Reeds sinds de allereerste conceptversie van het Wtmo-voorstel in 2019 heeft Privacy First zich er actief tegen verzet. De afgelopen jaren drong Privacy First daartoe bij de Tweede en Eerste Kamer aan op verwerping van het wetsvoorstel. Na jarenlange vertragingen (o.a. wegens privacybezwaren) werd op 1 april 2025 alsnog een gewijzigde versie van het wetsvoorstel door de Tweede Kamer aangenomen, waarna behandeling in de Eerste Kamer volgde. Een vertegenwoordiger van Privacy First voerde vervolgens het woord tijdens een door de commissie voor J&V van de Eerste Kamer op 25 november 2025 georganiseerde deskundigenbijeenkomst. Tijdens die bijeenkomst werd voor iedereen duidelijk hoeveel gebreken er nog steeds aan het wetsvoorstel kleefden. Zelfs degenen die geacht werden de wet uit te voeren, de burgemeesters en het Openbaar Ministerie, waren van mening dat zij de taken op grond van de Wtmo niet konden uitvoeren. Op 17 maart jl. was vervolgens het plenaire debat in de Eerste Kamer waarin door een meerderheid van Kamerleden veel kritiek op het wetsvoorstel werd geuit. Het was daarom geen verrassing dat het voorstel op 24 maart jl. is verworpen.

Privacy First is verheugd dat de Wtmo nu eindelijk van tafel is.

Het is te hopen dat het ministerie van Justitie & Veiligheid niet opnieuw met een voorstel komt waarmee de grote groep goedwillende nonprofit organisaties wordt benadeeld. Immers, de bedreigingen van de Nederlandse rechtsstaat hebben niets met de nonprofit te maken.

Meer informatie:

• Bericht Eerste Kamer over verwerping van het wetsvoorstel d.d. 24 maart 2026 https://www.eerstekamer.nl/nieuws/20260324/senaat_verwerpt_voorstel_om
• Bericht Eerste Kamer over het debat op 17 maart jl. https://www.eerstekamer.nl/nieuws/20260317/tegengaan_ondermijning_door
• Verslag van de deskundigenbijeenkomst in de Eerste Kamer d.d. 25 november 2025 https://www.eerstekamer.nl/behandeling/20251223/verslag_van_een

Eerdere artikelen van Privacy First over de Wtmo:

• Privacy First waarschuwt Tweede Kamer voor gevolgen van wetsvoorstel Wtmo, 17 januari 2025 https://privacyfirst.kinsta.cloud/artikelen/privacy-first-waarschuwt-tweede-kamer-voor-gevolgen-van-wetsvoorstel-wtmo/
• Wetsvoorstel inzake ’transparantie’ van maatschappelijke organisaties past in een negatieve trend, 24 oktober 2024 https://privacyfirst.kinsta.cloud/artikelen/wetsvoorstel-inzake-transparantie-van-maatschappelijke-organisaties-past-in-een-negatieve-trend/
• Wetsvoorstel non-profit ondermijnt maatschappelijk middenveld, 21 mei 2024 https://privacyfirst.kinsta.cloud/artikelen/wetsvoorstel-non-profit-ondermijnt-maatschappelijk-middenveld/

Meer informatie leest u in onze volledige consultatiereactie (pdf).

• Consultatiereactie Privacy First: https://www.internetconsultatie.nl/derdenaanwijzingbankenbesluit/reactie/411e6e11-3f02-4def-a96f-ea6aa1fac701
• Aankondiging van de consultatie: https://www.internetconsultatie.nl/derdenaanwijzingbankenbesluit/b1.

Hierbij attendeert Stichting Privacy First u erop dat de nieuwe Europese antiwitwasautoriteit AMLA [1] in strijd met de eIDAS-verordening in een recent bekendgemaakt consultatiedocument [2] voorstelt dat witwasbestrijdingsplichtigen natuurlijke personen in non-face-to-face situaties moeten identificeren door middel van de Europese digitale identiteit (‘EUDI-wallet’).

Wij verzoeken u dringend de Europese Commissie en AMLA te wijzen op de verplichtingen die uit de eIDAS-verordening voortvloeien en die niet door de antiwitwasregelgeving mogen worden ondergraven. Dit is van groot belang voor de vele mensen in de EU die onvoldoende digitaal vaardig zijn en voor degenen die geen gebruik kunnen of willen maken van digitale middelen waarvoor apparaten en software van Big Tech moeten worden gebruikt.

EBA consultatie

AMLA is op de hoogte van de verplichtingen op grond van de eIDAS-verordening, aangezien Privacy First daar in de consultatie van de Europese Banken Autoriteit (EBA) op heeft gewezen. Op 6 juni 2025 heeft Privacy First deelgenomen [3] aan een consultatie van de Europese Banken Autoriteit (EBA) [4] over de nadere regels (‘RTS’) op het gebied van het cliëntenonderzoek op grond van de antiwitwasverordening (AMLR) die medio 2027 in werking treedt.

In het consultatiedocument stelde EBA voor dat witwasbestrijdingsplichtigen in non-face-to-face situaties verplicht zullen zijn om de Europese digitale identiteit (‘EUDI-wallet’) te gebruiken voor de verificatie van de identiteit. Wij hebben de EBA er op geattendeerd dat de door hen voorgestelde bepaling in strijd is met de eIDAS-verordening, die bepaalt dat het gebruik van de EUDI-wallet volledig vrijwillig is. Voorts hebben wij uitvoerig toegelicht dat aan verificatie van de identiteit voor mensen grote risico’s zijn verbonden en er van witwasbestrijdingsplichtigen, gezien de afhankelijkheidsrelatie, extra maatregelen mogen worden verwacht om de risico’s voor burgers te beperken.

AMLA neemt de EBA-tekst over

Onlangs heeft AMLA de nadere regels opnieuw in consultatie gebracht [2]. Wij zien aan het ontwerp dat AMLA niets heeft gedaan met ons commentaar op de verplichtstelling van de EUDI-wallet. Opnieuw staat in het ontwerp dat het gebruik van de EUDI-wallet verplicht is en dat alleen in uitzonderlijke gevallen identificatie op een andere digitale manier mag plaatsvinden. Ons voorstel dat er altijd een vorm van alternatieve, fysieke identificatie moet worden aangeboden, zodat aan de eIDAS-verordening wordt voldaan, is niet overgenomen.

Dringend actie nodig

Hoewel wij van plan zijn aan de consultatie door AMLA deel te nemen, willen wij nu al aan de alarmbel trekken. Het is immers hoogst ongewenst dat Europese instanties de voorschriften van Europese verordeningen naast zich neer leggen.

Het is belangrijk dat artikel 5a van de eIDAS verordening [5], waarin staat dat het gebruik van de EUDI-wallet volledig vrijwillig is, geen dode letter wordt. Wij hopen dat u daar uw bijdrage aan zult leveren.

Deze open brief zullen wij ook elders verspreiden. Voorts zullen wij AMLA aanschrijven.

Hoogachtend,
Stichting Privacy First

Noten

[1] The Authority for Countering Money Laundering and Financing of Terrorism, https://www.amla.europa.eu/.

[2] Aankondiging: https://www.amla.europa.eu/policy/public-consultations/consultation-draft-rts-customer-due-diligence_en.

[3] Artikel over onze consultatiedeelname: https://privacyfirst.kinsta.cloud/artikelen/digitale-identiteit-wordt-sluipenderwijs-toch-verplicht/, volledige consultatiebijdrage van Privacy First: https://privacyfirst.kinsta.cloud/wp-content/uploads/Privacy-First-response-EBA-consultation-on-additional-AMLR-rules-June-2025.pdf.

[4] Aankondiging: https://www.eba.europa.eu/publications-and-media/press-releases/eba-consults-new-rules-related-anti-money-laundering-and-countering-financing-terrorism-package.

[5] https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:02014R0910-20241018#art_5a, lid 15.

Voor overheden weegt de plicht om openbaar te zijn extra zwaar. Burgers hebben geen invloed op gegevensverwerking op basis van wettelijke taken. Transparantie hierover is geen luxe, maar een randvoorwaarde van onze democratische rechtsstaat. De informatie moet bovendien laagdrempelig toegankelijk zijn: zonder aanvraag of inlog, in begrijpelijke taal en digitaal toegankelijk.

Transparantie als basis

Als je niet weet welke informatie de overheid over jou opslaat heb je ook geen zicht op rechtmatige verwerkingen en kunnen onjuiste verwerkingen niet worden opgespoord.

Vaak komt de informatie pas naar boven bij journalistiek onderzoek of met individuele verzoeken – met een expliciet beroep op de Wet open overheid (Woo) en gegevensbeschermingsrechten (AVG) of privacyrechten (Grondwet, EVRM).

Voorbeelden van verwerkingen met zeer ingrijpende gevolgen:

• kredietchecks (creditscoring door handelsinformatiebureaus)
• zwarte lijsten (financiële instellingen, Gemeentelijk Incidenten Register, FSV-registratie Belastingdienst)
• systematische profilering (zonder betekenisvolle menselijke tussenkomst).

De gevolgen van deze verwerkingen raken burgers direct in hun dagelijks leven, nu nog regelmatig zonder dat zij weten hoe of waarom.

En het wordt nog erger. Zelfs als je cookies weigert, blijken data via server-side tracking alsnog te worden doorgestuurd. Expliciete toestemming voor het delen van gevoelige (medische of seksuele) informatie wordt niet apart gevraagd, terwijl dat wettelijk wel moet bij dergelijke bijzondere persoonsgegevens. “Cookies weigeren” geeft dus vaak een vals gevoel van controle.

Dit gebeurt terwijl de Autoriteit Persoonsgegevens (AP) in 2024 nog een boete van 600.000[1] euro  oplegde aan Kruidvat (na bezwaar van Kruidvat werd dit 50.000 euro)[2] vanwege het gebruik van trackingcookies op hun website zonder de toestemming van bezoekers. Juist bij een drogisterij zijn de risico’s groot. Aankopen zoals zwangerschapstesten of medicatie, gecombineerd met locatiegegevens, kunnen namelijk leiden tot extreem specifieke en invasieve profielen. Van “lessons learned” lijkt er geen sprake te zijn als je naar de onderzoeksresultaten van Investico kijkt.

Waarom is dit problematisch?

