Juridisch overzicht nr. 93 – maart 2026. 

 

Toegang tot persoonsgegevens: erkenning van schending van rechten?

Een recente uitspraak van het Hof van Justitie van de Europese Unie (HvJEU) verduidelijkt de voorwaarden voor het recht op inzage van persoonsgegevens, en met name de omstandigheden waaronder een verzoek om inzage door een gegevensverwerker als misbruik kan worden beschouwd.

Hoewel artikel 12 van de AVG het misbruikkarakter van verzoeken koppelt aan het feit dat ze herhaaldelijk worden ingediend, heeft het Hof van Justitie van de EU op 19 maart in zaak C-526/24 – Brillen Rottler verduidelijkt dat dit herhalingscriterium slechts illustratief is: het aantal verzoeken is niet doorslaggevend, en een eerste verzoek om toegang kan als misbruik worden beschouwd als de betrokkene dit recht gebruikt om voordeel te behalen, bijvoorbeeld door kunstmatig een recht op schadevergoeding jegens een verwerkingsverantwoordelijke te creëren. In een dergelijk geval is er sprake van misbruik van rechten.

Het weigeren om op een inzageverzoek te reageren moet echter een uitzondering blijven onder de AVG, en de verwerkingsverantwoordelijke moet kunnen bewijzen dat de aanvrager kwade bedoelingen heeft.

In dit specifieke geval moest de verantwoordelijke persoon op basis van concrete bewijzen aantonen dat het verzoek niet bedoeld was om de gegevensverwerking te verifiëren, maar om kunstmatig de voorwaarden te scheppen voor een schadeclaim.

Het was inderdaad bekend dat de aanvrager, nadat hij zijn gegevens aan diverse gegevensverwerkers had verstrekt, meerdere verzoeken had ingediend om genoegdoening te verkrijgen.

Het Hof herhaalt dat aan drie voorwaarden moet worden voldaan om in aanmerking te komen voor een schadevergoeding:

• Een schending van de AVG.
• Schade
• En een causaal verband tussen de twee.

Immateriële schade kan voortvloeien uit verlies van controle of onzekerheid met betrekking tot de gegevensverwerking, maar de schade moet door de eiser worden bewezen en mag niet door diens handelen zijn veroorzaakt.

In dit specifieke geval werd het causale verband verbroken door het gedrag van de betrokkene, die opzettelijk de omstandigheden creëerde die tot de schade konden leiden.

Wanneer aan de drie bovengenoemde voorwaarden is voldaan, kan een inbreuk op het recht op toegang aanleiding geven tot een recht op verhaal, zelfs als deze inbreuk niet rechtstreeks voortvloeit uit gegevensverwerking in de strikte zin van het woord.

Het weigeren om op een verzoek om inzage te reageren, kan ertoe leiden dat de verantwoordelijke partij een schadevergoedingseis indient van een rechtmatige aanvrager.

De gegevensbeheerder die een misbruikverzoek vermoedt, moet daarom extra voorzichtig zijn en bewijsmateriaal van dit misbruik bewaren alvorens de toegang te weigeren. 

De verduidelijkingen van het Hof van Justitie van de EU zijn in overeenstemming met de richtlijnen die het Europees Comité voor gegevensbescherming (EDPB) in 2022 over dit onderwerp heeft gepubliceerd en die aanvullende richtlijnen bieden.

De mate van buitensporigheid van de verzoeken kan dus afhangen van de specifieke kenmerken van de sector waarin de gegevensverwerker actief is.

"Hoe vaker de database van de gegevensbeheerder wordt gewijzigd, hoe groter de kans dat de betrokkene toegang tot zijn of haar gegevens kan aanvragen zonder dat dit als buitensporig wordt beschouwd."

In geval van herhaalde verzoeken kan de gegevensbeheerder, in plaats van de toegang te weigeren, besluiten de betrokkene een vergoeding in rekening te brengen die overeenkomt met de kosten van de administratieve procedures die voortvloeien uit de verzoeken.

Tot slot moet worden opgemerkt dat de Europese Commissie met haar voorstel voor een digitale omnibuswet ook meer rechtszekerheid wil bieden aan gegevensverwerkers wanneer zij geconfronteerd worden met schendingen van rechten door betrokkenen.

Hoewel het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) deze wens tot verduidelijking in hun advies van 10 februari steunen, zijn zij van mening dat de uitoefening van het recht op inzage voor andere doeleinden dan de bescherming van persoonsgegevens geen bepalend element mag zijn voor wat misbruik vormt... zolang de goede trouw van de aanvrager niet in twijfel wordt getrokken.

 

Een uitvoeringsbesluit voor de SREN-wet, gepubliceerd op 24 maart, introduceert aanvullende eisen. voor het hosten van gezondheidsgegevens (HDS) uitsluitend op EU- of EER-grondgebiedDeze eisen worden verwelkomd door de CNIL, omdat ze gericht zijn op het vergroten van de transparantie ten aanzien van de betrokken personen en op het versterken van de controle op gezondheidsgegevens door de partijen bij het hostingcontract met betrekking tot het risico van toegang van buiten Europa.

Meer in het algemeen is het de bedoeling dat het gehele IT-systeem van de staat overstapt op soevereine oplossingen.

Een week na de aankondiging van de uitrol van het LaSuite-samenwerkingsplatform naar de 80.000 medewerkers van de ziektekostenverzekering, maakte het interministerieel directoraat voor digitale zaken (DINUM) op 9 april officieel bekend dat het van Windows overstapt op Linux en voor het einde van het jaar een soevereine oplossing implementeert.

Deze doelstellingen zijn concreter geworden sinds het seminar van 8 april, waar voor het eerst ministeries, overheidsinstanties en particuliere partijen bijeenkwamen met als doel te achterhalen van welke buitenlandse software en diensten de staat momenteel afhankelijk is, om daar in de toekomst zonder te kunnen.

"Vanaf dit najaar moet elk ministerie (en de overheidsinstanties die ervan afhankelijk zijn) een eigen routekaart indienen voor het verminderen van de digitale afhankelijkheid van het buitenland."

De routekaart voor digitale beveiliging van de staat voor 2026-2027 werd begin april gepubliceerd.

Het maakt deel uit van de inspanningen om overheidsinstanties ertoe te bewegen te voldoen aan de NIS2-richtlijn en hen te betrekken bij hun overgang naar post-kwantumcryptografie. 

"In een context van grote dreiging en een verslechterende geopolitieke situatie schetst het document de prioritaire inspanningen die ministeries moeten leveren op het gebied van digitale beveiliging: het consolideren van de governance, het versterken van het toegangsbeheer, het controleren van de informatiesysteemomgeving, enzovoort."

De CNIL publiceerde op 3 april haar prioritaire controlethema's voor 2026.  Ze zal zich concentreren op

• Werving,
• Het gemeenschappelijke kiesregister
• Sportfederaties.

Verdere aankondigingen met betrekking tot cyberbeveiliging zullen worden gedaan wanneer het jaarverslag in mei wordt gepubliceerd.

Ze publiceerde ook haar werkprogramma voor het ondersteunen van professionals.wat zal benadrukken

• Het gebruik van AI,
• Gezondheidsgegevens,
• Voorwaarden voor het recht op toegang
• Cyberbeveiliging.

Op de website is ook een nieuwe handleiding te vinden over de bewaartermijnen voor personeelsgegevens. Tot slot herhaalt de CNIL in een publicatie van 20 maart de zeer strenge voorwaarden voor het opnemen van geluid door videobewakingscamera's.

Hoewel de hack van de Regionale Gezondheidsagentschappen (ARS) officieel werd bevestigd in september 2025, neemt de situatie vandaag een alarmerendere wending. De hackergroep DumpSec eist de verantwoordelijkheid voor de aanval op en verkoopt nu een enorme database van het Franse zorgstelsel.

Meer dan 35 miljoen patiënten zouden hierdoor worden getroffen, en de gegevens zouden gevoelige informatie bevatten over zorgtrajecten.

Het datalek is ontstaan door de diefstal van inloggegevens van zorgverleners op de servers van GRADeS (regionale e-gezondheidszorggroep).

Het Hof van Justitie van de EU heeft op 19 maart een uitspraak gedaan die gevolgen heeft voor de voorwaarden waaronder de Franse politie biometrische gegevens mag verzamelen.

In zaak C 371/24 – Comdribus oordeelde het Hof dat nationale wetgeving onverenigbaar is met de Europese richtlijn inzake "politiejustitie" wanneer deze een rechtshandhavingsdienst toestaat om systematisch biometrische gegevens van verdachten te verwerken zonder dat de bevoegde autoriteit de absolute noodzaak en proportionaliteit van deze verwerking hoeft te rechtvaardigen.

Een persoon die weigert dat zijn biometrische gegevens worden verzameld, kan alleen worden gesanctioneerd als de geplande verzameling aan deze voorwaarden voldoet, beoordeeld in het licht van de omstandigheden op het moment dat de bevoegde autoriteiten tot deze verzameling besluiten.

De motivering voor de gegevensverzameling is noodzakelijk om de betrokkene in staat te stellen zijn of haar recht op een effectief rechtsmiddel uit te oefenen.

In dit specifieke geval werden tijdens een actie van klimaatactivisten in Parijs in mei 2020 verschillende deelnemers, waaronder de klager, door de politie gearresteerd wegens het organiseren van een niet-aangekondigde demonstratie.

De klager werd in politiehechtenis genomen en weigerde zich te laten vingerafdrukken en fotograferen.

De minister van Binnenlandse Zaken verklaarde op 3 april in de Senaat, tijdens een vragenronde met de regering, dat het gebruik van gezichtsherkenningssoftware door de politie op hun Neo-identiteitscontroleapparaten niet legaal is, behalve in het kader van een onderzoek onder leiding van een rechter.

De minister gaf aan dat de CNIL deze kwestie momenteel onderzoekt.

De directeur van een cybersecuritybedrijf dat het Franse Tech 2030-programma had gewonnen, werd eind maart gearresteerd in het kader van een grootschalige Europese actie tegen een platform voor kinderpornografie.

De ingenieur, die aan het hoofd staat van een start-up die gespecialiseerd is in het voorspellen van cyberdreigingen – met onder andere de FBI en de Europese Commissie als klanten – wordt ervan verdacht kinderpornografische afbeeldingen en video's te hebben gekocht via een kinderpornografieplatform op het Darknet.

In het kader van een gecoördineerde operatie hebben wetshandhavers in heel Europa meer dan 200 arrestaties verricht, dankzij cryptobetalingen die door onderzoekers zijn getraceerd en geanonimiseerd.

 

Europese instellingen en organen

Op 11 maart stemde het Europees Parlement in met een verlenging van de (uitzonderlijke) regels voor de controle van elektronische communicatie ("chatcontrole"). terwijl ze hun reikwijdte beperken.

In plaats van een algemene toestemming te verlenen voor het gebruik van scantechnologieën, verzocht het Parlement dat deze instrumenten alleen zouden worden ingezet tegen bekende verdachten en uitsluitend voor het opsporen van bekende kinderpornografie.

Ondertussen hebben Google, Meta, Microsoft en Snap (Chat) in een gezamenlijk persbericht bevestigd "dat ze vrijwillige maatregelen zullen blijven nemen met betrekking tot hun getroffen interpersoonlijke communicatiediensten".

De interinstitutionele onderhandelingen zijn nog gaande: het Cypriotische voorzitterschap van de Raad streeft ernaar het project in juli 2026 af te ronden, en de kwestie wordt momenteel besproken in het kader van de triloog tussen het Parlement, de Raad en de Commissie.

Op 26 maart hebben de leden van het Europees Parlement in de plenaire vergadering een standpunt ingenomen over het AI-onderdeel van het digitale omnibuspakket.

Ze stemden ervoor om de inwerkingtreding van verschillende bepalingen van de AI-verordening uit te stellen.

De implementatie van AI-systemen met biometrie, en systemen die worden gebruikt in kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, wetshandhaving, justitie en grensbeheer, wordt daarom uitgesteld van augustus 2026 naar 2 december 2027.

Parlementsleden stellen voor om de naleving van andere systemen die onder sectorale regelgeving vallen (veiligheid en markttoezicht) uit te stellen tot 2 augustus 2028.

De trilogen tussen de Europese Commissie, het Parlement en de Raad streven naar een voorlopig akkoord over de tekst vóór 28 april.

Het is goed om te benadrukken dat de essentiële beginselen van de verordening reeds van kracht zijn en onder toezicht staan van de CNIL (Franse Autoriteit voor Gegevensbescherming).

