In maart mag Nederland zich in een referendum uitspreken over de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), in de volksmond ook wel 'sleepwet' genoemd. Critici wijzen met deze term op een nieuwe bevoegdheid van de AIVD en MIVD, die door hen het 'sleepnet' wordt genoemd.

Onder de nieuwe wet krijgen de inlichtingendiensten meer zogenoemde bijzondere bevoegdheden. Een van de meest omstreden punten is dat de Nederlandse spionnen breder internetverkeer mogen aftappen.

Uiteindelijk stemt bij het referendum een meerderheid van 49,4 procent tegen de 'aftapwet'. De voorstanders halen 46,5 procent van de stemmen; het overige deel is blanco of ongeldig.

Vanwege de uitslag belooft het kabinet de Wiv op drie punten aan te passen. Zo wordt de bewaartijd voor ongericht verzamelde gegevens van drie jaar opgesplitst in drie termijnen van één jaar. Ook wordt in de wet vastgesteld dat het tappen "zo gericht mogelijk" moet gebeuren en wordt het toezicht op het delen van verzamelde data met buitenlandse inlichtingendiensten strenger.

Desondanks treedt de 'aftapwet', zonder dat de wijzigingen zijn doorgevoerd, op 1 mei in werking. Dat betekent dat de AIVD en MIVD sindsdien naar de nieuwe wet moeten handelen.

De CTIVD, die bijzondere bevoegdheden achteraf controleert, is kritisch. Zo gebeurt het aftappen niet altijd zo gericht mogelijk, waardoor het risico bestaat dat de privacy van burgers die als bijvangst worden getapt in het geding komt.

In december zijn de beloofde aanpassingen in de nieuwe wettekst rond, maar nog niet verwerkt en openbaar. Hoe de wijzigingen er in de wetstekst precies uitzien en of dit daarmee voldoet aan de beloften van het kabinet, is nog niet bekend.

Op 17 maart onthullen The Observer en The New York Times hoe het data-analysebedrijf Cambridge Analytica gegevens van 87 miljoen Facebook-gebruikers in handen wist te krijgen. Daarmee werden psychologische profielen van mensen gemaakt, die vervolgens bij politieke reclame werden ingezet.

Het dataschandaal is voor politici, gebruikers, ex-medewerkers, beroemdheden en media aanleiding om Facebook goed onder de loep te nemen. Ook in Nederland, waar de gegevens van maximaal 90.000 gebruikers werden verzameld.

Facebook-directeur en -oprichter Mark Zuckerberg moet zich in april twee dagen verantwoorden in het Amerikaans Congres. De normaal in spijkerbroek en T-shirt geklede topman kiest er toch maar voor om in een pak te verschijnen. In Washington komen naast het privacyschandaal ook nepnieuws, opties tot strengere regulering en de machtspositie van het bedrijf aan de orde.

Facebook-directeur Mark Zuckerberg getuigt in het Amerikaanse Huis van Afgevaardigden (Foto: ANP)

In mei mag Zuckerberg opnieuw getuigen, ditmaal voor leden van het Europees Parlement. Het verhoor wordt door critici een schijnvertoning genoemd, omdat de Facebook-topman gewoonweg een ingestuurde verklaring lijkt te geven.

In de maanden daarna blijft Facebook de aandacht opnieuw - onbedoeld - opeisen door nieuwe onthullingen over de manieren waarop het bedrijf data van gebruikers verzamelt, de vermeende indamming van conservatieve geluiden en het twijfelachtige handelen van de Facebook-top.

Hoewel het aantal Facebook-gebruikers in Europa kort na alle schandalen iets lijkt te dalen, heeft het nieuws geen grote impact op de winst van het bedrijf. Wel krijgt Facebook in het Verenigd Koninkrijk een boete van 500.000 pond (ruim 550.000 euro) wegens het faciliteren van de datalekken en moet het bedrijf in Italië 10 miljoen euro betalen wegens misleiding van gebruikers.

Op 25 mei treedt in de Europese Unie een nieuwe privacywet, de AVG, in werking. De wet regelt hoe bedrijven en organisaties moeten omgaan met persoonsgegevens en wat zij wel en niet met deze gegevens mogen doen.

Een privacyactivist klaagt meteen Google, Facebook en dochterbedrijven Instagram en WhatsApp aan, omdat zij de nieuwe wet zouden overtreden. Op dit moment loopt de zaak nog.

In Nederland oordeelt de Autoriteit Persoonsgegevens (AP) dat de Belastingdienst in strijd met de wet handelt, omdat de organisatie het burgerservicenummer verwerkt in het btw-nummer. Ook een aantal banken en verzekeraars voldoet na 25 mei nog niet aan de wet, concludeert de AP.

In de loop van het jaar komt ook het nieuws van meerdere datalekken naar buiten, waaronder in Nederland. Onder meer gegevens bij luchtvaartmaatschappij British Airways (380.000 passagiers), Facebook (50 miljoen gebruikers), hotelketen Mariott (500 miljoen gasten), DNA-bedrijf MyHeritage (92 miljoen mensen) en Google Plus (52 miljoen gebruikers) komen op straat te liggen.

Alle Europese privacyautoriteiten hebben sinds mei de bevoegdheid om boetes uit te delen. Die kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van het hoogste bedrag. In Nederland zijn nog geen AVG-boetes uitgedeeld.

Wel krijgt taxibedrijf Uber in november een boete van de AP onder de wet die vóór de AVG van kracht was. Het is tevens de allereerste keer dat de Nederlandse privacyautoriteit naar deze maatregel grijpt. Uber krijgt een boete van 600.000 euro voor het te laat melden van een datalek uit 2016.

