Juridisch overzicht nr. 87 – september 2025. 

 

Vijf jaar na de Brexit: een blik op de situatie in het Verenigd Koninkrijk.

Sinds het Verenigd Koninkrijk de Europese Unie heeft verlaten, is de Britse wetgeving inzake gegevensbescherming langzaam maar zeker steeds verder afgeweken van het Europese regelgevingskader.

Hoewel er aan beide zijden van het Kanaal een trend is naar vereenvoudiging van de normen, loopt het Verenigd Koninkrijk voor op de Europese Unie.

Na de Brexit werd de Data Protection Act 2018 (DPA) aangepast om een aanvulling te blijven vormen op de "UK GDPR", de Britse versie van de AVG die op 1 januari 2021 van kracht werd.

Het Verenigd Koninkrijk heeft ook de Privacy and Electronic Communications Regulations (PECR) aangenomen, die de Europese ePrivacy-richtlijn implementeren.

De Data Use and Access Act (DUAA), die op 19 juni 2025 werd aangenomen, is een ingrijpende hervorming van het Britse persoonsgegevensstelsel.

Het wijzigt en vult zowel de Britse GDPR, de DPA als de PECR aan, en vertegenwoordigt een strategisch keerpunt waarmee het Verenigd Koninkrijk afstand neemt van een visie die gericht is op fundamentele rechten en een meer pragmatische en innovatiebevorderende aanpak omarmt.

De belangrijkste doelstellingen zijn:

• Het doel is een bredere juridische basis van "erkende legitieme belangen" voor te stellen voor bepaalde verwerkingsactiviteiten, waaronder archivering in het algemeen belang, de openbare veiligheid of belastingheffing;
• Bedrijven de mogelijkheid bieden om de reactietijd voor toegangsverzoeken op te schorten.
• Vereenvoudig de regels voor cookies;
• Het faciliteren van internationale gegevensoverdracht;
• Stimuleer innovatie in digitale diensten en AI door het kader voor geautomatiseerde besluitvorming te versoepelen;
• Implementeer "privacy by design" in digitale diensten gericht op kinderen.
• Om de implementatie van een digitale identiteit mogelijk te maken,
• Vereenvoudig de regels met betrekking tot de politie en de inlichtingendiensten.

Sommigen wijzen echter op de risico's van deze hervormingen, en met name op de verzwakking van individuele rechten.

Op het gebied van geautomatiseerde besluitvorming wijzen ze bijvoorbeeld op het fiasco rond de eindexamens van 2020, waarbij een algoritme irrelevante cijfers toekende, en op de fouten in de fraudedetectietools van het Ministerie van Werk en Pensioenen (DWP) die tot talrijke schade voor de betrokkenen hebben geleid.

Het digitale identiteitsproject, dat begin oktober door de regering werd aangekondigd, heeft een storm van protest teweeggebracht. Miljoenen Britse burgers hebben een petitie ondertekend waarin ze eisen dat het project wordt ingetrokken.

De Britse regering dringt er al enkele jaren op aan om mechanismen in te voeren die toegang mogelijk maken tot de versleutelde inhoud van communicatie: het publieke debat richt zich op controversiële technische benaderingen zoals "client-side scanning".

Het is belangrijk op te merken dat de Europese Unie momenteel een verwant onderwerp bespreekt: het CSAR-voorstel, gericht op het voorkomen en bestrijden van seksueel misbruik van kinderen, staat op 14 oktober opnieuw op de agenda van de Europese Raad.

Dit voorstel, dat de mogelijkheid biedt om communicatie op de terminal van de gebruiker te scannen voordat deze wordt verzonden, wordt door veel wetenschappers en het maatschappelijk middenveld als zowel ineffectief als bijzonder gevaarlijk beschouwd voor fundamentele rechten en encryptie zelf.

De Europese Unie streeft er momenteel ook naar om het regelgevingskader voor gegevens te vereenvoudigen via haar "digitale omnibuspakket".

