Nieuwsbrief week 2 2025

Kritiek op grensoverschrijdende uitwisseling medische gegevens

De Autoriteit Persoonsgegevens (AP) uit scherpe kritiek op een wetsvoorstel van de overheid dat de grensoverschrijdende uitwisseling van medische gegevens via het Nationaal Contactpunt voor eHealth (NCPeH-NL) regelt. Dit voorstel, dat in juni 2024 werd gepresenteerd door toenmalig minister Helder van Volksgezondheid, is opgesteld om in te spelen op de groeiende mobiliteit van burgers binnen de EU die zorg buiten hun eigen regio nodig hebben.

Het wetsvoorstel legt de verantwoordelijkheden en voorwaarden vast voor het verwerken van gegevens door het NCPeH-NL. Dit punt is belangrijk omdat de European Health Data Space (EHDS) deze gegevensuitwisseling zal faciliteren. Echter, burgers die niet willen dat hun medische gegevens gedeeld worden, moeten hier zelf tegen bezwaar maken.

De AP heeft diverse bezwaren tegen het voorstel. Ze wijzen op onduidelijkheden over met welke derde partijen gegevens gedeeld mogen worden en aan welke eisen deze partijen moeten voldoen. Ook moet in de wet worden opgenomen dat NCPeH-NL moet verifiëren of patiënten toestemming hebben gegeven voor het delen van hun gegevens. Daarnaast is er verwarring over de bevoegdheid van zorgverleners om gegevens van patiënten uit andere EU-landen op te vragen. De AP heeft deze zorgen geuit in een brief aan minister Agema van Volksgezondheid.

Sancties tegen OpenAI vanwege ChatGPT

De Italiaanse privacytoezichthouder GPDP heeft recentelijk maatregelen genomen tegen OpenAI, de ontwikkelaar van de ChatGPT-service. Dit volgt op een onderzoek dat in maart 2023 is gestart, waarbij vastgesteld werd dat het bedrijf verschillende regels heeft overtreden met betrekking tot de verwerking van persoonsgegevens.

OpenAI heeft nagelaten om de GPDP te informeren over een datalek in maart 2023 en verwerkte gebruikersgegevens zonder geldige grondslag. Bovendien heeft het bedrijf niet voldaan aan de transparantievereisten en is er geen systeem voor leeftijdsverificatie opgezet, wat risico’s met zich meebrengt voor kinderen onder de 13 jaar.

Om de transparantie te verbeteren, moet OpenAI nu een informatiecampagne van zes maanden uitvoeren op radio, televisie, in kranten en online. Deze campagne moet de publieke bewustwording vergroten over hoe ChatGPT werkt, hoe gebruikersdata worden verzameld, en welke rechten gebruikers hebben, zoals het recht om bezwaar te maken, gegevens te rectificeren of te verwijderen.

Bovendien is OpenAI beboet met 15 miljoen euro, een bedrag dat rekening houdt met de coöperatieve houding van het bedrijf. Aangezien OpenAI zijn Europese hoofdkantoor in Ierland heeft gevestigd, zijn de procedures ook doorgestuurd naar de Ierse gegevensbeschermingsautoriteit voor verdere opvolging van eventuele schendingen.

Boete voor Coolblue vanwege onterecht gebruik van cookies

De Autoriteit Persoonsgegevens (AP) heeft Coolblue een boete van 40.000 euro opgelegd voor het onrechtmatig verwerken van persoonsgegevens in 2020. Het bedrijf verzamelde via cookies gegevens van webshopbezoekers zonder hun expliciete toestemming. Coolblue ging ervan uit dat bezoekers automatisch akkoord gingen, wat niet toegestaan is.

Volgens de Algemene verordening gegevensbescherming (AVG) moet een website expliciete toestemming vragen voor het gebruik van cookies. Dit betekent dat bezoekers actief moeten instemmen. Coolblue had de toestemming vakjes vooraf aangevinkt, wat in strijd is met de wet. 

De AP startte eind 2019 een onderzoek naar verschillende websites, waaronder Coolblue.nl, om te controleren of ze zich aan de cookieregels hielden. Na een eerste inspectie in november 2019 kreeg Coolblue te horen dat hun beleid niet op orde was. Ondanks een aanpassing in juni 2020, bleek de werkwijze in april en mei 2020 nog steeds niet correct.

Sinds 2024 houdt de AP extra toezicht op cookiegebruik en biedt zij richtlijnen voor heldere cookiebanners. Tevens is de AP een campagne gestart om organisaties aan te moedigen hun cookiebeleid te herzien en mensen bewust te maken van de gevolgen van cookies voor hun privacy.

