Chat-app Signal illegaal door nieuwe wet

Elk bedrijf dat in België communicatie aanbiedt, moet straks data van gebruikers bijhouden. Het sterk beveiligde Signal komt in de problemen.

Signal is een chatapp van Amerikaanse makelij, die ruim 40 miljoen gebruikers heeft. Vanwege de hoge graad van privacy geven ­wereldwijd onder meer activisten en journalisten de voorkeur aan de app om gevoelige gesprekken te voeren.

De nieuwe regels over gegevensopslag hebben ­gevolgen voor iedereen die een vorm van elektronische communicatie mogelijk maakt, hoe klein of groot een onder­neming ook is. Ze ­gelden voor telecomoperatoren zoals Proximus en ­Telenet, en dus ook voor kleinere buitenlandse spelers zoals Signal – en ­alles daartussenin.

De aanbieders moeten de ­metadata van een conversatie ­bijhouden: wie communiceert met wie via hun netwerk, met welk toestel en vanop welke plek. De inhoud van de gesprekken moeten ze niet bijhouden. Metadata ­geven op zich al veel prijs. Onder meer inlichtingen- en veiligheidsdiensten kunnen de gegevens opvragen in de strijd tegen zware criminaliteit.

De regels voor die opslag werden in het verleden al meermaals aangepast, omdat de algemene bewaring van gegevens van alle gebruikers een schending van de privacy was. Een nieuw wetsontwerp werd enkele weken geleden ingediend in de Kamer. Na ­verschillende juridische procedures zou het eens en voor altijd de kwestie van de gegevens­opslag moeten oplossen.

Uit het ontwerp valt af te ­leiden dat de chat-app Signal hier niet meer zal kunnen functioneren. Signal houdt hoogstens het telefoonnummer van de gebruikers bij, niet met wie dat nummer in contact staat. Het veel populairdere Whatsapp, eigendom van Meta, slaat wel een hele reeks ­gegevens op, net zoals Telegram.

‘Dit ontwerp dwingt Signal om zijn systeem aan te passen’, bevestigt cryptograaf Bart Preneel (KU Leuven). ‘Het wordt eigenlijk verplicht metadata bij te houden en de autoriteiten er toegang toe te verlenen als ze dat vragen. Signal zal waarschijnlijk moeten sluiten in België.’ Het bedrijf reageerde nog niet op een vraag van De Standaard om commentaar.

Gevangenisstraf

Het feitelijke verbod op Signal dat dit wetsontwerp inhoudt, maakt de wet opnieuw vatbaar voor kritiek. In de totstandkoming ­vorig jaar, nog in de schoot van de regering, was er sprake van een achterpoortje waardoor telecom­aanbieders bijvoorbeeld de politie toegang zouden moeten geven tot versleutelde gesprekken. Na algemeen protest werd dat eruit gehaald.

Behalve de verplichting om metadata bij te houden, staat in het wetsontwerp dat die data niet versleuteld mogen worden opgeslagen.‘Deze wet maakt de technieken van Signal illegaal’, gaat Preneel voort. ‘Voor de Tor-browser (die het mogelijk maakt om zo goed als anoniem het internet te ­gebruiken, red.) geldt hetzelfde.’

In het wetsontwerp staat dat personen die weigeren mee te werken of bewaarde gegevens doen verdwijnen, worden ­gestraft met een gevangenisstraf van zes maanden tot een jaar of een boete tot 20.000 euro.

Groen-Kamerlid Stefaan Van Hecke, die voorzitter is van de commissie die het ontwerp bespreekt, zegt niet op de hoogte te zijn van de gevolgen voor Signal en co. ‘In de commissie zal er alle ruimte zijn voor het debat over de nieuwe regels’, verzekert hij.

Bron » De Standaard

‘De politie houdt onze gegevens onwettig lang bij’

De politie zit op een berg data, maar slaagt er niet in om daar correct mee om te gaan. ‘Er zijn officieren die niet weten dat je overleg tussen advocaat en cliënt niet mag opnemen. Straf, toch?’

Tot drie keer toe moest de vraag worden gesteld aan de politie: hebben jullie Clearview AI ­gebruikt? Die omstreden software schraapt foto’s van personen van het internet, waarna Clearview-gebruikers die kunnen vergelijken met de foto’s die ze zelf vergaard hebben. Via gezichts­herkenning kunnen speurders zo bijvoorbeeld daders van kindermisbruik opsporen.

Het is een zeer krachtig instrument, maar ­momenteel verboden in Europa. Toch gebruikten speurders van de federale ­politie Clearview tijdens een bijeenkomst van Europol waar ook de Amerikaanse FBI op aanwezig was. Nadien werkten ze nog een tijd verder met een proeflicentie. Het duurde twee jaar tot de federale politie erkende dat hun mensen ermee hadden ­gewerkt.

‘Dit dossier toont dat de politie toch hardleers is wanneer het gaat over een correcte omgang met data en informatie’, zegt Frank Schuermans, lid-raadsheer van het Controleorgaan op de ­Politionele Informatie (COC). ‘Ik kan me heel goed inbeelden dat speurders die bezig zijn met ­zware kinderporno, alles in het werk stellen om daders op te ­sporen. Daar zit het echte ­probleem niet. Het gaat erover dat men ons aan het lijntje heeft ­gehouden door niet de waarheid te spreken. Toen bleek dat de ­federale politie toch met Clearview had gewerkt, zei de commissaris-generaal dat het geen doelbewust verzwijgen was.’

Waarom moesten jullie hen de vraag over Clearview herhaaldelijk stellen?

‘Ik denk dat het kwam door een combinatie van gemakzucht en een gebrek aan middelen om het gebruik echt na te gaan, waardoor er ­aanvankelijk maar een summier onderzoek is geweest.’

‘Bij de politie ziet men niet ­altijd goed in dat je voor toepassingen als Clearview AI een wettelijke basis moeten hebben, zoals bij alles wat je doet. Ik snap het wel: de materie is vrij nieuw, de regels rond dataverwerking door veiligheidsdiensten zijn pas sinds 2018 echt belangrijk geworden. Voordien hield de politie amper rekening met gegevensbescherming. Als iets nuttig was voor de werking, dan deed ze het. De eerste reflex was altijd operationeel, dan pas kwam de vraag of het wel wettelijk is.’

Is er zo veel koterij aan data­banken gegroeid?

‘Als je het vergelijkt met andere landen, valt het hier nog mee. In Frankrijk heeft elke politiedienst zijn eigen databank, hier heb je één belangrijke voor alle diensten: de Algemene Nationale ­Gegevensbank (ANG, red.). Daarin staat onder meer voor 400.000 personen en een half miljoen voertuigen welke maatregel de politie moet nemen als ze die ­tegenkomt, zoals een fouille of een aanhouding. De basisregel is dat alleen de info die pertinent is voor de huidige werking, er nog in hoort, zelfs wanneer de maximale bewaartermijn nog niet is bereikt. Sommige gegevens blijven er veel te lang in staan, en dat is onwettig. Een gewone winkeldiefstal van vijftien jaar geleden valt daar niet onder, en toch staat dat soort feiten er nog altijd in. Met de zachte informatie is het soms nog erger gesteld: als een bepaalde persoon jaren geleden werd opgemerkt in een café waar Hells Angels kind aan huis waren maar daar zelf niet bijhoorde, dan moet dat niet jarenlang in de ­databank blijven staan.’

‘Politiezones creëren ook hun eigen databanken. Een overzicht van de huizen voor een vakantietoezicht in de zomer, bijvoorbeeld, of een zone die meer op prostitutie begint te werken en daarvoor een database aanlegt. Op dit moment zijn er minstens 1.500 bijzondere databanken ­binnen de politie. Als het controleorgaan ergens langsgaat, dan vragen we vaak: “Toon ons eens al uw bijzondere databanken.” Op veel plekken weet de korpschef niet eens wat er allemaal bestaat. En dan gaan we opruimen.’

Welke verdwijnen naar de prullenbak?

