Title Text

In onze nieuwsbrief van oktober vindt u de volgende onderwerpen:

Meta schendt de Digital Services Act met geprofileerde aanbevelingssystemen
Immateriële schadevorderingen tegen TikTok toch voldoende gelijksoortig en ontvankelijk
Verzoek opleggen mededelingenverbod over interne moderatiegegevens X afgewezen
Europese Commissie en EDPB publiceren richtsnoeren over samenloop DMA – AVG
Experian krijgt boete voor schending AVG bij opstellen kredietwaardigheidsrapporten

Meta schendt de Digital Services Act met geprofileerde aanbevelingssystemen

Op 2 oktober 2025 heeft de voorzieningenrechter van de rechtbank Amsterdam uitspraak gedaan in een zaak tussen Stichting Bits of Freedom (BoF) en Meta Platforms Ireland Ltd. (Meta). Het kort geding was aangespannen door BoF, die stelde dat Meta de Digital Services Act (DSA) schendt door de functionaliteit voor een chronologische of niet-geprofileerd aanbevelingssysteem (Feed) moeilijk vindbaar te maken op Facebook en Instagram en deze keuze niet duurzaam te registreren.

Artikel 25 DSA verbiedt het gebruik van “dark patterns” die de autonomie van gebruikers ondermijnen. Artikel 27 lid 3 DSA vereist dat online platformgebruikers via een rechtstreeks en gemakkelijk toegankelijke functionaliteit op ieder moment moeten kunnen kiezen voor een chronologische of niet-geprofileerde Feed. Bij zeer grote online platforms moet er op grond van artikel 38 DSA ten minste één niet-geprofileerde optie worden aangeboden.

De voorzieningenrechter oordeelt dat de keuzemogelijkheid voor een niet-geprofileerde Feed op Instagram en Facebook niet rechtstreeks en gemakkelijk toegankelijk is. In de Androidversie van Instagram was op geen enkele manier duidelijk dat deze functionaliteit te bereiken was door op het logo te klikken. In de ‘reels’ was de mogelijkheid voor een niet-geprofileerde versie verscholen achter willekeurige door de gebruiker te verrichten handelingen, waardoor deze niet voldoen aan artikel 27 lid 3 DSA. Bij Facebook was de functionaliteit om een niet-geprofileerde Feed op de startpagina te krijgen onder verschillende lagen van het menu verscholen. De reels-sectie van Facebook is in strijd met artikel 38 DSA omdat er überhaupt geen niet-geprofileerde versie beschikbaar is voor gebruikers.

De voorzieningenrechter kwalificeert het niet opslaan en automatisch terugdraaien van de keuze van gebruikers voor een niet-geprofileerde Feed als verboden dark pattern. De keuze van gebruikers moet ‘persistent’ zijn, dat wil zeggen dat de gemaakte keuze behouden moet blijven totdat de gebruiker dit besluit zelf weer wijzigt. Gebruikers van Facebook en Instagram moeten daarentegen bij ieder opstarten of heropenen van de apps en/of websites opnieuw hun keuze voor een niet-geprofileerde Feed aangeven. Dit leidt tot keuzemoeheid en vormt een wezenlijke verstoring van de autonomie van gebruikers, aldus de voorzieningenrechter.

Meta moet binnen twee weken na de uitspraak haar websites en apps aanpassen zodat de keuzes van gebruikers voor een niet-geprofileerde Feed rechtstreeks en gemakkelijk toegankelijk zijn en onthouden worden. Aan de veroordeling is een dwangsom verbonden van €100.000 per dag met een maximum van €5.000.000. Meta heeft de rechtbank inmiddels gevraagd om een uitstel tot eind januari 2026.

Lees hier de volledige uitspraak

Immateriële schadevorderingen tegen TikTok toch voldoende gelijksoortig en ontvankelijk

Op 7 oktober 2025 heeft het gerechtshof Amsterdam een tussenarrest gewezen in de WAMCA-zaak tegen TikTok. Het hof oordeelt dat de immateriële schadevorderingen voldoen aan het bundelbaarheidsvereiste van artikel 3:305a lid 1 BW en dus inhoudelijk in een WAMCA-procedure kunnen worden behandeld.

De rechtbank Amsterdam had eerder geoordeeld dat de immateriële schadevorderingen te afhankelijk van de omstandigheden van individuele gebruikers en dus onvoldoende bundelbaar zouden zijn. Daarmee kwam de rechtbank tot de conclusie dat de stichtingen niet-ontvankelijk waren in hun immateriële schadevorderingen.

Het hof verwerpt deze benadering. Volgens het hof is niet vereist dat de schade voor alle leden van de achterban identiek is in omvang of ernst. De bundelbaarheid van de vorderingen hangt daarentegen juist af van de vraag of de vorderingen voldoende gelijksoortig zijn om in één procedure te worden behandeld. Deze benadering heeft het hof Amsterdam al eerder bevestigd in zijn arrest in de WAMCA-zaak tegen Oracle/Salesforce.

De immateriële schadevorderingen tegen TikTok zijn volgens het hof gebaseerd op dezelfde normschendingen en hetzelfde feitencomplex. De rechtsvragen en gebeurtenissen zijn voor alle gebruikers gelijk. Daarmee is voldaan aan de vereisten van bundelbaarheid van de immateriële schadevorderingen. De beoordeling van de toewijsbaarheid van de immateriële schadevorderingen tegen TikTok zal plaatsvinden in de inhoudelijke fase van de procedure.

Lees hier de volledige uitspraak

Verzoek opleggen mededelingenverbod over interne moderatiegegevens X afgewezen

Op 7 oktober 2025 heeft het gerechtshof Amsterdam een beschikking gegeven in het hoger beroep tussen X, voorheen Twitter, en een gebruiker van het platform over de reikwijdte van het inzageverzoek onder de AVG.

Bij vonnis van de rechtbank Amsterdam van 4 juli 2024 is X bevolen om de gebruiker volledige inzage te geven in de interne moderatiegegevens van het systeem Guano (Guano Notes). Guano is een chronologisch overzicht van alle moderatieacties die tegen een X- account zijn genomen.

In dit hoger beroep heeft X het hof verzocht de gebruiker een mededelingenverbod over de inhoud van de Guano Notes op te leggen. X voert aan dat de Guano Notes bedrijfsgevoelige informatie bevatten die beschermd is op grond van de Wet bescherming bedrijfsgeheimen. Volledige inzage in de Guano Notes zou bovendien de rechten en vrijheden van derden in gevaar brengen en tot het risico leiden dat de beveiligingssystemen van X worden omzeild.

Het hof wijst het verzoek van X tot een mededelingenverbod af. In plaats daarvan verplicht zij X om volledige inzage van de Guano Notes aan het hof te verstrekken zodat zij kan bepalen of er inderdaad bedrijfsgeheimen zijn die X niet met de gebruiker hoeft te delen. Deze maatregel biedt volgens het hof voldoende bescherming van de door X gestelde bedrijfsgeheimen zonder de gebruiker te belasten met de negatieve gevolgen van een mededelingenverbod.

Deze uitspraak bevestigt dat inzageverzoeken ook gevoelige interne gegevens kunnen bevatten, mits de belangen van de verwerkingsverantwoordelijke en de betrokkene zorgvuldig worden afgewogen. Een voorafgaande beoordeling door een gerechtelijke instantie biedt voldoende bescherming voor balans tussen het recht op bescherming van bedrijfsgegevens en het recht op inzage in de persoonsgegevens.

Lees hier de volledige uitspraak

Europese Commissie en EDPB publiceren richtsnoeren over samenloop DMA – AVG

Op 9 oktober 2025 hebben de Europese Commissie (Commissie) en de European Data Protection Board (EDPB) gezamenlijke richtsnoeren over de verhouding tussen de Digitalemarktenverordening (DMA) en de AVG (de Richtsnoeren) ter consultatie gepubliceerd. De Richtsnoeren zijn bedoeld om een consistente en coherente toepassing van beide wetten te bevorderen, in het bijzonder wanneer er sprake is van samenloop tussen de DMA en de AVG.

Waar de DMA de doelstelling heeft om eerlijke en concurrerende digitale markten te waarborgen door verplichtingen op te leggen aan grote platformdiensten die als poortwachters tussen bedrijven en eindgebruikers dienen (Gatekeepers), is het doel van de AVG om een hoog niveau van bescherming te bieden aan natuurlijke personen bij de verwerking van persoonsgegevens. De Richtsnoeren benadrukken dat alhoewel beide wetten dus verschillende doelen nastreven, ze elkaar aanvullen en dat de naleving van de één bijdraagt aan het realiseren van de doelen van de ander.

De Richtsnoeren behandelen onder meer het verbod voor Gatekeepers om zonder geldige toestemming persoonsgegevens van gebruikers van andere diensten te combineren, kruisgebruiken of verwerken voor advertentiedoeleinden. Hierbij wordt expliciet verwezen naar de definitie van, en de vereisten voor, geldige toestemming onder de AVG. Gatekeepers moeten eindgebruikers de keuze voor een minder gepersonaliseerde maar gelijkwaardige dienst aanbieden, en mogen toestemming niet binnen een jaar na weigering of intrekking opnieuw opvragen.

