Nieuwsbrief week 49 2023

Digitaal zorgplatform lekt privégegevens van 8,5 miljoen patiënten
Het Amerikaanse digitale zorgplatform Welltok heeft de privégegevens van 8,5 miljoen patiënten gelekt, zo heeft het bedrijf bekendgemaakt. Welltok biedt een platform waarmee zorginstanties met patiënten over hun zorg kunnen communiceren. Net als veel andere organisaties maakte Welltok gebruik van MOVEit Transfer, een door softwarebedrijf Progress ontwikkelde applicatie voor het uitwisselen van bestanden.
Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties.
Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Progress Software, de ontwikkelaar van MOVEit Transfer, heeft tot nu toe van 23 klanten bericht gehad dat ze door de aanval zijn getroffen. Een aantal van hen wil een schadevergoeding. Daarnaast is Progress onderdeel van 58 massaclaims die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen.
De gestolen gegevens omvatten onder andere naam, geboortedatum, contactgegevens, behandelgegevens, diagnoses, medicijninformatie, behandelkosten en informatie over de zorgverzekering.

EU keert zich tegen abonnementen Meta
Enige tijd geleden gaf Meta Europese Facebook- en Instagram-gebruikers de keuze om ofwel een maandelijks bedrag te betalen voor een reclamevrije ervaring – of gevolgd te worden voor gepersonaliseerde reclame.
De stap volgde op een uitspraak van het Europese Hof van Justitie in juli dat Meta’s omgang met gebruikersgegevens illegaal verklaarde. Het Hof oordeelde dat Meta persoonlijke gegevens niet verder mocht gebruiken dan strikt noodzakelijk was om de kerndiensten van het bedrijf te leveren. Meta maakte daarop bekend een abonnementsformule beschikbaar te stellen voor Europa. Betaalde Meta-gebruikers zouden zo reclamevrij gebruik kunnen maken van Facebook en Instagram, terwijl de andere gebruikers met hun privacy betalen.
De EU heeft inmiddels een spoedoverleg gehouden over het reclamebeleid en de abonnementen van Meta en een ‘urgent binding decision’ aangenomen. Hierin wordt de Ierse gegevensbeschermingsautoriteit DPC als leidende toezichthoudende autoriteit opgedragen om binnen twee weken definitieve maatregelen te nemen met betrekking tot Meta Ireland Limited en een verbod in te stellen op de verwerking van persoonsgegevens voor behavioural advertising op de rechtsgronden contract en rechtmatig belang in de gehele EER.

AP adviseert bedrijven: rapporteer over privacybeleid
De Autoriteit Persoonsgegevens (AP) adviseert grote bedrijven transparanter te zijn over hoe zij omgaan met privacy. Bijvoorbeeld door in jaarverslagen structureel aandacht te gaan besteden aan het gevoerde privacybeleid. De AP heeft 2 handreikingen opgesteld om bedrijven hiermee te helpen: de Handreiking privacy in een jaarverslag en de Handreiking ‘De RvC of RvT en privacy: uw rol als toezichthouder’.
“Privacy sluit aan bij een belangrijk thema: maatschappelijk verantwoord ondernemen”, zegt AP-vicevoorzitter Monique Verdier. “Bedrijven laten steeds vaker zien dat zij bezig zijn met duurzaamheid, werkomstandigheden van fabrieksarbeiders of de impact van de bedrijfsvoering op klimaat en milieu. Meer aandacht voor privacy sluit hier goed op aan. Bedrijven gebruiken steeds meer gegevens van steeds meer mensen, ook door de toenemende digitalisering. Natuurlijk biedt digitalisering kansen, maar er komen ook privacyrisico’s bij kijken. “Door als bedrijf actief te laten zien hoe je met deze risico’s omgaat, kun je vertrouwen winnen.”

Britten laten Amerikaans spy tech-bedrijf Palantir gezondheidsdata beheren
Het Amerikaanse bedrijf Palantir, vooral bekend als maker van spionagesoftware voor overheidsdiensten, gaat de data van de Britse National Health Service (NHS) beheren. Dit doet het bedrijf de komende vijf jaar in samenwerking met Accenture en PwC.
De partijen zijn ingeschakeld voor het beheer van het nieuwe ‘Federated Data Platform’ van de NHS. Palantir maakt een dataplaform dat verschillende gegevensstromen samenbrengt. Het is de bedoeling individuele zorginstellingen via het platform met elkaar te laten integreren en zo eenvoudiger patiëntgegevens te laten uitwisselen.
Palantir kreeg het contract toegewezen, dat nog eens met twee jaar kan worden verlengd tot maximaal zeven jaar. Met het contract is zo’n 380 tot 550 miljoen euro gemoeid. De toewijzing van het contract is echter controversieel. Palantir verkoopt zijn software namelijk vooral aan veiligheidsdiensten. Het heeft bijvoorbeeld een groot contract met de Amerikaanse inlichtingendienst CIA. Dokters en experts vrezen dat de privacy van de Britten mogelijk in het gedrang komt.
NHS England zegt dat bedrijven die de software voor het Federated Data Platform leveren zelf geen toegang tot de data zullen krijgen, zonder dat de NHS hiervoor zelf uitdrukkelijke toestemming geeft.

