Training Privacy Professional
start 16 mei 2025
AP gaat cookiebanners structureel controleren
De Autoriteit Persoonsgegevens (AP) heeft vijf Nederlandse organisaties aangesproken op hun onjuiste cookiebanners. Uit onderzoek in 2024 bleek dat deze organisaties de regels overtraden: bezoekers konden cookies niet op een correcte manier weigeren. Zo waren afwijsopties verstopt, stond toestemming al vooraf aangevinkt, of werden cookies geplaatst zonder geldige toestemming.
Na ingrijpen van de AP zijn de cookiebanners inmiddels aangepast en voldoen de websites nu aan de wet. Volgens AP-voorzitter Aleid Wolfsen moeten bezoekers vrij en zonder misleiding websites kunnen gebruiken, zonder automatisch gevolgd te worden of dat hun data zonder toestemming worden verhandeld.
De AP wijst erop dat een cookiebanner alleen verplicht is bij het gebruik van trackingcookies. Websites die uitsluitend strikt noodzakelijke cookies gebruiken – bijvoorbeeld om een winkelmandje te onthouden – hoeven geen toestemming te vragen.
Om structurele naleving te stimuleren, start de AP met een doorlopende automatische controle van 10.000 websites. Organisaties die niet aan de regels voldoen, krijgen eerst een waarschuwing en gelegenheid tot aanpassing. Bij ernstige of aanhoudende overtredingen volgen sancties of boetes.
De AP adviseert website-eigenaren – zeker kleinere organisaties – om de regels goed na te lezen én actief te controleren wat hun cookiebanner technisch doet. Om organisaties hierbij te helpen heeft de AP vuistregels voor heldere cookiebanners opgesteld.
EDPB publiceert guidelines blockchaintechnologie
De European Data Protection Board (EDPB), het samenwerkingsverband van Europese privacytoezichthouders, heeft nieuwe conceptrichtlijnen gepubliceerd voor het gebruik van blockchaintechnologie in combinatie met persoonsgegevens. Deze richtlijnen helpen organisaties om te voldoen aan de AVG wanneer zij blockchains inzetten.
In de richtlijnen benadrukt de EDPB het belang van privacy by design: al bij het ontwerp van de blockchain moet zorgvuldig worden nagedacht over de bescherming van persoonsgegevens. Verder moeten organisaties in veel gevallen een data protection impact assessment (DPIA) uitvoeren, met name wanneer het gebruik van blockchain waarschijnlijk een hoog risico vormt voor de rechten en vrijheden van betrokkenen.
Daarnaast adviseert de EDPB om dataminimalisatie toe te passen (alleen verwerken wat strikt noodzakelijk is). Ook moeten gebruikers hun privacyrechten, zoals inzage, correctie of verwijdering van gegevens, kunnen uitoefenen. Omdat dat technisch lastig kan zijn bij blockchains, raadt de EDPB aan vooraf goed na te denken over alternatieven zoals anonimisering of het gebruik van andere technologieën.
De richtlijnen zijn nog niet definitief. Tot en met 9 juni 2025 kunnen belanghebbenden via de website van de EDPB reageren. Daarna zal de EDPB de definitieve versie vaststellen.
Britse overheid test AI om misdaden te voorspellen
De Britse overheid ontwikkelt een kunstmatige intelligentieprogramma dat moet helpen bij het voorspellen van moorden, zo meldt The Guardian. Dit concept, bekend als predictive policing, roept veel controverse op. Het programma is gericht op het identificeren van individuen met een verhoogd risico om ernstige misdaden te plegen, door gebruik te maken van data van mensen die al bij de autoriteiten bekend zijn. De Britse politie hoopt hiermee de openbare veiligheid te verbeteren, maar critici, waaronder de actiegroep Statewatch, beschouwen het initiatief als ‘huiveringwekkend en dystopisch’.
Statewatch wijst op de problematische opname van gegevens over geestelijke gezondheid en verslavingsgevoeligheid. Onderzoekers hebben herhaaldelijk aangetoond dat algoritmische systemen voor criminaliteitsvoorspelling vaak gebrekkig zijn en bestaande vooroordelen kunnen versterken. Dit zou de structurele discriminatie binnen het strafrechtssysteem verder kunnen verergeren.
Het Britse ministerie van Justitie beweert dat alleen gegevens van veroordeelde misdadigers worden verzameld en dat het project zich nog in de onderzoeksfase bevindt. Critici, waaronder de Algemene Rekenkamer in Nederland, hebben eerder gewaarschuwd voor de gevaren van voorspellende algoritmen, die kunnen leiden tot onterecht vooringenomenheid. De Europese AI-wet classificeert predictive policing als een ‘onaanvaardbaar risico’, wat leidt tot een verbod op het gebruik ervan in de EU.
Minister Agema: Verandering medisch beroepsgeheim door EHDS
Minister Fleur Agema werkt nog altijd aan een opt-out-regeling waarmee Nederlandse burgers zich kunnen uitschrijven voor gegevensuitwisseling binnen de European Health Data Space (EHDS). In een Kamerbrief noemt zij databeschikbaarheid essentieel voor betere zorg, lagere kosten en de ontwikkeling van AI-oplossingen, maar benadrukt dat dit ook gevolgen heeft voor het medisch beroepsgeheim.
