Juridisch overzicht nr. 90 – december 2025. 

 

Data, AI, cybersecurity: wie is wie op het gebied van richtlijnen en regelgeving in 2026?

Veel regelgeving die de afgelopen jaren is aangenomen, treedt nu volledig in werking of bevindt zich in een cruciale fase van de implementatie.

Tegelijkertijd kondigen nieuwe initiatieven van de Europese Commissie, met name de Digital Omnibus en de Digital Fairness Bill, nieuwe regelgevingsaanpassingen aan die bedoeld zijn om bestaande regelgeving aan te vullen of te wijzigen.

De AVG, die sinds 2018 van kracht is, vormt samen met de ePrivacyrichtlijn, waarvan de herziening momenteel is stopgezet, nog steeds de hoeksteen van het gegevensbeschermingskader.

De Commissie wil met haar voorstel de zaken vereenvoudigen. Omnibus De AVG behandelt verschillende aspecten die verband houden met de ontwikkeling van kunstmatige intelligentie (AI): de AVG beoogt de ontwikkeling en werking van AI-systemen te erkennen als een "legitiem belang" in de zin van de AVG en een nieuwe rechtsgrondslag te introduceren voor de verwerking van gevoelige gegevens die bestemd zijn voor het trainen van AI-modellen.

In bredere zin, de Digitale Omnibus Dit zou de administratieve lasten voor bedrijven verlichten, bijvoorbeeld door de drempel voor het melden van een datalek te verlagen en door de situaties uit te breiden waarin gegevens als "anoniem" kunnen worden beschouwd.

De regelgeving van het digitale pakket, en meer specifiek de Verordening inzake digitale markten (DMA) en de Verordening inzake digitale diensten (DSA), verduidelijkt de regels die van toepassing zijn op de digitale economie en de verantwoordelijkheid van platformen.

Ze zijn van kracht sinds 2024 en de Commissie is in 2025 begonnen met het opleggen van sancties.

De DSA Dit geldt voor zeer grote online platformen (VLOP) en zeer grote online zoekmachines (VLOSE), evenals alle tussenpersonen die hun diensten aanbieden aan gebruikers in de EU.

Verschillende verplichtingen van de DSA overlappen met die van de GDPR.

Er bestaan bijvoorbeeld vergelijkbare of aanvullende verplichtingen met betrekking tot "dark patterns", gerichte reclame op basis van gevoelige gegevens of gericht op minderjarigen, transparantie, profilering, risicoanalyse en het verwijderen van illegale inhoud.

In 2025 publiceerde het Europees Comité voor gegevensbescherming (EDPB) richtlijnen over deze overlappende kwesties.

Het primaire doel van de DMA Het doel is te voorkomen dat techreuzen of "poortwachters" misbruik maken van hun dominante positie.

Sommige van deze verplichtingen versterken de bepalingen van de DSA met betrekking tot de bescherming van gebruikers, met name ten aanzien van profilering.

De datastrategie van de EU heeft tot doel een interne datamarkt te creëren, innovatie te stimuleren en te zorgen voor een veilige en efficiënte gegevensuitwisseling binnen de Europese Unie.

De volgende teksten hebben gevolgen voor persoonsgegevens: de Verordening inzake gegevensbeheer (DGA), de Gegevensverordening (DA), de Verordening inzake elektronische transacties (eIDAS) en de Verordening inzake de Europese gezondheidsgegevensruimte (EHDS). 

Het Omnibus-voorstel van de Commissie heeft tot doel het wetgevingskader op dit gebied te vereenvoudigen.

De tekst voorziet met name in de intrekking van DGA en de richtlijn van 2019 over open data.

DE DA Het zou de centrale referentie blijven en de essentiële elementen uit de andere teksten bevatten.

Naast een harmonisatie van definities zouden kleine en middelgrote ondernemingen (tot 750 werknemers) worden vrijgesteld van bepaalde verplichtingen.

De DA, die van kracht is sinds 12 september 2025, ziet een aanzienlijk deel van haar verplichtingen op 12 september 2026 ingaan: de verordening schrijft voor dat verbonden producten en bijbehorende diensten zodanig ontworpen moeten worden dat gegevens met betrekking tot de producten en bijbehorende diensten standaard toegankelijk zijn voor gebruikers. Vanaf september moeten fabrikanten ervoor zorgen dat de toegang tot gegevens technisch is gewaarborgd vanaf de productontwikkelings- en ontwerpfase.

