Autoriteit Persoonsgegevens gaat databeveiliging in de zorg controleren

Geplaatst op 3 februari 2026 door Ellen Timmer

De Autoriteit Persoonsgegevens (AP) heeft laten weten dat gegevensbescherming in de zorgsector zal worden gecontroleerd. Daar is alle reden voor, allereerst omdat de zorgsector op grond van allerlei regels en vanwege de aard van hun activiteiten excessief veel persoonsgegevens verwerkt en ten tweede omdat de sector op nummer 1 staat als het gaat om datalekken.

Er is sprake geweest van zeer ernstige datalekken waarbij zeer veel Nederlanders betrokken zijn geweest, zoals de datalekken bij de GGD (in coronatijd) en het recente laboratoriumlek. De AP schrijft onder meer:

Veel datalekken in de zorg
De AP heeft in 2024 de meeste datalekmeldingen ontvangen van organisaties in de sectoren gezondheid en welzijn. Het gaat om ruim 6800 meldingen. De zorgsector blijkt ook een populair doelwit voor cybercriminelen. Deze criminelen dreigen vaak met het verkopen of publiceren van de gevoelige informatie als er geen losgeld wordt betaald. De gevolgen van zo’n hack kunnen groot zijn, zoals eerder dit jaar te zien was bij het laboratorium van Clinical Diagnostics. De AP is een onderzoek gestart naar de hack bij het laboratorium dat gegevens verwerkte voor bevolkingsonderzoeken.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

NJCM bekritiseert ontbreken wettelijke grondslag voor geautomatiseerde besluitvorming in het nieuwe consumentenkredietrecht

Geplaatst op 2 februari 2026 door Ellen Timmer

Vandaag sluit de internetconsultatie over het Implementatiebesluit herziene richtlijn consumentenkrediet.

Aan die consultatie is door het Nederlands Juristen Comité voor de Mensenrechten (NJCM) deelgenomen met een interessante reactie over het onderdeel geautomatiseerde besluitvorming in de nieuwe consumentenkredietregels. De Werkgroep Mensenrechten en Technologie van het NJCM heeft ontdekt dat niet wordt voldaan aan de eisen die artikel 22 AVG aan geautomatiseerde besluitvorming stelt, nu de wettelijke grondslag ontbreekt.

Deze constatering is niet alleen relevant voor consumentenkrediet. Ook op andere terreinen van het financiële recht, inclusief de privatisering van de misdaadbestrijding (‘witwasbestrijding’) vindt geautomatiseerde besluitvorming plaats en is de vraag of dit in overeenstemming is met artikel 22 AVG.

In de aankondiging van NJCM staat:

NJCM werkgroep Mensenrechten en Technologie waarschuwt voor de risico’s verbonden aan geautomatiseerde besluitvorming bij aanbieding van consumentenkrediet

Geautomatiseerde besluitvorming (‘ADM’) en profilering van mensen (artikel 4 lid 4 AVG) speelt een toenemende rol in de samenleving en levert grote spanningen op met de mensenrechten. Grote ondernemingen, zoals financiële instellingen (FI’s), maken op steeds grotere schaal gebruik van geautomatiseerde besluitvorming en profilering, onder meer bij personalisering van prijzen, kredietwaardigheidsbeoordeling, bestrijding van witwassen en terrorismefinanciering (AML/CFT) en naleving van sanctieregelgeving. De persoonsgegevens waarvan deze bedrijven gebruik maken worden soms verworven via datahandelaren die de gegevens op onrechtmatige wijze hebben gekregen. Een voorbeeld daarvan is datahandelaar Experian, die daar in oktober 2025 een boete van 2,7 miljoen euro voor kreeg.

Voorts zijn ADM en profilering van belang voor consumentenkrediet omdat de regels voor een zeer grote groep ondernemingen gelden, waarvan velen geen financiële instelling zijn. In de onderhavige regelgeving wordt de definitie van het begrip krediet sterk verruimd en omvat zeer veel situaties waarin de schuldenaar niet onmiddellijk tot betaling over gaat. Het is ons opgevallen dat in de toelichting op het ontwerpbesluit en in de toelichting op het eerder geconsulteerde wetsvoorstel niet wordt ingegaan op ADM, wat ons buitengewoon heeft verrast. ADM is een gevoelige activiteit omdat daarmee wordt geprofileerd, immers aan de hand van financiële en andere persoonsgegevens wordt het gedrag van een persoon geanalyseerd en voorspeld. De AVG noemt expliciet ‘economische situatie’ in de definitie van profilering. Dat is exact wat er gebeurt bij kredietwaardigheidsbeoordelingen.

