Juridisch overzicht nr. 91 – januari 2026. 

 

Het beveiligen van gegevens in het licht van de sanctie "France Travail".

De sanctie die de CNIL op 29 januari tegen France Travail heeft opgelegd, is exemplarisch omdat deze ons herinnert aan de essentiële elementen van een effectief veiligheidsbeleid.

In een context van toenemende grootschalige datalekken benadrukt de CNIL drie fundamentele aspecten van gegevensbescherming:

• Robuuste authenticatie,
• Effectieve houtkap,
• Een autorisatiebeleid dat is afgestemd op de verantwoordelijkheden van de agenten.

De sanctie van de CNIL, ter waarde van 5 miljoen euro, is de meest recente ontwikkeling in een zaak die in 2024 begon toen hackers erin slaagden toegang te krijgen tot de accounts van adviseurs van Cap Emploi.

Deze toegang stelde hen in staat om verbinding te maken met de gegevens van alle personen die geregistreerd staan bij France Travail, of die zich in de afgelopen 20 jaar hebben geregistreerd, evenals personen met een kandidaatsplaats op francetravail.fr.

Dit betekent dat de hackers de gegevens van meer dan 36 miljoen mensen hebben kunnen downloaden.

Wat de verantwoordelijkheid betreft, moet worden opgemerkt dat de CNIL de verantwoordelijkheid van de Cap Emploi-adviseurs niet ontloopt, maar wel de hoofdverantwoordelijkheid bij France Travail legt.

• France Travail is verantwoordelijk voor "het initiatief om de maatregelen te implementeren en te beheren die bedoeld zijn om de veiligheid te waarborgen van het informatiesysteem waartoe het toegang heeft verleend aan Cap Emploi (...)."
• Het was ook France Travail dat besloot de eerdere aanbevelingen van de effectbeoordeling met betrekking tot authenticatie te negeren.

Tijdgebrek, in combinatie met technische problemen bij de implementatie, zou hem ertoe hebben aangezet deze voorzorgsmaatregelen te negeren.

In dit verband herhaalt de CNIL haar doctrine inzake authenticatie en stelt dat het gebruik van wachtwoorden moet worden aangevuld met extra maatregelen (captcha, toegangsvertraging of accountblokkering na maximaal tien onjuiste pogingen), tenzij het wachtwoord bestaat uit: minimaal 12 tekens, inclusief hoofdletters, kleine letters, cijfers en speciale tekens; of minimaal 14 tekens, inclusief hoofdletters, kleine letters en cijfers, zonder verplichte speciale tekens; of een woordgroep van minimaal 7 woorden.

In dit specifieke geval was het wachtwoord slechts acht tekens lang en schreef het authenticatiebeleid een drempel van 50 mislukte pogingen voor voordat de toegang tot de virtuele machines van de adviseurs werd geblokkeerd. 

France Travail, dat een grote hoeveelheid gevoelige gegevens verwerkt, bijvoorbeeld over de oorsprong van de handicap, de beperkingen van een werkplek, de ontwikkeling van de handicap en de toegankelijkheidsvoorwaarden, had veel strenger moeten zijn.

Ze hadden met name moeten voorzien in multifactorauthenticatie, een doctrine die volgens de CNIL essentieel is, met name voor de verwerking van gevoelige gegevens en verwerkingen of handelingen die een risico vormen voor de betrokken personen.

“De moeilijkheid om een telefoon als tweede authenticatiefactor te gebruiken, vanwege de onafhankelijkheid van Cap Emploi, had kunnen worden opgelost met andere maatregelen, bijvoorbeeld door het uitdelen van OTP-calculators (One-Time Password) aan werknemers (…).”

De CNIL benadrukt ook de essentiële rol van maatregelen ter beperking van houtkap.

Deze maatregelen maakten het niet mogelijk om afwijkend gedrag op het informatiesysteem te detecteren, in dit geval abnormale hoeveelheden gedownloade gegevens.

De rapporteur van de CNIL bekritiseert France Travail voor het ontbreken van regelmatige automatische monitoring van logbestanden om beveiligingsincidenten te detecteren en te analyseren en om snel en effectief te kunnen reageren.

