|
|
EDPB en EDPS publiceren gezamenlijke opinie over voorstel voor versoepeling AVG |
Op 8 juli 2025 hebben de European Data Protection Board (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) een gezamenlijke opinie 01/2025 gepubliceerd over het voorstel van de Europese Commissie (Commissie) van 21 mei 2025 tot wijziging van de AVG.
Het voorstel voorziet in een vrijstelling van de verplichting om een verwerkingsregister bij te houden voor organisaties met minder dan 750 werknemers. Ook vervalt de strikte verplichting om een verwerkingsregister bij te houden bij de verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens die volgt uit artikel 30 lid 5 AVG. Deze vrijstelling geldt niet indien verwerkingen een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengen.
De EDPB en de EDPS steunen het doel van het voorstel om de administratieve lasten voor kleinere organisaties te verlichten zolang dit niet ten koste gaat van de bescherming van persoonsgegevens. Zij benadrukken dat het voorstel geen afbreuk doet aan de kernbeginselen van de AVG, maar uiten wel zorgen over het ontbreken van een beoordeling van de gevolgen van het voorstel op de fundamentele rechten van burgers. De Commissie had expliciet moeten toetsen of de voorgestelde versoepeling proportioneel is in het licht van artikel 52 van het Handvest van de grondrechten van de EU, aldus de EDPB en EDPS.
Ook de Autoriteit Persoonsgegevens (AP) onderschrijft het streven naar minder regeldruk voor kleine en middelgrote organisaties, maar benadrukt dat dit niet mag leiden tot erosie van de bescherming van grondrechten. Gelet op hun bijzondere verantwoordelijkheid richting burgers pleit de AP er in navolging van de EDPB en de EDPS voor om overheidsorganisaties expliciet uit te sluiten van de vrijstelling op de plicht om een verwerkingsregister bij te houden. |
|
|
|
| |
|
AP publiceert Datalekkenrapportage 2024 |
Op 9 juli 2025 heeft de AP de datalekkenrapportage 2024 (het Rapport) gepubliceerd. Het Rapport laat een forse toename zien van het aantal gemelde datalekken als gevolg van cyberaanvallen, met name door ransomware.
In totaal zijn er in heel 2024 37.839 datalekken gemeld bij de AP. 18% van de gemelde datalekken (in totaal 6.837) waren het gevolg van een cyberaanval. De AP schat dat circa vijf miljoen mensen in 2024 slachtoffer zijn geworden van een cyberaanval.
De AP onderzocht 253 meldingen van organisaties die getroffen waren door ransomware, data-extractie met losgeldeis en malware. In 53% van de ransomware-incidenten werden daadwerkelijk persoonsgegevens gestolen, tegenover 24% in 2023. Bij organisaties die deelnamen aan een onderzoek van de AP lag dit percentage zelfs op 89%. De gestolen gegevens zijn vaak (financieel) gevoelige persoonsgegevens, paspoortkopieën en adresgegevens die na de aanval op het dark web worden gepubliceerd.
Daarnaast blijkt uit het rapport dat 42% van de gemelde cyberaanvallen bestond uit een account-takeover. Deze op zichzelf staande datalekken kunnen leiden tot verdere criminele aanvallen zoals ransomware of identiteitsfraude.
Het Rapport bevat ook een casus over een ransomware-aanval bij klantcommunicatiebedrijf AddComm, waarbij ruim 5.000 organisaties en 1,5 miljoen personen werden getroffen. De AP benadrukt het belang van ketenbewustzijn en het beperken van dataverwerking en bewaartermijnen om de impact van datalekken te verkleinen.
Als laatst constateert de AP dat veel organisaties onvoldoende voorbereid zijn op cyberdreigingen. In 40% van de onderzochte gevallen was er wel beleid tegen cyberaanvallen, maar werd dit niet of gebrekkig uitgevoerd. In 33% van de gevallen ontbrak dergelijk beleid in zijn geheel. Slechts 15% van de organisaties gaf aan dat de aanval ondanks adequaat beleid niet te voorkomen was. |
|
|
|
| |
|
AP publiceert Woo-besluit over cookiebanneronderzoek |
Op 15 juli 2025 heeft de AP een besluit onder de Wet Open Overheid (Woo) gepubliceerd over vijf afgeronde onderzoeken naar het gebruik van cookiebanners op websites. De AP besloot de eindbrieven van deze onderzoeken openbaar te maken met uitzondering van daarin genoemde persoonsgegevens en bedrijfsnamen.
