Title Text

In onze nieuwsbrief van december vindt u de volgende onderwerpen:

Exploitant onlinemarktplaats is verwerkingsverantwoordelijke voor gegevens advertenties
AP start controles op databeveiliging in de zorg
EDPB publiceert aanbevelingen verplichte gebruikersaccounts e-commerce sector
Verordening procedurele regels handhaving AVG gepubliceerd
AP waarschuwt voor doorgiftepraktijken van TikTok naar China

Exploitant onlinemarktplaats is verwerkingsverantwoordelijke voor gegevens advertenties

Op 2 december 2025 heeft het Hof van Justitie van de Europese Unie (HvJEU) arrest gewezen in een zaak over de rol van exploitanten van onlinemarktplaatsen onder de AVG bij advertenties die persoonsgegevens bevatten.

De zaak betrof een Roemeense onlinemarkplaats waarop een derde een misleidende advertentie plaatste waarin werd gesuggereerd dat een vrouw seksuele diensten aanbood. De advertentie was zonder haar toestemming gepubliceerd en bevatte met foto’s en contactgegevens van de vrouw. De advertentie werd van het platform verwijderd nadat de vrouw melding gemaakt had, maar de advertentie was op dat moment al overgenomen op andere websites.

Het HvJEU benadrukt dat de advertentie persoonsgegevens bevatte en, voor zover zij betrekking hebben op seksueel gedrag, zelfs bijzondere categorieën persoonsgegevens bevatte in de zin van artikel 9 lid 1 AVG. De publicatie van dergelijke gegevens is in beginsel verboden, tenzij een uitzondering van toepassing is in de zin van artikel 9 lid 2 AVG, zoals uitdrukkelijke toestemming van de betrokkene.

Het HvJEU oordeelt dat een exploitant van een onlinemarktplaats waarop advertenties gepubliceerd kunnen worden die persoonsgegevens bevatten als gezamenlijke verwerkingsverantwoordelijke met de adverteerder kwalificeert. Zij moet zodoende de rechtmatigheid van die verwerking in lijn met de AVG waarborgen. Dat houdt volgens het HvJEU in dat de exploitant vóór publicatie van een advertentie op diens platform moet nagaan of de advertentie bijzondere categorieën persoonsgegevens bevat, en zo ja, of de adverteerder ook de betrokkene zelf is. Als dit niet het geval is, moet de publicatie worden geweigerd, tenzij de adverteerder kan bewijzen dat de betrokkene uitdrukkelijk toestemming heeft gegeven voor plaatsen ervan.

Volgens het HvJEU kunnen platformexploitanten zich niet beroepen op de aansprakelijkheidsbeperkingen uit de artikelen 12 tot en met 15 van de e-commerce Richtlijn voor zover zij hun verplichtingen uit de AVG niet naleven. De bescherming die met e-commerce Richtlijn beoogd wordt mag namelijk hoe dan ook geen afbreuk doen aan de vereisten uit de AVG.

Naar aanleiding van dit arrest (dat gezien de verstrekkende gevolgen de nodige stof heeft doen opwaaien) zullen exploitanten van onlinemarktplaatsen moeten bepalen of en hoe zij voorafgaande controles en identiteitsverificatie mogelijk kunnen maken en effectieve beveiligingsmaatregelen te implementeren. Het niet naleven van deze verplichtingen kan leiden tot aansprakelijkheid en schadeclaims.

Lees hier het arrest van het Hof

AP start controles op databeveiliging in de zorg

Op 3 december 2025 heeft de Autoriteit Persoonsgegevens (AP) aangekondigd dat zij de komende maanden steekproefsgewijs zorgaanbieders zal bezoeken om te controleren hoe zij omgaan met medische persoonsgegevens van patiënten. De AP zal tijdens deze bezoeken niet alleen de naleving van de AVG controleren, maar ook voorlichting geven over hoe deze naleving het beste kan worden gewaarborgd. De AP richt zich met name op ziekenhuizen, huisartsenposten en andere zorginstellingen.