Rechtszaak van $1,2 miljard tegen Apple over gebrek aan CSAM-detectie

De recente rechtszaak van $1,2 miljard tegen Apple heeft de aandacht gevestigd op de ‘CSAM-Verordening’, die gericht is op het bestrijden van online seksueel kindermisbruik. Deze regelgeving is in het leven geroepen door de Europese Commissie, die overweegt een wet te implementeren die chatcontrole mogelijk maakt. Voorafgaand aan deze discussie probeerden verschillende technologiebedrijven, waaronder Apple, een eigen systeem te ontwikkelen voor het detecteren van kinderpornografie op hun platforms.

Apple heeft met name veel media-aandacht gekregen. Het bedrijf wilde iCloud-foto’s scannen op kinderpornografie, maar trok deze plannen in na kritiek van privacy-experts. Deze experts waarschuwden dat een dergelijk systeem misbruikt kon worden en de privacy van alle gebruikers in gevaar zou kunnen brengen. Ondanks deze bezwaren zijn er ook voorstanders van een dergelijk detectiesysteem.

De rechtszaak, aangespannen door duizenden slachtoffers, beschuldigt Apple ervan niet alleen tekort te schieten in de productie en het ontwerp van veilige producten, maar ook van het niet tijdig informeren van consumenten over de aanwezige risico’s. De eis omvat naast de financiële schadevergoeding ook de verplichting voor Apple om kinderpornografie op iCloud te identificeren, te verwijderen en te rapporteren, evenals het implementeren van maatregelen ter voorkoming van verdere verspreiding van dit materiaal op hun apparaten en diensten. Bij een succesvolle rechtszaak kan Apple dus alsnog gedwongen worden tot het invoeren van een scansysteem.

EDPB Opinie over AI en persoonsgegevens

De European Data Protection Board (EDPB) heeft een belangrijke opinie aangenomen over het gebruik van persoonsgegevens bij de ontwikkeling en toepassing van AI-modellen. Deze opinie onderzoekt drie hoofdpunten: wanneer AI-modellen als anoniem kunnen worden beschouwd, de rol van gerechtvaardigd belang als juridische basis voor het gebruik van persoonsgegevens, en de gevolgen wanneer een AI-model is ontwikkeld met onrechtmatig verwerkte persoonsgegevens. Tevens wordt gekeken naar zowel eerste- als derdepartijgegevens.

De opinie is aangevraagd door de Ierse gegevensbeschermingsautoriteit (DPA) om Europese regelgeving te harmoniseren. 

Volgens EDPB-voorzitter Talus kunnen AI-technologieën kansen bieden, maar moeten ze ethisch en veilig worden ontwikkeld. De opinie benadrukt dat het beoordelen van anonimiteit per geval moet gebeuren. Voor ‘gerechtvaardigd belang’ biedt de EDPB een driedelige test aan om te bepalen of deze grondslag geschikt is voor het verwerken van persoonsgegevens, met voorbeelden van nuttige AI-toepassingen.

Daarnaast worden criteria gepresenteerd om te beoordelen of individuen redelijkerwijs bepaalde gebruikswijzen van hun persoonsgegevens kunnen verwachten. Mocht de balans aantonen dat verwerking niet kan plaatsvinden, dan kunnen verzachtende maatregelen worden getroffen. Tot slot kan het gebruik van onrechtmatig verwerkte persoonsgegevens invloed hebben op de wettigheid van de inzet van een AI-model, tenzij dit model correct is geanonimiseerd.

AP: onvoldoende privacybescherming in wetsvoorstel over financieel toezicht

De Autoriteit Persoonsgegevens (AP) waarschuwt dat het wetsvoorstel omtrent de uitbreiding van bevoegdheden van de Autoriteit Financiële Markten (Wet toezichtondersteunende rapportage AFM) voor meer financiëel toezicht een verbeterde privacybescherming behoeft. Dit voorstel, de Wet toezichtondersteunende rapportage AFM, beoogt een datagedreven benadering van toezicht waarbij financiële instellingen zoals banken en verzekeraars gegevens over hun klanten aan de AFM moeten aanleveren.

Katja Mur van de AP benadrukt het belang van privacy, aangezien financiële gegevens tot de meest gevoelige persoonlijke informatie behoren. De huidige wetgeving mist echter cruciale waarborgen, zoals een expliciet verbod op re-identificatie van de anonimiserende data. Dit is essentieel om te voorkomen dat gevoelige informatie terug te leiden is naar individuele personen.

Daarnaast is het onduidelijk hoe de AFM haar toezicht daadwerkelijk zal verbeteren door het gebruik van deze data. De doelstellingen van het wetsvoorstel blijven vaag en bieden onvoldoende rechtvaardiging voor het verzamelen van persoonlijke informatie. Het is van groot belang dat er duidelijke uitleg wordt gegeven over de noodzaak van gegevensverzameling en dat er wordt aangetoond dat dit niet met minder gegevens kan.

Tot slot is er onduidelijkheid over de mogelijke gegevensuitwisseling tussen de AFM en De Nederlandsche Bank (DNB). Volgens de AP behoeft dit aspect verdere verduidelijking in het wetsvoorstel. 

Delen: