Groot datalek bevolkingsonderzoek: half miljoen medische dossiers buitgemaakt
De hack bij laboratorium Clinical Diagnostics, dat betrokken is bij het bevolkingsonderzoek naar baarmoederhalskanker, blijkt veel omvangrijker dan aanvankelijk gedacht. Gegevens van ruim 485.000 vrouwen zijn gestolen, waaronder namen, geboortedata, adressen, burgerservicenummers, zorgverzekeringsinformatie en testuitslagen. Ook gegevens van zorgverleners en andere zorginstellingen zijn getroffen. Ziekenhuizen als het LUMC en het Amphia bleken eveneens slachtoffer. Op het dark web circuleren inmiddels voorbeelden van medische dossiers, variërend van urine- en huidonderzoeken tot uitslagen van kankertesten.
De hackersgroep Nova claimt de aanval en dreigt de buitgemaakte data openbaar te maken als er niet wordt betaald. Volgens RTL Nieuws heeft het laboratorium eerder al losgeld overgemaakt, al is het bedrag onbekend.
Het incident leidt tot scherpe kritiek. Bevolkingsonderzoek Nederland noemt het “schokkend” dat Clinical Diagnostics pas na een maand melding maakte, terwijl de wet voorschrijft dat betrokkenen binnen 24 uur geïnformeerd moeten worden. Privacydeskundigen spreken van onverantwoord handelen en waarschuwen dat slachtoffers hierdoor extra kwetsbaar zijn voor fraude en afpersing. Ook wordt gevreesd dat het vertrouwen in de zorg een ernstige deuk oploopt, met mogelijk zorgmijding tot gevolg.
Het ministerie van Volksgezondheid heeft de samenwerking met het laboratorium voorlopig stopgezet; nieuwe tests worden bij andere labs ondergebracht. De Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd doen onderzoek, terwijl demissionair minister Jansen een onafhankelijk onderzoek laat uitvoeren.
De zaak staat niet op zichzelf. Uit de Datalekkenrapportage 2024 van de AP blijkt dat de zorgsector opnieuw koploper is in het aantal meldingen, met bijna 7.000 geregistreerde incidenten. Vaak gaat het om verkeerd verzonden post of e-mails, maar ook het gebruik van AI-chatbots leidde tot datalekken doordat medewerkers per ongeluk patiëntgegevens deelden. Dit onderstreept dat structurele verbetering in beveiliging en naleving hard nodig blijft.
Oostenrijkse rechter: Pay or Ok-model strijdig met AVG
Een Oostenrijkse rechter heeft geoordeeld dat de krant DerStandard met haar zogenoemde Pay or Ok-model in strijd handelt met de AVG. Daarmee bevestigt de rechtbank een eerdere beslissing van de Oostenrijkse privacytoezichthouder DSB, zo meldt privacyorganisatie noyb.
Het model bood bezoekers slechts twee keuzes: óf een betaald abonnement nemen, óf instemmen met uitgebreide online tracking waarbij gegevens met honderden advertentiepartners werden gedeeld. Volgens de rechter is die opzet onverenigbaar met het Europese toestemmingsvereiste, dat bepaalt dat toestemming “vrij, specifiek, geïnformeerd en ondubbelzinnig” moet worden gegeven. Ook moet per verwerkingsdoel afzonderlijk toestemming kunnen worden verleend.
DerStandard voerde aan dat een fijnmaziger toestemming niet haalbaar is binnen een dergelijk systeem, omdat de krant afhankelijk is van advertenties en gebruikersstatistieken. De rechtbank verwierp dat argument en concludeerde dat de krant geen geldige toestemming voor de gegevensverwerking heeft verkregen.
Met het vonnis is het beroep van DerStandard afgewezen. De krant kan nog in hoger beroep gaan. Volgens noyb kan de zaak uiteindelijk zelfs bij het Europees Hof van Justitie belanden. Oprichter Max Schrems spreekt van een “valse keuze” voor gebruikers, die volgens hem vooral dient om tracking te legitimeren.
Deze uitspraak kan belangrijke gevolgen hebben voor andere nieuwsmedia in Europa die vergelijkbare modellen hanteren. Als hogere rechters de lijn bevestigen, zullen uitgevers hun toestemmingsmechanismen mogelijk moeten aanpassen en alternatieve verdienmodellen ontwikkelen.
AP: Belastingdienst moet privacyonveilige systemen stopzetten
De Autoriteit Persoonsgegevens (AP) heeft de Belastingdienst opgedragen om twee risicovolle IT-systemen uit te faseren en vier andere systemen ingrijpend te verbeteren. Uit onderzoek blijkt dat deze systemen niet voldoen aan de AVG en daardoor een groot privacyrisico vormen. Aanleiding was het KPMG-rapport van februari 2025 over het Risico Analyse Model (RAM), waarmee de Belastingdienst jarenlang onrechtmatig persoonsgegevens verwerkte.
De AP onderzocht vijf vergelijkbare systemen van de Belastingdienst en één van de Douane. Voor de systemen Klant Toezicht Model (KTA) en Informatiesjabloon moet uiterlijk 15 oktober 2025 een plan voor uitfasering liggen. De overige vier systemen moeten zo snel mogelijk worden aangepast of vervangen.