In deze consultatiereactie nemen wij het standpunt in dat geautomatiseerde besluitvorming niet is toegestaan in de Nederlandse consumentenkredietregelgeving omdat de vereiste wettelijke grondslag ontbreekt in de Wet op het financieel toezicht dan wel in andere regelgeving. Subsidiair – voor zover er enige wettelijke grondslag zou zijn (die wij niet hebben aangetroffen) – nemen we het standpunt in dat er gelet op de mensenrechtelijke risico’s verbonden aan ADM en profilering onvoldoende waarborgen zijn getroffen, zodat ook om die reden niet aan de vereisten van artikel 22 AVG wordt voldaan.

De complete consultatiereactie is hier te vinden.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

AFM gaat meer aandacht aan cyberweerbaarheid en AI besteden en schrijft mee aan de Europese antiwitwasregels

Geplaatst op 1 februari 2026 door Ellen Timmer

De Autoriteit Financiële Markten (AFM) meldde in het bericht over hun agenda voor 2026 dat er intensiever toezicht zal worden gehouden op digitale weerbaarheid en de verantwoorde inzet van AI. Daarnaast wordt de aanpak van financiële criminaliteit versterkt, met speciale aandacht voor beleggingsfraude en het tegengaan van witwassen.

Over de digitale thema’s schrijft de AFM:

AI: verantwoord inzetten
Ondoorzichtige algoritmes, bias en misleidende informatie brengen risico’s met zich mee voor consumenten en markten. Daarom bouwt de AFM aan uitgebreider AI-toezicht. Het doel is AI-gebruik beter uitlegbaar en controleerbaar te maken en klanten te beschermen tegen ongewenste effecten. De AFM vraagt instellingen om hun AI-toepassingen in kaart te brengen, modelrisicobeheer en datakwaliteit te versterken, beslislogica vast te leggen en incidenten actief te melden.

Digitale weerbaarheid: DORA in de praktijk
Afhankelijkheid van enkele grote IT-leveranciers en cyberdreigingen kunnen cruciale processen in de financiële sector verstoren. Daarom intensiveert de AFM het toezicht op de Digital Operational Resilience Act (DORA), met extra aandacht voor incidentmanagement, uitbesteding en het testen van digitale weerbaarheid. Dit verkleint de kans op uitval en vergroot de continuïteit van de financiële infrastructuur.

In het deel over de geprivatiseerde criminaliteitsbestrijding (‘witwasbestrijding’) meldt de AFM dat zij in het kader van de nieuwe Europese antiwitwasautoriteit (AMLA) bezig zijn met de voorbereiding van de regels die voor alle witwasbestrijdingsplichtigen in de EU zullen gaan gelden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , , , , , , | Plaats een reactie

Overheid moet inzage in bestrijdingsmiddelen bieden

Geplaatst op 31 januari 2026 door Ellen Timmer

Dat blijkt uit een bericht op Binnenlands Bestuur, dat begint met:

Omwonenden moeten de mogelijkheid hebben om op te vragen welke bestrijdingsmiddelen agrarische bedrijven in hun omgeving hebben gebruikt.
Dit eiste de Vereniging Meten=Weten. De rechtbank Noord-Nederland heeft vereniging daarin gelijk gegeven, na een slepende zaak tegen de minister van Landbouw, Visserij, Voedselzekerheid en Natuur. Binnen twaalf weken moet die een nieuw besluit nemen.

Ook Trouw schreef er over. Het gaat over de uitspraak van de rechtbank Noord-Nederland van 12 januari 2026, ECLI:NL:RBNNE:2026:130.