De minister onderzoekt daarom zogeheten beperkingsrechten: een opt-out voor gegevensdeling en een recht op toegangsbeperking, waarmee burgers kunnen bepalen welke zorgverleners welke data mogen inzien. Hoewel het vertrouwensprincipe blijft bestaan, verandert het systeem van opt-in naar opt-out. Agema erkent dat de implementatie van deze rechten een complexe klus is, waarbij gezocht wordt naar een balans tussen gebruiksvriendelijkheid voor burgers en de technische beperkingen van ICT-systemen.
Veel onderdelen van het systeem moeten nog worden uitgewerkt. Zo is nog onduidelijk op welk niveau de opt-out precies gaat gelden en hoe omgegaan wordt met gevoelige gegevens, zoals genetische data. Daarnaast pleit Agema voor versterking van cybersecurity en betere handhaving door de IGJ.
Agema concludeert dat databeschikbaarheid belangrijk is voor de toekomst van de zorg, maar dat zorgvuldigheid en veiligheid daarbij voorop moeten staan. Ze gaat hierover in gesprek met zorgverleners, patiëntorganisaties en andere betrokken partijen.
Meta gaat gebruikersdata inzetten om AI te trainen
Meta, het moederbedrijf van Facebook en Instagram, gaat alle Europese gebruikers informeren dat hun openbare gegevens, zoals posts en reacties, gebruikt zullen worden voor de training van eigen AI-modellen. Dat heeft het bedrijf laten weten in een persbericht. Volgens Meta is dit nodig om de kunstmatige intelligentie beter af te stemmen op Europese culturen, talen en humor. Denk hierbij aan het begrijpen van dialecten, sarcasme en lokale nuances.
Gebruikers krijgen via een melding op de platforms de mogelijkheid om bezwaar te maken. Meta belooft dat het bezwaarformulier eenvoudig te vinden en te gebruiken is en dat elk bezwaar gerespecteerd zal worden. Gegevens van minderjarigen en privégesprekken via WhatsApp worden uitgesloten van deze dataverzameling.
De introductie van Meta’s AI in Europa liep eerder vertraging op vanwege zorgen van toezichthouders. Ook privacyorganisaties uitten kritiek. Meta zegt inmiddels constructief overleg te voeren met de Ierse toezichthouder DPC. De Autoriteit Persoonsgegevens in Nederland volgt de ontwikkelingen nauwlettend en benadrukt het belang van adequate bescherming van Europese persoonsgegevens.
Meta stelt dat andere bedrijven, zoals Google en OpenAI, vergelijkbare methodes gebruiken om hun AI te verbeteren. Toch blijven zorgen bestaan over privacy, gezien Meta’s geschiedenis van forse boetes voor datamisbruik binnen de EU.
Zweedse fiscus aangeklaagd om dataverkoop
Privacyorganisatie noyb daagt de Zweedse belastingdienst voor de rechter vanwege het verkopen van persoonsgegevens aan commerciële datamakelaars zoals MrKoll en Dun & Bradstreet. Deze bedrijven publiceren onder meer inkomens-, adres- en identificatiegegevens van miljoenen Zweden zonder beperkingen online.
Hoewel Zweden zich beroept op een grondwettelijk principe van transparantie, oordeelde het Zweeds Hooggerechtshof onlangs dat privacyrechten en het recht op informatie in balans moeten worden gebracht. Gegevens waarvan vermoed wordt dat ze in strijd met de AVG worden verwerkt, moeten als vertrouwelijk worden aangemerkt. De belastingdienst negeert dat oordeel en verkoopt de gegevens nog steeds via het ‘statens personadressregister’.
Een Zweedse burger verzocht eerder dit jaar om zijn gegevens niet langer te delen, maar dat verzoek werd afgewezen. noyb heeft nu beroep aangetekend bij de Administratieve Rechtbank van Stockholm.
Volgens privacyjurist Joakim Söderberg van noyb is het delen van belastingdata met commerciële partijen in strijd met het doelbindingsprincipe van de AVG. Hij stelt dat de Zweedse overheid burgers moet beschermen tegen onrechtmatige verwerking van hun persoonsgegevens, en daarom haar databeleid dringend dient te herzien.
Delphyr lanceert Nederlandse AI-assistent voor de zorg
De Amsterdamse start-up Delphyr heeft een Nederlandstalige AI-assistent gelanceerd voor zorgprofessionals. Het onderliggende taalmodel, M1, is volledig in Nederland ontwikkeld en getraind in het Nederlands, met specifieke aandacht voor de Europese gezondheidszorg en in lijn met de AVG. Volgens oprichter Michel Abdel Malek blijven alle patiëntgegevens binnen Europa.
De AI-assistent helpt bij administratieve taken, ondersteunt klinische besluitvorming en draagt bij aan betere zorguitkomsten. M1 presteert sterk op medische benchmarks, met onder meer 76,8% op PubMedQA, en scoort daarmee beter dan sommige internationale modellen.
De assistent is inzetbaar voor taken zoals dossiers samenvatten, verslaglegging bij multidisciplinaire overleggen en kennisontsluiting. Hoewel getraind in het Nederlands, is het model in meerdere talen bruikbaar.
