Title Text

In onze nieuwsbrief van juni vindt u de volgende onderwerpen:

Rechtbanken houden collectieve privacy acties aan in afwachting van prejudiciële vragen over AVG en WAMCA
EDPB geeft groen licht voor bindende bedrijfsvoorschriften (BCR) ASML en Signify
EDPB publiceert definitieve richtsnoeren over artikel 48 AVG: doorgiften aan autoriteiten in derde landen
Commissie opent consultatie voorstel Digital Networks Act
Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten uitgesteld tot tweede kwartaal van 2026

Rechtbanken houden collectieve privacy acties aan in afwachting van prejudiciële vragen over AVG en WAMCA

Op 28 mei 2025 heeft de Rechtbank Rotterdam een tussenuitspraak gedaan in de collectieve actie van Stichting Data Bescherming Nederland (SDBN) tegen Adobe Systems Software Ireland Limited en Adobe Inc (Adobe). SDBN stelt dat Adobe onrechtmatig persoonsgegevens van Nederlandse internetgebruikers heeft verwerkt. De stichting vordert onder meer een verklaring voor recht dat Adobe onrechtmatig heeft gehandeld, een verbod op verdere inbreuken en schadevergoeding voor de betrokkenen.

De rechtbank oordeelt dat zij bevoegd is om de zaak te behandelen en dat Nederlands recht van toepassing is. Vervolgens behandelt de rechtbank de ontvankelijkheidseisen van zowel de Algemene Verordening Gegevensbescherming (AVG) als de Wet afwikkeling massaschade in collectieve actie (WAMCA). De rechtbank stelt vast dat SDBN voldoet aan de ontvankelijkheidseisen van de AVG, maar niet aan de representativiteitseis van de WAMCA. Het aantal daadwerkelijk aangesloten of steunende personen is volgens de rechtbank te gering in verhouding tot de omvang van de gestelde groep gedupeerden. SDBN voldoet wel aan de overige waarborgvereisten van de WAMCA.

De rechtbank signaleert daarnaast dat er onduidelijkheid bestaat over de verhouding tussen de ontvankelijkheidseisen uit de AVG en de WAMCA. Ook is onduidelijk of een belangenorganisatie zonder specifieke opdracht schadevergoeding mag vorderen namens betrokkenen op grond van artikel 80 lid 2 AVG.

De zaak tegen Adobe staat niet op zichzelf; dezelfde vraagstukken spelen ook in de procedure tussen SDBN en Amazon. Uit het tussenvonnis in die zaak van 5 maart 2025 volgt dat de rechtbank prejudiciële vragen wil stellen aan het Hof van Justitie van de EU (HvJEU). In afwachting van de beantwoording van deze vragen houdt de Rechtbank Rotterdam de beslissing in de zaak tegen Adobe dan ook aan. In een vergelijkbare collectieve actie tegen Google heeft de Rechtbank Amsterdam op 19 mei 2025 haar beslissing aangehouden in afwachting op duidelijkheid van het HvJEU over de verhouding tussen de AVG en de WAMCA.

Tussenvonnis van de Rechtbank Rotterdam van 28 mei 2025

Tussenvonnis van de Rechtbank Rotterdam van 5 maart 2025

Tussenvonnis van de Rechtbank Amsterdam van 23 april 2025

EDPB geeft groen licht voor bindende bedrijfsvoorschriften (BCR) ASML en Signify

Op 4 juni 2025 heeft het Europees Comité voor gegevensbescherming (EDPB) de conceptbesluiten van de Autoriteit Persoonsgegevens (AP) goedgekeurd over de bindende bedrijfsvoorschriften (BCRs) van ASML Nederland B.V. en diens groepentiteiten (ASML), en van Signify Netherlands B.V. en diens groepentiteiten (Signify).

BCRs vormen een van de mechanismen waarmee multinationale organisaties persoonsgegevens kunnen doorgeven binnen hun concernstructuur aan groepsmaatschappijen buiten de Europese Economische Ruimte (EER). BCRs moeten voldoen aan de eisen van artikel 47 AVG, waaronder transparantie, afdwingbaarheid en effectieve rechten voor betrokkenen. Ook moeten de BCRs worden goedgekeurd door de bevoegde toezichthouder voordat een multinationale organisatie de BCRs kan gebruiken. Wanneer een nationale toezichthouder voornemens is om BCRs goed te keuren, moet de EDPB op grond van artikel 64 lid 1 onder f AVG een opinie uitbrengen over het conceptbesluit.

In beide gevallen concludeert de AP dat de BCRs van ASML en Signify voldoen aan de vereisten van de AVG. De EDPB bevestigt deze beoordeling in haar opinies en geeft daarmee groen licht voor de formele goedkeuring van de BCRs door de AP. Daarmee kunnen ASML en Signify persoonsgegevens doorgeven aan hun groepsmaatschappijen buiten de EER op grond van de BCRs, mits zij zich houden aan de daarin vastgelegde waarborgen.

