Nieuwsbrief week 30 2024

AP: Waakzaamheid geboden bij razendsnelle opkomst AI

De Autoriteit Persoonsgegevens (AP) roept in haar nieuwe Rapportage AI- & Algoritmerisico’s Nederland (RAN) op tot waakzaamheid bij de snelle ontwikkeling van kunstmatige intelligentie (AI). Hoewel AI veel kansen biedt, zijn er ook aanzienlijke risico’s. Het vertrouwen in AI is in Nederland lager dan in andere landen en mensen zullen in toenemende mate te maken krijgen met de risico’s van AI-systemen in hun dagelijks leven.

Aleid Wolfsen, voorzitter van de AP, benadrukt het belang van een verantwoorde inzet van AI. Organisaties die twijfelen over de mate waarin ze de risico’s van AI kennen, moeten terughoudend zijn met de inzet ervan. Maatregelen zoals aselecte steekproeven kunnen helpen om meer grip te krijgen op AI-systemen en discriminatie tegen te gaan.

De AP analyseerde ook de risico’s van AI voor online informatievoorziening. Aanbevelingssystemen van sociale media en zoekmachines hebben veel invloed op welke informatie mensen te zien krijgen. Generatieve AI brengt bovendien een groot risico op mis- en desinformatie met zich mee. Transparantie en controleerbaarheid zijn daarom cruciaal.

Verder blijkt uit een enquête onder gemeentelijke organisaties dat de democratische controle op AI-systemen nog tekortschiet. De AP roept het kabinet op om prioriteit te blijven geven aan algoritmeregistratie door overheidsorganisaties en semi-publieke instellingen. Het aantreden van een nieuw kabinet biedt de kans om de nationale AI-strategie kritisch tegen het licht te houden, aldus de AP.

Kruidvat.nl beboet voor onrechtmatig gebruik tracking cookies

De Autoriteit Persoonsgegevens heeft een boete van € 600.000 opgelegd aan AS Watson (Health & Beauty Continental Europe) B.V., het bedrijf achter drogisterijketen Kruidvat, voor het onrechtmatig gebruik van tracking cookies op hun website Kruidvat.nl.

Zonder toestemming van websitebezoekers verzamelde en gebruikte het bedrijf gevoelige persoonsgegevens, zoals locatiegegevens, bezochte pagina’s, gekochte producten en klikgedrag. Hiermee konden zeer specifieke en invasieve profielen van bezoekers worden gemaakt, vooral gezien het gevoelige karakter van drogisterijproducten zoals zwangerschapstesten en medicatie.

Volgens de AVG moet toestemming voor tracking cookies vrijelijk gegeven worden, specifiek zijn, gebaseerd op voldoende informatie en ondubbelzinnig. Kruidvat.nl voldeed hier niet aan, met vooraf aangevinkte vakjes en een omslachtig proces om cookies te weigeren.

De AP startte eind 2019 een onderzoek en stelde vast dat Kruidvat.nl niet aan de eisen voldeed. Ondanks waarschuwingen duurde het tot oktober 2020 voordat de overtreding was beëindigd. De AP gaat in 2024 vaker controleren op het juiste gebruik van cookiebanners, zodat internetgebruikers grip houden op hun persoonsgegevens.

AS Watson heeft bezwaar aangetekend tegen het boetebesluit.

EDPB geeft richtlijnen voor gebruik gezichtsherkenning op luchthavens

De European Data Protection Board (EDPB) heeft een opinie gepubliceerd over het gebruik van gezichtsherkenning op luchthavens, naar aanleiding van zorgen van de Franse toezichthouder (CNIL) over naleving van de Algemene verordening gegevensbescherming (AVG). 

De EDPB stelt dat er geen uniforme wettelijke vereiste is in de EU voor luchthavenexploitanten en luchtvaartmaatschappijen om te verifiëren of de naam op de instapkaart overeenkomt met het identiteitsbewijs van de passagier. Waar geen verificatie vereist is, mag geen biometrische verificatie plaatsvinden, aangezien dit zou resulteren in buitensporige gegevensverwerking. 

De EDPB oordeelde dat alleen opslagoplossingen waarbij de biometrische gegevens in handen van het individu blijven of versleuteld worden opgeslagen in een centrale database, verenigbaar kunnen zijn met de AVG-principes. Oplossingen gebaseerd op onversleutelde centrale opslag voldoen niet aan de eisen van gegevensbescherming door ontwerp en standaardinstellingen en, zonder aanvullende maatregelen, ook niet aan de beveiligingseisen voor gegevensverwerking. 

Verwerkingsverantwoordelijken moeten zorgen voor voldoende rechtvaardiging voor de beoogde bewaartermijn en deze beperken tot wat noodzakelijk is voor het beoogde doel.

Europese wet voor uitwisselen gezondheidsdata treedt volgend jaar in werking

Minister Agema van Volksgezondheid heeft in een brief aan de Tweede Kamer aangekondigd dat de European Health Data Space Verordening (EHDS) naar verwachting volgend jaar in werking zal treden. Deze verordening houdt in dat zorggegevens van burgers standaard gedeeld zullen worden binnen de Europese Unie, in een gemeenschappelijk gebruikt formaat.

