Veille juridique

Trackingpixels in e-mails: de CNIL verduidelijkt het wettelijke kader

Juridisch overzicht nr. 94 – april 2026. 

 

Trackingpixels in e-mails: de CNIL verduidelijkt het wettelijke kader

Op 14 april publiceerde de CNIL haar aanbevelingen over trackingpixels in e-mails. De aanbevelingen zijn gericht aan alle private en publieke organisaties die trackingpixels gebruiken, evenals aan de technische dienstverleners die zij mogelijk inschakelen.

De trackingpixel is in de praktijk een afbeelding, vaak erg klein, die via een hyperlink in de e-mailinhoud wordt weergegeven.

Het plaatsen van de pixel vormt een instructie aan de terminal van de gebruiker om gerichte informatie (pixel-ID, IP-adres, enz.) te verzenden naar de partijen die de pixel hebben geplaatst.

De pixel stelt de afzender van het bericht in staat te zien of het is geopend en de communicatie daarop aan te passen, bijvoorbeeld wat betreft de verzendfrequentie, de inhoud van de berichten of het bijwerken van de lijst met potentiële klanten.

De CNIL herinnert ons eraan dat een dergelijke praktijk de voorafgaande toestemming van de e-mailontvangers vereist, conform artikel 5 van de ePrivacyrichtlijn, die is omgezet in artikel 82 van de Franse wet op de gegevensbescherming.

Het staat echter een uitzondering toe voor "transactionele" e-mails die verband houden met een door de ontvanger aangevraagde dienst, bijvoorbeeld om ontvangers te identificeren die hun e-mails niet meer openen en hen van mailinglijsten te verwijderen.

De uitzondering geldt ook voor e-mails met betrekking tot accountwaarschuwingen, meldingen over gebeurtenissen zoals de verzending van een pakket, orderbevestigingen en aankoopfacturen, wachtwoordherinneringen en -resets, beveiligingswaarschuwingen en meldingen van datalekken, enzovoort.

Afgezien van deze uitzonderingen, moet de verwerkingsverantwoordelijke voor elk adres dat is verzameld vanaf 14 april, de datum van de aanbeveling van de CNIL, de voorafgaande toestemming van de ontvangers verkrijgen voordat een trackingpixel in de e-mail wordt geïntegreerd.

Deze toestemming kan bijvoorbeeld worden verkregen op het moment dat het adres wordt verzameld of via een link in een e-mail zonder trackingpixel.

Voor adressen die vóór deze datum zijn verzameld, wordt actoren gevraagd om de ontvangers binnen drie maanden duidelijk te informeren, zodat zij bezwaar kunnen maken.

Deze publicatie roept reacties op omdat ze een zeer groot aantal ambtenaren dwingt om snel nalevingsmaatregelen te nemen.

Is de toezichthoudende autoriteit op dit gebied strenger of juist soepeler dan haar Europese tegenhangers?

Het lijkt nu een van de weinige te zijn die duidelijk aangeeft in welke context het trackingpixels zal bestraffen.

Dit type verwerking wordt echter al jaren onder de aandacht gebracht door het Europees Comité voor gegevensbescherming (EDPB), en daarvoor door zijn voorganger, de G29 (zie met name de richtlijnen WP118 en 2/2023).

Het Europese standpunt is ook strenger dan dat van de CNIL, aangezien het een totaalverbod op trackingpixels voorschrijft als de ontvanger van het bericht daar geen toestemming voor heeft gegeven.

De reacties die tijdens de openbare raadpleging over het ontwerp van de aanbeveling zijn ontvangen, lijken de CNIL ertoe te hebben aangezet om iedereen tevreden te stellen: zij heeft haar standpunt daarom aangepast en meer flexibiliteit geboden met betrekking tot e-mails die gekoppeld zijn aan een door de ontvanger aangevraagde dienst.

Het implementeren van dit standpunt zal echter waarschijnlijk complex blijken.

Een verduidelijking van de reikwijdte van de vrijstelling zou welkom zijn om de diensten die hiervan profiteren, zoals nieuwsbrieven of andere abonnementen van ontvangers, beter in kaart te brengen. Hierover bestaan nog enkele vragen. De CNIL (Franse Autoriteit voor Gegevensbescherming) geeft aan dat zij gegevensverwerkers zal ondersteunen, met name via webinars. Audits en het opleggen van sancties zullen naar verwachting pas in een later stadium plaatsvinden, maar de Commissie geeft hierover vandaag geen verdere details.

 

De CNIL (Franse Autoriteit voor Gegevensbescherming) heeft een sjabloondocument gepubliceerd dat bedoeld is om functionarissen voor gegevensbescherming (FG's) te helpen bij het opstellen van rapporten over hun activiteiten. Hoewel een dergelijk rapport niet verplicht is onder de AVG, beschouwt de CNIL het als een nuttige best practice voor het monitoren van de naleving en voor de communicatie van FG's.

Op 28 april heeft de CNIL ook de gedragscode goedgekeurd die is ingediend door de Alliance du Commerce. Deze code is bedoeld om Franse detailhandelaren in de kleding- en schoenenbranche concrete hulp te bieden bij het voldoen aan de eisen van de AVG.

De richtlijn heeft tot doel de gegevensbescherming bij verkoop en distributie te versterken, zowel in winkels als online.

Dit is de eerste nationale code en de derde sectorale code die is goedgekeurd door de CNIL (Franse Autoriteit voor Gegevensbescherming), na de Europese codes CISPE (2021) voor cloudcomputing en EUCROF (2024) met betrekking tot klinische proeven in de gezondheidszorg. In Europa zijn inmiddels zo'n vijftien codes geïmplementeerd, die te raadplegen zijn via deze infographic.

In haar decreet van 24 april 2026 heeft de regering ervoor gekozen om de technische modaliteiten van het Nationale Frauduleuze Rekeningenbestand (FNC-RF) vast te stellen, gericht op het versterken van de strijd tegen bankfraude, waarbij zij de aanbevelingen van de CNIL over beveiliging negeerde.

Dit bestand, dat via de Banque de France tussen financiële instellingen wordt gedeeld, bevat de IBAN-nummers van rekeningen die verdacht worden van fraude.

De door de overheid goedgekeurde architectuur brengt volgens de CNIL een maximaal risico met zich mee, doordat volledige en gesynchroniseerde kopieën van gegevens in platte tekst worden gedeeld met aanbieders van betaaldiensten en hun onderaannemers.

Op 17 april publiceerde de DGSI (Directie-Generaal Binnenlandse Veiligheid) een nota waarin werd gewaarschuwd voor de risico's die verbonden zijn aan het gebruik van buitenlandse applicaties en oplossingen op de werkplek. "Naast een verhoogd risico op cyberbeveiligingsrisico's kunnen deze tools, die vaak door niet-Europese bedrijven zijn ontwikkeld, juridische risico's, veiligheidsrisico's, risico's met betrekking tot vertrouwelijkheid, afhankelijkheidsrisico's of risico's met betrekking tot serviceonderbrekingen met zich meebrengen."

In de notitie worden diverse voorbeelden gepresenteerd die alle gebruikers ertoe zouden moeten aanzetten voorzichtig te zijn met de informatie die ze delen en de toegang die ze verlenen.

Op 30 april publiceerde de Franse Raad van State zijn besluit over het principe van gefaseerde respons voor ARCOM, de opvolger van Hadopi, en vernietigde diverse aspecten van het decreet van 5 maart 2010 wegens schending van de privacyrechten. Het systeem was bedoeld om piraterij van muziek en films op P2P-netwerken tegen te gaan. Naar aanleiding van een verzoekschrift van vier organisaties die zich inzetten voor digitale rechten, baseerde de Raad van State zich op de uitspraak van het Hof van Justitie van de Europese Unie (HvJ EU) van 30 april 2024, waarin werd bepaald dat herhaaldelijke koppeling tussen identiteit en gedownloade werken niet zonder onafhankelijk toezicht mag plaatsvinden.

De beslissing van Anthropic om Mythos, hun nieuwste kunstmatige intelligentie (AI)-model, niet openbaar te maken vanwege de cyberbeveiligingsrisico's, heeft tot veel reacties geleid.

Mythos is inderdaad in staat om zeer effectief kwetsbaarheden in computercode te identificeren.

In een nota die op donderdag 23 april werd gepubliceerd, roept de Raad voor Kunstmatige Intelligentie en Digitale Technologie (CIANum) op om "niet toe te geven aan de heersende paniek" en doet daarbij een aantal opmerkingen:

"AI omarmen om aan de regelgeving te voldoen: publieke en private actoren die zich niet voortdurend inspannen om deze nieuwe toepassingen te begrijpen en te integreren, zullen snel achterop raken."

Menselijke betrokkenheid in cruciale fasen behouden: hoewel AI een waardevolle hulpbron is bij het ontwikkelen, corrigeren en testen van software, lijkt het volledig afschaffen van menselijke expertise een garantie voor mislukking. 