Opinie van de EDPB over de BCRs van ASML

Opinie van de EDPB over de BCRs van Signify

EDPB publiceert definitieve richtsnoeren over artikel 48 AVG: doorgiften aan autoriteiten in derde landen

Op 5 juni 2025 heeft de EDPB de definitieve versie vastgesteld van de richtsnoeren 02/2024 over doorgiften van persoonsgegevens aan autoriteiten in derde landen (de Richtsnoeren). De Richtsnoeren richten zich op artikel 48 AVG en verduidelijken hoe organisaties kunnen beoordelen onder welke voorwaarden zij rechtmatig kunnen reageren op verzoeken van autoriteiten buiten de EER om persoonsgegevens te verstrekken.

De EDPB benadrukt dat rechterlijke uitspraken of besluiten van autoriteiten uit derde landen niet automatisch erkend worden of afdwingbaar zijn binnen de EER. In beginsel is een internationale overeenkomst tussen een derde land en een lidstaat of de EU als geheel vereist die zowel een rechtsgrond als een grondslag voor doorgifte biedt. Als zo’n overeenkomst ontbreekt of onvoldoende waarborgen bevat, kunnen andere rechtsgronden of uitzonderingen worden overwogen, maar uitsluitend in uitzonderlijke omstandigheden en op individuele basis.

De Richtsnoeren zijn inhoudelijk niet significant veranderd, maar bevatten wel verduidelijkingen naar aanleiding van de feedback tijdens de openbare consultatie. Zo wordt onder meer ingegaan op situaties waarin de ontvanger van een verzoek een verwerker is. Ook wordt nader toegelicht hoe omgegaan moet worden met verzoeken van autoriteiten aan een moedermaatschappij in een land buiten de EER, die vervolgens persoonsgegevens opvraagt bij haar Europese dochteronderneming.

De Richtsnoeren bieden daarmee praktische handvatten voor organisaties die te maken krijgen met grensoverschrijdende verzoeken om gegevensverstrekking en dragen bij aan een uniforme toepassing van artikel 48 AVG binnen de EU.

Lees hier de Richtsnoeren

Het persbericht van de EDPB

Commissie opent consultatie voorstel Digital Networks Act

Op 6 juni 2025 heeft de Europese Commissie (de Commissie) een openbare consultatie geopend over het voorstel voor de Digital Networks Act (DNA).

De DNA bouwt voort op het op 21 februari 2024 door de Commissie gepubliceerde White paper “How to master Europe’s digital infrastructure needs”. De DNA beoogt de toegang tot veilige, snelle en betrouwbare digitale verbindingen te verbeteren en zo de transitie naar cloudgebaseerde infrastructuren en kunstmatige intelligentie te ondersteunen.

De Commissie wil met de DNA ook belemmeringen voor grensoverschrijdende digitale activiteiten wegnemen, innovatie stimuleren en investeringen in de Europese elektronische communicatiesector bevorderen.

Het leveren van feedback en input is mogelijk tot 11 juli 2025. De definitieve publicatie van de DNA door de Commissie staat gepland voor eind 2025.

Lees hier de consultatie voor de DNA

Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten uitgesteld tot tweede kwartaal van 2026

Op 16 juni 2025 heeft het Ministerie van Justitie en Veiligheid (het Ministerie) de Tweede Kamer geïnformeerd dat het niet langer haalbaar is om de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in het derde kwartaal van 2025 in werking te laten treden. Beide wetten worden uitgesteld en zullen naar verwachting pas in het tweede kwartaal van 2026 in werking treden, afhankelijk van de voortgang van de parlementaire behandeling.

De Cyberbeveiligingswet vormt de Nederlandse implementatie van de NIS2-richtlijn, die tot doel heeft de cyberweerbaarheid van essentiële en belangrijke entiteiten binnen de EU te versterken. De Wet weerbaarheid kritieke entiteiten implementeert de CER-richtlijn en richt zich op de fysieke weerbaarheid van aanbieders van essentiële diensten, zoals energie, transport en drinkwatervoorziening.

Zolang de implementatiewetgeving nog niet in werking is getreden, zijn de verplichtingen uit de NIS2- en CER-richtlijnen niet rechtstreeks van toepassing in Nederland. Ook kan er nog geen handhaving plaatsvinden. Het Ministerie benadrukt echter dat organisaties er verstandig aan doen om zich alvast voor te bereiden op de aankomende verplichtingen, aangezien de risico’s waarop de richtlijnen zien zich nu al kunnen voordoen.

Nederland is niet het enige land dat de implementatietermijn niet heeft gehaald. Ook onder andere Duitsland, Frankrijk, Denemarken, Spanje en Oostenrijk hebben de richtlijnen nog niet volledig omgezet in nationale wetgeving.