Juridisch overzicht nr. 88 – oktober 2025. 

 

Videobewaking, het voornaamste doelwit van de sancties van de CNIL.

De CNIL heeft gedaan het punt in oktober over de vereenvoudigde sanctieprocedure.

De 16 sancties die sinds afgelopen mei zijn opgelegd, gingen gepaard met boetes van in totaal € 108.000, bovenop de € 104.000 uit de 10 beslissingen. uitgesproken sinds januari.

Naast videobewaking omvatten de sancties ook commerciële wervingspraktijken die worden uitgevoerd zonder de toestemming van de betrokkenen en het niet meewerken aan verzoeken om uitoefening van de rechten die de AVG biedt (recht op inzage, rectificatie of bezwaar).

Videobewaking blijft een belangrijk thema bij sancties, met name wanneer deze plaatsvindt op de werkplek.

De CNIL wijst systematisch op het feit dat gegevensverwerkers het principe van dataminimalisatie niet naleven.

Een farmaceutisch bedrijf en een ziekenhuis zijn gesanctioneerd voor het filmen van vakbondsgebouwen en de directe toegang daartoe, in strijd met artikel 5.1.c van de AVG, waarin is bepaald dat gegevens adequaat, relevant en beperkt moeten zijn tot wat noodzakelijk is voor het beoogde doel.

De CNIL herinnert ons eraan dat CCTV-camera's die op werkplekken zijn geïnstalleerd, ongeacht of deze openbaar toegankelijk zijn of niet, de privacy van werknemers moeten respecteren.

"Camera's mogen in geen geval gebouwen van de vakbond of de directe toegangspunten daarvan filmen."

Elke buitensporige inbreuk op de privacy van de gefilmde personen is in strijd met dit minimaliseringsbeginsel, zoals de CNIL ook opmerkte in een geval op een kostschool waar het videobewakingssysteem leerlingen filmde tijdens het ontbijt en op de binnenplaats.

Het is niet toegestaan om camera's op de werkplek te installeren.

• Alleen als ze een legitiem doel nastreven, zoals de veiligheid van eigendommen en personen.
• In afgebakende en niet-opdringerige ruimtes zoals in- en uitgangen van gebouwen, gangen of magazijnen.

Ook op het gebied van veiligheid en transparantie gelden verplichtingen:

• De toegang tot afbeeldingen moet beveiligd zijn en alleen toegankelijk voor bevoegd personeel, en gegevens moeten gedurende een beperkte periode worden bewaard, in principe van enkele dagen tot een maand.
• De verantwoordelijke persoon moet de werknemersvertegenwoordigers vooraf informeren en raadplegen, en ervoor zorgen dat er een mededeling wordt opgehangen voor de werknemers en het publiek.

Uitzonderingen blijven mogelijk met betrekking tot de transparantieverplichtingen: in uitzonderlijke omstandigheden en onder bepaalde voorwaarden mag de verantwoordelijke voor de gegevensverwerking tijdelijk camera's installeren die niet zichtbaar zijn voor werknemers, mits de compatibiliteit van het apparaat met de AVG wordt geanalyseerd en dit kan worden gerechtvaardigd.

Het was vanwege het ontbreken van een dergelijke effectanalyse en het gebrek aan betrokkenheid van de functionaris voor gegevensbescherming bij de implementatie van een verborgen videobewakingssysteem dat La Samaritaine afgelopen september door de CNIL werd gesanctioneerd.

Het bedrijf had melding gemaakt van diefstallen in de reserves en uitgelegd dat het systeem tijdelijk was, maar had geen voorafgaande analyse uitgevoerd noch het tijdelijke karakter van de installatie gedocumenteerd.

Het niet respecteren van het evenwicht tussen het nagestreefde doel en de bescherming van de privacy van werknemers heeft ertoe geleid dat het bedrijf een boete van €100.000 heeft gekregen.

Tot slot dient te worden opgemerkt dat voor openbare plaatsen het apparaat moet worden goedgekeurd door de prefect van het departement, of door de politieprefect in Parijs.

 

      

De Rekenkamer publiceerde op 31 oktober een rapport over "de soevereiniteitskwesties van de civiele informatiesystemen van de staat".

