Het lijkt zeer waarschijnlijk dat de Europese hypocrisie over de privacy van persoonsgegevens voor onbepaalde tijd zal voortduren
De Europese Toezichthouder voor gegevensbescherming instructie aan Europol om alle opgeslagen gegevens te verwijderen niet gerelateerd aan een persoon met een bekende link met misdaad is slechts het topje van een Europese hypocriete surveillance-ijsberg.
De kwestie wordt besproken in een rapport van Douwe Korff (emeritus hoogleraar internationaal recht, London Metropolitan University en Associate aan de Oxford Martin School, University of Oxford) getiteld Het eigen 'Snowden-schandaal' van de EU: illegale massasurveillance en bulkdatamining door Europol en de lidstaten (PDF).
Edward Snowden's onthullingen over massale surveillance-operaties van de NSA en GCHQ hebben direct geleid tot de ontwikkeling van de Europese Algemene Verordening Gegevensbescherming (AVG) die nu over de hele wereld wordt gebruikt als de blauwdruk en gouden standaard voor de bescherming van persoonlijke privacy.
AVG is een productie van het Europees Parlement (EP). EP-leden worden gekozen door het volk. De Europese politieke macht berust echter grotendeels bij de Europese Commissie (EC), waarvan de leden worden voorgedragen door de regeringen van de lidstaten. Er is een inherent en voortdurend belangenconflict tussen mensen en regeringen in de Europese politiek. Met de AVG won het volk – maar Amerikanen keken grotendeels toe en dachten: 'huichelaars'.
Deze inherente hypocrisie wordt nu volledig onthuld door Europol's massale verzameling van persoonlijke gegevens van Europese inwoners, in strijd met de principes van de AVG (die per definitie zowel natuurlijke burgers als inkomende migranten omvat). Hypocriete ironie wordt toegevoegd aan de mix met de HvJ's Schrem II oordeel dat de overdracht van gegevens van de EU naar de VS moeilijk en grotendeels onwettig maakt. Schrems II is gebaseerd op de onverenigbaarheid van AVG en FISA 720, waarbij de laatste de Amerikaanse overheid toegang geeft tot Europese PII - maar hier doet Europol grotendeels hetzelfde met Europese persoonlijke gegevens.
Europol wordt afzonderlijk gereguleerd door Verordening (EU) 2016/794 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (de Europol-verordening), maar staat nog steeds onder toezicht van de EDPS (artikel 43). De EDPS onderzoekt het gebruik door Europol van opgeslagen gegevens (aangeleverd door de verschillende rechtshandhavingsinstanties die lid zijn) sinds de opening van een onderzoek in 2019. Geschat wordt (niet bevestigd door Europol) dat de omvang van zijn data lake meer dan vier petabyte aan gegevens bedraagt.
"Dit gaat over de wens van Europol en de EU-lidstaten om 'op algemene wijze' enorme hoeveelheden persoonlijke gegevens te verzamelen over overwegend onschuldige mensen", schrijft Douwe Korff. Het doel is om AI-algoritmen voor machine learning te gebruiken om de mogelijkheid van crimineel gedrag te detecteren of af te leiden, met andere woorden, voorspellende wetshandhaving die niet is gebaseerd op bekende persoonlijke criminele acties.
Dit wordt gedaan, voegt hij eraan toe, "zonder rekening te houden met de inherente ernstige gevaren en tekortkomingen in de dataminingtechnologieën, en in duidelijke schending van de EU-wetgeving."
Voorspellende rechtshandhaving met behulp van AI
De EDPS-uitspraak gaat in de eerste plaats over illegale gegevensopslag; dat wil zeggen, te veel voor te lang zonder juridische reden. Europol moet eerst de betrokkenen categoriseren. Zo worden die echte verdachten onderscheiden van 'de rest'. De rest moet worden verwijderd, maar totdat die indeling in categorieën is voltooid, stelt de EDPS-uitspraak, "kunnen de persoonsgegevens in de bijdragen geen enkele vorm van verwerking ondergaan door Europol, behalve die welke strikt noodzakelijk is om tot een dergelijke indeling over te gaan."
Korffs zorg is dat bij 'elke vorm van verwerking' sprake is van voorspellende wetshandhaving op basis van machine learning-algoritmen – waar hij weinig vertrouwen in heeft. Deze algoritmen zijn bedoeld om betrokkenen te vinden die mogelijk betrokken raken bij criminaliteit, ook als dat niet in het verleden is geweest en er geen actueel bewijs tegen hen is.
Volgens een rapport in de beschermer op 10 januari 2022 begon Europol in het voorjaar van 2020 (nadat de EDPS met zijn onderzoek was begonnen) met de ontwikkeling van een AI-programma voor zijn datapool. In februari 2021 zei Europol tegen The Guardian dat het "geen gebruik heeft gemaakt van eigen machine learning-modellen voor operationele analyse en ook geen 'training' van machine learning heeft uitgevoerd." Maar de Guardian merkt op dat Europol nu "een wervingsronde is begonnen voor experts om te helpen bij de ontwikkeling van AI en datamining."
Op dit punt is het vermeldenswaard dat de AVG het gebruik van AI verbiedt om betrokkenen te profileren. Artikel 22 stelt: "De betrokkene heeft het recht om niet te worden onderworpen aan een beslissing die uitsluitend is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering, die rechtsgevolgen voor hem of haar heeft of hem of haar op vergelijkbare wijze aanzienlijk treft." Europol kent een dergelijke rem niet in de Europol-verordening.