“De uitgevoerde handelingen waren zeer ongebruikelijk gezien de timing en frequentie van de verzoeken, de aanzienlijke hoeveelheid geëxtraheerde gegevens (25 GB aan tekstgegevens), het foutenpercentage van bepaalde verzoeken (69 % op een van de gecompromitteerde accounts (…), en het feit dat de gegevens werden geëxtraheerd terwijl de activiteiten van Cap Emploi-adviseurs geen significant resourceverbruik of significante gegevensextractie vereisen (zo werd er bijvoorbeeld alleen al op dinsdag 6 februari 2024 9 GB aan gegevens geëxtraheerd, wat overeenkomt met meer dan 13 miljoen records voor één enkele adviseur op één dag).”

Tot slot benadrukt de CNIL het belang van het beperken van toegangsrechten tot de behoeften en functies van werknemers.

Ze merkt op dat de accountinstellingen van de adviseurs te ruim waren gedefinieerd, waardoor ze toegang kregen tot de gegevens van mensen die ze niet ondersteunden, wat de hoeveelheid gegevens die voor aanvallers toegankelijk was, vergrootte.

De CNIL rechtvaardigt de hoogte van de boete door de keuze van France Travail om de aanbevelingen van de impactanalyse niet op te volgen, wat heeft geleid tot de inbreuk op de persoonsgegevens van meer dan 36,8 miljoen mensen, waaronder gegevens die onder speciale bescherming vallen, zoals het NIR (Nationaal Informatie Register), dat vanwege zijn significante, unieke en permanente karakter specifieke risico's op misbruik of koppeling met elkaar met zich meebrengt.

Het lijkt misschien voor de hand liggend om te concluderen dat men niet moet wachten tot er een datalek plaatsvindt om de beveiliging van een systeem te waarborgen.

Daarbij moet ook worden opgemerkt dat de CNIL regelmatig sancties oplegt voor schendingen van de beveiligingsverplichting, zelfs als deze niet noodzakelijkerwijs de oorzaak zijn van een datalek, zoals bijvoorbeeld een onvoldoende robuust wachtwoordbeleid.

Gegevensbeveiliging behoorde ook tot de belangrijkste onderwerpen van sancties door de toezichthoudende autoriteit in 2025, zoals blijkt uit het rapport dat begin februari werd gepubliceerd.

 

Een datalek dat achttien maanden onopgemerkt is gebleven, heeft een van de belangrijkste digitale vertrouwensbedrijven in Frankrijk getroffen.

Het platform Sumsub voor identiteitsverificatie en fraudepreventie meldt dat het in juli 2024 te maken heeft gehad met een "beveiligingsincident".

Het bedrijf is pas onlangs op de hoogte geraakt van de inbraak na een beveiligingsaudit die in januari 2026 werd uitgevoerd. De cyberaanval is, net als in het geval van France Travail, gebaseerd op het compromitteren van een derde partij.

De gelekte gegevens omvatten namen, e-mailadressen en telefoonnummers.

Op 30 december 2025 legde de CNIL een boete op van 3,5 miljoen euro. aan een bedrijf waarvan de naam helaas niet wordt genoemd, omdat het bedrijf gedurende zes jaar met regelmatige tussenpozen de gegevens van leden van zijn loyaliteitsprogramma zonder geldige toestemming heeft doorgegeven aan een sociaal netwerk voor gerichte reclamedoeleinden.

Na een openbare raadpleging publiceerde de CNIL op 16 januari haar aanbevelingen voor het verkrijgen van toestemming voor gebruik met meerdere apparaten. (apparaatoverschrijdend) in de context van het gebruik van cookies en andere trackers.

Het doel is om belanghebbenden te helpen toestemming te verkrijgen die voldoet aan de AVG-vereisten, en met name om te zorgen voor een transparante toestemmingsverzameling.

De commissie publiceerde op 14 januari ook twee kaarten met een overzicht van goedgekeurde certificeringen en gedragscodes. door nationale autoriteiten of door het Europees Comité voor gegevensbescherming (EDPB) sinds de inwerkingtreding van de AVG, om de identificatie van beschikbare nalevingsinstrumenten te vergemakkelijken.

Tot slot herinnert de CNIL ons in het kader van de gemeenteverkiezingen van 15 en 22 maart aan goede praktijken bij het voeren van campagne en heractiveert zij haar verkiezingsobservatorium.

Het orgaan is opgericht in 2012 en heeft als doel ervoor te zorgen dat politieke partijen en kandidaten de wetgeving inzake gegevensbescherming in hun werkwijze in acht nemen.

Het maakt met name de monitoring mogelijk van verzoeken aan de CNIL in het kader van verkiezingscampagnes, zoals verzoeken om advies van kandidaten of meldingen van wanpraktijken.

Begin februari heeft de staat drie toezeggingen gedaan ten gunste van digitale soevereiniteit:

• Wat betreft gezondheidsgegevens lanceerde hij een aanbesteding om de gezondheidsgegevens van Franse burgers toe te vertrouwen aan een "veilig Europees platform".
• In het algemeen zet de staat zich ervoor in om zijn overheidsaankopen massaal te richten op Franse en Europese oplossingen, met een investering van 4,5 miljard euro daarin.

Volgens David Amiel, gedelegeerd minister voor de ambtenarij, "is er een dringende behoefte om ons te ontdoen van Amerikaanse oplossingen."

• Tot slot stelt een recent gepubliceerde circulaire van de premier dat overheden de voorkeur moeten geven aan marktgerichte oplossingen (in plaats van interne ontwikkeling), mits deze voldoen aan de criteria van soevereiniteit en veiligheid.

De Raad van State heeft op 30 januari 2026 in het voordeel van de CNIL geoordeeld in een geschil over algoritmische surveillance, waarbij de CNIL tegenover de stad Nice stond.

Hij bevestigt dat de algoritmische verwerking van beelden van bewakingscamera's bij de ingang van scholen, die door de gemeente wordt uitgevoerd, niet is toegestaan volgens de huidige wetgeving. 

Hoewel de Internal Security Code de implementatie van videobewakingssystemen in openbare ruimten toestaat, kan deze bepaling, door haar stilzwijgen, niet worden geïnterpreteerd als een machtiging voor de implementatie van algoritmische verwerking die systematische en geautomatiseerde analyse mogelijk maakt van beelden die in openbare ruimten door middel van dergelijke systemen zijn verzameld. Geen enkele andere bepaling machtigt de implementatie van een dergelijke verwerking.

Amerikanen die "toevallig" in de VS wonen, vragen de CNIL om de overdracht van hun bankgegevens naar de Verenigde Staten op te schorten.

Volgens de Foreign Account Tax Compliance Act (FATCA) moeten Franse banken een grote hoeveelheid gevoelige gegevens over zichzelf aan de Amerikaanse belastingdienst verstrekken om mogelijke fraude te bestrijden – Amerikanen moeten hun inkomen immers in de Verenigde Staten aangeven, ongeacht waar ter wereld ze wonen.

De Vereniging van Toevallige Amerikanen veroordeelt de huidige overeenkomst tussen de Verenigde Staten en Frankrijk die de voorwaarden voor het delen van deze informatie regelt.

 

Europese instellingen en organen

Op 20 januari 2026 heeft de Europese Commissie een nieuw pakket cyberbeveiligingsmaatregelen voorgesteld, gericht op het versterken van de weerbaarheid van de EU en het verbeteren van haar vermogen om bedreigingen te beheersen.

Het project omvat een voorstel tot herziening van de cyberbeveiligingsregelgeving, waarmee de veiligheid van de toeleveringsketens voor informatie- en communicatietechnologie (ICT) in de EU wordt versterkt.

Het zorgt ervoor dat producten die bestemd zijn voor EU-burgers vanaf de ontwerpfase cyberveilig zijn door middel van een vereenvoudigd certificeringsproces.

Het vergemakkelijkt ook de naleving van de bestaande EU-regels inzake cyberbeveiliging en versterkt het Europees Agentschap voor cyberbeveiliging (ENISA) in zijn rol bij het ondersteunen van de lidstaten en de EU bij het beheersen van cyberdreigingen.

De Europese Commissie en Brazilië hebben op 27 januari twee wederzijdse adequaatheidsbesluiten aangenomen, waarmee wordt bevestigd dat hun niveau van gegevensbescherming vergelijkbaar is.

"Deze overeenkomsten erkennen de hoge normen voor gegevensbescherming die consumenten en burgers aan beide zijden beschermen en maken het voor bedrijven, overheidsinstanties en onderzoekers nu mogelijk om vrijelijk gegevens uit te wisselen tussen de EU en Brazilië."

De Commissie heeft op 26 januari een nieuw formeel onderzoek tegen X geopend op grond van de Verordening inzake digitale diensten (DSA).

Ze vermoedt dat de in X geïntegreerde Grok-functies onbeoordeelde en niet-gecontroleerde risico's met zich meebrengen voor het genereren en verspreiden van illegale inhoud, zoals seksueel expliciete gemanipuleerde afbeeldingen, waaronder inhoud die kinderpornografie zou kunnen vormen.

Het hof verlengde tevens de formele procedure die in december 2023 tegen X was gestart om te bepalen of het bedrijf alle systeemrisico's met betrekking tot zijn contentaanbevelingssystemen naar behoren heeft beoordeeld en beperkt.

Op 26 januari heeft de Europese Commissie WhatsApp officieel aangewezen als een zeer groot online platform (VLOP) in het kader van de DSA, omdat de "Kanalen"-functie de vereiste drempel van ten minste 45 miljoen gebruikers in de EU heeft bereikt.

Meta heeft vier maanden de tijd, tot medio mei 2026, om ervoor te zorgen dat WhatsApp voldoet aan de aanvullende verplichtingen die de DSA oplegt.

Deze verplichtingen omvatten het beoordelen en beperken van eventuele systeemrisico's, zoals schendingen van fundamentele mensenrechten en de vrijheid van meningsuiting, verkiezingsmanipulatie, de verspreiding van illegale inhoud en privacyproblemen, die voortvloeien uit de diensten van het bedrijf.

Het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) hebben op 21 januari een gezamenlijk advies uitgebracht over het voorstel van de Europese Commissie voor de "Digitale Omnibus inzake AI". Deze omnibus heeft tot doel de implementatie van bepaalde geharmoniseerde regels uit de AI-verordening te vereenvoudigen om de effectieve toepassing ervan te waarborgen.

Beide instanties steunen het doel om de praktische uitdagingen bij de implementatie van de wetgeving aan te pakken, maar benadrukken dat administratieve vereenvoudiging de bescherming van fundamentele rechten niet mag verminderen. De toezichthouders zijn van mening dat sommige van de voorgestelde wijzigingen de bescherming van individuen in de context van AI in gevaar kunnen brengen.

 

Nieuws uit de lidstaten van de Europese Unie.

In Griekenland heeft de Autoriteit voor Gegevensbescherming (DPA) een waarschuwing afgegeven tegen de invoering van een "slim politiesysteem" waarbij agenten gebruikmaken van slimme, draagbare apparaten om de identiteit van burgers vast te stellen en te verifiëren aan de hand van biometrische gegevens tijdens controles ter plaatse. De DPA beschouwt deze verwerking als illegaal omdat deze niet specifiek is opgenomen in de huidige wetgeving.

De Spaanse Autoriteit voor Gegevensbescherming (APD) heeft de IDCQ Hospitals and Health-groep een boete van € 1.200.000 opgelegd. omdat de patiëntgegevens te snel werden verwijderd, waardoor de organisatie niet aan haar verplichting kon voldoen om de betrokken personen te informeren.

De Noorse Autoriteit voor Gegevensbescherming (APD) heeft Timegrip AS een boete van 250.000 NOK (ongeveer € 25.000) opgelegd voor het onrechtmatig ontzeggen van toegang tot de werktijdregistratie van voormalige werknemers nadat hun werkgever failliet was gegaan, en voor het zich ten onrechte voordoen als een gewone onderaannemer terwijl het daadwerkelijk controle uitoefende over persoonsgegevens.

Timegrip nam met name na het faillissement de status van verantwoordelijke partij op zich en was de enige entiteit die technische en praktische controle over de gegevens uitoefende.

De voorzitter van de Poolse Autoriteit voor Gegevensbescherming (APD) heeft Poczta Polska SA een administratieve boete van 978.000 PLN (€250.000) opgelegd wegens het niet garanderen van de onafhankelijkheid van de functionaris voor gegevensbescherming (FG).

De toezichthoudende autoriteit heeft vastgesteld dat het bedrijf een belangenconflict heeft toegestaan bij de uitoefening van de taken van de functionaris voor gegevensbescherming (DPO).