Ze doet een aantal observaties:

• Sommige ministeries gebruiken niet-Europese IT-oplossingen, soms voor gevoelige gegevens, wat ten koste gaat van de digitale soevereiniteit.

Het rapport verwijst in dit verband naar het platform voor gezondheidsgegevens, dat al meer dan vijf jaar door een Amerikaans bedrijf wordt beheerd.

Hij merkt ook op dat particuliere aanbieders toepassingen voor de openbare dienstverlening aanbieden zonder aan dezelfde verplichtingen als de staat te zijn onderworpen.

• Er is geen overzicht van gevoelige gegevens per administratie, wat een referentiekader zou vormen om te bepalen wiens soevereiniteit prioriteit moet krijgen.
• De toepassing van soevereine cloudcomputing door overheidsinstanties blijft beperkt, interne staatsclouds hebben moeite om voldoende schaal te bereiken en het is complex om soevereiniteitsvereisten te verzoenen met prestatie-eisen.
• DINUM beheert twee nationale infrastructuren: het interministeriële netwerk van de staat (RIE) en het digitale identiteitssysteem (FranceConnect). Deze worden als succesvol beschouwd, hoewel er nog ruimte voor verbetering is, met name op het gebied van veerkracht.
• Naast het beheersen van gevoelige gegevens streeft de staat niet naar volledige soevereiniteit, maar wil hij een voldoende hoog niveau van vertrouwen opbouwen door middel van openbare aanbestedingen, het bundelen van aankopen en validatie door ANSSI om risico's te beperken.

Op 15 oktober bekrachtigde de Raad van State een boete van € 8.000.000 die de CNIL aan Apple had opgelegd wegens het verwerken van gegevens van Franse gebruikers voor gepersonaliseerde reclamedoeleinden zonder hun toestemming.

• De Raad van State was van mening dat de sanctie niet buiten proportie was, gezien het aantal betrokkenen – bijna 27,5 miljoen gebruikers tussen juli 2020 en juli 2021 – en het economische gewicht van de groep.
• Hij bevestigde tevens de bevoegdheid van de CNIL om te oordelen over de activiteiten van het bedrijf in Frankrijk, waarmee hij het argument van het bedrijf verwierp dat alleen de Ierse entiteit onder de jurisdictie van de Europese toezichthouder viel.

Het Ministerie van Arbeid en Solidariteit, de CNIL en de AFCDP hebben Afpa de opdracht gegeven een nieuw onderzoek uit te voeren naar de impact van AI op het beroep van DPO (Disability Protection Officer).

Het onderzoek verkent AI-governancemodellen binnen organisaties, de rol van de functionaris voor gegevensbescherming (FG), de belangrijkste uitdagingen waar FG's mee te maken krijgen en hun behoeften op het gebied van tools en training. De resultaten worden in de eerste helft van 2026 gepubliceerd.

Op 28 oktober publiceerde de CNIL het verslag van haar evenement van 20 mei, "AVG: welke economische impact?". 

Het evenement bracht economen samen met Franse (CNIL) en Europese (Britse gegevensbeschermingsautoriteit, Europese Commissie) toezichthouders, die bijdroegen aan de evaluatie achteraf van de implementatie van de AVG.

De regelgeving, die door spelers in de distributiesector werd aangegrepen vanwege de overdraagbaarheid van gegevens met betrekking tot loyaliteitsprogramma's, specificeerde medio oktober ook welke informatie moet worden overgedragen, met name de barcode en gegevens over promoties waaraan klanten hebben deelgenomen.

 

Europese instellingen en organen

De wijzigingen in de AVG die in de Digital Omnibus Act zijn opgenomen, zouden verder kunnen gaan dan aanvankelijk aangekondigd, volgens een informele versie van het document die in de pers is verspreid.

Het voorstel, dat naar verwachting op 19 november officieel wordt gepubliceerd, zou bepaalde belangrijke definities verduidelijken (maar tegelijkertijd beperken), bepaalde regels met betrekking tot vertrouwelijkheid versoepelen en het gebruik van persoonsgegevens voor AI-training toestaan.

Het maatschappelijk middenveld heeft al gereageerd door te wijzen op de gevaren van een dergelijke vereenvoudiging van de grondrechten.