Wat betreft de regelgeving eIDASVanaf 2026 zijn de lidstaten verplicht hun burgers en bedrijven ten minste één EU-conforme digitale identiteitsportemonnee te verstrekken, waarmee gebruikers hun identiteitsgegevens, identificatiegegevens en kenmerken (identiteitskaart, rijbewijs, betaalgegevens, enz.) veilig kunnen opslaan en selectief kunnen delen met overheidsinstanties en particuliere dienstverleners.

Ook bedrijven, online platforms en administratieve diensten zullen zich moeten aanpassen aan deze nieuwe vormen van digitale identificatie en authenticatie.

L'EHDS De wet is op 26 maart 2025 in werking getreden, maar de belangrijkste bepalingen ervan zullen pas vanaf maart 2029 volledig van toepassing zijn.

De AI-regelgevingDe regeling, die sinds augustus 2024 van kracht is, wordt voor bedrijven bindend vanaf 2 augustus 2026.

Er gelden al enkele verplichtingen, zoals transparantie in de interactie met chatbots of het labelen van door AI gegenereerde content, en het waarborgen van voldoende AI-competentie bij medewerkers die met AI-systemen werken.

Maar vanaf augustus zouden er uitgebreidere eisen moeten gelden voor risicovolle AI-systemen die worden gebruikt in gevoelige gebieden zoals personeelsbeheer, prestatiebeoordeling of toegang tot essentiële diensten.

De Commissie is echter van plan in haar omnibusvoorstel de toepassing van deze regels uit te stellen tot december 2027.

Ook hier zouden sommige verplichtingen worden vereenvoudigd, met name voor kleine en middelgrote ondernemingen met maximaal 750 werknemers.

Wat betreft de beveiliging, zullen we het volgende vermelden: richtlijn betreffende de beveiliging van netwerken en informatiesystemen (NIS2) van kracht sinds oktober 2024, de regelgeving inzake digitale operationele veerkracht (DORA) van kracht sinds januari 2025, evenals de Regelgeving inzake cyberweerbaarheid (CRA)).

Wat dat laatste betreft, zullen de belangrijkste verplichtingen voor fabrikanten van producten met digitale elementen op 11 september 2026 in werking treden, waaronder de verplichting om actief misbruikte kwetsbaarheden en ernstige beveiligingsincidenten te melden.

Fabrikanten zullen daarom alle geconstateerde kwetsbaarheden en beveiligingsincidenten die de productveiligheid aanzienlijk in gevaar brengen, binnen zeer korte termijn moeten melden aan de relevante markttoezichtautoriteiten.

Om deze lijst met regelgeving compleet te maken, noemen we tot slot nog de volgende: voorstel betreffende een verordening inzake digitale eerlijkheid (DFA) Dit zal naar verwachting de complexiteit van het juridische kader voor online dienstverleners verder vergroten.

In juli 2025 lanceerde de Commissie een openbare raadpleging over dit project, dat tot doel heeft "oneerlijke handelspraktijken" zoals misleidende reclamepatronen, verslavende functies en misbruikmakende personalisatie, inclusief die met betrekking tot AI-agenten, te bestrijden.

Wat is de toekomst van deze voorstellen? De komende maanden zullen doorslaggevend zijn: het Cypriotische voorzitterschap streeft ernaar om eind maart of begin april een mandaat te verkrijgen om met het Europees Parlement over de Omnibuswet te onderhandelen. Dit weerspiegelt de wens om de wet aan te nemen voordat de strenge eisen van de AI-regelgeving in augustus van kracht worden.

 

We constateren diverse belangrijke sancties van de CNIL die vlak voor en na de overgang naar 2026 zijn aangenomen, allemaal gerelateerd aan gegevensbeveiliging.

Op 13 januari 2026 heeft de CNIL (Franse Autoriteit voor Gegevensbescherming) de bedrijven Free Mobile en Free respectievelijk een boete van € 27 miljoen en € 15 miljoen opgelegd. gezien de ontoereikendheid van de genomen maatregelen om de veiligheid van de gegevens van hun abonnees te waarborgen.

In oktober 2024 is het een aanvaller gelukt om de informatiesystemen van de bedrijven te infiltreren en toegang te krijgen tot persoonlijke gegevens van 24 miljoen abonnementscontracten, waaronder IBAN's.

Op 22 december 2025 legde het orgaan het bedrijf Nexpublica France een boete op van 1.700.000 euro.s voor het niet implementeren van voldoende beveiligingsmaatregelen voor de PCRM-software, een tool voor het beheren van gebruikersrelaties op het gebied van sociale actie.

Op 11 december 2025 legde het sanctie op aan Mobius Solutions Ltd, een onderaannemer die verantwoordelijk was voor een datalek dat Deezer-gebruikers trof.Het bedrijf kreeg een boete van één miljoen euro opgelegd wegens het niet naleven van de geldende onderaannemingsregels: het bewaren van gegevens na afloop van het contract, ongeoorloofde verwerking en het niet bijhouden van een register van verwerkingen.

Drie medewerkers van het bedrijf hadden na afloop van hun contract een kopie bewaard van de gegevens van meer dan 46 miljoen Deezer-gebruikers, waardoor ze werden blootgesteld aan beveiligingslekken die ertoe leidden dat de gegevens op het dark web werden geplaatst.

Het bestuursgerechtshof van Versailles heeft op 11 december geoordeeld dat een patiënt een ziekenhuis niet kan verzoeken een medische beoordeling te corrigeren, aangezien deze een subjectieve mening betreft.

Dit principe blijft van toepassing, zelfs wanneer de diagnose van de behandelend persoon verschilt van latere diagnoses.

De hallucinaties van AI in de conclusies van advocaten worden soms met welwillendheid bekeken door rechters, dit is in ieder geval het standpunt van de rechtbank van Périgueux in haar uitspraak van 18 december.

De laatstgenoemde merkt op "(...) dat de door de aanvrager aangehaalde jurisprudentie, die niet in zijn documenten is opgenomen, niet lijkt overeen te komen met gepubliceerde uitspraken. (...)

De rechtbank zal de verzoeker en zijn advocaat daarom verzoeken om in de toekomst te verifiëren dat de referenties die zij via zoekmachines of met behulp van kunstmatige intelligentie hebben gevonden, geen "hallucinaties" zijn.

Dit standpunt staat in contrast met een recent Belgisch besluit, dat hieronder wordt vermeld.

Het ministerie van Binnenlandse Zaken werd medio december getroffen door een grootschalige cyberaanval.

De minister van Binnenlandse Zaken bevestigde woensdag 17 december dat "de diensten van het ministerie van Binnenlandse Zaken het doelwit waren van een massale cyberaanval". Hij omschreef de aanval als een zeer ernstige daad die resulteerde in de publicatie van dossiers, waaronder strafregisters en namen van gezochte personen. De cyberaanval vond plaats via de e-mailaccounts van medewerkers van het ministerie.

Op het gebied van cyberaanvallen moet ook worden opgemerkt dat de CNIL in haar beperkte resolutie van 18 december 2025 een boete van 5 miljoen euro heeft geëist tegen France Travail wegens een gebrek aan beveiliging dat resulteerde in een datalek waarbij 36,8 miljoen mensen werden getroffen.

 

Europese instellingen en organen

De EU-verordening tot vaststelling van aanvullende procedurele regels met betrekking tot de toepassing van de AVG is gepubliceerd op 12 december en treedt in werking op 2 april 2027.

Het doel van deze tekst is de procedurele afhandeling van grensoverschrijdende zaken onder de AVG door nationale gegevensbeschermingsautoriteiten (DPA's) te stroomlijnen, de samenwerking tussen DPA's te verbeteren door middel van gestructureerde procedures, duidelijkere rollen en vastgestelde termijnen, en de procedurele waarborgen en rechtszekerheid voor klagers en onderzochte partijen te versterken, waaronder het recht om gehoord te worden, toegang tot dossiers en de effectiviteit van gerechtelijke remedies.

De Europese Commissie publiceerde op 17 december haar eerste ontwerp van een gedragscode voor de markering en etikettering van door AI gegenereerde content.

Het project bestaat uit twee onderdelen.

Het eerste deel behandelt de regels met betrekking tot het markeren en detecteren van door AI gegenereerde content, die van toepassing zijn op aanbieders van generatieve AI-systemen.

• Het tweede deel betreft het labelen van deepfakes en bepaalde teksten die door AI zijn gegenereerd of gemanipuleerd met betrekking tot onderwerpen van publiek belang, en is van toepassing op gebruikers van generatieve AI-systemen.

De commissie verzamelt tot 23 januari reacties, met als doel de gedragscode in juni af te ronden.

Op 19 december 2025 kondigde de Europese Commissie de verlenging aan van de twee adequaatheidsbesluiten met betrekking tot het Verenigd Koninkrijk. Oorspronkelijk aangenomen in 2021, bevestigt dit dat persoonsgegevens vrijelijk kunnen blijven circuleren tussen de Europese Economische Ruimte en het Verenigd Koninkrijk.

In het arrest Storstockholms Lokaltrafik (C-422/24) van 18 december heeft het Hof van Justitie van de Europese Unie het begrip directe verzameling van persoonsgegevens verduidelijkt.

