AP gaat databeveiliging bij zorgaanbieders controleren

De Autoriteit Persoonsgegevens (AP) gaat de komende maanden steekproefsgewijs zorgaanbieders controleren op hun omgang met patiëntgegevens. Het toezicht richt zich onder meer op ziekenhuizen, huisartsenposten en andere zorgorganisaties die werken met gevoelige medische informatie. Naast controles wil de AP zorgaanbieders ook voorlichten over hun verplichtingen onder de Algemene verordening gegevensbescherming (AVG).

In de zorg worden grote hoeveelheden gezondheidsgegevens verwerkt en opgeslagen. Deze gegevens vragen om extra bescherming, omdat zij diep kunnen ingrijpen in de persoonlijke levenssfeer van patiënten en cliënten. De AVG schrijft voor dat alleen bevoegde zorgverleners toegang mogen hebben tot medische dossiers en dat zorgorganisaties passende technische en organisatorische maatregelen moeten nemen om gegevens te beveiligen tegen misbruik, datalekken en cyberaanvallen.

Volgens de AP is die beveiliging in de praktijk niet altijd op orde. De toezichthouder ziet regelmatig problemen bij de uitwisseling van patiëntgegevens tussen zorgaanbieders en constateert dat toegangscontrole en informatiebeveiliging tekortschieten.

AP-vicevoorzitter Monique Verdier zegt hierover: “Niets is zo privé als gegevens over je gezondheid. Patiënten en cliënten moeten erop kunnen vertrouwen dat zorgaanbieders uiterst zorgvuldig met hun medische gegevens omgaan.” Met de aangekondigde bezoeken wil de AP naleving van de AVG bevorderen en zorgorganisaties ondersteunen bij het verbeteren van hun beveiligingsmaatregelen.

De zorgsector is bovendien een belangrijk doelwit voor cybercriminelen. In 2024 ontving de AP de meeste datalekmeldingen uit de sector gezondheid en welzijn, met ruim 6.800 meldingen. De gevolgen van beveiligingsincidenten kunnen groot zijn, zoals recent bleek bij een hack bij een laboratorium dat gegevens verwerkte voor bevolkingsonderzoeken. De AP is naar aanleiding daarvan een onderzoek gestart.

EDPB: verplichte accounts bij webshops meestal niet toegestaan

Volgens nieuwe aanbevelingen van de European Data Protection Board (EDPB) mogen webshops klanten doorgaans niet verplichten om een account aan te maken voordat zij een aankoop kunnen doen. De toezichthouder verduidelijkt hiermee hoe de regels van de Algemene verordening gegevensbescherming (AVG) moeten worden toegepast bij online bestelprocessen.

De EDPB wijst erop dat een accountverplichting vaak leidt tot het verzamelen en bewaren van meer persoonsgegevens dan nodig is om een bestelling af te handelen. Dat staat op gespannen voet met het beginsel van dataminimalisatie en vergroot de risico’s voor consumenten, bijvoorbeeld bij misbruik of datalekken. Voor losse aankopen is een verplicht account volgens de EDPB vrijwel nooit noodzakelijk. Ook functies zoals het volgen of retourneren van een bestelling rechtvaardigen in principe geen accountverplichting.

Alleen in specifieke situaties kan een account wel gerechtvaardigd zijn, zoals bij abonnementsdiensten of bij toegang tot een afgeschermde omgeving waarvoor duidelijke toelatingscriteria gelden. In andere gevallen moeten webshops consumenten de keuze bieden tussen een account en afrekenen als gast. Die gastoptie geldt volgens de EDPB als de meest privacyvriendelijke standaard.

Met de aanbevelingen wil de EDPB webshops praktische richting geven bij het inrichten van hun processen. Minder structurele gegevensverzameling verkleint niet alleen de privacyrisico’s voor klanten, maar ook de nalevings- en beveiligingsrisico’s voor webshops zelf. De aanbevelingen zijn nog niet definitief; belanghebbenden kunnen tot 12 februari 2026 reageren via de website van de EDPB.

EU presenteert ‘digital omnibus’; forse kritiek op versoepeling privacyregels

De Europese Commissie heeft een nieuw digitaal pakket gepubliceerd met voorstellen om bestaande EU-regelgeving rond digitale technologie te wijzigen. Het pakket bevat aanpassingen aan onder meer de AI Act, de NIS2-richtlijn, de AVG, de Data Act, de ePrivacy-regels en de Digital Operational Resilience Act (DORA). De Commissie stelt dat de wijzigingen administratieve lasten moeten verlagen en bedrijven meer ruimte moeten geven om digitale diensten te ontwikkelen.

Het pakket omvat onder meer een aangepaste tijdlijn voor hoogrisico-AI onder de AI Act en een centraal meldpunt voor incidentrapportages die nu onder verschillende regels moeten worden gedaan. In de AVG worden “gerichte wijzigingen” voorgesteld die onder andere gevolgen hebben voor de verwerking van gepseudonimiseerde gegevens en voor het gebruik van trackingtechnologie. De Commissie wil de cookieregels wijzigen door extra juridische grondslagen toe te voegen voor het volgen van gebruikers, waardoor banners minder vaak zouden verschijnen. Critici benadrukken dat deze wijziging juist leidt tot zwakkere bescherming van betrokkenen.