Op donderdag 9 oktober kondigde de Europese Commissie de start aan van een openbare raadpleging over haar ontwerp-richtlijnen betreffende de wisselwerking tussen de Verordening inzake digitale markten (DMA) en de AVG.

Dit project is ontwikkeld in samenwerking met het Europees Comité voor gegevensbescherming (EDPB).

Artikel 5(2) vormt de kern van deze richtlijnen: de DMA vereist dat "gatekeepers" toestemming van gebruikers verkrijgen voor het delen van hun gegevens tussen verschillende diensten, maar definieert niet de precieze voorwaarden voor deze toestemming.

De tekst specificeert nu dat deze toestemming geldig moet zijn in de zin van de AVG, maar vooral dat deze afzonderlijk moet worden gevraagd voor elk afzonderlijk verwerkingsdoel (contentpersonalisatie en gerichte reclame).

De consultatieperiode loopt tot 4 december.

Op 24 oktober concludeerde de Europese Commissie op voorlopige basis dat Meta en TikTok de Verordening inzake digitale diensten (DSA) hadden overtreden.

Bedrijven geven onderzoekers onvoldoende toegang tot openbaar beschikbare gegevens.

De Commissie concludeert tevens op voorlopige basis dat Facebook en Instagram hun verplichtingen niet zijn nagekomen (1) om gebruikers eenvoudige mechanismen te bieden om illegale inhoud, zoals kinderpornografie of terroristische inhoud, te melden, en (2) om gebruikers in staat te stellen effectief bezwaar te maken tegen beslissingen van Meta over de moderatie van inhoud.

TikTok en Meta hebben de mogelijkheid om het onderzoeksdossier in te zien en erop te reageren.

De Europese Commissie heeft haar kader voor een soevereine cloud voor overheidsinstanties die aanbestedingen uitvoeren gepubliceerd.

Het document is gebaseerd op verschillende Europese initiatieven, waaronder het Europees certificeringskader voor cyberbeveiliging (ENISA, NIS2, DORA).

Het verwijst ook naar nationaal beleid zoals "cloud at the center" in Frankrijk met de SecNumCloud van Anssi, en de Duitse Sovereign Cloud.

De Commissie stelt een soevereiniteitsscore voor clouddiensten voor, gebaseerd op verschillende criteria, wat gemengde reacties oproept.

De methode voldoet niet bepaald aan de verwachtingen van de Europese cloudproviders die verenigd zijn in de Cispe-vereniging. Zij vinden de methode ondoorzichtig en in de huidige vorm bevoordelend voor buitenlandse spelers.

Leden van het Europees Parlement roepen de DSA op om een onderzoek in te stellen naar Shein, Temu en AliExpress.

Naar aanleiding van het onderzoek dat het parket van Parijs heeft ingesteld naar deze vier bedrijven wegens de verkoop van 'sekspoppen met een kinderlijk uiterlijk', hebben meer dan 40 Europarlementariërs de Commissie opgeroepen een onderzoek in te stellen, aldus een rapport van Euractiv.

Het CSAM-voorstel voor een verordening ter voorkoming en bestrijding van seksueel misbruik van kinderen stond op 14 oktober opnieuw op de agenda van de vergadering van de Europese Raad.

Doordat Duitsland, dat eerder een groot voorstander van het wetsvoorstel was geweest, zijn steun voor het ontwerp van de verordening heeft ingetrokken, werd de stemming uitgesteld.

Het omstreden voorstel voorzag in het scannen van berichten op het apparaat van de gebruiker voordat ze werden verzonden. Dit element werd door het Deense voorzitterschap van de Raad geschrapt om voldoende steun van de lidstaten te verkrijgen.

Denemarken is niettemin van plan de huidige tijdelijke toestemming voor "vrijwillige" CSAM-analyses voor onbepaalde tijd te verlengen, en "aanbieders van diensten met een hoog risico [...] zouden nog steeds verplicht kunnen worden om relevante technologieën te ontwikkelen om het risico op seksueel misbruik van kinderen die via hun diensten worden geïdentificeerd, te beperken".