Deze wet "vereist niet dat de betrokkene bewust gegevens verstrekt of een specifieke handeling verricht. Gegevens die verkregen zijn door observatie van de persoon die de bron ervan is, worden daarom geacht rechtstreeks van die persoon te zijn verzameld."

Deze verduidelijkingen hebben gevolgen voor de timing en de omvang van de informatieplicht, die onmiddellijk en uitgebreider moet zijn.

Het specifieke geval betrof de controle van een vervoersbewijs door een medewerker die was uitgerust met een bodycam.

De rechtbank stelt voor dat de belangrijkste informatie op een waarschuwingsbord wordt vermeld en dat overige informatie op een gemakkelijk toegankelijke plaats wordt aangeboden.

Op 23 december legde de regering-Trump sancties op aan 5 Europese staatsburgers. Naar aanleiding van de recente boete die de Europese Commissie heeft opgelegd aan bedrijf X op grond van de Digital Services Act (DSA), is Thierry Breton, voormalig Europees Commissaris voor de Digitale Economie, evenals diverse leden van het maatschappelijk middenveld die werkzaam zijn voor de ngo's HateAid, Center for Countering Digital Hate en The Global Disinformation Index, de toegang tot de Verenigde Staten ontzegd.

Washington veroordeelt de verplichtingen tot moderatie, rapportage en verantwoording van platforms zoals vastgelegd in de DSA, die hier worden beschouwd als extraterritoriale censuurmaatregelen.

Op 5 december heeft de Europese Commissie X een boete van 120 miljoen euro opgelegd omdat het bedrijf niet voldeed aan zijn transparantieverplichtingen in het kader van de DSA.

De tekortkomingen omvatten het misleidende ontwerp van de "blauwe validatie" voor geverifieerde accounts, het gebrek aan transparantie in de advertentiedirectory en het feit dat onderzoekers geen toegang krijgen tot openbare gegevens.

 

Nieuws uit de lidstaten van de Europese Unie.

In een uitspraak van 10 november heeft de regionale rechtbank van Darmstadt in Duitsland de honoraria van een expert die uitgebreid gebruik had gemaakt van AI bij het opstellen van een gerechtelijk rapport, zonder dit te melden, tot € 0 verlaagd.

De rechtbank noemde de volgende factoren als reden om de kosten te verlagen:

1. Het niet vermelden van het gebruik van AI en het ontbreken van een echte auteur vormden een schending van de procedurele verplichtingen.
2. Het rapport werd als onbruikbaar beschouwd: gebrek aan persoonlijke beoordeling, feitelijke fouten en duidelijke tekenen van door AI gegenereerde tekst.
3. Transparantie en verantwoording zijn essentieel bij deskundige adviezen.

De Duitse rechtbank in Lübeck heeft een eiser een schadevergoeding van € 5.000 toegekend wegens immateriële schade, ten laste gelegd aan Meta voor het verwerken van persoonsgegevens zonder voorafgaande toestemming via Meta Business Tools.

Gegevensoverdracht van websites van derden naar Meta vindt plaats onafhankelijk van de activering van Meta-applicaties door de gebruiker en het verkrijgen van diens toestemming.

De rechtbank oordeelde dat Meta artikel 6(1) van de AVG had overtreden, waardoor een voldoende concrete bedreiging voor de betrokkene ontstond. Deze betrokkene had een gegronde vrees voor misbruik van zijn persoonsgegevens in de vorm van verlies van controle.

In Oostenrijk heeft het Hooggerechtshof op 26 november bepaald dat Meta haar gebruikers volledige inzage moet geven in al hun persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden ervan.

Een eenvoudige indicatieve lijst is niet voldoende.

Het Hof oordeelde tevens dat gepersonaliseerde reclame en de verwerking van (gevoelige) persoonsgegevens van websites van derden de toestemming van de betrokkene vereisen.

Een recente Belgische uitspraak heeft eisers een boete van meer dan 25.000 euro opgelegd voor het gebruik van generatieve AI-tools bij het opstellen van hun beroepschriften, wegens kennelijk misbruik van procedure, een lichtzinnig beroep en misbruik van rechtsmiddelen.

Het Antwerpse Hof van Beroep constateert een stroom van "onsamenhangende en volstrekt betekenisloze" argumenten, onderbouwd met niet-bestaande jurisprudentie en verzonnen rechtsbronnen.

Ook in België heeft de APD een bedrijf berispt voor het illegaal doorgeven van informatie over een voormalige werknemer tijdens een telefoongesprek met een ander bedrijf in het kader van een wervingsprocedure.