In het Verenigd Koninkrijk heeft de APD (Australian Police Department) ZMLUK Limited, een financieel makelaars- en reclamebureau, een boete van £105.000 (€120.000) opgelegd voor het versturen van meer dan 67 miljoen ongevraagde direct marketing-e-mails zonder toestemming van de betrokken personen of zonder een geldige uitzondering.

De Zweedse Autoriteit voor Gegevensbescherming (APD) heeft een boete van 6.000.000 SEK (€560.000) opgelegd aan onderaannemer Sportadmin i Skandinavien AB. Een digitale dienstverlener voor sportclubs en -verenigingen is getroffen nadat een cyberaanval de persoonsgegevens van meer dan 2,1 miljoen mensen openbaar maakte.

De onderaannemer werd schuldig bevonden aan het niet treffen van voldoende veiligheidsmaatregelen, in strijd met artikel 32 van de AVG.

De Zwitserse overheid wil het online toezicht uitbreiden door een verordening over het toezicht op postcorrespondentie en telecommunicatie te herzien.

Het voorstel zou de hoeveelheid opgeslagen persoonsgegevens aanzienlijk vergroten door grote aanbieders van communicatiediensten te verplichten metadata te bewaren en door gebruikersidentificatievereisten op te leggen aan vrijwel alle dienstverleners.

Deze organisaties moeten deze gegevens minstens zes maanden bewaren en de wetshandhaving helpen bij het decoderen van de inhoud. Negentien maatschappelijke organisaties hebben een brief gestuurd naar het Zwitserse federale ministerie van Justitie en Politie om hun zorgen te uiten.

 

In het Verenigd Koninkrijk heeft de APD (Australian Police Department) ZMLUK Limited, een financieel makelaars- en reclamebureau, een boete van £105.000 (€120.000) opgelegd voor het versturen van meer dan 67 miljoen ongevraagde direct marketing-e-mails zonder toestemming van de betrokken personen of zonder een geldige uitzondering.

De Zwitserse overheid wil de online surveillance uitbreiden. door een besluit over het toezicht op postcorrespondentie en telecommunicatie te herzien.

Het voorstel zou de hoeveelheid opgeslagen persoonsgegevens aanzienlijk vergroten door grote aanbieders van communicatiediensten te verplichten metadata te bewaren en door gebruikersidentificatievereisten op te leggen aan vrijwel alle dienstverleners.

Ze moeten deze gegevens minstens zes maanden bewaren en de wetshandhaving helpen bij het decoderen van de inhoud.

Negentien maatschappelijke organisaties hebben een brief gestuurd naar het Zwitserse federale ministerie van Justitie en Politie om hun zorgen te uiten.

Op 3 februari 2026 publiceerde de Justitiële Commissie van het Amerikaanse Huis van Afgevaardigden een rapport waarin de Europese Digital Services Act (DSA) werd aangevallen en een instrument van censuur werd genoemd. "De dreiging van buitenlandse censuur, deel II: Europa's tienjarige campagne om het wereldwijde internet te censureren en de schadelijke gevolgen daarvan voor de vrijheid van meningsuiting in de Verenigde Staten"

In dit rapport worden verschillende Europese ngo's, waaronder Bits of Freedom en Justice for Prosperity, omschreven als "censuur-ngo's".

Vijf sancties, waarover eerder in deze nieuwsbrief is bericht, zijn reeds opgelegd in de vorm van inreisverboden voor de Verenigde Staten aan Europeanen die betrokken zijn bij de toepassing van de DSA, onderzoek naar en kritiek op de macht van platformen.

De Europese Commissie reageerde via haar woordvoerder door eraan te herinneren dat de DSA de verantwoordelijkheid legt waar die thuishoort, namelijk bij online platforms.

Het Australische verbod op sociale media voor minderjarigen onder de 16 is een internationaal voorbeeld geworden. Ondanks de tekortkomingen die in de beginfase van de implementatie aan het licht kwamen, volgen de Europese Unie, het Verenigd Koninkrijk en de Verenigde Staten de Australische ervaring op de voet. Sommige landen hebben inmiddels al soortgelijke wetsvoorstellen ingediend, zoals de IAPP (International Association of Privacy Professionals) opmerkte in een artikel van 5 februari.