Juridisch overzicht nr. 82 – april 2025. 

Gegevensbescherming en vereenvoudiging van standaarden: wat kunnen we verwachten?

De kwestie van het vereenvoudigen van standaarden, een terugkerend discussiepunt in Europa, heeft sinds de wissing van de leiding in het Witte Huis een bijzondere betekenis gekregen.

Tijdens de Parijse top over kunstmatige intelligentie (AI) afgelopen februari werd concurrentievermogen dan ook een uitgesproken prioriteit in het licht van de deregulering in de Verenigde Staten.

Het werkprogramma van de Europese Commissie voor 2025 is er ook expliciet op gericht economische groei te bevorderen door innovatie te ondersteunen.

Wat zullen de gevolgen van dit beleid zijn voor de Europese normen inzake gegevensbescherming?

Op het gebied van AI heeft Europa zich allereerst geëngageerd om de belangrijkste doelstellingen van de regelgeving te verwezenlijken, waarbij tegelijkertijd de administratieve lasten voor bedrijven worden onderzocht.

De Commissie zal de input van de industrie inwinnen wanneer regelgevingsonzekerheid de ontwikkeling van AI belemmert, en zal deze input meenemen in een bredere inspanning om een reeks digitale regels te herzien en mogelijk te schrappen tegen het einde van het jaar.

De AI-aansprakelijkheidsrichtlijn, die tot doel had de EU-productveiligheidsregels aan te passen om AI en automatisering te omvatten, is reeds ingetrokken.

De CCIA, de belangrijkste Amerikaanse lobbygroep voor grote technologiebedrijven in Brussel, verwelkomde deze aanpak en riep op tot een "frontale aanval" op de regelgeving.

De Europese Commissie heeft de lidstaten eind april ook op de hoogte gesteld van haar ontwerp-richtlijnen betreffende de relatie tussen de AI-verordening en andere regelgeving, waaronder de AVG.

Ze werkt aan de ontwikkeling van een model voor de impactbeoordelingen op fundamentele rechten (FRIA's) die vereist zijn door de AI-regelgeving, om overlapping met de impactbeoordeling op gegevensbescherming van de AVG te voorkomen.

De lidstaten benadrukken op hun beurt de noodzaak van een intensievere samenwerking met andere autoriteiten om te voorkomen dat de twee belangrijkste wetten leiden tot tegenstrijdige beslissingen of overlappende onderzoeken.

Het Europees Comité voor gegevensbescherming (EDPB) bereidt ook richtlijnen voor over de wisselwerking tussen de AVG en de AI-verordening en onderzoekt samen met de Commissie de mogelijkheden voor synergieën om te zorgen voor consistentie in interpretatie, rechtszekerheid en duidelijkheid voor de betrokken partijen.

En hoe zit het met de AVG? Afgelopen juli publiceerde de Commissie een evaluatierapport over dit onderwerp, waaruit met name bleek dat het mkb op verschillende punten aanzienlijke frustraties vertoont:

• Buitensporige documentatievereisten,
• Kosten voor het inhuren of aanstellen van een functionaris voor gegevensbescherming (DPO).
• Moeilijkheden bij het kiezen van de rechtsgrondslag (gerechtvaardigd belang / toestemming),
• Beperkingen voor opkomende technologieën en startups.

Deze kritiek sluit aan bij de mening van de voormalige Italiaanse premier Mario Draghi, die in zijn economisch rapport van afgelopen september wijst op complexe Europese wetgeving die de Italiaanse economie ervan weerhoudt de Verenigde Staten en China in te halen, en daarbij specifiek de AI-regelgeving en de AVG noemt.

De Commissie is van plan eind mei een "vereenvoudigingspakket" voor kleine en middelgrote ondernemingen voor te stellen, hoewel deze datum indicatief is: het voorstel tot vereenvoudiging van de privacyregels zal in elk geval uiterlijk in juni worden ingediend.

De aanpassingen zouden kunnen bestaan uit het beperken van de eisen voor het bijhouden van gegevens over gegevensverwerkingsactiviteiten, of het hervormen van de gegevensbeschermingseffectbeoordelingen – twee regels die als bijzonder belastend worden beschouwd voor het mkb.