De onderzoeken betroffen websites die via cookiebanners persoonsgegevens verwerkten zonder geldige toestemming in de zin van de AVG. In alle gevallen concludeerde de AP dat de cookiebanners zodanig waren vormgegeven dat van rechtsgeldige toestemming geen sprake was. Daarnaast werd in sommige gevallen vastgesteld dat cookies al werden geplaatst voordat toestemming was verkregen, wat eveneens in strijd is met de AVG.
Hoewel de AP in alle vijf de zaken constateerde dat de AVG was overtreden is in geen van de gevallen overgegaan tot het opleggen van een maatregel. De AP onderbouwt dit met het feit dat de overtredingen slechts van korte duur waren, inmiddels zijn beëindigd en de cookiebanners in overeenstemming met de AVG zijn gebracht. In de zienswijzen van de betrokken partijen werd bovendien aannemelijk gemaakt dat bepaalde cookies per ongeluk als “noodzakelijk” waren aangemerkt. Gelet op deze omstandigheden besloot de AP de handhavingstrajecten zonder maatregel te beëindigen.
De AP heeft ervoor gekozen de namen van de onderzochte organisaties niet openbaar te maken. Volgens de toezichthouder zou openbaarmaking kunnen leiden tot onevenredige benadeling van deze partijen, onder meer door reputatieschade. De AP acht dit niet proportioneel, mede omdat het niet ging om sanctiebesluiten maar om situaties waarin herstel is bereikt zonder verdere maatregelen. Deze afweging is gebaseerd op artikel 5.1.5 Woo.
Voor de praktijk benadrukt dit besluit het belang van een correcte inrichting van cookiebanners in overeenstemming met de AVG. Toestemming onder AVG is alleen geldig als deze vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Organisaties doen er goed aan hun cookiebanners en cookie classificatie regelmatig te toetsen, mede gezien de handhavingsprioriteit die de AP aan dit onderwerp blijft geven. |
|
|
|
| |
|
Europese Commissie neemt adequaatheidsbesluit Europees Octrooibureau |
Op 15 juli 2025 heeft de Commissie een adequaatheidsbesluit vastgesteld ten aanzien van de Europese Octrooi Bureau (EOB). Dit besluit maakt het mogelijk om persoonsgegevens vanuit de EU zonder aanvullende waarborgen door te geven aan het EOB. Het is de eerste keer dat een internationale organisatie, en niet een land buiten de EU, als adequaat wordt aangemerkt onder de AVG.
De Commissie baseert haar besluit op een uitgebreide analyse van het gegevensbeschermingskader van de EOB. Daarbij is beoordeeld of het niveau van bescherming “wezenlijk gelijkwaardig” is aan dat van de AVG, zoals vereist door het Hof van Justitie van de Europese Unie (HvJEU). De Commissie concludeert dat de EOB beschikt over een robuust en afdwingbaar stelsel van regels, waaronder de Data Protection Rules (DPR), die nauw aansluiten bij de AVG en Verordening (EU) 2018/1725. De DPR voorzien onder meer in rechten van betrokkenen, regels voor doorgifte van gegevens, onafhankelijke toezichtmechanismen en mogelijkheden tot rechtsbescherming.
Aanvullend blijkt uit het besluit dat het EOB specifieke beperkingen kent op het recht op gegevenswissing en rectificatie in het kader van het octrooiverleningsproces. Deze beperkingen zijn gebaseerd op het Europees Octrooiverdrag en worden door de Commissie als noodzakelijk en proportioneel beoordeeld voor de uitvoering van de publieke taak van het EOB.
Het EOB heeft daarnaast een eigen adequaatheidsbesluit vastgesteld waarin wordt erkend dat de EU een gelijkwaardig beschermingsniveau biedt. Deze wederzijdse erkenning versterkt de juridische zekerheid voor gegevensuitwisseling tussen het EOB en de lidstaten van de Europese Economische Ruimte (EER). Het besluit heeft directe werking en bindt de lidstaten en hun toezichthoudende autoriteiten. Periodieke herziening van het besluit zal plaatsvinden, ten minste elke vier jaar, waarbij de Commissie onder meer overleg voert met het EOB, de EDPB en nationale autoriteiten. |
|
|
|
| |
|
ESAs publiceren toezichtkader voor kritieke ICT-dienstverleners onder DORA |
Op 15 juli 2025 hebben de Europese toezichthouders op de DORA (ESAs) gezamenlijk de “Guide on DORA Oversight Activities” (DORA Gids) gepubliceerd.
De DORA Gids biedt een uitvoerige toelichting op het toezichtkader dat voortvloeit uit de DORA, specifiek gericht op kritieke ICT-dienstverleners die diensten leveren aan financiële instellingen binnen de EU.
