Privacy and technology

Uit het begeleidende nieuwsbericht waarmee de campagne ‘Veilig bankieren’ wordt aangekondigd:

“Hoewel de omvang relatief beperkt is, neemt de fraude met internetbankieren nog steeds toe. Vorig jaar bedroeg de schade die banken hierdoor lijden 9,8 miljoen euro, de eerste helft van dit jaar is dit opgelopen tot 11,2 miljoen euro. […] In 2010 waren er 1383 fraude-incidenten met internetbankieren, de eerste helft van dit jaar 2418 incidenten. Dit aantal is gering in vergelijking met het aantal mensen dat via internet bankiert en inmiddels rond de 11 miljoen bedraagt; Nederland loopt hiermee internationaal voorop.”

From the introduction:

“These Self-Regulatory Principles for Multi-Site Data augment the Digital Advertising Alliance (‘DAA’) Self Regulatory Principles for Online Behavioral Advertising (‘OBA Principles’) by covering the prospective collection of Web site data beyond that collected for Online Behavioral Advertising. […] These Multi-Site Data Principles extend beyond collection of data for OBA purposes and apply to all data collected from a particular computer or device regarding Web viewing over time and across non-Affiliate Web sites.”

From the Executive Summary:

“The NIST Cloud Computing Standards Roadmap Working Group has surveyed the existing standards landscape for security, portability, and interoperability standards/models/studies/use cases, etc., relevant to cloud computing. Using this available information, current standards, standards gaps, and standardization priorities are identified in this document.”

From the linked page:

“Speech on the Internet requires a series of intermediaries to reach its audience. Each intermediary is vulnerable to some degree to pressure from those who want to silence the speaker. Even though the Internet is decentralized and distributed, “weak links” in this chain can operate as choke points to accomplish widespread censorship.The Internet has delivered on its promise of low-cost, distributed, and potentially anonymous speech. Reporters file reports instantly, citizens tweet their insights from the ground, bloggers publish to millions for free, and revolutions are organized on social networks. But the same systems that make all of this possible are dangerously vulnerable to chokeholds that are just as cheap, efficient, and effective, and that are growing in popularity. To protect the vibrant ecosystem of the Internet, it’s crucial to understand how weaknesses in the chain of intermediaries between you and your audience can threaten speech.”

Uit de Kamerbrief:

“Begin volgend jaar zal een rijksbrede baseline van kracht worden (BIR). De BIR, evenals de meeste departementale baselines, is gebaseerd op de Code voor Informatiebeveiliging. Dat is een internationale standaard die ook in de markt veelal de basis vormt voor de eigen informatiebeveiliging van de organisatie. Voor de safety zal via het instrument van DigiD gebruik worden gemaakt van jaarlijkse beveiligingsassessments. […] Om meer inzicht te krijgen in de meest effectieve methode voor [de] stimulering [van de toepassing van privacy by design], zal TNO de Minister van EL&I rapporteren over onderzoek naar de drijvende en remmende krachten die van invloed zijn op de beslissing van bedrijven om privacy by design toe te passen. […] In de [Notitie privacybeleid] werd een brede meldplicht voor datalekken - gericht op de bescherming van persoonsgegevens - in het vooruitzicht gesteld. In het algemeen overleg is aangekondigd dat dit onderwerp met voorrang in een wetsvoorstel wordt opgenomen. De verwachting is dat dit wetsvoorstel eind november 2011 ter consultatie aan adviesorganen en belanghebbenden kan worden aangeboden. […] De ministeries van EL&I en BZK hebben gezamenlijk opdracht gegeven voor een evaluatie van het stelsel van PKI overheid en het stelsel van gekwalificeerde certificaten. Mochten de resultaten van het onderzoek hiertoe aanleiding geven dan zal ik met de minister van EL&I in overleg treden over de wijze waarop het systeem van toezicht aangepast dient te worden en in hoeverre hierbij onderscheid moet zijn tussen PKI-Overheid certificaten en de overige gekwalificeerde certificaten. Hierover wordt uw Kamer in het voorjaar van 2012 nader geïnformeerd. Verder is een audit gestart met de vraag of de organisaties in het PKI stelsel alert hebben gereageerd, zowel in de fase voor als de fase na het bekend worden inbreuk op DigiNotar. De lessen hieruit zullen worden meegenomen in de reactie op de evaluatie van het PKI stelsel. […] Er zijn vragen gesteld over de mogelijkheid te onderzoeken of het mogelijk is het beveiligingsniveau van transacties of mutaties via DigiD te verhogen naar eenzelfde niveau als banken hanteren bij internetbankieren, bijvoorbeeld door het gebruik van een e-identifier. Er wordt op dit moment gewerkt aan de besluitvorming over de wenselijkheid en de haalbaarheid van de invoering van een geheel nieuw (hoger) zekerheidsniveau binnen DigiD, waarbij nadrukkelijk ook het kostenaspect zal worden betrokken. Het betreft hier de ontwikkeling van een elektronische Identiteit (eID), die geplaatst kan worden op meerdere wettelijke identiteitskaarten, zoals de Nederlandse Identiteitskaart (NIK) genoemd, de zogenaamde elektronische Nederlandse Identiteitskaart (eNIK). De Tweede Kamer zal hierover binnenkort geïnformeerd worden.”

