Juridisch overzicht nr. 92 – februari 2026. 

 

De onderaannemer, tussen de zwakke schakel en de strategische speler.

Op 9 februari presenteerde de CNIL haar rapport over de sancties en corrigerende maatregelen voor 2025: cookies, werknemersmonitoring en gegevensbeveiliging zijn de belangrijkste onderwerpen van de sancties die in 2025 zijn opgelegd. Het cumulatieve bedrag van de boetes bedraagt in totaal 486.839.500 euro.

Een aanzienlijk aantal van de sancties betreft onderaannemers die hun verplichtingen met betrekking tot de aan hen toevertrouwde gegevens niet nakomen.

De CNIL herinnert ons eraan dat de onderaannemer het volgende moet doen:

• Verwerk gegevens uitsluitend op instructie van de gegevensbeheerder;
• Implementeer passende technische en organisatorische maatregelen om een adequaat beveiligingsniveau te waarborgen;
• En verwijder de gegevens aan het einde van de contractuele relatie met de gegevensbeheerder.

De onderaannemer moet de verwerkingsverantwoordelijke ook bijstaan bij de uitvoering van bepaalde verplichtingen uit de regelgeving: privacy-effectbeoordeling, melding van datalekken, beveiliging en medewerking aan audits.

Het is tevens verplicht een register bij te houden van de verwerkingsactiviteiten en in bepaalde gevallen een functionaris voor gegevensbescherming aan te stellen.

Artikel 28 van de AVG, dat handelt over het tot stand komen van een specifieke overeenkomst tussen verwerkingsverantwoordelijke en verwerker, specificeert de verplichte bepalingen die in de overeenkomst moeten worden opgenomen.

Dit kan geheel of gedeeltelijk gebaseerd zijn op standaardcontractbepalingen, zoals die welke zijn goedgekeurd door de Europese Commissie of een van de EU-lidstaten.

Het is raadzaam om de respectieve verantwoordelijkheden van de hoofdaannemer en de onderaannemer in deze clausules duidelijk te definiëren. Deze details kunnen van pas komen in geval van wanprestatie door een van de partijen.

Het is goed om te onthouden dat veel recente datalekken, die zowel de publieke als de private sector hebben getroffen, zijn veroorzaakt door een beveiligingsfout bij een onderaannemer.

Vaak is de oorzaak een menselijke fout, en meer specifiek de diefstal van de inloggegevens van een medewerker.

Tweefactorauthenticatie en het gebruik van complexe wachtwoorden blijven essentiële manieren om dergelijke aanvallen te voorkomen, zoals we al eerder aangaven in een commentaar op de recente sanctie "France travail" van de CNIL.

OnderAannemers hebben wel degelijk specifieke verplichtingen met betrekking tot beveiliging, vertrouwelijkheid en documentatie.

Om effectieve, op de risico's afgestemde gegevensbescherming te garanderen, moeten zij vanaf het ontwerp van de dienst of het product en standaard alle nuttige maatregelen treffen ("privacy by design & by default").

Bovendien moet elke datalek binnen de wettelijk vastgestelde termijnen worden gemeld aan de gegevensbeheerder.

Tot slot is het verwijderen van gegevens aan het einde van het contract niet alleen een verplichting, maar ook de beste manier om datalekken te voorkomen zodra de contractuele relatie is beëindigd, zoals bleek uit de boete van één miljoen euro die de CNIL eind december aan het bedrijf Mobius Solutions oplegde.

Het bedrijf had na afloop van het contract een kopie bewaard van de gegevens van meer dan 46 miljoen Deezer-gebruikers, ondanks de verplichting om al deze gegevens aan het einde van het contract te verwijderen. Dit maakte een grootschalig datalek mogelijk.

 

De CNIL publiceerde op 2 maart een bijgewerkte versie van haar tabellen met gegevensbeschermingsvoorschriften. 

Deze tabellen verzamelen en ordenen de belangrijkste jurisprudentie en besluitvormingspraktijken met betrekking tot de bescherming van persoonsgegevens op nationaal en Europees niveau.

Eind februari waarschuwde France 2 in een reportage voor een datalek met medische gegevens, en meer specifiek voor het hacken van de software "MonLogicielMedical" door Cegedim.

De aanval stelde een hacker in staat om de medische gegevens van 11 tot 15 miljoen Fransen te verzamelen, die vervolgens via het darknet toegankelijk werden.

De CNIL had het bedrijf in september 2024 al een boete van 800.000 euro opgelegd, met name voor het zonder toestemming verwerken van gezondheidsgegevens.

Op 18 februari 2026 meldde het directoraat-generaal voor overheidsfinanciën (DGFiP) in een persbericht dat er onrechtmatige toegang was geconstateerd tot het nationale bankrekeningenbestand (FICOBA), na het misbruik van de inloggegevens van een gemachtigde.

De hacker had de accountgegevens al vóór de cyberaanval bemachtigd: het Ministerie van Economie had geen tweefactorauthenticatie ingevoerd.

De betreffende gegevens hebben betrekking op ongeveer 1,2 miljoen rekeningen en omvatten met name de identiteit van de rekeninghouders, hun adres, hun bank en hun IBAN.

01net bericht over de beoordeling die het bedrijf Surfshark heeft uitgevoerd met betrekking tot datalekken in Frankrijk.

"Tegen 2025 zullen wereldwijd 425,7 miljoen accounts gehackt zijn. Het meest getroffen land is de Verenigde Staten, met 34 miljoen datalekken wereldwijd. Op de tweede plaats staat Frankrijk, gevolgd door India, Duitsland en Rusland. Tegen 2025 zullen Franse internetgebruikers gemiddeld bijna één accounthack per seconde meemaken."

Frankrijk valt ook op door "een dichtheid van overtredingen die twaalf keer hoger ligt dan het wereldgemiddelde". Het gebrek aan investeringen in beveiliging, zowel door bedrijven als door overheidsinstanties, wordt specifiek aangehaald.

Datahandelaren, die het internet afspeuren om de verzamelde persoonsgegevens door te verkopen, zijn ook een belangrijk doelwit voor hackers.

 

Europese instellingen en organen

Het "Omnibus"-voorstel van de Europese Commissie om de AVG te vereenvoudigen, heeft een tegenslag geleden in de EU-Raad.

In een document van 20 februari geeft de Raad aan het voorstel tot wijziging van de definitie van persoonsgegevens te willen intrekken.

Volgens Euractiv wil de Raad bovendien het voorstel van de Commissie om haar eigen bevoegdheden uit te breiden, waardoor zij zou kunnen bepalen wat voldoende gepseudonimiseerde gegevens zijn, intrekken.

De compromistekst, opgesteld door het Cypriotische voorzitterschap van de Raad, zal dienen als basis voor de onderhandelingen tussen de nationale regeringen.

De Raad zal de tekst naar verwachting op 27 februari bestuderen.

Op 11 februari hebben het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) al een langverwacht gezamenlijk advies uitgebracht over de gegevensbeschermingsaspecten van dit Omnibusvoorstel.

In hun persbericht benadrukken de toezichthouders dat vereenvoudiging niet ten koste mag gaan van de bescherming van mensen.

Zij dringen er bij de medewetgevers op aan de voorgestelde wijzigingen in de definitie van persoonsgegevens niet aan te nemen, aangezien deze de reikwijdte ervan aanzienlijk zouden beperken en in strijd zouden zijn met de jurisprudentie van het Hof van Justitie van de EU.

“We moeten ervoor zorgen dat eventuele wijzigingen in de AVG en de Europese Algemene Verordening Gegevensbescherming de verplichtingen daadwerkelijk verduidelijken en rechtszekerheid bieden, terwijl het vertrouwen en een hoog niveau van bescherming van individuele rechten en vrijheden behouden blijven.”

Het gezamenlijke advies onderstreept tevens de noodzaak van duidelijke controle door gegevensbeschermingsautoriteiten met betrekking tot cookiebanners en het hergebruik van gegevens uit de publieke sector.

Het Europees Comité voor gegevensbescherming (EDPB) heeft een rapport gepubliceerd over zijn gecoördineerde actie met betrekking tot de toepassing van het recht om vergeten te worden.

Dit recht is een van de meest uitgeoefende rechten.

Dit heeft geleid tot talloze klachten en een toenemend aantal beslissingen van gegevensbeschermingsautoriteiten.

Het rapport belicht zeven belangrijke uitdagingen voor organisaties, waaronder het gebrek aan interne procedures. Het biedt tevens praktische aanbevelingen om organisaties te helpen deze uitdagingen aan te pakken.

Het Comité publiceerde tevens een rapport over de bijeenkomst van 12 december 2025 betreffende anonimisering en pseudonimisering.

Het rapport vat de feedback samen van ongeveer honderd deelnemers die bijeenkwamen om de toepassing van de AVG op deze technieken te bespreken naar aanleiding van de uitspraak van het Hof van Justitie van de EU in de zaak EDPS tegen SRB.

Hij benadrukt de praktische onzekerheden bij het bepalen wanneer gegevens "identificeerbaar" blijven, afhankelijk van de betrokken personen en contexten, en de vraag welke middelen redelijkerwijs waarschijnlijk zullen worden gebruikt om een persoon opnieuw te identificeren.

Het document bevat geen definitieve richtlijnen, maar identificeert de belangrijkste kwesties die richtinggevend zullen zijn voor de toekomstige koers van het EDPB met betrekking tot anonimisering en pseudonimisering in haar werkprogramma.

Het EDPB heeft zijn werkprogramma voor 2026-2027 vastgesteld.

Hij zal werken aan verschillende modellen die gericht zijn op het faciliteren van de naleving van de AVG: meldingen van datalekken, gegevensbeschermingseffectbeoordelingen, beoordeling van het rechtmatig belang, verwerkingsregister en privacyverklaring/beleid.

Het Hof van Justitie heeft op 10 februari in zaak C-97/23 P | WhatsApp Ireland v. European Data Protection Board geoordeeld dat het beroep van WhatsApp tegen een besluit van het Europees Comité voor gegevensbescherming ontvankelijk is.

Aangezien het Hof van Justitie van de Europese Unie de zaak nog niet inhoudelijk heeft behandeld, vernietigt het Hof het bestreden besluit en verwijst de zaak terug naar het Hof.

Het Europees Hof voor de Rechten van de Mens heeft op 17 februari in de zaak Groene Alliantie tegen Bulgarije – 6580/22 geoordeeld dat de Bulgaarse regelgeving die de nationale veiligheidsdienst toestaat om "geheime agenten" in te zetten, artikel 8 van het Europees Verdrag voor de Rechten van de Mens schendt, omdat deze regelgeving heimelijke surveillance van organisaties mogelijk maakt zonder voldoende waarborgen of controlemechanismen.

 

Nieuws uit de lidstaten van de Europese Unie.

Volgens Heise.de en Table.Media werkt de Bondsdag in Duitsland intensief aan een grondige herstructurering van zijn digitale architectuur. Het parlement wil zich losmaken van de technologische greep van Amerikaanse bedrijven zoals Microsoft om veerkrachtiger en vooral onafhankelijker van derde landen te kunnen optreden in crisistijden.

De Oostenrijkse Autoriteit voor Gegevensbescherming (DPA) heeft een gegevensverwerker een boete van € 1.500 opgelegd voor het illegaal filmen van een openbaar trottoir met een bewakingscamera en het publiceren van de beelden van een vermeende dief op sociale media. Hiermee werden de beginselen van dataminimalisatie en transparantie, evenals de regels voor de verwerking van gerechtelijke gegevens, geschonden.

De Deense Autoriteit voor Gegevensbescherming (DPA) heeft 51 gemeenten een berisping gegeven en hen tegelijkertijd gewaarschuwd voor hun gebruik van Google-producten in het primair en voortgezet onderwijs. De DPA constateerde met name dat de gemeenten onvoldoende hadden aangetoond dat zij een passend beschermingsniveau boden voor persoonsgegevens die buiten de EU werden verwerkt.

Het Ierse Agentschap voor Gegevensbescherming (DPA) kondigde op 17 februari aan een onderzoek te zijn gestart naar het bedrijf X van Elon Musk. Het onderzoek betreft het creëren en publiceren, op het X-platform, van "mogelijk schadelijke, intieme en/of seksueel expliciete afbeeldingen, zonder toestemming, die persoonsgegevens bevatten van personen uit de EU/EER, waaronder kinderen, of waarbij persoonsgegevens van dergelijke personen worden verwerkt". Hiervoor werd gebruikgemaakt van een generatieve AI-functie die gekoppeld is aan het Grok-taalmodel. Verschillende landen hebben al besloten de AI-chatbot van Elon Musk volledig te verbieden en de Europese Commissie startte op 26 januari een onderzoek.

In Nederland heeft een rechter geoordeeld dat de Autoriteit Persoonsgegevens (APD) onvoldoende had onderbouwd waarom zij een klacht tegen een bioscoop die geen contante betalingen meer accepteerde, had afgewezen. Volgens de rechter had de APD niet beoordeeld of de eis tot betaling met een betaalkaart een voldoende concreet en gerechtvaardigd doel diende in het kader van de AVG.

In Slowakije heeft het Constitutioneel Hof een wet ongeldig verklaard die ngo's verplichtte gegevens over hun donateurs te publiceren. Het Hof oordeelde dat de wet inbreuk maakte op de privacy, het recht op informatievrijheid en de vrijheid van vereniging, en bovendien buitensporige lasten oplegde.

 

De Britse gegevensbeschermingsautoriteit (ICO) heeft Reddit een boete van £14,47 miljoen (ongeveer €16,6 miljoen) opgelegd wegens het niet nakomen van haar verplichtingen met betrekking tot de privacy van kindgegevens.

De ICO is van mening dat de leeftijdsverificatie van Reddit onvoldoende is en dat het platform "daarom geen wettelijke basis had om de persoonsgegevens van kinderen onder de 13 jaar te verwerken."

Bovendien heeft Reddit "geen gegevensbeschermingseffectbeoordeling (DPIA) uitgevoerd om risico's voor kinderen te beoordelen en te beperken vóór januari 2025."

De ICO kondigde op 5 februari ook een boete van £247.590 aan tegen MediaLab.AI, Inc., het bedrijf achter het platform voor het delen van afbeeldingen Imgur.

MediaLab stond kinderen toe Imgur te gebruiken zonder de basisveiligheidsmaatregelen te treffen die de Britse wetgeving inzake gegevensbescherming vereist.

India heeft in februari 2026 besloten om het gebruik van Aadhaar, 's werelds grootste digitale identiteitssysteem, uit te breiden naar de dagelijkse privacy door middel van een nieuwe applicatie en een offline verificatiesysteem.

De wijzigingen moeten het mogelijk maken voor individuen om hun identiteit te bewijzen zonder realtime verificatie in de database, door integratie van particuliere verificatiediensten zoals Google Wallet en Apple Wallet.

Een campagne van het maatschappelijk middenveld betoogt dat het offline verificatiesysteem het risico met zich meebrengt dat de particuliere sector Aadhaar opnieuw gaat gebruiken, iets wat al door het Hooggerechtshof is veroordeeld. 

Het systeem stelt Indiase staten en de politie ook in staat om allerlei persoonlijke informatie aan het Aadhaar-nummer te koppelen: GPS-coördinaten, telefoonnummers, sociale netwerken, kiezersregistratiebewijs, paspoort, leningen, sociale uitkeringen, soms zelfs de namen van familieleden, of zelfs de namen van partners op bepaalde politieformulieren.

Volgens een bericht van CNBC van 19 februari koppelt Accenture de promotie van haar topmanagers aan het regelmatige gebruik van haar AI-tools.

Naar verluidt werden adjunct-directeuren en senior managers geïnformeerd dat "regelmatig gebruik" van AI vereist zou zijn om toegang te krijgen tot leidinggevende posities.

De AI-strategie van het bedrijf "vereist de inzet van de nieuwste tools en technologieën om onze klanten zo efficiënt mogelijk van dienst te kunnen zijn", aldus een woordvoerder tegenover CNBC.

