Title Text

In onze nieuwsbrief van november vindt u de volgende onderwerpen:

AP: “Kredietverstrekkers mogen niet om volledige bankafschriften vragen”
AP publiceert aanbevelingen voor sterke verwerkersovereenkomsten bij cyberaanvallen
Europese Commissie presenteert voorstel voor Digitale Omnibus
Verplichte verstrekking e-mailadres onvoldoende voor kenbaarheid digitale bereikbaarheid

AP: “Kredietverstrekkers mogen niet om volledige bankafschriften vragen”

Op 4 november heeft de Autoriteit Persoonsgegevens (AP) geadviseerd tegen het voorstel om kredietverstrekkers het recht te verlenen om volledige bankafschriften op te vragen bij consumenten voor het beoordelen van de kredietwaardigheid van consumenten. Volgens de AP vormt dit een disproportionele inbreuk op de persoonlijke levenssfeer en is het in strijd met het beginsel van dataminimalisatie.

De aanleiding is een wetsvoorstel dat strengere regels introduceert voor consumentenkrediet, waaronder relatief kleine leningen en ‘koop nu, betaal later’-diensten. De AP benadrukt dat rekeningafschriften gevoelige informatie bevatten over onder meer politieke voorkeuren, gezondheid en religie. Het opvragen van alle gegevens en transacties in bankafschriften gaat volgens de AP verder dan noodzakelijk is om kredietwaardigheidsbeoordelingen uit te voeren en kan leiden tot gedragsbeïnvloeding van consumenten.

De AP adviseert kredietverstrekkers uitsluitend gegevens te verwerken die strikt noodzakelijk zijn en pleit voor privacyvriendelijke alternatieven, zoals het door banken laten opstellen van gestandaardiseerde rapportages waarin alleen relevante inkomsten- en uitgavencategorieën staan. Dit voorkomt dat organisaties meer gegevens verzamelen dan toegestaan en verkleint het risico op schending van de AVG.

Het standpunt van de AP vertoont veel gelijkenissen met de conclusies die de AP trok in haar boetebesluit tegen Experian vorige maand. Kredietverstrekkers moeten mogelijk hun processen herzien en goed in kaart brengen welke gegevens zij nodig hebben om de kredietwaardigheid van consumenten te beoordelen. De AP stelt voor dat kredietverstrekkers een gedragscode opstellen en die ter goedkeuring aan de AP voor te leggen.

Lees hier het persbericht

Lees en hier het advies van de AP

AP publiceert aanbevelingen voor sterke verwerkersovereenkomsten bij cyberaanvallen

Op 11 november heeft de AP drie aanbevelingen gepubliceerd om verwerkersovereenkomsten te versterken en zo de digitale weerbaarheid van organisaties bij cyberaanvallen te vergroten. Aanleiding hiervoor is een door de AP verricht onderzoek naar vijf grote incidenten bij dienstverleners, waarbij ruim 1.250 organisaties en naar schatting 10,5 miljoen personen werden getroffen.

Volgens de AP bevatten verwerkersovereenkomsten vaak geen duidelijke afspraken tussen verwerkingsverantwoordelijken en verwerkers. Dit belemmert een effectieve afhandeling van datalekken en vergroot de schade. Verwerkersovereenkomsten moeten onder meer bepalingen bevatten over de verwerking van persoonsgegevens, beveiligingsmaatregelen en meldplichten bij datalekken. De AP constateert dat veel verwerkersovereenkomsten niet verder gaan dan het herhalen van de wettelijke vereisten onder artikel 28 AVG, waardoor onduidelijkheid ontstaat over de rollen en verantwoordelijkheden van partijen.

De AP adviseert organisaties afspraken zo concreet mogelijk te maken, bijvoorbeeld over wie welke stappen zet bij een incident en hoe informatie-uitwisseling plaatsvindt. Daarnaast moeten organisaties grip houden op de gehele verwerkingsketen: ook bij uitbesteding blijft de verwerkingsverantwoordelijke immers aansprakelijk voor naleving van de AVG.

Tot slot benadrukt de AP dat het opstellen en actualiseren van verwerkersovereenkomsten meer prioriteit moet krijgen binnen organisaties. Regelmatige evaluatie van de gemaakte afspraken en bewustwording bij medewerkers zijn essentieel om afspraken actueel en effectief te houden.

