Rechtbank: NZa mocht GGZ-gegevens gebruiken
De Nederlandse Zorgautoriteit (NZa) heeft volgens de rechtbank Midden-Nederland rechtmatig gehandeld bij het opvragen en verwerken van HoNOS+-gegevens van cliënten in de geestelijke gezondheidszorg (GGZ). Deze uitspraak werd gedaan in een collectieve rechtszaak die drie belangenorganisaties en enkele individuele eisers aanspanden op grond van de WAMCA (Wet afwikkeling massaschade in collectieve actie).
Sinds 2022 geldt een nieuw bekostigingssysteem voor de GGZ, waarin behandelaren in 2023 verplicht waren eenmalig anonieme vragenlijsten over cliënten aan te leveren aan de NZa. Deze vragenlijsten bevatten scores over de mentale en sociale gesteldheid van cliënten, bedoeld ter ondersteuning van behandeladviezen. De eisers stelden dat deze verwerking in strijd is met de AVG en het medisch beroepsgeheim schendt. Zij vroegen om een verbod op het gebruik van de gegevens en vernietiging van de verzamelde data.
De rechtbank oordeelde echter dat de gegevens volledig anoniem zijn en dus niet onder de AVG vallen. Ze zijn niet herleidbaar tot individuen en kunnen niet worden gekoppeld aan andere NZa-data. Het delen van deze gegevens vormt daarom geen schending van het medisch beroepsgeheim, aangezien behandelaren hier wettelijk toe verplicht zijn. De rechtbank erkent het gevoel van onveiligheid bij cliënten, maar benadrukt het belang van maatschappelijke ontwikkeling van het zorgprestatiemodel.
De NZa hoeft de gegevens niet te vernietigen, maar heeft inmiddels gemeld dit vrijwillig te hebben gedaan, inclusief de back-ups. Een toekomstig verbod op gegevensverwerking is niet aan de orde wegens het ontbreken van een wettelijke basis.
AP kritisch op wijziging Archiefwet
De Autoriteit Persoonsgegevens (AP) waarschuwt dat het voorstel om de Archiefwet te wijzigen te ver gaat en de privacy van levende personen ernstig ondermijnt. Aanleiding is het plan om het Centraal Archief Bijzondere Rechtspleging (CABR), met gevoelige dossiers over mogelijke collaboratie tijdens de Tweede Wereldoorlog, volledig online en doorzoekbaar te maken. De wijziging zou dit niet alleen voor het CABR, maar ook voor andere archieven mogelijk maken.
Volgens de AP schrapt het voorstel in feite de wettelijke bescherming van gevoelige persoonsgegevens in archieven. Archiefinstellingen zouden daarmee te veel ruimte krijgen om persoonsgegevens van levende mensen online beschikbaar te stellen, zonder voldoende waarborgen. Zulke keuzes horen volgens de AP bij de wetgever, niet bij archivarissen.
De AP benadrukt dat toegang tot gevoelige informatie altijd goed gemotiveerd moet zijn, bijvoorbeeld voor onderzoekers of nabestaanden. Volledige openbaarheid zonder grenzen is onacceptabel. De toezichthouder pleit voor concrete bescherming, zoals beperkingen op zoekresultaten, kopieerverboden en raadpleeglimieten.
Het wetsvoorstel wordt momenteel beoordeeld door onder meer de Raad van State. De AP heeft de minister van OCW advies gegeven en constateert dat ook andere instanties, zoals het Adviescollege Openbaarheid en Informatiehuishouding (ACOI), kritisch zijn op het voorstel.
Meta gebruikt gebruikersdata voor AI-training: bezwaar niet meer mogelijk
Sinds 27 mei 2025 gebruikt Meta, het moederbedrijf van Facebook, Instagram en WhatsApp, openbare gegevens van volwassen gebruikers op Facebook en Instagram om zijn AI-systemen (Meta AI) te trainen. Gebruikers die dit wilden voorkomen, moesten vóór die datum bezwaar maken via een speciaal formulier op de platforms.
De Autoriteit Persoonsgegevens (AP) had eerder gewaarschuwd dat het achteraf verwijderen van gegevens uit een AI-model technisch lastig of zelfs onmogelijk is. Ook de Consumentenbond uitte stevige kritiek: stilzwijgende toestemming is volgens hen onvoldoende. De bond vindt dat Meta expliciet toestemming zou moeten vragen voordat persoonsgegevens worden ingezet voor AI-training. Wat Meta precies met de verzamelde data doet, blijft volgens de Consumentenbond onduidelijk. De organisatie heeft hierover contact opgenomen met de AP en Europese privacyorganisaties.
Op WhatsApp is Meta AI al beschikbaar voor sommige gebruikers. Alleen gesprekken waarin Meta AI bewust wordt gebruikt, worden daarvoor ingezet; andere chats blijven buiten beschouwing. In de Tweede Kamer zijn inmiddels vragen gesteld over de rechtmatigheid van Meta’s werkwijze.