‘Die waarvan men het nut niet kan aantonen. Dat is niet altijd spectaculair, soms gaat het maar om een paar Excel-bestandjes. We hadden wel eens een zone waarbij ­elke nieuwe inwoner via de ANG werd gecontroleerd. De wettelijke basis daarvan was nul. Ik had zelfs moeite om hen uit te leggen dat het niet mocht. “We hebben het altijd zo gedaan”, zeggen ze dan. Maar de regels zijn strenger geworden, en er wordt sinds het Controleorgaan strenger op ­toegezien, dan moet je ook je ­werking aanpassen.’

‘Dikwijls moeten we ook pragmatisch zijn. In vergelijking met andere controleorganen in Europa hanteren wij eigenlijk een zeker gedoogbeleid over de termijnen om zich in regel te stellen. Als het COC dat niet zou doen, dan moet ik veel stilleggen, zoals die ANG. Dat zou niet meer proportioneel zijn.’

‘Doordat we al zo lang op die nagel van de bewaartermijnen in de ANG slaan, start de politie eind deze maand wel met een geautomatiseerd systeem waarbij die termijnen in grote lijnen zullen worden gerespecteerd. Om de week komt er vanzelf een schoonmaak in de gegevens. Hopelijk verdwijnen dan de minder zware feiten uit de jaren 90 en 2000.’

De politie wil ook veel bijhouden uit schrik achteraf het verwijt te krijgen iets niet te hebben gezien.

‘Die politieke en publieke druk is er zeker, en ik begrijp de vrees bij politiemensen. Maar dat wil niet zeggen dat ze de wettelijke termijnen niet moeten respecteren. Wat is het nut van data decennialang bij te houden? Die databanken worden ook meer en meer opengesteld voor externen, alleen al daarom is het belangrijk dat die up-to-date en correct is. Mensen kunnen bij ons opvragen welke informatie de politie over hen ­bijhoudt. Vorig jaar gebeurde dat 546 keer, in 10 procent van de gevallen ging het om politiemensen of kandidaten. Zij worden gescreend voor ze aan de slag gaan. Dan beseffen ze plots heel goed het belang van correcte data­bases.’

Voor veel politiemensen voelen de privacyregels aan als een belemmering voor hun werk.

‘Een goeie omgang met de regels zit inderdaad niet in de cultuur, al is er een verschil tussen de oudere generatie leidinggevenden en de nieuwere. Ik vind dat het ­inzicht groeit, maar velen vinden het nog altijd te complex. Dat merkten we ook bij ons onderzoek naar het vertrouwelijke overleg tussen advocaten en cliënten (dat moet privé zijn, maar in meer dan een kwart van de verhoor­kamers is er een camerasysteem aanwezig, red.). Kennelijk zijn er politieofficieren die niet weten dat je zo’n overleg niet mag opnemen. Ik vind dat toch straf.’

De hele maatschappij digitaliseert. Kan de politie daarin wel volgen?

‘Ik heb daar mijn twijfels over. De huidige structuur verslindt middelen. We hebben veel te veel ­politiezones, met te veel overhead, korpschefs en coördinatieorganen. Iedereen in het veld weet dat 185 zones te veel is. De commissaris-generaal van de ­federale heeft het vorig week nog gezegd (DS 11 april). Er is misschien wel te weinig geld, maar de vraag is of de bestaande middelen naar de juiste prioriteiten gaan. Waarom krijgen mensen in de ­politieopleiding een volle wedde? Een student aan een hogeschool krijgt toch ook geen loon? De politie doet dat sinds de hervorming van 2001 naar verluidt om de job aantrekkelijker te maken, maar er zijn meer dan voldoende kandidaten. De opleiding van een dik jaar voor het basiskader schiet ­tekort, dat wel.’

‘Al het geld dat naar zulke ­zaken gaat, kun je bijvoorbeeld niet meer investeren in data protection officers (DPO’s zijn verantwoordelijk voor een correct databeheer in organisaties, red.). Er zijn al goeie DPO’s bij de politie, steeds meer zelfs, maar het zijn soms ook Chinese vrijwilligers. Voor de hele provincie Limburg is er één DPO.’

Is het controleorgaan zelf ­voldoende uitgerust om zijn werk te doen?

‘We zijn met acht à negen mensen die operationeel kunnen werken, we zijn veruit de kleinste toezichthouder op de politie. We doen wat we kunnen, maar wat uitbreiding is geen luxe, ook ­omdat er van de burgers steeds meer verzoeken bij ons binnen­komen en we er ook nieuwe taken bij krijgen. Voor onze dienst is er één IT’er die dan nog vooral met onze eigen informatiebeveiliging bezig is, ik moet er absoluut minstens één bij hebben. We zitten op onze limieten.’

Wat is het Controleorgaan op de Politionele Informatie?

Gaan de lokale en federale politie correct om met de ­informatie die ze hebben? Respecteren de politiediensten de privacy van burgers? Dat zijn de kwesties waar het Controleorgaan op de Politionele Informatie (COC) op toeziet. De organisatie is de ­gegevensbeschermings­autoriteit voor de politiediensten.

Behalve dit controleorgaan bestaat ook nog het Comité P, dat een algemeen toezicht houdt op de politiewerking.

Je kunt bij het COC terecht om na te laten gaan welke ­informatie de politie over je bijhoudt, en of dat op een juiste manier gebeurt. Het COC voert onderzoeken uit naar privacykwesties bij de politie, op eigen initiatief of na een klacht. Het geeft ook advies aan politiediensten over hun informatiehuishouding.

Bron » De Standaard

Databank met alle vonnissen en arresten in 2023

Na jaren van gebroken beloftes verzekert minister van Justitie Vincent Van Quickenborne nu echt: volgend jaar komt er een online databank met alle rechterlijke uitspraken.

‘Tegen het einde van 2017 zullen alle ­vonnissen en arresten in één databank ­opgeslagen worden’, beloofde toenmalig minister van Justitie Koen Geens (CD&V) zes jaar geleden. Quod non. Ook eerdere ministers van Justitie beten sinds begin ­deze eeuw, toen het project Feniks werd ­gelanceerd, hun tanden stuk op het sluitstuk van de digitalisering van justitie: een databank met alle rechterlijke uitspraken.

De openbaarheid van rechtspraak is een fundament van de rechtsstaat en is grondwettelijk verankerd, maar toch is het vaak aartsmoeilijk om specifieke vonnissen en arresten terug te vinden. Dat is problematisch voor de werking van justitie, omdat rechters zo moeilijker gelijkaardige zaken en strafrechtelijke feiten terugvinden. ­Bovendien kost het handenvol tijd en geld om papieren afdrukken rond te brengen.

Commerciële spelers sprongen in het gat, maar dat aanbod dekt maar een fractie van alle uitspraken. In 2019 werd de grondwet aangepast opdat rechters niet meer hun volledige oordeel moesten voorlezen, maar zich konden beperken tot de essentie, het beschikkende gedeelte. In ruil zou de volledige tekst in een publiek toegankelijke databank worden opgenomen. De wettelijke deadline werd meermaals uit­gesteld en ligt nu op september 2022.

Ook die wordt niet gehaald, maar minister van Justitie Vincent Van Quickenborne (Open VLD) belooft dat de databank begin volgend jaar realiteit wordt. Afgelopen vrijdag keurde de ministerraad het wetsontwerp daarover goed, nadat de regering in februari al een openbare aanbesteding voor de verwezenlijking ervan had uit­geschreven. ‘De manier waarop vonnissen en arresten in ons land publiek gemaakt worden en raadpleegbaar zijn, verschilt nu nauwelijks van de situatie in de 19de eeuw’, zegt Van Quickenborne.

Aan het project hangt een prijskaartje van 6 miljoen euro. Mede dankzij een fikse injectie in justitie door de Vivaldi-regering en Europees relancegeld hoopt Van Quickenborne de lang beloofde informatisering te realiseren. Een stuurgroep met veel vertegenwoordigers van de magistratuur zelf moet ertoe leiden dat het verzet bij de rechterlijke macht, in het verleden vaak een struikelblok, beperkt blijft.

