VNG waarschuwt voor onbetrouwbare AI-stemhulpen bij gemeenteraadsverkiezingen
De Vereniging van Nederlandse Gemeenten (VNG) waarschuwt voor AI-gegenereerde stemhulpen in aanloop naar de gemeenteraadsverkiezingen van 18 maart. Volgens de koepelorganisatie bevatten sommige digitale stemadviezen feitelijke onjuistheden of verwijzen zij naar onderwerpen die lokaal niet spelen. Dat kan tot verwarring bij kiezers leiden.
Voorbeelden die circuleren zijn vragen over kustversterking in Leiden of betaald parkeren in Lopik, terwijl die kwesties daar niet aan de orde zijn. Ook zouden chatbots advies geven over partijen die niet deelnemen aan de lokale verkiezingen.
De VNG benadrukt dat betrouwbare informatievoorziening rond verkiezingen essentieel is en dat transparantie over werkwijze, brongebruik en controle van gegevens noodzakelijk is, zeker bij inzet van generatieve AI. Gemeenten krijgen de suggestie om inwoners op hun website te verwijzen naar onafhankelijke en gecontroleerde stemhulpen, zoals StemWijzer en KiesKompas.
De Autoriteit Persoonsgegevens waarschuwde eerder al dat chatbots vertekende stemadviezen kunnen geven. In de Tweede Kamer zijn inmiddels vragen gesteld over de aanpak van onbetrouwbare AI-stemhulpen.
Tien gemeenten beboet voor verwerking gegevens islamitische inwoners
Tien gemeenten hebben boetes gekregen wegens het onrechtmatig verwerken van gevoelige persoonsgegevens van islamitische inwoners. Het gaat om Delft, Ede, Eindhoven, Gooise Meren, Haarlemmermeer, Hilversum, Huizen, Tilburg, Veenendaal en Zoetermeer. De totale boetesom bedraagt 250.000 euro.
De Autoriteit Persoonsgegevens concludeert dat de gemeenten in het kader van de aanpak van radicalisering externe onderzoeken lieten uitvoeren naar islamitische gemeenschappen. In zogenoemde krachtenveldanalyses en quickscans werden onder meer religieuze stromingen, sociale netwerken en in sommige gevallen individuele profielen in kaart gebracht. Daarbij zijn gegevens over geloofsovertuiging en politieke opvattingen verwerkt. Dergelijke gegevens mogen op grond van de AVG in beginsel niet worden verwerkt, tenzij daarvoor een duidelijke wettelijke grondslag bestaat.
Volgens de toezichthouder ontbrak die grondslag en waren betrokken inwoners niet op de hoogte van de verwerking van hun gegevens. In enkele gevallen zijn rapporten gedeeld met andere overheidsinstanties, waaronder de politie en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Bij het bepalen van de boetes is meegewogen dat het om gevoelige gegevens gaat, maar ook dat de overtredingen deels zijn verjaard en dat gemeenten de gemaakte fouten erkennen. De rapporten mogen nog uitsluitend worden bewaard voor lopende procedures; voor andere doeleinden geldt een verwerkingsverbod.
Publicatie AI Act guidelines opnieuw uitgesteld
De Europese Commissie heeft de publicatie van de guidelines voor AI-systemen met een hoog risico opnieuw uitgesteld. Oorspronkelijk zouden deze op 2 februari verschijnen, later werd gesproken over eind februari. Ook die termijn is niet gehaald. Volgens een woordvoerder is meer tijd nodig om ontvangen feedback te verwerken en de interne besluitvorming af te ronden.
De guidelines moeten verduidelijken hoe de regels voor zogenoemde high-risk AI-systemen in de praktijk worden toegepast. Deze verplichtingen zouden in beginsel vanaf augustus 2026 van kracht worden.
De vertraging staat niet op zichzelf. Ook andere guidelines bij de AI Act zijn nog niet gepubliceerd. Daarnaast bevat het voorstel voor de Digital Omnibus plannen om de toepassing van de wettelijke verplichtingen voor high-risk systemen en de transparantieverplichtingen met een jaar uit te stellen.
De combinatie van uitgestelde toelichting en mogelijke verschuiving van wettelijke verplichtingen zorgt voor onzekerheid bij organisaties die zich voorbereiden op naleving van de AI Act.