Korff's overtuiging is dat op AI gebaseerde datamining en profilering "lijdt aan fundamentele, onontkoombare gebreken die grote risico's vormen voor de rechten en vrijheden van individuen." Hij heeft vier primaire zorgen:
TDe combinatie van een grote dataset met een laag aantal 'ernstige criminelen' zal leiden tot "tienduizenden 'false positives'" waarbij onschuldige mensen betrokken zijn
Rregels en wetten zullen de betrokken personen niet beschermen tegen discriminerende resultaten van de profilering
● IkHet is onmogelijk om de resultaten van een dergelijke verwerking in twijfel te trekken, aangezien de algoritmen continu en dynamisch worden gewijzigd door hun machinale leerkarakter
TDe resultaten van de profilering en datamining zijn niet, en zullen waarschijnlijk ook nooit worden onderworpen aan wetenschappelijke tests en audits.
Europese hypocrisie
De parallellen tussen Snowdens onthullingen over NSA- en GCHQ-surveillance en het huidige gedrag van Europol zijn Korff niet ontgaan. "Het is duidelijk geworden door daaropvolgende onderzoeken en onthullingen", schrijft hij, "dat het opzuigen van gegevens (met name e-communicatiegegevens) in bulk door de Amerikaanse National Security Agency, NSA, in nauwe samenwerking met haar Britse tegenhanger, het Verenigd Koninkrijk. Government Communications Headquarters, GCHQ, was precies voor de bovengenoemde doeleinden: het analyseren en filteren van de enorme datasets om te proberen individuen op te sporen – ‘te identificeren’ – die ‘mogelijk’ betrokken zijn bij snode activiteiten (of die gewoon ‘misschien ' 'van belang' voor politieke of andere doeleinden).”
The Guardian verwoordde het beknopter: "Hoewel Europol achterblijft bij de VS in termen van technologische capaciteit, is het op hetzelfde pad als de NSA."
In een afzonderlijke studies door Korff en Ian Brown (bezoekende CyberBRICS-professor aan de Fundação Getulio Vargas (FGV) Law School in Rio de Janeiro, Brazilië), in opdracht van het Europees Parlement, schreven de auteurs: “Er kan een meer pertinente claim van hypocrisie worden ingediend tegen de EU en de EU-lidstaten met betrekking tot de feitelijke naleving van de normen van het EHRM of het HvJ-EU … de toezichtwetten en -praktijken in veel EU-lidstaten zouden duidelijk niet slagen voor de tests die worden toegepast op de wetten en praktijken van de VS in Schrems II.”
Wat nu?
De EDPS heeft zijn uitspraak gedaan en Europol zal delen van zijn datameer moeten ontmantelen en de rest moeten controleren. "Elk beroep tegen een besluit van de EDPS kan binnen twee maanden bij het Hof van Justitie van de Europese Unie worden ingesteld", aldus de EDPS-uitspraak. Dat lijkt definitief. Probleem opgelost.
Maar is het? Vanaf het begin van het EDPS-onderzoek heeft Europol vooropgelopen, om verlengingen van de tijd gevraagd en zaken vertraagd. Waarschijnlijk hoopt zij de activering van de EDPS-uitspraak uit te stellen.
The Guardian citeert de EU-commissaris voor Binnenlandse Zaken, Ylva Johansson: "De wetshandhavingsinstanties hebben de instrumenten, middelen en de tijd nodig om gegevens te analyseren die op wettige wijze aan hen zijn doorgegeven", zei ze. “In Europa is Europol het platform dat de nationale politiediensten ondersteunt bij deze gigantische taak.”
The Guardian voegt toe: “Vorig jaar heeft [de Europese Commissie] ingrijpende wijzigingen voorgesteld in de verordening die de bevoegdheden van Europol ondersteunt. Als ze wet worden, kunnen de voorstellen in feite de datacache met terugwerkende kracht legaliseren en de inhoud ervan behouden als proeftuin voor nieuwe AI- en machine learning-tools.”
Als Europol de zaken lang genoeg kan uitstellen, kan het zijn dat zijn huidige illegale activiteiten plotseling legaal zijn geworden en kan het doorgaan zoals het wil. Bedenk dat de Europese Commissie het centrum van de Europese politieke macht is en dat haar leden worden voorgedragen door regeringen van de lidstaten die de voorspellende wetshandhaving niet willen inperken, wat de persoonlijke privacy ook mag kosten.
Het lijkt zeer waarschijnlijk dat de Europese hypocrisie over de privacy van persoonsgegevens voor onbepaalde tijd zal voortduren.
Verwant: GDPR-boetes stegen zevenvoudig tot $ 1.25 miljard in 2021: onderzoek
Verwant: Europese politie bespringt na kraken van misdaadchatnetwerk
Verwant: Facebook, AVG en Max Schrems – Onder de motorkap van AVG-juridische processen
Verwant: Oostenrijkse toezichthouder zegt dat Google Analytics in strijd is met de AVG
Kevin Townsend is Senior Contributor bij SecurityWeek. Hij schrijft al sinds de geboorte van Microsoft over hightech-problemen. De laatste 15 jaar heeft hij zich gespecialiseerd in informatiebeveiliging; en heeft vele duizenden artikelen gepubliceerd in tientallen verschillende tijdschriften - van The Times en de Financial Times tot huidige en lang vervlogen computertijdschriften.
Tags:
