EDPB en EDPS waarschuwen voor gevolgen vereenvoudiging AI-regels

De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) hebben een gezamenlijke opinie uitgebracht over het voorstel van de Europese Commissie om de uitvoering van de AI-verordening te vereenvoudigen. Dit voorstel, aangeduid als de Digital Omnibus on AI, is bedoeld om regels werkbaarder te maken en innovatie te ondersteunen.

De toezichthouders onderschrijven dat doel, maar waarschuwen dat vereenvoudiging niet mag leiden tot een afzwakking van fundamentele rechten, waaronder het recht op privacy en gegevensbescherming. Volgens EDPB en EDPS moet de kern van de AI-verordening intact blijven, juist bij toepassingen met grote maatschappelijke impact.

In hun opinie uiten zij onder meer zorgen over het verruimde gebruik van bijzondere persoonsgegevens, zoals gegevens over gezondheid of etniciteit, voor het opsporen en corrigeren van discriminatie in AI-systemen. Dat zou volgens hen alleen mogen in strikt afgebakende situaties en met passende waarborgen. Ook zijn zij kritisch over het schrappen van bepaalde registratieverplichtingen voor hoogrisico-AI, omdat dit de transparantie en het toezicht kan ondermijnen.

Verder vragen de toezichthouders om een duidelijke afbakening van de rol van de Europese AI Office ten opzichte van nationale toezichthouders. Samenwerking is wenselijk, maar mag niet ten koste gaan van nationale bevoegdheden of onafhankelijkheid. Tot slot benadrukken zij dat uitstel van verplichtingen voor hoogrisico-AI terughoudend moet worden toegepast.

Geactualiseerde leidraad voor gerichte politieke online reclame

De Autoriteit Persoonsgegevens (AP) heeft haar Leidraad targeting en aanlevering van politieke online reclame aangepast. In de vernieuwde versie is de input verwerkt die organisaties hebben geleverd tijdens de consultatie. De leidraad is bedoeld om politieke partijen, campagnes en andere betrokkenen te ondersteunen bij de naleving van de nieuwe regels.

Sinds 10 oktober 2025 geldt de Europese Verordening betreffende transparantie en gerichte politieke reclame (VPR). Deze verordening stelt aanvullende eisen aan het gebruik van targeting bij politieke online advertenties en werkt samen met de bestaande verplichtingen uit de Algemene verordening gegevensbescherming (AVG). De AP houdt toezicht op de toepassing van deze regels.

Naar aanleiding van de reacties is de leidraad uitgebreid met extra praktijkvoorbeelden. Ook is ingegaan op vragen over de rolverdeling tussen verwerkingsverantwoordelijken en verwerkers. Omdat de VPR hier ruimte laat voor eigen invulling, heeft de AP dit punt slechts beperkt kunnen verduidelijken.

De AP kondigt aan binnenkort aanvullende praktische voorlichting te publiceren. Deze is bedoeld om organisaties, waaronder vrijwilligers die betrokken zijn bij verkiezingscampagnes, te helpen de regels uit de VPR en de AVG in de praktijk toe te passen.

Sociale netwerken voor AI roepen vragen op over controle en privacy

In de AI-wereld tekent zich een nieuwe ontwikkeling af: kunstmatige intelligenties die onderling communiceren op speciaal voor hen ingerichte sociale netwerken. Platforms als OpenClaw en Moltbook richten zich niet op menselijke gebruikers, maar op AI-agenten die zelfstandig informatie verzamelen, berichten uitwisselen en conclusies trekken over menselijk gedrag.

Deze netwerken zijn bedoeld om AI-systemen efficiënter te laten samenwerken. In theorie kunnen bots elkaar helpen bij taken als probleemoplossing, kennisdeling en besluitvorming. Tegelijkertijd roept deze ontwikkeling fundamentele vragen op over transparantie, controle en privacy. AI-agenten verwerken grote hoeveelheden data, vaak afkomstig uit online bronnen, en combineren die informatie zonder dat betrokkenen daar zicht op hebben.

Experts waarschuwen dat dergelijke netwerken het risico vergroten op ongecontroleerde dataverwerking en het ontstaan van moeilijk te herleiden besluitvormingsprocessen. Omdat bots onderling communiceren, wordt het steeds lastiger om te achterhalen hoe conclusies tot stand komen en welke gegevens daarbij zijn gebruikt. Ook bestaat het risico dat fouten, vooroordelen of onjuiste aannames zich razendsnel verspreiden binnen zo’n gesloten AI-ecosysteem.

Noyb: handhaving AVG blijft in de praktijk beperkt

Privacyorganisatie noyb stelt in een publicatie ter gelegenheid van Data Protection Day dat bedrijven die de Algemene verordening gegevensbescherming (AVG) overtreden in de praktijk weinig te vrezen hebben van privacytoezichthouders. Volgens noyb wordt slechts in een klein deel van de zaken streng gehandhaafd. Uit eerder onderzoek van de organisatie blijkt dat tussen 2018 en 2023 in ongeveer 1,3 procent van de behandelde zaken een boete werd opgelegd.