De DORA Gids beschrijft de rol van Joint Examination Teams, die bestaan uit zowel medewerkers van ESAs als nationale toezichthouders en verantwoordelijk zijn voor de uitvoering van toezichtactiviteiten. Voor toezicht buiten de EU zijn aanvullende voorwaarden gesteld, waaronder toestemming van de betrokken derde-landautoriteit en het sluiten van samenwerkingsarrangementen. |
|
|
|
| |
|
Commissie opent openbare consultatie over Digital Fairness Act |
Op 17 juli 2025 heeft de Commissie de Digital Fairness Act (DFA) ter openbare consultatie voorgelegd. De DFA beoogt consumentenbescherming in de digitale omgeving te versterken door digitale oneerlijke handelspraktijken aan te pakken, waaronder het gebruik van dark patterns, misleidende influencer-marketing, verslavende design-keuzes voor digitale producten en oneerlijke personalisatiepraktijken.
De DFA vloeit voort uit de zogeheten “fitness check” van 2024, waarin de Commissie het EU-consumentenrecht in de digitale omgeving evalueerde. Uit deze evaluatie bleek dat de huidige wetgeving onvoldoende beschermt tegen nieuwe digitale manipulatiepraktijken en dat aanvullende wetgeving nodig is om de digitale markt eerlijker en transparanter te maken.
De Commissie overweegt onder meer een verbod op het gebruik van dark patterns die consumenten aanzetten tot ongewenste keuzes, zoals het onbedoeld afsluiten van abonnementen of het onbewust delen van persoonsgegevens. Ook worden strengere transparantieverplichtingen voor gepersonaliseerde aanbiedingen en aanbevelingssystemen overwogen.
De DFA beoogt een gelijk speelveld te creëren voor online handelaren, de handhaving te vergemakkelijken en bestaande regels te vereenvoudigen. De DFA wordt naar verwachting van de Commissie in het derde kwartaal van 2026 finaal aangenomen.
De consultatie voor de DFA staat tot 9 oktober open voor feedback van burgers, bedrijven, consumentenorganisaties en andere belanghebbenden. |
|
|
|
| |
|
Rechtbank Rotterdam stelt prejudiciële vragen aan HvJEU in Amazon-zaak |
Op 23 juli 2025 heeft de Rechtbank Rotterdam prejudiciële vragen gesteld aan het HvJEU in de zaak tussen Stichting Data Bescherming Nederland (SDBN) en Amazon.
De zaak betreft een collectieve actie op grond van de Wet afwikkeling massaschade in collectieve actie (WAMCA), waarin SDBN Amazon aansprakelijk stelt voor schendingen van de AVG ten behoeve van vijf miljoen Nederlandse Amazon-gebruikers. SDBN vordert onder meer schadevergoeding en een verbod op verdere verwerking van persoonsgegevens.
De rechtbank toetst of SDBN voldoet aan de ontvankelijkheidseisen van artikel 3:305a BW en artikel 1018c Rv, waaronder het statutenvereiste, het waarborgvereiste, en eisen inzake governance, transparantie en representativiteit. Centraal staat de vraag of de aanvullende ontvankelijkheidseisen in de WAMCA verenigbaar zijn met artikel 80 AVG op basis waarvan belangenorganisaties de mogelijkheid hebben om namens betrokkenen op te treden, met of zonder opdracht.
De rechtbank vraagt het HvJEU concreet of:
- Aanvullende eisen uit de WAMCA mogen worden gesteld aan belangenorganisaties die schadevergoeding ten behoeve van betrokkenen op grond van de AVG vorderen;
- De ontvankelijkheidsvereisten uit de WAMCA, met name de gelijksoortigheid en representativiteit, verenigbaar zijn met artikel 80 AVG;
- Uit het vereiste dat een organisatie “actief is” op het gebied van gegevensbescherming overeenstemt volgt dat belangenorganisaties een track record moet hebben;
- Het opt-out systeem uit de WAMCA in strijd is met artikel 80 lid 2 AVG; en
- Onder het begrip ‘opdracht’ uit de AVG enkel een voorafgaande expliciete volmacht mag worden verstaan of dat een impliciete instemming ook volstaat, mede gelet op de opt-out regels en waarborgen die de WAMCA kent.
De beantwoording van deze vragen is van groot belang voor collectieve acties op het gebied van privacy. De uitkomst zal duidelijkheid verschaffen over de mogelijkheden voor belangenorganisaties om zonder expliciete opdracht schadevergoeding te vorderen voor AVG-schendingen onder de WAMCA. Dit is relevant voor lopende procedures tegen onder andere TikTok, Oracle, Google en Adobe, die zijn aangehouden in afwachting van deze prejudiciële procedure. |
|
|
|
| |
|
|