Op 24 maart ontdekte de Europese Commissie een cyberaanval op de cloudinfrastructuur waarop haar website Europa.eu draait. De aanval bleek ernstiger dan aanvankelijk in het persbericht werd aangegeven.

De gegevens betreffen 71 klanten van de hostingdienst Europa. CERT-EU, de gegevensbeveiligingsdienst van de EU, bevestigt de aanwezigheid van namen, gebruikersnamen, e-mailadressen en e-mailinhoud in het lek.

Op het dark web werden 340 GB aan data en bijna 52.000 e-mailbestanden gepubliceerd.

Twee belangrijke uitspraken van het Hof van Justitie van de EU van 19 maart, Brillen Rottler en Comdribus, zijn hierboven besproken in het redactioneel commentaar en het nieuws in Frankrijk.

Het Europees consortium voor digitale infrastructuur “Digital Commons” (EDIC) Het fonds krijgt vorm met de toetreding van nieuwe landen en de lancering van de eerste projecten, waaronder een pilotproject voor een Europees staatsfonds voor technologie.

Het consortium heeft als doel de lidstaten van de Europese Unie te helpen bij de ontwikkeling van open digitale infrastructuren en de digitale soevereiniteit van Europa te versterken.

 

Nieuws uit de lidstaten van de Europese Unie.

Een Duitse rechtbank heeft geoordeeld dat Meta op onrechtmatige wijze persoonsgegevens van niet-geregistreerde personen heeft verwerkt via de functie "Vrienden zoeken" op Facebook.

Bovendien zou het bedrijf geen wettelijke basis hebben om de persoonsgegevens van gebruikers van zijn eigen platform te verwerken voor reclamedoeleinden.

In een recente zaak oordeelde een Oostenrijkse rechtbank dat de gegevensbeschermingsautoriteit terecht had geweigerd een klacht in behandeling te nemen op grond van artikel 57(4) van de AVG, nadat een persoon had geprobeerd misbruik te maken van de klachtenprocedure om de inning van een schuld te vertragen.

De Belgische Autoriteit voor Gegevensbescherming (APD) oordeelde dat een werkgever voldoende had voldaan aan het verzoek van een werknemer om inzage door de werknemer zijn gegevens te verstrekken in de vorm van een reproductie in plaats van door de betreffende e-mails volledig te extraheren.

In Finland heeft de gegevensbeschermingsautoriteit een waarschuwing gegeven aan een kredietbeoordelingsbureau vanwege de onjuiste afhandeling van verzoeken om toegang tot gegevens.

De gegevensbeheerder verwees de betrokkenen door naar zijn gegevensportaal zonder verdere actie te ondernemen en gaf aan dat er kosten in rekening zouden worden gebracht voor elk verzoek dat meer dan eens binnen een periode van twaalf maanden werd ingediend.

Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft een boete van € 950.000 opgelegd aan aanbieder van digitale identificatie- en leeftijdsverificatiediensten (YOTI) voor het verzamelen van biometrische gegevens zonder geldige toestemming (gebrek aan voldoende detailniveau en waarborgen met betrekking tot gegevens van minderjarigen) en voor het niet beperken van de bewaartermijn van de gegevens.

De Belgische Autoriteit voor Gegevensbescherming (APD) heeft Hyundai ook een boete van € 2.000.000 opgelegd na een cyberaanval waarbij de gegevens van meer dan een miljoen mensen, waaronder hun namen, contactgegevens en voertuigidentificatienummers, openbaar werden gemaakt. De autoriteit oordeelde dat de gegevensbeheerder onvoldoende beveiliging had geboden, met name omdat de betreffende gegevens niet versleuteld waren.

Tot slot heeft de Belgische Autoriteit voor Gegevensbescherming (APD) een bijzonder hoge boete (€10 miljoen) opgelegd aan luchthavenexploitant Aena vanwege de manier waarop het bedrijf zijn gezichtsherkenningssysteem voor het instappen heeft geïmplementeerd. Met dit systeem kunnen passagiers aan boord gaan door simpelweg in een camera te kijken. De autoriteit oordeelde dat dit biometrische systeem was geïmplementeerd zonder voorafgaande beoordeling van de gevolgen voor de gegevensbescherming.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft een bank een boete van € 31.800.000 opgelegd omdat de bank onvoldoende beveiligingsmaatregelen had getroffen om te voorkomen dat een medewerker toegang kreeg tot de financiële gegevens van meer dan 3.500 personen voor doeleinden die niets met zijn of haar werkzaamheden te maken hadden.