Volgens AP-voorzitter Aleid Wolfsen gaat het om gegevens van vrijwel alle Nederlanders, waaronder gevoelige en soms strafrechtelijke informatie. Hij benadrukt dat de Belastingdienst verplicht is om met de hoogste zorgvuldigheid te handelen. Uit het onderzoek blijkt echter dat er onvoldoende beveiligingsmaatregelen waren getroffen en dat toezicht lange tijd werd ontweken doordat verplichte meldingen van verwerkingen niet werden gedaan.
De AP wijst er bovendien op dat RAM discriminerende verwerkingen uitvoerde, onder meer op basis van nationaliteit, zonder objectieve rechtvaardiging. Gegevens konden vrij worden geëxporteerd en toezicht werd jarenlang bemoeilijkt.
EC publiceert voorlopige lijst ondertekenaars AI-gedragscode
De Europese Commissie heeft recent de vrijwillige gedragscode voor generatieve AI gepresenteerd, die bedrijven moet helpen bij de naleving van de komende AI Act. Afgelopen week maakte de Commissie een voorlopige lijst met ondertekenaars bekend. Daarop staan 26 bedrijven, waaronder Amazon, Anthropic, Google, Microsoft, Mistral en OpenAI.
De gedragscode is in samenwerking met industrie en maatschappelijke organisaties ontwikkeld en biedt praktische richtsnoeren voor onderwerpen als veiligheid, transparantie en copyright.
Opvallend is dat Elon Musks xAI slechts gedeeltelijk tekende. Het bedrijf committeert zich alleen aan het hoofdstuk over veiligheid en beveiliging. Voor transparantie en auteursrecht moet het op een andere manier aantonen dat het aan de AI Act voldoet.
Meta weigert de code te ondertekenen. Volgens Joel Kaplan, Chief Global Affairs Officer, schept de code “juridische onzekerheid” en gaat zij “verder dan de AI Act zelf”. Toch blijft ook Meta verplicht de AI Act na te leven, alleen zonder de extra richtsnoeren die de gedragscode biedt.
McDonald’s Polen krijgt boete van 3,9 miljoen euro wegens datalek
De Poolse privacytoezichthouder UODO heeft McDonald’s Polen een recordboete opgelegd van bijna 3,9 miljoen euro wegens ernstige tekortkomingen in de bescherming van persoonsgegevens. Het gaat om een van de hoogste sancties onder de AVG die in het land tot nu toe is opgelegd.
Het datalek ontstond doordat een extern roostersysteem verkeerd was ingesteld, waardoor persoonlijke gegevens van medewerkers vrij toegankelijk waren via internet. Het betrof onder meer namen, nationale identificatienummers, paspoortgegevens en informatie over functies en werkzaamheden. Volgens de UODO ontbraken fundamentele beveiligingsmaatregelen en waren afspraken met de leverancier onvoldoende vastgelegd.
Uit het onderzoek blijkt dat zowel McDonald’s als de betrokken leverancier geen risicoanalyse uitvoerden en hun Functionaris Gegevensbescherming niet raadpleegden. Ook werd onterecht gebruikgemaakt van paspoort- en identificatienummers als primaire sleutel, in strijd met het beginsel van dataminimalisatie. Pas na het incident kregen medewerkers een apart intern nummer toegewezen.
De toezichthouder stelde verder vast dat McDonald’s voormalige medewerkers slechts via persberichten informeerde over het lek. Dat voldoet niet aan de AVG, die directe en individuele kennisgeving vereist. Bovendien schakelde de leverancier nog een derde partij in zonder contractuele basis, wat de overtreding verder verzwaarde.
Hoewel de verwerking was uitbesteed, blijft McDonald’s volgens de UODO eindverantwoordelijk. Naast de boete voor McDonald’s kreeg ook de leverancier een sanctie van 43.000 euro.
Onderzoek wijst op privacyrisico’s bij AI-browsers
Veelgebruikte AI-browsers zoals ChatGPT van OpenAI, Microsoft Copilot en Merlin AI verzamelen en delen gevoelige persoonlijke gegevens, waaronder bankinformatie, medische dossiers en zelfs burgerservicenummers. Dat blijkt uit een gezamenlijk onderzoek van Britse en Italiaanse wetenschappers, zo bericht nieuwssite Eronews.
De onderzoekers testten tien populaire AI-assistenten die zoekopdrachten ondersteunen door samenvattingen en analyses te genereren. Daarbij werden zowel openbare websites als privédomeinen, zoals bank- en gezondheidsportalen, bezocht. Uit de resultaten blijkt dat meerdere AI-browsers hun activiteiten niet stopzetten wanneer gebruikers privéomgevingen betreden. Volledige webpagina’s, inclusief vertrouwelijke gegevens, werden doorgestuurd naar externe servers.
Daarnaast konden sommige AI-assistenten demografische kenmerken zoals leeftijd, geslacht, inkomen en interesses afleiden uit surfgedrag. Die informatie werd vervolgens gebruikt om gebruikerservaringen te personaliseren. In bepaalde gevallen werd zelfs de volledige chatgeschiedenis opgeslagen. Volgens de onderzoekers zijn deze praktijken niet alleen zorgwekkend, maar ook mogelijk in strijd met zowel Amerikaanse regels voor gezondheidsinformatie als de Europese Algemene Verordening Gegevensbescherming (AVG).
Hoofdonderzoeker Anna Maria Mandalari (University College London) benadrukt dat de AI-browsers ongekende toegang hebben tot gegevens die privé zouden moeten blijven. Hoewel de hulpmiddelen het internetgebruik vergemakkelijken, stelt zij dat dit vaak ten koste gaat van de privacy van de gebruiker.