Op 11 februari 2026 kondigde de procureur-generaal van Californië een recordbedrag van 2,75 miljoen dollar aan als schikking met de Walt Disney Company. om beschuldigingen op te lossen dat het bedrijf onvoldoende rekening heeft gehouden met de bezwaren van consumenten tegen de verwerking van hun gegevens, conform de Californische wetgeving inzake consumentenbescherming (California Consumer Privacy Act).

In een artikel van 13 februari meldt de New York Times dat Meta, het moederbedrijf van Facebook, van plan is om al dit jaar gezichtsherkenning toe te voegen aan zijn slimme brillen, die het produceert in samenwerking met de eigenaar van Ray-Ban en Oakley.

Deze functie, intern "Name Tag" genoemd, zou gebruikers van slimme brillen in staat stellen mensen te identificeren en informatie over hen te verkrijgen via Meta's kunstmatige intelligentie-assistent. In een intern memo dat vorig jaar werd gepubliceerd, zou Meta hebben verklaard dat de politieke onrust in de Verenigde Staten de aandacht zou afleiden van critici van de lancering van de functie.

Op 23 februari 2026 publiceerden 61 gegevensbeschermingsautoriteiten een gezamenlijke verklaring over door AI gegenereerde beelden.

Deze gezamenlijke verklaring gaat in op de zorgen over AI-systemen die in staat zijn realistische beelden en video's te genereren waarop herkenbare personen te zien zijn zonder hun medeweten of toestemming.

Op 19 februari 2026 publiceerde de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) nieuwe richtlijnen om organisaties te helpen bij de implementatie van de OESO-richtlijnen voor multinationale ondernemingen en de OESO-principes inzake AI.

Deze richtlijnen zijn bedoeld om organisaties te helpen bij het beheersen van AI-gerelateerde risico's en het voldoen aan internationale normen voor verantwoord ondernemerschap.

De ontwikkeling van AI-agenten, hoewel bedoeld om veel administratieve taken te vergemakkelijken, roept ook serieuze veiligheidsvragen op.

OpenClaw, de nieuwste in zijn soort, is een open source-project dat draait om een autonome AI-agent die in staat is een computer te besturen in plaats van de gebruiker.

OpenClaw, dat onlangs door OpenAI is overgenomen, is nu het doelwit van ernstige beveiligingsaanvallen.

In een paar weken tijd werden meer dan 30.000 OpenClaw-instanties gehackt door cybercriminelen. Met behulp van nepscripts konden virussen en malware worden geïnstalleerd die alles wat op het toetsenbord van Windows-computers werd getypt, konden worden vastgelegd. 

"Steeds meer leiders van startups verbieden autonome agenten op bedrijfsapparaten uit angst voor het lekken van vertrouwelijke gegevens. Beveiligingsexperts uiten ernstige zorgen over het gebrek aan controle, inzicht, echte waarborgen en transparantie rondom AI, terwijl steeds meer werknemers het al integreren in hun dagelijkse taken in een poging de productiviteit te verhogen."

Deze waarschuwingen werden op 12 februari doorgegeven door de Nederlandse Autoriteit Persoonsgegevens (APD). De APD waarschuwt gebruikers en organisaties voor het gebruik van OpenClaw en soortgelijke experimentele systemen vanwege ernstige beveiligingslekken.

De International Association of Privacy Professionals (IAPP) publiceerde op 5 februari een bijgewerkte versie van haar wereldwijde overzicht van privacywetten en gegevensbeschermingsautoriteiten.

De IAPP merkt op dat de regelgeving inzake gegevensbescherming wereldwijd blijft evolueren en volwassener wordt. "In de afgelopen twaalf maanden heeft India nieuwe handhavingsregels ingevoerd ter uitvoering van de Digital Personal Data Protection Act, hebben Bangladesh en Gambia nieuwe, alomvattende wetten aangenomen of overwegen deze aan te nemen, en hebben andere landen, waaronder Ecuador en Indonesië, nieuwe instanties opgericht om bestaande privacywetten te interpreteren en te handhaven."