De Autoriteit Consument & Markt (ACM) wil dat ict-leveranciers door het ministerie van Volksgezondheid worden verplicht om hun zorginformatiesystemen structureel open te stellen voor koppelingen met andere leveranciers en zorgaanbieders.
Volgens de ACM werken ict-markten in de zorgsector niet naar behoren. "Veel digitale informatiesystemen zijn nu gesloten informatiesystemen. Dat betekent dat andere leveranciers of zorgaanbieders die zelf ict willen ontwikkelen, geen nieuwe ict-diensten kunnen ontwikkelen of testen en dat hun informatiesystemen minder goed met elkaar communiceren. Hierdoor stokt innovatie en toetreding van nieuwe spelers."
In Nederland is een beperkt aantal ict-leveranciers in de zorg actief en deze vendor lock-in beperkt efficiënte gegevensuitwisseling, liet de ACM eerder weten. "Er is maar een beperkt aantal zorg-ict-leveranciers en zorginstellingen zijn sterk van hen afhankelijk. Overstappen naar een andere leverancier is moeilijk en duur, bijvoorbeeld omdat er veel is geïnvesteerd in het gebruik van het systeem en het gekoppeld is met vele andere systemen."
Ondanks de signalen dat de ict-markten in de zorg niet goed werken zegt de ACM niet de middelen te hebben om het probleem van gesloten informatiesystemen structureel aan te pakken. Daarom adviseert de toezichthouder het ministerie van Volksgezondheid om via wetgeving in te grijpen.
Concreet denkt de ACM aan een verplichting tot het adequaat documenteren en het openstellen van (nu nog) interne en besloten API’s van zorginformatiesystemen voor zorginformatiesystemen van derden.
Alles bij de bron; Security
Mocht de Nederlandse Zorgautoriteit (NZa) de gegevens van 800.000 GGZ-patiënten opvragen? Hierover dient deze week een rechtszaak.
In 2023 eiste de Nederlandse Zorgautoriteit (NZa) van psychiaters en psychologen dat ze de privacygevoelige gegevens aanleverden van in totaal 800.000 patiënten. Behandelaren riskeerden een dwangsom als ze weigerden om mee te werken, en patiënten waren niet geïnformeerd.
Was dat juridisch zuiver op de graat? Of handelde de NZa in strijd met de privacywet, met het beroepsgeheim en het Europese verdrag voor de rechten van de mens?
Over die vragen buigen zich drie rechters in een zaak, die aangespannen is door de actiegroep Vertrouwen in de ggz - een gelegenheidscoalitie van patiënten, behandelaren en burgerrechtenorganisaties.
Het is niet voor het eerst dat de GGZ in de ban is van een omstreden data-experiment. Eerder zijn patiëntgegevens door GGZ-instellingen zelf op één hoop gegooid, zonder toestemming. Dat bleek in strijd met de Privacywet, oordeelde Autoriteit Persoonsgegevens in 2019. En toen is de dataset vernietigd.
Alles bij de bron; Trouw
Een groot datalek bij Volkswagen heeft ertoe geleid dat van 800.000 bezitters van elektrische auto’s zeer privacygevoelige informatie online stond. Het lek laat zien hoeveel data automakers tegenwoordig verzamelen en delen. Acht vragen over de auto als „rijdende privacynachtmerrie.”
4
Wat voor data verzamelen autobouwers en waarom?
Moderne auto’s zijn een soort rijdende computers waarin veel techniek zit en die steeds vaker voortdurend online zijn en gegevens delen. Dat kan gaan om bestemmingen en routes, maar ook om de rijstijl (te hard!) en bijvoorbeeld contacten. Dat is privacygevoelige informatie. Mensen slaan in de app voor hun auto ook betaalgegevens op, die ze gebruiken om af te rekenen als ze laden.
Fabrikanten zeggen allerlei gegevens te verzamelen in het kader van serviceverbetering. De data helpen bijvoorbeeld bij het op afstand analyseren en verhelpen van storingen. Maar automakers kunnen en doen er veel meer mee. Dat bleek onder meer in 2023 toen de Mozilla Foundation de dataverzameling van 25 automakers vergeleek. De bedrijven kregen allemaal een ruime onvoldoende, omdat ze veel te veel tot personen herleidbare informatie verzamelden en (de meerderheid van de bedrijven) zich vrij voelden die informatie door te verkopen. „Privacynachtmerries op wielen”, concludeerden de onderzoekers.
5
Wie heeft toegang tot die gegevens?
