Je gelooft je ogen niet: toezichthouders willen eenvoudiger naleving

De European Data Protection Board (EDPB), de samenwerkende nationale privacywaakhonden van de EU, maakte afspraken om de toepassing van de AVG te vereenvoudigen.

“De afspraken zijn een mijlpaal als het gaat om duidelijkheid, ondersteuning en betrokkenheid voor organisaties in Europa die zich aan de AVG moeten houden”,

zo laat de Autoriteit Persoonsgegevens (AP) weten.

De inspanning om tot nieuwe afspraken te komen komt voort uit de “Helsinki-verklaring” van de EDPB van 2 juli 2025. De ondertitel luidt “Een grondrechtenbenadering van innovatie en concurrentievermogen”. Inhoud. “De EDPB vindt het belangrijk om tijdige en beknopte begeleiding te bieden die toegankelijk is, gemakkelijk te begrijpen en praktisch is voor kleine en middelgrote organisaties in overeenstemming met de risicogebaseerde benadering.”

De EDPB komt met duidelijke voorlichting en praktische hulpmiddelen, zoals standaardmeldingen voor datalekken, checklists, handleidingen en antwoorden op veel gestelde vragen.

De EDPB volgt de nieuwe Europese Commissie die de regeldruk voor bedrijven wil verminderen. Het is wonderlijk dat de EDPB die, met de AP voorop, sinds de introductie van de AVG in 2018 de regelgeving louter heeft aangescherpt, nu plotseling beseft dat ze de samenleving daarmee geen dienst bewijst. Hoe de verandering mentaal gestalte moet krijgen, is nog niet duidelijk.

Belastingdienst heeft AVG-naleving op orde, beweert staatssecretaris

Demissionair staatssecretaris Van Oostenbruggen van Financiën schrijft in een brief aan de Tweede Kamer van 3 juli 2025 dat, na een doorlichting van alle processen met toetsing aan de AVG, de Belastingdienst een duidelijk beeld heeft gekregen over de naleving van de AVG. Twee stappen staan centraal: actualisering van het verwerkingenregister en aanvullende Data Protection Impact Assessments (DPIA’s) op hoog risicoverwerkingen. Het register moet voor 1 oktober op orde zijn. De AP helpt mee.

Strikte toepassing AVG door ambtenaren kost levens

Ambtenaren durven cruciale informatie vaak niet te delen uit angst voor het overtreden van de privacywet. Ook in de zaak rond Jamel L., die in 2023 een medewerkster van de Albert Heijn aan de Turfmarkt in Den Haag doodstak, speelde die terughoudendheid een rol.

De VVD wil dat de burgemeester van Den Haag zich hard gaat maken voor betere informatie over het toepassen van de AVG en de mogelijkheden die er zijn om toch informatie te delen als het gaat om ’vitaal belang’ zo bericht De Telegraaf van 2 juli 2025.

Uit de rapportages blijkt dat gebrekkige informatieoverdracht rondom de dader Jamel L. mede heeft bijgedragen aan het fatale incident in 2023. Hoogleraar Gerrit-Jan Zwenne spreekt van “AVG-kramp”: de wetgeving is moeilijk te begrijpen en uit angst voor de beschuldigingen van overtreding van de AVG wordt informatie dan maar niet gedeeld.  (Precies over dit thema gaat m’n laatste privacyboek)

Nare volgtruc van Meta op Androidfoons

Van gebruikers van de Instagram- of Facebook-app op een Android-telefoon werd het complete surfgedrag door Meta verwerkt sinds september 2024. Meta misbruikte een voorziening waarmee android-apps bestanden kunnen uitwisselen. Dat ontdekte een internationaal team van onderzoekers, onder wie Gunes Acar van de Radboud Universiteit. De truc werkte zelfs als je de zogenoemde incognito-modus gebruikte, waarin surfgedrag anoniem zou moeten zijn. Ook het verwijderen van cookies had geen zin, zo berichtte NOS. Meta is er na de ontdekking mee gestopt.

Slachtoffers en getuigen beter beschermd

De politie en het Openbaar Ministerie (OM) gaan de privacy van slachtoffers en getuigen van misdrijven beter beschermen. Hun persoonsgegevens worden in de aangifte die de verdachte te zien krijgt beperkt tot de naam en geboortedatum. Slachtofferhulp Nederland strijdt hier al vijf jaar voor, want verdachten wisten hun privacy beter beschermd dan slachtoffers, de omgekeerde wereld. Er is een Witboek over uitgebracht, dat gratis te downloaden is. Daarin is ook te lezen hoe de gebrekkige privacy slachtoffers ervan weerhoudt om aangifte te doen. De vraag is of vermelding van een volledige naam nog een beletsel is.

Hoe het mis kan gaan:

“Een vrouw liep langs een speeltuintje met kinderen en zag dat een man zat te masturberen op een bankje. Nadat ze aangifte had gedaan, reed er vaak een auto langs haar huis – de auto die eerder bij de speelplek stond. Ze was bang dat de verdachte haar zou komen opzoeken.”

En dat gebeurt vaker, zeker bij aangiften van mishandeling door (jonge)mannen die vochten. De Volkskrant was zo alert om de wetswijziging per 1 juli 2025 op te merken en wijdde er een flink artikel aan.

Wijsheid van Vauhini Vara

In de Groene had Jan Postma een interview met Vauhini Vara die de relatie onderzoekt tussen mens en de haar bedienende machine, zoals een zoekdienst of AI. Met Ghosts schreef ze in al in 2021 het eerste diepgravende essay over gebruik van (Chat)GPT. In haar nieuwe boek Searches beschrijft Vauhini Vara hoe AI-modellen eerst onze taal stelen en die vervolgens in een aangepaste vorm aan ons presenteren, met een vervreemdend effect tot gevolg. (Het klinkt precies als m’n grootste vrees voor taal genererende AI, maar ik moet het boek nog lezen.)

“In Searches zoekt Vara opnieuw de interactie met een taalmodel. Ditmaal voert ze gaandeweg de hoofdstukken die ze schrijft aan de machine en vraagt ze om een reactie. Het biedt een bevreemdende ervaring: de gegenereerde tekst lijkt inhoudelijk in te gaan op wat ze heeft geschreven, maar als lezer heb je op hetzelfde moment de neiging om weerstand te bieden. Waar je haar eigen teksten instinctief als betekenisvol leest en begrijpt, lijkt het soms onmogelijk om datzelfde te doen met de gegenereerde passages…uiteindelijk draait het hier om het verschil tussen taal die is gegenereerd door machines die het eigendom zijn van grote bedrijven, en taal die door mensen is gemaakt.”

Privacy First en de banken van Orwell

Waar Bits of Freedom in haar uitingen minder extreem wordt en daarmee geloofwaardiger, ziet Privacy First er geen been in om steeds termen als ‘Orwelliaans’ te gebruiken. Zou Privacy First wel weten wie George Orwell was, denk ik dan?

Maar goed, PF maakt werk van een inhoudelijk relevante kwestie, de privacy- en discriminatiegevoeligheid van de witwasbestrijding door banken en andere bedrijven. PF heeft dus deelgenomen aan een openbare consultatie van de European Banking Authority (EBA) over implementatieregels (‘RTS’) voor ondernemingen die de wettelijke plicht hebben om witwassen en terrorismefinanciering te detecteren en te melden aan nationale overheden. PF is zeer bezorgd over deze privatisering van overheidstaken.

In het geding is het Europese AML/CFT-systeem. PF dringt er in haar consultatiereactie bij de EBA, de Anti-Money Laundering Authority (AMLA) en de Europese Commissie op aan om via de implementatieregels op basis van de Anti-Money Laundering Regulation (AMLR) de schadelijke effecten van het AML/CFT-systeem te beperken.