Nieuwsbrief week 39 2024

Spanje eist uitgebreide persoonsgegevens van toeristen, ANVR niet blij

De Algemene Nederlandse Vereniging van Reisondernemingen (ANVR) is niet te spreken over een nieuw decreet van de Spaanse overheid. Vanaf 1 oktober moeten accommodatie- en autoverhuurdiensten in Spanje voorafgaand aan de boeking meer dan veertig persoonsgegevens van reizigers delen met de Spaanse autoriteiten, waaronder bankrekeningnummers, telefoongegevens en paspoortgegevens.

Hoewel de maatregel al over een week ingaat, is het volgens de ANVR volstrekt onduidelijk hoe de gegevens moeten worden doorgegeven en welke privacywaarborgen de Spaanse overheid biedt. ANVR-directeur Frank Radstake noemt de maatregelen “disproportioneel” en vreest dat het reizen voor toeristen een stuk lastiger wordt. Hij roept minister Veldkamp van Buitenlandse Zaken op om krachtig op te treden en de kwestie in de EU te bespreken.

Radstake wijst ook op het spanningsveld tussen de Spaanse eisen en de Nederlandse privacywetgeving (AVG). Het is onduidelijk of Spanje de persoonsgegevens op de juiste manier verzamelt en verwerkt. De ANVR heeft hierover, samen met andere Europese organisaties, contact gezocht met de Spaanse privacytoezichthouder, maar dit heeft nog niet tot aanpassingen geleid.

Als andere landen het Spaanse voorbeeld volgen, vrezen reisorganisaties een terugkeer naar omslachtige procedures uit het verleden. De ANVR blijft de ontwikkelingen nauwlettend volgen en hoopt op een oplossing die de privacy van reizigers waarborgt zonder het boekingsproces nodeloos te bemoeilijken.

Privacy First pleit voor bescherming privacy UBO’s

Stichting Privacy First heeft in een brief aan de Tweede Kamer gevraagd om niet akkoord te gaan met het voornemen van de regering om het UBO-register de facto openbaar te maken. Het UBO-register bevat gegevens van uiteindelijk belanghebbenden (UBO’s) van rechtspersonen en andere entiteiten. Privacy First vreest dat de laagdrempelige en grootschalige toegang tot het register in strijd is met het Europees privacyrecht.

In nieuwe Europese antiwitwaswetgeving krijgen partijen met een ‘legitiem belang’ gedurende drie jaar toegang tot alle gegevens in het UBO-register, zonder toetsing op integriteit of waarborgen tegen misbruik. Privacy First hoopt dat de Tweede Kamer aandacht besteedt aan het respecteren van de grondrechten van UBO’s.

Daarnaast wijst Privacy First erop dat in de nieuwe wetgeving alle stichtingen ten onrechte gelijkgesteld worden met Angelsaksische trusts en als hoog-risico entiteiten worden beschouwd. Hierdoor moeten veel meer personen, waaronder topfunctionarissen, als UBO worden ingeschreven. Een onderbouwing hiervoor ontbreekt.

Privacy First heeft begrip voor de wens om misdaad te bestrijden, maar benadrukt dat dit niet ten koste mag gaan van de grondrechten van burgers die bij goede doelen actief zijn. De stichting heeft de Tweede Kamer verzocht kritisch naar het wetsvoorstel te kijken en heeft hierover een groot aantal vragen geformuleerd.

Tech-giganten roepen EU op tot consistente AI-regelgeving

In een open brief aan de Europese Unie hebben toonaangevende technologiebedrijven, waaronder Meta, Spotify en Ericsson, hun bezorgdheid geuit over de huidige staat van AI-regelgeving in Europa. De bedrijven pleiten voor een duidelijker en consistenter regelgevingskader om onzekerheid weg te nemen en innovatie te bevorderen.

Een van de belangrijkste punten in de brief is het gebruik van data van Europese burgers voor het trainen van AI-modellen. De bedrijven benadrukken dat de huidige regels en het optreden van toezichthouders leiden tot twijfel bij bedrijven om AI-diensten in Europa aan te bieden. Als gevolg hiervan brengt Meta momenteel alleen tekstmodellen uit in Europa en houden bedrijven als Google en LinkedIn zich vooralsnog afzijdig van het gebruik van Europese data voor hun AI-modellen.

De bedrijven waarschuwen dat de huidige situatie ertoe kan leiden dat AI-producten in de toekomst niet meer beschikbaar zullen zijn voor Europese consumenten. Ze roepen de EU op om de principes van de Algemene Verordening Gegevensbescherming (AVG) te herbevestigen en een moderne interpretatie van de bepalingen te bieden die innovatie mogelijk maakt. Als alternatief schetsen ze een somber beeld waarin Europa achterblijft terwijl de rest van de wereld vooruitgang boekt op het gebied van AI-technologie.

De Europese Commissie heeft vooralsnog niet gereageerd op de open brief. Het blijft afwachten hoe de EU zal omgaan met de oproep tot consistente en duidelijke AI-regelgeving.

KvK neemt maatregelen om zzp’ers te beschermen tegen ongewenste telefoontjes

Sinds 25 september schermt de Kamer van Koophandel (KvK) de telefoonnummers af van zzp’ers en andere ondernemers in het Handelsregister. Deze maatregel is bedoeld om ondernemers beter te beschermen tegen ongewenste telefonische benadering, zoals acquisitie, commerciële aanbiedingen en in sommige gevallen zelfs intimidatie.