Allereerst natuurlijk de autoproducent en de bedrijven waar die ze mee deelt. Mensen vergeten bij het huren of verkopen van een auto vaak de boordcomputer te resetten, waardoor de volgende gebruiker de gegevens ook kan inzien. Zelfs als ze dat wel doen, blijft er nog een kopie van de complete data in de cloud staan, zegt Marcel Wendt van Digidentity.
Digidentity verkoopt een softwaretool waarmee zelfstandige garagehouders toegang krijgen tot de informatie over een auto die de fabrikant verzamelt. Daarvoor moeten ze eerst geverifieerd worden. Die verificatie van garagemedewerkers is nodig, legt Wendt uit, want het kan voor de georganiseerde misdaad bijvoorbeeld heel interessant zijn om de locatiegegevens van de Audi’s van de Nederlandse politie uit te lezen. Of om een gestolen auto te kunnen resetten.
6
Is het erg dat automakers zoveel data verzamelen?
De AP krijgt er tot dusver weinig klachten over, maar wijt dat eraan dat mensen zich weinig bewust zijn van dataverzameling door auto’s. De AP raadt onder meer aan goed te kijken naar de instellingen in de autoapps. Die staan vaak standaard op de minst privacyvriendelijke optie.
7
Hoe zit het met de camera’s op auto’s?
Kort gezegd: ook die zijn een privacydrama. Steeds meer auto’s filmen voortdurend hun omgeving. Dat mag niet, maar gebeurt wel. Net als bij filmende deurbellen is dat de verantwoordelijkheid van de bezitter (van de auto of deurbel).
8
Wat kun je als autorijder doen?
De AP publiceerde in maart 2020 een advies over hoe je je gegevens kunt beschermen als je in een gekochte of gehuurde ‘connected car’ gaat rijden. En hoe je er bijvoorbeeld voor zorgt dat je geen gegevens over jezelf meeverkoopt als je de auto van de hand doet.
Denk bijvoorbeeld na of je het voertuig via Bluetooth toegang wil geven tot de contactenlijst in je telefoon. En toestemming om op te slaan welke locaties je vaak bezoekt. Als je via je e-mailadres inlogt bij je voertuig, gaat er mogelijk allerlei informatie naar de e-mailprovider. „Gaat u bijvoorbeeld akkoord met fabrikanten die rijgegevens delen met een verzekeringsmaatschappij? Wees kritisch op fabrikanten die gegevens delen met anderen.”
Alles bij de bron; NRC [inloggen noodzakelijk]
Het is de afgelopen jaren een traditie op je telefoon geworden: in december presenteren apps en diensten persoonlijke jaaroverzichten aan klanten. Van Spotify tot sportapp Strava en de Rabobank. Hartstikke leuk en handig, maar ook best confronterend.
Spotify Wrapped is het bekendste voorbeeld van zo'n jaaroverzicht. Sinds 2016 biedt de muziekdienst zijn abonnees jaarlijks inzicht in hun meest beluisterde artiesten, nummers en podcasts en veel Spotify-gebruikers kijken er naar uit. De functie werkt zo goed doordat de lijstjes persoonlijk zijn, zegt marketingstrateeg Wendy Oude Veldhuis. Een persoonlijke attentie is volgens haar het beste wat je iemand kunt geven. "Dat is altijd leuk",zegt ze. "Het gaat over jou, dus je wordt gezien. Er komt dan een shotje dopamine vrij en daardoor voel je je beter."
De lijstjes worden massaal gedeeld op sociale media. Op die manier werkt het geluk van Spotify Wrapped twee kanten op. Niet alleen richting de gebruiker, ook richting Spotify. Want veel mensen maken door het delen reclame voor Spotify. "Dit zijn monsterreclamecampagnes", zegt marketingstrateeg.
Andere merken proberen het succes van Spotify te kopiëren. Daardoor krijg je de laatste jaren van veel meer bedrijven een persoonlijk overzicht. Strava laat zien hoeveel kilometer je hebt gefietst en Duolingo toont hoeveel voortgang je hebt gemaakt met het leren van Spaans.
Soms lijkt het een beetje vreemd en misplaatst, zo'n jaaroverzicht. De terugblik van Rabobank laat bijvoorbeeld jouw financiële hoogtepunten zien. Hoeveel uitgaven je deed, wat je grootste en kleinste uitgaven waren en hoeveel je kwijt was aan vaste lasten. Hoewel Rabobank ook deelknoppen bij het overzicht zet, zullen veel minder mensen dat doen.
