Onderzoek AP: Jeugdzorg laat steken vallen bij afhandeling datalekken
De Autoriteit Persoonsgegevens (AP) heeft een onderzoek uitgevoerd naar de afhandeling van datalekken binnen de jeugdzorgsector. Dit onderzoek benadrukt het belang van zorgvuldig melden en registreren van datalekken, zodat de bescherming van persoonsgegevens van jeugdzorgcliënten kan worden verbeterd. Alle onderzochte instellingen beschikken over een intern meldbeleid en een datalekregister, maar er zijn aanzienlijke tekortkomingen. Bij ongeveer de helft van de instellingen is het datalekregister niet volledig en een op de drie instellingen heeft geen plan om terugkerende datalekken aan te pakken. Dit verhoogt het risico dat persoonsgegevens in verkeerde handen vallen.
De AP doet aanbevelingen om het datalekbeheer te verbeteren. Instellingen dienen het datalekregister niet alleen als administratieve taak te beschouwen, maar als een leermiddel. Het is cruciaal om te reflecteren op eerdere incidenten en de effectiviteit van genomen maatregelen te evalueren. Daarnaast moet de functionaris voor gegevensbescherming (FG) altijd betrokken zijn bij de afhandeling van datalekken om de naleving van privacywetgeving te waarborgen. Ook is transparantie over datalekken essentieel, zodat slachtoffers adequaat geïnformeerd worden.
Om datalekken effectief te beheren, moeten organisaties aandacht besteden aan bewustwording onder medewerkers en regelmatig trainingen organiseren. Dit zal helpen om datalekken te voorkomen en de bescherming van persoonsgegevens te waarborgen. In de bijlage van het onderzoek is een stappenplan opgenomen dat organisaties kan helpen om datalekken systematisch te analyseren en te verbeteren.
Klacht tegen ChatGPT om onjuiste informatie over gebruiker
Op 20 maart 2025 heeft privacyorganisatie noyb een klacht ingediend tegen ChatGPT, omdat de chatbot onjuiste informatie over personen genereert. Deze klacht volgt op een incident waarin ChatGPT onterecht een gebruiker beschuldigde van het doden van zijn kinderen. De gebruiker, Arve Hjalmar Holmen, vroeg in augustus 2024 naar informatie over zichzelf. De chatbot gaf een onjuiste weergave waarin werd gesteld dat hij zijn twee kinderen had vermoord en zijn derde zoon had geprobeerd te doden, hoewel enkele feitelijke details juist waren.
Noyb benadrukt dat de mogelijkheid dat iemand deze valse informatie als waar kan beschouwen, uiterst verontrustend is. OpenAI, de ontwikkelaar van ChatGPT, heeft aangekondigd dat de chatbot nu in staat is om online informatie te zoeken, wat de kans op dergelijke fouten moet verminderen. Desondanks is noyb bezorgd dat onjuiste gegevens nog steeds in de dataset van de AI aanwezig zijn.
In de klacht, ingediend bij de Noorse autoriteit voor gegevensbescherming, vraagt noyb om een boete voor OpenAI en om de verwijdering van de lasterlijke inhoud. Ze stellen dat het produceren van valse informatie in strijd is met de Algemene Verordening Gegevensbescherming (AVG), die vereist dat persoonlijke gegevens accuraat zijn. Noyb wijst erop dat een disclaimer in de interface van ChatGPT niet voldoende is om de gevolgen van dergelijke onjuiste informatie te ondervangen.
Verplichte reisvergunning voor EU-burgers naar het VK
Per 1 april 2025 moeten Europeanen die naar het Verenigd Koninkrijk willen reizen een Electronic Travel Authorisation (ETA) aanvragen. De Britse overheid beveelt aan deze aanvraag te doen via een smartphone-app, omdat die het proces aanzienlijk vereenvoudigt. Voor reizigers zonder smartphone is het ook mogelijk om zich via de officiële website Gov.UK te registreren, zo laten de autoriteiten in een aankondiging weten. Voor de aanvraag zijn een geldig paspoort, toegang tot een e-mailadres en een credit- of debitcard vereist.
