Agema: Digitale Zorg Autoriteit en opt-out gegevensuitwisseling vóór 2030
Minister Fleur Agema heeft in een brief aan de Tweede Kamer aangekondigd dat er voor 2030 een Digitale Zorg Autoriteit (DZA) en een opt-out voor gegevensuitwisseling komen. Dit is onderdeel van de Nationale strategie voor het gezondheidsinformatiestelsel, die eind 2024, net voor de feestdagen, is gepresenteerd. De strategie legt uit hoe het huidige systeem verbeterd kan worden, met als einddoel een betere databeschikbaarheid voor zorg en preventie tegen 2035.
Het plan bevat een tijdslijn met drie fases. Tussen 2026 en 2030 moet het zorginformatiestelsel ‘netwerk georganiseerd’ zijn, inclusief een routekaart voor het secundair gebruik van zorgdata. De DZA zal verantwoordelijk zijn voor het primair gebruik van data, terwijl er ook een Health Data Access Body (HDAB) wordt opgericht voor secundair gebruik.
Daarnaast komt er toezicht op de zorg-ict-markt, met een specifieke toezichthouder voor verschillende systemen zoals ecd en epd. Agema werkt ook aan een gedragscode voor zorg-ict-leveranciers en beleidsmakers. Een belangrijke wijziging is de overstap van een opt-in naar een opt-out systeem voor gegevensuitwisseling, wat betekent dat gegevens automatisch gedeeld worden, tenzij de patiënt bezwaar maakt. Agema is persoonlijk betrokken bij deze veranderingen, en heeft eerder haar steun voor de opt-out regeling uitgesproken, mede door ervaringen uit het verleden.
Noyb dient klachten in tegen Chinese techbedrijven
Privacyorganisatie noyb heeft klachten ingediend bij verschillende Europese privacytoezichthouders, waaronder de Autoriteit Persoonsgegevens, tegen bedrijven als TikTok, AliExpress, Shein, Temu, WeChat en Xiaomi. De organisatie beschuldigt deze bedrijven van onrechtmatige overdracht van gegevens naar China. Noyb stelt dat de EU-wetgeving vereist dat datadoorgifte naar landen buiten de EU alleen is toegestaan als dat land een vergelijkbaar niveau van gegevensbescherming waarborgt. Aangezien China wordt gezien als een autoritaire surveillancestaat, kunnen Europese gegevens niet adequaat worden beschermd tegen toegang door de Chinese overheid.
De organisatie verwijst naar transparantierapporten van Xiaomi, die aantonen dat de Chinese autoriteiten op grote schaal toegang willen tot persoonlijke gegevens. Xiaomi moet voldoen aan de verzoeken van de Chinese overheid. Noyb merkt op dat Europese gebruikers moeilijk hun rechten kunnen uitoefenen onder de Chinese databeschermingswetgeving. Om duidelijkheid te krijgen, hebben de klagers inzageverzoeken ingediend, maar geen van de bedrijven heeft de noodzakelijke informatie verschaft over de doorgifte van gegevens.
Noyb-advocaat Kleanthi Sardeli benadrukt dat gegevens van Europese gebruikers risico lopen zodra ze naar het buitenland worden verzonden. Ze roept de toezichthouders op om snel in te grijpen ter bescherming van de fundamentele rechten van betrokkenen. In totaal zijn er zes klachten ingediend bij vijf Europese toezichthouders. De Autoriteit Persoonsgegevens ontving een klacht over WeChat. Noyb vraagt om naleving van de AVG en het opleggen van boetes om herhaling te voorkomen.
Onderzoek EDPB toont tekortkomingen bij inzageverzoeken in Europa
Uit recent onderzoek van de European Data Protection Board (EDPB) blijkt dat veel organisaties in Europa niet adequaat omgaan met inzageverzoeken, die essentieel zijn voor het waarborgen van privacyrechten. Dit onderzoek, uitgevoerd ter voorbereiding op de Dag van de Privacy op 28 januari 2025, bevestigt de waarnemingen van de Autoriteit Persoonsgegevens (AP) in Nederland.
In totaal hebben 30 privacytoezichthouders, waaronder de AP, 1185 organisaties ondervraagd over hun procedures voor inzageverzoeken. De resultaten tonen aan dat veel organisaties geen gestandaardiseerde werkwijze hanteren, wat leidt tot onterechte weigeringen van verzoeken. Daarnaast worden er soms onnodige drempels opgeworpen, zoals het eisen van een identiteitsbewijs.
In Nederland blijkt dat 30% van de ondervraagde organisaties geen standaardprocedure heeft en 20% laat de functionaris voor gegevensbescherming (FG) deze verzoeken afhandelen, wat als problematisch wordt gezien. Een derde van de organisaties monitort de behandeling van inzageverzoeken niet systematisch.
Er zijn echter ook positieve resultaten. Twee derde van de deelnemende toezichthouders concludeert dat organisaties redelijk tot zeer goed voldoen aan de AVG-eisen met betrekking tot inzageverzoeken. Sommige organisaties onderscheiden zich door het gebruik van online aanvraagformulieren en de mogelijkheid voor individuen om hun gegevens eenvoudig te downloaden.