Voor de praktijk betekent dit dat organisaties hun contractmanagement moeten aanscherpen en proactief onderhandelen over specifieke bepalingen in verwerkersovereenkomsten. Dit verkleint niet alleen de eigen juridische risico’s, maar draagt ook bij aan een snellere en gecoördineerde respons bij datalekken.

Lees hier het persbericht

Lees hier de aanbevelingen van de AP

Europese Commissie presenteert voorstel voor Digitale Omnibus

Op 19 november heeft de Europese Commissie (Commissie) het langverwachte voorstel voor de Digitale Omnibusverordening (Digitale Omnibus) gepubliceerd. De Digitale Omnibus bevat wijzigingen in een breed scala aan digitale wetgeving, waaronder de AVG, de Dataverordening, de AI-Verordening, de ePrivacy-Richtlijn en operationele weerbaarheidsregels zoals de DORA en de NIS2-Richtlijn.

Het hoofddoel van de Digitale Omnibus is harmonisatie van wettelijke kaders om juridische complexiteit en dubbele verplichtingen te verminderen. Zo worden bepalingen uit de Data Governance-Verordening en de Richtlijn hergebruik overheidsinformatie integraal opgenomen in de Dataverordening, waardoor één uniform kader ontstaat voor datatoegang en hergebruik van overheidsdata. Voor aanbieders van dataverwerkingsdiensten onder Dataverordening introduceert de Digitale Omnibus een lichter regime voor kleine en middelgrote ondernemingen, inclusief uitzonderingen op bepaalde verplichtingen uit de Dataverordening in het kader van het overstappen tussen aanbieders.

Een belangrijke aanpassing voor de praktijk is het “single-entry point” voor incidentmeldingen. Hiermee kunnen organisaties via één interface voldoen aan meldplichten onder verschillende kaders, waaronder de AVG, NIS2, DORA en eIDAS. Dit moet hun administratieve lasten aanzienlijk verlagen en consistentie in rapportages bevorderen. Het Agentschap van de Europese Unie voor Cyberbeveiliging (ENISA) zal het single-entry point moeten ontwikkelen.

Op het gebied van privacy bevat de Digitale Omnibus gerichte wijzigingen van de AVG. Zo wordt de definitie van persoonsgegevens gestroomlijnd met de recente uitspraak van het Hof van Justitie in de zaak SRB/EDPS, worden er lijsten op EU-niveau ontwikkeld van verwerkingen waar DPIAs wel en niet verplicht voor zijn, en worden de informatieverplichtingen bij laag-risicoverwerkingen versoepeld. Ook worden de regels voor cookies uit de ePrivacy-Richtlijn in de AVG ondergebracht, met ruimte voor machineleesbare toestemmingssignalen en een verplichting voor browsers om deze te ondersteunen. Verder wordt een verlenging van de termijn voor het melden van datalekken naar 96 uur voorgesteld.

Omdat er op dit moment nog geen toereikende middelen zijn die de naleving ervan ondersteunen stelt de Commissie voor om de verplichtingen voor hoog-risico AI-systemen met maximaal 16 maanden uit te stellen. Ook is een uitzondering op het verwerkingsverbod van bijzondere categorieën persoonsgegevens voor de ontwikkeling van AI-systemen geïntroduceerd, en wordt expliciet erkend dat de verwerking van persoonsgegevens in de context van ontwikkeling en het beheer van AI-systemen of AI-modellen op grond van het gerechtvaardigd belang kan plaatsvinden, mits aan alle criteria wordt voldaan.

Het voorstel bevat ingrijpende veranderingen en heeft daarom de nodige kritiek gekregen. Zo introduceert het een lichter regime voor middelgrote ondernemingen (tot 750 werknemers en een jaaromzet van maximaal €150 miljoen of een jaarlijkse balans van maximaal €129 miljoen). Dit zou ertoe leiden dat een groot deel van de Europese ondernemingen onder deze versoepelde regels valt, wat vragen oproept over het waarborgen van een gelijk speelveld en de bescherming van persoonsgegevens. In de komende maanden zal er op EU politiek niveau worden onderhandeld over het Commissie voorstel. De bedoeling is dat de Digitale Omnibus voor de zomer van 2026 van toepassing wordt.