De Commissie heeft een oproep tot het indienen van bijdragen gelanceerd, die sluit op 14 oktober, over verschillende aspecten van de gegevenswetgeving, waaronder regels voor cookies en andere trackingtechnologieën, de melding van cyberbeveiligingsincidenten en bepaalde onderdelen van de wetgeving inzake kunstmatige intelligentie.

Wat de AVG betreft, gaat het bijvoorbeeld om kwesties zoals het beperken van de verplichting tot het bijhouden van een register tot organisaties met meer dan 500 werknemers, in plaats van de huidige limiet van 250. De Europese Unie betwist momenteel de kernprincipes van de verordening niet.

Aan beide zijden van het Kanaal hebben de aangekondigde voordelen voor de industrie betrekking op de verlaging van de nalevingskosten.

De kosten van de implementatie van de hervorming zelf, de kosten van fouten of geschillen en de kosten voor het consumentenvertrouwen zijn echter minder goed in kaart gebracht. Dit argument kwam ook naar voren tijdens de "implementatiedialoog" die medio juli door de Europese Commissie werd georganiseerd. De private sector gaf aan dat zij "had geïnvesteerd in naleving en dat een algemene heropening onzekerheid zou kunnen creëren, met name in de context van internationale gegevensoverdracht."

De verhouding tussen de voordelen en risico's van de Britse hervormingen en hun impact op internationale partnerschappen, en met name op het behoud van het adequaatheidsbesluit van het VK ten aanzien van de EU, blijft tot op heden onzeker.

Het ontwerpbesluit van de Europese Commissie over de adequaatheid van de beschermingsmaatregelen is echter voorstander van erkenning van het beschermingsniveau van het Verenigd Koninkrijk.

Het moet echter wel ter advies worden voorgelegd aan het Europees Comité voor gegevensbescherming en in de Raad worden besproken.

Laten we hopen dat de uiteindelijke beslissing bijzonder transparant zal zijn over de criteria die daarbij in aanmerking zijn genomen, gezien de daaruit voortvloeiende wijzigingen in de Britse wetgeving.

Dit lijkt essentieel om in de toekomst voldoende rechtszekerheid te garanderen voor zowel Europese bedrijven als bedrijven die buiten de EU gevestigd zijn.

 

      

Op 18 september 2025 heeft de CNIL het bedrijf Samaritaine SAS een boete van 100.000 euro opgelegd voor het verbergen van camera's in de opslagruimte van de winkel.

Deze camera's waren vermomd als rookmelders en konden geluid opnemen.

De CNIL heeft eraan herinnerd dat een werkgever in uitzonderlijke omstandigheden verborgen camera's mag installeren, mits er een eerlijk evenwicht wordt gevonden tussen het beoogde doel (de bescherming van eigendom en personen) en de bescherming van de privacy van werknemers.

Een dergelijk systeem zou bijvoorbeeld kunnen worden toegestaan, mits het tijdelijk is en wordt ingevoerd na een gedocumenteerde analyse van de compatibiliteit met de AVG en met het oog op uitzonderlijke omstandigheden.

In dit geval meldde het bedrijf weliswaar dat er diefstallen in de reserves hadden plaatsgevonden en legde het uit dat het systeem tijdelijk was, maar het voerde geen voorafgaande GDPR-nalevingsanalyse uit en documenteerde evenmin het tijdelijke karakter van de installatie.

De CNIL heeft ook diverse documenten gepubliceerd over het beheer van inactieve accounts voor professionals in de audiovisuele sector en de videogame-industrie, over videoapparatuur op scholen en over de geolocatie van kinderen.

De Nationale Vergadering heeft op 9 september in een speciale commissie het wetsvoorstel inzake cyberbeveiligingsveerkracht aangenomen. 