Waarom dit zo problematisch is, heeft te maken met het feit dat de risico’s allesbehalve theoretisch zijn. De risico’s zijn reëel en ernstig met als gevolg dat er totaal geen privacygevoel meer is, het vertrouwen weg is en er ook nog juridische gevolgen aan verbonden kunnen worden. Hieronder volgen enkele voorbeelden van wat er met de verzamelde gegevens kan gebeuren:

• Profilering en doorverkoop: er worden zeer gedetailleerde profielen opgebouwd en doorverkocht in een ondoorzichtig advertentie-ecosysteem.
• Zeer specifieke kenmerken: die profielen kunnen zo specifiek zijn dat ze iemands seksuele voorkeuren of medische situatie (impliciet) blootleggen.
• Strafrechtelijke risico’s: in de Verenigde Staten zagen en zien we dat aankoopdata en locatiegegevens (en social media gegevens) gebruikt kunnen worden in (strafrechtelijke) onderzoeken, bijvoorbeeld rond abortus[3] en visa[4].
• Regimeverandering: gegevens die in het huidige politieke klimaat onschuldig lijken, kunnen onder een ander regime ineens tegen burgers worden ingezet. Wat vandaag marketingdata is, kan morgen bewijsstuk zijn.
• Datalekken en chantage: het datalek bij Ashley Madison[5] liet zien hoe verstrekkend de gevolgen kunnen zijn wanneer gevoelige informatie openbaar wordt. Mensen verloren hun baan, hun relatie, sommigen pleegden zelfs zelfmoord. Moreel kun je van overspel iets vinden, maar het is niet strafbaar. Publiekelijk werden mensen wel veroordeeld via gelekte data.
• Onjuiste koppelingen: soms worden e-mailadressen of gegevens gebruikt waarvan niet zeker is dat ze correct zijn. Bij een datalek kunnen gegevens ten onrechte aan iemand worden gekoppeld met reputatieschade tot gevolg.
• Minderjarigen: als dit soort tracking ook minderjarigen raakt, zijn de risico’s nog ernstiger.

Dit is geen abstract privacydebat. Dit gaat over machtsverhoudingen, over controle, over kwetsbaarheid.

Wie moet de consumenten beschermen?

Niet de consument zelf. Het idee dat je “veilig” bent door cookies te weigeren is achterhaald. In eerste instantie zijn online drogisterijen zelf verantwoordelijk voor het (laten) plaatsen van de trackers. Zij bepalen welke trackers op hun website staan. De grote platforms zijn medeverantwoordelijk. Hun pixels en advertentienetwerken maken deze tracking mogelijk en winstgevend. Zij zijn ook herhaaldelijk op de vingers getikt. Toch blijven deze praktijken bestaan, vaak verscholen achter complexe technische infrastructuren. Tot slot moet de AP toezicht (blijven) houden, voorlichten en handhaven. De AP heeft voldoende degelijke instrumenten om dit te kunnen doen. Het instrumentarium strekt zich van onderzoeken doen, waarschuwen of berispen tot aan boetes opleggen, verwerkingen stilleggen en gegevens laten wissen.

Afgelopen jaren heeft de AP veel informatie gedeeld over cookies en zegt strenger te controleren. De boete voor Kruidvat laat zien dat optreden mogelijk en nodig is. Maar handhaving is vaak achteraf en versnipperd. Tegen de tijd dat er een boete ligt, zijn er al duizenden, zo niet miljoenen profielen gemaakt en verspreid.

Bovendien vindt Privacy First dat cookiebanners niet de echte oplossing zijn. Ze zijn vaak onduidelijk of misleidend. Mensen zijn “cookiemoe” en klikken snel op “accepteren”, zonder enig overzicht van wat er met hun gegevens gebeurt of in welke databases ze belanden. Je weet als consument niet in welk profiel je zit, welke labels aan je zijn geplakt, of wie daar toegang toe heeft.

Hoe moet dit worden opgelost?

Privacy First vindt dat de tijd van “nuance en coulance” voorbij is. Bedrijven verzamelen elke dag meer data omdat het winst oplevert, totdat ze worden teruggefloten. Als maatschappij moeten we duidelijker aangeven waar de grens ligt.

• De oplossing begint bij dat bedrijven zich aan de wet moeten houden. Privacy by design moet de norm zijn, zeker bij gevoelige producten.
• Techbedrijven moeten hun verantwoordelijkheid nemen. Er moet geen tracking plaatsvinden op basis van bijzondere persoonsgegevens. Punt.
• Strengere en snellere handhaving is nodig, ondanks dat de AP een beweging wil maken naar een helpende, ondersteunende organisatie en boetetrajecten als zwaar en tijdrovend ervaart. De AP heeft de bevoegdheden en die moeten ook stevig worden ingezet.
• Meer transparantie over cookies en bewustwording blijft een aandachtspunt. Als in een cookiebanner staat dat aankopen van koffie worden gedeeld met partners, dan geldt dat ook voor zwangerschapstesten en medicatie. Dat besef moet indalen. Verder moeten mensen kunnen zien in welk profiel zij zijn ingedeeld en welke labels aan hen zijn toegekend. Zonder inzicht geen effectieve uitoefening van rechten.
• Tot slot moeten we serieus blijven nadenken over een verbod op tracking van gevoelige persoonsgegevens en praktische implementatie ervan. Zeker als het gaat om gezondheid en seksualiteit.

Conclusie

We kunnen niet langer doen alsof dit een technisch detail is. Het doorspelen van gevoelige gezondheidsdata aan advertentieplatforms is een fundamentele aantasting van de persoonlijke levenssfeer.

Consumenten beschermen tegen dit soort datadoorgifte is geen individuele verantwoordelijkheid maar een collectieve opdracht. Voor webwinkels en drogisterijen. Voor techplatforms. Voor de toezichthouder. En uiteindelijk voor de wetgever. Gevoelige gezondheidsdata horen niet thuis in advertentieprofielen. Dat zou geen discussie meer mogen zijn.

Bekijk HIER de televisiereportage en lees HIER het bijbehorende artikel bij Radar.  

[1] https://autoriteitpersoonsgegevens.nl/documenten/besluit-boete-as-watson-kruidvat

[2] https://autoriteitpersoonsgegevens.nl/documenten/besluit-op-bezwaar-as-watson-kruidvat

[3] https://www.americanprogress.org/article/stopping-the-abuse-of-tech-in-surveilling-and-criminalizing-abortion/

[4] https://www.bbc.com/news/articles/c1dz0g2ykpeo

[5] https://www.reuters.com/article/technology/two-people-may-have-committed-suicide-after-ashley-madison-hack-police-idUSKCN0QT1O6/

Privacy First heeft aan de consultatie deelgenomen, zie deze pagina waar naar een Engelstalige pdf met ons commentaar kan worden doorgeklikt.

In ons commentaar leggen we uit dat bij internationale financiële uitwisseling aandacht moet worden besteed aan de grondrechten van burgers. Als op Europees niveau de EU-regels inzake administratieve samenwerking op belastinggebied worden verduidelijkt, vereenvoudigd en verbeterd, kan ook worden gezorgd voor een betere bescherming van de financiële mensenrechten van EU-burgers.

Privacy First heeft er in de consultatiereactie op gewezen dat de internationale uitwisseling van persoonsgegevens voor belasting- en andere overheidsdoeleinden aanzienlijke schade aan burgers kan toebrengen. Dergelijke schade doet zich reeds voor, bijvoorbeeld in de praktijken van de EU-lidstaten met betrekking tot FATCA en de FATCA-verdragen, en door misbruik door derde landen (waaronder de VS) van sanctiewetgeving en antiwitwaswetgeving als alibi om politieke tegenstanders aan te pakken.

Momenteel ontbreekt het zowel in de DAC als in de nieuwe antiwitwaswetgeving van de EU aan mechanismen om EU-ingezetenen te beschermen tegen praktijken van derde landen die de grondrechten van burgers schenden. Het kan daarom niet als vanzelfsprekend worden beschouwd dat de internationale uitwisseling van persoonlijke financiële gegevens zal plaatsvinden in overeenstemming met de grondrechten en met de nodige zorgvuldigheid.

De herziening van de DAC is een goede gelegenheid om financiële mensenrechten in het Europees financieel recht op te nemen. Privacy First verzoekt de Europese Commissie en de andere betrokken Europese autoriteiten om dit te doen in het kader van de herziening van de DAC en heeft daartoe enkele suggesties gedaan. Hieronder onze voornaamste voorstellen:

• Het algemene kader voor uitwisseling onder CRS en FATCA wordt onderdeel van DAC, met passende waarborgen.
• In DAC wordt een expliciet verbod op uitwisseling van financiële persoonsgegevens opgenomen als die uitwisseling tot schending van grondrechten zou leiden.
• De uitwisseling met landen buiten de EU wordt strikt gereguleerd, met duidelijke standaarden op het gebied van grondrechten en rechtsbescherming.
• Uitwisseling met derde landen vindt alleen plaats als die derde landen grondig zijn geaudit door deskundigen op naleving van het Europees Handvest, de AVG en andere relevante regels.
• Personen die een bijzonder risico lopen worden in staat gesteld om uitwisseling met een derde land te laten blokkeren.
• Iedere persoon wiens gegevens aan een ander land wordt verstrekt, wordt daarover door de autoriteiten geïnformeerd.
• Alleen onder strenge voorwaarden worden bedrijven verplicht om persoonsgegevens aan de autoriteiten te leveren (‘renseignering’ of ’third-party reporting’), dit ter voorkoming van gegevensbeschermingsrisico’s.
• In DAC wordt een noodrem opgenomen, die het mogelijk maakt om alle uitwisseling met een derde land of renseignering stop te zetten op grond van bijzondere omstandigheden.

Wordt vervolgd.

Onderzoek laat zien dat veel gebruikers zich niet bewust zijn van de maatschappelijke en privacy‑impact van slimme deurbellen en dat gesprekken met buren over de bel nauwelijks plaatsvinden. Tegelijkertijd biedt de technologie ook voordelen én kansen voor verbetering. Een open gesprek is belangrijk om samen te komen tot verantwoorde toepassing van deze snelgroeiende technologie.

Tijdens deze bijeenkomst gaan we samen dit gesprek aan met experts, ontwerpers en beleidsmakers en gaan we op zoek naar de kansen die nieuwe inzichten, regelgeving en ontwerpstandaarden bieden. Daarnaast presenteren we inzichten uit het door het consortium geïnitieerde nationale onderzoek naar percepties over slimme deurbellen door Ipsos en een lokale bewustwordingscampagne. Ook vertellen we over de bevindingen van recent juridisch onderzoek naar de opties voor regelgeving en handhaving door VNG.

Programma:

• Inloop
• Presentatie over de bevindingen en inzichten van het Slimme Deurbellen Consortium
• Voordrachten met deskundigen uit technologie, recht, ontwerp en overheid
• Interactief panelgesprek met de zaal
• Borrel

Sprekers zijn onder meer:

Sander Flight, onderzoeker en adviseur voor de (semi-)overheid met als specialisme cameratoezicht en privacy.

Marc Schuilenburg, hoogleraar Digitale Surveillance aan de Erasmus School of Law. Hij onderzoekt hoe AI de openbare veiligheid en criminaliteitsbestrijding beïnvloedt. En hoe deze technologieën kunnen worden ontworpen met aandacht voor democratische waarden zoals transparantie, verantwoordelijkheid en rechtvaardigheid.

Renske Heijungs, directeur Toezicht en Onderzoek bij de Autoriteit Persoonsgegevens (AP). De AP is de onafhankelijke Nederlandse toezichthouder op het gebied van privacy en bescherming van persoonsgegevens, waaronder de slimme deurbel.

Voor wie?