From the press release:

“To address rising concerns about privacy on the Web, W3C publishes today [14 November 2011] two first drafts for standards that allow users to express preferences about online tracking […] These documents are the early work of a broad set of stakeholders in the W3C Tracking Protection Working Group, including browser vendors, content providers, advertisers, search engines, and experts in policy, privacy, and consumer protection. W3C invites review of these early drafts, which are starting points of work to come. W3C expects them to become standards by mid-2012.”

Uit de conclusie:

“Justitie besloot het botnet te ontmantelen in de hoop daarmee een klap uit te delen aan het internationale cybercriminele circuit. Zij maakte voor deze ontmanteling gebruik van de discutabele opsporingsmethode terug-hacken. Met gebruikmaking van valse signalen en valse sleutels werd binnengedrongen op de botnet servers om daar gedurende tien weken verdachte te monitoren en observeren. Daarnaast werd via het botnet toegang verworven tot alle aangesloten computers van de slachtoffers om daarop bestanden toe te voegen. Vanwege de belangrijke rol van ICT-systemen op het dagelijks leven en de toegang tot een potentieel uiterst groot en veelzeggend databestand, vormt terug-hacken een inmenging op het privacyrecht ex. art. 8 EVRM, ook wanneer de systemen zich buiten de directe fysieke omgeving van de gebruiker bevinden en zelfs voor verdachten.”

• EDRi letter: EC proposes reduced retention periods for retained data
• US court allows access to world-wide Twitter accounts data
• Online Distribution of Audiovisual Works: EDRi’s answer to the EC
• Unlocking education in the Netherlands
• EDRi Responds to BEREC’s Consultation on Net Neutrality and Transparency
• 2011 Public Voice Civil Society Conference: “Privacy is Freedom”
• 33rd International DPA Conference in Mexico City
• Will the new flawed EU-US PNR agreement be approved by the EP?
• ENDitorial: Copyright combinatronics
• Recommended Action
• Recommended Reading
• Agenda

From the Abstract:

“For almost two decades, experts and defense establishments the world over have been predicting that cyber war is coming. But is it? This article argues in three steps that cyber war has never happened in the past, that cyber war does not take place in the present, and that it is unlikely that cyber war will occur in the future.”

Abstract:

“We carry out a systematic study of existing visual CAPTCHAs based on distorted characters that are augmented with anti-segmentation techniques. Applying a systematic evaluation methodology to 15 current CAPTCHA schemes from popular web sites, we find that 13 are vulnerable to automated attacks. Based on this evaluation, we identify a series of recommendations for CAPTCHA designers and attackers, and possible future directions for producing more reliable human/computer distinguishers.”