Meta, Apple en TikTok vechten hun gatekeeper-status aan
In september 2023 publiceerde de Europese Commissie een lijst van zogenaamde gatekeepers onder de nieuw ingestelde Digital Markets Act (DMA). Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta en Microsoft en hun online diensten zullen binnenkort aan strengere regels moeten voldoen. Een van de grootste doelen van de DMA is om kleinere bedrijven in staat te stellen om daadwerkelijk te concurreren met de reuzen in de sector. Gezien het aantal verplichtingen is het niet verwonderlijk dat de grote bedrijven niet bepaald blij zijn met de invoering van de wet. Sommige van hen hebben dan ook al juridische stappen ondernomen tegen hun aanwijzing als gatekeeper. Meta, Apple en TikTok hebben beroep aangetekend bij het Europese Hof van Justitie.
De eerste die de status van gatekeeper publiekelijk aanvocht, was Meta. De social media-gigant accepteert de aanwijzing van Facebook, Instagram en WhatsApp, maar stelt dat zijn Messenger en Marketplace functies van Facebook zijn en geen aparte diensten.
TikTok volgde al snel met zijn eigen beroep, waarbij het in een verklaring betoogde dat de aanwijzing feitelijk “het eigen verklaarde doel van de DMA zou kunnen ondermijnen door daadwerkelijke gatekeepers te beschermen tegen nieuwere concurrenten zoals TikTok”. Het bedrijf zegt dat het eigenlijk nog steeds een nieuwkomer is, die worstelt om te concurreren met gevestigde rivalen als Meta en Google. Het bedrijf zegt ook dat het niet voldoet aan de wettelijke omzetdrempel van €7,5 miljard per jaar voor de EER.
Apple zal waarschijnlijk de gatekeeperstatus van de App Store, het IOS-besturingssysteem en de Safari-browser aanvechten.

Zorgen over de privacyrisico’s van generatieve AI
De Autoriteit Persoonsgegevens maakt zich zorgen over de privacyrisico’s van generatieve AI. AI-toepassingen waarbij op basis van opdrachten (‘prompts’) inhoud wordt gecreëerd, heten generatieve AI. Bijvoorbeeld tekst, computercode, afbeeldingen, geluid of video. Naar verwachting zal generatieve AI de komende periode steeds meer worden toegepast. De modellen worden vaak getraind met gescrapete data waarin zich vrijwel zeker persoonsgegevens bevinden. “Het is onwaarschijnlijk dat het verzamelen van die gegevens mag op basis van de privacywetgeving”, zegt Cecile Schut, directeur Systeemtoezicht, Beveiliging en Technologie bij de AP.
Daarnaast is het ook de vraag of de output van generatieve AI-modellen wel klopt. “Het model kan fouten maken, doordat ongeverifieerde persoonsgegevens zijn gebruikt om het model te trainen. En het model kan ook informatie, inclusief persoonsgegevens, genereren die uit de lucht is gegrepen. En dat is niet toegestaan”.
De AP ziet dat veel organisaties AI-toepassingen inzetten zonder voldoende kennis of serieuze voorbereiding. “Terwijl het juist belangrijk is om na te denken over risico’s”, aldus Schut. Ze noemt als voorbeeld digitale assistenten waarvan aanbevelingen klakkeloos worden overgenomen. De directeur Systeemtoezicht waarschuwt ook dat generatieve AI door verkeerd gebruik van persoonsgegevens grote, nadelige maatschappelijke effecten kan hebben, bijvoorbeeld door vooroordelen te bevestigen en uitsluiting en discriminatie in de hand te werken.
De AP onderneemt de komende tijd verschillende acties. Zo is softwareontwikkelaar OpenAI om opheldering gevraagd over ChatGPT. Dit onderzoek loopt nog. Ook maakt de AP deel uit van de EDPB Taskforce ChatGPT.

Delen: