Juridisch overzicht nr. 83 – mei 2025. 

Europese datasoevereiniteit: een illusie?

Het blokkeren van het e-mailaccount van de procureur-generaal van het Internationaal Strafhof (ICC), Karim Khan, door Microsoft, roept de cruciale vraag op over de digitale soevereiniteit van Frankrijk en Europa in het algemeen ten opzichte van grote technologiebedrijven.

Volgens persbureau AP werd de e-mailaccount van de heer Khan zonder waarschuwing geblokkeerd, waardoor hij gedwongen werd gebruik te maken van de diensten van de Zwitserse internetprovider Proton.

Doordat de rechtbank sterk afhankelijk is van dienstverleners zoals Microsoft, is haar werk aanzienlijk vertraagd.

Deze beslissing van Microsoft is een direct gevolg van de maatregelen die de Amerikaanse president Donald Trump in februari tegen het Internationaal Strafhof in Den Haag heeft genomen, nadat een panel van ICC-rechters arrestatiebevelen had uitgevaardigd tegen de Israëlische premier Benjamin Netanyahu en zijn voormalige minister van Defensie Yoav Gallant wegens oorlogsmisdaden in de Gazastrook.

Het presidentieel decreet verbiedt specifiek het verstrekken van geld, goederen of diensten aan de procureur-generaal van het ICC en elke transactie die deze verboden zou omzeilen, op grond van het feit dat de acties van het ICC een ongebruikelijke en buitengewone bedreiging vormen voor de nationale veiligheid en het buitenlands beleid van de Verenigde Staten.

Een Nederlandse publicatie van 31 mei merkt in dit verband op dat, gezien het aantal Amerikaanse servers dat door de publieke sector wordt gebruikt, "de Amerikaanse overheid met één druk op de knop meer dan 650 Nederlandse overheids- en cruciale bedrijfswebsites zou kunnen blokkeren of manipuleren, waaronder die van De Nederlandsche Bank en de politie, maar ook de website (...) van het Ministerie van Buitenlandse Zaken. Net als de website Crisis.nl, een referentiesite voor Nederlanders in geval van een ramp."

Een ander voorbeeld van de mogelijke gevolgen van onze technologische afhankelijkheid is te vinden in een recente rechtszaak tussen OpenAI en het Amerikaanse rechtssysteem: het bedrijf vecht momenteel een uitspraak aan die het verplicht alle ChatGPT-gebruikerslogboeken – inclusief verwijderde en gevoelige chats – die via de commerciële API zijn vastgelegd, te bewaren.

De beslissing kwam voort uit een klacht van persorganisaties die OpenAI beschuldigden van het vernietigen van bewijsmateriaal vanwege auteursrechtenschending.

In haar reactie stelt het bedrijf dat de rechtbank zich uitsluitend baseert op een bewering van de New York Times en andere mediabedrijven, en dat er "geen geldige reden is om OpenAI te beletten de privacybeslissingen van haar gebruikers te respecteren".

Zonder een standpunt in te nemen over de legitieme kwestie van het respecteren van auteursrecht, zet deze zaak ons aan het denken over de controle die buitenlandse mogendheden, in dit geval de Verenigde Staten, kunnen uitoefenen over onze dagelijkse werkmiddelen, vanaf het moment dat zij alleen beslissen welke motieven van nationaal belang een dergelijke controle rechtvaardigen.

Dit lijkt bijzonder zorgwekkend in een wereld waarin de rechtsstaat steeds meer onder druk staat en politieke allianties dagelijks veranderen.

In deze sombere context, waarin Europa vaak wordt beschuldigd van achterstand, is er bemoedigend nieuws: het Secure Data Access Centre (CASD) is medio mei als eerste datahostingdienst in Europa erin geslaagd de officiële GDPR-certificering te behalen, die wordt afgegeven op grond van artikel 42 van de GDPR en de Europrivacy-standaard.

Deze certificering wordt officieel erkend door de gegevensbeschermingsautoriteiten van 30 landen – alle EU- en EER-lidstaten.

CASD beschikt al over diverse certificeringen (ISO 27001, ISO 2770) en is bovendien een Health Data Host (HDS).

We weten ook dat Europa momenteel investeert in AI, zowel financieel als met het doel de regelgeving te vereenvoudigen (zie onderstaande nieuwsberichten). Het IMA (Innovation Makers Alliance) Manifest, gesteund door spelers als OVHcloud, Hexatrust en Mistral AI, presenteerde in maart ook 33 voorstellen gericht op AI, cloud computing, cybersecurity en overheidsaanbestedingen, met het oog op een dringende heroriëntatie… Tegelijkertijd bood Microsoft Europese regeringen een gratis cybersecurityprogramma aan.

Europese initiatieven zullen hun volledige potentieel pas bereiken als onze reflexen evolueren, zowel wat betreft strategische keuzes met betrekking tot AI-tools en hostingdiensten, als digitale hygiëne: voordat gegevens worden verzonden of opgeslagen, is het essentieel om in eerste instantie alleen strikt noodzakelijke gegevens te verwerken en, zowel in de publieke als de private sector, procedures en richtlijnen te implementeren die het risico op verlies van controle over deze gegevens beperken.

 

Op 15 mei 2025 heeft de CNIL het bedrijf Solocal Marketing Services een boete van 900.000 euro opgelegd voor het benaderen van potentiële klanten zonder hun toestemming en het doorgeven van hun gegevens aan partners zonder geldige wettelijke grondslag.

Op dezelfde dag legde de tuchtcommissie het bedrijf Caloga een boete van 80.000 euro op voor het benaderen van potentiële klanten zonder hun toestemming en het doorgeven van hun gegevens aan partners zonder geldige wettelijke grondslag.

Eind mei stelde parlementslid en CNIL-lid Philippe Latombe via een parlementaire vraag aan de minister van Economie, Financiën en Industriële en Digitale Soevereiniteit een vraag over de keuze van veel overheidsinstanties voor de onderlinge verzekeringsmaatschappij ALAN als aanvullende ziektekostenverzekering voor hun werknemers.

Hij wijst erop dat "deze Franse unicorn (...) zijn gegevens host bij Amazon Web Services (AWS) en daarom onderworpen is aan de extraterritoriale werking van de Amerikaanse wetgeving."

Het parlementslid vraagt de regering of zij overweegt, "om de gevoelige gegevens van haar medewerkers te beschermen en in overeenstemming te zijn met de richtlijnen die zij uitvaardigt, ALAN te verzoeken over te stappen naar een soevereine cloud."

In een besluit van 5 mei heeft de Raad van State een prejudiciële vraag voorgelegd aan het Hof van Justitie van de Europese Unie (CJEU) betreffende de reikwijdte van toestemming: de zaak betreft het bedrijf Canal+, dat in oktober 2023 door de CNIL werd gesanctioneerd voor het gebruik van gegevens die door zijn internetproviderpartners waren verzameld voor elektronische marketingdoeleinden, hoewel deze partners niet expliciet werden genoemd toen de toestemming werd gegeven.

De Raad van State vraagt het Hof van Justitie van de EU in wezen of de toestemming die aan een hoofdverantwoordelijke voor de verwerking van gegevens (zoals een internetprovider) is gegeven voor de verwerking door "zijn partners" voldoende kan worden geacht om elk van deze partners te machtigen om marketingcampagnes uit te voeren, zelfs als zij op het moment van de gegevensverzameling niet worden geïdentificeerd.

Op 25 april weigerde de Raad van State (CE) een besluit van de CNIL op te schorten, waarin het Europees Geneesmiddelenagentschap (EMA) toestemming kreeg om gegevens te verwerken voor een onderzoek naar de incidentie en prevalentie van ziekten in het kader van het "DARWIN EU"-project.

De aanvrager betoogde dat de maatregel urgent was omdat de voorgestelde verwerking betrekking had op de gezondheidsgegevens van 10 miljoen Fransen, die zouden worden opgeslagen door Microsoft en overdracht naar de Verenigde Staten zouden vereisen, waar de waarborgen onvoldoende zouden zijn.

De CE is van mening dat, "hoewel niet volledig kan worden uitgesloten dat de gegevens uit de verwerking (...) onderworpen kunnen worden aan inzageverzoeken van de autoriteiten van de Verenigde Staten, via het moederbedrijf van de host, en dat laatstgenoemde zich daartegen mogelijk niet kan verzetten, dit risico in het huidige stadium van het onderzoek hypothetisch blijft."

