Rechtszaak over delen van patiëntgegevens in de GGZ
In Utrecht is een rechtszaak gestart over het delen van gedetailleerde patiëntgegevens van psychologen en psychiaters met de Nederlandse Zorgautoriteit (NZa). Dit gebeurt sinds 2022, maar een groep van patiënten, deskundigen en behandelaars, verenigd in de actiegroep Vertrouwen in de GGZ, verzet zich hiertegen. Ze vrezen dat deze praktijk de vertrouwelijkheid van de behandelrelatie ondermijnt en gevoelens van onveiligheid bij patiënten oproept.
De NZa heeft zorgverleners verplicht om gegevens van ongeveer achthonderdduizend patiënten, zoals informatie over suïcidaliteit en alcoholmisbruik, te delen. Veel patiënten waren zich niet bewust van deze gegevensuitwisseling. De actiegroep wijst ook op de mogelijke risico’s van datalekken. Hoogleraar psychiatrie Jim van Os, die de actie steunt, benadrukt dat kwetsbare patiënten hierdoor kunnen worden afgeschrikt in hun behandeling.
De NZa verdedigt de dataverzameling als noodzakelijk voor het verbeteren van de geestelijke gezondheidszorg, die onder druk staat door lange wachttijden en een tekort aan plekken voor complexe aandoeningen. De toezichthouder stelt dat de verzamelde gegevens zullen helpen bij het ontwikkelen van een algoritme om zorgbehoeften beter in te schatten. Van Os betwist echter de wetenschappelijke basis van deze methode en wijst op de onvoorspelbaarheid van psychisch lijden. De rechtszaak kent drie zittingen, met een uitspraak op 9 april.
Privacyzorgen rond AI-app DeepSeek
De Chinese AI-app DeepSeek verzamelt aanzienlijke hoeveelheden gegevens van zijn Europese gebruikers, waaronder gevoelige informatie over toetsenbordaanslagen. Dit roept vragen op over de conformiteit met Europese privacywetgeving. Terwijl de Amerikaanse autoriteiten zich richten op mogelijke overtredingen van exportrestricties, zijn Europese toezichthouders bezorgd over de bescherming van persoonlijke gegevens.
De Italiaanse privacyautoriteit heeft al actie ondernomen door de app te blokkeren, vanwege onvoldoende informatie over de gegevensverzameling. Ook de Ierse en Nederlandse toezichthouders hebben stappen ondernomen. De Autoriteit Persoonsgegevens (AP) heeft gebruikers aangespoord om voorzichtig om te gaan met de app, gezien de ernstige twijfels over het privacybeleid.
DeepSeek, die in korte tijd populair is geworden, verzamelt niet alleen ingevoerde teksten en media, maar ook achtergrondgegevens zoals IP-adressen en apparaatinformatie. Bijzonder zorgwekkend is het opslaan van unieke toetsenbordaanslagen, wat volgens experts kan leiden tot identificatie van gebruikers en hun emoties.
Techjuristen wijzen erop dat dergelijke gegevens onder de Algemene Verordening Gegevensbescherming (AVG) vallen, wat betekent dat er een juridische basis nodig is voor de verzameling. De onduidelijke redenen van DeepSeek voor het verzamelen van deze data, gecombineerd met een recent datalek waarbij miljoenen gebruikersgesprekken toegankelijk waren, versterken de zorgen over de privacy en veiligheid van gebruikersinformatie.
Update 06-02: Staatssecretaris Szabó van Digitalisering heeft voor Nederlandse ambtenaren een verbod ingesteld op het gebruik van DeepSeek. Het is volgens Szabó “een spionagegevoelige app”.
Update 07-02: Bij het CBR is DeepSeek niet toegestaan. Andere chatbots, zoals ChatGPT, mogen wel worden gebruikt. Wel zijn er richtlijnen opgesteld, waarin staat dat er geen persoonsgegevens in het AI-model van OpenAI mogen worden ingevoerd.
Bij de uitkeringsinstantie UWV is het gebruik van AI-bots volledig verboden. Toegang tot zowel ChatGPT, Claude als DeepSeek is daar geblokkeerd.
Bij de Kamer van Koophandel (KvK) is de toegang tot DeepSeek eveneens afgeschermd, terwijl het personeel wel gebruik mag maken van Copilot, de AI-assistent van Microsoft.
De Sociale Verzekeringsbank (SVB), verantwoordelijk voor de uitvoering van de AOW, heeft haar personeel geïnformeerd dat het gebruik van AI-programma’s niet is toegestaan. Dit betreft niet alleen DeepSeek, maar ook ChatGPT en Copilot.
De Vereniging van Nederlandse Gemeenten (VNG) meldt dat er geen algemene richtlijn bestaat voor lokale overheden. Een woordvoerder geeft aan dat het aan de gemeenten zelf is om een afweging te maken.
Verbod op AI-systemen met onacceptabel risico
Per 2 februari 2025 geldt een verbod op AI-systemen die als ‘onacceptabel risicovol’ worden beschouwd. Dit is het gevolg van de nalevingstermijn van de EU AI Act, die in augustus 2024 in werking trad. Het doel van deze wetgeving is om een breed scala aan AI-toepassingen, van consumentenproducten tot fysieke omgevingen, te reguleren.