Het is ook de moeite waard om te vermelden dat parlementslid Axel Voss en de voorzitter van de ngo Noyb, Max Schrems – twee figuren wier standpunten over dit onderwerp historisch gezien lijnrecht tegenover elkaar stonden – afgelopen maart de handen ineen sloegen om een ingrijpende herziening van de AVG voor te stellen, gericht op

• Het vereenvoudigen van de naleving van regelgeving voor mkb's en non-profitorganisaties.
• Stel duidelijkere en makkelijker te beheren regels op voor grote organisaties.
• Versterk de controlemogelijkheden om effectievere gegevensbescherming te garanderen.

Hoewel dit voorstel een verschuiving weerspiegelt naar pragmatische oplossingen die privacybescherming verzoenen met de zakelijke realiteit, wijzen anderen op de risico's van het heropenen van de tekst, die onder lobbydruk zou kunnen sneuvelen, zoals benadrukt door de belangenorganisatie voor digitale rechten EDRi.

Het is goed om te onthouden dat de onderhandelingen over de ontwikkeling van de AVG een van de grootste lobby-inspanningen ooit in Brussel op gang brachten.

Technologiebedrijven gaven miljoenen uit om de regels tijdens het opstellen ervan te beïnvloeden, en het voorstel werd in het Europees Parlement aan meer dan 3.000 amendementen onderworpen, een record.

De huidige werkzaamheden aan de procedurele regeling van de AVG, die tot doel heeft de samenwerking tussen gegevensbeschermingsautoriteiten te versterken en de besluitvorming in grensoverschrijdende zaken te versnellen, zouden wel eens kunnen bevestigen dat de weg naar de hel geplaveid is met goede bedoelingen.

Terwijl de besprekingen (triloog) tussen de Commissie, het Europees Parlement en de Raad voortduren, waarschuwen sommigen voor het risico van een compromis dat niet alleen de noodzakelijke hervormingen niet oplevert, maar ook nieuwe kwetsbaarheden kan introduceren.

Op 17 april stelde de ngo Noyb dat de Trilogue heeft geleid tot wetgevende chaos die procedures waarschijnlijk complexer, trager en vatbaarder voor juridische bezwaren zal maken.

 

    

De CNIL publiceerde op 29 april haar jaarverslag over 2024.

Belangrijke thema's zijn onder meer cyberbeveiliging, die de komende jaren een strategische prioriteit wordt gezien de opmerkelijke toename van datalekken (+20 %), en de versterking van repressieve maatregelen.

Het rapport benadrukt tevens het belang van het respecteren van de rechten van minderjarigen, het controleren van commerciële wervingspraktijken en het reguleren van videobewaking.

Tegelijkertijd versterkt de CNIL de Europese samenwerking om grote digitale platformen beter te reguleren en zet zij haar werk op het gebied van AI voort.

De Commissie publiceerde op 30 april ook haar richtlijnen om de beveiliging van grote databases te versterken.

Deze maatregelen breiden de basisveiligheidsmaatregelen uit en versterken ze.

Net als de prioritaire cybermaatregelen van ANSSI of de maatregelen ter voorkoming van datalekken, zijn ze niet bedoeld om alle voldoende maatregelen op te sommen, maar om de aandacht van gegevensverwerkers te vestigen op de beveiligingsmaatregelen die de CNIL noodzakelijk acht bij grote databases, met name met het oog op de risico's van massale datalekken.

Tweehonderd Franse media dienen een klacht in tegen Meta wegens "illegale praktijken": volgens Le Monde "beschuldigen verschillende persgroepen (Prisma, Les Echos-Le Parisien, CMI), nationale en regionale dagbladen, evenals particuliere en publieke omroepen (TF1, RMC-BFM, France Télévisions en Radio France) Meta ervan misbruik te hebben gemaakt van de periode waarin zij zelf toestemming van gebruikers vroegen voor het verzamelen van hun persoonlijke gegevens, om zich bezig te houden met gerichte reclame."

 

Europese instellingen en organen

Op 23 april heeft de Europese Commissie de eerste twee boetes opgelegd in het kader van de Verordening inzake digitale markten (DMA).

Meer specifiek kregen Apple en Meta respectievelijk een boete van €500 miljoen en €200 miljoen opgelegd.