Ten tweede, naast het feit dat Microsoft Ireland de "Health Data Hosting" (HDS)-certificering bezit (...), is de implementatie van het project omgeven door garanties en beveiligingsmaatregelen, met name doordat de gegevens meerdere malen gepseudonimiseerd en niet direct identificeerbaar zullen zijn, zodat de CNIL van mening was dat dit risico was teruggebracht tot een niveau dat geen reden gaf om de gevraagde vergunning te weigeren, waarvan de duur bovendien werd beperkt tot drie jaar.

Het Hof van Beroep van Bordeaux heeft op 13 mei een contract voor de ontwikkeling van een website nietig verklaard wegens schending van de regelgeving inzake de bescherming van persoonsgegevens, met name met betrekking tot de informatieverplichtingen en toestemming voor het gebruik van cookies.

De cryptovalutasector verkeert in beroering na diverse pogingen tot ontvoering.

Een directeur van het Paymium-platform, dat onlangs het doelwit was van een aanslag, wijst op regelgevingsontwikkelingen die erop gericht zijn om diverse regels, gericht op het opheffen van anonimiteit, ook toe te passen op de cryptosector. Deze regels gelden al voor de banksector in zaken als witwassen of de bestrijding van drugshandel.

Ze richten zich met name op nationale en Europese mechanismen die bedoeld zijn om geldstromen ontraceerbaar te maken.

Deze zorgen worden gedeeld door sommige cybersecurity-experts die stellen dat anonimiteit in een legitieme context kan worden gebruikt, maar ze worden ook in perspectief geplaatst door anderen die wijzen op alle gegevensbeschermingsgaranties die al van toepassing zijn in de financiële sector.

 

Europese instellingen en organen

Op 21 mei publiceerde de Europese Commissie een voorstel tot wijziging van de AVG, gericht op het versoepelen van de verplichtingen voor het mkb en het uitbreiden ervan naar middelgrote bedrijven met minder dan 750 werknemers.

De belangrijkste wijzigingen betreffen de eisen met betrekking tot het register van verwerkingsactiviteiten (RPA).

De huidige uitzondering in artikel 30(5) zou worden uitgebreid tot al dergelijke ondernemingen.

Deze nieuwe uitzondering zou van toepassing zijn, tenzij de verwerking waarschijnlijk een "hoog risico" met zich meebrengt voor de rechten en vrijheden van de betrokken personen (in tegenstelling tot het huidige "risico").

De tekst zou ook een overweging toevoegen waarin wordt gespecificeerd dat de verwerking van bepaalde categorieën gegevens die noodzakelijk zijn voor de toepassing van het arbeids- en socialezekerheidsrecht krachtens artikel 9(2)(b) op zich niet de verplichting tot het onderhouden van een RAT met zich meebrengt.

De voorstellen zouden ook de bepalingen met betrekking tot gedragscodes (artikel 40) en certificeringsregelingen (artikel 42) wijzigen, zodat deze ook van toepassing worden op bedrijven met minder dan 750 werknemers.

Deze artikelen verplichten de lidstaten, de gegevensbeschermingsautoriteiten, de Commissie en het Europees Comité voor gegevensbescherming (EDPB) momenteel om de ontwikkeling van gedragscodes en certificeringen te "stimuleren" die rekening houden met de "specifieke behoeften" van het mkb.

Om de toekomstige EU-datastrategie vorm te geven, opent de Europese Commissie een raadpleging over het gebruik van data in AI, de vereenvoudiging van dataregels en internationale datastromen.

Het doel is om de creatie mogelijk te maken van hoogwaardige, interoperabele en diverse datasets die nodig zijn voor AI, en tegelijkertijd consistentie te waarborgen tussen datagerelateerd beleid, infrastructuren en juridische instrumenten.

De consultatieperiode loopt tot 18 juli.

De Commissie publiceert tevens een consultatie over een ontwerp-richtlijn betreffende de Digital Services Act (DSA), die openstaat tot 10 juni.

De tekst bevat richtlijnen voor de online bescherming van minderjarigen. De commissie is van plan de definitieve richtlijnen deze zomer te publiceren. Ze werkt ook aan een app voor leeftijdsverificatie.

Op 27 mei kondigde de Europese Commissie aan dat zij een onderzoek is gestart om minderjarigen te beschermen tegen pornografische inhoud in het kader van de Digital Services Act (DSA).

