Volg Software Zaken

De AVG, de Autoriteit Persoonsgegevens, en hoe blijf je bij?

| Pieter t Hoen | Privacy

In dit artikel gaan we kort in op de AVG, AI zaken, en hoe je als bedrijf/privacy officer bij kan blijven door berichtgeving van de Autoriteit Persoonsgegevens (AP) slim te lezen. We geven een tweetal voorbeelden van recente berichten over hoe om te gaan met Open Claw en AI-geletterheid, maar ook hoe je zoals geadviseerd door de AP goed om moet gaan met melden aan slachtoffers. Dit zijn ook voorbeelden die werden aangehaald in ons cursusmateriaal om deze actueel te houden.

De AVG in het (heel) kort

De Algemene Verordening Gegevensbescherming (AVG) geldt in Nederland voor alle organisaties die gestructureerd persoonsgegevens verwerken. Dit zijn alle bedrijven met meer dan 1 medewerker, en bedrijven die digitaal zaken doen.

Binnen de organisatie moet er iemand zijn, vaak privacy officer genoemd, die de AVG verplichtingen in de gaten houdt. Bij grotere organisaties (250 medewerkers of verwerken van bijzondere gegevens) moet er ook een officiële data protection officer of Functionaris voor de Gegevensbescherming (FG) zijn.

Om aan de AVG te voldoen is het mogelijk om gebruik te maken van de oorspronkelijke punten van het 10-stappenplan van de AP zelf (https://softwarezaken.nl/2018/01/gdpr-avg-in-10-stappen/), met een recentere uitwerking (https://softwarezaken.nl/2024/10/avg-compliance-in-2024/). Als het nog sneller moet, zie dan het huidige 5 stappen plan van de AP https://www.autoriteitpersoonsgegevens.nl/avg-voor-ondernemers.

De Autoriteit Persoonsgegevens

De taken en bevoegdheden van de AP zijn vastgelegd in de wet. Taken van de AP zijn onder meer toezicht houden en voorlichting geven op de naleving van de privacywetgeving, waaronder primair de AVG. De AP kan ook handhavend optreden als tijdens het onderzoek overtredingen worden geconstateert. Bijvoorbeeld door een boete op te leggen.

De AP streeft naar een digitale wereld waarin de privacy mensen goed beschermd worden. De AP heeft in de periode 2026-2028 extra aandacht voor drie belangrijke thema’s (https://www.autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens/prioriteiten):

  1. Massasurveillance: het doel is het voorkomen van een surveillancemaatschappij;
  2. Digitale weerbaarheid: digitale dienstverlening vraagt om veilige en betrouwbare verwerking van persoonsgegevens, maar Cyberaanvallen en datalekken zijn een grote dreiging. Het AP zorgt voor bewustwording en grijpt zo nodig in;
  3. AI: Artificiële intelligentie (AI) kan zorgen voor uitsluiting, discriminatie en desinformatie. Het AP wil kaders stellen en regels aangeven voor het gebruik.

Dit laatste punt zoomen we in aan de hand van 2 voorbeelden.

De AP en omgaan met AI

AI is een actueel onderwerp, en zal dit blijven. Vanuit het AP noemen wij hier twee artikelen die voorlopig erg relevant zullen blijven; OpenClaw als populair paard van Troje, en AI-geletterheid voor de medewerkers en de nodige aandacht voor de privcacy.

OpenClaw

Het OpenClaw-platform biedt gebruikers aan een AI-assistent te installeren, die autonoom taken kan uitvoeren. Daartoe geeft de gebruiker volledige toegang tot diens computer en programma’s, waaronder e-mail, bestanden en online diensten. Het betekent dat de assistent vervolgens zelfstandig, zonder directe menselijke goedkeuring vooraf, in staat is om te handelen. Volgens de AP wordt dit type autonome AI-agent in de cybersecuritywereld gezien als een ‘paard van Troje’, omdat het een aantrekkelijk doelwit vormt voor misbruik. Een aanzienlijk deel van de beschikbare plug-ins malware bevat, gericht op het stelen van bijvoorbeeld inloggegevens of crypto-tegoeden. Daarnaast is het platform kwetsbaar voor verborgen opdrachten in websites, e-mails en chatberichten.