Door de VVD zijn kamervragen gesteld, onder meer:

6. Hoe voorkomt u dat individuele boeren worden geconfronteerd met een opeenstapeling van verzoeken en discussies met afzonderlijke omwonenden over hun dagelijkse bedrijfsvoering?
7. Op welke wijze kan volgens u transparantie worden ingevuld, zonder dat dit leidt tot onwerkbare situaties voor agrariërs of tot een verdere verharding van de relatie tussen boer en omgeving?
8. Wat is volgens u de verwachte impact van deze uitspraak op de agrarische sector, in het bijzonder voor telers die werken met toegelaten gewasbeschermingsmiddelen?
9. Deelt u de zorg dat het vrijgeven van spuitgegevens aan leken kan leiden tot onbegrip, onrust of onterechte conclusies over de veiligheid van middelen die door het College voor de toelating van gewasbeschermingsmiddelen en biociden (Ctgb) zijn toegelaten?
10. Hoe gaat u ervoor zorgen dat de informatie die op verzoek van omwonenden wordt verstrekt begrijpelijk, duidbaar en is voorzien van context, zodat deze niet leidt tot misinterpretatie of onrust?


Geplaatst in Grondrechten | Tags: | Plaats een reactie

StopID om de geldigheid van hun reisdocumenten te kunnen stoppen

Geplaatst op 30 januari 2026 door Ellen Timmer

De Rijksdienst voor Identiteitsgegevens (RID) maakte het project StopID bekend [*]. Dit maakt het voor iedereen mogelijk om 24 uur per dag de geldigheid van hun reisdocumenten te kunnen stoppen:

Hoe werkt StopID?
De gebruiker logt in op StopID en ziet een overzicht van zijn reisdocumenten. Hier kiest de gebruiker het document, doorloopt een aantal vragen en bevestigt de melding. Na bevestiging en verzending van deze melding wordt de geldigheid van het desbetreffende document direct gestopt en verwerkt in (internationale) systemen. Dit is onomkeerbaar en zorgt ervoor dat het document niet meer gebruikt kan worden voor identificatie of andere doeleinden.
Na introductie van StopID blijft het voor burgers mogelijk om een melding via de eigen gemeente te doen.

Dat klinkt mooi, maar er staat dat je moet inloggen met je DigiD. Wat doe je als je ook je smartphone (met de DigiD app) ook kwijt bent?

En hoe zit het met andere identificerende hardware of gegevens die je kwijt bent? Zoals je rijbewijs, smartphone (met alle essentiële apps zoals DigiD en bank), bsn, geboortedatum en mobiele nummer? Wordt het niet eens tijd voor een veel breder meldpunt?

 

 

[*] De media besteedden er aandacht aan: security.nl, privacynieuws. In 2024 is er een consultatie over gehouden, lees de aankondiging.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

De toegang van EOM en OLAF tot Europese databases met financiële gegevens

Geplaatst op 29 januari 2026 door Ellen Timmer

De EU heeft een groeiend aantal databases waarin gegevens van inwoners en organisaties binnen de EU zijn opgenomen.
In een recent overzicht (fiche) wordt ingegaan op het voorstel [1] om het Europees Openbaar Ministerie (EOM) en het Europees Bureau voor fraudebestrijding (OLAF) toegang te geven tot btw-gegevens ten behoeve van de misdaadbestrijding. Het EOM heeft al toegang tot vele databanken [2] en ook de OLAF kan bij veel informatie [3]. In het voorstel krijgen EOM en OLAF nieuwe toegang tot gegevens [4].

Persoonsgegevens en andere gevoelige gegevens van belastingplichtigen
In het overzicht wordt aandacht besteed aan het feit dat in de databanken gevoelige informatie over belastingplichtigen zit:

Het kabinet vraagt zich af of de verplichting om gevoelig informatie over belastingplichtigen uit eigen beweging of op verzoek te delen niet te ruim is voor het naar behoren uitvoeren van de taken van het EOM en OLAF. (…) Het kabinet zal zich ervoor inzetten dat er geen overbodige informatie, informatie in een te vroeg stadium met het EOM en OLAF of buiten de sfeer van hun mandaat gedeeld wordt. De voorkeur van het kabinet gaat daarom uit naar het alleen op verzoek delen van informatie met het EOM en OLAF. Daarbij onderstreept het kabinet het belang van de beginselen van dataminimalisatie, opslagbeperking en doelbinding uit artikel 5 van Verordening (EU) nr. 679/2016. (…)