De ministers van Binnenlandse Zaken van de EU komen begin december opnieuw bijeen.

Tijdens de plenaire vergadering in oktober heeft het Europees Comité voor gegevensbescherming (EDPB) het thema gekozen voor zijn vijfde gecoördineerde actie inzake controles, die zich zal richten op de naleving van de transparantie- en informatieverplichtingen die de AVG voorschrijft.

De verordening waarborgt dat de betrokkenen worden geïnformeerd wanneer hun gegevens worden verwerkt (conform artikel 12, 13 en 14).

Het Europees Comité voor gegevensbescherming (EDPB) herhaalt dat dit recht op informatie een essentieel onderdeel van transparantie is en individuen meer controle over hun gegevens garandeert.

De deelnemende gegevensbeschermingsautoriteiten zullen zich de komende weken op vrijwillige basis bij deze actie aansluiten, en de actie zelf zal in de loop van 2026 van start gaan.

Een onderzoek naar handelaren in persoonsgegevens, uitgevoerd door de Belgische krant L'Echo, het Duitse vakblad Netzpolitik.org, de Nederlandse radiozender BNR, de Duitse radiozender BR en Le Monde, toont de omvang van de surveillance die mogelijk wordt gemaakt door geolocatiegegevens uit advertenties.

Deze gegevens, verkregen door "Le Monde" en haar partners, maakten het mogelijk om verschillende hoogwaardigheidsbekleders van de Europese Unie te identificeren en te volgen, soms zelfs tot aan hun huis.

 

Nieuws uit de lidstaten van de Europese Unie.

De Duitse deelstaat Sleeswijk-Holstein heeft zijn eigen e-mail- en agendasystemen afgeschaft en is overgestapt op open-source software.

De migratie, die zes maanden duurde, verving Microsoft Exchange en Outlook door Open-Xchange en Mozilla Thunderbird.

De overdracht betrof meer dan 40.000 e-mailaccounts en meer dan 100 miljoen berichten en agenda-items.

In Oostenrijk meldt de ngo Noyb dat de gegevensbeschermingsautoriteit een uitspraak heeft gedaan waarin wordt geconcludeerd dat Microsoft 365 Education studenten illegaal volgt en hun gegevens gebruikt voor eigen doeleinden.

De softwaregigant reageerde evenmin op een verzoek om toegang tot gegevens met betrekking tot Microsoft 365 Education, dat veelvuldig wordt gebruikt op Europese scholen.

Een Oostenrijkse rechtbank heeft een boete van € 1.500.000 die IKEA is opgelegd, bekrachtigd. De boete werd opgelegd voor illegale en buitensporige videobewaking in en rondom een van haar vestigingen, waarbij onder meer klanten werden gefilmd terwijl ze hun pincode invoerden.

Hij vernietigde daarmee een beslissing van de APD, die alleen de verkoper verantwoordelijk hield voor overtredingen begaan tijdens de aankoop.

In België heeft de Belgische Autoriteit voor Gegevensbescherming (APD) een bedrijf berispt omdat het illegaal het e-mailadres en telefoonnummer van een voormalige werknemer bewaarde nadat diens dienstverband was beëindigd. De APD oordeelde dat de verwerkingsverantwoordelijke verschillende bepalingen van de AVG had overtreden, waaronder het beginsel van doelbinding, de beginselen van dataminimalisatie en opslagbeperking, het beginsel van de informatieplicht voor de betrokkene en het recht op verwijdering.

Ten slotte was er geen wettelijke basis meer om deze gegevens verder te verwerken.

In Spanje heeft de APD een boete van € 1.500.000 opgelegd aan een financiële dienstverlener (Servicios Financieros Carrefour) omdat het bedrijf de beveiliging en vertrouwelijkheid van gegevensverwerking niet voldoende had gewaarborgd in het kader van een datalek dat resulteerde in het versturen van talloze phishing-e-mails.

In Ierland heeft de benoeming van voormalig Meta-lobbyist Niamh Sweeney tot commissaris van de Ierse gegevensbeschermingsautoriteit recentelijk hernieuwde aandacht gekregen.

