MIND pleit voor opt-in model voor secundair gebruik van psychische gezondheidsdata
In een recente verklaring heeft stichting MIND, het platform voor ggz-patiënten, zijn standpunt geuit over de European Health Data Space (EHDS) verordening. MIND pleit voor de invoering van een opt-in model voor het secundair gebruik van psychische gezondheidsgegevens, in plaats van de huidige opt-out regeling. De EHDS is een initiatief van de Europese Commissie dat beoogt het delen van medische data in de EU in een gestandaardiseerd formaat te bevorderen.
De EHDS maakt onderscheid tussen primair gebruik, dat zich richt op zorgverlening, en secundair gebruik, dat ten doel heeft onderzoek, onderwijs, en ontwikkeling van producten en diensten, inclusief kunstmatige intelligentie, te ondersteunen. Terwijl burgers het recht hebben om bezwaar te maken tegen het verwerken van hun gezondheidsdata, pleit MIND voor een meer zorgvuldige benadering voor psychische gezondheidsinformatie, gezien de hoge gevoeligheid van deze data.
Onderzoek uitgevoerd door MIND toont aan dat 74% van de respondenten de voorkeur geeft aan een opt-in systeem voor secundair gebruik in Nederland. Dit benadrukt de noodzaak voor individuele keuzevrijheid bij het delen van gevoelige gegevens. De Autoriteit Persoonsgegevens heeft aangegeven dat een opt-out mogelijkheid essentieel is, maar er zijn momenteel geen plannen om extra eisen te stellen voor de verwerking van geestelijke gezondheidsgegevens. MIND waarschuwt dat onzorgvuldig delen van deze gegevens het vertrouwen en de veiligheid van patiënten kan ondermijnen.
EDPB: Verklaring over leeftijdsgarantie
De European Data Protection Board (EDPB) heeft met haar ‘Statement 1/2025 on Age Assurance‘ nieuwe richtlijnen gepubliceerd over leeftijdsverificatie in de digitale wereld. Deze richtlijnen zijn bedoeld om de bescherming van kinderen online te verbeteren, terwijl tegelijkertijd de privacy van alle gebruikers wordt gewaarborgd.
Volgens de EDPB brengen methoden voor leeftijdsverificatie aanzienlijke privacyrisico’s met zich mee, zoals ongewenste tracking, profilering en datalekken. De organisatie benadrukt dat leeftijdscontrole moet voldoen aan de principes van de AVG: doelbinding, minimale gegevensverwerking en transparantie. Leeftijdsverificatie mag geen extra persoonlijke gegevens verzamelen of onnodige risico’s creëren voor gebruikers.
De richtlijnen beschrijven drie methoden voor leeftijdsverificatie: zelfverklaring, leeftijdsschatting en leeftijdsverificatie. Hoewel zelfverklaring weinig effectief is, waarschuwt de EDPB dat strengere verificatiemethoden vaak meer privacyrisico’s met zich meebrengen. Dienstverleners worden aangespoord een risicogebaseerde aanpak te hanteren en enkel de minst ingrijpende methode te kiezen die nog steeds effectief is.
Daarnaast moeten organisaties duidelijke uitleg geven over hoe leeftijdsverificatie wordt uitgevoerd en gebruikers de mogelijkheid bieden om fouten in het proces aan te vechten. De EDPB roept bedrijven en overheden op om veilige, privacyvriendelijke verificatiemethoden te ontwikkelen, zoals cryptografische bewijzen en anonieme leeftijdstokens.
Autoriteit Persoonsgegevens publiceert nieuwe toezichtstrategie
De Autoriteit Persoonsgegevens (AP) heeft haar toezichtstrategie voor de komende jaren gepubliceerd. Dit document biedt inzicht in de werkwijze van de AP als toezichthouder en verduidelijkt haar aanpak ten aanzien van bedrijven, organisaties en overheden. Centraal staat de rol van de AP als ‘maatschappelijk regisseur’, waarbij zij de impact van maatschappelijke en technologische ontwikkelingen in de gaten houdt.
De toezichtstrategie is gestoeld op drie fundamentele principes: het waarborgen van non-discriminatie en persoonlijke autonomie, het bevorderen van controleerbaarheid en transparantie, en het beschermen van de veiligheid van persoonsgegevens. De AP richt zich op schadelijke situaties en kiest interventies die naar verwachting het grootste effect sorteren.
Om de rechten van burgers te waarborgen, hanteert de AP een divers palet aan interventies. Dit varieert van informele gesprekken en waarschuwingen tot formele onderzoeken en het opleggen van boetes. De AP streeft ernaar niet alleen handhavend op te treden, maar ook om proactief risico’s te agenderen en preventief op te treden door voorlichting te geven. Deze nieuwe strategie bouwt voort op eerdere documenten, zoals ‘Focus 2020-2023’, en onderstreept de betrokkenheid van de AP bij het waarborgen van privacy en gegevensbescherming in Nederland.