De EU AI Act categoriseert risico’s in vier niveaus: minimaal, beperkt, hoog en onacceptabel. AI-toepassingen met onacceptabel risico, zoals sociale score-systemen of systemen die biometrische gegevens gebruiken voor wetshandhaving, zijn nu verboden. Bedrijven die deze systemen in de EU gebruiken, kunnen boetes oplopen tot 35 miljoen euro of 7% van hun jaarlijkse omzet, afhankelijk van wat hoger is.
Hoewel de handhaving van boetes later ingaat, hebben meer dan 100 bedrijven, waaronder Amazon en Google, zich aangemeld voor het EU AI Pact, een vrijwillige toezegging om de principes van de AI Act vroegtijdig toe te passen. Er zijn echter uitzonderingen voor specifieke situaties, zoals wetshandhaving bij urgente bedreigingen.
AP publiceert document ‘Aan de slag met AI-geletterdheid’
Vanaf 2 februari 2025 zijn organisaties die AI-systemen ontwikkelen of gebruiken verplicht om de AI-geletterdheid van hun medewerkers te waarborgen. Dit houdt in dat personeel voldoende kennis, vaardigheden en begrip moet hebben om AI op een verantwoorde manier in te zetten, zowel technisch als ethisch. Als coördinerend AI- en algoritmetoezichthouder heeft de Autoriteit Persoonsgegevens (AP) een document gepubliceerd om organisaties op weg te helpen.
AI-geletterdheid is cruciaal voor het versterken van de weerbaarheid van de samenleving, omdat steeds meer mensen in verschillende hoedanigheden, zoals burger of werknemer, met AI te maken krijgen. Voor beleidsmakers en toezichthouders is diepgaande kennis van AI essentieel om weloverwogen besluiten te nemen. Burgers daarentegen hebben basiskennis nodig om kritisch en met vertrouwen om te gaan met AI-systemen die invloed op hun leven kunnen hebben.
Om een hoog niveau van AI-geletterdheid te bereiken, is een gestructureerde en contextspecifieke aanpak noodzakelijk. Organisaties die AI-systemen ontwikkelen en inzetten dragen de grootste verantwoordelijkheid hierin. De AI-verordening biedt een eerste basis voor een meerjarig actieplan dat organisaties ondersteunt bij het bevorderen van AI-geletterdheid. Het doel is om zowel de kansen van AI optimaal te benutten als de risico’s te beheersen, en zo een verantwoorde inzet van AI te waarborgen.
Noyb: “Te weinig boetes voor privacyschendingen”
Privacyorganisatie noyb, opgericht door de gerenommeerde privacyactivist Max Schrems, heeft scherpe kritiek geuit op de Autoriteit Persoonsgegevens (AP) en andere Europese privacytoezichthouders. Volgens noyb leidt slechts 1,3 procent van de behandelde zaken tot een boete, wat de organisatie beschouwt als onvoldoende om bedrijven te motiveren zich aan de privacywetgeving te houden. De meeste procedures duren jaren en eindigen vaak in schikkingen of afwijzingen, waarbij de uitkomsten zelden in het voordeel van de klager zijn.
De AP scoort bijzonder laag in de ranglijst van boete-uitdelingen, met slechts 0,03 procent van de zaken resulterend in een boete. Ter vergelijking, de Slowaakse toezichthouder staat aan de top met 6,84 procent. Noyb wijst erop dat de AP in de afgelopen jaren een budgetverhoging van 62 procent heeft gezien, maar dat dit niet heeft geleid tot een overeenkomstige toename van het aantal boetes. In 2023 had de AP een budget van bijna 37 miljoen euro, terwijl de opgelegde boetes slechts 1,98 miljoen euro bedroegen, wat een aanzienlijk tekort op de staatsbegroting creëert.
Bovendien benadrukt noyb zijn eigen invloed, aangezien bijna veertig procent van alle privacyboetes tussen 2018 en 2023 voortkwam uit klachten van de organisatie. Dit wijst op een bredere problematiek van politieke wil om actie te ondernemen tegen grote technologiebedrijven, eerder dan op een tekort aan middelen voor de toezichthouders, aldus noyb.
VNG: Gemeenten hoeven gezichtsherkenning niet altijd te melden
In een recente mededeling heeft de Vereniging van Nederlandse Gemeenten (VNG) verduidelijkt dat gemeenten die gezichtsherkenning toepassen bij de aanvraag van paspoorten en identiteitskaarten niet altijd vooraf melding hoeven te maken bij de Autoriteit Persoonsgegevens (AP). De AP had eerder aangegeven dat gemeenten in Nederland geen rapportages over het gebruik van gezichtsscans of de bijbehorende risicoanalyses hadden gedeeld.
Na overleg tussen de VNG en de AP is vastgesteld dat gemeenten alleen contact hoeven op te nemen met de toezichthouder wanneer een voorafgaand onderzoek naar privacyrisico’s aantoont dat er aanzienlijke risico’s voor betrokkenen blijven bestaan, ondanks genomen beschermende maatregelen.
Het niet naleven van de verplichting om advies aan de AP te vragen bij risicovolle gegevensverwerkingen kan leiden tot zware sancties. De VNG benadrukt het belang van het uitvoeren van een Data Protection Impact Assessment (DPIA) om de privacyrisico’s van gezichtsherkenning goed in kaart te brengen. Zo kunnen gemeenten ervoor zorgen dat hun gegevensverwerkingen verantwoord zijn en voldoen aan de geldende wet- en regelgeving.