Data zijn vooral belangrijk voor bedrijven
De lijstjes geven vooral aan hoe goed ons (digitale) leven wordt gedocumenteerd. Voetballer Virgil van Dijk kon daardoor bijvoorbeeld delen dat hij dit jaar 222 keer in de sauna had gezeten, veertig keer op de fiets had gereden en een slaapwaardering van 90 procent had.
Vooral de bedrijven die dat gedrag monitoren hebben daar baat bij, zegt Lotje Beek van burgerrechtenorganisatie Bits of Freedom. "Met dit soort overzichten doen ze alsof zij die data voor ons verzamelen en presenteren ze het op een coole manier", zegt ze. "Maar in de kern verzamelen ze die data natuurlijk niet voor hun klanten, maar om daar zelf geld aan te verdienen."
Met de verzamelde data bouwen bedrijven profielen van hun klanten op, zodat bekend is wie dat zijn en waar ze van houden. Op die manier kunnen bedrijven bijvoorbeeld gerichter adverteren.
Bij veel diensten is het lastig om onder het verzamelen van persoonlijke gegevens uit te komen. En als het dan toch kan, zitten de instellingen om te weigeren vaak verstopt. "Het kost enorm veel moeite", zegt Beek. "Het is niet gebruiksvriendelijk om iets om je privacy te geven."
Toch snapt ze de mensen die blij worden van de jaaroverzichten. Ze vindt het zelf ook wel grappig om te zien. "Muziek wordt niet gezien als iets wat slecht voor je is", zegt ze over Spotify Wrapped. "Een TikTok-overzicht met schermtijden zou vreselijk zijn."
Alles bij de bron; NU
De toepassing van AI en algoritmes geven het veiligheidsbeleid een te technologisch karakter. In de Nacht van de Sociologie waarschuwt de Rotterdamse hoogleraar Digital Surveillance Marc Schuilenburg voor de risico’s hiervan voor publieke waarden.
Begin dit jaar verscheen zijn boek Making Surveillance Public: Why You Should Be More Woke About AI and Algorithms. Daarin citeert hij de Britse socioloog Anthony Giddens: surveillance is een van de vier institutionele ontwikkelingen van de moderne tijd - naast industrialisatie, kapitalistische economie en militaire macht.
In haar klassieke betekenis staat surveillance voor ‘het oog houden op’ en is volgens Schuilenburg geleidelijk veranderd in ‘zichtbaar en voorspelbaar maken’. Dat wil zeggen dat nu met AI en algoritmes grote hoeveelheden data worden verzameld, die vervolgens worden geanalyseerd en geïnterpreteerd binnen het kader van veiligheidsbeleid.
Een ander verschil met de klassieke surveillance is dat de dataverzameling, voor het grote publiek, zelf steeds onzichtbaarder wordt.
‘Doordat data steeds meer deel uitmaken van vernetwerkte datastromen, is surveillance vloeibaar en continu geworden. De digitalisering via AI en algoritmes komt daar nog eens overheen.’ en de inzet van AI en algoritmes bij (big data) policing, ofwel het veilig maken van de samenleving, heeft geleid tot een intensivering van omvang en diepgang van surveillance. ‘Surveillance graaft dieper dan ooit in het privéleven van burgers. Ze worden van alle kanten en door iedereen bekeken.’
Dat bekijken gebeurt overigens niet alleen door politie en gemeenten; maar ook naast (private techbedrijven), boven (EuroJust, Europol) en onder de politie, door burgers zélf.
Een van de partijen die steeds vaker en indringender de Nederlandse veiligheidszorg faciliteren, is Amazon. Ruim 1,2 miljoen Nederlandse huishoudens hebben er een digitale deurbel van: de Amazon Ring Bel. Gebruik van een digitale deurbel is allesbehalve onschuldig, zegt Schuilenburg. Integendeel, ‘het zet de verhoudingen en de grenzen tussen privé en publieke belangen op scherp’.
Zowel Amazon als de politie kan door de Amazon Ring Bel meekijken wat er gebeurt rond een woning. Is dat wenselijk? Om die vraag te beantwoorden, moeten we, stelt Schuilenburg, ‘publiek maken wat tot dan onzichtbaar is gebleven’.
Publiek maken is synoniem voor het zichtbaar maken van wat wij niet (meer) als surveillance zien of ervaren. ‘We moeten dieper nadenken over zelfsurveillance van burgers met luxeproducten als de Apple Watch en Fitbit, waarbij dataverzameling en analyse automatisch plaatsvinden.