De Commissie is van mening dat Apple niet heeft voldaan aan zijn verplichtingen met betrekking tot de beschikbaarheid van applicaties in de App Store.

Wat Meta betreft, het bedrijf heeft een boete van 200 miljoen euro gekregen vanwege zijn "instemmen of betalen"-systeem.

De Commissie was van mening dat dit model gebruikers niet de specifieke keuze bood om te kiezen voor een gelijkwaardige dienst die minder persoonlijke gegevens zou gebruiken.

Merk op dat Meta sinds dit onderzoek een derde optie heeft geïntroduceerd, namelijk "minder gepersonaliseerde advertenties", die nog niet door de Commissie is beoordeeld.

De Commissie heeft vier nieuwe aanbestedingen gepubliceerd in het kader van het programma Digitaal Europa (DIGITAL) om de inzet van AI te bevorderen, geavanceerde digitale vaardigheden te stimuleren, het netwerk van Europese digitale innovatiecentra (EDIH) uit te breiden en desinformatie te bestrijden.

In dit kader publiceerde de organisatie op 9 april een oproep tot bijdragen met betrekking tot toekomstige wetgeving over cloud en AI (Cloud and AI Development Act – CAIDA).

Het doel is om het gebrek aan een concurrerend Europees aanbod van clouddiensten op voldoende schaal voor zeer kritische toepassingen met bijzonder hoge beveiligingsvereisten aan te pakken.

De EDPB en EDPS presenteerden eind april hun jaarverslagen over 2024.

De EDPS benadrukte de evolutie van haar rol in het licht van de Europese AI-verordening, die haar de taak geeft van toezichthoudende en notificerende autoriteit voor EU-instellingen.

Het EDPB-rapport geeft een overzicht van de werkzaamheden die in 2024 zijn verricht, waaronder de vaststelling van de strategie 2024-2027, de toename van adviezen in het kader van het consistentiemechanisme overeenkomstig artikel 64(2), en de voortdurende inspanningen om richtlijnen en juridisch advies te verstrekken, met name aan het mkb.

Tijdens de plenaire vergadering in april 2025 heeft het Europees Comité voor gegevensbescherming (EDPB) richtlijnen aangenomen voor de verwerking van persoonsgegevens via blockchaintechnologieën.

Het document benadrukt het belang van het implementeren van technische en organisatorische maatregelen vanaf de vroegste stadia van het procesontwerp en van het tegelijkertijd definiëren van de rollen en verantwoordelijkheden van de verschillende betrokkenen bij het proces.

Het document benadrukt nogmaals het belang van gegevensbeschermingseffectbeoordelingen en geeft voorbeelden van technieken voor gegevensminimalisatie, evenals van de verwerking en opslag van persoonsgegevens. De richtlijnen zijn tot 9 juni ter consultatie voorgelegd.

Wat betreft de toegang tot administratieve documenten heeft het Hof van Justitie van de Europese Unie (CJEU) een arrest gewezen over de afweging tussen dit recht en de bescherming van de persoonsgegevens van de personen die in deze documenten worden genoemd.

Het oordeel luidde dat artikel 6(1)(c) en (e) van de AVG geen belemmering vormen voor aanvullende informatieverplichtingen en raadpleging van de betrokkene voordat persoonsgegevens over hem of haar worden openbaar gemaakt.

Deze aanvullende verplichtingen mogen er echter niet toe leiden dat de openbare toegang tot deze documenten onevenredig wordt beperkt.

Het Hof van Justitie van de EU publiceert een update van zijn themablad met de belangrijkste uitspraken op het gebied van gegevensbescherming.

Het document behandelt de jurisprudentie met betrekking tot de algemene gegevensbeschermingsverordening en sectorspecifieke regelgeving (elektronische communicatie en strafrecht). Het presenteert tevens een selectie van uitspraken over overkoepelende regelgeving en belicht de rol van het Handvest in de ontwikkeling van de jurisprudentie.

Europese gebruikers van de Meta-platformen ontvingen in april een melding waarin ze werden geïnformeerd over het gebruik van hun gegevens door Facebook en Instagram voor AI-trainingsdoeleinden, samen met een link naar een bezwaarformulier.