De handhaving verschilt per toezichthouder. Noyb noemt daarbij onder meer de Ierse Data Protection Commission, die toezicht houdt op veel grote techbedrijven en volgens de organisatie slechts in een zeer beperkt aantal zaken een boete oplegt. Ook zouden opgelegde boetes lang niet altijd worden geïnd.

Op basis van eigen ervaring met honderden ingediende klachten concludeert noyb dat procedures vaak jaren duren en regelmatig eindigen met een waarschuwing in plaats van een sanctie. Volgens de organisatie strookt het beeld dat bedrijven zware gevolgen riskeren bij AVG-overtredingen niet met de dagelijkse handhavingspraktijk, wat de effectiviteit van gegevensbescherming onder druk zet.

Zorgen over digitale afhankelijkheid bij vitale processen

De Autoriteit Persoonsgegevens (AP) heeft de minister van Economische Zaken in een brief opgeroepen om aanvullende maatregelen te nemen ter bescherming van de continuïteit van vitale processen in Nederland. Aanleiding is de toenemende afhankelijkheid van een beperkt aantal, vaak niet-Europese, cloud- en ICT-dienstverleners voor cruciale overheids- en maatschappelijke processen.

Volgens de AP maakt deze afhankelijkheid Nederland kwetsbaar voor grootschalige verstoringen, bijvoorbeeld bij geopolitieke spanningen, sancties of overnames van ICT-leveranciers. Vitale processen zoals digitaal berichtenverkeer met burgers of de verwerking van persoonsgegevens binnen de overheid kunnen daardoor in het gedrang komen. De toezichthouder wijst erop dat de overheid op grond van de AVG verplicht is om passende maatregelen te nemen om langdurige onbeschikbaarheid, verlies of aantasting van persoonsgegevens te voorkomen.

De AP constateert dat bestaande beleidskaders en wetgeving onvoldoende houvast bieden om deze risico’s effectief te beheersen. Zo ontbreekt het aan uniforme afwegingskaders, afdwingbare eisen voor digitale soevereiniteit en robuuste exit-strategieën bij het wegvallen of veranderen van ICT-leveranciers. Ook signaleert de AP dat de huidige visie op digitale autonomie vooral strategisch van aard is en nog weinig concrete maatregelen bevat.

De toezichthouder adviseert het kabinet onder meer om strengere eisen te stellen bij de inkoop van clouddiensten, continuïteits- en exit-maatregelen contractueel te borgen, marktontwikkelingen structureel te monitoren en gericht te investeren in schaalbare Europese alternatieven. Volgens de AP is een centraal gecoördineerde aanpak nodig om de weerbaarheid van vitale processen structureel te versterken.

Datalek bij huisartsenorganisatie

Huisartsenorganisatie Medrie heeft te maken gehad met een datalek waarbij persoonsgegevens van 2.283 patiënten zijn buitgemaakt. Het gaat onder meer om namen, adresgegevens en burgerservicenummers. Een aanvaller wist toegang te krijgen tot het e-mailaccount van een kantoormedewerker, waarin een document met patiëntgegevens was opgeslagen.

Volgens Medrie betroffen de gegevens patiënten van huisartsen uit de regio Zwolle, die worden gebruikt voor de financiële afhandeling met zorgverzekeraars. De organisatie heeft alle betrokkenen geïnformeerd en melding gedaan bij de Autoriteit Persoonsgegevens. Medrie ondersteunt huisartsen in Flevoland, Hardenberg en Zwolle en verzorgt onder meer de huisartsenspoedzorg.

AP stelt grenzen aan cameratoezicht op chauffeurs

De Autoriteit Persoonsgegevens (AP) benadrukt dat cameratoezicht in het openbaar vervoer aan strikte grenzen is gebonden. Werknemers, zoals buschauffeurs, mogen niet permanent in beeld zijn op hun vaste werkplek. Camera’s zijn alleen toegestaan wanneer dit noodzakelijk is, bijvoorbeeld voor veiligheid bij incidenten, en niet om medewerkers structureel te volgen of te beoordelen.

Aanleiding was een klacht over het cameragebruik, waarna de AP gesprekken voerde met vervoerder Arriva over de inzet van camera’s in bussen. Cameratoezicht kan bijdragen aan de veiligheid van reizigers en personeel, maar mag niet leiden tot voortdurende monitoring van chauffeurs, ook niet als beelden uitsluitend achteraf worden bekeken.

De AP heeft met Arriva afspraken gemaakt om dit te voorkomen, onder meer door technische aanpassingen en het aanscherpen van interne instructies. Volgens de toezichthouder laat deze aanpak zien dat overleg kan leiden tot concrete verbeteringen zonder direct handhavend op te treden.

De AP wijst vervoerders erop dat cameratoezicht alleen mag worden ingezet als dit echt nodig is en zo moet worden ingericht dat de privacy van werknemers zo min mogelijk wordt aangetast.