Hoewel ongevraagde benadering officieel al verboden is sinds 2021, blijkt dit in de praktijk vaak genegeerd te worden. De KvK loopt met deze stap vooruit op een aanstaande wijziging van de Handelsregisterwet, die de omgang met gevoelige gegevens beter moet laten aansluiten op actuele maatschappelijke ontwikkelingen.

Minister Beljaarts van Economische Zaken benadrukt het belang van zowel openbaarheid als privacy in een modern en toekomstbestendig Handelsregister. Greet Prins, voorzitter van de Raad van Bestuur van de KvK, ziet het afschermen van telefoonnummers als een effectieve manier om ongewenste benadering tegen te gaan. Later dit jaar zullen ook faxnummers uit het Handelsregister verdwijnen.

AI-technologie detecteert vroege tekenen van meer dan 1000 ziekten

Onderzoekers hebben een AI-tool genaamd MILTON ontwikkeld die veelbelovend is voor de gezondheidszorg. Deze technologie is in staat om vroege tekenen van meer dan 1000 ziekten te detecteren, nog voordat symptomen zich manifesteren. Door het analyseren van routinematige klinische gegevens zoals biomarkers, bloeddruk, ademhaling, gewicht, leeftijd en geslacht, kan MILTON met grote nauwkeurigheid ziektediagnoses voorspellen.

De voorspellende kracht van de AI wordt verder verbeterd door de analyse van 3.000 eiwitten in bloedplasma. De uitzonderlijke prestaties van MILTON zijn bevestigd voor 121 ziekten, met een hoge voorspelbaarheid voor nog eens 1.091 aandoeningen. 

AstraZeneca, het farmaceutische bedrijf achter MILTON, heeft de gegevens openbaar gemaakt om samenwerking en innovatie te stimuleren. Hoewel experts het potentieel van AI in de gezondheidszorg toejuichen, benadrukken ze ook het belang van ethisch gebruik en duidelijke richtlijnen. Professor Dusko Ilic waarschuwt voor mogelijke misbruik van de krachtige voorspellende capaciteiten voor discriminerende praktijken.

Om verantwoorde en rechtvaardige toegang tot deze baanbrekende technologie te garanderen, is het essentieel om duidelijke richtlijnen en waarborgen op te stellen. MILTON bevindt zich momenteel nog in de onderzoeksfase en vereist zorgvuldige regelgeving voordat het op grote schaal kan worden toegepast. 

Privacy First wil aanpassing klantidentificatie bij banken

Stichting Privacy First heeft minister Heinen van Financiën verzocht de manier waarop banken en andere financiële instellingen hun klanten identificeren aan te passen. Volgens de stichting nemen de risico’s op identiteitsfraude toe door digitale ontwikkelingen, met name op het gebied van kunstmatige intelligentie.

Privacy First stelt dat financiële instellingen riskante praktijken hanteren bij het identificeren van klanten. Zo verlangen ze onafgeschermde kopieën van identiteitsbewijzen en soms zelfs foto’s of video’s van de klant zelf. Het langdurig bewaren van deze gegevens brengt grote privacyrisico’s met zich mee en is in strijd met de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Algemene Verordening Gegevensbescherming (AVG).

Daarnaast maken banken steeds vaker gebruik van biometrische identificatie. Privacy First waarschuwt dat biometrische kenmerken makkelijk te kopiëren en na te maken zijn, bijvoorbeeld via deepfakes. Biometrische identificatie mag volgens de stichting alleen gebruikt worden als er geen alternatief is, er een wettelijke basis voor is en er voldoende waarborgen zijn.

Privacy First roept op tot ingrijpende aanpassingen van de identificatiepraktijken op grond van de Wwft. Dit om te voorkomen dat andere Wwft-plichtige ondernemingen het slechte voorbeeld van de financiële sector volgen en de risico’s op identiteitsmisbruik verder toenemen.

Onderzoek naar gegevensbescherming bij Google’s AI-training

De Ierse privacytoezichthouder Data Protection Commission (DPC) is een onderzoek gestart naar Google om te bepalen of het bedrijf de persoonlijke gegevens van EU-burgers voldoende heeft beschermd voordat deze werden gebruikt voor het trainen van het foundation AI-model PaLM2. Dit meldt persbureau Reuters. Als EU-entiteit treedt de DPC vaak op bij privacykwesties met grote Amerikaanse techbedrijven die Europese hoofdkantoren in Ierland hebben.

Het onderzoek richt zich specifiek op de mate waarin Google, onderdeel van moederbedrijf Alphabet, de persoonsgegevens van EU-burgers adequaat heeft beveiligd alvorens ze te gebruiken in het trainingsproces van PaLM2. Dit soort onderzoeken naar datatrainingsprocessen van AI-aanbieders wordt steeds gebruikelijker.

Onlangs verklaarde concurrent X (voorheen Twitter) tegenover de DPC dat het zijn Grok AI-modellen niet zal trainen met data van EU-burgers zonder hun uitdrukkelijke toestemming via een opt-in optie, dit na een eerdere actie van de toezichthouder.

Afgelopen zomer publiceerde de DPC een reeks richtlijnen speciaal voor het trainen van AI/LLM-modellen, waaraan ontwikkelaars moeten voldoen om compliant te zijn met de diverse Europese wet- en regelgeving op het gebied van gegevensbescherming en privacy.

Delen: