Krankzinnige actie tegen AI-inzet

De Belgische Vincent Van Quickenborne werd in Nederland bekend als eerste digitaal onderlegde politicus, met een eigen weblog 25 jaar terug. Als staatssecretaris voor Administratieve Vereenvoudiging in de federale regering Verhofstadt II bracht hij die digitale kennis in praktijk.

De naam Vincent Van Quickenborne duikt nu op in een digitale kwestie waarbij hij zich volgens Trouw juist verzet tegen de digitale ‘vooruitgang’, met een beroep op de privacy. Het betreft een extreem geval van filibusteren: onafgebroken spreken in het parlement om een wetsvoorstel tegen te houden. Vijf vergaderingen lang probeerde Vincent de aanname van een wetsvoorstel te frustreren, tijdens de laatste door bijna 24 uur onafgebroken de microfoon in gebruik te houden. (Op de foto tijdens zijn marathon, yoghurt etend.)

Waar maakte hij zich dan zo druk om? De Belgen willen wettelijke goedkeuring voor een staande praktijk waarbij AI wordt ingezet om verdachte transacties te detecteren in bankdata van burgers. Volgens Van Quickenborne schaadt dit de privacy te ernstig omdat iedereen als potentiële fraudeur wordt beschouwd.

Maar ja, zo kun je Sherlock Homes wel verbieden om met een vergrootglas te werken, want hij speurt potentieel naar vingerafdrukken van elke burger die de moord begaan kan hebben. De vraag is of mensen er de ‘false positives’ van de door AI uitgespuugde verdenkingen nog afdoende uit kunnen filteren, toch?

AIVD aan ‘onze kant’ tegen chatcontrol

Afgelopen week stuurden minister van Justitie Foort van Oosten, minister van BZK Frank Rijkaart en staatssecretaris voor Digitale Zaken Eddie van Marum weer een brief (.docx ) over de CSAM-verordening, betere bekend als “chatcontrol”, naar de Tweede Kamer.

Het Deense voorstel is aangenomen: aanbieders van digitale diensten, zoals chats, zijn niet langer verplicht mee te werken, maar chatdiensten kunnen het scannen van berichtenverkeer voor opsporing vrijwillig toelaten. Boeiende kritiek van de AIVD daarop:

"De cybersecurityrisico’s van het voorstel moeten worden bezien vanuit het perspectief van een hacker, die misbruik zal proberen te maken van de functionaliteit waarmee CSAM gedetecteerd moet worden. Ondanks dat er cybersecurityeisen worden gesteld aan de technologieën die de providers gebruiken om CSAM te detecteren, blijft er nog altijd sprake van detectietechnologieën die voor hun functionaliteit toegang nodig hebben tot persoonlijke data op mobiele devices."

Dit maakt het een interessant potentieel doelwit voor kwaadwillende boeven en staten als China en Rusland. En niemand krijgt er dan goed zicht op. “Dit resulteert in een situatie waarvan de AIVD de risico's voor de digitale weerbaarheid nog altijd als zeer hoog inschat.”

Dat staat tegenover de opvatting van kp-bestrijders Offlimits en Autoriteit online Kinderpornografisch Materiaal (ATKM) van Arda Gerkens. Zij beschouwen vrijwillige detectie, naast de huidige praktijk, als een “morele verplichting voor bedrijven om de veiligheid van hun omgeving te waarborgen”. ATKM vindt “Europese wetgeving om de verspreiding van online kinderpornografisch materiaal tegen te gaan onontbeerlijk” en is voorstander van vrijwillige detectie.

Wat nu weer uit Brussel? De Dataverordening

Dachten we net dat de regelnevenindustrie die Europese Commissie heet een beetje afgeremd zou worden, is er weer iets nieuws: de Dataverordening of Data Act. Die in Nederland per 21 november 2025 in werking trad met de Uitvoeringswet dataverordening.

Het ding kreeg nauwelijks aandacht, maar is best boeiend. De Data Act geeft gebruikers meer rechten op de data die ze zelf produceren, onder meer bij het overstappen tussen diensten. Bedrijven moeten data verstrekken aan hun klanten en aan concurrenten bij het overstappen.

Het behelst vooral regels voor toegang tot en gebruik van data die voortkomen uit verbonden apparaten (IoT) en bijbehorende diensten, zoals een thermostaat, auto, medische hulpstukken. De wet ziet ook toe op data-uitwisseling tussen bedrijven en overheden en wisseling van clouddiensten.

Maar van die ‘portabiliteit’ komt natuurlijk inzake de AVG al geen snars terecht door technische barrières en gebrek aan handhaving, dus dat wordt best moeilijk met die Data Act. Toch hoop ik dat het bijdraagt aan een revolutie voor de komende jaren. Ja, beetje ego-streling, want ik schreef in 2021 een proefschrift “Baas over eigen Data”.

De AP meldt dat ze toezicht op de Dataverordening gaat houden, samen met de ACM. Die heeft een leidraad opgesteld, nog in concept. De AP geeft een mooi voorbeeld: “Een autobezitter krijgt bijvoorbeeld recht op toegang tot de data die de auto verzamelt. Is er een reparatie nodig, dan kan de bezitter de data delen met een garage naar keuze. De bezitter hoeft dus niet meer per se naar de merkdealer te gaan.”

Zou het gaan vliegen in de praktijk?

Handeltje in kadasterdata

Immers, in de praktijk menen organisaties dat ze de baas zijn over data van consumenten en burgers. Daar is geld mee te verdienen en verzet ertegen is ook een Big Money zaak geworden met massaclaims en jacht-investeerders.