Het anticiperen op nieuwe kwetsbaarheden en het dienovereenkomstig uitrollen van patches vormt een aanzienlijke uitdaging, vooral omdat veel spelers al overbelast zijn.

Het Nationaal Raadgevend Ethiekcomité voor Levenswetenschappen en Gezondheid (CCNE) en het Nationaal Raadgevend Ethiekcomité voor Digitale Technologie (CCNEN) hebben op 7 april een gezamenlijk advies gepubliceerd over digitale neurotechnologieën en hersen-machine-interfaces.

Het advies benadrukt dat de ontwikkeling van deze technologieën "grote ethische vraagstukken oproept, met name op het gebied van waardigheid, autonomie, vrijheid van denken, bescherming van de privacy en rechtvaardigheid."

Specifieke vragen betreffen het gebruik van neurale data, niet-medische toepassingen, mogelijke effecten op identiteit en gedrag, en de bescherming van kinderen en adolescenten.

De commissies formuleren een reeks aanbevelingen die oproepen tot bijzondere waakzaamheid met betrekking tot het gebruik van digitale neurotechnologieën.

 

Europese instellingen en organen

Op 7 mei, na een eerste mislukte poging, bereikten Europese wetgevers een akkoord. overeenkomst over de "AI Omnibus", gericht op het wijzigen en vereenvoudigen van de Europese regelgeving inzake kunstmatige intelligentie.

Bedrijven krijgen tot eind 2027 de tijd om te voldoen aan de regels met betrekking tot AI met een hoog risico, terwijl leveranciers van AI-gestuurde machines expliciet worden vrijgesteld van bepaalde verplichtingen.

Tegelijkertijd introduceert de Omnibus een nieuw verbod op AI-praktijken die verband houden met het genereren van niet-consensuele seksuele en intieme content of kinderpornografie.

De formele goedkeuringsprocedure is in volle gang, met als doel de definitieve wijzigingen in augustus te publiceren.

In een context waarin steeds meer landen de toegang van minderjarigen tot sociale netwerken willen beperken, heeft de Europese Commissie op 29 april een aanbeveling aangenomen waarin zij de lidstaten aanspoort de uitrol van de Europese leeftijdsverificatie-app te versnellen en deze vóór het einde van het jaar beschikbaar te stellen.

De Commissie heeft een masterplan ontwikkeld voor deze applicatie, die wordt gepresenteerd als privacyvriendelijk en gebruikers in staat stelt aan te tonen dat ze meerderjarig zijn zonder hun exacte leeftijd, identiteit of andere persoonlijke gegevens prijs te geven.

Een cybersecurityconsultant heeft echter naar verluidt beveiligingslekken ontdekt die de landelijke uitrol van de applicatie in gevaar kunnen brengen.

Op 29 april concludeerde de Europese Commissie in eerste instantie dat de Instagram- en Facebook-platforms van Meta de Verordening inzake digitale diensten (DSA) overtreden, omdat zij de risico's die verbonden zijn aan de toegang van minderjarigen onder de 13 jaar tot hun diensten niet zorgvuldig identificeren, beoordelen en beperken.

Tijdens de plenaire vergadering op 22 april heeft het Europees Comité voor gegevensbescherming (EDPB) richtlijnen vastgesteld met betrekking tot de verwerking van persoonsgegevens voor wetenschappelijk onderzoek.

Het Comité heeft tevens een werkgroep in het leven geroepen om de afronding van richtlijnen inzake anonimisering te versnellen.

Het heeft tevens twee adviezen aangenomen over twee sets Europrivacy-certificeringscriteria met het oog op goedkeuring als Europese keurmerken voor gegevensbescherming, waarvan er één bedoeld is als instrument voor gegevensoverdracht.

Tijdens de vorige plenaire vergadering publiceerde het Europees Comité voor gegevensbescherming (EDPB) een ander belangrijk document: om de naleving van de AVG door organisaties te vergemakkelijken en de consistentie in heel Europa te versterken, ontwikkelde het een model voor een gegevensbeschermingseffectbeoordeling (DPIA). Op dit document kan tot 9 juni commentaar worden geleverd.

Het Hof van Justitie van de EU heeft op 21 april geoordeeld dat Hongarije, door een wet aan te nemen die LGBTI+-personen stigmatiseert en marginaliseert, het recht van de Europese Unie heeft geschonden.

Het Hof wijst er ook op dat de titel van de wet deze personen gelijkstelt aan degenen die veroordeeld zijn voor pedofilie, "een gelijkstelling die de stigmatisering van de eersten waarschijnlijk zal vergroten en haatdragend gedrag jegens hen zal aanmoedigen."