In december maakt de Autoriteit Persoonsgegevens bekend dat sinds 25 mei bijna tienduizend mensen een klacht hebben ingediend bij de waakhond.

AP-voorzitter Aleid Wolfsen zegt het "bemoedigend" te vinden dat zo veel mensen opkomen voor hun privacyrechten. "Tegelijkertijd is dit een reden tot zorg." Er moet volgens hem bij enkele organisaties "nog veel gebeuren" voordat zij zich aan de privacywet houden.

In januari plaatst EUvsDisinfo, een initiatief van de Europese Commissie om nepnieuws te bestrijden, publicaties van NPO Radio 1, GeenStijl, The Post Online en De Gelderlander op een lijst van nepnieuws. Het is het eerste grote voorbeeld waaruit blijkt dat nepnieuws ook in 2018 weer een rol speelt.

Hoe breed online manipulatie zich kan uiten, blijkt in april als de Volkskrant onthult dat zanger Dotan nepaccounts op sociale media gebruikt om de artiest op te hemelen. Het 'trollenleger', een term voor een grote groep nepaccounts dat bewust onwaarheden verspreid, was actief op Facebook, Twitter, Instagram en Wikipedia.

Ook komt aan het licht welke invloed Russische trollen hebben gespeeld in Nederland. In juli onthult NRC hoe trollen met Nederlandstalige tweets de islam in een kwaad daglicht stellen, zich mengen in het debat over vluchtelingen en oproepen om op Geert Wilders te stemmen.

De tweets zijn verstuurd door accounts die worden gelinkt aan de Internet Research Agency (IRA), een 'trollenfabriek' in Sint-Petersburg die weer gelinkt wordt aan het Kremlin. De IRA werd in februari door de Verenigde Staten aangeklaagd op verdenking van een poging om de Amerikaanse presidentsverkiezingen te beïnvloeden.

In augustus komt ook De Groene Amsterdammer met onderzoek naar buiten. Daaruit blijkt dat de accounts die door de IRA werden gebruikt om in het Nederlands desinformatie te verspreiden, ook in het Engels, Duits en Russisch actief waren, onder meer door desinformatie over de ramp met vlucht MH17 te verspreiden.

In Nederland is de maatschappelijke discussie over het uiterlijk van Zwarte Piet voer voor nepnieuws, blijkt in oktober uit onderzoek van NU.nl. Op Facebook zijn enkele pagina's actief die desinformatie plaatsen. Daarmee worden onder meer onwaarheden over de omroep NTR (dat het Sinterklaasjournaal uitzendt) en de rechtszaak over de wegblokkade bij de intocht van Sinterklaas in 2017 verspreid. Sommige berichten worden enkele tienduizenden keren gedeeld.

In december vindt Brandpunt+ de bron van enkele nepnieuwspagina's. Een man uit Wageningen blijkt zijn eigen eenmanstrollenfabriek te runnen. Hij gebruikt sensationeel nieuws om zoveel mogelijk vind-ik-leuks voor zijn Facebook-pagina's te verzamelen. Zodra dat lukt, verkoopt hij de pagina aan anderen, die vervolgens proberen om het geld met advertenties terug te verdienen.

Drie grote zwartepietpagina's met nepnieuws zijn naar aanleiding van de publicaties van NU.nl en Brandpunt+ verwijderd.

Wereldwijd komt in 2018 een door gameontwikkelaars veelgebruikt mechanisme voor hun spellen onder vuur te liggen. Het gaat om zogenoemde 'lootboxen': virtuele schatkistjes waarmee spelers voorwerpen of uitbreidingen voor hun personage kunnen winnen.

Spelers kopen de lootboxen vaak met virtuele diamanten, munten of andere digitale valuta, die vaak met echt geld gekocht kunnen worden. Omdat de inhoud van de schatkisten niet bekend is voordat spelers ze openen, vrezen critici dat het mechanisme een gokverslaving in de hand kan werken.

De lootboxen hebben inderdaad veel weg van gokspellen, oordeelt de Kansspelautoriteit in april, daarbij verwijzend naar geluidseffecten en visuele effecten. De Nederlandse gokautoriteit maakt op dat moment bekend dat de lootboxen in sommige gevallen in strijd zijn met de wet.

Lootboxen maken vaak gebruik van visuele effecten en geluiden. (Foto: Blizzard)

Dat is het geval als de voorwerpen uit de schatkistjes op externe handelsplaatsen zijn te verhandelen. De buit krijgt daarmee een economische waarde: spelers kunnen daadwerkelijk geld verdienen door lootboxen te openen.

De Kansspelautoriteit onderzoekt tien games, en oordeelt dat er vier de Nederlandse wet overtreden. De waakhond maakt de namen van de games niet bekend, maar volgens bronnen betreft het FIFA 18, Dota 2, PlayerUnknown's Battlegrounds en Rocket League.

Als gevolg van dat oordeel maakt gameontwikkelaar Valve het in Nederland in twee games onmogelijk om producten uit lootboxen te verhandelen. De spellen Counter-Strike: Global Offensive en Dota 2 worden op die manier aangepast. Ook 2K Games neemt in Nederland in zijn basketbalgame NBA 2K maatregelen om aan de wet te voldoen.

Sinds 20 juni onderzoekt de Kansspelautoriteit actief of uitgevers van games met lootboxen maatregelen hebben getroffen. Als blijkt dat zij dat niet hebben gedaan, kan de waakhond boetes opleggen of eisen dat de game uit de schappen wordt gehaald.