Lees hier het persbericht van de Commissie

Lees hier het voorstel voor wijziging van de AI-Verordening

Lees hier het voorstel voor wijziging van de AVG, Dataverordening, DORA, eIDAS en NIS2

Verplichte verstrekking e-mailadres onvoldoende voor kenbaarheid digitale bereikbaarheid

Op 21 november heeft de Hoge Raad zijn arrest gewezen in een geschil over het invullen van een e-mailadres in een verplicht veld van een online bezwaarschriftformulier. Centraal stond de vraag of het verplicht verstrekken van een e-mailadres gelijkstaat aan het kenbaar maken dat een geadresseerde via elektronische weg bereikbaar is in de zin van artikel 2:14 Awb.

De zaak betrof naheffingsaanslagen parkeerbelasting van de gemeente Leiden. De belanghebbende had bezwaar gemaakt via een digitaal contactformulier en daarbij verplichte velden ingevuld, waaronder ook het verzoek om zijn e-mailadres. De heffingsambtenaar verzond de uitspraken op bezwaar per e-mail naar dit adres. Toen belanghebbende later opnieuw bezwaar maakte, verklaarde de heffingsambtenaar dit niet-ontvankelijk en oordeelde de rechtbank dat de beroepstermijn was verstreken, omdat de uitspraken op bezwaar op 11 november 2022 per e-mail waren bekendgemaakt.

De belanghebbende ging in verzet tegen het vonnis van de rechtbank stellend dat hij de uitspraken op bezwaar niet had ontvangen. Hij stelde dat hij geen toestemming had gegeven aan de heffingsambtenaar om de uitspraken per e-mail te sturen, en dat uit het invullen van een verplicht veld in het contactformulier dergelijke toestemming niet kon worden afgeleid.

Volgens artikel 2:14 Awb kan een bestuursorgaan berichten elektronisch verzenden voor zover de geadresseerde kenbaar heeft gemaakt dat zij voldoende bereikbaar is via deze methode. Deze kenbaarheid kan “meer of minder uitdrukkelijk” plaatsvinden, zo lang duidelijk is voor welke berichten of berichtenuitwisseling dit geldt, via welke elektronische weg de geadresseerde hiervoor open staat en op welk (elektronisch) adres hij bereikbaar is. Bovendien kan een bestuursorgaan expliciet aan de geadresseerde vragen of deze bereikbaar is via elektronische wegen bereikbaar is en of deze de communicatie via die weg voort wenst te zetten. Een voorbeeld in de praktijk is de Berichtenbox waar burgers kunnen aanvinken van welke bestuursorganen zij elektronische communicatie willen ontvangen.

Volgens de Hoge Raad is het feit dat een e-mailadres bij het bestuursorgaan bekend is onvoldoende om aan te nemen dat de belanghebbende via deze weg bereikbaar is. Ook het feit dat een belanghebbende een elektronisch verzoek indient en daarbij zijn e-mailadres opgeeft, is onvoldoende. De Hoge Raad acht daarbij relevant dat het formulier niet vermeldt dat de belanghebbende door invulling van het verplichte veld er akkoord meegaat dat de communicatie over een bezwaarprocedure via e-mail plaatsvindt. Ook het feit dat het formulier stelt dat de ontvangstbevestiging per e-mail naar het opgegeven e-mailadres wordt gestuurd doet hier niet aan af. De Hoge Raad acht het verzet gegrond en verwijst de zaak terug naar de rechtbank voor verdere behandeling.

Het arrest is ook relevant in de context van verplichte standaardvelden voor bepaalde gegevens. Uit het arrest van het Hof van Justitie in de zaak Mousse van januari 2025 blijkt dat verplichte velden voor persoonsgegevens enkel toegestaan zijn als deze objectief noodzakelijk zijn. Alhoewel de Hoge Raad hierover zwijgt, kan in deze zaak getwijfeld worden of een verplicht veld voor het e-mailadres überhaupt geoorloofd was vanuit het beginsel van dataminimalisatie.

Lees hier het arrest van de Hoge Raad

Contact

Marc Elshof
advocaat | partner

T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl

Job Julicher
advocaat

T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl

Julius Louter
advocaat

T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl

BarentsKrans

Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl

Volg ons ook op LinkedIn

Profiel wijzigen

Afmelden