Persoonsgegevens personeel Ahold Delhaize mogelijk gestolen bij datalek VS
Ahold Delhaize, het moederbedrijf van onder andere Albert Heijn, Etos en Gall & Gall, heeft duizenden (oud-)medewerkers gewaarschuwd voor een mogelijk datalek. Door een ransomwareaanval op de Amerikaanse tak van het bedrijf zijn mogelijk persoonsgegevens buitgemaakt, waaronder van Nederlands personeel dat in april 2021 in dienst was. Het zou gaan om naamgegevens, bankrekeningnummers (zonder IBAN) en salarisinformatie van begin april 2021.
De hack wordt opgeëist door de Russische groepering INC Ransom, die beweert 6 terabyte aan data te hebben gestolen. De groep heeft al enkele gevoelige documenten gepubliceerd en dreigt met openbaarmaking van meer bestanden als Ahold niet op hun eisen ingaat. Wat die eisen zijn, is niet bekendgemaakt.
Ahold heeft melding gedaan bij de Autoriteit Persoonsgegevens en belooft aanvullende maatregelen om de beveiliging van systemen te verbeteren. Het onderzoek naar de omvang van het datalek loopt nog.
Het incident toont opnieuw de risico’s van wereldwijde cyberaanvallen, zelfs wanneer deze aanvankelijk buiten Nederland plaatsvinden. Medewerkers worden geadviseerd alert te blijven op misbruik van hun gegevens.
Apple en Meta krijgen samen €700 miljoen boete voor overtredingen Digital Markets Act
De Europese Commissie heeft haar eerste boetes opgelegd onder de nieuwe Digital Markets Act (DMA). Apple moet €500 miljoen betalen wegens het belemmeren van appontwikkelaars om consumenten te informeren over goedkopere alternatieven buiten de App Store. Volgens de DMA moeten ontwikkelaars gebruikers vrij kunnen doorverwijzen naar andere aankoopmogelijkheden, maar Apple bleef technische en commerciële beperkingen opleggen. De Commissie verplicht Apple nu deze beperkingen te verwijderen en in de toekomst geen vergelijkbare maatregelen meer te treffen.
Meta krijgt een boete van €200 miljoen vanwege het zogeheten “pay or OK”-model voor Facebook en Instagram. Sinds november 2023 moesten gebruikers kiezen tussen betalen voor een abonnement of instemmen met gepersonaliseerde advertenties. De Commissie oordeelt dat dit model geen echte, vrije toestemming biedt en gebruikers onvoldoende keuze geeft om minder data-intensieve alternatieven te kiezen. In reactie introduceerde Meta later een “minder gepersonaliseerde” advertentievariant, maar die blijkt gebruikers bijvoorbeeld te onderbreken met ‘ad breaks’ – iets wat niet gebeurt bij volledige tracking.
AP toetst Wet internationale sanctiemaatregelen
De Autoriteit Persoonsgegevens (AP) heeft op 20 mei 2025 haar toetsingsadvies gepubliceerd over het conceptvoorstel voor de Wet internationale sanctiemaatregelen. De wet beoogt het sanctiestelsel te moderniseren en vervangt op termijn de Sanctiewet 1977. Hoewel de AP de ambitie tot modernisering onderschrijft, bevat het voorstel volgens de toezichthouder belangrijke tekortkomingen op het gebied van gegevensbescherming.
Zo ontbreekt een duidelijke wettelijke grondslag voor het verwerken van bijzondere persoonsgegevens en gegevens van strafrechtelijke aard. Ook schiet de onderbouwing van het analyseren van meldgegevens door een nieuw centraal meldpunt tekort, vooral waar dit verder gaat dan EU-verplichtingen. Verder is de begripsdefinitie van ‘relatie’ en ‘verbonden’ in registers onvoldoende concreet, wat rechtsonzekerheid schept.
De AP adviseert het voorstel op diverse punten aan te passen, waaronder het verduidelijken van verantwoordelijkheden bij gegevensverwerking, het opnemen van een controlemechanisme voor de juistheid van gegevens in openbare registers, en het expliciteren van de rechten van betrokkenen conform de AVG. Het volledige toetsingsrapport is gepubliceerd op de website van de AP.
AI-voorspelmodellen ondersteunen SEH-zorg
Het Expertisecentrum Zorgalgoritmen heeft CE-gemarkeerde AI-voorspelmodellen geïntroduceerd ter ondersteuning van de Spoedeisende Hulp (SEH). Deze modellen voorspellen onder andere de verblijfsduur op de SEH, de kans op opname en de klinische ligduur. Door integratie in het elektronisch patiëntendossier (EPD) zijn ze direct inzetbaar in de dagelijkse praktijk.
De ontwikkeling is het resultaat van een samenwerking tussen 28 ziekenhuizen binnen de Samenwerkende Algemene Ziekenhuizen (SAZ). De modellen voldoen aan de wettelijke eisen voor medische hulpmiddelen en zijn generiek inzetbaar. Zorgverleners krijgen inzicht in de factoren die bijdragen aan de voorspellingen, en de data blijven eigendom van het ziekenhuis.
Naast deze modellen werkt het Expertisecentrum aan verdere innovaties, zoals een SEH-druktemeter en algoritmen voor het voorspellen van no-shows bij polikliniekbezoeken.