Iedereen met interesse in slimme technologie, privacy, veiligheid of maatschappelijke impact is welkom: beleidsmakers, bewoners, ontwerpers, onderzoekers, journalisten, handhavers en betrokken professionals. De voertaal van het evenement is Nederlands.

Toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via deze link, maar is niet verplicht.

Datum: dinsdag 24 maart 2026, 13.30-16.30u (inloop vanaf 13.00u, borrel na afloop).
Locatie: Volkshotel, Wibautstraat 150 in Amsterdam (grote zaal). Een routebeschrijving vindt u hier: https://www.volkshotel.nl/nl/directions/.

Het besluit betreft de weigering van BTI om tijdig te voldoen aan ons urgente verzoek om hierover volledige openheid te geven, met name over de vraag of en hoe deze overname van Solvinity aan de nationale veiligheid wordt getoetst.

Solvinity beheert de infrastructuur achter DigiD, het systeem waarmee burgers zich digitaal bij allerlei Nederlandse overheidsinstanties – waaronder de Belastingdienst en ook verzekeraars, zorg- en dienstverleners – kunnen identificeren. DigiD is wettelijk aangemerkt als een dienst die van vitaal belang is voor onze samenleving.

Kyndryl stelt ’s werelds grootste aanbieder van IT-infrastructuurdiensten te zijn en valt onder de Amerikaanse wetgeving. De regering van de Verenigde Staten kan op grond van die wetgeving toegang tot data en systemen eisen, wat in strijd is met de belangen van Nederland en de privacy van Nederlandse burgers. Als een deel van onze vitale digitale infrastructuur in Amerikaanse handen wordt gelegd, vergroot dit immers de kwetsbaarheid van Nederland voor uitval, manipulatie of zelfs chantage.

Het is inmiddels een feit van algemene bekendheid dat de Amerikaanse overheid (mede ten faveure van de belangen van Big Tech-ondernemingen) individuele burgers en organisaties die deelnemen aan het publieke debat soms met oneigenlijke middelen intimideert en sanctioneert. Ook deze potentiële verzwakking van onze democratische rechtsstaat is niet alleen een zaak van nationale veiligheid, maar raakt tevens aan de individuele vrijheden en veiligheid van burgers. Dat geldt in het bijzonder voor onze groep belangenbehartigers, die zich in het openbaar vaak kritisch uitlaten over de gedragingen van de Amerikaanse overheid en Big Tech-ondernemingen.

De groep eist daarom openheid van de minister van Economische Zaken over de overname van Solvinity en wil weten welke mededelingen door de minister in het kader van de toetsing aan Solvinity en Kyndryl zijn gedaan en of door de minister al is bepaald dat een toetsingsbesluit is vereist. Indien het toetsingsbesluit al is genomen, eist de groep van de minister daarvan een kopie.

De groep belangenbehartigers laat zich vertegenwoordigen door advocaten Matthijs Kaaks (Boekx Advocaten) en Roland Mans (De Geer Advocaten).

Lees HIER het bezwaarschrift en HIER het parallelle verzoek om een voorlopige voorziening (pdf).

Nu het team na bijna een jaar terugkijkt op het winnen van een Nederlandse Privacy Award kan de vraag worden beantwoord of dit product richting heeft gegeven aan de verwachting en ideeën die men voor ogen had bij de ontwikkeling.

Rutger licht toe: “Wij hebben dit instrument voor Algemene Zaken (AZ) eigen gemaakt, zodat het optimaal aansluit bij onze processen. Daardoor fungeert dit product als een “one-stop-shop” op ons Rijksportaal, waar iedereen eenvoudigweg door logisch doorklikken elke keer bij de juiste informatie uitkomt die gerelateerd is aan het proces waarin men zich bevindt.

Het fungeert vooral als basis waar elke organisatie, dus niet alleen overheid, gebruik van zou kunnen maken, ongeacht de branche of grootte. Het biedt orde in de chaos van informatie en vereenvoudigt om de relevante informatie van het Rijksportaal te linken aan bijvoorbeeld een selfservice portal.

Het product bevindt zich in het stadium van finetunen en verrijken met extra links ter ondersteuning van Rijksbrede communicatie. Het is ontwikkeld voor de overheid, maar is voor elke organisatie, inclusief MKB, toepasbaar. Dit geldt niet alleen voor het privacy-domein, maar ook voor andere bedrijfsprocessen en documentatie, zoals bijvoorbeeld arbeidsovereenkomsten en contracten.

De routes van Privacybewust Leiderschap vormen een instrument om in de praktijk met de AVG aan de slag te gaan. Dit is nodig omdat de kennis van de privacywet- en regelgeving soms te wensen overlaat, in het bijzonder bij bestuurders, zo meldde ook de Autoriteit Persoonsgegevens (AP) in oktober 2024. Het instrument is een grafische weergave van situaties waarin managers in het publieke domein te maken krijgen met de AVG.

Het instrument bestaat uit zes routes (situaties) met elk een serie tussenstops oftewel acties. Samen geeft dit stappenplan een  manager praktische handvatten om te kunnen voldoen aan de AVG. Zonder eerst in de theorie te duiken, leren managers langs de werkpraktijk over privacy en kunnen ze weloverwogen acties ondernemen.”

Kyndryl heeft zich bij het Bureau Toetsing Investeringen (BTI) van het Nederlandse ministerie van Economische Zaken gemeld en BTI moet nu toetsen of die overname door de beugel kan. De vraag is of deze toetsing überhaupt plaatsvindt, maar daarover doet BTI geen mededelingen. Over de inhoud van een eventueel genomen toetsingsbesluit kunnen burgers niets te weten komen.

Daarom heeft een coalitie van experts en belangenbehartigers, waaronder Privacy First en de nieuwe stichting The Firewall, op maandag 12 januari jl. een brandbrief naar BTI gestuurd. Daarin dringen wij met spoed aan op informatie over het toetsingsproces, zodat wij als belanghebbende burgers en organisaties bij dat proces betrokken kunnen worden.

Waarom zijn wij zo bezorgd over deze overname?

Binnen de Amerikaanse wetgeving, waaronder Kyndryl valt, kunnen de Verenigde Staten toegang tot data en systemen eisen, wat in strijd is met de belangen van Nederland en de privacy van Nederlandse burgers. Dat kan grote gevolgen hebben voor de burgers in ons land.

Soevereiniteit

Deze vitale infrastructuur in buitenlandse handen leggen zal onze afhankelijkheid van Amerikaanse techbedrijven vergroten en onze digitale zelfbeschikking onder druk zetten. In bredere zin uitte Privacy First hierover reeds eerder grote zorgen, o.a. in aanloop naar de Nederlandse verkiezingen vorig jaar.

Continuïteit en veiligheid

Als een deel van onze vitale digitale infrastructuur in Amerikaanse handen wordt gelegd, vergroot dit de kwetsbaarheid van Nederland voor uitval, manipulatie of zelfs chantage. De huidige geopolitieke ontwikkelingen en de ontwikkelingen in de Verenigde Staten zelf maken duidelijk hoe urgent dit is.

Onze oproep 

Wij eisen volledige transparantie over BTI’s toetsing van deze overname. Wij willen als belanghebbenden de mogelijkheid hebben om in dit toetsingsproces betrokken te zijn en gehoord te worden.

Het is essentieel dat de risico’s voor de nationale veiligheid en de individuele vrijheden van burgers volledig in kaart zijn gebracht en gewaarborgd zijn tegen misbruik voordat een dergelijke overname kan plaatsvinden. De fundamenten van onze digitale samenleving dienen zorgvuldig beschermd te worden. Meer over onze oproep lezen? Dat kan bij Follow the Money of bij de Volkskrant.

Lees HIER de volledige brief (pdf).

Het ministerie van Financiën veronderstelt dat het UBO-register nuttig is voor de misdaadbestrijding. Vreemdgenoeg mogen criminelen en andere partijen met kwade bedoelingen ongehinderd grasduinen in het register, want er is geen controle op integriteit of deskundigheid bij degenen die inzage krijgen. Privacy First heeft fundamentele kritiek op het systeem van toegang dat door het ministerie wordt voorgesteld.

Privacy First volgt het UBO-dossier al lange tijd en is bezorgd over wereldwijde verspreiding van financiële persoonsgegevens die een gevolg is van de Europese UBO-registers en van de regelgeving ter privatisering van de criminaliteitsbestrijding naar onder andere banken en boekhouders, ook bekend als ‘witwasbestrijding’.

Onze consultatiereactie is HIER te vinden.

Verder heeft Privacy First recent ook aan een Europese consultatie over het UBO-register deelgenomen. Daarin heeft Privacy First onder meer kritiek geuit op de wijze waarop UBO’s op grond van ‘zeggenschap’ in categorieën zijn ingedeeld en aandacht gevraagd voor het merkwaardige fenomeen dat non-profit organisaties geacht worden ‘uiteindelijk begunstigden’ te hebben. Dat stuit bij dergelijke organisaties al jaren op veel onbegrip.

Onze Engelstalige Europese consultatiereactie staat HIER.

Wordt vervolgd.

Tijdens de Nationale Privacy Conferentie 2026 staat de volgende vraag centraal: Hoe houden we privacy uitvoerbaar, werkbaar en toekomstbestendig in een digitale samenleving?

Privacy is een kernwaarde van onze vrije samenleving – maar ook een dagelijks vraagstuk. Hoe beschermen we persoonsgegevens zó, dat wetgeving uitvoerbaar blijft, innovatie ruimte krijgt en burgers echt geholpen worden? Tijdens deze conferentie onderzoeken we hoe Nederland de balans houdt tussen bescherming en werkbaarheid, tussen vertrouwen en vooruitgang.

De middag wordt geleid door Tom Jessen, die vanaf de allereerste editie van de Nationale Privacy Conferentie als vaste dagvoorzitter het gesprek scherp en toegankelijk houdt.

Gedurende de conferentie presenteren de genomineerden voor de Nederlandse Privacy Awards zichzelf met video-pitches aan de jury en het publiek. Traditiegetrouw sluit Privacy First de conferentie af met de uitreiking van de Awards.

Programma

13.00u – Inloop.
13.30u – Welkom door Marjolijn Bonthuis (ECP) en dagvoorzitter Tom Jessen. De conferentie opent met een blik op de huidige staat van privacy in Nederland, het strategisch belang hiervan en de belangrijkste ontwikkelingen richting 2026.
13.40u – Nederland als privacy gidsland – Bart Schellekens (Rijksorganisatie voor Ontwikkeling, Digitalisering en Innovatie, ministerie van BZK).

Thema 1: Regeldruk & bedrijfsvoering
In dit themablok staat de vraag centraal hoe organisaties privacy uitvoerbaar kunnen houden in een steeds complexer regelgevend landschap. We verkennen de mogelijke spanning tussen naleving en innovatie en bespreken hoe toezicht en wetgeving beter zouden kunnen aansluiten bij de praktijk. Ook wordt ingegaan op de belangrijkste veranderingen die Europa op stapel heeft staan, waaronder de Digitale Omnibus in relatie tot zowel het recht op privacy als de dagelijkse bedrijfsvoering.