Ook moeten we meer aandacht hebben voor algoritmes die werken op basis van machine learning (computers leren zelf hoe ze moeten leren zonder expliciet geprogrammeerd te worden, red.) en zelf een weg zoeken door de datastromen heen waarbij zij niet alleen zich onttrekken aan het zicht van buitenstaanders, maar ook door de gebruikers zelf niet meer worden begrepen of kunnen worden uitgelegd.’
Niet goed doordachte AI-toepassingen kunnen nare gevolgen hebben. ‘De bias en zelfversterkende effecten van een toegepaste technologie kunnen bijvoorbeeld leiden tot onnodig verscherpt politietoezicht op bepaalde buurten of groepen.’
Hoe kunnen de publieke waarden beschermd worden? Volgens Schuilenburg is het cruciaal dat we ‘meer stemmen betrekken bij AI-kwesties die burgers aangaan. Ook dat is publiek maken.’ Aansluitend daarop zou er meer aandacht moeten komen voor het feit dat techniek als een mal werkt. ‘Een model waarbinnen de kennis van bepaalde groepen, de coding elite in het bijzonder, de overhand heeft en die van andere groepen wordt vergeten of als niet waardevol wordt gezien.’
Onder de coding elite verstaat Schuilenburg ‘de groep van dataprofessionals die al in het ontwerp- en ontwikkelproces van AI en algoritmes belangrijke keuzes maakt. De expertise van deze elite bemoeilijkt strikte controle.’
Dit alles kan ertoe leiden dat deze elite handelt ‘zonder oog te hebben voor de eigen geprivilegieerde positie en zonder rekening te houden met eventueel ongewenste neveneffecten, waaronder discriminatie, privacyschending of andere risico’s die samenhangen met AI en algoritmes.’
Er is kortom sterke behoefte aan democratische oefening bij de ontwikkeling en toepassing van AI, aldus kan een stem worden gegeven aan de silenced voices van zwakke, kwetsbare of gemarginaliseerde groepen als jongeren en minderheden.’
Volgens Schuilenburg is het hoog tijd om afstand te nemen van het dominante denken over AI en algoritmes, waarbij ‘de veronderstelde technisch-economische voordelen prevaleren en sociologische aspecten als macht, kennis en ervaringen onderbelicht blijven.’
Hoe snel zeer grote hoeveelheden data kunnen worden verzameld en na analyse en interpretatie worden toegepast, blijven belangrijke maatstaven om AI en algoritmes in te zetten. De praktijk laat evenwel zien dat niet al het mogelijke wenselijk is. ‘Wat als er veel eenvoudigere en menselijkere oplossingen gewoon onder onze neus liggen?’ Schuilenburg pleit voor ‘een sociologie die zich actief mengt in het debat over AI en algoritmes, ‘ook en misschien wel vooral met inzichten die pijn doen en niet in de smaak vallen bij de politiek en de kapitaalkrachtige techbedrijven.’
Alles bij de bron; SocialeVraagstukken
De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit legt het bedrijf Freedelity 'corrigerende maatregelen' op na inbreuk op de Algemene Verordening Gegevensbescherming. Het bedrijf zou onterecht bepaalde persoonsgegevens van identiteitsbewijzen hebben verzameld.
Volgens de Gegevensbeschermingsautoriteit verzamelde Freedelity teveel niet noodzakelijk informatie van identiteitsbewijzen, waaronder het nummer van het document, de gemeente waar de ID-kaart is uitgegeven en de geldigheidsdatum van de kaart. Daarnaast zou het bedrijf de verkregen gegevens acht jaar bewaren, wat volgens de toezichthouder buitensporig is.
Freedelity is een Belgisch bedrijf dat persoonsgegevens van consumenten verzamelt door middel van de elektronische uitlezing van identiteitskaarten. Klanten van het bedrijf kunnen vervolgens met die gegevens 'gerichte marketing en klantenrelatiebeheer' uitvoeren.
Alles bij de bron; Tweakers
Volgens het FD jaagt de Autoriteit Persoonsgegevens (AP) op de drie grote dataverzamelaars Experian, Focum en EDR vanwege het stelselmatig schenden van de privacy van Nederlandse burgers.
Deze zogenaamde kredietinformatiebureaus creëren profielen van miljoenen consumenten in Nederland en verhandelen de enorme databases die ze daarmee opbouwen.
De kredietinformatiebureaus verkopen de profielen van miljoenen consumenten aan bedrijven die het betaalgedrag willen analyseren. Dit gebeurt zonder medeweten van de consument en kan leiden tot bijvoorbeeld het weigeren van een huurwoning of het afkeuren van aankopen op een webshop, legt Johan Leupen, onderzoeksjournalist bij het FD, uit.