De Noorse Autoriteit voor Gegevensbescherming (APD) publiceerde een blogpost waarin de gevolgen van deze beslissing en de juridische mogelijkheden voor individuen werden uitgelegd. De autoriteit gaf ook aan dat zij Meta, samen met andere APD's, had gevraagd of het bedrijf de compatibiliteit van AI-training met het oorspronkelijke doel, namelijk het verzamelen van berichten en afbeeldingen van gebruikers, had onderzocht.

De International Association of Privacy Professionals (IAPP) publiceert een tabel met een overzicht van de vereisten voor melding van digitale beveiligingsincidenten en het delen van informatie in verschillende Europese wetgevingen.

Het houdt rekening met de AVG, de "politierichtlijn", de ePrivacyrichtlijn, de regelgeving inzake gegevensbeheer, de gegevensverordening, de NIS2-richtlijn, de regelgeving inzake digitale operationele weerbaarheid, de Richtlijn betalingsdiensten 2, de regelgeving inzake cyberweerbaarheid en de AI-regelgeving.

Microsoft heeft officieel zijn Europese principe voor gegevensbescherming voor clouddiensten geïmplementeerd en verbindt zich ertoe de persoonsgegevens van zijn klanten uitsluitend binnen de EU en de EFTA op te slaan en te verwerken.

Gegevens van bepaalde Azure-services kunnen echter buiten de EU worden overgedragen als Microsoft dit nodig acht voor cyberbeveiligingsonderzoeken.

Daarbij moet worden opgemerkt dat de Cloud Act de Amerikaanse autoriteiten toegang geeft tot de gegevens van Amerikaanse bedrijven, ongeacht waar deze zijn opgeslagen.

 

Nieuws uit de lidstaten van de Europese Unie.

Het Duitse Federale Hof van Justitie Er werd overwogen dat gekwalificeerde entiteiten (zoals consumentenorganisaties) gerechtigd zijn om juridische stappen te ondernemen wegens schending van de informatieverplichtingen van de AVG op grond van de consumentenbeschermingswetgeving, ongeacht de specifieke schending en zonder mandaat van de betrokkenen.

De zaak betrof het niet-naleven door Meta Platforms Ireland Ltd (Meta) van wettelijke vereisten met betrekking tot het verkrijgen van toestemming van gebruikers.

In BelgiëEen uitspraak herinnert eraan dat de GDPR ook van toepassing is op bedrijfsgegevens: de APD heeft een boete van 20.000 euro opgelegd aan een business-to-business databroker omdat deze het e-mailadres van de beherend vennoot van een bedrijf had verzameld en openbaar gemaakt.

De APD herinnerde er ook aan dat een gegevensbeheerder een persoon niet kan dwingen een online account aan te maken als dat niet nodig is, in dit geval om een klacht in te dienen.

Het bedrijf heeft hier de principes van dataminimalisatie en gegevensbescherming door middel van standaardinstellingen en ontwerp geschonden.

In Spanje, Een bedrijf (Marina Salud) dat namens de autonome overheid van de regio Valencia ziekenhuisgegevens beheert, heeft een boete van 500.000 euro gekregen omdat het zonder toestemming van de verantwoordelijke voor de gegevensverwerking onderaannemers had ingeschakeld, in strijd met artikel 28(2) van de AVG.

Ook in Spanje kreeg een bank een boete van 120.000 euro voor de onrechtmatige verwerking van persoonsgegevens van een klant, in strijd met artikel 6, lid 1, van de AVG, nadat een medewerker de handtekening van de klant op een gegevensbeschermingsovereenkomst had vervalst.

TikTok werd op 2 mei veroordeeld door Ierse gegevensbeschermingsautoriteit tot een boete van 530 miljoen euro voor het illegaal verzenden van persoonsgegevens van Europeanen naar China en het verbergen daarvan voor de gebruikers.

TikTok heeft zes maanden de tijd om zijn werkwijzen in overeenstemming te brengen met de AVG (Algemene Verordening Gegevensbescherming).

Een Ierse rechtbank heeft de beslissing van de Autoriteit Persoonsgegevens (AP) bekrachtigd. De AP had namelijk geoordeeld dat een werkgever niet de verwerkingsverantwoordelijke was met betrekking tot niet-professionele gegevens op de werktelefoon van een van zijn werknemers.

