Europees Hof van Justitie mag blijven videovergaderen via Cisco Webex
Het Europees Hof van Justitie mag blijven videovergaderen via Cisco Webex. Het gebruik van de videoconferentiesoftware is niet in strijd met de AVG, zo heeft de Europese privacytoezichthouder EDPS bepaald (pdf). Twee jaar geleden gaf de EDPS tijdelijk toestemming voor het gebruik van modelcontracten voor het uitwisselen van persoonsgegevens tussen het Hof en Cisco.
Er werden vervolgens veertien voorwaarden gesteld om de toestemming te verlengen. De eerder gegeven toestemming werd vervolgens vorig jaar verlengd, maar het Hof moest voor 1 maart 2024 aantonen dat eerder vastgestelde problemen waren verholpen. Afgelopen mei kwam het Hof met een "compliance report" dat het aan de gestelde voorwaarden voldoet. Zo hebben het Hof en Cisco de bestaande overeenkomst aangepast zodat er geen persoonsgegevens buiten de EU worden verwerkt.
Het Hof heeft daarnaast verschillende technische en organisatorische maatregelen genomen om te voorkomen dat persoonlijke data buiten de EU wordt verwerkt. Zo hoeven gebruikers van het Hof en externe gebruikers zich niet eerst bij Cisco te registreren om van Webex gebruik te maken. Tevens werd de optie Global Distributed Meetings uitgeschakeld en verschillende optionele features geblokkeerd.
"EU-instanties moeten zich bij hun dagelijkse werkzaamheden inzetten om de fundamentele rechten van individuen te beschermen, en met name bij het gebruik van videoconferentietools de privacyregels. Dit is helemaal het geval wanneer bij deze tools het versturen van persoonlijke data buiten de EU kan plaatsvinden wat een vergroot risico kan zijn voor de rechten en vrijheden van individuen", zegt EDPS-voorzitter Wiewiórowski,
Hiermee heeft Cisco de perfecte backdoor/trojan in handen. Dat wil je toch niet, zeker niet bij een hof van justitie.
Een ander punt, dat bij al die AVG-problemen met Amerikaanse softwareleveranciers geldt, is dat kennelijk alles huppeldepup as a service is geworden. Software van Amerikaanse leveranciers hoeft geen probleem te zijn als die leverancier de software levert maar de verwerking en het beheer niet doet, als je als klant het op eigen systemen draait en zelf beheert, of dat uitbesteedt aan een partij binnen de EU bij wie het probleem om te beginnen al niet optreedt. Het lijkt wel of een mogelijkheid die 20 jaar geleden vanzelfsprekend was helemaal uit het bewustzijn is verdwenen. Ik beweer niet dat we terug moeten naar alles zo inrichten als 20 jaar geleden, maar het kan geen kwaad om te beseffen dat de problemen die er nu zijn niet alleen liggen aan conflicterende wetgeving maar ook aan de manier waarop onder de noemer "cloud" IT-leveranciers alles naar zich toe trekken. Er zijn dus aanpassingen denkbaar op heel andere gebieden dan wetgeving en verdragen die het probleem vermoedelijk beter zouden oplossen.
Een ander punt, dat bij al die AVG-problemen met Amerikaanse softwareleveranciers geldt, is dat kennelijk alles huppeldepup as a service is geworden. Software van Amerikaanse leveranciers hoeft geen probleem te zijn als die leverancier de software levert maar de verwerking en het beheer niet doet, als je als klant het op eigen systemen draait en zelf beheert, of dat uitbesteedt aan een partij binnen de EU bij wie het probleem om te beginnen al niet optreedt. Het lijkt wel of een mogelijkheid die 20 jaar geleden vanzelfsprekend was helemaal uit het bewustzijn is verdwenen. Ik beweer niet dat we terug moeten naar alles zo inrichten als 20 jaar geleden, maar het kan geen kwaad om te beseffen dat de problemen die er nu zijn niet alleen liggen aan conflicterende wetgeving maar ook aan de manier waarop onder de noemer "cloud" IT-leveranciers alles naar zich toe trekken. Er zijn dus aanpassingen denkbaar op heel andere gebieden dan wetgeving en verdragen die het probleem vermoedelijk beter zouden oplossen.
Daarnaast klopt het artikel zelf maar half, voor externen hoef je je niet standaard bij Webex (Cisco) te registeren, data kan inderdaad volledig in de EU verwerkt worden en een optie als volledige end2end encryptie op de volledige meeting inclusief video is al jaren aanwezig.
enigste nadeel van de laatste optie is dat gebruikers (extern dus ook) de desktop client moeten installeren en dus niet via een privacy lekkende browser kunnen deelnemen. Daarnaast kun je de oplossing ook prima op eigen infrastructuur draaien, maar aangezien bijna geen organisatie dat meer heeft, zal ook het hof dat vast niet kunnen.
Let wel: het was corona tijd dus ze moesten iets, zoals veel organisaties.
Oh ja, het hof hoeft niet te voldoen aan de AVG trouwens. De Europese Unie heeft haar eigen privacy verordening namelijk 2018/1725.
de vs heeft de grootste cyber offense tegen bondgenoten ter wereld...
Verder heb ik tot nu toe in die verordening niet kunnen vinden dat die 2016/679 (de AVG) buiten werking stelt voor het Europees Parlement en de Raad voor de Europese Unie, en de AVG stelt zichzelf voor zover ik zie ook niet buiten werking voor die twee EU-organisaties. Dan denk ik dat de AVG in beginsel van toepassing is en dat 2018/1725 details specifiek voor het Parlement en de Raad nader uitwerkt en mogelijk op bepaalde punten de AVG overruled, als de AVG toestaat dat unierecht dat doet. Ik zie niet hoe met een eigen verordening een algemene verordening in zijn geheel aan de kant kan worden geschoven. "Algemeen" betekent dat die algemeen geldt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.