14.00u – Spanning tussen naleving en innovatie? – Sylvia Huydecoper (directeur Platform Zelfstandige Ondernemers en zelfstandig ICT- en privacyjurist).
14.20u – Interview met Autoriteit Persoonsgegevens (AP) – Monique Verdier (vicevoorzitter).
14.35u – De Digitale Omnibus en persoonsgegevens – Gerrit-Jan Zwenne (Universiteit Leiden, Open Universiteit en Pels Rijcken).
15.00u – Vragen en discussie.

15.15u – Pauze

Thema 2: Sociaal domein & burgers
Het tweede themablok richt zich op situaties waarin privacybescherming en publieke bescherming elkaar raken. Aan de hand van voorbeelden wordt zichtbaar hoe zorgvuldig gegevensdelen impact heeft op het leven van mensen. Ook komt aan bod hoe professionals worden geconfronteerd met regels die soms wringen in de praktijk en wat er nodig is om verantwoord en effectief samen te werken in complexe casuïstiek.

15.30u – Wanneer privacybescherming en publieke veiligheid botsen – Marianne van den Anker (Ombudsvrouw Rotterdam-Rijnmond).
15.50u – Gegevensdeling in complexe casuïstiek – Wilmar Hendriks (Control Privacy, Coördinerend functionaris gegevensbescherming, Zorg en Veiligheidshuis Rotterdam-Rijnmond).
16.10u – Van regeldruk naar ruimte: plenaire reflectie met de zaal.

16.25u – Uitreiking Nederlandse Privacy Awards 2026. De conferentie wordt afgesloten met de bekendmaking en uitreiking van de Nederlandse Privacy Awards 2026 door juryvoorzitter Marlon Domingus (Functionaris gegevensbescherming, Erasmus Universiteit Rotterdam).
17.00u – Netwerkborrel.
18.00u – Einde bijeenkomst.

Datum: woensdag 28 januari 2026, 13.00 – 18.00u.
Locatie: Nieuwspoort (Den Haag).

Wegens overweldigende interesse was er na een eerste vooraankondiging in de nieuwsbrieven van Privacy First en ECP nog slechts een beperkt aantal plaatsen beschikbaar en zijn de inschrijvingen inmiddels helaas gesloten. Wilt u voortaan tijdig van een plek verzekerd zijn? Meld u dan aan voor onze nieuwsbrief! 

Stichting Privacy First organiseert de Nederlandse Privacy Awards in samenwerking met ECP, met steun van NordVPN. Mediapartner is PONT Data & Privacy. Wilt u ook graag sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Aan NOS Stories vertelden jongeren waarom zij AI in hun dagelijks leven gebruiken.[1] Eén van de gebruikers gaf aan dat hij niet veel deelt met mensen, maar wel zijn ‘ei’ kwijt kon bij ChatGPT. Het was veel laagdrempeliger, makkelijker en minder confronterend.

Daarnaast geven de jongeren aan dat AI er altijd is. Dit in tegenstelling tot bijvoorbeeld de gezondheidszorg, waar soms (lange) wachtlijsten zijn. Psychologen benadrukken ook dat mensen met beginnende klachten of die op de wachtlijst staan voor een behandeling, baat kunnen hebben bij gesprekken met een chatbot, maar zien zeker ook de risico’s.[2]

De risico’s

AI-chatbots brengen verschillende risico’s met zich mee, vooral voor kwetsbare gebruikers zoals jongeren. De output van een AI-chatbot is immers gebaseerd op een statistisch voorspelmodel waardoor antwoorden niet per se juist zijn of waarheid bevatten. Het is dus inherent aan de wijze waarop deze chatbots werken dat je niet zomaar kunt vertrouwen op de antwoorden en deze eigenlijk altijd zou moeten controleren. Doordat het bijzonder overtuigend klinkt zijn jongeren echter al snel geneigd de antwoorden voor waar aan te nemen. Daarnaast bevatten AI-chatbots vaak verslavende elementen zodat gebruikers langer blijven chatten. Dit wordt gedaan door het gesprek te eindigen met een vraag aan de gebruiker, om de interactie te verlengen en gebruikers langer betrokken te houden. Ook doen sommige AI-apps zich voor als echte mensen, door virtuele personages aan te bieden om mee te chatten, variërend van ‘droompartners’ en filmkarakters tot psychologen. De vormgeving kan hyperrealistisch zijn, zoals het verschijnen van een telefoongesprekscherm wanneer er gebruik wordt gemaakt van de spraakoptie. Hierdoor lijkt het alsof de gebruiker kan ‘bellen’ met de virtuele gesprekspartner. Dit gevoel wordt alleen maar versterkt als de AI-bot ook nog eens klinkt als een echt persoon en de aanbieder van de chatbot niet transparant is over het feit dat er niet met een echt persoon wordt gecommuniceerd. Tot slot kan het gebruik van AI-chatbots in crisissituaties gevaarlijk zijn. Allereerst omdat AI-chatbots niet in staat zijn om een gepersonaliseerd behandelplan op te stellen, zoals een professional. Ook verwijzen AI-chatbots vaak niet, nauwelijks of op een verkeerde wijze door naar hulpinstanties. Dit komt doordat een AI-chatbot geen emoties en nuances in gesprekken herkent. Het begrijpt context niet zoals een hulpverlener dat doet, en kent geen empathie of verantwoordelijkheid. Dit kan als gevolg hebben dat de gebruiker vertrouwt op antwoorden die hem of haar niet verder helpen en uiteindelijk zelfs niet de zorg krijgt die nodig is.

Commerciële doeleinden

De aanbieders van veel van deze apps zijn commerciële bedrijven. Deze partijen hebben een winstoogmerk en krijgen via deze gesprekken toegang tot veel persoonlijke informatie.[3] Dit zijn ook vaak bijzondere persoonsgegevens in de zin van de AVG: gegevens over gezondheid, gezinssituatie of emotioneel welzijn. De AVG stelt strenge eisen aan de verwerking van dergelijke gegevens. Volgens de Privacyverklaring van ChatGPT worden persoonsgegevens gedeeld met derden en gelieerde ondernemingen van OpenAI.[4] Hierdoor kan het risico ontstaan dat persoonsgegevens buiten de oorspronkelijke context worden gebruikt of verwerkt voor andere doeleinden dan waarvoor ze zijn verstrekt. Dit kan leiden tot verlies van controle over de eigen gegevens. Daarnaast kan een lager beveiligingsniveau of doorgifte naar landen buiten de EU de kans op misbruik of onbevoegde toegang vergroten. Ook worden de persoonsgegevens gebruikt voor doorontwikkeling van de AI-modellen. Dit heeft een indirect commercieel doel, betere modellen maken het product namelijk waardevoller en concurrerender.

Betrokken partijen

Ouders

Het is belangrijk om als ouder(s) betrokken te blijven bij een AI-chatbot of app die altijd beschikbaar is. Digiwijzer benadrukt dat het belangrijk is om met jongeren te bespreken hoe AI werkt, wat het wel en niet kan, en waarom het belangrijk is om bewust om te gaan met AI-technologie.[5] Dit vraagt van ouders om actief het gesprek aan te gaan over het gebruik dat een kind maakt van een AI-chatbot en daarbij uit te leggen dat een chatbot geen mens is, niet vertrouwelijk omgaat met wat een kind deelt en verkeerde adviezen kan geven. Controleer als ouders ook de instellingen bij AI-chatbots om zo min mogelijk gegevens te delen met de aanbieder(s) van dergelijke AI-technologieën.

Onderwijsinstellingen

Scholen krijgen steeds vaker te maken met AI in de klas, zowel als leerhulpmiddel als in de leefwereld van leerlingen. Het onderwijs heeft wat dat laatste betreft een dubbele rol: voorlichting en bescherming. Volgens een artikel bij Kennisnet is ‘een goede AI-strategie voor iedere school een noodzaak’.[6] Zonder een eigen visie op AI verliest de school de regie over de inzet van AI. Een voorwaarde is dat scholen begrijpen hoe AI werkt, waar de grenzen liggen en wat het betekent voor jongeren. Dat vraagt digitale geletterdheid, kritisch denken over technologie, en inzicht in het gebruik dat jongeren maken van AI.

Overheid

De overheid speelt een belangrijke rol in het waarborgen van verantwoord gebruik van AI-technologie door jongeren. Enerzijds heeft zij de taak jongeren te beschermen tegen risico’s zoals schending van privacy, manipulatie, discriminatie en blootstelling aan ongeschikte inhoud. Dit doet de overheid door wetten en richtlijnen vast te stellen, toezicht te houden op naleving en bewustwording te stimuleren over veilig gebruik van AI. Anderzijds vervult de overheid een ondersteunende rol door jongeren te helpen de nodige kennis en vaardigheden te ontwikkelen om AI kritisch en verantwoord te gebruiken. Dit kan bijvoorbeeld door digitale geletterdheid in het onderwijs te bevorderen of kennisgeving via mediakanalen. Zo zoekt de overheid een balans tussen het beschermen van jongeren en het stimuleren van hun ontwikkeling in een steeds digitaler wordende samenleving.

Aanbieders

Ontwikkelaars en aanbieders van AI-systemen moeten zich realiseren dat kinderen geen gewone gebruikers zijn. Bij OpenAI realiseren ze zich dit, en beschrijven zij in hun Privacyverklaring dat de diensten niet gericht zijn op of bedoeld zijn voor kinderen onder de 13 jaar. Gebruikers onder de 18 jaar moeten toestemming van hun ouder of voogd hebben om OpenAI diensten te gebruiken.[7] Ook hebben de makers van OpenAI naar aanleiding van verontrustende ervaringen een nieuwe functionaliteit speciaal voor ouders geïntroduceerd. Eén van die nieuwe functionaliteiten is dat ouders hun eigen account kunnen koppelen aan die van hun kind, waardoor zij een melding krijgen als ChatGPT signaleert dat hun kind in acute nood verkeert.[8] Dit is een stap in de goede richting, maar een AI-chatbot kan niet inschatten of iemand echt in nood verkeert. De nieuwe functies geven ouders meer grip, maar lossen het kernprobleem niet op.

Ontwerpkeuzes moeten uitgaan van veiligheid en begrijpelijkheid. Belangrijke aandachtspunten zijn dataminimalisatie, transparantie, privacyvriendelijke leeftijdsverificatie-mogelijkheden en ethiek by design. Dit laatste stelt de privacy, bescherming en ontwikkeling van het kind centraal. Ook de Europese AI-verordening introduceert nieuwe verplichtingen voor ontwikkelaars en aanbieders van AI-systemen, zeker wanneer AI interacteert met kinderen en gebruikmaakt van de kwetsbaarheid van minderjarigen.

Privacy First roept de aanbieders van dergelijke AI-chatbots op om hun verantwoordelijkheid te nemen.