Aanleiding voor deze controles is het grote aantal datalekken in de zorgsector. In 2024 ontving de AP ruim 6.800 meldingen van datalekken afkomstig van organisaties in de gezondheidszorg. De sector vormt bovendien een aantrekkelijk doelwit voor cybercriminelen, die regelmatig dreigen gevoelige informatie te publiceren of te verkopen als er geen losgeld wordt betaald. Een recent voorbeeld is de hack bij het laboratorium Clinical Diagnostics, dat medische gegevens verwerkte voor bevolkingsonderzoeken.

De AP constateert dat veel zorgorganisaties hun beveiliging nog niet op orde hebben en dat het regelmatig misgaat bij het uitwisselen van patiëntgegevens. Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens en vereisen zodoende extra bescherming en waarborgen. Zorgaanbieders moeten ervoor zorgen dat alleen behandelaars en bevoegde medewerkers toegang hebben tot medische dossiers en dat deze toegang actief wordt gecontroleerd. Daarnaast moeten zij passende technische en organisatorische maatregelen treffen om deze persoonsgegevens te beveiligen tegen onrechtmatige toegang door onbevoegden en andere datalekken.

Voor zorgaanbieders betekent dit dat zij hun beveiligingsbeleid en de genomen maatregelen kritisch moeten evalueren en waar nodig aanscherpen. Het niet naleven van de AVG kan leiden tot aanzienlijke risico’s voor patiënten en tot handhavingsmaatregelen, waaronder boetes. De AP benadrukt dat naleving van de wettelijke normen niet vrijblijvend is en dat zij organisaties wil helpen om verbeteringen door te voeren die de naleving ten goede komen.

Lees hier het persbericht van de AP

EDPB publiceert aanbevelingen verplichte gebruikersaccounts e-commerce sector

Op 3 december 2025 heeft het Europees Comité voor Gegevensbescherming (EDPB) aanbevelingen ter consultatie gepubliceerd over het verplicht stellen van gebruikersaccounts binnen de e-commerce sector. De aanbevelingen verduidelijken wanneer het wel en niet is toegestaan om consumenten te verplichten een account aan te maken voordat zij producten of diensten online kunnen kopen.

De EDPB constateert dat verwerkingsverantwoordelijken in de e-commercesector het verplicht stellen om een account aan te maken vaak baseren op de uitvoering van een overeenkomst, de naleving van een wettelijke plicht of een gerechtvaardigd belang. In de praktijk voldoet de verwerking van accountgegevens echter meestal niet aan het noodzakelijkheidvereiste voor een geslaagd beroep op deze grondslagen.

Alleen in specifieke gevallen, zoals bij abonnementen of het verkrijgen van toegang tot exclusieve aanbiedingen, kan het verplicht aanmaken van een account noodzakelijk zijn voor de uitvoering van de overeenkomst. Voor eenmalige aankopen kan de verwerking van persoonsgegevens ook worden uitgevoerd zonder een account, bijvoorbeeld door middel van een gastmodus.

Het EDPB benadrukt dat het verplicht stellen van een account aanzienlijke privacy risico’s meebrengt, waaronder de langdurige opslag van persoonsgegevens, een verhoogd risico op datalekken, en ongeoorloofde tracking en profilering. Door deze risico’s voort te laten bestaan kunnen e-commercehandelaren de beginselen van gegevensminimalisatie en opslagbeperking en de verplichtingen voor privacy by default en privacy by design schenden, aldus de EDPB.

De EDPB adviseert om klanten altijd een keuze aan te bieden tussen het aanmaken van een account, of het doen van een aankoop als gast. Dit is de meest privacyvriendelijke optie en draagt bij aan transparantie en naleving van de AVG, aldus de EDPB.

Belanghebbenden kunnen tot 12 februari 2026 reageren en feedback geven op het concept van de EDPB.

Lees hier de aanbevelingen van de EDPB

Zie hier de consultatie

Verordening procedurele regels handhaving AVG gepubliceerd

Op 12 december 2025 is Verordening (EU) 2025/2518 tot vastlegging van aanvullende procedureregels betreffende de handhaving van de AVG gepubliceerd in het Publicatieblad van de Europese Unie (de Verordening). De Verordening introduceert uniforme procedures voor de handhaving van de AVG bij grensoverschrijdende verwerkingen.