De gegevensbeheerder heeft bovendien nagelaten de APD en de betrokkenen tijdig op de hoogte te stellen van dit datalek.

Een andere bank kreeg een boete van € 17.628.000 opgelegd voor het overdragen van de rekeningen van 275.000 klanten naar een dochteronderneming zonder hun toestemming. De bank had gebruikgemaakt van profilering om personen te selecteren die als "voornamelijk digitale" klanten werden beschouwd.

In Luxemburg heeft de Hoge Administratieve Rechtbank een boete van € 746 miljoen die aan Amazon was opgelegd, vernietigd. De uitspraak betwist niet de onrechtmatige verwerking van persoonsgegevens voor gerichte reclame, maar verplicht de Autoriteit Persoonsgegevens (APD) wel om de overtreding en de proportionaliteit opnieuw te beoordelen alvorens nieuwe sancties op te leggen.

In een kort geding heeft een rechtbank in Nederland het socialemediaplatform X verboden om via Grok niet-consensuele intieme content en kinderpornografie te produceren en te verspreiden. De rechtbank verbood X tevens om de functionaliteiten van Grok aan te bieden zolang deze overtredingen voortduren.

De Roemeense Autoriteit voor Gegevensbescherming (APD) heeft Renault Romania een boete van 637.262,50 RON (€ 125.000) opgelegd wegens het niet implementeren van passende beveiligingsmaatregelen na een datalek in een applicatie die beheerd werd door een onderaannemer. Dit datalek leidde tot de publicatie van persoonsgegevens op een online platform.

 

De Braziliaanse wet ter bescherming van minderjarigen online is officieel van kracht geworden, en daarmee ook een decreet van de minister van Justitie dat zich direct richt op de ontwerpkeuzes die techreuzen maken om de aandacht van jongeren te trekken.

De regelgeving verschuift de online veiligheid van kinderen van reactieve contentmoderatie naar ex ante regulering van de platformarchitectuur, inclusief beperkingen op oneindig scrollen, automatisch afspelen, manipulatieve meldingen, gerichte reclame op basis van profilering gericht op minderjarigen en strengere leeftijdsverificatie-eisen.

Begin april publiceerde het Chinese ministerie van Industrie en Informatietechnologie, samen met acht andere ministeries, "Experimentele maatregelen met betrekking tot de ethische evaluatie en levering van kunstmatige intelligentietechnologieën".

Het document geeft een overzicht van wat China bedoelt met "ethisch AI-bestuur" en de soorten beleidsmaatregelen en technische procedures die het nodig acht om de trivialisering van ethiek tegen te gaan die plaatsvindt via marketingstrategieën die respectvolle diensten beloven, maar in werkelijkheid niet voldoen aan de AI-regelgeving.

Op 24 april werd Meta door een jury in de Amerikaanse staat New Mexico veroordeeld tot een civiele boete van 375 miljoen dollar. De jury oordeelde dat het bedrijf er niet in was geslaagd kinderen op zijn platforms adequaat te beschermen. Deze boete vloeide voort uit schendingen van een wet tegen oneerlijke handelspraktijken.

Op 8 april weigerde een federaal hof van beroep in Washington D.C. de plaatsing van het AI-bedrijf Anthropic op de nationale veiligheidszwarte lijst van het Pentagon te blokkeren, een overwinning voor de regering-Trump.

Een ander hof van beroep deed echter een tegengestelde uitspraak in een afzonderlijke rechtszaak aangespannen door Anthropic.

Het bedrijf, ontwikkelaar van de AI-assistent Claude, beweert dat de minister van Defensie zijn bevoegdheden heeft overschreden door het bedrijf aan te wijzen als een risico voor de nationale veiligheidsketen.

Anthropic had geweigerd bepaalde beperkingen op het gebruik van haar producten op te heffen, gezien het feit dat deze door de Amerikaanse defensie werden gebruikt.