Uitkleden met AI door Grok verboden

Chatbot Grok van Elon Musks X mag zijn ‘uitkleedfunctie’ niet meer aanbieden in Nederland, zo heeft de rechter in Amsterdam donderdag gevonnist in kort geding aangespannen door Offlimits en Fonds Slachtofferhulp.

Grok biedt de 125 miljoen dagelijkse gebruikers aan om foto’s te delen waarop de personen vervolgens worden uitgekleed, ook minderjarigen. In de periode tussen 29 december en 8 januari genereerde Grok volgens het Center for Countering Digital Hate ongeveer drie miljoen van die AI-afbeeldingen, waaronder ruim 20.000 van minderjarigen.

X moet aan het expertisecentrum Offlimits, dat het kort geding aanspande, een dwangsom van 100.000 euro per dag betalen zolang het platform niet aan het verbod van de rechter voldoet. Er is een maximum van 10 miljoen euro.

Offlimits werd bijgestaan door Boekx, X door Houthoff

Deepfakes Duitse ster door ex verspreid

In  Der Spiegel zegt de Duitse tv-ster Collien Fernandes dat haar ex-man, presentator en acteur Christian Ulmen achter de verspreiding van deepfakes van haar zit. Straatprotesten zijn het gevolg, gericht op maatregelen tegen digitaal seksueel geweld zoals het strafbaar stellen van het maken van AI-gegenereerde beelden. Daartoe roepen ook 250 prominente vrouwen op in een petitie.

Op verschillende platformen bleek Fernandes’ beeltenis voor de productie van AI-porno te worden gebruikt. In 2024 maakte Fernandes, die bekend werd als presentator bij muziekzender Viva en later actrice in Duitse films en series, een documentaire over haar ervaringen en over haar zoektocht naar de daders.

Lekke bal Ajax

De ethisch hacker die kwetsbaarheden bij Ajax heeft blootgelegd, Abdoul Rasnab, heeft op LinkedIn zijn overwegingen gedeeld. In een nieuwe post raadt hij mensen aan de Ajax-app (tijdelijk) te verwijderen.

Daniël Verlaan van RTL Nieuws meldde eerder dat, eenmaal in de systemen, stadionverboden verwijderd en seizoenskaarten gestolen konden worden. Volgens Ajax zijn er 100 e-mailadressen en 20 stadionverboden ingezien. Rasnab ontdekte in 2017 al een datalek bij Ajax, maar dat werd door de voetbalclub onder de pet gehouden, bevestigt BNR Nieuwsradio.

Odido-lek in het kwadraat door Chinese hack

Ik blijf erover zeuren: we blijven penny wise en pound foolish als het over privacybescherming en datalekken gaat. Neem dit artikel van Huib Modderkolk in de Volkskrant op grond van een ontdekking van Rapid7 Labs. Waarvan overigens het risico al in december was besproken door Ericsson na melding van een hack.

Nu is duidelijk dat een Chinese hackgroep zich met een zogenaamde BPFDoor stilletjes een positie verschaft diep in de infrastructuur van telecomnetwerken om langdurig belgegevens te verzamelen, maar ook bellers te lokaliseren en doelwitten te verzamelen die belangrijk zijn voor de mondiale politiek van China.

De Chinezen dringen netwerken eerst binnen via kwetsbaarheden in randapparatuur zoals Fortinet-firewalls en Ivanti VPN's, en plaatsen vervolgens de achterdeur waarmee langdurig passief tappen mogelijk wordt zonder dat dit wordt opgemerkt.

Als voorbeeld wordt een hack bij het Zuid-Koreaanse SK Telecom in verband gebracht met de aanwezigheid van een BPFDoor. Dat lek werd al in april 2025 bekend, en beboet door Zuid-Korea. Zijn Nederlandse telecombedrijven gehackt? Wie zal het zeggen, altijd handig om precies te weten met wie in de Verenigde Staten de topmensen van ASML bellen als het om boycots van China gaat, bijvoorbeeld. En iets met Nexperia, help me even…

Onderzoek AP en RDI naar Odido lek

De AP laat weten een formeel onderzoek te beginnen naar de bewaartermijnen van klantgegevens bij Odido. Dat was in feite al begonnen: “In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens.”

De AP zegt De AP “honderden klachten” te hebben ontvangen van mensen die aangaven dat hun gegevens gelekt waren, terwijl ze al lange tijd geen klant bij Odido meer zijn.

De Rijksinspectie Digitale Infrastructuur (RDI) gaat daarnaast, in samenwerking met de AP, onderzoeken of de beveiliging bij Odido aan de vereisten voldeed. Ook dat onderzoek begon al informeel: “Na het incident heeft?Odido?de RDI geïnformeerd dat ze zijn getroffen door een?cyberaanval. De RDI is daarop direct gestart met het verzamelen van de feiten en omstandigheden waaronder dit incident heeft plaatsgevonden….

Na deze eerste fase waarin?Odido?de ruimte heeft gekregen de acute problemen te adresseren, starten de toezichthouders met een onderzoek op basis van de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet (Tw) en de Regeling veiligheid en integriteit telecommunicatie (Rvit).” 

Handhaving van die laatste twee wetten is aan de RDI. Een eventuele veroordeling van Odido kan grondstof leveren voor massaclaims.