De procedure omvat het maken van een foto van het paspoort, het uitlezen van de chip in het paspoort via de app en het scannen van het gezicht van de reiziger. De meeste aanvragers kunnen binnen enkele minuten een geautomatiseerde beslissing verwachten. De ETA is geldig voor meerdere bezoeken.
Minister van Immigratie Seema Malhotra stelt dat de digitalisering van het immigratiesysteem zal leiden tot een contactloze Britse grens, wat resulteert in een soepelere reiservaring voor bezoekers. De veranderingen zijn bedoeld om meer inzicht te krijgen in de bezoekers van het VK en de efficiëntie van het immigratieproces te verbeteren.
Rechter bevestigt recordboete van 746 miljoen euro voor Amazon wegens schending AVG
Een rechter in Luxemburg heeft het beroep van Amazon tegen een boete van 746 miljoen euro afgewezen. De boete werd in 2021 opgelegd door de Luxemburgse privacytoezichthouder Commission Nationale pour la Protection des Données (CNPD) wegens het schenden van de Algemene Verordening Gegevensbescherming (AVG). Volgens de toezichthouder heeft Amazon persoonsgegevens verwerkt zonder voldoende transparantie en zonder gebruikers de mogelijkheid te geven deze verwerking te weigeren.
De rechtszaak draaide om het al dan niet rechtmatig gebruik van persoonsgegevens door Amazon, waarbij de rechter nu oordeelt dat de boete terecht is opgelegd. De zaak kwam voort uit een klacht van de Franse digitale burgerrechtenorganisatie La Quadrature du Net. Met 746 miljoen euro is het een van de hoogste AVG-boetes ooit, op de tweede plaats na de 1,2 miljard euro boete die Meta eerder kreeg.
Amazon heeft zijn Europese hoofdkantoor in Luxemburg en overweegt volgens de Luxembourg Times om in hoger beroep te gaan tegen de uitspraak.
Autoriteit Persoonsgegevens doet weinig eigen onderzoek door tekort aan budget
De Autoriteit Persoonsgegevens (AP) heeft in 2024 nauwelijks ruimte gehad om op eigen initiatief privacyonderzoeken te starten. Dat blijkt uit het jaarverslag van de toezichthouder. Door een structureel tekort aan middelen – het huidige budget bedraagt minder dan de helft van wat volgens de AP nodig is – blijft het aantal ambtshalve onderzoeken zeer beperkt. De AP vermeldt niet hoeveel van deze onderzoeken er precies zijn uitgevoerd, maar geeft aan dat er “zo goed als geen ruimte” voor was.
De toezichthouder kan onderzoeken starten na meldingen van datalekken of klachten, maar ook zelf actie ondernemen bij vermoedens van privacyschendingen, bijvoorbeeld naar aanleiding van mediaberichten of steekproeven. Juist dit laatste is volgens de AP essentieel, omdat organisaties er anders baat bij kunnen hebben om datalekken niet te melden. De noodzaak van proactief toezicht wordt bovendien groter door de opkomst van kunstmatige intelligentie, waarbij schendingen vaak minder zichtbaar zijn.
In 2023 heeft de AP een aparte afdeling opgezet voor algoritmetoezicht, een vereiste in aanloop naar de Europese AI Act. Toch blijft de uitvoering van deze en andere taken lastig zonder extra financiële middelen. Hoewel het kabinet het budget vanaf dit jaar verhoogt naar 49 miljoen euro structureel, blijft dit ver onder de 100 miljoen euro die de AP nodig zegt te hebben. Dat bedrag is onderbouwd met een rapport van KPMG en wordt gesteund vanuit de politiek, maar een verhoging lijkt voorlopig niet aan de orde.