De Irish Civil Liberties Council (ICCL) heeft op 25 oktober een klacht ingediend bij de Europese Commissie tegen Ierland, waarin zij stelt dat Ierland onvoldoende garanties heeft gegeven met betrekking tot de onafhankelijkheid en onpartijdigheid van zijn benoemingsprocedure.

De Europese Commissie heeft naar verluidt geantwoord dat zij geen bevoegdheid heeft met betrekking tot nationale benoemingen in het kader van ontwikkelingshulpprojecten.

De Nederlandse Autoriteit Persoonsgegevens (APD) heeft Experian Nederland een boete van 2,7 miljoen euro opgelegd wegens meerdere overtredingen van de AVG.

Tot 1 januari 2025 leverde Experian kredietwaardigheidsbeoordelingen aan haar klanten, waarbij gegevens werden verzameld over bijvoorbeeld negatief betalingsgedrag, onbetaalde schulden of faillissementen.

De APD constateerde een gebrek aan geldige wettelijke basis voor het verzamelen van de informatie en het nalaten om de betrokken personen hierover te informeren.

Het bedrijf moest zijn activiteiten in het land staken en beloofde zijn volledige personeelsdatabase vóór het einde van het jaar te verwijderen.

 

 

De Britse gegevensbeschermingsautoriteit (DPA) heeft een dienstverlener gespecialiseerd in pensioenadministratie en zijn onderaannemer een boete opgelegd van respectievelijk £ 8.000.000 en £ 6.000.000, na een cyberaanval waardoor onbevoegde derden toegang kregen tot de gegevens van meer dan 6 miljoen mensen.

De politie van Austin (APD) constateerde een gebrek aan adequate veiligheidsmaatregelen.

De IAPP meldt dat de Internationale Organisatie voor Standaardisatie (ISO) voor het eerst sinds 2019 haar internationale standaard voor het beheer van privacycomplianceprogramma's, ISO 27701, heeft bijgewerkt.

De standaard is nu een op zichzelf staand beheersysteem, wat betekent dat organisaties geen ISO 27001-gecertificeerd informatiebeveiligingsbeheersysteem meer nodig hebben.

Degenen die over een SGSI beschikken, kunnen echter beide beheersystemen integreren.

De norm beschrijft de belangrijkste eisen voor de implementatie van een PIMS, waaraan elke organisatie die certificering aanvraagt, moet voldoen en die zij moet implementeren.

Hoewel het geen vervanging voor wetgeving kan zijn, sluit het wel nauw aan bij de AVG (Algemene Verordening Gegevensbescherming) van de EU en het VK.

In de Verenigde Staten scannen immigratieagenten gezichten van mensen op straat om hun burgerschap te verifiëren.

Volgens het Amerikaanse mediakanaal 404 tonen video's die op sociale media circuleren hoe agenten van ICE (Immigration and Customs Enforcement) en CBP (Customs and Border Protection) gezichtsherkenningstechnologie gebruiken om voorbijgangers in het veld te controleren.

De gebruikte applicatie, Mobile Fortify, koppelde gezichten aan een database met 200 miljoen afbeeldingen uit databases van de FBI, het ministerie van Buitenlandse Zaken en andere instanties.

De applicatie kon ook zoekopdrachten uitvoeren op voertuigen, telefoons, adressen en vuurwapens.

Hoewel het ministerie van Binnenlandse Veiligheid weigert de mogelijkheden van "Mobile Fortify" te bevestigen of te ontkennen, erkent CBP naar verluidt dat het gebruikmaakt van "verschillende technologische hulpmiddelen om de effectiviteit van agenten te vergroten".

De concurrentie neemt toe om AI in internetbrowsers te integreren en de dominante positie van het inmiddels klassieke Google Chrome uit te dagen.

Microsoft heeft zijn Copilot AI-tool dus geïntegreerd in de Edge-browser.

De voorgestelde "acties" stellen Copilot in staat formulieren in te vullen of hotels te boeken, en de "reizen" stellen Copilot in staat de verbanden tussen door de gebruiker geopende tabbladen te traceren.

De aankondiging van Microsoft kwam twee dagen na een soortgelijke lancering door OpenAI, dat zijn nieuwe Atlas-browser onthulde, die qua uiterlijk erg veel lijkt op die van Microsoft.