Onderzoek naar opt-out voor EHDS-gegevensuitwisseling
Demissionair minister Helder van Volksgezondheid wil een onderzoek naar een opt-out voor het standaard delen van zorggegevens via de European Health Data Space (EHDS). Dit zegt zij in antwoord op Kamervragen. De EHDS is een voorstel van de Europese Commissie om medische gegevens binnen de EU uit te wisselen. Standaard zullen gezondheidsgegevens voor primair en secundair gebruik worden gedeeld, zoals voor zorgverlening, onderzoek en beleidsontwikkeling.
Helder wil een balans vinden tussen databeschikbaarheid en privacy. Voor primair gebruik biedt de EHDS-verordening lidstaten de mogelijkheid voor een opt-out, wat Helder serieus wil onderzoeken. Voor secundair gebruik kunnen burgers rechtstreeks bezwaar maken, maar dit recht kan worden ingeperkt.
Hoewel er brede steun is voor een onderscheid tussen nationale en grensoverschrijdende beschikbaarheid bij een opt-out, is dit niet opgenomen in het politiek akkoord. Helder zal onderzoeken welke ruimte er nationaal is bij de implementatie van een eventuele opt-out.
De noodzaak van de EHDS is er volgens Helder niet alleen voor grensoverschrijdende zorg, maar ook voor medisch-wetenschappelijk onderzoek en innovatie. De verordening wordt naar verwachting in het vierde kwartaal van 2024 definitief vastgesteld.
De Europese Unie stelt wereldwijd eerste regels voor kunstmatige intelligentie vast
Op 21 mei 2024 heeft de Europese Raad definitieve goedkeuring gegeven aan de AI Act, een baanbrekende wet om de regels voor kunstmatige intelligentie (AI) te harmoniseren. Dit is de eerste wet van zijn soort ter wereld en kan een wereldwijde standaard voor AI-regulering worden.
De nieuwe wet is gebaseerd op een risico-gebaseerde aanpak, waarbij strengere regels gelden voor AI-systemen met een hoger risico op schade voor de samenleving. Het doel is om de ontwikkeling en het gebruik van veilige en betrouwbare AI-systemen in de Europese eenheidsmarkt te stimuleren, terwijl de grondrechten van EU-burgers worden gerespecteerd. Bepaalde toepassingen van AI, zoals gedragsmanipulatie en sociale scoring, worden verboden omdat het risico onaanvaardbaar wordt geacht. Ook het gebruik van AI voor politiewerk op basis van profilering is niet toegestaan.
Om de naleving te waarborgen, worden verschillende toezichthoudende organen opgericht, waaronder een AI-kantoor binnen de Europese Commissie. Overtredingen kunnen leiden tot hoge boetes, waarbij rekening wordt gehouden met de omvang van de onderneming. De nieuwe wet biedt ook ondersteuning voor innovatie, bijvoorbeeld door middel van 'AI-sandboxes' waarin nieuwe technologieën in een gecontroleerde omgeving kunnen worden getest.
20 dagen na publicatie in het publicatieblad van de EU treedt de wet in werking. De nieuwe verordening wordt 2 jaar na de inwerkingtreding van kracht, met uitzonderingen voor specifieke bepalingen.
EDPB: Online platforms moeten de gebruiker keuze bieden
De Europese toezichthouder voor gegevensbescherming (EDPB) heeft op 17 april een advies uitgebracht over de manier waarop grote online platforms, zoals sociale media, reclame mogen tonen aan hun gebruikers (Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms).
De EDPB zegt dat de huidige praktijk waarbij gebruikers alleen kunnen kiezen tussen toestemming geven voor gerichte reclame of betalen voor een abonnement, niet voldoet aan de Europese regels voor gegevensbescherming. Gebruikers moeten volgens de EDPB drie opties krijgen:
1. Een betaalde versie zonder gerichte reclame
2. Een gratis versie met toestemming voor gerichte reclame
3. Een gratis versie zonder gerichte reclame
De EDPB legt uit dat in de meeste gevallen de toestemming van gebruikers voor gerichte reclame niet geldig is, omdat ze eigenlijk geen echte keuze hebben. Gebruikers moeten altijd een gratis alternatief zonder gerichte reclame aangeboden krijgen.
Het advies van de EDPB kan grote gevolgen hebben voor bedrijven die afhankelijk zijn van gerichte reclame op basis van gebruikersgedrag, zoals sociale media en advertentiebedrijven. Het is nu aan de nationale toezichthouders om te bepalen wat een "passend tarief" is voor een betaalde versie zonder reclame.
Veel vragen over dit onderwerp blijven nog onbeantwoord en zullen uiteindelijk door de rechter beslecht moeten worden.
Privégegevens van medewerkers Europees Parlement gelekt
In het Europees Parlement is veel onrust ontstaan over een recent datalek waarbij de persoonlijke gegevens van duizenden medewerkers zijn gelekt. De medewerkers willen meer informatie van de leiding over wat er wordt gedaan om de schade te beperken.