[1] Zie NOS Stories 26 september 2025. Zie voor bovengenoemde voorbeelden ook Volkskrant, Ouders klagen ChatGPT aan vanwege zelfmoord van hun zoon, 27 augustus 2025; NOS Nieuws, ChatGPT als hulp bij mentale problemen: ‘Liever AI dan therapie’, 26 september 2025; Telegraaf, 10 procent van de jongeren vraagt liever financieel advies aan AI dan aan hun ouders, 14 oktober 2025; Autoriteit Persoonsgegevens, AP waarschuwt: chatbots geven vertekend stemadvies, 21 oktober 2025; Autoriteit Persoonsgegevens, AI-chatbotapps voor vriendschap en mentale gezondheid ongenuanceerd en schadelijk, 12 februari 2025.

[2] NOS Nieuws, ChatGPT wijst mensen te snel door, merkt zelfdodinghulplijn 113, 26 september 2025.

[3] Autoriteit Persoonsgegevens, AI-chatbotapps voor vriendschap en mentale gezondheid ongenuanceerd en schadelijk, 12 februari 2025.

[4] Privacyverklaring OpenAI, bijgewerkt op 27 juni 2025.

[5] AI laat kinderen praten met fictieve personages: innovatie of risico? | Digiwijzer

[6] Kennisnet, ‘Een goede AI-strategie is voor iedere school een noodzaak’ – Kennisnet, 1 oktober 2025.

[7] Privacyverklaring OpenAI, bijgewerkt op 27 juni 2025.

[8] OpenAI, Betere ChatGPT-ervaringen voor iedereen creëren | OpenAI, 2 september 2025.

Dit jaar heeft opnieuw een groot aantal organisaties zich met hoogwaardige inzendingen aangemeld voor deelname aan de Nederlandse Privacy Awards. Na recente pitches en Q&A-sessies heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:

Publiosa – Registervanverwerkingen.nl

Toegankelijke, transparante online publicatie van verwerkingsregisters voor (semi-)overheden.

Lang niet alle (semi-)overheidsorganisaties publiceren hun register van verwerkingen op internet. En als ze dat wel doen, dan is het vaak in een weinig toegankelijke en moeilijk doorzoekbare vorm. Met Registervanverwerkingen.nl laat Publiosa zien dat het beter kan. Publiosa laat zich niet afschrikken, en blijft zich inzetten voor transparantie over verwerkingen van persoonsgegevens. De jury van de Nederlandse Privacy Awards nomineert Publiosa daarom voor de Privacy Awards.

LROI & Bluegen.ai – Synthetische data

Veilig beschikbaar stellen van orthopedische zorgdata voor onderzoek via hoogwaardige synthetische datasets, met sterke privacygaranties.

De Landelijke Registratie Orthopedische Interventies (LROI) wil haar gegevens over verschillende orthopedische behandelingen op een privacyvriendelijke manier beschikbaar stellen voor wetenschappelijk onderzoek. De LROI werkt daarom samen met Bluegen.ai die de gepseudonimiseerde gegevens in de registratie omzet in synthetische data. Daarmee worden de gebruikte persoonsgegevens nog minder herleidbaar, zonder de validiteit van het onderzoek in gevaar te brengen. De jury van de Nederlandse Privacy Awards waardeert de verantwoordelijkheid die de LROI voelt voor de persoonsgegevens die zij onder haar hoede heeft en de door haar gekozen koers. De jury nomineert de Landelijke Registratie Orthopedische Interventies en Bluegen.ai daarom voor de Privacy Awards.

Stimulansz – Privacy Kwartet

Speelse, tastbare trainingsinterventie die privacybewustwording bij gemeenten vergroot en drempels verlaagt.

Stimulansz biedt gemeenten expertise in het sociaal domein met praktische trainingen en advies. Voor haar privacybewustwordingstrainingen heeft ze het Privacy Kwartet ontwikkeld. Deze supersimpele interventie maakt dat privacy voor deelnemers letterlijk tastbaar wordt, en de spelvorm zorgt ervoor dat initiële weerstand verdwijnt en deelnemers meer open staan om serieus met privacy en de AVG om te gaan. De jury van de Nederlandse Privacy Awards nomineert Stimulansz daarom voor de Privacy Awards.

UMC Utrecht & Roseman Labs – NSK datawerkplaats

Privacy-by-design samenwerkingstool voor het vroegtijdig signaleren van kindermishandeling met geavanceerde cryptografie; schaalbaar, veilig en maatschappelijk zeer relevant.

De NSK (Nationaal Signaleringsinstrument Kindermishandeling) datawerkplaats biedt een privacy by design oplossing voor een urgente maatschappelijke uitdaging: het vroegtijdig signaleren van kindermishandeling. Door gevoelige patiëntgegevens uitsluitend in versleutelde vorm te verwerken met geavanceerde cryptografische technieken, maakt de datawerkplaats het mogelijk dat ziekenhuizen gezamenlijk leren en de kwaliteit van zorg kunnen verbeteren, zonder inbreuk te maken op de privacy van kinderen en gezinnen. De oplossing versterkt het vertrouwen in datagedreven zorgverbetering door doelbinding, instemming en volledige controle voor deelnemende instellingen centraal te stellen.

Daarnaast onderscheidt de NSK datawerkplaats zich door haar innovatieve, schaalbare en duurzame karakter. De technologie van Roseman Labs maakt diepgaande analyses mogelijk zonder toegang tot herleidbare gegevens, en sluit naadloos aan op bestaande onderzoeksomgevingen zoals de Digital Research Environment (DRE). Hierdoor kunnen zorginstellingen zelfstandig samenwerken en binnen enkele maanden vergelijkbare datawerkplaatsen realiseren. De toepassing toont overtuigend aan dat privacybescherming en maatschappelijke impact elkaar kunnen versterken en vormt een inspirerend voorbeeld voor veilige en verantwoorde gegevensuitwisseling binnen de toekomstige European Health Data Space.

De jury waardeert de combinatie van technische innovatie, maatschappelijke relevantie, praktische toepasbaarheid en voorbeeldstellende waarde voor andere sectoren waar met zeer gevoelige gegevens wordt gewerkt. De jury van de Nederlandse Privacy Awards nomineert de NSK datawerkplaats daarom voor de Privacy Awards.

Stichting Keurmerk Ritregistratiesystemen – Keurmerk Ritregistratiesystemen

Onafhankelijke certificering die privacy van zakelijke rijders waarborgt via o.a. een “digitaal kluisje” voor privéritten.

Het Keurmerk Ritregistratiesystemen biedt zakelijke rijders (ca. 250.000 van de in totaal 1,12 miljoen) een onafhankelijke en betrouwbare ritadministratie voor de 500km-verklaring. De stichting certificeert ca. 80% van alle leveranciers op de markt die voldoen aan de eisen van de Belastingdienst én privacybescherming waarborgen. Privé-ritgegevens zijn alleen inzichtelijk voor de werknemer zelf via een “digitaal kluisje”, waardoor werkgevers geen inzage hebben in privé-verplaatsingen met een zakelijke auto.

De jury waardeert de praktische invulling van privacybescherming in een complexe situatie waarbij werkgever en werknemer belangen moeten afwegen. Ook bedrijven (automakers of autoleveranciers) kunnen profiteren van het keurmerk en daarmee een uitgebalanceerde privacybescherming voor consumenten/gebruikers als USP aan hun product koppelen. De jury van de Nederlandse Privacy Awards nomineert Stichting Keurmerk Ritregistratiesystemen daarom voor de Privacy Awards.

TNO, NFI & SURF – GPT-NL

Eerste Nederlandse LLM dat volledig AVG-conform is ontwikkeld, met transparante trainingsdata, sterke privacyborging en een vernieuwend licentiemodel; een blauwdruk voor soevereine en verantwoorde AI in Europa.

GPT-NL is het eerste Nederlandse Large Language Model (LLM), met overheidssubsidie ontwikkeld door TNO i.s.m. het Nederlands Forensisch Instituut (NFI) en SURF. Het model wordt getraind op originele, hoogwaardige Nederlandse teksten van overheden, bibliotheken en uitgevers en niet op data die willekeurig van het internet is gescrapet. GPT-NL is het eerste LLM wereldwijd dat aantoonbaar voldoet aan de AVG door radicale privacy by design: alle persoonsgegevens van niet-publieke personen worden structureel vooraf verwijderd of geanonimiseerd. Daarnaast is GPT-NL volledig transparant (als enige aanbieder wereldwijd) over trainingsbronnen, respecteert het copyrights, en heeft het safeguards ingeregeld op haar output voor borging van privacyrechten. Met het – eveneens unieke – licentiemodel waarbij contentleveranciers eerlijk worden vergoed is GPT-NL niet alleen een boegbeeld voor privacy by design maar ook voor respectvolle en wettelijk correcte omgang met copyrights en het intellectuele eigendom van contentleveranciers. Het model is geschikt voor trust-critical toepassingen bij de overheid, onderwijs en zorgsectoren.

GPT-NL heeft als eerste een succesvolle samenwerking met álle uitgevers gerealiseerd voor de LLM-trainingsdata. De wereldwijde impact van GPT-NL is substantieel op het kruispunt waar Europa moet kiezen tussen Big Tech-afhankelijkheid of digitale soevereiniteit en soevereine AI’s. GPT-NL toont aan dat verantwoorde, AVG-conforme, copyrights-correcte en transparante LLM-ontwikkeling wel degelijk mogelijk is. De Europese Commissie noemt in haar “Apply AI Strategy” (oktober 2025) soevereine generatieve AI-modellen als een fundamentele productiefactor voor Europa. GPT-NL fungeert hierbij als blauwdruk voor heel Europa en de wereld. De mate van volledige transparantie van alle relevante data stelt andere organisaties in staat om deze aanpak over te nemen. Hiermee zet GPT-NL een nieuwe internationale standaard voor ethische, correcte, transparante en compliant AI-ontwikkeling.

De jury van de Nederlandse Privacy Awards nomineert GPT-NL daarom voor de Privacy Awards.

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren, op persoonlijke titel:

• Marlon Domingus  
  Functionaris gegevensbescherming, Erasmus Universiteit Rotterdam
  (juryvoorzitter)
• Walter van Wijk
  Community manager privacy, Centrum Informatiebeveiliging en Privacybescherming (CIP)
• Koen Versmissen
  Eigenaar Expertisecentrum Data-Ethiek
• Jaap-Henk Hoepman
  Associate Professor Computer Science, Radboud Universiteit Nijmegen
• Lora Mourcous 
  Advocaat, The Data Lawyers
• Sulaika Duijsings-Mahangi 
  Chief Privacy Officer, Ministerie van Infrastructuur en Waterstaat
• Sah Farooq
  Chief Privacy Officer & Manager Expertisecentrum Privacy, Gemeente Den Haag
• Jan Rinia
  Afdelingshoofd Gegevensbescherming en Privacy, Ministerie van Justitie en Veiligheid

Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op 28 januari as. (de Europese Dag van de Privacy) worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. Vervolgens kunnen de Nederlandse Privacy Awards in de volgende categorieën worden uitgereikt: 1) Techniek (van bedrijven voor consumenten), 2) Toepassing (binnen een organisatie of business-to-business) en 3) Bewustmaking (overheid, zorg en onderwijs). Tevens is er de mogelijkheid van een Aanmoedigingsprijs.