De EHDS maakt onderscheid tussen primair en secundair gebruik van gezondheidsgegevens. Primair gebruik betreft het verlenen van zorg, terwijl secundair gebruik betrekking heeft op onderzoek, onderwijs, productontwikkeling (inclusief AI), beleidsvorming en gepersonaliseerde zorg.

Hoewel de verordening naar verwachting eind dit jaar of begin volgend jaar bekrachtigd zal worden, zijn er transitieperiodes van 2, 4 en 6 jaar voorzien voordat deze volledig van toepassing zal zijn. Minister Agema onderzoekt momenteel welke aanpassingen in de Nederlandse wet- en regelgeving nodig zijn voor de implementatie.

Nederlanders die bezwaar willen maken tegen het delen van hun gezondheidsgegevens, moeten hiervoor tweemaal actief een opt-out aangeven. Overheden kunnen deze opt-out echter negeren als dit noodzakelijk wordt geacht voor het algemeen belang, beleid, statistiek of onderzoek. Critici stellen dat hiermee de zeggenschap van burgers over hun eigen gezondheidsgegevens in het geding komt en dat de EHDS vooral de datahonger van overheden en bedrijven centraal stelt, in plaats van de patiënt.

Noyb: “Microsofts advertentiebedrijf Xandr overtreedt AVG”

Privacyorganisatie noyb heeft een klacht ingediend bij de Italiaanse privacytoezichthouder GPDP, waarin wordt gesteld dat Microsofts advertentiebedrijf Xandr de Algemene Verordening Gegevensbescherming (AVG) overtreedt. Volgens noyb verzamelt en gebruikt Xandr persoonlijke informatie van miljoenen Europeanen voor gerichte advertenties, zonder dat daar toestemming voor is gegeven.

De verzamelde data, waaronder gevoelige informatie over gezondheid, seksualiteit en politieke opvattingen, wordt gebruikt in een “Real Time Bidding”-platform. Hierbij kunnen duizenden adverteerders bieden op beschikbare advertentieruimte. Hoewel gebruikers uiteindelijk slechts één advertentie te zien krijgen, wordt hun persoonlijke informatie gedeeld met alle deelnemende adverteerders.

Noyb stelt verder dat Xandr heeft geweigerd te voldoen aan bijna tweeduizend inzage- en verwijderverzoeken die het bedrijf in 2022 ontving. Dit is in strijd met de AVG. De privacystichting roept de Italiaanse toezichthouder op om een onderzoek in te stellen naar Xandr en het bedrijf te dwingen zich aan de privacywetgeving te houden. Ook wordt gevraagd om Xandr een aanzienlijke boete op te leggen voor de geconstateerde overtredingen.

EDPB publiceert resultaten AI Auditing project

Op 27 juni 2024 heeft de European Data Protection Board (EDPB) de resultaten gepubliceerd van het AI Auditing project. Dit project heeft als doel tools te ontwikkelen en testen die kunnen helpen bij het beoordelen of AI-systemen en -toepassingen voldoen aan de AVG. Het project beoogt specifiek ondersteuning te bieden bij het begrijpen en beoordelen van gegevensbeschermingsmaatregelen in de context van de EU AI Act.

Het project heeft geresulteerd in verschillende producten, waaronder een checklist voor AI-auditing die door toezichthouders kan worden gebruikt om te controleren of de impact van AI-systemen in lijn is met bestaande wetgeving, best practices en maatschappelijke verwachtingen. Daarnaast zijn er voorstellen gedaan voor informatiefolders om naleving van de AVG en EU AI Act te vergemakkelijken en transparantie, controleerbaarheid en verhaal te bevorderen voor alle betrokkenen bij AI-systemen. Tot slot is een visueel labelsysteem voorgesteld om transparantie, verantwoording en keuzevrijheid voor consumenten te stimuleren. Hoewel primair bedoeld voor toezichthouders, kunnen deze producten ook nuttige hulpmiddelen zijn voor organisaties om hun inspanningen op het gebied van AVG- en EU AI Act-compliance te sturen.

Oracle treft schikking van $ 115 miljoen in privacyzaak

In een voorlopige schikking heeft softwaregigant Oracle ingestemd met het betalen van $115 miljoen om een rechtszaak over privacy-schending af te wikkelen, zo meldt Reuters. Eisers beweren dat Oracle zonder toestemming “digitale dossiers” heeft aangelegd over honderden miljoenen mensen, met daarin gegevens over onder meer online browsegedrag, bankzaken en creditcardgebruik. Deze informatie zou Oracle vervolgens hebben doorverkocht aan marketingbedrijven. Als onderdeel van de schikking heeft Oracle toegezegd te stoppen met het verzamelen van gebruikersgegevens van bezochte websites en online formulieren buiten de eigen websites om. De schikking, die nog door een rechter moet worden goedgekeurd, heeft betrekking op personen van wie Oracle sinds 19 augustus 2018 persoonsgegevens heeft verzameld of verkocht. Oracle ontkent echter enig wangedrag.

Delen: