Noyb dient AVG-klacht in tegen datingapp Bumble wegens AI-toepassing
Privacyorganisatie noyb heeft op 26 juni 2025 een klacht ingediend bij de Oostenrijkse privacytoezichthouder tegen de datingapp Bumble. De klacht richt zich op een nieuwe AI-functie waarmee gebruikers automatisch gegenereerde openingszinnen krijgen via OpenAI’s ChatGPT. Volgens noyb worden persoonsgegevens van Europese gebruikers zonder geldige toestemming doorgestuurd naar OpenAI, wat in strijd is met de AVG.
Bij activering van de functie kregen gebruikers een pop-up met een “oké”-knop, die volgens noyb misleidend is en ontworpen lijkt om gebruikers te nudgen. Wie de pop-up weigert, krijgt deze telkens opnieuw bij het openen van de app. Hierdoor zouden gebruikers onder druk alsnog akkoord gaan, zonder geïnformeerde of vrije keuze.
Bumble beroept zich op een gerechtvaardigd belang voor de verwerking, maar volgens noyb is dat juridisch onhoudbaar, zeker gezien het gevoelige karakter van gegevens zoals seksuele geaardheid in profielen. Voor dit type gegevens vereist de AVG expliciete toestemming.
noyb stelt verder dat Bumble niet transparant is over de gegevensverwerking en slecht reageert op inzageverzoeken. De organisatie eist dat de verwerking wordt gestaakt, een geldige rechtsgrond wordt gebruikt, en roept de toezichthouder op tot het opleggen van een boete om toekomstige overtredingen te voorkomen.
AP: Politie overtreedt wet met structurele overschrijding bewaartermijnen
De Autoriteit Persoonsgegevens (AP) heeft op 19 juni 2025 de Tweede Kamer in een brief laten weten dat de politie zich moet houden aan de wettelijke bewaartermijnen voor persoonsgegevens. Het langdurig bewaren van gegevens over miljoenen onschuldige burgers, zonder wettelijke grondslag, is volgens de AP onrechtmatig en brengt serieuze risico’s met zich mee, zoals misbruik of datalekken.
Volgens de Wet politiegegevens (Wpg) moeten bepaalde gegevens na vijf jaar uit de dagelijks gebruikte systemen worden verwijderd en na tien jaar volledig worden vernietigd. In de praktijk gebeurt dit echter al jaren niet meer. Hierdoor staan verouderde gegevens die geen rol meer spelen – zoals notities over burenruzies of verkeersincidenten – nog steeds in politiesystemen, terwijl ze allang vernietigd hadden moeten zijn.
De AP benadrukt dat verlenging van bewaartermijnen alleen mogelijk is via wetswijziging. De Raad van State heeft eerder het ministerie van Justitie en Veiligheid al opgeroepen de politie aan de wet te houden. Sinds 2019 wordt deze situatie echter gedoogd in afwachting van een herziening van de Wpg en Wjsg – die nog altijd niet is doorgevoerd.
De Tweede Kamer heeft voorgesteld om in de wet ruimte te creëren voor het filteren van mogelijk relevante cold case-gegevens vóórdat gegevens worden vernietigd. Het is echter onzeker of dit juridisch en technisch haalbaar is.
Duitse toezichthouder wil DeepSeek uit appstores
De Berlijnse privacytoezichthouder heeft op 27 juni 2025 Apple en Google officieel verzocht de AI-chatbotapp DeepSeek uit hun Duitse appstores te verwijderen. De toezichthouder stelt dat de app de Algemene Verordening Gegevensbescherming (AVG) overtreedt door persoonsgegevens van gebruikers – zoals tekstinvoer, chatgeschiedenis en geüploade bestanden – naar servers in China te verzenden, zonder passende waarborgen.
Omdat de app in het Duits beschikbaar is en actief wordt aangeboden aan Duitse gebruikers via de App Store en Google Play Store, valt deze onder de AVG. DeepSeek verwerkt persoonsgegevens, maar heeft volgens de toezichthouder geen geldige rechtsgrond kunnen aantonen voor de doorgifte van gegevens naar China. Voor dat land is door de EU geen adequaatheidsbesluit genomen, wat betekent dat het beschermingsniveau voor persoonsgegevens daar niet als gelijkwaardig wordt beschouwd.
Een eerdere oproep aan DeepSeek zelf om de app in Duitsland terug te trekken werd genegeerd. De toezichthouder heeft daarom onder de Digital Services Act (DSA) gebruikgemaakt van de mogelijkheid om platformaanbieders te informeren over illegale inhoud.
De beslissing over verwijdering ligt nu bij Apple en Google. De Berlijnse toezichthouder handelt in overleg met andere Duitse autoriteiten en wacht op reactie van de techbedrijven.
Invoering NIS2-richtlijn dichterbij: concept-Cyberbeveiligingsbesluit naar Tweede Kamer
Nederland komt dichter bij de nationale implementatie van de Europese NIS2-richtlijn. Op 1 juli 2025 is het concept-Cyberbeveiligingsbesluit, dat onderdeel is van het bredere wetsvoorstel Cyberbeveiligingswet, aangeboden aan de Tweede Kamer. Deze algemene maatregel van bestuur (amvb) concretiseert de zorgplicht voor organisaties en geeft heldere richtlijnen op het gebied van cyberbeveiliging. Het besluit is opgesteld op basis van een brede consultatieperiode eerder dit jaar.
Voor sommige sectoren – zoals overheid en zorg – zijn bestaande normen zoals BIO 2, NEN 7510 en ISO 27001 al deels in lijn met de NIS2-eisen. Andere sectoren, waaronder Economische Zaken, Infrastructuur, Landbouw en Klimaat, werken met sectorspecifieke regelingen die onder meer meldingsdrempels voor incidenten bevatten.
De NIS2-richtlijn beoogt kritieke, essentiële en belangrijke organisaties weerbaarder te maken tegen cyberdreigingen en statelijke aanvallen. De oorspronkelijke Europese deadline hiervoor was 17 oktober 2024, maar slechts zes van de 27 lidstaten haalden die datum. In Nederland stelde de regering eerder dat de invoering van de Cyberbeveiligingswet op zijn vroegst in het tweede kwartaal van 2026 zal plaatsvinden. Door de demissionaire status van het huidige kabinet en de aankomende verkiezingen en formatie kan verdere vertraging optreden.
De overheid roept organisaties op niet af te wachten. Gezien de complexiteit en impact van de wetgeving is tijdige voorbereiding essentieel.
Voorstel Europese Commissie: verlichting AVG-verplichtingen voor small mid-caps
Op 28 mei 2025 publiceerde de Europese Commissie een voorstel tot aanpassing van de Algemene Verordening Gegevensbescherming (AVG) voor zogenoemde small mid-cap ondernemingen (SMC’s). Het voorstel maakt deel uit van het bredere “Omnibus IV Simplification Package” en beoogt een vermindering van de administratieve lasten voor deze bedrijven. De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) hebben in een gezamenlijke brief aan de Commissie hun voorlopige steun uitgesproken voor dit initiatief.
De voorgestelde wijziging breidt de bestaande vrijstelling van de verplichting tot het bijhouden van verwerkingsregisters uit naar SMC’s. Een SMC wordt gedefinieerd als een organisatie met minder dan 750 werknemers, een balanstotaal van maximaal €129 miljoen en een jaaromzet van maximaal €150 miljoen. De uitzondering geldt echter niet wanneer de verwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen of wanneer bijzondere categorieën persoonsgegevens worden verwerkt.
Daarnaast vereist het voorstel dat bij het opstellen van gedragscodes, certificeringsmechanismen en AVG-keurmerken voortaan rekening wordt gehouden met de specifieke behoeften van SMC’s.
Hoewel het voorstel gericht is op verlichting, blijft in de praktijk een groot deel van de administratieve AVG-verplichtingen gelden. SMC’s zullen in veel gevallen nog steeds verwerkingsactiviteiten in kaart moeten brengen en DPIA’s uitvoeren om risico’s te beoordelen en andere verplichtingen na te leven.
Het voorstel moet nu verder behandeld worden via de reguliere EU-wetgevingsprocedure en kan nog gewijzigd worden door het Europees Parlement of de Raad.
Nieuwe AI-toepassing identificeert negen vormen van dementie met hoge nauwkeurigheid
Onderzoekers van de Mayo Clinic hebben een AI-tool ontwikkeld die via één standaard FDG-PET-hersenscan negen vormen van dementie kan onderscheiden. De tool, StateViewer, behaalt een nauwkeurigheid van 88% en is tweemaal zo snel en tot driemaal zo nauwkeurig als traditionele diagnostische methoden. De resultaten zijn onlangs gepubliceerd in Neurology.
StateViewer analyseert glucoseverwerking in de hersenen en vergelijkt deze met een grote referentiedatabase. Op basis daarvan herkent het subtiele patronen die kenmerkend zijn voor onder meer Alzheimer, Lewy-body- en frontotemporale dementie. Een visuele weergave via kleurgecodeerde hersenkaarten maakt de interpretatie toegankelijk, ook voor zorgverleners zonder specialistische scholing. Hierdoor is de tool geschikt voor gebruik in eerstelijnszorg en kleinere klinieken.
Wereldwijd leven meer dan 55 miljoen mensen met dementie. Jaarlijks komen daar circa 10 miljoen nieuwe gevallen bij. Vroege subtypeherkenning is belangrijk voor passende behandeling en betere levenskwaliteit. De Mayo Clinic onderzoekt momenteel bredere implementatie van de tool in uiteenlopende zorgomgevingen.
StateViewer sluit aan bij eerdere AI-ontwikkelingen in de dementiezorg, zoals het AI-Mind-project en draagbare screeningssystemen op basis van motorische analyses.
Nieuw: EU AI Act Bewustwordingstraining op je mobiel!
Wil je snel en eenvoudig op de hoogte zijn van de belangrijkste verplichtingen uit de nieuwe Europese AI-verordening?
Onze EU AI Act Bewustwordingstraining is nu beschikbaar op je Android- of iOS-smartphone.
Volg de training waar en wanneer het jou uitkomt – ideaal voor drukke professionals!