Online Safety Act van kracht in VK: strengere regels en mogelijke boetes voor techbedrijven
Sinds 17 maart is in het Verenigd Koninkrijk de Online Safety Act officieel van kracht. Deze wet verplicht online platforms om maatregelen te nemen tegen illegale en schadelijke content, met bijzondere aandacht voor de bescherming van kinderen. Bedrijven moesten uiterlijk op 16 maart een risicobeoordeling uitvoeren om in kaart te brengen hoe gebruikers in aanraking kunnen komen met illegale inhoud, of hoe hun diensten mogelijk misbruikt kunnen worden voor strafbare feiten.
Een belangrijk doel van de wet is het tegengaan van de verspreiding van kindermisbruikmateriaal (CSAM). De Britse toezichthouder Ofcom raadt file-sharingdiensten met een verhoogd risico aan om geautomatiseerde moderatietechnologie toe te passen om deze content snel te verwijderen. Tegelijkertijd is een handhavingsprogramma gestart om de veiligheid van dergelijke diensten te controleren.
Bedrijven die niet voldoen aan de eisen riskeren forse boetes tot 10% van hun wereldwijde jaaromzet of maximaal 18 miljoen pond. In ernstige gevallen kan Ofcom zelfs via de rechter laten afdwingen dat een website geblokkeerd wordt voor Britse gebruikers. Volgens berichten zouden onder meer X (voorheen Twitter) en Meta-diensten als Facebook, Instagram en WhatsApp onderwerp zijn van onderzoek.
De wet stuit echter op kritiek. Tegenstanders vrezen dat de regels kunnen leiden tot censuur, mede doordat ook ‘grijze gebieden’ zoals extreem pornografisch materiaal, online intimidatie en controlerend gedrag onder de verboden vallen. Een eerder voorstel om versleutelde privéberichten te laten scannen werd na kritiek ingetrokken. Amerikaanse bedrijven hopen intussen op politieke steun om uitzonderingen te verkrijgen.
AP kritisch op aanvullingswet Strafvordering: risico’s voor privacy onvoldoende ondervangen
De Autoriteit Persoonsgegevens (AP) uit stevige kritiek op de Eerste aanvullingswet van het nieuwe Wetboek van Strafvordering. In een toets die op 13 maart 2025 werd gepubliceerd, stelt de toezichthouder dat het kabinet politiediensten te ruime bevoegdheden wil geven om grote hoeveelheden persoonsgegevens te verzamelen, zonder voldoende waarborgen voor de privacy van burgers.
Volgens de AP ontstaan hierdoor serieuze risico’s, ook voor mensen die geen verdachte zijn. Zij kunnen onbedoeld als ‘bijvangst’ in de systemen van de politie belanden, bijvoorbeeld bij de inbeslagname van smartphones of laptops. De bewaartermijnen van niet-relevante gegevens zijn te lang, regels voor hergebruik van gegevens voor andere doeleinden zijn onvoldoende uitgewerkt, en er ontbreken bepalingen voor de analyse van grote databestanden.
De AP stelt dat gegevens die niet relevant zijn voor een opsporingsonderzoek onmiddellijk vernietigd moeten worden, maar het wetsvoorstel voorziet slechts in een beperkte vernietigingsplicht. Daarnaast ontbreekt een rechterlijke toets bij het hergebruik van verzamelde gegevens. Ook vindt de AP dat de verwerking van persoonsgegevens in een aparte wet geregeld moet worden, zoals oorspronkelijk de bedoeling was. Die nieuwe gegevensverwerkingswet is echter geschrapt om financiële redenen.
De toezichthouder noemt het zorgelijk dat het kabinet wel middelen uittrekt voor meer bevoegdheden, maar niet voor een goede juridische verankering van de verwerking van persoonsgegevens. De AP roept de regering op alsnog te investeren in wetgeving die in lijn is met het Europese privacyrecht en die burgers adequate bescherming biedt in het digitale tijdperk.