Uit paragraaf 3.2 Grondrechten:

“Tot slot adviseert de staatscommissie over de artikelen 7 (vrijheid van drukpers), 10 (eerbiediging van de persoonlijke levensfeer en de bescherming van persoonsgegevens) en 13 van de Grondwet (brief-, telefoon-, en telegraafgeheim). Het betreft hier het vraagstuk van de zogenoemde grondrechten in het digitale tijdperk, waarbij de vraag aan de orde is of een aantal grondrechten dient te worden aangepast in verband met de ontwikkelingen in de informatietechnologie. […] Ten aanzien van een enkel onderwerp ziet het kabinet evenwel voldoende aanleiding het advies van de staatscommissie over te nemen. Het betreft het advies om artikel 13 van de Grondwet te wijzigen. De huidige techniekafhankelijke en limitatieve formulering van de beschermde communicatiemiddelen staat de normatieve betekenis van de betreffende grondwetsbepaling voor wetgever en rechter in de weg. Dit leidt tot onnodige interpretatievraagstukken en (risico van) inconsistentie in de uitleg en beoogde en wenselijke rechtsbescherming. Dit probleem wordt versterkt doordat vooral dit grondwetsartikel ver achter loopt bij de verwante verdragsrechten waarin de laatste jaren nieuwe ontwikkelingen, normen en formuleringen zijn uitgekristalliseerd.”

From the text:

“The phone-hacking saga tells us things about privacy, as well. Firstly, it shows us that, in the wrong hands, there is sometimes a fine line between the exposure of private lives and blackmail. In several recent cases involving privacy injunctions the judges have actually used the word ‘blackmail’ about material being hawked around Fleet Street and its agents. They’re not describing a literal criminal offence which the police should investigate. They’re describing a trade-off between money for secrets, and/or money for silence of the sort that is familiar from blackmail cases. […] Secondly, it teaches us how sickened people feel when their privacy is invaded. ‘Violated’ was the word used by the former Sun editor, Kelvin MacKenzie, when he looked at the pages which showed how his own phone messages had been intercepted. If you speak to other victims of the hacking they will tell you how deeply repulsive it was to think of a stranger listening into private communications with loved ones or family. […] What else did we learn from the phone-hacking saga? Well, talking of rules and codes, we discovered that the thing that we call ‘self-regulation’ in the press is no such thing.”

Inhoudsindicatie: OM-cassatie. Vialis- en ANPR-gegevens. Het Hof is i.v.m. schending van art. 3 Wet politiegegevens overgegaan tot bewijsuitsluiting. HR herhaalt de relevante overwegingen uit HR LJN AM2533 m.b.t. art 359a Sv en HR LJN BH8889 m.b.t. art. 8 EVRM.’s Hofs oordeel is niet toereikend gemotiveerd.

Inhoudsindicatie: Auteursrecht, Gemeenschapsmerkenrecht en onrechtmatige daad; link naar een door een derde aangeboden (vermeend) inbreukmakende software is geen openbaarmaking of verveelvoudiging in de in van de Auteurswet en valt niet onder artikel 26d Auteurswet; de vordering om inbreuk op Gemeenschapswoord/beeldmerk REAL te staken is onvoldoende gesubstantieerd.

From the Abstract:

“The importance of the adoption of Electronic Health Records (EHRs) and the associated cost savings cannot be ignored as an element in the changing delivery of health care. However, the potential cost savings predicted in the use of EHR are accompanied by potential risks, either technical or legal, to privacy and security. The U.S. legal framework for healthcare privacy is a combination of constitutional, statutory, and regulatory law at the federal and state levels. In contrast, it is generally believed that EU protection of privacy, including personally identifiable medical information, is more comprehensive than that of U.S. privacy laws. Direct comparisons of U.S. and EU medical privacy laws can be made with reference to the five Fair Information Practices Principles (FIPs) adopted by the Federal Trade Commission and other international bodies. The analysis reveals that while the federal response to the privacy of health records in the U.S. seems to be a gain over conflicting state law, in contrast to EU law, U.S. patients currently have little choice in the electronic recording of sensitive medical information if they want to be treated, and minimal control over the sharing of that information. A combination of technical and legal improvements in EHRs could make the loss of privacy associated with EHRs de minimis. The EU has come closer to this position, encouraging the adoption of EHRs and confirming the application of privacy protections at the same time.”

From ‘Into the cloud, out of the fog’:

“According to our survey, 59% of respondents plan to increase their information security budgets in the next 12 months, however indications suggest that the money might not be spent as wisely as it should be and fewer than half (49%) of respondents stated that their information security function is meeting the needs of the organization.”

