Zorgsector kwetsbaar voor digitale dreigingen en datalekken
Het onlangs gepresenteerde Cybersecurity Dreigingsbeeld 2024 van Stichting Z-CERT laat zien dat de Nederlandse zorgsector kwetsbaar blijft voor digitale dreigingen. Naast ransomware, phishing en malware is er een zorgwekkende toename van ongeoorloofde inzage in patiëntendossiers door zorgmedewerkers. Nieuwsgierigheid blijkt vaak de reden, bijvoorbeeld het bekijken van eigen dossiers of die van bekenden, terwijl kwaadwillende toegang zeldzaam is. Zorginstellingen hebben moeite om deze incidenten volledig in kaart te brengen, mede door de omvangrijke loggingdata en een lage meldingsbereidheid onder medewerkers.
Daarnaast blijven cyberaanvallen op leveranciers een groot risico, met verstoringen in de zorg als gevolg. Cybercriminelen richten zich steeds vaker op de keten, waardoor zorgprocessen onder druk komen te staan. Ook neemt de dreiging van statelijke cyberspionage toe, vooral gericht op wetenschappelijk onderzoek en patiëntgegevens.
Z-CERT adviseert zorginstellingen om strikte loggingcontroles in te voeren en medewerkers te informeren over het belang van dataveiligheid. Het betrekken van personeel, ondernemingsraden en bestuurders bij de implementatie van beveiligingsmaatregelen is cruciaal.
Naast technische verbeteringen, zoals sterke authenticatie en monitoring, is ook bewustwording essentieel. Alleen door proactief beleid en Europese samenwerking kan de zorgsector zich beter beschermen tegen cyberdreigingen en ongeoorloofde toegang tot gevoelige patiëntgegevens.
Verboden AI-toepassingen in de zorg
De Europese AI-verordening (EU AI Act) is vanaf vorig jaar zomer gefaseerd ingegaan. Op 2 februari 2025 traden de richtlijnen over onaanvaardbare AI-praktijken in werking. De “Commission Guidelines on Prohibited Artificial Intelligence Practices”, een document van 140 pagina’s, geeft een overzicht van AI-systemen die in de EU verboden zijn. Dit omvat toepassingen zoals sociale scoresystemen, gezichtsherkenning voor publieke surveillance en systemen die patiënten manipuleren.
De richtlijnen maken gebruik van de term ‘onaanvaardbaar risico’, wat betekent dat AI-systemen die een bedreiging vormen voor fundamentele rechten en waarden, zoals gezondheid en veiligheid, niet zijn toegestaan.
Voor de gezondheidszorg zijn er verschillende verboden categorieën, zoals AI die patiënten kan misleiden of kwetsbare groepen kan uitbuiten. Dit heeft betrekking op het aanbevelen van onnodige behandelingen aan ouderen of mensen met een beperking.
Daarnaast zijn AI-systemen die burgers beoordelen op basis van gedrag of sociale kenmerken, en die toegang tot gezondheidsdiensten beperken, eveneens verboden. De richtlijnen staan echter wel AI-toepassingen toe die gericht zijn op het verbeteren van de gezondheid, zoals therapeutische chatbots en diagnostische systemen, zolang ze geen onaanvaardbare risico’s met zich meebrengen.
De richtlijn benadrukt dat de Europese Commissie duidelijke regels heeft opgesteld, maar niet alle situaties zijn gedekt. Bedrijven die werken met medische hulpmiddelen of digitale oplossingen moeten zorgvuldig afwegen hoe hun AI-systemen worden ingezet om in overeenstemming te zijn met de nieuwe regelgeving.
Register voor functionarissen voor gegevensbescherming in 2025 verwacht
Dit jaar wordt naar verwachting het Nederlands Register voor Functionarissen voor Gegevensbescherming (NRFG) opgericht, meldt het Ministerie van Justitie en Veiligheid. Dit register is bedoeld om de positie van functionarissen voor gegevensbescherming (FG’s) te versterken en de kwaliteit binnen de beroepsgroep te waarborgen. Het initiatief komt voort uit onderzoek van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) in opdracht van het ministerie van Justitie en Veiligheid.
Een FG houdt binnen organisaties toezicht op de naleving van de Algemene verordening gegevensbescherming (AVG). Voor bepaalde organisaties, zoals overheden en instellingen die op grote schaal persoonsgegevens verwerken, is het aanstellen van een FG verplicht. Ondanks deze wettelijke verplichting kan momenteel iedereen zich FG noemen, wat leidt tot variërende kwaliteit en expertise binnen de beroepsgroep.
Het NRFG moet hierin verandering brengen door FG’s te laten voldoen aan minimum kwaliteitseisen. Daarnaast bevordert het register de professionalisering en onderlinge samenwerking van FG’s. Inschrijving in het NRFG wordt echter niet verplicht.
Het ministerie van Justitie en Veiligheid steunt het initiatief en benadrukt het belang van een sterkere positie van de FG binnen organisaties. De verwachting is dat het register in de loop van 2025 daadwerkelijk wordt gelanceerd.
