Juridisch overzicht nr. 89 – november 2025. 

 

Vereenvoudiging van de Europese digitale regelgeving: wat kunnen we verwachten?

Hoe ver zal de Europese Commissie gaan in haar streven om het Europese wetgevingskader te vereenvoudigen?

Sinds de publicatie van het Draghi-rapport in september 2024, en in een turbulente internationale economische context, heeft de Europese Commissie een groot aantal maatregelen genomen ten gunste van het bedrijfsleven.

De recente publicatie van het "Digitale Omnibus"-pakket is bedoeld om de private sector gerust te stellen over wettelijke beperkingen in de digitale sector, tot grote ontsteltenis van het maatschappelijk middenveld, dat vreest voor een ongekende aantasting van fundamentele rechten.

De Commissie publiceerde op 19 november officieel twee voorstellen, de "Digitale Omnibus" en de "Digitale Omnibus over AI", en lanceerde een beoordeling van digitale vaardigheden.

Het voorstel met betrekking tot digitale technologie introduceert wijzigingen in zowel de AVG als de AI-verordening, alsook de ePrivacyrichtlijn. De tekst is complex; hier volgen enkele kernpunten.

• • Wat betreft de ePrivacyrichtlijn,

De Commissie stelt met name wijzigingen voor in het cookiebeleid. Het doel is om het aantal keren dat banners verschijnen te verminderen en gebruikers in staat te stellen met één klik toestemming te geven en hun voorkeuren op te slaan via de centrale instellingen van hun browsers en besturingssystemen. Deze bepaling behoort tot de minst omstreden voorstellen.

De tekst voorziet ook in een uniforme rapportage-interface waarmee bedrijven via één beveiligd portaal aan al hun meldingsverplichtingen ten aanzien van incidenten kunnen voldoen. Dit is bedoeld om de tegenstrijdige verplichtingen van de NIS2-richtlijn, de AVG en de verordening inzake digitale operationele weerbaarheid te vereenvoudigen.

Voor het mkb en kleine tot middelgrote ondernemingen zijn versoepelingen van de wettelijke verplichtingen gepland met betrekking tot documentatie, sancties en regels voor de overstap naar de cloud.

• • Wat betreft de AVG,

Het voorstel beperkt de definitie van persoonsgegevens door een subjectieve benadering van de identificeerbaarheid van gegevens te introduceren, waardoor bepaalde pseudonieme gegevens of identificatienummers mogelijk buiten het toepassingsgebied van de regelgeving vallen.

De definitie van gevoelige gegevens zou worden aangepast, zodat deze alleen nog betrekking heeft op gegevens die "direct" informatie onthullen over gezondheid, etnische afkomst, enz., met het risico dat gegevens die bijvoorbeeld door een algoritme kunnen worden afgeleid, worden uitgesloten.

Het voorstel beoogt ook het recht van individuen om toegang tot hun gegevens te vragen te beperken tot alleen "doeleinden van gegevensbescherming".

Een nieuwe definitie van 'wetenschappelijk onderzoek' zou ook kunnen leiden tot verregaande uitzonderingen op de AVG die de particuliere sector ten goede komen: 'elk onderzoek dat waarschijnlijk innovatie ondersteunt, zoals technologische ontwikkeling en demonstratie' zou dan kunnen worden vrijgesteld van de informatieverplichting en de verplichting tot doelbinding.

Het voorstel omvat wijzigingen die geautomatiseerde besluitvorming vergemakkelijken en het gebruik van persoonsgegevens mogelijk maken voor het trainen en beheren van AI-systemen op basis van een gerechtvaardigd belang.

De tekst voorziet ook in een overgangsperiode van zes maanden voor artikel 50(2) van de AI-verordening (transparantieverplichtingen).

Het digitale omnibuspakket blijft gedurende een periode van acht weken open voor commentaar, die dagelijks wordt verlengd totdat het voorstel in alle EU-talen beschikbaar is, momenteel tot 29 januari 2026.

Het voorstel zal vervolgens de gebruikelijke EU-wetgevingsprocedures doorlopen in het Europees Parlement en de Raad, waar het ongetwijfeld onderwerp van een levendig debat zal zijn.

Wat de AVG in het bijzonder betreft, staan sommige landen open voor een herziening van de voorstellen van de Commissie, terwijl andere, waaronder Slovenië, Estland en Oostenrijk, al hebben aangegeven dat de AVG volgens hen "op dit moment geen verdere wijzigingen behoeft".

Het proces zal ook de standpunten van het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming omvatten. Hoewel deze standpunten niet bindend zijn, wordt verwacht dat ze verdere discussies zullen beïnvloeden.

 

Na een eerste rapport waarin werd onderzocht of Fransen bereid waren te betalen voor online diensten zonder gerichte reclame, publiceerde de CNIL op 17 november een tweede deel over de houding van Fransen ten opzichte van het te gelde maken van hun gegevens.

65% van de respondenten (%) gaf aan bereid te zijn hun data te verkopen. De meest voorkomende waardering lag tussen de 10 en 30 euro per maand, wat door 28% van deze respondenten werd geprefereerd (%).

Daarentegen wil 35% van de mensen hun gegevens niet verkopen, ongeacht de prijs, en geeft daarmee uiting aan een principieel verzet tegen de commercialisering van persoonsgegevens.

In dit verband wijst de CNIL erop dat, hoewel het mogelijk is om een gebruiksrecht op iemands gegevens over te dragen, "het 'monetiseren' van iemands persoonsgegevens, in de zin van het overdragen van eigendomsrechten daarop, niet mogelijk is binnen het huidige wettelijke kader, aangezien men geen afstand kan doen van zijn rechten met betrekking tot zijn gegevens."

Op 20 november 2025 heeft de CNIL het Franse bedrijf Conde Nast een boete van 750.000 euro opgelegd wegens het niet naleven van de geldende regels met betrekking tot cookies die worden geplaatst op de apparaten van gebruikers die de website "vanityfair.fr" bezoeken.

Het bedrijf had in 2019 al een formele kennisgeving ontvangen naar aanleiding van een klacht van de Noyb-vereniging, maar had hieraan geen gehoor gegeven.

De boete houdt rekening met het gebrek aan reactie van het bedrijf, het aantal betrokken personen en de verschillende tekortkomingen: het niet verkrijgen van toestemming, het niet informeren van gebruikers en het falen van de mechanismen voor het weigeren en intrekken van toestemming.

Op 27 november 2025 heeft de CNIL ook een boete van 1,5 miljoen euro opgelegd aan het bedrijf American Express Carte France wegens het niet naleven van de geldende regels met betrekking tot cookies.

Op 26 november publiceerde ANSSI een rapport over de stand van de dreiging voor mobiele telefoons.

Het rapport benadrukt hoe aanvallers kwetsbaarheden misbruiken die gericht kunnen zijn op netwerken, het besturingssysteem of applicaties, en identificeert een specifieke dreiging: spionage- en surveillanceoperaties uitgevoerd door staatsactoren.

Mobiele telefoons zijn ook een belangrijk doelwit voor cybercriminelen, die er door ze te hacken in slagen geld van hun slachtoffers te stelen.

Mobiele telefoons worden ook misbruikt voor privébewaking of destabiliseringsoperaties.

Het rapport bevat tevens beveiligingsaanbevelingen voor gebruikers.

Dit houdt onder andere in dat u uw telefoon regelmatig uit- en weer aanzet zonder de herstartfunctie te gebruiken, niet op links klikt of bestanden opent in ongevraagde berichten, alert bent bij het openen van links die via QR-codes worden verzonden, updates voor het besturingssysteem installeert, wifi- en bluetoothverbindingen uitschakelt wanneer u ze niet gebruikt en geen verbinding maakt met openbare wifi-netwerken.

 

Europese instellingen en organen

Op 26 november bereikten vertegenwoordigers van de EU-lidstaten overeenstemming over het standpunt van de Raad met betrekking tot de verordening ter voorkoming en bestrijding van seksueel misbruik van kinderen.

De tekst beoogt bedrijven in de digitale sector te verplichten de verspreiding van kinderpornografie en het benaderen van kinderen voor dergelijke doeleinden te voorkomen.

De bevoegde nationale autoriteiten hebben de bevoegdheid om bedrijven te verplichten bepaalde content te verwijderen en de toegang daartoe te blokkeren, of, in het geval van zoekmachines, bepaalde zoekresultaten te verwijderen.