https://www.autoriteitpersoonsgegevens.nl/actueel/ap-waarschuwt-voor-grote-beveiligingsrisicos-bij-ai-agents-zoals-openclaw

AI-geletterheid

Vanuit de AI Act is het vereist dat gebruikers van AI een passend niveau van AI-geletterdheid hebben. Het gaat onderhanden om:

  • Weten dat je persoonsgegevens niet zomaar met externe diensten mag delen (dus hier ook een raakvlak met deAVG!)
  • Weten dat je resultaten moeten nakijken, omdat ze fout kunnen zijn
  • Kennen van andere risico’s, zoals misleiding, discriminatie, fouten in invoerdata
AI-geletterheid is een complex onderwerp en is essentieel voor het versterken van maatschappelijke weerbaarheid in de omgang met algoritmes en AI, ook met het oog op de privacy.

Als coördinerend toezichthouder op algoritmes en AI draagt de AP bij aan (de voorbereiding van) toezicht op de AI-verordening/Act. Vanuit die rol geeft de AP via een tweetal artielen handvaten voor de AI-geletterheid:

  1. https://www.autoriteitpersoonsgegevens.nl/documenten/aan-de-slag-met-ai-geletterdheid
  2. https://www.autoriteitpersoonsgegevens.nl/actueel/verder-bouwen-aan-ai-geletterdheid

Omgaan met meldingen

Mensen die slachtoffer zijn van een datalek, krijgen vaak onvoldoende informatie van de organisatie die het datalek heeft. Daardoor raken slachtoffers onvoldoende doordrongen van het risico op misbruik van hun persoonsgegevens. In Nederland zijn organisaties echter verplicht om mensen te waarschuwen zodra er een ernstig data lek is.

In 2023 bleek bij onderzoek van het AP bij 50 grote datalekken met gegevens van 10 miljoen mensen, vooral geraakt door cyberaanvallen, dat de verplichte waarschuwing vaak te kort schoot:

  • Organisaties melden gemiddeld pas na 3 weken terwijl snelheid van belang is;
  • In bijna de helft van de berichten staat niet duidelijk wat er is gebeurd en welke gegevens er zijn gelekt;
  • In waarschuwende e-mails ontbreekt het soms aan een alarmerende titel of introductie, waardoor de mail niet gelezen kan worden.

Zelf worstelen de bedrijven met formulering en interne goedkeuringen van de teksten en wordt getwijfeld over het moment van versturen. De AP adviseert om snel een bericht te sturen met de informatie die beschikbaar is, waarna de organisatie altijd een aanvullend bericht kan sturen. De AP helpt ook met concrete aandachtspunten en voorbeeldteksten voor waarschuwingsberichten (https://www.autoriteitpersoonsgegevens.nl/actueel/organisaties-informeren-slachtoffers-datalekken-onvoldoende-ap-geeft-advies).

Bijhouden

De AP staat centraal in het naleven van de AVG, AI Act, en heeft in 2026 aandacht voor de thema’s Massasurveillance, Digitale weerbaarheid, en AI. Dit zijn complexe onderwerpen die op twee manieren te volgen zijn:

  1. De AP publiceert zelf regelmatig op de website https://www.autoriteitpersoonsgegevens.nl/actueel/
  2. Via een zogenaamde RSS reader kan worden geabonneerd op het AP en worden nieuwe publicaties zichtbaar zonder regelmatig website bezoek https://www.autoriteitpersoonsgegevens.nl/over-deze-website/rss-nieuwsfeed

Tenslotte kan via cursussen met gerichte vragen de juiste kennis opgehaald worden ICT Institute | Workshops en training.

Foto’s door Matthew Henry via Unsplash, en foto door Samir Bouaked ook via Unsplash

Author: Pieter t Hoen