Wie denkt er soms niet: mag dat zomaar? Voor journalisten moet dit een sein zijn om het antwoord te zoeken, en niet via ChatGPT. Consumentenrubriek Radar van AvroTros vroeg zich af: Mag een website jouw woning- en hypotheekgegevens zomaar verkopen?

Wie een adres invoert op websites zoals KadastraleKaart.com krijgt tegen betaling te zien wie de eigenaar is van een woning en welke hypotheek erop rust. Voor makelaars en woningzoekers is dat handig. Maar mag dat?

In Nederland vallen kadastrale gegevens onder de openbare registers, in dit geval van het Kadaster. Dat betekent dat iedereen in principe mag opvragen wie eigenaar is van een perceel en welke rechten aan dat stuk grond verbonden zijn. Ook bij het Kadaster moet je betalen.

Andere partijen dan het Kadaster zelf mogen deze gegevens afnemen, maar moeten zich houden aan de Kadasterwet én aan de privacyregels. Gegevens zoals adressen laten afschermen is voor huiseigenaren alleen mogelijk in de meest uitzonderlijke situaties, zoals bij een bedreiging.

Consumenten kunnen bij commerciële websites een verwijderverzoek indienen. Websites mogen om een vorm van verificatie vragen, maar moeten dat zo beperkt mogelijk doen. KadastraleKaart.com zegt dat er slechts twee verwijderverzoeken per maand binnenkomen, en die worden per mail afgehandeld.

“Zodra gegevens openbaar zijn, verlies je controle over het gebruik,” zegt woordvoerder Herbert Brinkman van de AP. “Daarom pleit de AP al langer voor beperking van toegang tot belanghebbenden en voor het beperken van grootschalige verstrekking aan commerciële partijen.”

Het kabinet werkt aan een wijziging van het Kadasterbesluit, zodat zoeken op naam alleen nog mag voor beroepsgroepen die dit voor hun werk nodig hebben. Dat betekent dat commerciële doorverkoop in de toekomst zal worden ingeperkt.

Alle WhatsApp-nummers gelekt

Ruim 3,5 miljard telefoonnummers van Whatsapp-gebruikers, sommige met profielfoto, status of publieke encryptiesleutel, werden buitgemaakt. De boeven? Onderzoekers van Universiteit Wenen. Meta heeft de kwetsbaarheid inmiddels verholpen. Zodat wij denken dat het veilig is.

“Onze bevindingen tonen niet alleen de hardnekkigheid, maar ook de ernst van deze kwetsbaarheid aan. We tonen verder aan dat bijna de helft van de telefoonnummers die in het Facebook-datalek van 2021 zijn vrijgegeven, nog steeds actief zijn op WhatsApp, wat de blijvende risico's van dergelijke blootstellingen onderstreept.

Bovendien konden we een telling van WhatsApp-gebruikers uitvoeren, wat een glimp biedt van de macroscopische inzichten die een grote berichtendienst kan genereren, ook al zijn de berichten zelf end-to-end versleuteld. Aan de hand van de verzamelde gegevens hebben we ook ontdekt dat bepaalde X25519-sleutels op verschillende apparaten en telefoonnummers worden hergebruikt, wat wijst op onveilige (aangepaste) implementaties of frauduleuze activiteiten.”

Nationaal Archief was een beetje stiekem

In een analyse van Jos Verlaan voor NRC komt naar voren dat in november 2024 het leek of de Autoriteit Persoonsgegevens het Nationaal Archief overviel met een dringende waarschuwing de geplande digitale publicatie van de strafdossiers uit de Tweede Wereldoorlog (CABR-archief) op te schorten. Ambtenaren op het ministerie van OCW waren verrast, maar hadden het ook aan zichzelf te wijten, blijkt uit de reconstructie.

Is hij bereid de wet te overtreden? Dat vraagt Algemene Rijksarchivaris en directeur van het Nationaal Archief, Afelonne Doek aan de kersverse minister Eppo Bruins (NSC) van OCW, in juli 2024. Is hij bereid de privacywetgeving te overtreden?

Voor het project Oorlog voor de Rechter was 25 miljoen euro vrijgemaakt, en het moest doorgaan. Maar het was technisch niet mogelijk om die nog levende personen handmatig uit de archieven te filteren. Dus ging het feest niet door

Maar de minister (ik weet niet welke versie van de opvolger van Bruins) maakt “reparatiewetgeving”. De Raad van State is akkoord met de voorwaarden voor online publicatie, begin 2026 buigt de Tweede Kamer zich erover.

Controle ziekenhuizen kan niet meer?

AccountantWeek meldt dat het opvragen van gegevens door de accountant uit een patiëntendossier, om controles bij ziekenhuizen te kunnen uitvoeren, met de nieuwe AVG-regels niet meer kan. Dat is een gevolg van wetsvoorstel Verzamelwet gegevensbescherming dat bij de Eerste Kamer ligt.

De vereiste pseudonimisering betekent dat er sprake is van het muteren van de originele informatie, waardoor deze niet meer te gebruiken valt als controle-informatie. Accountantsbond NBA heeft grote zorgen dat - als het wetsvoorstel in de huidige vorm wordt aangenomen - de financiële verantwoordingen van zorginstellingen door het wegvallen van controlemogelijkheden niet meer van een goedkeurende accountantsverklaring kunnen worden voorzien.