IGJ: informatiebeveiliging ggz moet beter aantoonbaar zijn
De Inspectie Gezondheidszorg en Jeugd (IGJ) constateert dat veel grotere organisaties in de geestelijke gezondheidszorg (ggz) nog niet kunnen aantonen dat hun informatiebeveiliging voldoet aan de wettelijke eisen. Van de 87 onderzochte grotere ggz-organisaties konden er zes laten zien dat zij werken volgens NEN 7510, de norm voor informatiebeveiliging in de zorg. De inspectie schrijft dat in een publicatie over informatiebeveiliging in de ggz.
Ggz-organisaties verwerken veel gevoelige gegevens. In cliëntdossiers staan bijvoorbeeld behandelgegevens, rapportages, medicatie-informatie en andere gegevens die direct raken aan iemands gezondheid en persoonlijke levenssfeer. Ook de dagelijkse zorgverlening is afhankelijk van digitale systemen voor dossiervoering, planning, communicatie en gegevensuitwisseling met andere zorgverleners.
NEN 7510 vraagt van zorgaanbieders dat informatiebeveiliging structureel wordt ingericht. Het gaat dus niet alleen om technische maatregelen, maar ook om bestuur, verantwoordelijkheden, risicoanalyses, periodieke controle en aantoonbare verbetering. Een certificaat is niet in alle gevallen verplicht, maar organisaties moeten wel kunnen onderbouwen dat zij de norm toepassen en dat hun beveiligingsmaatregelen onafhankelijk zijn beoordeeld.
De IGJ verwacht dat organisaties die nog niet aantoonbaar voldoen, dit jaar een onafhankelijke beoordeling laten uitvoeren. De inspectie kondigt daarnaast aan dat ook andere zorgsectoren worden onderzocht, waaronder jeugdhulp, laboratoria en eerstelijnszorg.
Guidelines hoogrisico-AI in consultatie
De Europese Commissie heeft concept-guidelines gepubliceerd over de vraag wanneer een AI-systeem als hoog risico moet worden aangemerkt onder de AI-verordening. De guidelines moeten aanbieders, gebruikers en toezichthouders helpen bij de toepassing van artikel 6 van de verordening. De Commissie vraagt feedback op de concept-guidelines over hoogrisico-AI.
De AI-verordening werkt met een risicogebaseerde benadering. Verboden AI-praktijken zijn niet toegestaan, terwijl hoogrisico-AI-systemen aan aanvullende verplichtingen moeten voldoen. Die verplichtingen gaan onder meer over risicobeheer, datakwaliteit, technische documentatie, logging, transparantie en menselijk toezicht. De classificatie van een systeem bepaalt dus welke verplichtingen voor aanbieders en gebruikers gelden.
De concept-guidelines onderscheiden twee routes naar hoog risico. Een AI-systeem kan onder het hoogrisicoregime vallen omdat het onderdeel is van een product dat onder Europese productveiligheidsregels valt. Daarnaast kan een systeem hoog risico zijn omdat het wordt gebruikt in een domein uit bijlage III van de AI-verordening, bijvoorbeeld bij toepassingen die gevolgen kunnen hebben voor gezondheid, veiligheid, onderwijs, werk, toegang tot diensten of grondrechten.
De guidelines zijn nog niet definitief. De conceptversie bevat wel praktische voorbeelden en aanknopingspunten voor organisaties die AI-systemen ontwikkelen of gebruiken. Reageren kan tot 23 juni 2026.
Google hangt mogelijk recordboete boven het hoofd
De Europese Commissie bereidt volgens berichtgeving op basis van Handelsblatt een boete van honderden miljoenen euro’s voor tegen Google. De zaak valt onder de Digital Markets Act (DMA), de Europese wet die grote digitale poortwachters verplicht om hun platformen eerlijker en toegankelijker te maken voor concurrenten. De Commissie heeft nog niet officieel bevestigd dat er een boete wordt opgelegd.
De zaak gaat over de manier waarop Google eigen diensten toont in zoekresultaten. De Commissie stuurde Alphabet, het moederbedrijf van Google, in maart 2025 al voorlopige bevindingen. Daarin stelde de Commissie voorlopig vast dat bepaalde functies van Google Search eigen diensten gunstiger behandelen dan vergelijkbare diensten van andere aanbieders. Het gaat bijvoorbeeld om diensten rond winkelen, hotels, reizen of andere gespecialiseerde zoekresultaten.
Onder de DMA mogen aangewezen poortwachters hun eigen producten of diensten niet bevoordelen ten opzichte van concurrerende diensten van derde partijen. Die verplichting moet voorkomen dat ondernemingen die afhankelijk zijn van grote platformen op achterstand worden gezet door de inrichting van zoekresultaten, rangschikking of zichtbaarheid.
Volgens de berichtgeving wil de Commissie het onderzoek nog voor de zomer afronden. Een officiële bevestiging van een boete is er nog niet. Wel zou een sanctie van honderden miljoenen euro’s tot de zwaarste handhavingsmaatregelen tot nu toe onder de DMA behoren.
AP vraagt reactie op Europese onderzoeksguidelines
De Autoriteit Persoonsgegevens (AP) roept organisaties en deskundigen op om te reageren op nieuwe Europese guidelines over het gebruik van persoonsgegevens voor wetenschappelijk onderzoek. De guidelines zijn opgesteld door de European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders.