Het kabinet realiseert zich dat het EOM en OLAF hun werkzaamheden, specifiek het onderzoeken van strafbare feiten zoals gedefinieerd in artikel 22 en 25 van de EOM-verordening en het openen en uitvoeren van onderzoeken in overeenstemming met de taken van OLAF, mogelijk beter kunnen uitvoeren wanneer zij gecentraliseerde toegang krijgen tot bepaalde Europese databanken en registers met btw-relevante informatie. Wel spelen hier veel van dezelfde zorgen als bij de informatie-uitwisseling door Eurofisc-werkterreincoördinatoren met het EOM en OLAF. Het is onduidelijk hoe beperkt de gerichte zoekopdrachten op basis van specifieke gegevenscategorieën zijn, wie er precies toegang krijgen en hoe het toezicht door nationale Eurofiscverbindingsambtenaren zal plaatsvinden. Gezien het feit dat in de Europese databanken en registers een grote hoeveelheid gevoelige informatie van belastingplichtigen zit, waarvan het overgrote deel bonafide is, moet hier voorzichtig mee worden omgegaan. Het kabinet zal zich inzetten voor toegang die niet verder gaat dan strikt noodzakelijk is om de werkzaamheden van het EOM en OLAF naar behoren uit te voeren. Daarbij heeft het kabinet oog voor de dataveiligheid.

Er is een passage over de constitutionele toets (pagina 10):

De Commissie erkent in haar voorstel expliciet dat de verwerking van btw-informatie door het EOM en OLAF valt onder het toepassingsbereik van de AVG en dat moet worden voldaan aan de beginselen van het Handvest van de grondrechten van de Europese Unie. In het voorstel worden waarborgen uit de EOM-verordening en de OLAF-verordening uitdrukkelijk genoemd, waaronder onafhankelijk toezicht door de EDPS, beperking van toegang tot geautoriseerd personeel en de verplichting om uitsluitend gerichte zoekopdrachten uit te voeren. Tevens wordt aangegeven dat toegang tot btw-informatie noodzakelijk en evenredig is in het licht van het algemeen Europees belang, te weten een doeltreffende bestrijding van btw-fraude op EU-niveau.

Het kabinet onderschrijft het belang van de bescherming van grondrechten en waardeert dat de Commissie hieraan eveneens aandacht schenkt. Niettemin plaatst het kabinet kanttekeningen bij het voorstel, gezien het feit dat de regeling voorziet in een grootschalige beschikbaarstelling van gevoelige gegevens van belastingplichtigen. Het kabinet vindt het zorgelijk dat de Commissie heeft nagelaten om mogelijke alternatieven voor deze maatregel te overwegen. Een degelijke impact assessment en expliciete analyse van alternatieve scenario’s — zoals het verbeteren van bestaande samenwerkingsprocedures tussen nationale autoriteiten, Eurofisc, het EOM en OLAF ontbreekt. Conform de vereisten uit het Handvest (artikel 52), zou gemotiveerd moeten worden waarom het gekozen instrument noodzakelijk is en waarom minder vergaande alternatieven niet volstaan. Daarnaast is de invulling van de waarborgen, zoals de exacte afbakening van toegang en het toezicht op de gegevensverwerking, nog niet concreet uitgewerkt. Het kabinet zal daarom de Commissie aandringen te motiveren waarom de gekozen route inderdaad de meest passende en evenredige is.

 

Noten:

[1] Het betreft voorstel om Verordening (EU) nr. 904/2010 te wijzigen.

[2] “Het EOM heeft hiervoor toegang tot informatie die is opgeslagen in databanken van rechtshandhavingsinstanties en registers van andere nationale overheidsinstanties onder dezelfde voorwaarden als die welke krachtens het nationale recht van toepassing zijn, en databanken en registers van instellingen, organen en instanties van de EU.

[3] “OLAF heeft voor deze bevoegdheid krachtens de OLAF-Verordening toegang tot alle relevante informatie van de lidstaten afzonderlijk.

[4] “Daarnaast moeten lidstaten het EOM en OLAF gecentraliseerde toegang verlenen tot btw-relevante informatie via de EU IT-systemen voor gerichte zoekopdrachten. Het betreft informatie over a) btw-identificatienummers en intracommunautaire transacties uit het VAT Information Exchange System (VIES), b) relevante inlichtingen over van btw vrijgestelde invoer, met betrekking tot invoer onder de invoerregeling en douaneregeling 42/63 uit het Surveillance-systeem, en c) betalingsinlichtingen uit het CESOP.

 

 

 

Lees de artikelen op deze site over de Europese databases.