ING mocht data verdachte klant boekstaven

Het was ING toegestaan om voor de bewaking de data van een klant te achterhalen en te gebruiken. Een eis voor het kapittelen van ING hiervoor is afgewezen door de voorzieningenrechter in Amsterdam op 19 maart 2023

De eiser was een juridisch adviseur voor een zakelijke klant en verzocht begin 2025 per mail aan ING om maar even betalingen van 3,9 miljoen euro uit te voeren vanaf een ING-rekening van zijn cliënt waaronder bijna 1,5 miljoen euro aan zijn eigen Juridisch Adviesbureau. ING zette de rem erop want het ging om een niet-bestaand IBAN nummer. In februari 2025 heeft eiser in reactie daarop een ander IBAN-nummer verstrekt en gezegd dat dat er meer batches zullen volgen: “Wij starten met een zakelijke klant van ons met wie wij een uitstekende relatie onderhouden, en daarna ben ik zelf aan de beurt.”

Dank je de koekoek, dacht ING, en begon een onderzoek naar eiser in verband met (pogingen tot) oplichting en misleiding van ING-klanten, omdat zij niet kon achterhalen of eiser als gemachtigde gekwalificeerd was voor genoemde ING-klanten en omdat er geen toereikend banksaldo was.

Er volgde een heel dispuut waarin onder meer is gezegd dat “de betrokken bankmedewerker te laag in de organisatie is om van het bestaan daarvan [Iban] op de hoogte te zijn.” Er volgde blokkering door ING.

In de zaak draait het onder meer om bezwaar tegen het stiekem gebruik van burgerservicenummers door de bank, maar er wordt niet tegemoetgekomen aan de vorderingen tot betaling van een schadevergoeding en dwangsommen. De eiser mag ook 7.600 euro proceskosten aftikken.

Toegang tot BRP voor banken

Als je deze uitspraak inzake ING leest, denk je misschien dat het goed is dat banken toegang krijgen tot het nationaal persoonsregister (BRP) met BSN-nummers om goed te kunnen controleren. Dit is een verzoek van de NVB en het ministerie van Financiën gaat erin mee.

Maar Simon Lelieveldt vindt dat geen goed idee en strijdt ertegen uit oogpunt van privacy. “Dat vergt een beter en fundamenteler debat dan zomaar even deze Internet-consultatie en Algemene Maatregel van Bestuur…Volgens HRIF.EU past dit voorstel in een langere lijn van functieverruiming van het BSN en verschuiving van publieke controle naar private risicosturing. Allerlei bedrijven worden ten onrechte in de rol van opsporings-officier gedrukt.”

Op de consultatie zijn reactie van de NVB en Privacy First te lezen, benevens van tientallen personen die hun vrije meningsuiting verbergen achter “anoniem”.

Lek bij Financiën

“De ICT-beveiliging van het ministerie van Financiën heeft donderdag 19 maart ongeautoriseerde toegang gesignaleerd tot systemen voor een aantal primaire processen op het beleidsdepartement.

Naar aanleiding van de signalering is direct onderzoek gestart en is per vandaag de toegang tot deze systemen geblokkeerd. Dit heeft effect op de werkzaamheden van een deel van de medewerkers.

De dienstverlening aan burgers en bedrijven door Belastingdienst, Douane en Toeslagen is niet geraakt. Wij vullen dit bericht aan als we meer informatie kunnen delen”, meldt het ministerie. Maar na vijf dagen nog nix aanvulling te zien.

Wanneer pseudoniem, wanneer anoniem?

In een blog op Timelex van Magdalena Kogut en Marta Wilinska en in een bijdrage bij Pont door Anne Huting van Kienhuis Legal worden de gevolgen geschetst van een uitspraak van het Hof van Justitie van september 2025 wanneer data zodanig zijn gepseudonimiseerd dat gegevens niet meer aan te merken zijn als persoonsgegevens.

Anonimisering betekent dat gegevens hoe dan ook niet meer tot personen te herleiden zijn, dus niet meer onder de AVG vallen. Zolang gegevens in principe wel terug te leiden zijn spreken we van ‘pseudonimisering’.

Het arrest betreft een voorlopig besluit inzake de Single Resolution Board (SRB, Europese bankenautoriteit) voor het toekennen van een schadevergoeding aan voormalige aandeelhouders van een Spaanse bank. De SRB vroeg belanghebbenden  een vragenformulier in te vullen en pseudonimiseerde vervolgens de formulieren door de namen van de personen te vervangen door codes. Verschillende betrokkenen hebben niettemin een klacht ingediend vanwege het doorsturen van de gegevens naar derden, in dit geval Deloitte.

De vraag: was identificatie van de betrokkenen voor de ontvangers mogelijk met redelijke middelen? Dat was niet het geval: “In de SRB-zaak bevestigde het Hof van Justitie van de Europese Unie het relatieve begrip van het concept persoonsgegevens en benadrukte het dat dit afhankelijk is van de specifieke context en, in het bijzonder, van de middelen waarover de ontvanger beschikt om de betrokkenen opnieuw te identificeren. Als kan worden aangetoond dat de ontvanger niet over dergelijke middelen beschikt, zijn de gegevens voor die ontvanger dus geen persoonsgegevens.” Maar wel had de SRB als verantwoordelijke voor verwerking van persoonsgegevens de betrokken mensen moeten inlichten over doorgifte van de data aan derden.

Privacycongres in november 2026

Op vrijdag 6 november 2026 organiseert de Leiden Law Academy de 17e editie (sinds 2009) van het Nationale Privacy Congres: NPC 2026. Aan bod komen onderwerpen die het afgelopen jaar opvallend waren en voor de komende jaren relevant zijn. Daarnaast gaan de sprekers en de deelnemers van het NPC 2026 de diepte in op ‘moeilijke thema’s’.

Sprekers zijn onder anderen hoogleraar Gerrit-Jan Zwenne, Laura Poolman van Kennedy Van der Laan, Quinten Kroes van Brinkhof en Ina Brouwer, zelfstandig advocaat voor onder meer de slachtoffers van bangalijsten.