Onderzoek: online drogisterijen delen gezondheidsdata met advertentieplatforms
Online drogisterijen en webshops delen bij websitebezoek en aankopen gevoelige gegevens met advertentieplatforms als Google, Meta en TikTok. Dat blijkt uit onderzoek van Investico, samen met De Groene Amsterdammer en Radar.
Volgens het onderzoek worden via onder meer server-side tracking gegevens doorgestuurd over aangekochte producten, waaronder zwangerschapstesten, morning-afterpillen en erectiemiddelen. In sommige gevallen worden ook e-mailadressen of andere identificerende gegevens meegestuurd. Dat gebeurt soms zelfs wanneer bezoekers trackingcookies weigeren.
Informatie over gezondheid of seksualiteit is een bijzonder persoonsgegeven. De AVG verbiedt verwerking daarvan in beginsel, tenzij een wettelijke uitzondering geldt. Privacyorganisatie Privacy First noemt de praktijken zorgwekkend en dringt aan op handhaving.
De kwestie raakt aan eerdere discussies over tracking bij webwinkels. In 2024 legde de Autoriteit Persoonsgegevens een boete op aan Kruidvat wegens het plaatsen van trackingcookies zonder geldige toestemming.
Het onderzoek onderstreept dat server-side tracking en advertentiepixels ook bij gevoelige productcategorieën worden ingezet, met mogelijke gevolgen voor profilering en verdere verspreiding van gezondheidsgerelateerde gegevens binnen het online advertentie-ecosysteem.
Hackers maandenlang in systemen DJI via kwetsbaarheid Ivanti-software
Digitale indringers hebben volgens onderzoeksprogramma Argos minstens vijf maanden toegang gehad tot systemen van de Dienst Justitiële Inrichtingen (DJI) – en mogelijk nog steeds. De aanvallers maakten gebruik van een kwetsbaarheid in Ivanti EPMM, software waarmee mobiele apparaten van medewerkers worden beheerd en beveiligd.
Via het lek konden onder meer e-mailadressen, telefoonnummers en beveiligingscertificaten worden ingezien. Daarnaast bestond de mogelijkheid om mobiele apparaten op afstand te beheren en zelfs eigen code uit te voeren. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat aanvallers in zulke gevallen achterdeurtjes kunnen plaatsen, waardoor toegang ook na een beveiligingsupdate kan blijven bestaan.
DJI heeft medewerkers op 12 februari geïnformeerd en melding aangekondigd bij de Autoriteit Persoonsgegevens. Vanwege de functie van DJI-medewerkers worden de gelekte gegevens als extra risicovol beschouwd. Ook de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak zijn via dezelfde kwetsbaarheid getroffen.
Gemeente Heerlen wil AI inzetten tegen overlast
De gemeente Heerlen ontwikkelt een algoritme dat ongeregeldheden en criminaliteit moet helpen voorspellen. Het project Pulse-Twin is bedoeld als digitale ‘tweeling’ van de stad waarin uiteenlopende gegevens worden samengebracht, onder meer van politie, maatschappelijke organisaties en het Centraal Bureau voor de Statistiek. Het gaat om sociale en veiligheidsdata op wijkniveau. Met behulp van AI wil de gemeente patronen herkennen en zo de leefbaarheid en veiligheid verbeteren.
Het project ontvangt vijf miljoen euro subsidie uit het European Urban Initiative. Eind dit jaar verschijnt een eerste versie; tot 2028 wordt in een besloten omgeving geëxperimenteerd. Volgens de gemeente worden geen individuele persoonsgegevens gebruikt en ziet de Universiteit Maastricht toe op ethische aspecten.
Mensenrechtenorganisatie Amnesty International en data-ethici plaatsen vraagtekens bij de inzet voor criminaliteitsbestrijding. Zij wijzen op risico’s van discriminatie en zelfversterkende effecten, zoals eerder bij predictive policing-systemen is gebleken. Amnesty heeft in eerdere Europese analyses al gepleit voor een verbod op dergelijke voorspellende handhavingssystemen vanwege mogelijke schendingen van privacy en non-discriminatie. Vergelijkbare initiatieven zijn de afgelopen jaren stopgezet vanwege twijfel over effectiviteit en zorgen over bias.