Philippe Latombe, voorzitter van de commissie, heeft een amendement laten aannemen dat end-to-end-encryptie in artikel 16 bis vastlegt: "Het is niet toegestaan aan aanbieders van encryptiediensten, waaronder gekwalificeerde vertrouwensdienstverleners, om technische hulpmiddelen te integreren die tot doel hebben de beveiliging van informatiesystemen en elektronische communicatie opzettelijk te verzwakken, zoals hoofdsleutels voor decryptie of enig ander mechanisme dat toegang tot beschermde gegevens zonder toestemming mogelijk maakt."

Deze tekst, die de Europese richtlijnen NIS2, DORA en REC in de Franse wetgeving omzet, moet leiden tot een aanzienlijke verbetering van het algemene niveau van cyberbeveiliging.

 

Europese instellingen en organen

Op 10 september hield Ursula von der Leyen een State of the Union-toespraak waarin ze herbevestigde dat Europa soeverein zou blijven in het bepalen van zijn eigen regels en normen, waarmee ze de trans-Atlantische kritiek verwierp.

Op dezelfde dag ondertekenden 39 Europese industrieleiders en brancheorganisaties de Europese Verklaring over AI en Technologie, waarin zij zich ertoe verbonden te investeren in de technologische soevereiniteit van Europa.

Mevrouw von der Leyen herhaalde de belangrijkste prioriteiten van de EU-strategie voor kunstmatige intelligentie (AI), waaronder de toekomstige regelgeving inzake cloud- en AI-ontwikkeling, het "Quantum Sandbox"-initiatief en aanzienlijke investeringen in Europese AI-gigafabrieken.

Toekomstige regelgeving inzake cloud- en AI-ontwikkeling zou maatregelen kunnen omvatten op het gebied van datasoevereiniteit en lokalisatie, in lijn met de toekomstige datastrategie van de Europese Unie.

De voorzitter van de Commissie benadrukte ook de doelstellingen van het vereenvoudigen van de Europese regelgeving en wees op recente hervormingsvoorstellen die van invloed kunnen zijn op de gegevensbescherming, zoals het verminderen van de verplichtingen met betrekking tot gegevensregisters en het stroomlijnen van de meldingsplicht bij incidenten in de digitale wetgeving.

Ten slotte ging ze in op de kwestie van de online veiligheid van kinderen en kondigde aan dat de commissie tegen het einde van het jaar deskundig advies zou inwinnen, mogelijk geïnspireerd door de Australische aanpak van beperkingen op sociale media.

De gegevensbeschermingsverordening (gegevenswet) is op 12 september 2025 in werking getreden.

Deze tekst geeft gebruikers van verbonden producten (bedrijven of particulieren die een dergelijk product bezitten, huren of leasen) meer controle over de gegevens die ze genereren, terwijl de stimulansen voor investeringen in datatechnologieën behouden blijven.

Het definieert tevens de algemene voorwaarden die van toepassing zijn op situaties waarin een bedrijf wettelijk verplicht is gegevens met een ander bedrijf te delen.

Het Europees Comité voor gegevensbescherming heeft richtlijnen gepubliceerd over de wisselwerking tussen de Verordening digitale diensten en de AVG. Deze richtlijnen liggen tot eind oktober open voor publieke raadpleging.

Het Europees Hof van Justitie heeft de Europese Commissie bevolen een schadevergoeding van € 50.000 te betalen aan een persoon die betrokken was bij een persbericht van het Europees Bureau voor Fraudebestrijding (OLAF).

Hoewel er in het persbericht geen naam werd genoemd, konden onderzoekers aan de hand van contextuele aanwijzingen worden geïdentificeerd. Het betreffende geval, OC tegen Commissie [C-479/22 P]Dit werd aangehaald in de recente zaak EDPS tegen SRB, die nu sterke reacties oproept met betrekking tot de reikwijdte van de identificeerbare aard van persoonsgegevens.

 

Nieuws uit de lidstaten van de Europese Unie.