Geplaatst in Belastingrecht, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Europees digitaal inlogmiddel en tool voor rechtspersonen | European Business Wallet

Geplaatst op 28 januari 2026 door Ellen Timmer

De EU is bezig met een Europees inlogmiddel voor rechtspersonen en andere entiteiten, dat de naam European Business Wallet heeft gekregen en door de Nederlandse overheid als ‘Europese Business Wallet‘ of ‘Europese portemonnee voor ondernemingen‘, afgekort tot ‘EBW’, wordt aangeduid. Die aanduidingen geven niet goed aan wat het nu eigenlijk is.

In een overzicht (fiche) over de wallet dat door de Nederlandse overheid werd bekend gemaakt, wordt beschreven wat men voor ogen heeft. Het moet functioneren als inlogmiddel, maar ook gebruikt worden voor veilige communicatie en voor het bewijs van hoedanigheden (zoals vertegenwoordigingsbevoegdheid, het beschikken over een vergunning) [*]. Hoewel men denkt dat het leven er eenvoudiger en goedkoper van kan worden (dat wordt altijd geroepen bij digitalisering), lijkt me het een dure klus om dit te goed te maken.

 

 

[*] “Een EBW is een digitale oplossing waarmee de eigenaar van een EBW (een bedrijf, organisatie of publieke instantie) veilig bedrijfsgegevens en andere informatie kan opslaan, beheren en delen. Zo kunnen bijvoorbeeld elektronische attesteringen van attributen (een digitaal bewijs van bijvoorbeeld een vergunning) gedeeld worden, machtigingen worden uitgegeven en via elektronische aangetekende bezorgdiensten berichten en data veilig en betrouwbaar worden verstuurd en ontvangen. In feite is een EBW een combinatie van een digitale kluis voor organisaties met een software as a service (SaaS) functie, waarbinnen zij veilig informatie kunnen opslaan en deze, waar nodig, gericht en beveiligd kunnen delen met andere organisaties. EBW’s moeten aan vereiste basisfuncties voldoen, waaronder het veilig beheren en delen van  elektronische attesteringen en bedrijfsgegevens, het ondersteunen van beveiligde communicatie met andere wallets en vertrouwende partijen, het ondertekenen en valideren met gekwalificeerde elektronische middelen en het beheren van eigen gebruikersautorisaties en transactiegeschiedenis.

 

Geplaatst in Bestuur en toezicht bij rechtspersonen, Europa, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce, Rechtspersonenrecht | Tags: , , , , , | Plaats een reactie

Betalingsverkeer: andere amendementen, moties en stemming over het hele wetsvoorstel

Geplaatst op 27 januari 2026 door Ellen Timmer

Andere vandaag aangenomen amendementen inzake het betalingsverkeer (zie de pagina stemmingen), die voor burgers belangrijk zijn:

Moties
Verder zijn er diverse moties ingediend, blijkens het stemmingsoverzicht zijn onder meer aangenomen:

Wetsvoorstel
Zo te zien is er over het hele wetsvoorstel Wet chartaal betalingsverkeer nog niet gestemd. Op de pagina over het wetsvoorstel staat bij 27 januari 2026 “Besluit: Stemming uitgesteld.“, waarschijnlijk gaat dat over het wetsvoorstel als geheel.
Het voorstel komt op 29 januari 2026 in de procedurevergadering.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten | Tags: , , , | Plaats een reactie

Aantekeningen rondetafel Solvinity / digitale autonomie

Geplaatst op 27 januari 2026 door Ellen Timmer

Zo meteen ga ik naar de rondetafel over Solvinity en digitale autonomie kijken. Als ik aantekeningen maak, zijn die hier te vinden.

Geplaatst in ICT, privacy, e-commerce | Tags: | Plaats een reactie

Amendement inzake zakelijke basisbankrekening aangenomen door Tweede Kamer

Geplaatst op 27 januari 2026 door Ellen Timmer

Human Rights in Finance (HRIF.EU) liet weten dat het amendement over de zakelijke basisbankrekening is aangenomen door de Tweede Kamer.

Op deze pagina staan de stemmingsuitslagen, onder meer inzake het aangenomen amendement over de zakelijke bankrekening:

Achtergrond
Lees over dit voorstel mijn artikel van 24 januari over de oproep van HRIF.EU om dit amendement te steunen en het bericht met de tekst van het amendement.

 

 

Op deze site staan artikelen over bankrekening krijgen en behouden, de basisbankrekening en de zakelijke bankrekening.

 

 

17:22 uur aangevuld met vindplaats stemming

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , | Plaats een reactie