Tot slot stelt het Hof vast dat deze wet in strijd is met de AVG, voor zover zij de wet op strafregisters heeft gewijzigd om de toegang tot informatie over personen die veroordeeld zijn voor pedofilie te verruimen.

Hoewel dergelijke toegang onder bepaalde omstandigheden rechtmatig kan zijn, is het Hof van oordeel dat "de wet geen voldoende precieze definitie geeft van de personen die gemachtigd zijn om toegang te krijgen tot de gegevens, noch van de voorwaarden voor toegang die nodig zijn om passende waarborgen te bieden voor de rechten en vrijheden van de personen op wie de gegevens betrekking hebben."

 

Nieuws uit de lidstaten van de Europese Unie.

In België heeft de Autoriteit Persoonsgegevens (APD) twee personen gewaarschuwd ervoor te zorgen dat hun bewakingscamera geen beelden meer van de openbare weg filmt.

De camera was geïnstalleerd als afschrikkingsmiddel tegen lekke banden.

De APD oordeelde dat het filmen van de openbare weg illegaal was volgens de Wet op de bewakingscamera's en benadrukte dat de opgenomen beelden inbreuk maakten op het recht op privacy en het recht op gegevensbescherming van de klager en zijn familie, vanwege de frequente verwerking van hun persoonsgegevens als gevolg van de locatie van de camera.

Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft een transportbedrijf een boete van € 200.000 opgelegd omdat het zijn werknemers dwong vier tracking-apps op hun privételefoons te gebruiken voor werkdoeleinden.

De APD heeft ook een universiteit een boete van €160.000 opgelegd omdat ze geen geldige toestemming van studenten had verkregen om hun identiteit te verifiëren tijdens online examens via een systeem met gezichtsherkenning.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft Poste Italiane SpA een boete van 6.624.000 euro opgelegd en Postepay SpA een boete van 5.877.000 euro voor het illegaal verwerken van de persoonsgegevens van miljoenen gebruikers.

De BancoPosta- en Postepay-applicaties vereisten als verplichte voorwaarde voor het gebruik van de diensten dat gebruikers toestemming gaven voor het monitoren van een reeks gegevens op mobiele apparaten, om eventuele schadelijke software op te sporen.

De APD concludeerde dat de omvang van het toezicht buitensporig was in verhouding tot de doeleinden van fraudepreventie, en wees tevens op tekortkomingen in de aan gebruikers verstrekte informatie, het ontbreken van een impactbeoordeling (IAPD), het gebrek aan passende beveiligingsmaatregelen en een beleid voor gegevensbewaring, evenals onregelmatigheden in de aanwijzing van de gegevensverantwoordelijke.

De Nederlandse minister van Digitale Economie en Soevereiniteit werkt aan de ontwikkeling van een "digitale noodkit" om overheidsinstanties en burgers te helpen zelfstandig het hoofd te bieden aan een digitale ramp, zoals een landelijke internetstoring.

Het land is inderdaad nog steeds op gevaarlijke wijze afhankelijk van Amerikaanse technologiebedrijven voor zijn essentiële infrastructuur, van cloudhosting tot belastingstelsels.

De overheid wil dat burgers 72 uur lang zelfstandig in hun behoeften kunnen voorzien, zonder internet, telefoon of digitale betaalmethoden.

De Britse overheid bevestigde op 23 april dat de medische dossiers van 500.000 deelnemers aan een van de belangrijkste wetenschappelijke programma's van het Verenigd Koninkrijk, de UK Biobank, online te koop waren aangeboden op de website van Alibaba. Hoewel de gelekte informatie geen namen, adressen, contactgegevens of telefoonnummers bevatte, kon het wel gegevens bevatten zoals geslacht, leeftijd, geboortemaand en -jaar, sociaaleconomische status, leefgewoonten en metingen van biologische monsters. Er was geen sprake van een cyberaanval, maar van een massale download van gegevens door een legitiem geaccrediteerde organisatie. De database is inderdaad toegankelijk voor onderzoekers. Het management van de Biobank verklaarde dat er sinds het incident maatregelen zijn genomen om de grootte van gedownloade bestanden te beperken en verdachte bestandsexporten te monitoren.

 

De Britse regering bevestigde op 23 april dat de medische dossiers van 500.000 deelnemers aan een van de belangrijkste wetenschappelijke programma's van het Verenigd Koninkrijk, de UK Biobank, online te koop waren aangeboden op de website van Alibaba. Hoewel de gelekte informatie geen namen, adressen, contactgegevens of telefoonnummers bevat, kan deze wel gegevens bevatten over geslacht, leeftijd, geboortemaand en -jaar, sociaaleconomische status, leefgewoonten en metingen van biologische monsters.

