zie het als een feature: ontdekt men een fout dan moet je dus meteen een update realiseren die direct bij verkoop beschikbaar komt. Of inderdaad je distributeurs instrueren dat apparaat niet te verkopen tot het is opgelost, zeg maar een recall net zoals bij glasscherven in de pindakaas. Ik zou dat wel een goeie vinden, dat we cybersecurity net zo ernstig vinden als glasscherven.

Om dit alles vorm te geven, wordt het aloude CE-keurmerk opgepoetst. Wie dit keurmerk voert, geeft aan dat zijn producten voldoen aan de CRA. Dat maakt aansprakelijkheid een heel stuk makkelijker, zeker in combinatie met de recent besproken AI Liability Directive die gewoon de bewijslast omkeert: wie het CE keurmerk voert en een onveilig product blijkt te hebben verkocht, moet bewijzen dat er niets aan de hand was anders moet hij alle schade vergoeden.

De grote uitdaging, zoals Hubert ook opmerkt, is wie dit alles gaat overzien. Zonder standaarden gaat het niet, maar wie zal de standaard maken over cybersecurity? Hubert:

I have personally been part of a few standardisation processes, and it is extremely worrying how these are dominated by just a few parties, most of them non-European and with strong commercial goals to get a standard passed that works for them.
Dit beeld zal herkenbaar zijn voor iedereen (ikzelf ook) die ooit met standaardisatie heeft meegekeken. Dit zou wel eens het grootste struikelblok kunnen gaan worden. Tegelijkertijd: alleen met een open norm eisen dat een product veilig genoeg is, gaat hem ook niet worden. Dan verzint iedereen eigen criteria en krijgen we jarenlange discussie over waar welke lat zou moeten liggen. Een standaard set eisen is de enige optie. Dus dit gaat nog erg pijnlijk worden, en ik ben bezorgd dat het hierdoor veel langer gaat duren dan nodig is.

Arnoud

 

Brussel tikt Apple op de vingers om App Store-regels kosten abonnementen

| AE 13882 | Ondernemingsvrijheid, Regulering | 2 reacties

Apple mag appontwikkelaars niet verbieden om klanten over prijsverschillen binnen en buiten de appstore te informeren, las ik bij Nu.nl. Brussel heeft het techbedrijf daarvoor op de vingers getikt: een Formele Boze Brief oftewel statement of objections, de eerste stap in een mededingingsonderzoek dat kan uitmunten in een forse boete voor het elektronicabedrijf.

Wanneer een betaling via de App Store van Apple loopt, krijgt het bedrijf daar 30% van (soms minder). Dat is op zichzelf prima, zegt de Commissie: dat is geen onredelijk tarief voor dit betaalmiddel en er worden ook kosten voor de App Store mee gefinancierd. Maar wat Apple daarbij doet, is bedrijven verbieden in de app (of elders) te melden dat men goedkoper uit is door de betaling op een andere manier te doen, zoals via de eigen site.

Apple mag verplichten dat alle appbetalingen op bijvoorbeeld iPhones via de App Store gaan. Maar het techbedrijf mag niet verbieden dat appontwikkelaars mensen informeren dat er goedkopere betaalopties buiten de App Store om bestaan. Dit is onwenselijk:

The Commission’s preliminary view is that Apple’s rules distort competition in the market for music streaming services by raising the costs of competing music streaming app developers. This in turn leads to higher prices for consumers for their in-app music subscriptions on iOS devices. In addition, Apple becomes the intermediary for all [in-app purchase] transactions and takes over the billing relationship, as well as related communications for competitors.
Het hier specifiek over muziekstreaming omdat het onderzoek volgt uit een klacht van muziekstreamer Spotify, die natuurlijk concurreert met Apple Music en nu op het Apple-platform duurder is dan Music of minder winst zou mogen maken als ze de prijzen verlaagt om wél concurrerend te zijn. De uitspraak zal dan ook over muziekstreaming gaan, maar omdat het gaat om een algemene regel is de kans natuurlijk groot dat hetzelfde gaat gelden in andere gebieden.