Consumentenbond: Veel cookiebanners voldoen niet aan privacyregels
Uit recent onderzoek van de Consumentenbond onder honderd populaire websites blijkt dat bijna veertig procent van de cookiebanners in strijd is met de privacywetgeving. Dit onderzoek onthult dat met name nieuwswebsites vaak niet op de juiste wijze toestemming vragen voor het plaatsen van volgcookies.
Van de twintig onderzochte nieuwssites vertonen zestien een tekortkoming. Gebruikers worden vaak gedwongen om meerdere keren te klikken om hun voorkeur voor het weigeren van volgcookies kenbaar te maken, of de optie om dit te doen is moeilijk te vinden. Een opvallend percentage van de overtreders valt onder DPG Media, met bekende platforms zoals nu.nl en volkskrant.nl. In februari 2025 ontving DPG Media zelfs de Big Brother-award van Bits of Freedom vanwege hun grootschalige tracking van consumenten.
Volgcookies zijn ontworpen om gedetailleerde informatie over consumenten te verzamelen, waarbij hun gedrag en voorkeuren worden geanalyseerd. Deze gegevens kunnen zonder toestemming worden verkocht of gedeeld met derden. De Algemene Verordening Gegevensbescherming legt echter duidelijke regels op voor de verwerking van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) heeft aanvullende richtlijnen opgesteld voor de implementatie van cookiebanners.
Sandra Molenaar, directeur van de Consumentenbond, benadrukt dat het onacceptabel is dat zoveel websites de privacywet negeren. De Consumentenbond heeft haar bevindingen gedeeld met de AP, die nu over extra middelen beschikt om frequentere controles uit te voeren.
Intensief toezicht op gemeente Eindhoven stopt onder voorwaarden
Per 1 maart 2025 is de Autoriteit Persoonsgegevens (AP) gestopt met het intensief toezicht op de gemeente Eindhoven, nadat dit toezicht op 1 maart 2023 was ingesteld vanwege ernstige zorgen over de omgang met persoonsgegevens. Sinds de interventie van de AP heeft de gemeente aanzienlijke verbeteringen doorgevoerd op het gebied van privacy- en gegevensbescherming. Belangrijke stappen zijn onder andere de ontwikkeling van een protocol voor datalekken en de formele vastlegging van de rol van de functionaris gegevensbescherming, die als onafhankelijke toezichthouder fungeert.
Er zijn wel voorwaarden verbonden aan de beëindiging van het toezicht. Deze voorwaarden zijn bedoeld om de gemeente te motiveren om door te gaan met het verbeteren van het privacybeleid. Zo moet het nieuwe privacybeleid formeel worden vastgesteld en dient er binnen zes maanden na het beëindigen van het toezicht een evaluatiegesprek met de AP plaats te vinden. Bovendien moet het college het nalevingsniveau van de Algemene Verordening Gegevensbescherming meten en laten valideren.
De AP benadrukt dat, zelfs na het beëindigen van het intensieve toezicht, zij de mogelijkheid behoudt om verder onderzoek te doen en sancties op te leggen indien nodig.
Onderzoek naar het recht op gegevenswissing door Europese privacytoezichthouders
De Autoriteit Persoonsgegevens (AP) gaat dit jaar, in samenwerking met andere Europese privacytoezichthouders, een onderzoek uitvoeren naar de naleving van het recht op gegevenswissing door organisaties. Dit onderzoek is een initiatief van de European Data Protection Board (EDPB) en zal zich richten op diverse bedrijven en overheidsinstellingen in Nederland.
Het recht op gegevenswissing stelt individuen in staat om hun persoonsgegevens die door organisaties worden verwerkt, te laten wissen. Dit recht is ontworpen om burgers meer controle te geven over hun persoonlijke informatie. Zodra er geen legitieme reden meer is voor de verwerking van deze gegevens, is een organisatie verplicht om ze te verwijderen.
Naast het recht op gegevenswissing bestaan er andere belangrijke privacyrechten, zoals het recht op inzage en het recht op rectificatie van persoonsgegevens. Recentelijk heeft de EDPB vastgesteld dat veel organisaties niet adequaat reageren op verzoeken om inzage.
In de praktijk blijkt dat er vaak problemen optreden bij het uitoefenen van het recht op gegevenswissing. De AP ontvangt regelmatig klachten van mensen die te maken hebben met organisaties die niet of te laat reageren op hun verzoeken.
De AP zal verschillende organisaties benaderen met een vragenlijst om inzicht te krijgen in de uitvoering van het recht op gegevenswissing. Wanneer er aanwijzingen zijn van overtredingen, kan de AP verdere stappen ondernemen. Uiteindelijk zullen de bevindingen van het onderzoek worden verzameld en gerapporteerd door de EDPB.