Onderzoeken naar Pornhub, Stripchat, XNXX en XVideos richten zich op de risico's die gepaard gaan met het ontbreken van effectieve leeftijdsverificatiemaatregelen.

Tegelijkertijd ondernemen de lidstaten, bijeen in het kader van de Europese Raad voor Digitale Diensten, gecoördineerde actie tegen kleine pornografische platformen.

De Europese Toezichthouder voor Gegevensbescherming heeft op 28 mei een advies uitgebracht over het voorstel voor een verordening tot vaststelling van een gemeenschappelijk systeem voor de terugkeer van onderdanen van derde landen die illegaal in de EU verblijven.

Hoewel hij de noodzaak erkent van een effectievere handhaving van de bestaande migratie- en asielwetgeving, benadrukt hij dat "gegevensbescherming – als een fundamenteel recht dat is vastgelegd in het Handvest – een van de laatste verdedigingslinies is voor kwetsbare mensen, zoals migranten en asielzoekers die de buitengrenzen van de EU naderen."

De ngo noyb heeft Meta op 14 mei een sommatiebrief gestuurd, als een daarvoor in aanmerking komende entiteit in het kader van de nieuwe Europese richtlijn inzake collectieve rechtsvordering, met betrekking tot Meta's AI-training zonder toestemming van de gebruiker.

Ook in Duitsland had de Verbraucherzentrale NRW een verzoek tot voorlopige voorziening ingediend, dat eind mei door de rechtbank werd afgewezen (zie hieronder).

 

Nieuws uit de lidstaten van de Europese Unie.

De Duitse federale autoriteit voor gegevensbescherming (BfDI) heeft een vragenlijst gepubliceerd over naleving van de AI-regelgeving. Deze vragenlijst is bedoeld om organisaties te helpen hun AI-initiatieven te valideren en ervoor te zorgen dat ze voldoen aan de AVG (Algemene Verordening Gegevensbescherming).

De regionale rechtbank van Keulen heeft op 23 mei geoordeeld dat Meta de AVG of de Europese Verordening inzake digitale markten niet heeft overtreden door gebruikersprofielgegevens te gebruiken om haar AI-systeem te verbeteren. De rechtbank merkte op dat deze beoordeling overeenkomt met de beoordeling van de Ierse gegevensbeschermingsautoriteit (DPC), die in Europa bevoegd is met betrekking tot Meta.

TikTok wordt in Duitsland geconfronteerd met een collectieve rechtszaak. De Nederlandse ngo Stichting Onderzoek Marktinformatie (Somi), die een schadeclaim heeft ingediend bij een rechtbank in Berlijn, beweert dat "TikTok zeer persoonlijke en intieme gegevens van zijn gebruikers verzamelt en analyseert in een mate die veel verder gaat dan noodzakelijk is."

De organisatie beweert dat het algoritme van het platform "een systeem van manipulatie en verslaving" creëert, met name voor kinderen. De ngo eist een schadevergoeding van maximaal € 2.000 per persoon.

De Belgische Autoriteit voor Gegevensbescherming (APD) heeft de FATCA-overeenkomst tussen de Belgische staat en de Verenigde Staten geëvalueerd en vastgesteld dat deze niet verenigbaar is met de AVG.

De klachten hadden betrekking op de overdracht van persoonsgegevens van klagers, waaronder Belgische "toevallige Amerikanen", aan de Amerikaanse belastingdienst.

De APD heeft de Federale Overheidsdienst Financiën berispt voor schendingen van de AVG en een schending geconstateerd van de beginselen van doelbinding, dataminimalisatie en regels voor gegevensoverdracht. 

Deze beslissing heeft gevolgen die verder reiken dan België, aangezien de Verenigde Staten soortgelijke overeenkomsten hebben gesloten in andere landen van de Europese Unie.

Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft een Andalusisch bedrijf een boete van 1.200 euro opgelegd omdat het zijn thuiswerkende werknemers had gevraagd hun persoonlijke telefoonnummer op te geven om hen toe te voegen aan de WhatsApp-groep van het bedrijf.

Werknemers konden theoretisch gezien instemmen met of kiezen voor het alternatief via e-mail, maar het bedrijf moedigde hen aan om WhatsApp te gebruiken voor een vlotte communicatie.

De APD herhaalde dat toestemming geen geldige juridische grondslag is in een arbeidsrelatie tussen werknemer en werkgever.

Ook in Spanje kreeg het bedrijf Carrefour een boete van 3,2 miljoen euro van de APD (Autorité des Possession des Possession) omdat het de toegang tot de accounts van zijn klanten niet voldoende had beveiligd.

Het bedrijf werd veroordeeld, ook al waren de inloggegevens die bij de hack werden gebruikt niet rechtstreeks van het bedrijf gestolen, maar omdat het zijn zorgplicht had verzaakt en zijn beveiligingssystemen het niet mogelijk maakten om massale aanvallen vanaf een zeer groot aantal IP-adressen te detecteren.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft het Amerikaanse bedrijf Luka Inc., aanbieder van de "virtuele assistent" "Replika AI", een boete van 5 miljoen euro opgelegd wegens illegale verwerking van persoonsgegevens, schending van transparantieregels en het niet implementeren van effectieve mechanismen voor het verifiëren van de leeftijd van gebruikers.

De Poolse Autoriteit voor Gegevensbescherming (APD) heeft de Poolse minister van Digitalisering een boete van 100.000 PLN (€ 23.448,50) en de Poolse Post een boete van 27.124.816 PLN (€ 6.444.174) opgelegd voor het illegaal verwerken van de persoonsgegevens van ongeveer 30 miljoen burgers om stemmen per post mogelijk te maken bij een algemene verkiezing.

 

De Australische overheid heeft standaardbepalingen met betrekking tot AI gepubliceerd.

Deze bepalingen zijn van toepassing op de aankoopvoorwaarden van AI-systemen en garanderen dat deze op een verantwoorde, ethische en veilige manier worden aangeschaft en geïmplementeerd. Ze zijn bedoeld om risico's te beperken en transparantie en verantwoording bij de inzet van AI te bevorderen.

Een rapport dat op 5 juni is gepubliceerd door Privacy Laws and Business geeft aan dat veel Afrikaanse landen wetten ter bescherming van persoonsgegevens invoeren, in een sociaaleconomische omgeving die volledig verschilt van die in Europa of Noord-Amerika.

"Afrika is het continent met de meeste gebruikers van mobiel geld, met meer dan 1,1 miljard geregistreerde accounts, wat neerkomt op meer dan de helft van het wereldwijde totaal. Bijgevolg zijn de prioriteiten op het gebied van privacybeleid in Afrikaanse landen noodzakelijkerwijs anders dan die in Europese landen."

Volgens de auteur betekent deze andere sociaaleconomische context dat EU-beoordelingen van de "geschiktheid" van Kenia en andere landen in Afrika, Azië en Latijns-Amerika tot op zekere hoogte rekening moeten houden met de nationale omstandigheden.

De president van de Verenigde Staten ondertekende op 19 mei de "Take It Down Act", een wet die tot doel heeft het verspreiden van intieme beelden zonder toestemming te blokkeren en die ook AI-gebaseerde "deepfakes" omvat.

“Take It Down” is het acroniem voor “Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act” (Wet ter bestrijding van bekende vormen van exploitatie door technologische deepfakes op websites en netwerken).

Google heeft ermee ingestemd om 1,375 miljard dollar te betalen aan de staat Texas om twee rechtszaken te schikken waarin het bedrijf ervan werd beschuldigd de locatie van gebruikers, "incognito" zoekopdrachten en stem- en gezichtsgegevens zonder hun toestemming te volgen.

Het bedrijf verklaarde naar verluidt dat het de juridische procedure schikte zonder schuld of verantwoordelijkheid te erkennen, en zonder zijn producten te hoeven aanpassen, en dat zijn werkwijzen sinds de gebeurtenissen waren geëvolueerd.

Ondertussen tonen onderzoeksresultaten die op 3 juni zijn gepubliceerd aan dat Meta en het Russische bedrijf Yandex het internetgedrag van Android-gebruikers volgen, zelfs in de incognitomodus of met een VPN, door een lokale poort te misbruiken om de browse-activiteit te koppelen aan de verbonden identiteit.

Google zegt dat het dit misbruik onderzoekt, waardoor Meta en Yandex vluchtige webidentificaties kunnen omzetten in permanente gebruikersidentiteiten voor mobiele apps.