Privacyorganisaties en een deel van het Europees Parlement reageren fel. Max Schrems (noyb) noemt het voorstel “de grootste aanval op digitale rechten in jaren” en waarschuwt dat de voorgestelde wijzigingen “duizend kleine gaatjes in de wet” slaan. Volgens critici verlagen de plannen de bescherming van persoonsgegevens, vergroten ze de juridische complexiteit en bieden ze vooral voordelen voor de grote technologiebedrijven. Ook wordt erop gewezen dat de Commissie geen impactanalyses heeft uitgevoerd en dat er sprake zou zijn van een overhaaste procedure.

Het wetsvoorstel gaat nu naar het Europees Parlement en de Raad voor verdere behandeling.

Boete voor HAN na datalek

De Autoriteit Persoonsgegevens (AP) heeft HAN University of Applied Sciences een boete van 175.000 euro opgelegd wegens onvoldoende beveiliging van persoonsgegevens. De toezichthouder concludeert dat de hogeschool in het verleden niet voldeed aan de eisen van de Algemene verordening gegevensbescherming (AVG).

Het onderzoek van de AP startte in 2021 na een hack bij de HAN. Via een kwetsbaarheid in een webformulier wist een aanvaller toegang te krijgen tot servers met persoonsgegevens van studenten en medewerkers. Het ging onder meer om namen, adressen en in sommige gevallen wachtwoorden of burgerservicenummers. De aanvaller dreigde de gegevens openbaar te maken en eiste losgeld.

Volgens de AP was de digitale beveiliging van de betrokken systemen onvoldoende afgestemd op de risico’s. Toegangsrechten waren te ruim ingesteld, waardoor een kwetsbaarheid in één applicatie kon leiden tot bredere toegang tot databases. De hogeschool erkende de tekortkomingen en heeft tijdens en na het onderzoek maatregelen genomen om deze te verhelpen.

De AP heeft bij de sanctie rekening gehouden met de genomen herstelmaatregelen en met de rol van de HAN als kennisinstelling, onder meer bij het delen van lessen met andere organisaties.

Raad van State positief over verruiming Archiefwet

De Raad van State heeft een overwegend positief advies uitgebracht over het aangepaste wetsvoorstel dat de toegang tot beperkt openbare archieven moet verruimen. Het voorstel is vooral relevant voor archieven met gevoelige gegevens, zoals het Centraal Archief Bijzondere Rechtspleging (CABR), dat dossiers bevat over collaboratieonderzoek na de Tweede Wereldoorlog.

Eerder leidde het voornemen om dergelijke archieven online toegankelijk te maken tot stevige kritiek, onder meer van de Autoriteit Persoonsgegevens (AP). De AP wees op het risico dat bijzonder gevoelige en strafrechtelijke gegevens schade kunnen veroorzaken bij betrokkenen en nabestaanden, en stelde dat de wet een specifieke grondslag nodig heeft om dit type persoonsgegevens te verwerken. Na deze consultaties heeft de regering het voorstel aangepast.

De Raad van State prijst nu de “evenwichtige en zorgvuldige afweging” tussen openbaarheid en bescherming van persoonsgegevens. Het voorstel rust op twee pijlers. De eerste geeft personen met een persoonlijk belang onder voorwaarden toegang tot een beperkt openbaar archief. De tweede maakt het mogelijk dat de minister in uitzonderlijke gevallen een archief online beschikbaar stelt.

Wel adviseert de Raad om preciezer vast te leggen voor welke archieven dat kan (bijvoorbeeld dossiers over oorlog, genocide en misdaden tegen de menselijkheid), en om het tijdsverloop expliciet te betrekken bij de belangenafweging. Ook zouden waarborgen zoals koppeling aan een overlijdensregister en het niet-indexeerbaar maken van online archieven in de wet zelf moeten worden opgenomen.

Het CABR is sinds juni online raadpleegbaar, maar alleen in beperkte vorm: niet alle dossiers zijn beschikbaar en aanvullende waarborgen gelden. In de studiezaal van het Nationaal Archief is het archief vollediger toegankelijk.

Het blijft vooralsnog onduidelijk of en in hoeverre de regering de nieuwe adviezen van de Raad van State zal overnemen.

AP: duidelijk kader voor gebruik van OSINT door overheid

De Autoriteit Persoonsgegevens (AP) waarschuwt voor de risico’s van het gebruik van open source intelligence (OSINT) door overheidsorganisaties. Uit meerdere wetsvoorstellen blijkt dat de overheid internetbronnen wil inzetten voor toezicht en handhaving, bijvoorbeeld door het verzamelen van persoonsgegevens via sociale media, fora, advertentiesites en openbare registers.

In een brief aan de minister van Justitie en Veiligheid benadrukt de AP dat een algemeen juridisch en beleidsmatig kader hiervoor ontbreekt. Zonder duidelijke wettelijke grenzen en waarborgen bestaat het risico dat grootschalige en geautomatiseerde OSINT-toepassingen leiden tot vergaande inbreuken op de persoonlijke levenssfeer. De AP wijst erop dat hierbij ook gebruik kan worden gemaakt van AI, speciale analysetools en nepaccounts.

Volgens de toezichthouder gaat het nadrukkelijk niet om strafrechtelijk onderzoek of nationale veiligheid, maar om burgers tegen wie geen concrete verdenking bestaat. Juist in dat geval zijn strikte criteria nodig voor aanleiding, proportionaliteit en dataminimalisatie.

AP-voorzitter Aleid Wolfsen waarschuwt dat OSINT zonder helder kader “trekken kan krijgen van een surveillancemaatschappij”. De AP wil eerst een wettelijk kader zien, waarna zij kan toetsen of het gebruik van OSINT door de overheid binnen de grenzen van de privacywetgeving blijft.