De Maltese APD publiceert een reeks veelgestelde vragen over het beheren van e-mailaccounts van werknemers wanneer zij de organisatie verlaten.

De handleiding moedigt werkgevers aan om een proactieve en gestructureerde aanpak te hanteren voor accountbeheer, zowel tijdens het dienstverband als na het vertrek van de werknemer, en om belangrijke vragen te beantwoorden met betrekking tot gangbare praktijken zoals het automatisch doorsturen van e-mails en automatische antwoordberichten.

In het kader van de presidentsverkiezingen in Roemenië op 4 en 18 mei heeft TikTok nieuwe maatregelen aangekondigd om een desinformatiecampagne te voorkomen die vergelijkbaar is met de campagne die kandidaat Călin Georgescu naar verluidt aan de top van de eerste ronde in november vorig jaar heeft geholpen.

De applicatie heeft ook een "Verkiezingscentrum" gelanceerd, dat informatie presenteert zoals belangrijke data en links naar de website van de Permanente Kiesautoriteit, en voorlichtingsmateriaal over desinformatie heeft gepubliceerd.

Deze maatregelen worden genomen omdat de Europese Commissie een onderzoek is gestart op grond van de Digital Services Act (DSA) om de gebeurtenissen van november op te helderen.

 

In China heeft de Cyberspace Administration zojuist de lancering aangekondigd van een drie maanden durende campagne om misbruik van AI-technologieën tegen te gaan. Departementen die verantwoordelijk zijn voor internetregulering zullen online platforms moeten begeleiden bij het voldoen aan de eisen van de campagne door de mechanismen voor het beoordelen van door AI gegenereerde content te versterken, de detectiemogelijkheden te verbeteren en te zorgen voor de juiste implementatie van corrigerende maatregelen.

In de Verenigde Staten hebben leden van de House Energy and Commerce Committee een onderzoek ingesteld naar de banden van Deepseek met de Chinese Communistische Partij. De chatbot zou niet alleen gegevens naar China sturen, maar ook persoonlijke informatie van gebruikers delen met andere aan de partij gelieerde entiteiten, waaronder ByteDance Ltd. De AI-applicatie wordt er bovendien van verdacht hartslaggegevens van gebruikers te verzamelen.

Het Future of Privacy Forum (FPF) ligt onder vuur van de regering-Trump. De voorzitter van de Senaatscommissie voor Handel, Ted Cruz (Republikein uit Texas), eist opheldering van het FPF, dat ervan wordt beschuldigd federale subsidies te hebben gebruikt om staten onder druk te zetten "linkse" AI-wetgeving aan te nemen. Senator Cruz vreest dat de groep openlijk pleit voor AI-regelgeving die aansluit bij de politieke agenda van de regering-Biden. Hij onderzoekt ook de federale subsidies die aan de organisatie zijn toegekend.

Volgens Euractiv, dat zich baseert op informatie van de Financial Times, voorziet de Europese Commissie haar medewerkers die naar de Verenigde Staten reizen van wegwerptelefoons vanwege zorgen over surveillance. "De nieuwe richtlijnen van de Europese Commissie, die ook het gebruik van eenvoudige laptops aanbevelen voor reizen naar de VS, zijn vergelijkbaar met die voor reizen naar Oekraïne of China. Alle medewerkers wordt geadviseerd hun apparaten uit te schakelen en in een speciaal anti-spionagezakje te bewaren bij aankomst in het land."

CNN meldt dat de regering-Trump, met de hulp van Palantir, een "algemene database aan het opzetten is om de handhaving van immigratiewetten en deportaties te versnellen door gevoelige gegevens van de gehele federale overheid te combineren", "doellijsten" te creëren en personen op de lijst te arresteren. Wired meldde eerder dat "het ministerie van Binnenlandse Zaken immigratiedatabases van het ministerie van Binnenlandse Veiligheid (DHS) samenvoegt en gegevens downloadt van externe instanties, waaronder de Sociale Zekerheidsadministratie (SSA), evenals stemgegevens", die naar verluidt worden opgeslagen op software ontwikkeld door Palantir.