Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    Privacy in het sociaal domein
    Gemeenten zijn verantwoordelijk voor de uitvoering van taken in het sociaal domein, waarbij veel gevoelige gegevens worden verwerkt. Dit brengt privacyrisico's met zich mee.

    Verslag Privacy Congres 2025: Jaap-Henk Hoepman kritisch op technische ontwikkelingen CSAM, eIDAS en Europese digitale munt

    Op de jaarlijkse Privacy Conferentie afgelopen week sprak dr. Jaap-Henk Hoepman over een aantal nieuwe Europese wetten die gebruikmaken van technische oplossingen om privacy te bewerkstelligen. Het gaat om de eIDAS, CSAM en Digitale Euro verordening. Dr. Hoepman leverde technisch inzicht in de privacytechniek die de nieuwe wetten behelzen en gaf zijn kritische opvatting op de gekozen technieken. Zijn conclusie? “Technische standaarden in wetgeving worden veel te weinig ontwikkeld in samenspraak met academici en NGO’s.“ Dr. Jaap-Henk Hoepman is gastprofessor computerwetenschappen aan de Karlstads universiteit en hoofddocent computerwetenschappen aan de Radboud universiteit.

    Christian Cordoba Lenis
    6 februari 2025

    Presentaties

    Presentaties
     
    Beeld door Gerrit Davelaar

    eIDAS 2.0

    De Europese Digitale Identiteit (eIDAS) heeft als doel burgers een veilig en breed geaccepteerd digitaal identificatiemiddel te geven. Dit systeem zou burgers in staat stellen om online diensten af te nemen zonder hun volledige identiteit prijs te geven. In theorie klinkt dit geweldig, maar in de praktijk laat de technische uitvoering volgens dr. Jaap-Henk Hoepman veel te wensen over.
     
    Een belangrijk kritiekpunt is het gebrek aan een écht privacyvriendelijke architectuur. De implementatie van digitale handtekeningen in de huidige eIDAS 2.0-standaard betekent dat gebruikers nog steeds gevolgd kunnen worden over verschillende diensten heen. Dit ondermijnt het fundamentele principe van een anonieme en veilige digitale identiteit. Cryptografische alternatieven zoals zero-knowledge proofs, die de mogelijkheid bieden om attributen selectief te onthullen zonder volledige identiteit prijs te geven, worden niet gebruikt. Hoepman benadrukt dat de standaardisatie van cryptografie binnen overheden problematisch is. Er wordt een beperkte set aan ‘goedgekeurde’ cryptografische technieken toegestaan, die vaak achterhaald en inefficiënt zijn voor moderne privacytoepassingen.

    Privacyvriendelijke digitale Euro?

    Met de opkomst van digitale betalingen en cryptocurrencies wil de Europese Centrale Bank (ECB) een digitaal alternatief bieden voor contant geld. De Digitale Euro moet volgens de Europese Centrale Bank (ECB) een zelfde privacy-niveau hebben als cash, maar in de huidige opzet lijkt dat een loze belofte stelt Hoepman.
     
    Hoepman betwijfelt de technische haalbaarheid van een werkelijk anonieme digitale euro. Contant geld heeft fundamentele eigenschappen zoals anonimiteit, transactievrijheid en onafhankelijkheid van centrale infrastructuren. De digitale euro zou dit moeten nabootsen, maar de huidige technische implementatie biedt volgens Hoepman onvoldoende garantie voor anonimiteit. Alle transacties worden immers geregistreerd en gemonitord, wat leidt tot een verregaande controle over transacties. Hij betoogt dat de privacyvriendelijke digitale euro ‘cash-like’ moet zijn, waarbij de identiteit van de betaler en ontvanger onbekend blijft, tenzij expliciet gewenst.
     
    Een ander probleem is de zogenaamde ‘double-spending’ uitdaging bij offline betalingen. Contant geld werkt zonder tussenkomst van banken of netwerkverbindingen. Een digitale munt zou dat ook moeten kunnen, maar de huidige voorstellen vereisen dat betalingen via gecentraliseerde systemen worden verwerkt, wat de privacy tenietdoet. Hoepman wijst erop dat technische oplossingen zoals Trusted Execution Environments (TEE) en secure elements op mobiele telefoons theoretisch een oplossing kunnen bieden, maar dat dit afhankelijk is van de betrouwbaarheid van hardwarefabrikanten en de infrastructuur die hen controleert. Dit leidt tot een centrale afhankelijkheid, wat tegen de fundamentele eigenschappen van contant geld ingaat.
     

    CSAM client-side scanning

    De meest controversiële van de drie wetten is de CSAM-verordening, die de verspreiding van kindermisbruikmateriaal moet tegengaan. Het doel is zonder twijfel belangrijk, maar de gekozen aanpak roept volgens Hoepman ernstige privacy- en veiligheidszorgen op.
     
    Het meest recente wetsvoorstel stelt voor om ‘client-side scanning’ toe te passen op chatdiensten zoals Whatsapp of Signal, waarbij software lokaal, dus op het toestel zelf foto’s en berichten controleert op beelden van kindermisbruik voordat ze worden verstuurd. Als beelden van kindermisbruik worden gedetecteerd kan dit leiden tot een melding bij autoriteiten. Hoepman vergelijkt het model met een “verklikker die op je telefoon wordt geïnstalleerd” die elk bericht scant voordat het wordt verzonden. Dit betekent in feite dat elk communicatieapparaat als een potentiële surveillancetool fungeert, wat volgens Hoepman leidt tot een ernstige inbreuk op het briefgeheim.
     