From the abstract:

“In this paper, we provide survey data that show that many parents know that their underage children are on Facebook in violation of the site’s restrictions and that they are often complicit in helping their children join the site. Our data suggest that, by creating a context in which companies choose to restrict access to children, COPPA inadvertently undermines parents’ ability to make choices and protect their children’s data.”

From the abstract:

“In this paper, we evaluate how vulnerable [Online Social Networks (OSNs)] are to a large-scale infiltration by socialbots: computer programs that control OSN accounts and mimic real users. We adopt a traditional web-based botnet design and built a Socialbot Network (SbN): a group of adaptive socialbots that are orchestrated in a command-and-control fashion. We operated such an SbN on Facebook|a 750 million user OSN|for about 8 weeks. We collected data related to users’ behavior in response to a large-scale in ltration where socialbots were used to connect to a large number of Facebook users.”

From the executive summary:

“In approaching the organization of this second year, we wanted to attempt to answer some questions that we were left with after Defcon 18’s SE Capture the Flag event. The first question being, is there any difference between two companies in the same industry regarding defenses against social engineering attacks? Second, what techniques were effective in eliciting information from companies and why? Finally, what defenses were effective in preventing the leakage of information from companies in the course of the contest?”

From the abstract:

“We tested nine tools, including tools that block access to advertising websites, tools that set cookies indicating a user’s preference to opt out of [online behavioral advertising (OBA)], and privacy tools that are built directly into web browsers. We interviewed participants about OBA, observed their behavior as they installed and used a privacy tool, and recorded their perceptions and attitudes about that tool. We found serious usability flaws in all nine tools we examined.”

Uit de samenvatting in het persbericht:

“De verordening betreffende de rechterlijke bevoegdheid bepaalt dat personen die woonplaats hebben op het grondgebied van een lidstaat in beginsel worden opgeroepen voor de gerechten van die staat. Ten aanzien van verbintenissen uit onrechtmatige daad kan een persoon echter ook worden opgeroepen in een andere lidstaat, voor het gerecht van de plaats waar het schadebrengende feit zich heeft voorgedaan of zich kan voordoen. Zo heeft het slachtoffer, in geval van belediging door middel van een in verschillende lidstaten verspreid schriftelijk artikel in de pers, twee mogelijkheden om de uitgever tot schadevergoeding aan te spreken. Het kan zich wenden tot de gerechten van de staat waar de uitgever gevestigd is. Die gerechten kunnen zich uitspreken over de volledige schade die door de belediging is veroorzaakt. Ook kan het slachtoffer zich wenden tot de gerechten van elke lidstaat waarin de publicatie is verspreid en waar het beweert in zijn goede naam te zijn aangetast (plaats van intreden van de schade). In dat laatste geval kunnen de nationale gerechten echter alleen kennis nemen van vorderingen betreffende schade die is veroorzaakt in de staat waar zij hun zetel hebben. Het Bundesgerichtshof (Duitsland) en het Tribunal de grande instance de Paris (Frankrijk) hebben het Hof verzocht te preciseren, in hoeverre die beginselen ook toepassing vinden in geval van inbreuken op de persoonlijkheidsrechten door op internet geplaatste contents.”

From the ‘About us’ page:

“The Centre for Commercial Law Studies (CCLS) at Queen Mary, University of London has embarked on a three year project to undertake academic research in relation to cloud computing and to disseminate the key findings of that research. […] The purpose of this project is to reduce that uncertainty via the production and dissemination of a series of scholarly yet practical research papers to address various legal and regulatory issues that will be fundamental to the successful development of cloud computing.”

• Four strikes against web blocking in Brussels
• The Russian Government plans to control the online media
• EU-Australia agreement on travel data transfers adopted by EP
• Finnish ISP ordered to block The Pirate Bay
• Ukraine draft law on decency threatens freedom of speech
• Vote on Net neutrality in the European Parliament
• Austrian Big Brother Awards 2011
• Higher numbers of content removal requests from governments to Google
• The European Commission encourages the digitisation of culture
• Recommended Action
• Recommended Reading
• Agenda

From the Abstract:

“America has begun to censor the Internet. Defying conventional scholarly wisdom that Supreme Court precedent bars Internet censorship, federal and state governments are increasingly using indirect methods to engage in ‘soft’ blocking of on-line material. This Article assesses these methods and makes a controversial claim: hard censorship, such as the PROTECT IP Act, is normatively preferable to indirect restrictions.”