De guidelines moeten verduidelijken hoe de Algemene verordening gegevensbescherming (AVG) moet worden toegepast bij wetenschappelijk onderzoek. Dat is relevant voor universiteiten, onderzoeksinstellingen, zorgorganisaties, bedrijven en publieke instellingen die persoonsgegevens gebruiken voor onderzoeksdoeleinden. In veel onderzoekscontexten gaat het bovendien om gevoelige gegevens, zoals gezondheidsgegevens, genetische gegevens of gegevens uit grote databestanden.
De EDPB gaat onder meer in op de vraag wanneer een verwerking daadwerkelijk als wetenschappelijk onderzoek kan worden aangemerkt. Ook komen onderwerpen aan bod als hergebruik van persoonsgegevens, bewaartermijnen, toestemming, grondslagen, rechten van betrokkenen en passende waarborgen. Daarmee raken de guidelines aan vragen die in de praktijk vaak lastig zijn, bijvoorbeeld wanneer gegevens die oorspronkelijk voor zorg, dienstverlening of administratie zijn verzameld later voor onderzoek worden gebruikt.
De consultatie loopt tot en met 25 juni 2026 via de EDPB-consultatiepagina over wetenschappelijk onderzoek. Na afloop beoordeelt de EDPB de ontvangen reacties en kan de tekst worden aangepast.
Oostenrijkse rechter corrigeert cookiebanner ORF
De Oostenrijkse publieke omroep ORF moet de cookiebanner van ORF.at aanpassen. De Oostenrijkse bestuursrechter bevestigde dat de manier waarop toestemming werd gevraagd voor trackingcookies niet voldeed aan de Algemene verordening gegevensbescherming (AVG). Privacyorganisatie noyb berichtte over de uitkomst van de zaak rond de cookiebanner van ORF.at.
De zaak draaide om de manier waarop bezoekers keuzes kregen voorgelegd. De mogelijkheid om trackingcookies te accepteren was volgens de procedure visueel aantrekkelijker en prominenter vormgegeven dan de mogelijkheid om te weigeren. Daardoor werden bezoekers in de richting van toestemming gestuurd, terwijl toestemming onder de AVG vrij, geïnformeerd en ondubbelzinnig moet zijn.
De rechter volgt daarmee het oordeel dat de banner gebruikers onvoldoende neutraal liet kiezen tussen accepteren en weigeren. ORF moet de cookiebanner aanpassen, zodat bezoekers niet via vormgeving of keuzepaden richting toestemming voor trackingcookies worden gestuurd.
Temu krijgt DSA-boete van 200 miljoen euro
De Europese Commissie heeft online marktplaats Temu een boete van 200 miljoen euro opgelegd wegens overtreding van de Digital Services Act (DSA). Volgens de Commissie heeft Temu onvoldoende onderzocht welke risico’s op het platform bestaan rond illegale producten en de schade die consumenten daardoor kunnen ondervinden. De Commissie maakte de boete voor Temu op 28 mei bekend.
De DSA verplicht zeer grote online platformen om systemische risico’s van hun diensten in kaart te brengen en te beperken. Bij een marktplaats gaat het daarbij niet alleen om losse meldingen over afzonderlijke producten, maar ook om de vraag of het platform als geheel voldoende grip heeft op de verspreiding van illegale of onveilige producten.
Volgens de Commissie was de risicobeoordeling van Temu te algemeen en onvoldoende gebaseerd op concrete gegevens over het eigen platform. Consumenten in de Europese Unie liepen daardoor een reële kans om via Temu producten tegen te komen die niet aan Europese regels voldoen. De Commissie noemt onder meer zorgen over productveiligheid en de manier waarop aanbevelingssystemen en promoties de zichtbaarheid van risicovolle producten kunnen vergroten.
Temu moet naast de boete ook maatregelen nemen om de vastgestelde tekortkomingen te herstellen. De zaak maakt duidelijk dat de DSA niet alleen ziet op sociale media of illegale online content, maar ook op de inrichting en risicobeheersing van grote online marktplaatsen.
Politie en NCSC halen groot botnetwerk offline
De politie en het Nationaal Cyber Security Centrum (NCSC) hebben een groot botnetwerk offline gehaald waarmee miljoenen geïnfecteerde apparaten konden worden aangestuurd. Het netwerk draaide volgens de politie op een infrastructuur van ongeveer 200 servers.
Een botnetwerk bestaat uit apparaten die met schadelijke software zijn besmet en daarna op afstand kunnen worden misbruikt. Het kan gaan om computers, telefoons, tablets, routers of andere slimme apparaten. Eigenaren merken vaak niet dat hun apparaat onderdeel is geworden van een netwerk dat wordt gebruikt voor cyberaanvallen, fraude, phishing of het verhullen van crimineel internetverkeer.
In deze zaak ging het om zogenoemde residential proxies. Daarbij loopt internetverkeer via besmette apparaten van gebruikers, waardoor kwaadwillenden hun locatie en identiteit kunnen afschermen. De infrastructuur is door een hostingsprovider offline gehaald nadat was vastgesteld dat de servers voor criminele doeleinden werden gebruikt.