In Duitsland heeft de Federale Arbeidsrechtbank geoordeeld dat een bedrijf de persoonsgegevens van zijn werknemers illegaal had overgedragen aan het moederbedrijf om personeelsmanagementsoftware te testen.

Deze overdracht kon niet worden gerechtvaardigd door een legitiem belang, aangezien fictieve gegevens voldoende zouden zijn geweest. De rechtbank kende de werknemer €200 schadevergoeding toe voor emotioneel leed.

In Oostenrijk heeft een rechtbank geoordeeld dat het recht op inzage in persoonsgegevens vervalt bij het overlijden van de betrokkene en niet overgaat op een rechtsopvolger. De rechtbank vernietigde daarmee een besluit van de gegevensbeschermingsautoriteit betreffende een schending van het recht op inzage na het overlijden van de betrokkene, dat in hoger beroep was behandeld.

De Oostenrijkse consumentenorganisatie VSV heeft een collectieve rechtszaak aangespannen tegen Meta in Oostenrijk en Duitsland. VSV eist een schadevergoeding van maximaal € 5.000 voor personen ouder dan 18 jaar. De rechtszaak betreft de professionele tools van Meta, die volgens VSV worden gebruikt voor "illegale surveillance" van het privéleven van gebruikers.

De Belgische autoriteit voor gegevensbescherming heeft de eigenaar van een studentenhuis een boete van € 9.700 opgelegd voor het illegaal in gebruik nemen van een videobewakingssysteem dat niet noodzakelijk was voor de bescherming van het pand of voor het controleren van de naleving van de huisregels en dat niet gebaseerd kon zijn op een rechtmatig belang of de uitvoering van het huurcontract.

Het Spaanse Agentschap voor Gegevensbescherming (APD) heeft een boete van € 1.800.000 opgelegd aan een bedrijf dat persoonsgegevens van zelfstandigen, verzameld door een overheidsinstantie, zonder wettelijke grondslag heeft verwerkt.

Zij was van mening dat, hoewel de Spaanse belastingdienst (AEAT) wettelijk gerechtigd was bepaalde gegevens aan de Kamer van Koophandel te verstrekken, de daaropvolgende overdracht aan het bedrijf Camerdata en het gebruik van deze gegevens voor commerciële en marketingdoeleinden geen geldige wettelijke basis had.

Het gerechtvaardigde belang dat het bedrijf aanvoerde, woog niet op tegen de risico's voor de rechten en vrijheden van de werknemers van wie de gegevens waren openbaar gemaakt.

In Estland kreeg farmaceutisch bedrijf Allium UPI een boete van € 3.000.000 opgelegd omdat het bedrijf geen adequate technische en organisatorische maatregelen had getroffen, zoals multifactorauthenticatie. Dit leidde tot een datalek waarbij 750.000 mensen, waaronder kinderen en kwetsbare groepen, werden getroffen.

In Finland heeft de APD een bank (S-Pankki Oyj) een boete van € 1.800.000 opgelegd omdat de bank onvoldoende technische en organisatorische maatregelen had getroffen met betrekking tot een nieuwe inlogfunctie in haar applicatie. Dit leidde ertoe dat klanten van de bank ongeautoriseerd toegang kregen tot de rekeningen van andere klanten.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft bepaald dat een klant van een bedrijf het recht heeft om haar toestemming voor het gebruik van haar afbeelding in de reclame van het bedrijf in te trekken. De autoriteit verduidelijkte dat toestemming kan worden ingetrokken ongeacht eventuele negatieve economische gevolgen voor de verantwoordelijke voor de gegevensverwerking.

Met een stemming in de Senaat op 17 september wordt Italië het eerste Europese land dat een wet over kunstmatige intelligentie aanneemt.

Na het vaststellen van het kader van algemene beginselen, besteedt de wet bijzondere aandacht aan cruciale sectoren zoals arbeid, gezondheid en justitie.

Het reguleert ook het gebruik van AI door minderjarigen en bevat strafbepalingen.

