Nieuwe praktijkgids over gezondheidsgegevens in de cloud

De Autoriteit Persoonsgegevens (AP) heeft een nieuwe praktijkgids gepubliceerd over het verwerken van gezondheidsgegevens in de cloud. Aanleiding is het toenemende gebruik van cloudoplossingen voor gevoelige gegevens, terwijl deze verwerking gepaard gaat met specifieke privacy- en beveiligingsrisico’s.

De gids richt zich op een brede categorie gezondheidsgegevens, waaronder medische dossiers, gegevens uit digitale zorgtoepassingen en informatie in arbeidsrelaties. Daarbij wordt expliciet aandacht besteed aan de rolverdeling tussen organisaties en cloudleveranciers, waarbij organisaties zelf verantwoordelijk blijven voor de verwerking van deze gegevens, ook wanneer zij gebruikmaken van externe partijen.

Een centraal punt in de praktijkgids is dat cloudgebruik kan leiden tot verlies van controle over gegevens, bijvoorbeeld door afhankelijkheid van leveranciers, inzet van subverwerkers of opslag buiten de Europese Economische Ruimte. Dit kan gevolgen hebben voor de bescherming van persoonsgegevens en de naleving van de AVG, met name bij internationale doorgifte en toegang door buitenlandse autoriteiten.

Daarom wordt gewezen op het belang van voorafgaande risicoanalyses, duidelijke contractuele afspraken en doorlopende controle, bijvoorbeeld via audits. Ook wordt gewezen op aanvullende verplichtingen uit sectorale normen en regelgeving, zoals de NEN 7510 en de aankomende Cyberbeveiligingswet (NIS2).

De praktijkgids bevat daarnaast een stappenplan dat organisaties helpt om afwegingen rond cloudgebruik systematisch in kaart te brengen en weloverwogen keuzes te maken bij het verwerken van gezondheidsgegevens in een digitale omgeving.

Toepassing AI Act uitgesteld, verbod op ‘nudifier’-apps voorgesteld

Het Europees Parlement heeft ingestemd met aanpassingen van de AI Act, waarbij de invoering van regels voor hoog-risico AI-systemen wordt uitgesteld.

Volgens het voorstel gaan deze verplichtingen pas gelden vanaf december 2027. Voor AI-systemen die onder bestaande Europese productwetgeving vallen, zoals medische hulpmiddelen, wordt zelfs uitgegaan van augustus 2028. Ook regels voor het markeren van AI-gegenereerde content worden uitgesteld tot november 2026.

Het uitstel moet bedrijven meer tijd geven om aan de regels te voldoen en biedt ruimte om guidelines en standaarden verder uit te werken.

Tegelijkertijd stelt het Parlement nieuwe beperkingen voor, waaronder een verbod op zogeheten ‘nudifier’-apps die zonder toestemming seksueel expliciete beelden creëren van herkenbare personen met behulp van AI.

De voorstellen maken deel uit van het ‘digital omnibus’-pakket. Onderhandelingen met de Raad van de EU moeten nog volgen.

AP waarschuwt voor privacyrisico’s bij digitale leermiddelen

De Autoriteit Persoonsgegevens (AP) waarschuwt voor toenemende privacyrisico’s in het onderwijs door het gebruik van digitale leermiddelen. Dat blijkt uit de oproep Digitale leermiddelen in de klas: privacyrisico’s voor leerlingen, die de toezichthouder op 30 maart publiceerde.

Digitale middelen zoals laptops, software en AI-toepassingen maken het mogelijk om onderwijs te personaliseren en de voortgang van leerlingen te volgen. Tegelijkertijd verwerken leveranciers grote hoeveelheden persoonsgegevens, waaronder gegevens over prestaties en gedrag.

Volgens de AP hebben scholen steeds minder keuzevrijheid doordat de markt wordt gedomineerd door een beperkt aantal, vaak niet-Europese, aanbieders. Deze integreren hun diensten diep in het onderwijs, waardoor datastromen moeilijk te overzien zijn en niet altijd duidelijk is met welke partijen gegevens worden gedeeld.

De AP roept scholen en leveranciers op om betere afspraken te maken over gegevensbescherming en transparanter te zijn over het gebruik van leerlinggegevens, bijvoorbeeld voor profilering of het trainen van AI-modellen. Scholen wordt aangeraden bestaande contracten kritisch te beoordelen en waar nodig gezamenlijk op te trekken via organisaties als SIVON en Kennisnet.