Stichting Privacy First organiseert de Nederlandse Privacy Awards in samenwerking met ECP, met steun van NordVPN. Mediapartner is PONT Data & Privacy. Wilt u ook graag sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Dit bericht is tevens gepubliceerd bij PONT Data & Privacy, zie Genomineerden Nederlandse Privacy Awards 2026 bekend! – PONT Data&Privacy. 

De digitale euro is de afgelopen weken weer veelvuldig in het nieuws. Dit komt doordat de Europese Centrale Bank (ECB) heeft besloten om te beginnen met de volgende fase van het digitale-europroject. Daarin wordt het Eurosysteem technisch klaargemaakt voor een eventuele eerste uitgifte van een digitale euro. De voorbereidingsfase die volgde op de onderzoeksfase (vanaf 2021) en startte in 2023 is hiermee afgerond. Naar verwachting kunnen de eerste pilots in 2027 starten met daadwerkelijke uitgifte in 2029.^[1]

Privacy First heeft al eerder kenbaar gemaakt dat zij fundamentele zorgen heeft over de digitale euro.^[2] Nu steeds meer bekend wordt over het ontwerp van de digitale euro blijven deze zorgen onverminderd groot. Naar verwachting zal de invoering van de digitale euro ingrijpende gevolgen hebben voor de maatschappij en voor de rechten van burgers. Om die reden roept Privacy First op tot een veel steviger debat over de vraag of de digitale euro er moet komen en hoe de financiële privacy van burgers niet verder verslechtert.

Er ligt een voorstel om uitgifte juridisch mogelijk te maken, maar echte politieke discussie is er nog niet geweest in Nederland of Europa. Durft de politiek op enig moment nog nee te zeggen tegen een systeem waarin al zoveel is geïnvesteerd? Slaapwandelen wij niet collectief een systeem in waarvan onduidelijk is wat de voors en tegens zijn voor de maatschappij en de grondrechten van burgers?

Ten aanzien van de digitale euro speelt het volgende:

• Machtsconcentratie bij een Europese instantie (de ECB) die geen democratische verantwoording aflegt.
• De ECB is onvoldoende transparant; volwassen tegenspraak tegen het optreden van ECB ontbreekt en aansprakelijkstelling voor fouten is feitelijk onmogelijk.
• Spanning in de rol van ECB en de praktische uitvoering door financiële instellingen (banken en betaaldienstverleners), die de kosten aan de bedrijfsklant zullen doorberekenen.
• De ECB beslist over het ontwerp van het digitale euro-systeem, waaraan grote maatschappelijke risico’s zijn verbonden.
• De ECB duikt weg voor verantwoordelijkheid als er iets mis gaat in het systeem. Mechanismen ten gunste van gedupeerde burgers ontbreken.
• Alternatieven met minder risico’s voor de grondrechten van burgers worden niet overwogen.

Dit lichten we hierna toe.

De ECB gaat direct euro’s uitgeven aan burgers

De digitale euro moet een aanvulling op munten en biljetten worden. In tegenstelling tot digitaal geld dat commerciële banken uitgeven, gaat de ECB de digitale euro’s zélf uitgeven. Als het plan het haalt, kunnen Europeanen digitale euro’s in een zogeheten ‘wallet’ zetten en daarmee betalingen doen. Ook komt er een offline variant, die op cash zou lijken.

Als de ECB zelf digitale euro’s gaat uitgeven, leidt dit tot een nog grotere concentratie van macht bij de ECB dan nu al het geval is. Het is een onderbelicht onderwerp wat de gevolgen hiervan zullen zijn en welke impact dit kan hebben voor burgers.

Onvoldoende transparantie en tegenspraak

De ECB is in Europa gepositioneerd als een onafhankelijk instituut vanuit de gedachte dat de politiek geen invloed mag uitoefenen op de centrale bank. Als overheden directe zeggenschap zouden hebben over de centrale bank, zou de politiek in de verleiding kunnen komen de rente te veranderen om zo op de korte termijn een economische hausse te creëren of centrale-bankgeld te gebruiken om populaire maatregelen te financieren. Dit zou de economie ernstige schade toebrengen.

De positionering van de ECB als onafhankelijk instituut leidt ertoe dat de ECB een weinig transparante organisatie is. De ECB geeft uitleg over haar beleid aan de burgers van de EU door bijvoorbeeld vragen te beantwoorden in het Europees Parlement, maar het is nagenoeg onmogelijk de ECB aansprakelijk te houden voor fouten die zij maakt. Dit heeft hoofdzakelijk twee redenen.

Ten eerste hanteert het Europees Hof van Justitie hoge drempels voordat de ECB aansprakelijk geacht wordt. Zo zijn EU-instellingen als de ECB enkel aansprakelijk voor door hen veroorzaakte schade als sprake is van ‘ernstige schending’ van een regel van het EU-recht. Verder kan schade enkel geclaimd worden bij het Europees Hof. Dit is een hoge en kostbare drempel voor burgers, terwijl de doorlooptijd voor een zaak bij het Europees Hof al snel 2 á 3 jaar is. Een zoekopdracht in de database die alle rechtszaken tegen de ECB omvat, levert geen succesvolle claims tegen de ECB op.

De uitrol en het klantcontact ligt bij commerciële partijen

Hoewel de ECB de digitale euro zal uitgeven, zal deze uitsluitend worden gedistribueerd via commerciële banken en betaaldienstverleners. Deze partijen zullen verplicht worden de digitale euro beschikbaar te stellen aan het publiek. Zij zullen verantwoordelijk zijn voor het uitvoeren van alle handelingen die normaliter samenhangen met het openen en aanhouden van een gewone bankrekening, zoals antiwitwas-controles bij onboarding, transactiemonitoring en de klantenservice.

Een bijzondere functie die banken zullen moeten inrichten en laten functioneren is de zogeheten ‘watervalfunctionaliteit’. De verwachting is dat veel mensen het handig vinden om hun digitale euro-rekening te koppelen aan een gewone bankrekening. Omdat mensen waarschijnlijk maximaal 3.000 digitale euro mogen houden en de kans bestaat dat iemand boven dat bedrag uitkomt doordat hij digitale euro’s ontvangt, zal een watervalfunctie moeten worden ingericht, die het overtollige bedrag aan digitale euro’s automatisch overmaakt naar de gekoppelde bankrekening. Omgekeerd kan ook een tekort op de digitale eurorekening direct worden overgemaakt van de gekoppelde bankrekening (de omgekeerde watervalfunctie). Deze functionaliteit komt met risico’s.

De ECB houdt toezicht op de banken en betaaldienstverleners die de digitale euro moeten uitrollen in de markt. De ECB gaat dus controleren of banken en betaalinstellingen de distributie correct uitvoeren (en bijvoorbeeld aanverwante IT-risico’s goed managen) en consumenten die een digitale eurorekening aanhouden goed behandelen.

Tegen prijzen die ECB gaat monitoren

De ECB heeft beloofd dat de digitale euro gratis wordt voor consumenten. Omdat ontwikkeling, uitrol en in de lucht houden van de digitale euro veel geld kost^[3], zullen banken en betaalinstellingen de kosten die zij maken in rekening gaan brengen bij de bedrijven die de digitale euro (verplicht) moeten accepteren.

De kosten die de banken mogen rekenen, moeten volgens de regels^[4] ‘proportioneel’ zijn. De ECB zal monitoren of de vergoedingen die banken gaan vragen inderdaad evenredig zijn.

ECB beslist over ontwerp- en toepassingsmogelijkheden

Het ontwerp van het digitale euro-systeem wordt door de ECB bepaald. De voorgestelde regels voor introductie van de digitale euro stellen de grenzen waaraan de ECB zich zal moeten houden, maar de ECB heeft veel ruimte om tot eigen keuzes en invulling te komen.

Privacy First zal hier niet gedetailleerd ingaan op de mogelijkheden en risico’s die de digitale euro oplevert, maar wijst erop dat inrichting van de digitale euro geen puur technische discussie is. Introductie van de digitale euro betekent onder meer:

• Risico’s voor privacy, onder meer vanwege het optuigen van een database waarin de ECB alle betalingen gaat registreren. Deze database ligt binnen het bereik van inlichtingendiensten en politiediensten[5] en zal een belangrijk doelwit zijn voor cyberaanvallen;
• De kans op programmeerbaar geld, dus geld dat uitsluitend voor bepaalde doeleinden gebruikt mag worden[6];
• De kans dat gebruik van de digitale euro feitelijk verplicht wordt, bijvoorbeeld omdat de overheid bepaalde subsidies of andersoortige uitkeringen uitsluitend in digitale euro’s uitkeert. Een burger die geen gebruik wil maken van de digitale euro zal dan geen aanspraak kunnen maken op de subsidie in kwestie (dat zal dan een ‘eigen keuze’ zijn);
• Risico’s op uitfasering van contant geld, terwijl dit de enige vorm van geld is die daadwerkelijk anonimiteit oplevert en toegankelijk is voor iedereen. Naarmate gebruik van de digitale euro toeneemt, zal contant geld uit roulatie genomen moeten worden om de door ECB uitgegeven geldhoeveelheid gelijk te houden of niet te veel te laten groeien;
• Sluipende invoering van de digitale identiteit (‘EUDI-wallet’ / ‘EDI-wallet’); om de online variant van de digitale euro te kunnen gebruiken zullen burgers een digitale wallet moeten hebben. Het koppelen of integreren van de digitale identiteit aan de digitale euro wordt hiermee waarschijnlijk.[7] Op dit moment is al sprake van het ontwerpen van regels waaronder banken verplicht worden gebruik te maken van de digitale identiteit.[8] Wordt gebruik van de digitale identiteit hierdoor alsnog verplicht?
• Een enorme concentratie van macht bij de ECB, terwijl democratische controle op de ECB ontbreekt en rechtszaken tegen de ECB niet alleen lang duren en kostbaar zijn, maar ook weinig kans op succes hebben;
• Toenemend risico voor cyberaanvallen op cruciale infrastructuur, nu de online versie van de digitale euro een extra laag complexiteit toevoegt aan de bestaande digitale betalingsinfrastructuur.

ECB duikt weg voor verantwoordelijkheid

Net zoals er bij het huidige betaalverkeer zaken fout kunnen gaan, zijn er bij het betalen met of ontvangen van digitale euro’s zaken die fout kunnen lopen. Zo kunnen ​​betalingen worden betwist, omdat het gekochte is beschadigd of er betaald is zonder toestemming van de betaler.  Ook ontstaan soms technische fouten waardoor bijvoorbeeld het transactiebedrag afwijkt of transacties twee keer worden uitgevoerd. Tot slot kan er sprake zijn van fraude zoals identiteitsfraude of onderschepping van betaalgegevens. Als dit soort fouten momenteel optreedt, kunnen betalers of ontvangers in de regel de bank of de winkelier aanspreken.