De Nederlandse Autoriteit Persoonsgegevens (AP) voert momenteel in samenwerking met de AP's van Italië, Luxemburg en Hongarije een onderzoek uit naar de wijze waarop connected tv's persoonsgegevens verwerken.

Het rapport merkt met name op dat verbonden tv's een aanzienlijke hoeveelheid data verzenden tijdens de installatie, het dagelijks gebruik, in de stand-bymodus en zelfs wanneer ze zijn uitgeschakeld, en dat ze functioneren in een ondoorzichtig internetecosysteem met verschillende partijen: fabrikanten, leveranciers van besturingssystemen, applicatieontwikkelaars, enz.

Hij wijst erop dat gebruikers vaak geen andere keuze hebben dan privacybeleid te accepteren en dat het moeilijk is om te achterhalen wie verantwoordelijk is voor de gegevensverwerking.

Vooraf geïnstalleerde applicaties (die soms onmogelijk te verwijderen zijn) roepen vragen op over dataminimalisatie en gebruikersrechten.

Na de lancering van Apertus AI, de Zwitserse open-source chat, is er een ander belangrijk open-source machine learning-model ontstaan dat wordt ondersteund door een publieke instelling in Europa: TildeOpen LLM.

Dit is een fundamenteel taalkundig model dat is ontworpen om de zwakheden van bestaande taalleermodellen te compenseren met betrekking tot Noordse en Oost-Europese talen, die momenteel ondervertegenwoordigd zijn.

Dit model met 30 miljard parameters is ontwikkeld met financiering van de Europese Commissie en getraind op de LUMI-supercomputer.

Deze twee modellen hebben aangekondigd dat ze voldoen aan de Europese regelgeving inzake kunstmatige intelligentie.

 

 

De 47e Algemene Vergadering over de Bescherming van de Persoonsgegevens, die afgelopen september in Seoul plaatsvond, bevestigde dat gegevensprivacy en -beveiliging cruciale vraagstukken zijn waar de wereld vandaag de dag mee te maken heeft.

Het jaarlijkse evenement brengt toezichthouders, bedrijven en organisaties van over de hele wereld samen.

Twintig gegevensbeschermingsautoriteiten hebben bij deze gelegenheid een gezamenlijke verklaring aangenomen om een betrouwbaar governancekader voor betrouwbare AI te creëren.

Ze pleiten ervoor om principes van gegevensbescherming vanaf de ontwerpfase te integreren, robuuste gegevensgovernance in te stellen en te anticiperen op risicobeheer.

De verklaring benadrukt tevens de toenemende complexiteit van de gegevensverwerking in deze context en onderstreept de diversiteit aan betrokken actoren, evenals de noodzaak van een regelgevingskader dat is aangepast aan de technologische vooruitgang.

In de Verenigde Staten heeft een "shutdown" aanzienlijke gevolgen voor de gegevensbescherming.

Sommige federale instanties zijn bijna volledig gesloten, waaronder de Federal Trade Commission (FTC), de belangrijkste instantie die verantwoordelijk is voor de handhaving van de privacywetgeving.

Binnen de FTC is het Bureau voor Consumentenbescherming het meest getroffen door de gedwongen ontslagen.

Behalve in gevallen waarin de schade als zeer ernstig wordt beschouwd, worden zaken betreffende consumentenbescherming opgeschort, ongeacht of het gaat om vooronderzoeken, administratieve procedures of rechtszaken bij federale rechtbanken.

Amerikaanse gebruikers van ChatGPT Plus, Pro en Free kunnen nu rechtstreeks kopen via het Etsy-verkoopplatform, en binnenkort zullen ook veel andere verkopers toegankelijk zijn.

Dit houdt in, zowel voor ChatGPT als voor andere AI-systemen met agenttechnologie, dat de gebruiker derden toegang geeft tot zijn of haar persoonlijke gegevens, en met name bankgegevens, met alle risico's voor datalekken die dat met zich meebrengt.