Verontrustende bevindingen over AI-chatbots voor mentale gezondheid
AI-chatbotapps die worden gepresenteerd als virtuele vrienden of therapeuten blijken vaak onbetrouwbare en soms zelfs schadelijke adviezen te geven. Dit blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP) naar negen populaire chatbotapps. Deze apps missen nuance, reageren inadequaat op crisissituaties en verwijzen nauwelijks door naar professionele hulp. Daarnaast bevatten ze verslavende elementen, zoals pulserende typ-indicatoren en suggestieve vragen die gebruikers langer laten chatten. Veel van deze chatbots werken met Engelstalige AI-modellen, waardoor Nederlandstalige gesprekken minder goed worden begrepen.
De AP maakt zich ernstige zorgen over de manier waarop deze chatbots zich soms voordoen als echte personen en hoe aanbieders commerciële belangen boven gebruikersveiligheid stellen. Sommige apps laten gebruikers betalen om gesprekken voort te zetten of bieden betaalde extra’s aan. Deze praktijken staan haaks op het verbod op misleidende en manipulatieve AI dat sinds 2 februari 2025 van kracht is. Dit betekent dat AI-systemen niet langer gebruikers mogen misleiden over hun aard of manipulatieve technieken mogen inzetten om gedrag te sturen. Aleid Wolfsen, voorzitter van de AP, benadrukt het belang van handhaving: “Gebruikers moeten weten dat ze met AI praten en wat er met hun gegevens gebeurt.”
Met de snelle vooruitgang van AI waarschuwt de AP voor steeds realistischer en potentieel misleidende toepassingen. De volledige analyse is te lezen in de nieuwste Rapportage AI- en Algoritmerisico’s Nederland (RAN).
Flevoland schakelt ‘slimme’ verkeerslichten uit na privacyzorgen
De provincie Flevoland heeft besloten om verschillende ‘slimme’ verkeerslichten uit te schakelen. Dit besluit volgt op een eerder rapport van de Autoriteit Persoonsgegevens (AP), waarin werd gewaarschuwd voor de risico’s van deze technologie. De verkeerslichten, die in contact staan met navigatie- en verkeersapps op mobiele telefoons van weggebruikers, kunnen op grote schaal persoonlijke informatie verzamelen. Dit kan leiden tot het in kaart brengen van ritten, inclusief datum, tijd en snelheid, wat inbreuk maakt op de privacy van de gebruikers.
De AP heeft de wegbeheerders opgeroepen om beter na te denken over de privacyaspecten van deze verkeerslichten. De provincie heeft hierop een analyse uitgevoerd, wat resulteerde in de beslissing om de ‘intelligente verkeersregelingsinstallaties’ tijdelijk uit te schakelen en terug te keren naar traditionele verkeerslichten die alleen gebruikmaken van sensoren in de weg. Hoewel er een mogelijkheid bestaat dat de verkeerslichten in de toekomst weer ‘slim’ worden, is het nog onduidelijk wanneer dit zal plaatsvinden. Voorlopig lijkt de focus te liggen op het waarborgen van de privacy van weggebruikers in de provincie.
Britse overheid verzoekt Apple om encryptie te doorbreken
Recentelijk heeft de Britse overheid, ondanks eerdere mislukte pogingen en kritiek van maatschappelijke organisaties en privacy-experts, een geheime opdracht aan Apple verstrekt waarin wordt gevraagd om de encryptie van gebruikersaccounts te doorbreken. Dit meldt noyb op basis van berichtgeving van The Washington Post.
Het verzoek is gedaan door het ministerie van Binnenlandse Zaken onder de Investigative Powers Act (IPA).
Hoewel Apple geen commentaar heeft gegeven, blijkt uit berichten dat het bedrijf zijn bezorgdheid over deze wetgeving vorig jaar al heeft geuit in een schriftelijke verklaring aan het Parlement. Apple waarschuwde dat de IPA de overheid de mogelijkheid biedt om geheime opdrachten uit te geven die vereisen dat aanbieders encryptie doorbreken door zogenaamde backdoors in hun software te integreren.
De opdracht richt zich specifiek op de Advanced Data Protection-functie van Apple, die in 2023 is geïntroduceerd en gebruikers in staat stelt om end-to-end encryptie voor hun iCloud-back-ups en andere data te kiezen. Indien Apple zou voldoen aan de Britse verzoeken, zou het bedrijf een backdoor moeten creëren, wat de algemene beveiliging voor alle gebruikers in gevaar zou brengen.
Dit is niet de eerste keer dat de Britse overheid tracht encryptie te ondermijnen. Eerdere pogingen, zoals het opnemen van CSAM-scanning in de Online Safety Bill, zijn zonder deze controversiële maatregelen doorgevoerd. Op Europees niveau zijn vergelijkbare voorstellen in omloop, maar deze hebben nog niet de nodige steun verworven. Het is afwachten hoe Apple zal reageren op deze laatste opdracht, aangezien het bedrijf eerder heeft aangegeven de functie liever volledig voor de Britse markt te schrappen dan deze wereldwijd te compromitteren.