Voor transacties waarbij gebruik gemaakt zal worden van de digitale euro, kan uiteraard ook sprake zijn van (technische) fouten of fraude. De ECB geeft aan dat zij echter geen aansprakelijkheid hiervoor zal erkennen. Het zal altijd de bank, de betaaldienstverlener, de handelaar of, in sommige gevallen, de consument zijn die aansprakelijk is.^[9]

Het standpunt van de ECB is opmerkelijk want het strookt niet met het Europees Verdrag, waarin bepaald is dat de ECB aansprakelijk is voor fouten die zij maakt bij de taken die zij uitvoert.^[10] De ECB positioneert de digitale euro als risicoloos^[11], maar dit is misleidend. Er zijn immers allerlei soorten situaties te voorzien waarbij opgetreden fouten aan de ECB te wijten kunnen zijn.

Zo zou een gehackte digitale eurorekening waarbij automatisch geld wordt gestort in digitale euro’s zonder tussenkomst van de gebruiker (de omgekeerde waterval)  kunnen leiden tot het onbeperkt geld opnemen van de gekoppelde commerciële bankrekening. Verder maakt de digitale euro gebruik van bestaande betaalstructuren en zal gebruik van de euro daarmee blootgesteld zijn aan dezelfde risico’s die zich nu ook al voordoen bij gebruik van door banken uitgegeven digitaal geld.

De ECB als uitgever van de digitale euro moet rekening houden met het optreden van deze risico’s en zal deze niet zonder meer op andere partijen kunnen afwentelen. Voor getroffen gebruikers zal dus een laagdrempelig systeem moeten worden opgetuigd, waaronder zij geleden schade bij de ECB kunnen verhalen. Zonder zo’n systeem zullen gebruikers van de digitale euro met lege handen staan als fouten optreden die te wijten zijn aan de ECB.

Waar is de stem van burgers?

In 2022 organiseerde de Europese Commissie een ‘have your say’ over de digitale euro. Meer dan 19.500 Europese burgers namen de moeite om te reageren op deze consultatie.^[12] Geen enkele reactie was positief.

Vier jaar nadat de ECB begonnen is aan dit project, blijven veel vragen leven over nut en noodzaak van de digitale euro. De ECB blijft positief over de digitale euro en ook de Nederlandse regering heeft aangegeven positief tegenover de digitale euro te staan.^[13] Anderen twijfelen aan de toegevoegde waarde van een digitale euro.

Privacy First volstaat met de observatie dat onbekend is of de digitale euro werkelijk voorziet in een behoefte en wat de exacte gevolgen zullen zijn van invoering voor burgers. Tegelijkertijd is wel duidelijk dat de digitale euro grote risico’s met zich meebrengt en dat de ECB taken en rollen heeft en zal hebben bij ontwerp en uitrol, die een onevenwichtig systeem opleveren.

De ECB investeert al jaren in de ontwikkeling van de euro terwijl het democratische debat in de EU-lidstaten niet gevoerd wordt en besluitvorming zich ver weg afspeelt. De kans is hiermee groot, dat wij de digitale euro inwandelen zonder dat echt zicht bestaat op impact en risico’s en zonder dat mogelijke alternatieven met minder risico’s voor de grondrechten van burgers en minder machtsconcentratie bij de ECB worden overwogen.^[14]

Privacy First roept daarom de politiek op te voorkomen dat de uitrol van de digitale euro er zonder serieuze democratische discussie en legitimatie komt. Invoering van de digitale euro kan niet afhankelijk zijn van één enkele stemming in Europees verband, maar vergt een veel breder debat.

^[1] Progress on the preparation phase of a digital euro – Closing progress report

^[2] De digitale euro: opmaat naar massasurveillance op Europees niveau? | Privacy First

^[3] De ECB schat de kosten voor de commerciële sector op een bedrag tussen de 4 en 5,77 miljard euro. De banken schatten de kosten op ongeveer 18 miljard euro. Zie bijvoorbeeld Digital euro: one cost may hide another

^[4] Zie art. 17 van het Voorstel voor een Verordening betreffende de vaststelling van de digitale euro (‘de Verordening’): https://eur-lex.europa.eu/resource.html?uri=cellar:6f2f669f-1686-11ee-806b-01aa75ed71a1.0010.02/DOC_1&format=PDF

^[5] Art. 32 van de Verordening.

^[6] Zie o.a. pp. 8-9 van deze DNB publicatie: https://www.dnb.nl/media/espadbvb/central-bank-digital-currency.pdf

^[7] Zie p. 22 e.v. van het voor het Nederlandse Ministerie van Binnenlandse Zaken gemaakte rapport ‘Digitale decentrale waardeoverdracht voor de publieke sector in Nederland’: https://cris.vub.be/ws/portalfiles/portal/79975514/Rapport_Digitale_Decentrale_Waardeoverdracht_voor_de_publieke_sector_in_NL.pdf

^[8] Zie de consultatiereactie van Privacy First op voorstellen van de Europese Bankenautoriteit: https://privacyfirst.kinsta.cloud/artikelen/digitale-identiteit-wordt-sluipenderwijs-toch-verplicht/

^[9] A stocktake on the digital euro – Summary report on the investigation phase and outlook on the next phase p. 27.

^[10] Art. 340 van het Verdrag betreffende de werking van de Europese Unie.

^[11] Shifting payment landscape: what a digital euro will bring

^[12] A digital euro for the EU

^[13] BNC Fiche Digitale Euro: Kamerstuk 22112, nr. 3747 | Overheid.nl > Officiële bekendmakingen

^[14] Zie bijvoorbeeld https://www.norea.nl/nieuws/lancering-van-wero-belangrijke-stap-europese-digitale-souvereiniteit

Impact online seksueel geweld

Fonds Slachtofferhulp vindt het belangrijk dat de alliantie zich vanaf nu gezamenlijk inzet tegen online seksueel geweld. De impact is namelijk enorm. Eén op de twee jongeren in Nederland tussen de 12 en 25 jaar krijgt te maken met online seksueel misbruik of online seksuele intimidatie. Onderzoek laat zien dat seksueel misbruik op jonge leeftijd een risicofactor is om later online misbruik mee te maken.

Onderzoek wijst ook uit dat de gevolgen van online misbruik vergelijkbaar zijn met de impact van fysiek seksueel misbruik. 70% van de jongeren die slachtoffer zijn geworden, ervaart directe psychische of sociale gevolgen zoals schaamte, angst en een verminderd vertrouwen in anderen.

“Slachtoffers ervaren vaak ernstige mentale gezondheidsproblemen zoals depressie, suïcidaliteit, automutilatie, angst en PTSS. Er zijn helaas de afgelopen jaren zelfs gevallen geweest waarbij online seksueel geweld tot zelfdoding bij jongeren leidde. Daarnaast wordt de verwerking van online misbruik bemoeilijkt doordat beeldmateriaal blijft rondgaan. We mogen dit niet langer zien als incidenten. Dit is structureel, grootschalig en verwoestend. Als samenleving hebben we de plicht om dit aan te pakken”, aldus Fonds Slachtofferhulp.

Recht op lichamelijke integriteit

Van oudsher hanteert Privacy First een breed, mensenrechtelijk begrip van het recht op privacy. Naast de bescherming van persoonsgegevens (waaronder beeldmateriaal) valt hieronder ook het recht op lichamelijke integriteit en zelfbeschikking. Naast artikel 8 van het Europees Verdrag voor de Rechten van de Mens wordt het recht op lichamelijke integriteit in Nederland apart beschermd door artikel 11 van de Grondwet. Op internationaal niveau behoort het recht op lichamelijke integriteit tot de categorie mensenrechten die de sterkste bescherming genieten. Online seksueel geweld is een grove schending hiervan.

Grenzen stellen aan online seksueel geweld

Vanaf nu zet Boundaries zich gezamenlijk in voor het ondersteunen van slachtoffers, het vergroten van bewustwording en het bevorderen van preventie van online seksueel misbruik en geweld. Daarnaast doet de alliantie onderzoek en ontwikkelt zij voorstellen richting politiek en toezichthouders. Afhankelijk van het onderzoek of project werken soms alle partners samen, en soms een deel van de alliantie. Zo draagt Boundaries flexibel én krachtig bij aan een structurele en effectieve aanpak van online seksueel geweld. Want alleen samen kunnen we grenzen stellen aan online seksueel geweld – dat is waar Boundaries voor staat.

Het ETCD-systeem lijkt de afgelopen jaren in stilte te zijn opgebouwd door spoorwegbedrijven die zich hebben verenigd in de branche-organisatie UIC (Union Internationale des Chemins de Fer / International Railway Union). Het bestaan en de reikwijdte van het systeem bleek recentelijk uit een zienswijze van NS in een juridische procedure die sinds 2018 wordt gevoerd door privacy-activist Michiel Jonker. Hij verzocht de Nederlandse Autoriteit Persoonsgegevens (AP) tweemaal om handhaving.

In augustus 2024 nam de AP voor de tweede maal het besluit om de zaak niet te onderzoeken. Hiertegen diende Jonker bezwaar in. Aanvankelijk wilde NS geen inbreng leveren in de bezwaarprocedure, terwijl de AP zei er geen prioriteit aan te willen geven. Na verschillende interventies van Jonker, gevolgd door een smeekbede van de AP, stuurde NS in oktober 2025 alsnog een zienswijze waarin meer informatie werd verschaft.

Jonker: “Ik ben geschokt door deze informatie. Dit betekent dat het de bedoeling van deze bedrijven is om de locatiegegevens van iedereen die met het openbaar vervoer in de EU rondreist, continu voor zichzelf en eventuele belangstellende overheidsdiensten beschikbaar te hebben. Want voor vliegreizen binnen de EU gebeurt dat op dit moment ook al via een als ’tijdelijk’ gepresenteerde uitbreiding van Passenger Name Records (PNR), en uiteraard zullen ze dit ook willen uitbreiden naar het tracken van mensen die de bus nemen. Aan reizigers wordt niet de keuze gelaten of ze hun reis willen laten registreren of niet. Dit ETCD doet denken aan EHDS, de European Health Data Space, waarin de EU de persoonlijke medische gegevens wil opslaan van iedereen die in de EU medische zorg krijgt of nodig heeft. Daar was tenminste nog Europese wetgeving voor nodig. Maar dit ETCD gebeurt – in naam – geheel buiten de overheid om, zonder enige democratische controle, zelfs niet indirect. En nu zegt NS tegen de AP: ‘Bemoei je er niet mee. Wij mogen dit doen, want wij zijn particuliere vervoerbedrijven.’ Verbijsterend. Dit is een enorm schandaal. We weten inmiddels ook hoe riskant het is om gevoelige persoonsgegevens – locatiedata van identificeerbare personen – in zulke enorme systemen op te slaan.”