Ook wordt ingegaan op de plicht voor Gatekeepers om effectieve, kosteloze en real-time dataportabiliteit mogelijk te maken voor eindgebruikers en door hen gemachtigde derden. Deze plicht gaat verder dan het AVG-recht op dataportabiliteit omdat zij ongeacht de grondslag van de verwerking geldt en Gatekeepers continue real-timetoegang moeten geven tot zowel door gebruikers zelf verstrekte, als on-device gegevens.

Verder wordt in de Richtsnoeren aandacht besteed aan het recht op toegang tot data voor zakelijke gebruikers en hun verwerkers, inclusief persoonsgegevens van eindgebruikers. Deze toegang moet via gebruiksvriendelijke interfaces worden gefaciliteerd en mag alleen plaatsvinden met voorafgaande toestemming van de eindgebruiker.

Geïnteresseerden kunnen tot 4 december 2025 input en feedback leveren op de Richtsnoeren. De Richtsnoeren zullen naar verwachting in 2026 definitief worden aangenomen.

Lees hier het persbericht van de EDPB

Lees hier de Richtsnoeren

Experian krijgt boete voor schending AVG bij opstellen kredietwaardigheidsrapporten

Op 16 oktober 2025 heeft de Autoriteit Persoonsgegevens (AP) een besluit gepubliceerd waarin Experian Nederland B.V. (Experian) een boete van €2.700.000 wordt opgelegd voor schendingen van de AVG. De AP oordeelt dat Experian onvoldoende informatie gaf aan betrokkenen over haar verwerkingen en deze ten onrechte baseerde op de grondslag gerechtvaardigd belang.

Tot 1 januari 2025 verwerkte Experian persoonsgegevens van consumenten in het kader van haar dienst “Credit Check”. Bij deze dienst maakte Experian kredietwaardigheidsrapporten van consumenten op verzoek van haar klanten zoals telecombedrijven, webwinkels of verhuurders. Deze rapporten bevatten kredietscores over consumenten die de klanten gebruikten om te besluiten of en hoe consumenten hun producten of diensten mochten kopen.

Experian moest als verwerkingsverantwoordelijke de betrokkenen in overeenstemming met artikel 14 AVG informeren. De verwerkingsverantwoordelijke moet kunnen aantonen dat en op welke manier zij aan haar transparantieverplichting voldoet. De AP benadrukt daarbij dat verwerkingsverantwoordelijken er actief voor moeten zorgen dat de informatie bij de betrokkene terecht komt of de betrokkene naar deze informatie moeten leiden. Voorkomen moet worden dat de betrokkene zelf op zoek moet gaan naar deze informatie. Volgens de AP heeft Experian onvoldoende aangetoond dat zij hieraan heeft voldaan.

Daarnaast kon Experian geen beroep doen op het gerechtvaardigd belang. De verwerking van bepaalde gegevens was namelijk niet strikt noodzakelijk voor het opstellen van kredietwaardigheidsrapporten, waardoor de verwerking niet voldoet aan het tweede criterium van artikel 6 lid 1 onder f AVG.

Ook aan het derde criterium van artikel 6 lid 1 onder f AVG werd niet voldaan. De verwerking van gegevens door Experian en de daaruit voortvloeiende negatieve kredietscore kan de belangen van de betrokkenen ernstig schaden en de uitoefening van diens vrijheden aanzienlijk moeilijker maken. Dit geldt met name voor niet-openbare gegevens zoals negatieve betaalregistraties. De AP stelt dat consumenten op het tijdstip van verzameling in redelijkheid niet hoeven te verwachten dat hun financiële gegevens vervolgens ook worden verwerkt door een derde om kredietwaardigheidsrapporten op te stellen. Hierbij acht de AP het relevant dat er geen directe verhouding tussen Experian en de betrokkenen bestond.

Noemenswaardig is dat de AP de door Experian aangevoerde belangen van de consumenten om zichzelf tegen overkreditering en problematische schulden te beschermen en het maatschappelijk belang om dit te voorkomen niet als gerechtvaardigde belangen aanmerkt. Daarbij stelt de AP dat de betrokkenen en de maatschappij geen derden zijn in de context van de AVG, waardoor artikel 6 lid 1 onder f AVG niet van toepassing is.

Lees hier het persbericht

Lees hier het besluit van de AP

Contact

Marc Elshof
advocaat | partner

T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl

Job Julicher
advocaat

T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl

Julius Louter
advocaat

T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl

BarentsKrans

Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl

Volg ons ook op LinkedIn

Profiel wijzigen

Afmelden