Privacy als knelpunt

In een eerste fase wordt de databank toegankelijk voor magistraten en – beperkt tot wat relevant is voor hun dossier – betrokken partijen. Bepaalde uitspraken, zoals van assisenhoven, worden meteen voor ­iedereen beschikbaar. In een tweede fase worden álle rechterlijke uitspraken voor het brede publiek toegankelijk en doorzoekbaar. In de eerste plaats gaat het om nieuwe oordelen, oudere zullen stelsel­matig toegevoegd worden.

Knelpunt bij de operatie is de privacy. Namen zullen niet geanonimiseerd maar gepseudonimiseerd worden, zodat het wel nog mogelijk is om bijvoorbeeld recidive te herkennen. Dat gebeurt automatisch, maar er zal menselijke controle op zijn.

Zo’n doorzoekbare databank maakt grootschalige data-analyses mogelijk. Dat is nuttige info om het justitiebeleid op af te stemmen, maar ook commercieel waardevol. Bedrijven gespecialiseerd in big data zouden zo bijvoorbeeld automatisch de slaagkans van bepaalde procedures ­kunnen inschatten.

Bron » De Standaard

Politie gebruikte toch verboden herkenningssoftware

Een vernietigende audit legt misstanden bij de politie bloot. Twee keer ontkende die dat ze de omstreden gezichtsherkenningssoftware Clearview had gebruikt, maar dat klopt niet.

In februari 2020 schreef de Amerikaanse nieuwssite Buzzfeed dat onder meer de Belgische politie ­gebruik had gemaakt van de software Clearview AI. Dat Amerikaanse bedrijf bouwde een databank van meer dan tien miljard foto’s van personen en hun gegevens, die het ‘schraapte’ van allerhande websites zoals sociale media. Door te vergelijken kunnen veiligheidsdiensten via Clearview zo een naam kleven op beelden van onbekende verdachten.

In de Europese Unie en zeker België gaat die praktijk in tegen privacy- en politiewetten. De federale politie ontkende het gebruik toen met klem. Dat deed ze initieel opnieuw toen Buzzfeed in augustus vorig jaar met meer details kwam: de Belgische politie zou tussen de 101 en de 500 opzoekingen hebben verricht met het systeem.

Het is pas toen commissaris­generaal Marc De Mesmaeker aandrong bij de federale gerechtelijke politie, dat die toegaf dat twee speurders van de dienst die zware en georganiseerde criminaliteit bestrijdt in oktober 2019 de gezichtsherkenningssoftware hadden gebruikt in Den Haag, op een vergadering van Europol over vermiste en misbruikte kinderen met onder meer de Amerikaanse FBI.

Het Controleorgaan op de politionele informatie (COC) stelde een onderzoek in, dat gisteren werd voorgesteld in de Kamer. Daaruit blijkt dat de speurders niet alleen in Nederland Clearview hadden gebruikt, maar ook daarna nog in België, tot aan het einde van de proeflicentie van de software in ­februari 2020. De speurders laadden daarbij onder meer foto’s van daders en minderjarige slacht­offers van seksueel misbruik op. De in totaal 78 opzoekingen leidden niet tot bruikbare resultaten.

Het COC is vernietigend voor de politie. De top van de gerechtelijke politie bleek van in het begin op de hoogte te zijn geweest, maar verzweeg dat voor De Mesmaeker. Die zegt in de doorlichting ‘geen moedwillige verzwijging te zien’ en wijt het stilzwijgen aan ‘een ­samenloop van omstandigheden’.

‘De federale gerechtelijke politie lijkt niet te beseffen dat niet ­alleen politionele foto’s aan een commercieel bedrijf worden doorgestuurd (en dan nog buiten de ­Europese Unie), noch dat de biometrische gegevens, in casu ­gezichtskenmerken, sindsdien door het bedrijf Clearview bij­gehouden worden’, klinkt het verder. De audit verwerpt de excuses van de dienst en eist dat de politie Clearview vraagt om de Belgische data te wissen.