De nieuwe regels vullen de bestaande regels voor samenwerking en coherentie tussen toezichthouders uit artikelen 60 tot en met 66 AVG aan. Het doel is om de samenwerking tussen nationale toezichthouders en de EDPB te verbeteren en de rechtszekerheid voor betrokkenen en verwerkingsverantwoordelijken te vergroten.

De Verordening bevat onder meer termijnen voor de behandeling van klachten en de uitwisseling van informatie tussen toezichthouders onderling. Klachten moeten binnen zes weken worden doorgestuurd naar de leidende toezichthouder. Een ontwerpbesluit moet binnen vijftien maanden worden voorgelegd door de leidende toezichthouder aan de overige betrokken toezichthouders. Voor complexe zaken kan deze termijn met maximaal twaalf maanden worden verlengd.

Ook introduceert de Verordening een procedure voor vroegtijdige afhandeling van klachten wanneer de vermeende inbreuk is beëindigd, en een vereenvoudigde samenwerkingsprocedure voor minder complexe onderzoeken.

De Verordening bevat ook waarborgen voor het recht om te worden gehoord. Partijen moeten voorafgaand aan een definitief besluit hun standpunten kenbaar kunnen maken over voorlopige bevindingen en ontwerpbesluiten. Verder worden uniforme eisen gesteld aan relevante en gemotiveerde bezwaren van toezichthouders en aan de procedure voor geschillenbeslechting door het EDPB. De regels voorzien bovendien in toegang tot het administratieve dossier, met bescherming van bedrijfsgeheimen en andere vertrouwelijke informatie.

De Verordening geeft verder nadere regels voor klachtbehandeling en communicatie tussen betrokkenen en de toezichthouders.

De Verordening treedt in werking op 2 april 2027. Vanaf dat moment zullen organisaties die onder het one-stop-shop mechanisme vallen rekening moeten houden met de nieuwe procedures bij grensoverschrijdende handhaving

Lees hier de volledige tekst van Verordening (EU) 2025/2518

AP waarschuwt voor doorgiftepraktijken van TikTok naar China

Op 16 december 2025 heeft de AP een waarschuwing gepubliceerd over de doorlopende doorgifte van persoonsgegevens van gebruikers van TikTok aan ontvangers buiten de EU, waaronder China. De doorgifte vindt plaats ondanks een recent besluit van Europese toezichthouders dat de doorgiftes in strijd zijn met de AVG.

De achtergrond van deze waarschuwing ligt in een eerder door de Ierse Data Protection Commission (DPC) opgelegd verbod aan TikTok om de doorgiften voort te zetten. Het besluit van de Ierse DPC is door middel van het coherentiemechanisme vanuit de EDPB vastgesteld. Volgens dit oordeel voldoen de doorgiften van TikTok niet aan de AVG, dat stelt dat doorgifte van persoonsgegevens alleen is toegestaan als passende waarborgen getroffen worden.

Hoewel de Ierse rechter het door de Ierse DPC opgelegde verbod heeft opgeschort totdat er uitspraak is gedaan in de zaak, blijft het oordeel van de toezichthouders dat de doorgifte onrechtmatig is van kracht. TikTok toont sinds kort een melding aan gebruikers waarin wordt uitgelegd welke gegevens worden verzameld en hoe deze worden gebruikt.

De AP benadrukt dat doorgiften naar landen zoals China risico’s voor de privacy van betrokkenen met zich meebrengt. Buiten de EU gelden de waarborgen die de AVG biedt, namelijk niet, waardoor betrokkenen weinig controle hebben over hun gegevens. Vooral jongeren zijn zich vaak onvoldoende bewust van deze risico’s.

De AP adviseert gebruikers van TikTok hun privacy-instellingen te controleren, geen gevoelige informatie te delen en te overwegen of zij het platform onder deze omstandigheden wel willen blijven gebruiken. De AP roept organisaties die TikTok gebruiken op een DPIA uit te voeren en transparant te zijn over de risico’s richting hun doelgroepen.

Lees hier het persbericht van de AP

Contact

Marc Elshof
advocaat | partner

T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl

Job Julicher
advocaat

T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl

Julius Louter
advocaat

T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl

BarentsKrans

Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl

Volg ons ook op LinkedIn

Profiel wijzigen

Afmelden