De EDPB zal ook in 2025 verder onderzoek doen, gericht op het recht op gegevensverwijdering.
Minister pleit voor inleveren privacy in strijd tegen witwassen
Minister van Financiën Eelco Heinen (VVD) heeft in een brief aan de Tweede Kamer de discussie over witwascontroles door banken nieuw leven ingeblazen. Hij stelt dat de strijd tegen witwassen niet kan slagen zonder dat klanten enige privacy opgeven. Banken zijn wettelijk verplicht om verdachte transacties te controleren, maar deze strenge regels leiden tot hoge kosten en klachten van klanten. Volgens Heinen zijn er dertienduizend bankmedewerkers nodig voor deze controles, wat jaarlijks 1,4 miljard euro kost, geld dat anders besteed zou kunnen worden aan verbeteringen in de dienstverlening.
De controles veroorzaken ook wrevel bij klanten, vooral bij mensen met een niet-westerse achtergrond, die vaak discriminatie ervaren. Heinen wijst op het dilemma tussen misdaadbestrijding, het voorkomen van ongemak voor klanten en het waarborgen van privacy. Hij pleit ervoor dat banken meer privégegevens met elkaar kunnen delen om effectiever witwassen aan te pakken.
De Autoriteit Persoonsgegevens (AP) staat niet meteen negatief tegenover dit voorstel, maar benadrukt dat privacy- en gegevensbescherming cruciaal blijven. Er zijn zorgen over massasurveillance en het risico dat onschuldige mensen ten onrechte op lijsten komen. De Stichting Privacy First heeft voorgesteld om alleen verdachte transacties te rapporteren, wat een meer gerichte aanpak zou bevorderen. De Tweede Kamer debatteert deze week over Heinen’s pleidooi, en in april wordt een nieuw antiwitwasplan verwacht.
Nieuwe richtsnoeren EDPB voor pseudonimisering van persoonsgegevens
Op 21 januari 2025 heeft de European Data Protection Board (EDPB) nieuwe richtsnoeren gepubliceerd over het pseudonimiseren van persoonsgegevens. Tijdens de plenaire vergadering op 16 januari werden deze richtsnoeren gepresenteerd.
Pseudonimiseren is een beveiligingsmaatregel die ervoor zorgt dat persoonsgegevens minder gemakkelijk aan individuen kunnen worden gekoppeld. Dit vermindert de impact van mogelijke datalekken. De richtsnoeren zijn verdeeld in twee secties: de juridische en de technische aspecten van pseudonimisering.
In het juridische gedeelte wordt ingegaan op het verminderen van risico’s bij gegevensverwerking door middel van pseudonimisering. Dit vergroot de kans dat verwerking kan plaatsvinden op basis van de grondslag van gerechtvaardigd belang. Het technische gedeelte richt zich op de maatregelen die organisaties kunnen nemen om te waarborgen dat niet-koppeling van gegevens effectief wordt uitgevoerd.
De richtsnoeren zijn voorlopig en staan open voor feedback tot 28 februari 2025 via de EDPB-website. Na deze consultatie zal de EDPB de definitieve richtsnoeren vaststellen.
DORA: Nieuwe norm voor digitale weerbaarheid in de financiële sector
De Digital Operational Resilience Act (DORA) is sinds januari 2023 van kracht en heeft als doel financiële instellingen beter te laten omgaan met IT-risico’s en cyberdreigingen. De wetgeving is een aanvulling op bestaande regelgeving zoals NIS, NIS2 en AVG. Tot 17 januari 2025 hadden veel bedrijven de tijd om aan DORA te voldoen, waarbij sommige al aanverwante vereisten moesten naleven. Na deze datum is de Europese verordening volledig in kracht getreden.
DORA stelt eisen op het gebied van IT-risicomanagement, incidentbeheer, digitale weerbaarheidstests en risico’s bij uitbesteding aan derden. De vereisten zijn afgestemd op de grootte en het risicoprofiel van de organisatie, met uitzondering van micro-ondernemingen voor bepaalde onderdelen. Voor specifieke vergunningen wordt een vereenvoudigd kader aangeboden.
Een belangrijk aspect van DORA is het verbeteren van de ketenveiligheid door een kader voor kritieke ICT-dienstverleners in de financiële sector. Daarnaast bevordert DORA de uitwisseling van informatie tussen instellingen om cyberrisico’s te beperken, een element dat ook in NIS2 voorkomt.
Het negeren van DORA is geen optie, aangezien dit serieuze gevolgen kan hebben voor de bedrijfsvoering. De Nederlandse Bank (DNB) zal DORA integreren in haar toezicht en bestaande richtlijnen, waarbij sancties zullen worden opgelegd op basis van haar toezichtsinstrumenten. DORA behandelt zes thema’s: IT-governance, IT-risicomanagement, incidentmanagement, digitale weerbaarheidstests, risicomanagement van derde partijen en informatie-uitwisseling, die verder zijn uitgewerkt dan in de ISO27001-normen. Organisaties in de financiële sector moeten nu hun controles herzien om aan DORA te voldoen.