De toezichthouder geeft aan signalen uit het veld te gebruiken voor verdere stappen, variërend van toezicht tot handhaving. De waarschuwing sluit aan bij eerdere aandacht van de AP voor het gebruik van digitale leermiddelen en platforms in het onderwijs.

Luxemburgs hof vernietigt AVG-boete Amazon

Een Luxemburgs gerechtshof heeft de AVG-boete van 746 miljoen euro die aan Amazon was opgelegd vernietigd. De Luxemburgse privacytoezichthouder CNPD moet de zaak opnieuw beoordelen.

De boete uit 2021 volgde op een klacht over de manier waarop Amazon toestemming verkreeg voor gepersonaliseerde advertenties en persoonsgegevens verwerkte. Als toezichthouder in het land waar het Europese hoofdkantoor van Amazon is gevestigd, is de CNPD verantwoordelijk voor het toezicht.

Het hof oordeelt dat de CNPD terecht heeft vastgesteld dat Amazon zich niet kon beroepen op een gerechtvaardigd belang en dat de informatievoorziening tekortschiet. De boete wordt echter vernietigd omdat de toezichthouder onvoldoende heeft gemotiveerd of sprake was van opzet of nalatigheid en geen afweging heeft gemaakt tussen mogelijke sancties.

Volgens het hof volgen deze vereisten uit arresten van het Hof van Justitie van de EU uit 2023, die ook van toepassing zijn op eerdere besluiten. De CNPD moet daarom een nieuw besluit nemen met inachtneming van deze criteria.

Amazon laat weten tevreden te zijn met de uitspraak. De CNPD laat weten dat het hof de inhoudelijke beoordeling grotendeels bevestigt, maar dat de sanctie opnieuw moet worden vastgesteld.

Minister onderzoekt dataverzameling door politieteams openbare orde

Minister Van Weel van Justitie en Veiligheid laat onderzoeken of politieteams die zich bezighouden met openbare orde-inlichtingen persoonsgegevens onrechtmatig verzamelen. Dat schrijft hij in een Kamerbrief, naar aanleiding van kritiek op de werkwijze van deze teams.

Het gaat om zogeheten Teams Openbare Orde Inlichtingen (TOOI), die onder gezag van de burgemeester informatie verzamelen over personen bij mogelijke verstoringen van de openbare orde. In de praktijk kan daarbij een uitgebreid beeld ontstaan van iemands privéleven, bijvoorbeeld door langdurige en systematische gegevensverzameling.

Voor een deel van deze verwerkingen ontbreekt mogelijk een duidelijke wettelijke grondslag. Ook is niet altijd helder hoe het gezag van de burgemeester wordt ingevuld en in hoeverre er voldoende democratische controle plaatsvindt.

De minister heeft aangekondigd het rapport juridisch te laten analyseren en hierover in gesprek te gaan met betrokken partijen. Daarbij wordt bezien of de huidige werkwijze moet worden aangepast of dat bepaalde vormen van gegevensverzameling moeten worden beperkt of beëindigd.

Toezichthouders starten onderzoek naar datalek Odido

De Rijksinspectie Digitale Infrastructuur (RDI) en de Autoriteit Persoonsgegevens (AP) zijn een onderzoek gestart naar het datalek bij telecomprovider Odido, waarbij persoonsgegevens van miljoenen klanten zijn buitgemaakt en online verschenen.

Het onderzoek richt zich op twee aspecten. De RDI richt zich op de beveiliging van het klantsysteem ten tijde van het incident. Daarbij wordt beoordeeld of Odido voldoende technische en organisatorische maatregelen heeft getroffen om persoonsgegevens te beschermen, zoals vereist onder de Telecommunicatiewet en bijbehorende regelgeving.

De AP onderzoekt of Odido persoonsgegevens langer heeft bewaard dan toegestaan. Onder de AVG geldt dat gegevens niet langer mogen worden bewaard dan noodzakelijk. Meldingen van betrokkenen wijzen erop dat ook gegevens van voormalige klanten in de gelekte dataset voorkwamen.

De toezichthouders benadrukken dat het incident het belang onderstreept van digitale weerbaarheid en zorgvuldige omgang met persoonsgegevens. Na een eerste fase waarin het bedrijf de acute gevolgen van het datalek heeft aangepakt, wordt nu onderzocht of de verwerking en beveiliging van gegevens in overeenstemming waren met de wettelijke vereisten.

Afhankelijk van de uitkomsten kan het onderzoek leiden tot handhavingsmaatregelen, bijvoorbeeld op het gebied van bewaartermijnen of informatiebeveiliging.