Net gisteren legde de Italiaanse gegevensbeschermingsautoriteit Clearview een boete van 20 miljoen euro op. Ook in andere Europese landen wordt het aan banden ­gelegd. Gezichtsherkenning is een erg omstreden politionele techniek, behalve om privacyredenen ook omdat de accuraatheid discutabel is en het ongewild mensen van kleur viseert. De federale regering wil een wettelijk kader creëren voor het gebruik van gezichts­herkenningssoftware door de politie.

Bron » De Standaard

Ook met nieuwe wet blijft massale opslag telefoongegevens mogelijk

De regering heeft een nieuwe wet klaar die telecomdata van burgers niet meer overal in het land opslaat. Maar in de praktijk blijft bijna het hele grondgebied gedekt.

Wanneer, waar en met wie u via uw telefoon communiceert – maar niet de inhoud van de gesprekken of berichten zelf – wordt momenteel nog een jaar lang door de telecomproviders opgeslagen. Aan die massale preventieve dataopslag komt binnenkort een einde, wanneer het recente arrest van het Grondwettelijk Hof (DS 23 april) in het Staatsblad verschijnt.

In navolging van het Europees Hof van Justitie oordeelde het Grondwettelijk Hof dat de Belgische dataretentiewet in strijd is met het recht op privacy.

Die zogenaamde dataretentie is een essentiële tool voor justitie: bij 90 procent van de strafonderzoeken is het een hulpmiddel. De regering werkte dan ook in sneltempo aan reparatiewetgeving. Gisteren keurde de ministerraad een eerste tekst goed. Die moet wel nog langs adviesorganen zoals de Gegevensbeschermingsautoriteit, een publieke raadpleging van vier weken en het parlement.

Lasagne

Zoals aangekondigd wordt er geopteerd voor een ‘gelaagde’ benadering, die minister van Justitie Vincent Van Quickenborne (Open VLD) vergelijkt met een lasagne. ‘Het is een oplossing die een proportionele en gedifferentieerde bewaring mogelijk maakt, en privacy en veiligheid verzoent’, zegt hij.

Van gebruikers in de buurt van ‘plaatsen die kwetsbaar zijn voor bedreigingen van de nationale veiligheid’ – zoals luchthavens, gebouwen van veiligheidsdiensten, ziekenhuizen, energiecentrales, militaire domeinen, havens of stations – kunnen alle telecomdata een jaar lang worden opgeslagen. Elders verschilt de duur van de bewaring per gerechtelijk arrondissement of politiezone, afhankelijk van hoe vaak er zware criminaliteit voorkomt. Het kan gaan om twaalf, negen of zes maanden of helemaal geen opslag.

De vraag is of er in de praktijk veel verandert. Want concreet betekenen die criteria dat het grondgebied grotendeels afgedekt is. ‘Hier en daar zal een gat vallen, maar veel zullen dat er niet zijn’, zegt een regeringsbron. Daarnaast laat Europa meer gegevensopslag toe in ­geval van een actuele bedreiging van de nationale veiligheid.

Wat met verzameld bewijs?

Het nieuwe wetsontwerp bepaalt daarom dat over het hele grond­gebied alle telecomdata opgeslagen kunnen worden zodra het dreigingsniveau door het Ocad op ­niveau 3 of 4 (het maximum) wordt ingeschat. Momenteel zit België op niveau 2. Van november 2015 tot januari 2018 gold niveau 3 of 4.

De regering kiest er niet voor om data van bijvoorbeeld veroordeelden of andere potentiële daders altijd op te slaan, wat volgens Europa wel zou kunnen. ‘Dan zitten we te snel bij profiling’, klinkt het. De regering hoopt dat dit systeem de grondrechtelijke toets wel doorstaat. Ook de andere Europese landen waar gelijkaardige wetgeving bestaat, werken aan oplossingen. Op termijn pleit Van Quicken­borne voor een eengemaakte Europese aanpak.

Een belangrijke kwestie is wat er moet gebeuren met bewijs dat verzameld is via de vernietigde oude wet in zaken die nog voor de rechter moeten komen. Het is aan de strafrechter zelf om te oordelen of het recht op een eerlijk proces geschonden is, als bewijs via data­retentie dat dateert van na het ­Europese oordeel van oktober ­vorig jaar, gebruikt zou worden.

Bron » De Standaard