Het is onbekend van hoeveel Nederlanders zulke profielen zijn opgesteld en verkocht. Volgens Leupen heeft de eigenaar van EDR, Guus Franken, gezegd dat 'alle Nederlanders in feite hun betaalgedrag daar opgeslagen hebben'.
Terwijl de AP nu 'duidelijk stelling heeft genomen om deze bedrijven op te rollen', vertelt Leupen dat de waakhond dit niet 'van de daken' kan schreeuwen. De betreffende bedrijven verzetten zich namelijk en proberen boetebesluiten bij de rechter tegen te houden. Ze proberen deze rechtszaken doelbewust 'afgesloten te houden voor buitenstaanders', uit vrees dat klanten zullen weglopen als dit openbaar wordt.
Alles bij de bron; BNR [met podcast]
De fraudeaanpak om te controleren of studenten misbruik maakten van de uitwonendenbeurs van de DUO was discriminerend en onrechtmatig, zegt de Autoriteit Persoonsgegevens.
DUO gebruikte voor de fraudeaanpak een algoritme met drie selectiecriteria: onderwijssoort, afstand en leeftijd. Een mbo-opleiding gaf een hogere risicoscore dan hbo of wo, schrijft de Autoriteit Persoonsgegevens, evenals een kortere afstand tussen het woonadres van de student en dat van de ouders, en een lagere leeftijd van de student.
DUO gebruikte deze risicoscore om, met een handmatige selectie, te bepalen wie een controle en huisbezoek kregen. "Naar schatting van de AP heeft DUO tussen 2013 en 2022 21.500 studenten geselecteerd en gecontroleerd op fraude, mede op basis van de berekeningen van het algoritme", schrijft de toezichthouder.
Om onderscheid te maken tussen mensen, moet er een onderbouwde, objectieve rechtvaardiging zijn, schrijft het AP. DUO had deze niet, stelt het AP. "Daardoor heeft DUO direct gediscrimineerd op basis van onderwijssoort, afstand en leeftijd."
Alles bij de bron; Tweakers
De Kamer van Koophandel gaat vanaf 25 september de telefoonnummers afschermen van alle ondernemers die zijn ingeschreven in het Handelsregister. De wijziging is doorgevoerd doordat ondernemers klaagden over ongewenste benadering door commerciële partijen.
Het afschermen van de telefoonnummers is een onderdeel van de Datavisie Handelsregister, een wijziging van het Handelsregisterbesluit en de Handelsregisterwet. Hiermee wil de KvK wel bepaalde gegevens, zoals vestigingsadressen, openbaar houden en tegelijk ook de privacy van ondernemers waarborgen.
Sinds vorig jaar kunnen zzp'ers ook makkelijker hun adres laten afschermen, maar dan moeten ze wel een alternatief postadres opgeven. Met de verkoop van het Adressenbestand Online, waarin de persoonlijke woonadressen van zzp'ers instonden, is de KvK in 2019 gestopt naar aanleiding van kritiek van de Autoriteit Persoonsgegevens.
Alles bij de bron; Tweakers
Meta heeft AI-modellen getraind met data van Australische Facebook- en Instagram-gebruikers. Het bedrijf heeft enkel publieke posts van meerderjarige gebruikers gescraped en ging hiervoor terug tot in 2007. Er was geen opt-outmogelijkheid omdat dit niet wettelijk verplicht is.
Melinda Claybaugh, de global privacy director van Meta, gaf de praktijk toe tijdens een hoorzitting met Australische politici. Ze vertelde dat Meta heel wat data nodig heeft om zijn AI-modellen te trainen. Dankzij grote hoeveelheden data zouden de AI-modellen naar verluidt veiliger zijn en zouden er minder biases moeten optreden.
Het bedrijf gaat nu verder met publieke gegevens van Britse Facebook- en Instagramgebruikers, zo heeft het laten weten. Gebruikers moeten nog steeds actief bezwaar maken tegen het gebruik van hun gegevens, maar krijgen hier wel langer de tijd voor. Ook zou het proces vereenvoudigd zijn.
De Britse privacytoezichthouder ICO houdt de situatie naar eigen zeggen in de gaten en heeft geen toestemming voor de dataverwerking van Meta gegeven. ICO zegt dat het aan Meta is om aan wetgeving te voldoen.
Alles bij de bronnen; Tweakers & Security