Vermeend gerechtvaardigd belang

Voor het eerst voert NS nu ook een zogenoemd “gerechtvaardigd belang” (artikel 6.1 onder f AVG) aan voor deze gegevensverwerking. Jonker. “Dit is een nieuw argument dat NS op het allerlaatst inbrengt, pas na de hoorzitting in de bezwaarprocedure. Tot nu toe zei NS steeds dat het opeisen van die persoonsgegevens mocht op grond van een contract dat reizigers met NS sluiten, namelijk de algemene voorwaarden die NS eenzijdig heeft opgesteld en oplegt aan de klanten (artikel 6.1 onder b AVG). Daarnaast meende NS een gerechtvaardigd belang te hebben omwille van haar wens om reizigers altijd en overal te informeren over vertragingen – los van de vraag of burgers dat ook willen. Zelf wil ik bijvoorbeeld thuis niet ongevraagd geïnformeerd worden, ik zoek het liever zelf op de website van NS, of op de borden in de stations. Maar nu zegt NS dat ze de naam en andere persoonsgegevens van reizigers nodig hebben voor fraudepreventie, terwijl dat met traditionele tickets helemaal niet nodig was. Die privacyvriendelijke tickets willen de spoorwegmaatschappijen echter uitfaseren. In Nederland is dat voor bijna alle treintickets naar het buitenland al gedaan.”

Wonderbaarlijke vermenigvuldiging van verwerkingsverantwoordelijken

Een andere zorgwekkende ontwikkeling is de wens van NS dat ticketverkopers een nieuwe rol krijgen als zelfstandige verwerkingsverantwoordelijken die eigen doelen mogen vaststellen voor de gegevensverwerking. Hiermee zou het in de AVG vastgelegde vereiste van “doelbinding” worden omzeild. Jonker: “NS vindt van zichzelf dat hij een zelfstandige verwerkingsverantwoordelijke is voor treintickets van Deutsche Bahn, SNCF of andere vervoersbedrijven die ze in Nederland door NS laten verkopen, zodat NS zelf eigen doelen mag vaststellen voor die verwerking. Daar ben ik het uiteraard niet mee eens. Voor die tickets is NS alleen een verwerker, niet de verwerkingsverantwoordelijke. Immers, NS krijgt alleen toegang tot die gegevens omdat Deutsche Bahn of SNCF een opdracht aan NS verlenen om die tickets te verkopen.”

NS lijkt daarnaast een geheel nieuwe rol voor zichzelf te willen creëren als “uitgever” van tickets, een soort tussenschakel tussen een vervoerbedrijf en een ticketverkoper. Jonker: “NS stuurt aan op een soort wonderbaarlijke vermenigvuldiging van verwerkingsverantwoordelijken die allemaal hun eigen doelen mogen vaststellen. Het enige wat een dergelijke “uitgever” van treintickets zou toevoegen aan het vervoer en de ticketverkoop, is het opslurpen van persoonlijke data van reizigers. Dat zou het doel zijn. NS is daar in Nederland al jaren geleden mee begonnen met de oprichting van dochterbedrijf Trans Link Systems (TLS), dat OV-chipkaartgegevens van reizigers verwerkt. Kennelijk willen NS en buitenlandse vervoerbedrijven zoals Deutsche Bahn en SNCF een vergelijkbaar technisch systeem voor massasurveillance EU-breed uitrollen, zonder enige democratische legitimering.”

Gaat de AP eindelijk handhaven?

Jonker hoopt dat na het door hem ingediende bezwaarschrift de Autoriteit Persoonsgegevens (AP) alsnog bereid zal zijn handhavend op te treden jegens Deutsche Bahn, SNCF en andere relevante vervoerbedrijven. Jonker: “De AP heeft tot nu toe geweigerd om onderzoek te doen, maar kan er wettelijk gezien eigenlijk niet meer omheen. Vooral niet nu de Franse Raad van State (de Conseil d’État) in een vergelijkbare zaak de Franse toezichthouder heeft verplicht om handhavend op te treden tegen het onrechtmatig opeisen van bepaalde gegevens van reizigers door SNCF. De AP is samen met andere toezichthouders bevoegd en beschikt over de middelen om te handhaven. Er is geen legitieme reden voor de AP om het doen van onderzoek nog langer te weigeren.”

De AP heeft aangegeven eerst te willen wachten op een uitspraak van de Nederlandse Afdeling bestuursrechtspraak van de Raad van State in een andere, eveneens door Jonker gevoerde procedure. Jonker: “Dat gaat over de acceptatie van contante betaling in een bioscoop, voor bioscooptickets. Ook daar weigert de AP onderzoek te doen. Dit is niet alleen in strijd met de AVG, maar ook met artikel 8 EVRM. De AP wil wachten om te horen wat de Raad van State gaat zeggen over de relevantie van artikel 8 EVRM. Op zich kan ik dat begrijpen, maar het moet niet het zoveelste excuus worden om besluitvorming op de lange baan te schuiven. Zowel met die bioscooptickets als met de treintickets ben ik al sinds 2018 bezig, en nog steeds weigert de AP om beide zaken zelfs maar serieus te onderzoeken. Dergelijk gedrag is een toezichthouder onwaardig. Het gaat immers om miljoenen mensen die met privacy cultureel en maatschappelijk willen kunnen participeren en willen kunnen reizen.”

De door Jonker ingediende processtukken kunnen HIER worden ingezien (tijdlijn van de procedure van 2020 tot heden).

We schreven eerder al over de slimme deurbelcamera. Net zoals bij de deurbelcamera filmen de meeste camera’s die zijn aangesloten bij de samenwerking Camera in Beeld niet alleen het eigen terrein. De overgrote meerderheid filmt de openbare ruimte, waardoor er een netwerk is ontstaan van ongeveer 300.000 particuliere camera’s die de openbare ruimte filmen.^[1] Wie op straat rondloopt, kan onbewust door tientallen camera’s worden vastgelegd – vaak door buurtgenoten die hun huis willen beveiligen en hopen de buurt een stukje veiliger te maken. En met een beetje pech betekent dit dat je iedere keer als je thuiskomt of weggaat op de camera van de buurman staat.

Strenge regels voor de overheid

Het gemak waarmee een particulier te enthousiast de openbare ruimte kan filmen, is enorm. En dat terwijl, wanneer de gemeente of politie zelf wil filmen, er terecht strenge voorwaarden gelden. Cameratoezicht moet bekend worden gemaakt en de noodzaak moet onderbouwd worden: het mag alleen als er geen andere alternatieven mogelijk zijn. Ook moet er sprake zijn van overlast of criminaliteit die niet op een andere manier kan worden aangepakt. Het is daarnaast altijd tijdelijk en alleen de politie mag de beelden bekijken.^[2] Dat betekent dat je kunt weten waar je gefilmd wordt en de mogelijkheid hebt om navraag te doen of dit volgens de regels gebeurt. Mocht het een te grote inbreuk op je privacy vormen, dan kan je naar de rechter stappen.

Onzichtbaar toezicht door particulieren

Als de buurman een camera ophangt, ligt dat anders. Cameratoezicht moet officieel kenbaar worden gemaakt, maar in de praktijk gebeurt dat lang niet altijd. Zelfs met een bordje dat er cameratoezicht plaatsvindt, is het voor de voorbijganger niet in te schatten of ook de openbare weg wordt gefilmd. Van buiten is immers lastig te zien wat het gezichtsveld is, of de camera altijd aanstaat, of bijvoorbeeld pas werkt zodra er wordt aangebeld of iemand op het terrein komt. Met andere woorden: je weet vaak niet dat je gefilmd wordt en al helemaal niet hoe.

Vaak niet volgens de regels

Ook is het maar de vraag of de buurman zich aan de regels houdt. Camerabeelden mogen namelijk niet te lang worden bewaard en er mag alleen gefilmd worden als dat echt niet anders kan. Gezichtsherkenning is bovendien verboden. De politie heeft recent delen van de Camera in Beeld dataset openbaar gemaakt, en daaruit blijkt dat niet iedereen zich aan de regels houdt.^[3]

We zien bovendien regelmatig dat beelden herkenbaar worden gedeeld. Wat denk je van de opnames van dat groepje jongeren dat overlast veroorzaakt en in de buurtapp verschijnt? Of van die pakketbezorger die na het aanbellen direct in de auto stapt en op Dumpert of YouTube belandt? Zouden deze personen toestemming hebben gegeven voor herkenbare publicatie?

Het komt de politie goed uit

En om eerlijk te zijn: de overmaat aan cameratoezicht komt de politie eigenlijk goed uit. Hoe langer beelden bewaard worden en hoe meer er wordt vastgelegd, hoe groter de kans dat er bij een misdrijf bruikbare beelden zijn. Het gebrek aan kennis en interesse in privacy wordt door de politie dankbaar gebruikt om het werk makkelijker te maken. Sterker nog: de politie moedigt cameratoezicht actief aan en geeft op de politiewebsite ook instructies om de camerabeelden zo bruikbaar mogelijk te laten zijn.^[4]

Een grijs gebied zonder wettelijke basis

Daardoor ontstaat een gevaarlijke situatie: een vorm van surveillance zonder wettelijke basis. De politie maakt handig gebruik van een grijs gebied: zij filmt immers niet zelf, maar weet precies waar particuliere camera’s hangen en hoe ze beelden kan opvragen. Zo wordt een publieke taak – toezicht houden in de openbare ruimte – uitbesteed aan particulieren, zonder de waarborgen die normaal gelden. Er wordt een truc toegepast: de regels voor overheidscameratoezicht worden omzeild, terwijl het resultaat hetzelfde is.

Maar het leidt tot inperking van vrijheid

Voor de gewone burger is dat nauwelijks te doorzien. Het toezicht is niet kenbaar, er is geen bordje van de gemeente of besluit van de burgemeester, en niemand weet of en hoe vaak beelden worden opgevraagd. Zo ontstaat grootschalige, onzichtbare surveillance, met alle beveiligingsrisico’s van dien. De beelden van goedbedoelende burgers worden een honeypot voor politie, inlichtingendiensten, hackers en kwaadwillenden. En ondertussen legitimeert het systeem misstanden bij particulieren die zonder toezicht grenzeloos filmen. Wat begon als een handig hulpmiddel om misdrijven op te lossen, dreigt zo een structurele inperking van onze vrijheid te worden zonder dat daar een wettelijke basis voor is.

^[1] https://eenvandaag.avrotros.nl/doe-mee/steeds-meer-cameras-in-de-openbare-ruimte-dit-zijn-de-gevolgen-voor-jouw-privacy-151620

^[2] https://www.autoriteitpersoonsgegevens.nl/themas/cameratoezicht/cameratoezicht-op-openbare-plaatsen/voorwaarden-cameratoezicht-op-openbare-plaatsen

[3] Zie eerder https://www.politie.nl/wet-open-overheid/woo-verzoeken/staf-korpsleiding/woo-verzoeken-per-jaar/2024/2024-privacy–en-informatiebeveiligingsrisicos-van-camera-in-beeld.html en https://www.politie.nl/wet-open-overheid/woo-verzoeken/staf-korpsleiding/woo-verzoeken-per-jaar/2024/2024-brondata-van-camera-in-beeld.html.

^[4] https://www.politie.nl/informatie/wat-is-camera-in-beeld.html