Apple wordt nu in de gelegenheid gesteld te reageren. Ze hebben het druk; in januari startte de Japanse markttoezichthouder een vergelijkbaar onderzoek maar dan gericht op het niet toelaten van alternatieve betaaltechnieken vanuit de app.

Arnoud

Tesla past filmen met Sentry Mode-camera’s in Nederland aan na AP-onderzoek

| AE 13866 | Privacy, Regulering | 14 reacties

Tesla gaat voor Nederlandse gebruikers aanpassen hoe de Sentry Mode werkt, las ik bij Tweakers. De vier camera’s op de auto’s filmen voortaan niet meer standaard, en de bewaartermijn gaat omlaag. Dit op last van de Autoriteit Persoonsgegevens. Maar Tesla krijgt geen boete of andere sanctie: men ziet de bestuurder als de verwerkingsverantwoordelijke. In 2019… Lees verder

Rechter: burgemeester van Utrecht mocht geen online gebiedsverbod opleggen

| AE 13832 | Regulering, Uitingsvrijheid | 5 reacties

De burgemeester van Utrecht mocht een jongen uit Zeist in 2021 niet verbieden om online een oproep te doen om in opstand te komen tegen het coronabeleid en het vuurwerkverbod. Dat las ik bij Security.nl. De rechtbank Midden-Nederland had de primeur om te oordelen over de online gebiedsverboden, en is (terecht) kritisch. Het onderwerp is… Lees verder

Hoezo moet je je ID laten zien maar mag de politie je niet dwingen daartoe?

| AE 13823 | Regulering | 23 reacties

Een lezer vroeg me: Ik las bij Security.nl een citaat van de minister van Justitie en Veiligheid: “Burgers zijn verplicht om hun identiteitsbewijs te tonen als de politie hier om vraagt. Het is echter niet mogelijk om iemand te dwingen om zijn of haar identiteit prijs te geven.” Kun jij als jurist duiden hoe je deze… Lees verder

Wat Picnic doet mag niet: Nederlands etiket op product verplicht, hoe zit dat?

| AE 13821 | Ondernemingsvrijheid, Regulering | 55 reacties

Sinds kort kunnen klanten van online super Picnic bij sommige producten kiezen voor een goedkoper alternatief uit Duitsland. Dat meldde RTL Nieuws onlangs. Fijn voor de klant misschien, maar dat is wel verboden. Want het etiket is dan natuurlijk ook in het Duits, en dat is in  strijd met de Warenwet. Wat diverse lezers ertoe… Lees verder

Twitter geeft toe externe apps te blokkeren, mag dat?

| AE 13818 | Regulering | 6 reacties

Twitter heeft bevestigd dat het een aantal externe apps bewust heeft geblokkeerd, las ik bij Nu.nl. Het socialemediabedrijf handhaaft naar eigen zeggen regels die al langer bestaan, hoewel velen dat niet tekstueel was opgevallen in de voorwaarden zeg maar. De vermoedelijke reden is dat Twitter hoopt meer geld te verdienen door mensen in de eigen… Lees verder

Coinbase krijgt boete van 3,3 miljoen euro voor overtreden registratieplicht DNB

| AE 13816 | Regulering | 8 reacties

Cryptobeurs Coinbase heeft van De Nederlandsche Bank (DNB) een boete van ruim 3,3 miljoen euro gekregen voor het overtreden van de registratieplicht, las ik bij Security.nl. Financiële dienstverleners moeten zich registreren bij de DNB als deel van de wetgeving tegen bestrijding van witwassen. De boete is hoger dan de standaardboete (2 miljoen) omdat Coinbase een van… Lees verder

Verdachte krijgt lagere straf voor phishing wegens politie-onderzoek naar iPhone

| AE 13796 | Regulering, Security | 3 reacties

Een man die via sms en WhatsApp phishingaanvallen uitvoerde heeft een lagere straf gekregen omdat de politie zijn iPhone zonder toestemming van de rechter-commissaris onderzocht, las ik bij Security.nl. De rechtbank Midden-Nederland oordeelde dat De strafzaak was het gevolg van een smishing-zaak (sms-phishing, sorry) waarbij verzekeraar Achmea als gezicht was gebruikt. Dat lijkt competent genoeg… Lees verder