De verordening voorziet ook in de oprichting van een nieuw Europees agentschap, het Europees Centrum voor Kinderpornografie, dat tot taak heeft de lidstaten en aanbieders van online diensten te helpen bij de implementatie van de wet.

De Raad wenst tevens een momenteel tijdelijke maatregel permanent te maken, die bedrijven in staat stelt hun diensten vrijwillig te scannen op kindermisbruik.

Hoewel de tekst minder ingrijpend is dan de vorige versie, wordt hij door tegenstanders nog steeds beschouwd als een aanval op end-to-end-encryptie en de vertrouwelijkheid van communicatie.

Het project moet nog worden besproken in trilogen met de Commissie en het Europees Parlement.

Op 5 december heeft de Europese Commissie X een boete van 120 miljoen euro opgelegd omdat het bedrijf niet voldeed aan zijn transparantieverplichtingen in het kader van de Digital Services Act (DSA).

De tekortkomingen omvatten het misleidende ontwerp van de "blauwe validatie" voor geverifieerde accounts, het gebrek aan transparantie in de advertentiedirectory en het feit dat onderzoekers geen toegang krijgen tot openbare gegevens.

In zijn uitspraak over Russische media van 2 december heeft het Hof van Justitie van de Europese Unie (CJEU) geoordeeld dat een uitgever van een online marktplaats verantwoordelijk is voor de verwerking van advertenties die op zijn platform worden gepubliceerd en dat hij vóór publicatie moet controleren of deze gevoelige gegevens bevatten en of de verwerking ervan voldoet aan de AVG.

1/ De exploitant van een marktplaats is verantwoordelijk voor de verwerking van de gepubliceerde advertenties: verschillende elementen rechtvaardigen deze classificatie voor het Hof van Justitie van de EU:

• De advertentie is alleen online toegankelijk dankzij de dienstverlening van het platform.
• De uitgeverij streeft haar eigen doelen na, met name commerciële en reclamedoeleinden, en is niet beperkt tot het verlenen van technische diensten.
• Het bepaalt essentiële elementen: presentatie, duur van de online publicatie, secties, classificatie en distributiemethoden.
• De exploitant en de adverteerder zijn dus gezamenlijk verantwoordelijk voor de verwerking die op de advertenties wordt uitgevoerd.

2/ Als verantwoordelijke voor de gegevensverwerking moet de verwerker de potentiële risico's van de gegevensverwerking identificeren en maatregelen en waarborgen treffen die passen bij het geïdentificeerde risico: het Hof van Justitie van de EU geeft aan dat de verwerker stroomopwaarts het volgende moet doen:

• Detecteer of een advertentie gevoelige gegevens bevat.
• Controleer of deze gegevens betrekking hebben op de adverteerder of dat de adverteerder een uitzondering heeft, met name een uitdrukkelijke toestemming van de betrokkene.
• Publicatie wordt geweigerd indien niet aan deze voorwaarden wordt voldaan.

Als onderdeel van zijn veiligheidsverplichtingen moet de exploitant ook maatregelen treffen om het illegaal kopiëren en reproduceren van advertenties met gevoelige gegevens te beperken.

Op 20 november deed het Hof van Justitie van de EU uitspraak in de zaak Policejní prezidium over de Tsjechische politiepraktijken met betrekking tot het verzamelen en onbeperkt bewaren van biometrische en genetische gegevens van alle personen die verdacht worden van het plegen van opzettelijke misdrijven.

Het doel was om vast te stellen of de Europese "Politierichtlijn" een geval-per-geval beoordeling vereist van de noodzaak tot bewaring, of onbeperkte bewaartermijnen zijn toegestaan en welke wettelijke waarborgen van toepassing moeten zijn op de verwerking van deze gevoelige gegevens.

Het Hof oordeelt dat er in beginsel geen verbod bestaat, maar stelt wel een aantal voorwaarden: de verwerkingsverantwoordelijke moet voldoen aan alle beginselen en specifieke eisen die van toepassing zijn op de verwerking van gevoelige gegevens, en de nationale wetgeving moet passende termijnen vaststellen voor een periodieke beoordeling van de strikte noodzaak om deze gegevens te bewaren.

Het Europees Agentschap voor de grondrechten publiceerde op 4 december een rapport over de bescherming van grondrechten bij het gebruik van AI in risicovolle gebieden. Het rapport wijst op een gebrek aan bewustzijn over deze rechten.