De APD heeft de twee bedrijven ook berispt omdat ze niet hebben gereageerd op de verzoeken om toegang van de betrokkene.

In Kroatië kreeg de AZOP-bank een boete van € 1.500.000 opgelegd voor meerdere overtredingen van de AVG (Algemene Verordening Gegevensbescherming).

De bank verwerkte de persoonsgegevens van 433.922 gebruikers zonder wettelijke grondslag, zonder de vereiste informatie aan de gebruikers te verstrekken en zonder de juiste technische en organisatorische maatregelen te treffen.

 

De Britse gegevensbeschermingsautoriteit (DPA) heeft wachtwoordbeheerder LastPass UK Ltd een boete van 1,2 miljoen pond opgelegd naar aanleiding van een datalek in 2022 waarbij de persoonlijke gegevens van bijna 1,6 miljoen Britse gebruikers in gevaar kwamen.

De ICO concludeerde dat LastPass onvoldoende robuuste technische en beveiligingsmaatregelen had getroffen, waardoor een hacker uiteindelijk ongeautoriseerde toegang kon krijgen tot de back-updatabase.

De Verenigde Staten hebben hun verzoek om toegang tot de nationale biometrische gegevensbestanden van EU-landen die deelnemen aan het Visa Waiver Program (VWP) herhaald en zijn van plan om hierover vóór eind 2026 een overeenkomst te sluiten.

Washington verzoekt al sinds 2022 om deze toegang, als onderdeel van de "Enhanced Border Security Partnerships" (EBSP) van de Verenigde Staten, en dreigt de visumvrijstelling in te trekken als het verzoek wordt afgewezen.

De mate van toegang blijft onzeker.

Het Europese standpunt lijkt er op dit moment op gericht te zijn het te beperken tot mensen die naar de Verenigde Staten reizen.

Toegang zou biometrische gegevens omvatten, zoals vingerafdrukken en gezichtsscans, maar ook andere gevoelige gegevens die de raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap of gegevens over gezondheid of seksueel leven onthullen, wanneer dit nodig en proportioneel is "om criminele en terroristische misdrijven te voorkomen of te bestrijden".

De Europese hoofdsteden stemden in december in met het verlenen van een mandaat aan de Europese Commissie om te onderhandelen over het kader voor deze overeenkomst. De details hiervan zullen door de lidstaten worden vastgesteld.

In de Verenigde Staten heeft het gebruik van AI om rapporten van bodycams van de politie in Heber City, Utah, te transcriberen, onverwachte gevolgen gehad.

De Draft One-software, gebaseerd op OpenAI's LLM, meldde dat een agent in een kikker was veranderd.

De software had de film die op de achtergrond draaide daadwerkelijk gedetecteerd, namelijk "De prinses en de kikker".

Afgezien van de ironie van de situatie, roept deze specifieke zaak vragen op die door Cybernews worden benadrukt. "Hoewel het doel is om de hoeveelheid papierwerk te verminderen, lopen agenten met fouten zoals die in Heber City het risico nog meer tijd kwijt te zijn aan het controleren van rapporten." Een onderzoek dat vorig jaar werd uitgevoerd door de Electronic Frontier Foundation (EFF) onthulde dat conceptversie 1 "opzettelijk lijkt te zijn ontworpen om audits te vermijden die publieke verantwoording zouden kunnen garanderen."

"Het is vaak onmogelijk om te weten welke delen van een politierapport door AI zijn gegenereerd en welke delen door een agent zijn geschreven."

Tot slot blijkt uit een rapport van Privacy Laws & Business dat de privacyregelgeving in de Verenigde Staten desalniettemin aan kracht wint. Inmiddels hebben 19 staten, in navolging van Californië, privacywetten aangenomen, vaak gericht op kwesties die betrekking hebben op kinderen.

Weinig staten tonen interesse in het verzamelen en gebruiken van biometrische gegevens.

Illinois bekleedt al lange tijd een leidende positie, nu gevolgd door Texas en de staat Washington.

Er bestaat nog steeds geen consensus over nieuwe federale privacyregelgeving, "maar de FTC heeft wel handhavingsmaatregelen genomen die hebben geleid tot schikkingen met grote onlinebedrijven zoals Epic Games, Amazon en Microsoft, waarbij honderden miljoenen dollars aan schadevergoedingen en boetes zijn opgelegd", of recentelijk met Disney Worldwide Services, met een schikking van 10 miljoen dollar voor het schenden van de Children's Online Protection Act (COPPA).