Er was geen sprake van een cyberaanval, maar van een massale data-download door een legitiem geaccrediteerde organisatie. De database is inderdaad toegankelijk voor onderzoekers.

Het management van de biobank heeft aangegeven dat er sinds het incident maatregelen zijn genomen om de grootte van gedownloade bestanden te beperken en verdachte bestandsexporten te monitoren.

Op 21 april heeft de Consumer Federation of America (CFA) een collectieve rechtszaak aangespannen tegen Meta. De CFA beweert dat het bedrijf zijn gebruikers niet beschermt tegen frauduleuze advertenties op Facebook en Instagram, in strijd met zijn beloftes, en dat het profiteert van deze advertenties ten koste van zijn gebruikers.

De CFA eist schadevergoeding, teruggave van onrechtmatig verkregen winsten en een gerechtelijk bevel ten behoeve van consumenten in Washington D.C.

Er ontstaat een wereldwijde dynamiek ten gunste van digitale soevereiniteit, van Canada tot de Europese Unie en de Pacifische kust, een thema dat centraal stond tijdens de recente IAPP 2026 Wereldtop in Washington, D.C. "Tijdens verschillende workshops probeerden de deelnemers het debat over digitale soevereiniteit te verduidelijken en te nuanceren, en gaven ze hun visie op hoe de huidige geopolitieke context dit debat in de komende jaren zal beïnvloeden."

Op 01.net vindt u details over de nieuwste AI-projecten van Anthropic.

Op 14 april publiceerde het bedrijf een speciale pagina voor identiteitsverificatie voor zijn LLM Claude. Bepaalde functies, beveiligingsacties of "platformintegriteitscontroles" leiden nu tot een verzoek om een officieel identiteitsbewijs en een live selfie.

Deze aankondiging komt slechts enkele weken na een lek waaruit bleek dat Anthropic scheldwoorden, beledigingen en uitingen van frustratie in berichten detecteert en registreert als signalen van negatieve gebruikersstemming. "In combinatie met de nieuwe paspoort- en selfie-vereiste is het beeld duizelingwekkend. Anthropic weet wat je bedoelt als je aan het schelden bent."

Op zaterdag 19 april publiceerde Palantir op X een samenvatting van 22 punten van 'De Technologische Republiek', een soort geopolitiek credo van dit bedrijf waarvan de kernactiviteit bestaat uit het leveren van software voor surveillance en data-analyse aan westerse legers, inlichtingendiensten en immigratiediensten (waaronder Frankrijk).

Volgens dit manifest hangt het voortbestaan van liberale democratieën nu af van de macht van software, was de 'ontwapening' van Duitsland en Japan na 1945 een historische vergissing, loopt het tijdperk van nucleaire afschrikking ten einde en moet het worden vervangen door een nieuwe vorm van afschrikking gebaseerd op kunstmatige intelligentie.

Onderzoeker Chiara Gallese meldt een kwetsbaarheid in een AI-agent van het bedrijf Meta.

Deze agent zou zonder menselijke instructie hebben gehandeld en gevoelige bedrijfs- en gebruikersgegevens hebben vrijgegeven aan onbevoegde medewerkers.

Meta heeft dit incident naar verluidt geclassificeerd als "Sev 1", het op één na hoogste ernstniveau op het gebied van beveiliging. De onderzoeker wijst erop dat sommige AI-agenten van Meta enerzijds instructies van menselijk toezicht negeren, terwijl Meta tegelijkertijd platforms aanschaft waarmee AI-agenten met elkaar kunnen communiceren (Moltbook).

De risico's blijven bestaan zolang menselijk toezicht geen strikte architectonische vereiste wordt voor AI-systemen met een agent: momenteel wordt menselijke verificatie beschouwd als een voorkeur en niet als een beperking voor autonome AI-systemen.

Het Australian Signals Directorate / ACSC heeft samen met diverse internationale partners, waaronder de NSA, in een publicatie van 1 mei een voorzichtige invoering van AI-diensten met agentische functionaliteit aanbevolen.

Het document benadrukt dat in kritieke infrastructuren de autonomie van actoren de risico's op fouten, onvoorziene escalatie en verstoring van de actieketen vergroot.

De belangrijkste aanbeveling is om de autonomie te beperken, acties te registreren, de toegang te controleren en beveiligingsmaatregelen te definiëren voordat AI-agenten operationeel worden ingezet.

nl_NL_formalNL