 

Nieuws uit de lidstaten van de Europese Unie.

De rechtbank voor civiele zaken in Wenen heeft geoordeeld dat een rechtszaak tegen een gegevensverwerker die niet in de EU is gevestigd, moet worden aangespannen aan de verwerker zelf en niet aan diens vertegenwoordiger in de EU.

Een kennisgeving aan de vertegenwoordiger op grond van artikel 27 van de AVG is onvoldoende, tenzij de nationale proceswetgeving in deze mogelijkheid voorziet.

Op 14 november heeft de Kroatische Autoriteit voor Gegevensbescherming (APD) een administratieve boete van in totaal 4.500.000 euro opgelegd aan een telecomaanbieder, in zijn hoedanigheid als verwerkingsverantwoordelijke, voor het overdragen van persoonsgegevens naar een derde land in strijd met de AVG.

De overdracht aan een Servische onderaannemer vond plaats zonder geldige wettelijke basis en zonder transparante informatieverstrekking aan de betrokkenen, de verwerking van kopieën van identiteitskaarten en strafbladverklaringen van werknemers zonder wettelijke basis en zonder de vereiste voorafgaande controles van de onderaannemer.

De Internationale Universiteit van Valencia in Spanje heeft een boete van €750.000 gekregen voor het gebruik van gezichtsherkenning en AI om deelnemers aan examens te identificeren zonder geldige wettelijke basis.

Ook in Spanje heeft de APD een medische kliniek een boete van € 30.000 opgelegd wegens schending van artikel 5(1)(f) van de AVG. De kliniek had namelijk de telefoonnummers en gezondheidsgegevens van ongeveer 90 cliënten in een WhatsApp-groep openbaar gemaakt zonder voorafgaande toestemming en zonder adequate vertrouwelijkheidsmaatregelen.

Een rechtbank heeft een schadevergoeding van meer dan €480.000.000 toegekend aan 87 Spaanse mediabedrijven. De rechtbank concludeerde dat Meta op illegale wijze persoonsgegevens die via haar sociale netwerken waren verzameld, had gebruikt om gedetailleerde gebruikersprofielen te creëren en effectievere gepersonaliseerde advertenties aan te bieden dan concurrenten, waardoor Meta een oneerlijk concurrentievoordeel had behaald.

De rechtbank oordeelde dat de verwerking van persoonsgegevens een belangrijke concurrentiefactor is in de digitale economie en dat schendingen van de AVG oneerlijke concurrentie kunnen vormen wanneer zij een aanzienlijk voordeel opleveren.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft de provincie Bolzano een boete van € 32.000 opgelegd voor het illegaal exploiteren van een netwerk van verkeerscamera's. De provincie beschikte niet over een geldige wettelijke basis voor de verwerking van persoonsgegevens, met name kentekennummers.

 

In het Verenigd Koninkrijk hebben 73 academici, juristen, experts op het gebied van gegevensbescherming en niet-gouvernementele organisaties in een brief aan het Lagerhuis opgeroepen tot een onderzoek naar de Britse gegevensbeschermingsautoriteit (ICO), na wat zij omschrijven als een "instorting van de handhavingsmaatregelen", met name na het datalekschandaal in Afghanistan.

Ze waarschuwen voor "diepere structurele gebreken" die verder gaan dan dit datalek.

Dit betrof een bijzonder ernstig lek van informatie over Afghanen die hadden samengewerkt met Britse troepen voordat de Taliban in augustus 2021 de macht in het land overnamen. Het lek bracht de levens in gevaar van de 100.000 mensen van wie de namen door het Ministerie van Defensie openbaar waren gemaakt.

De ICO wordt bekritiseerd omdat ze, ondanks herhaalde tekortkomingen, geen formele juridische stappen tegen het ministerie heeft ondernomen. 

In Argentinië hebben enkele rechtbanken zich de afgelopen maanden uitgesproken over het gebruik van AI in processtukken en pleidooien van advocaten.

De zaken betroffen advocaten die jurisprudentie aanhaalden die achteraf onjuist of inaccuraat bleek te zijn als gevolg van hallucinaties door AI.

Net als met name in de Verenigde Staten, beginnen Argentijnse rechtbanken de reikwijdte van de professionele verantwoordelijkheid van advocaten te beoordelen: zelfs wanneer zij te goeder trouw handelen, ondermijnt het indienen van pleidooien die verwijzen naar niet-bestaande jurisprudentie de fundamentele beginselen van het beroep, waaronder eerlijkheid, loyaliteit en oprechtheid, zoals vastgelegd in de gedragscodes van de verschillende Argentijnse rechtsgebieden.

In de specifieke gevallen die zijn onderzocht, hebben de rechtbanken besloten geen directe sancties op te leggen aan de advocaten.

Desondanks achtten zij het gepast om lokale advocatenverenigingen te informeren om het bewustzijn te vergroten over de risico's en verantwoordelijkheden die verbonden zijn aan het gebruik van AI en om een breder debat te bevorderen over het verantwoord gebruik van AI in de juridische praktijk.

De Australische overheid is de meest recente die een routekaart voor AI heeft gepresenteerd.

Na een strategie gericht op veiligheid te hebben overwogen, koos de regering er uiteindelijk voor om de nadruk te leggen op investeringen en de economie.

In plaats van verplichte waarborgen in te voeren in risicovolle omgevingen, zal Australië voortbouwen op "bestaande robuuste wettelijke en regelgevende kaders".

Het nationale plan, dat op 2 december werd aangekondigd, heeft als doel de reputatie van Australië als investeringslocatie voor AI te versterken en stelt doelen voor een wijdverspreid gebruik van AI in het hele land, en met name in de publieke sector.

Het document beschrijft ook de rol van het AI Security Institute bij het testen van en het delen van informatie over de mogelijkheden, risico's en gevaren van AI.

Ook in Australië is het kinderen en tieners onder de 16 jaar vanaf 10 december niet meer toegestaan om sociale media te gebruiken.

Platformen zijn verplicht om leeftijdsverificatiemaatregelen te implementeren.

Niet-naleving kan leiden tot boetes van maximaal 28 miljoen euro.

Dit verbod zou kunnen worden gevolgd door andere: op 26 november riep het Europees Parlement op om de minimumleeftijd voor sociale netwerken, videoplatformen en AI-assistenten in de hele Europese Unie op 16 jaar te stellen, terwijl toegang voor 13- tot 16-jarigen met toestemming van de ouders wel is toegestaan.

Hoewel de Europarlementariërs hun steun betuigen aan de Commissie met betrekking tot een Europese app voor leeftijdsverificatie en een Europese digitale identiteitsportefeuille (eID), benadrukken ze dat systemen voor leeftijdsverificatie de privacy van minderjarigen moeten beschermen.

In de Verenigde Staten zijn nog maar twee van de vijf commissarissen van de Federal Trade Commission (FTC) actief.

Een derde ontslag, dat van Melissa Holyoak, werd inderdaad op 17 november 2025 door de FTC aangekondigd.

Dit ontslag volgt op het ontslag van twee Democratische commissarissen door president Trump, waardoor er nog maar twee Republikeinse commissarissen over zijn.

Het Hooggerechtshof heeft zich over de zaak gebogen en de uitspraak ervan zou bredere gevolgen kunnen hebben voor de macht van de president over onafhankelijke instanties.           

Reizigers uit landen zoals Groot-Brittannië, Frankrijk of Zuid-Korea, landen die in aanmerking komen voor het Amerikaanse visumvrijstellingsprogramma, moeten mogelijk binnenkort hun socialemedia-activiteiten van de afgelopen vijf jaar laten controleren. Dit blijkt uit een voorstel dat op 9 december is ingediend door de Amerikaanse douane- en grensbewakingsdienst (CBP).

CBP is ook van plan om aanvragers te vragen om een lange lijst met persoonlijke gegevens, waaronder hun e-mailadressen van de afgelopen tien jaar, evenals de namen, geboortedata, woonplaatsen en geboorteplaatsen van hun ouders, echtgenoten, broers, zussen en kinderen.

Op 13 november 2025 heeft het Indiase Ministerie van Elektronische en Informatietechnologie de uitvoeringsregels van de Wet op de Bescherming van Digitale Persoonsgegevens van 2023 bekendgemaakt.

Volgens het bedrijf Nishith Desai Associates specificeren ze de vereisten voor transparantie, toestemming en registratie, de meldingsplicht bij een datalek, de rechten van de betrokken personen en details over de Indiase Raad voor Gegevensbescherming.