    Daarnaast wijst Hoepman op de oncontroleerbaarheid van de database met hashes van illegale afbeeldingen. Deze database kan misbruikt worden om andere soorten inhoud te blokkeren, zoals politieke meningen of journalistieke onthullingen. Omdat de hashes geheim zijn, is er geen transparantie over wat wordt gemonitord. Dit opent de deur voor censuur en misbruik door overheden en grote techbedrijven.
     
    Een ander kritiekpunt is het gebrek aan technische betrouwbaarheid van contentdetectie-algoritmen. False positives, waarbij onschuldige afbeeldingen worden gemarkeerd als illegaal, kunnen ernstige consequenties hebben voor onschuldige gebruikers. De spreker stelt dat de Europese Commissie de werkelijke implicaties van deze technologie onvoldoende heeft doordacht en dat de focus op encryptie-behoud een misleidend argument is. “Het argument dat encryptie intact blijft, terwijl een apparaat preventief berichten analyseert, is als zeggen dat je een brief gesloten houdt terwijl de overheid de inhoud leest voordat je hem verstuurt,” aldus dr. Hoepman.
     

    Wetgeving en techniek lopen langs elkaar

      Wat deze drie wetten met elkaar gemeen hebben, is dat ze allen een belangrijke juridische en maatschappelijke uitdaging proberen op te lossen met behulp van technologie. Echter, in alle gevallen blijkt volgens Hoepman dat de technische uitvoering niet doordacht genoeg is, waardoor privacy in gevaar komt.
     
    Dr. Hoepman benadrukt dat er een fundamenteel probleem is met hoe technologische regelgeving tot stand komt. Beleidsmakers formuleren wetgeving zonder voldoende technisch inzicht en vertrouwen op bestaande standaarden die vaak niet geschikt zijn voor privacyvriendelijke implementaties. Hierdoor ontstaan wetten die in wetgeverskringen worden ontwikkeld, zonder de technische inzichten van de experts die de implicaties van de gekozen systemen beter begrijpen. Jaap-Henk beschrijft hoe hij het vaak fout ziet gaan in wetgeving die techniek gebruikt: “Eerst wordt dan een college aangesteld, waarin in juridische termen geprobeerd wordt te beschrijven wat het systeem zou moeten doen. Een soort requirements document, maar dan dus niet geschreven door techneuten, maar door juristen. Met de allerbeste bedoelingen, maar daarin staat niet goed genoeg beschreven wat het systeem uiteindelijk echt zou moeten gaan doen.”
     
    Om dit probleem op te lossen, raadt hij aan in het begin van het wetgevingstraject een nauwere samenwerking tussen de wetgever, wetenschappers en NGO’s te bewerkstelligen. Volgens Jaap-Henk is de technische kennis onmisbaar voor het gebruik van techniek in wetgeving: ”De technische specificaties bepalen hoe het uiteindelijk echt gaat werken. Hoe die geïmplementeerd worden is dus uiteindelijk essentieel om te weten wat de privacy- en veiligheidseigenschappen van deze systemen zijn.”

    Artikel delen

    Reacties

    MEER REACTIES

    Laat een reactie achter

    U moet ingelogd zijn om een reactie te plaatsen.

    NIEUWS

    Wet gegevensverwerking door samenwerkingsverbanden (WGS): juridische basis voor informatiedeling tegen criminaliteit

    Blog

    Privacy Awards 2025: Innovatief datasamenwerking GERDA genomineerd

    Interviews

    Conflict van plichten: zwijgen of melden?

    Blog

    Innovatief datadelen met behoud van privacy: Roseman Labs opnieuw genomineerd voor Privacy Awards

    Interviews

    De gemeente Rotterdam en Roseman Labs zijn genomineerd voor de Privacy Awards 2025. Deze erkenning volgt op hun overwinning in 2024, toen zij de hoofdprijs wonnen met een project gericht...

    Constateringen uit 'Sectorbeeld Overheid' van de Autoriteit Persoonsgegevens (Deel 1)

    Blog
    Mookhoek, Nico

    Wet gegevensverwerking door samenwerkingsverbanden (Wgs) - deel 3: De regeling voor RIEC’s en Zorg- en Veiligheidshuizen

    Blog

    Wet gegevensverwerking door samenwerkingsverbanden (Wgs) - deel 2: welke waarborgen regelt de Wgs?

    Blog

    Wet gegevensverwerking door samenwerkingsverbanden (Wgs) – deel 1: Wat maakt de Wgs voor samenwerkingsverbanden mogelijk?

    Blog

    Gemeente Geertruidenberg lekt financiële gegevens burgers door printfout

    Nieuws-persbericht
    Informatiebeveiliging Nederland

    AI Officer voor de Publieke Sector

    Meer informatie

    Expert lidmaatschap

    Expert lidmaatschap

    Profiteer nu

    Introductie in AI: ben jij al AI-geletterd?

    Cursus Introductie in AI: ben jij al AI-geletterd?

    Meer informatie

    AI contracten: juridisch waterdicht én flexibel

    Of je nu te maken hebt met hardware- en softwarelicenties, maatwerkprojecten of cloudcontracten en data transfers, deze cursus biedt je de kennis en tools om waterdichte IT-overeenkomsten te maken en risico’s te vermijden. Uiteraard is er ook aandacht voor de nieuwste cybersecurity eisen. Je krijgt praktische checklists voor veelvoorkomende IT-contracten, zodat je geen belangrijke aspecten over het hoofd ziet

    Meer informatie

    De juridische aspecten van AI

    Meer informatie

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2025 Berghauser Pont | Website gemaakt door Buro Zero