Het Parlement heeft tot 9.000 medewerkers geïnformeerd over het datalek in hun online sollicitatie-applicatie 'PEOPLE'. Hierin stonden gevoelige gegevens zoals ID-kaarten, geboortebewijzen, diploma's, werkgeschiedenis, medische dossiers en bewijzen van werkervaring tot 10 jaar terug.
De vertegenwoordigers van de parlementsmedewerkers, de 'Accredited Parliamentary Assistants (APA)', hebben de voorzitter en topambtenaren om meer informatie gevraagd over de stappen die worden genomen om de schade door dit datalek op het gebied van gegevensbescherming en cyberveiligheid te beperken.
Veel medewerkers zijn erg ongerust en vinden dat er te weinig communicatie en actie is vanuit de leiding van het Parlement. "Er zijn slechts twee korte e-mails gekomen, zonder instructies, excuses of verdere informatie", vertelde een getroffen medewerker aan Politico.
Het Parlement heeft intussen wel duizenden e-mails gestuurd naar de slachtoffers met details over welke persoonlijke gegevens precies gelekt zijn, zoals ID-kaarten, strafbladen, diploma's en burgerlijke staat. De cybersecurity-experts van het Parlement en de politie in Luxemburg doen verder onderzoek om alle details rond dit datalek op te helderen.
EDPB Taskforce: "ChatGPT nog niet in lijn met EU-regels voor gegevensbescherming"
De Europese privacytoezichthouder heeft geconcludeerd dat de inspanningen van OpenAI om de feitelijke onjuistheid in de output van ChatGPT te verminderen, niet voldoende zijn om volledig te voldoen aan de Europese regels voor gegevensbescherming. Dit zegt de Taskforce in een op 23 mei gepubliceerd rapport.
Hoewel de genomen maatregelen om de transparantie te verbeteren nuttig zijn om misinterpretatie te voorkomen, voldoen ze niet aan het principe van gegevensnauwkeurigheid. De probabilistische aard van het systeem leidt ertoe dat ChatGPT soms vooringenomen of verzonnen output kan produceren. Gebruikers beschouwen de informatie die ChatGPT genereert vaak als feitelijk juist, ook als dat niet het geval is.
De privacytoezichthouders in de EU-lidstaten onderzoeken de kwestie verder. Er is nog geen volledig beeld van de resultaten, maar de bevindingen geven een algemeen beeld van de zorgen op dit gebied.
Geen persoonsgegevens meer te zien in cv’s op werk.nl
Sinds 15 mei 2024 toont het UWV op werk.nl geen persoonsgegevens meer in de cv's van werkzoekenden, om hun privacy te beschermen. Naam, geslacht, adres en e-mailadres zijn niet langer zichtbaar voor werkgevers. Deze maatregel komt voort uit een incident waarbij 150.000 cv's zijn bekeken en mogelijk gedownload via een gebruikersaccount, dat vervolgens is afgesloten. Het UWV heeft melding gemaakt bij de Autoriteit Persoonsgegevens en is tevens een onderzoek gestart.
Om de persoonlijke informatie van werkzoekenden te beschermen, kiest het UWV er nu voor om deze gegevens niet meer weer te geven op cv's die door werkgevers worden ingezien. Het telefoonnummer blijft zichtbaar als de werkzoekende daar toestemming voor heeft gegeven. Werkgevers kunnen kandidaten nog steeds benaderen via berichten of vacatures op werk.nl.
Technologieleider bezorgd over privacy
In een interview met TechCrunch heeft Meredith Whittaker, directeur van chatapp Signal, het Europese plan voor chatcontrole bekritiseerd. Volgens Whittaker deugt het hele proces rondom dit plan niet.
De Europese Commissie wil alle chatberichten van burgers controleren. Het Europees Parlement was hier niet blij mee en kwam met een eigen voorstel. De EU-lidstaten hebben nog geen gezamenlijk standpunt ingenomen, maar deze week bleek dat EU-voorzitter België een nieuw plan heeft bedacht. Wie niet akkoord gaat met de controle, mag geen video's of foto's meer uploaden.
Whittaker bekritiseert onder andere de lobby van scanningbedrijven, die volgens haar invloed hebben gehad op het opstellen van het wetsvoorstel. Daarnaast hebben veel experts gewaarschuwd voor de grote gevolgen van dit plan. Whittaker zegt: "Het is een achterdeurtje in de belangrijkste infrastructuur waar we op vertrouwen voor de overheid, handel en communicatie. Het is echt gevaarlijk."
Ook de Europese burgerrechtenbeweging EDRi bekritiseert de lobby rond dit plan. Zij willen strengere regels voor lobbygroepen en een eerlijker en transparanter wetgevingsproces, waarbij maatschappelijke organisaties ook inspraak hebben.