From the Abstract:

“Privacy consists of two components: (1) conforming one’s collection, use, and sharing of personal data to existing laws and norms, and (2) securing the data against unauthorized access and use. Even with the best of intentions as to the treatment of personal data, there can be no privacy where there is no data security. With the interconnected Internet, cybersecurity is a critical component of privacy. Given the dramatic increase in cybersecurity incidents, including Advanced Persistent Threats, some look to government to take control of the cybersecurity problem. In the United States, there is recognition of both the legal restrictions on the government “taking charge” of the flow of information through network access, monitoring, and/or control, as well as the limitations of government technical capabilities. As a result, US cybersecurity policy is collaborative, with the government working with industry to develop flexible standards rather than prescribing complex regulations.”

Uit het verslag:

“De heer Van Raak (SP): Voorzitter. Eindelijk kunnen we weer serieus debatteren over de privacy. Een paar jaren geleden hebben we de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) bijna Kamerbreed, op de SP na, aangenomen. De Eerste Kamer heeft die wet onlangs naar de prullenbak verwezen. Ik weet nog dat tijdens dat debat de heer Boekestijn van de VVD mij vroeg waarom ik sympathisant van de Taliban was. Dat gebeurde er een paar jaar geleden als je vragen stelde over privacy. Tegenwoordig hebben wij in de Kamer mevrouw Hennis-Plasschaert van de VVD. Samen met haar en anderen in de Kamer hebben wij de opslag van vingerafdrukken in een databestand tegengehouden. Je ziet dat er in de Kamer echt iets is veranderd.”

From Objectives of “europe-v-facebook”:

“It is almost impossible for the user to really know what happens to his or her personal data when using facebook. For example “removed” content is not really deleted by facebook and it is often unclear what facebook exactly does with our data. Users have to deal with vague and contradictory privacy policies and cannot fully estimate the consequences of using facebook. A company that constantly asks its costumers to be as transparent as possible should be equally transparent when it comes to the use of its costumers personal data. Transparency is not only a question of fairness but it is also a principle of European data protection law. It is time that the biggest social network worldwide sticks to these legal principles.”

From the Introduction:

“With the advent of social networking we have all become accustomed to using URL shortening services in our online lives, and as their use by cyber criminals has increased, Symantec Intelligence has also tracked how these legitimate services have been used in different ways for malicious purposes in the dissemination of malware and spam over the past few years. Following on from the preceding advance in May 2011, when spammers appeared to have established their own shortening services, albeit a Web site that would redirect visitors to the same spam Web site. On that occasion there was no actual shortening service in use, it was a simple redirection that gave the appearance of a shortened URL. However, for the first time, Symantec Intelligence has identified that spammers have now established a genuine URL shortening service that is publically available and will generate real shortened links. These have so far only been found in spam emails.”

From the Abstract:

“Third party facilitated surveillance has become a routine tool for law enforcement agencies. There are likely hundreds of thousands of such requests per year. Unfortunately there are few detailed statistics documenting the use of many modern surveillance methods. As such, the true scale of law enforcement surveillance, although widespread, remains largely shielded from public view. […] The existing surveillance statistics might be sufficient if law enforcement agencies’ surveillance activities were limited to wiretaps and pen registers. However, over the last decade, law enforcement agencies have enthusiastically embraced many new sources of investigative and surveillance data for which there are no mandatory reporting requirements. As a result, most modern surveillance now takes place entirely off the books and the true scale of such activities, which vastly outnumber traditional wiretaps and pen registers, remains unknown. In this article, I examine the existing electronic surveillance reporting requirements and the reports that have been created as a result. Some of these have been released to public, but many have only come to light as a result of Freedom of Information Act requests or leaks by government insiders. I also also examine several law enforcement surveillance methods for which there are no existing legally mandated surveillance reports. Finally, I propose specific legislative reporting requirements in order to enable some reasonable degree of oversight and transparency over all forms of law enforcement electronic surveillance.”