Databeveiliging huisartsenspoedposten schiet tekort

De databeveiliging bij het merendeel van de Nederlandse huisartsenspoedposten voldoet niet aan de wettelijke norm. Uit onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ) blijkt dat 43 van de 49 organisaties die huisartsenspoedzorg leveren nog niet volledig werken volgens de verplichte norm NEN 7510.

Nederland telt zo’n honderd spoedposten waar patiënten buiten kantooruren terechtkunnen. Jaarlijks gaat het om circa 2,6 miljoen bezoeken. Via digitale systemen krijgen zorgverleners toegang tot gevoelige medische gegevens zoals medicatiegebruik en voorgeschiedenis. De inspectie benadrukt dat goede informatiebeveiliging cruciaal is voor veilige zorg.

Zes organisaties konden direct aantonen dat zij voldoen aan de norm, onder meer via certificering. De overige 43 hebben wel maatregelen genomen, zoals multifactor-authenticatie en scholing, maar voldoen nog niet aantoonbaar. Van hen hebben er negen inmiddels een onafhankelijke beoordeling laten uitvoeren. De inspectie verwacht dat alle organisaties uiterlijk eind 2026 aan de norm voldoen en volgt de voortgang actief.

Volgens de IGJ is er bij bestuurders steeds meer bewustzijn over het belang van informatiebeveiliging. Tegelijkertijd wijst de inspectie erop dat de wet al jaren verplicht om hieraan te werken, en dat naleving dus geen keuze is. Vanaf medio 2026 moeten huisartsenspoedposten (afhankelijk van aantal fte en omzet) bovendien ook voldoen aan de nieuwe Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn.

Zorgen om aanstelling ex-Meta-lobbyist bij Ierse privacytoezichthouder

Tientallen burgerrechtenorganisaties en maatschappelijke groepen hebben in een open brief aan de Europese Commissie hun zorgen geuit over de benoeming van Niamh Sweeney tot commissaris van de Ierse privacytoezichthouder DPC. Sweeney werkte jarenlang als senior lobbyist voor Meta. Volgens de ondertekenaars roept haar aanstelling serieuze vragen op over de onafhankelijkheid van de toezichthouder.

De Ierse DPC is de leidende privacytoezichthouder voor techreuzen als Meta, Google en Apple, die hun Europese hoofdkantoren in Ierland hebben. Besluiten van de DPC zijn daarmee richtinggevend voor de handhaving van de AVG in heel Europa. Juist daarom moet de onafhankelijkheid boven iedere twijfel verheven zijn, benadrukken de organisaties.

De brief wijst erop dat de DPC vaker is bekritiseerd vanwege trage en inconsistente handhaving. Ook zijn opgelegde boetes meermaals door andere Europese privacytoezichthouders ontoereikend bevonden, waarna strengere sancties moesten volgen. Dat Ierland zo’n cruciale rol speelt bij de toepassing van de AVG in Europa, maakt de benoeming volgens de organisaties des te gevoeliger.

De ondertekenaars, waaronder Bits of Freedom, noyb en EDRi, vragen de Europese Commissie om een onderzoek naar de onafhankelijkheid en integriteit van de DPC.

Ziekenhuis ontslaat medewerkers om inzage patiëntendossiers

Het Albert Schweitzer Ziekenhuis heeft twee medewerkers ontslagen omdat zij zonder geldige reden patiëntendossiers hebben ingezien. Bij een interne controle bleek dat in totaal zo’n 1100 dossiers ongeoorloofd waren geopend. Volgens het ziekenhuis gebeurde dit uit nieuwsgierigheid, zonder dat er een behandelrelatie bestond.

Eén van de medewerkers werkte in de zorg en keek onder meer in dossiers van buurtgenoten die in het ziekenhuis terechtkwamen. De ander was niet actief op een zorgafdeling en had beperkte toegang tot gegevens zoals naam, adres, woonplaats en de afdeling waar patiënten waren opgenomen.

“Dit is ernstig en past niet bij goede patiëntenzorg”, zegt bestuursvoorzitter Nicole Stolk. “Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn bij ons. Wie in een patiëntendossier kijkt zonder behandelrelatie, tast dat vertrouwen aan. Dat is niet acceptabel en dat wisten de betrokkenen ook.”

Het ziekenhuis heeft alle betrokken patiënten een brief gestuurd met uitleg en excuses. Ook zijn de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd op de hoogte gebracht. Daarnaast worden de interne controles verder aangescherpt.

AP en ACM: chatbots mogen mens niet volledig vervangen bij klantenservice

De Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument & Markt (ACM) pleiten in een gezamenlijke oproep voor transparantie en menselijk contact bij de inzet van AI-chatbots. Organisaties die chatbots in hun dienstverlening gebruiken, moeten ervoor zorgen dat gebruikers altijd kunnen kiezen om met een medewerker te spreken. Ook moet duidelijk zijn wanneer je met een chatbot communiceert, en dienen chatbots geen onjuiste, ontwijkende of misleidende informatie te geven. 

De toezichthouders benadrukken dat dit niet vrijblijvend is, maar past binnen hun toezichtsmandaat. Zij zullen extra aandacht besteden aan de inzet van chatbots in de komende periode en verwachten dat organisaties verantwoordelijkheid nemen. 

Verder wijzen de AP en ACM op het groeiend aantal consumentenklachten. Organisaties zouden onvoldoende duidelijk maken dat een chatbot wordt gebruikt, en gebruikers slagen er niet altijd in om over te schakelen naar een medewerker als ze dat wensen. Ook bestaan risico’s rond privacy en informatiebeveiliging: AI-chatbots kunnen vertrouwelijke gegevens prijsgeven als ze verkeerd worden ingezet. 

Met hun oproep vragen de toezichthouders de Europese Commissie om regels te formuleren voor het ontwerp van AI-chatbots. Die moeten eerlijk, herkenbaar en toegankelijk zijn, zodat gebruikers niet op het verkeerde been worden gezet.

Oostenrijkse toezichthouder: Microsoft 365 Education in strijd met AVG

De Oostenrijkse privacytoezichthouder DSB heeft geoordeeld dat Microsoft 365 Education op meerdere punten de AVG schendt. De zaak was aangespannen door privacyorganisatie Noyb namens een leerling die inzage wilde in zijn persoonsgegevens. Microsoft verwees de leerling door naar de school, die echter geen toegang had tot de data die bij Microsoft zelf waren opgeslagen.

De DSB stelde verschillende overtredingen vast. Zo plaatst Microsoft 365 Education zonder toestemming trackingcookies en schond het bedrijf het recht op inzage door geen volledige toegang te geven tot persoonsgegevens. De toezichthouder verplicht Microsoft om persoonsgegevens die via cookies zijn verzameld te verwijderen, alsnog inzage te verlenen en in duidelijke bewoordingen uit te leggen voor welke zakelijke doeleinden de data worden gebruikt.

Ook de school van de leerling en het Oostenrijkse ministerie van Onderwijs moeten aanvullende informatie verstrekken, onder meer welke gegevens precies naar Microsoft zijn doorgestuurd. Volgens de DSB biedt Microsoft scholen en overheden onvoldoende informatie om aan hun verplichtingen onder de AVG te voldoen.

Hoewel de uitspraak in deze zaak alleen betrekking heeft op de specifieke klager, wijst Noyb op mogelijk verstrekkende gevolgen. Microsoft 365 Education wordt door miljoenen leerlingen en docenten in Europa gebruikt, terwijl miljoenen anderen de standaardversie van Microsoft 365 gebruiken bij bedrijven en overheden. Het correct informeren van studenten, werknemers en andere gebruikers is wettelijk verplicht, maar volgens Noyb voor commerciële klanten feitelijk onmogelijk. Als Microsoft geen volledige duidelijkheid en meer zeggenschap biedt, is het gebruik van Microsoft 365 nauwelijks verenigbaar met de AVG. Duitse toezichthouders kwamen eerder al tot eenzelfde conclusie.

Deloitte betrapt op AI-blunder, Australië krijgt geld terug

In Australië ligt Deloitte onder vuur na een gênante AI-flater. Het consultancykantoor leverde een rapport van 237 pagina’s aan het Australische ministerie van Werkgelegenheid, dat vol bleek te staan met verzonnen bronnen, gefabriceerde citaten en zelfs een niet-bestaande federale rechter.

De fouten kwamen aan het licht toen een docent ontdekte dat een aangehaald boek van een collega simpelweg niet bestond. In totaal werden twintig fouten gevonden, waarna Deloitte een herziene versie publiceerde. Daarbij is nu ook expliciet aangegeven dat er AI is gebruikt bij het schrijven van het rapport.

Het ministerie kreeg inmiddels een deel van de vergoeding terug, omgerekend zo’n 290.000 euro. Australische media noemen de affaire niet alleen pijnlijk voor Deloitte, maar ook een wake-up call voor overheden en bedrijven: blind vertrouwen op AI kan reputatie en betrouwbaarheid ernstig schaden.