In onze nieuwsbrief van januari vindt u de volgende onderwerpen: |
|
|
|
|
|
|
|
AP publiceert position paper over voorstel digitale Omnibusverordening |
Op 13 januari heeft de Autoriteit Persoonsgegevens (AP) haar position paper gepubliceerd over het voorstel van de Europese Commissie (Commissie) voor een digitale Omnibusverordening. Met het voorstel beoogt de Commissie de Europese digitale wetten te stroomlijnen. De AP is echter kritisch op enkele ingrijpende wijzigingen van onder meer de AVG en de AI‑Verordening, die zonder nadere onderbouwing risico’s opleveren voor de bescherming van persoonsgegevens en grondrechten.
De AP wijst erop dat de Digitale Omnibusverordening de kernbegrippen ‘persoonsgegevens’ en ‘pseudonimisering’ wijzigt. Deze definities bepalen de reikwijdte van de AVG en daarmee welke gegevens moeten worden verwerkt in overeenstemming met de AVG. De Commissie gaat volgens de AP verder dan de uitleg die het Hof van Justitie van de EU (HvJEU) aan deze begrippen toekent. Dit kan ertoe leiden dat de verwerking van bepaalde (gepseudonimiseerde) gegevens niet langer beschermd worden door de AVG, wat afbreuk doet aan het hoge niveau van bescherming van persoonsgegevens.
De AP stelt dat een aantal wijzigingen de transparantie en verantwoording voor verwerkingsverantwoordelijken aantasten. Zo wordt de meldplicht voor datalekken bij de toezichthouders beperkt tot situaties met een hoog risico. Volgens de AP onderschatten organisaties vaak het risico dat datalekken voor betrokkenen teweegbrengen. Bij het ontbreken van een meldplicht vervalt ook de corrigerende werking van het toezicht, waardoor betrokkenen mogelijk niet worden geïnformeerd over misbruikrisico’s en toezichthouders belangrijke incidenten missen.
Daarnaast is de expliciete opname van het gerechtvaardigd belang als grondslag voor het gebruik van persoonsgegevens voor ontwikkeling- en trainingsdoeleinden van AI een schijnverruiming. Een beroep op deze grondslag is nu al mogelijk, mits een belangenafweging plaatsvindt. De voorgestelde aanpassing verduidelijkt dit volgens de AP niet, maar kan juist verwarring veroorzaken.
Verder bekritiseert de AP de voorstellen om de AI-Verordening aan te passen. Zo zorgt de afschaffing van een publieke registratieplicht voor bepaalde AI‑systemen met een hoog risico in een Europese databank ervoor dat deze buiten het zicht van toezichthouders blijven. Ook het schrappen van de plicht voor organisaties om AI‑geletterdheid bij personeel te bevorderen acht de AP onwenselijk. Onder het voorstel voor de digitale Omnibusverordening komt deze verantwoordelijkheid bij de lidstaten en de Commissie te liggen. Organisaties kunnen echter het beste beoordelen welke vaardigheden noodzakelijk zijn voor een veilige inzet van AI, aldus de AP. Overigens blijft de plicht om hoog risico AI-systemen alleen te laten gebruiken door voldoende getrainde medewerkers wel behouden in de AI-Verordening.
De AP benadrukt dat er ook positieve elementen in de voorstellen zitten, zoals Europese modellen voor DPIAs, datalekmeldingen en de harmonisatie van cookieregels. Ook is de AP - als Nederlandse coördinerende toezichthouder op de AI-Verordening – positief over voorstellen tot versterking van samenwerking tussen toezichthouders binnen de AI‑verordening. |
|
|
|
| |
|
|
EDPB en EDPS publiceren gezamenlijke opinie over Digital Omnibus on AI‑voorstel |
Op 20 januari hebben het Europees Comité van gegevensbescherming (EDPB) en de Europees Toezichthouder voor gegevensbescherming (EDPS) de gezamenlijke opinie 1/2026 gepubliceerd over de digitale Omnibusverordening (de Opinie). De Opinie ondersteunt het streven naar vereenvoudiging van de Europese digitale wetgeving, maar benadrukt dat aanpassing van de AI‑verordening niet ten koste mag gaan van de bescherming van fundamentele rechten, waaronder het recht op bescherming van persoonsgegevens.
Zo zijn de toezichthouders kritisch over het voorstel om de mogelijkheid om bijzondere categorieën persoonsgegevens te verwerken voor biasdetectie en -correctie uit te breiden. Het voorstel zou deze uitzondering toepasbaar maken op álle AI‑systemen in plaats van enkel bij AI-systemen met een hoog risico. De EDPB en EDPS adviseren de wetgever dit gebruik te beperken tot situaties waarin ernstige risico’s bestaan en pleiten voor herstel van de eis van ‘strikte noodzaak’ zoals opgenomen in het huidige artikel 10 lid 5 AI‑verordening, in samenhang met artikel 9 lid 2, onder g, AVG.
Net als de AP zijn ook de Europese toezichthouders kritisch op het schrappen van de registratieplicht voor bepaalde AI‑systemen met een hoog risico in een Europese databank. Volgens de toezichthouders bevordert deze verplichting juist transparantie, toezicht en publieke verantwoording voor ontwikkelaars. Het schrappen ervan zou leiden tot een vermindering van traceerbaarheid, strategische onderregistratie door organisaties en risico’s voor bescherming van grondrechten. Ook pleiten de toezichthouders voor het behouden van de plicht voor organisaties om AI-geletterdheid te waarborgen.
Verder doen de toezichthouders aanbevelingen over de inrichting van AI‑testomgevingen voor regelgeving op Europees niveau. Zij benadrukken dat gegevensverwerking binnen deze testomgevingen onder toezicht van de nationale privacy toezichthouders moet staan en dat de rolverdeling tussen de AI Office, markttoezichthouders en toezichthouders voor grondrechten duidelijker moet worden vastgelegd. Daarnaast moet de EDPB volgens de toezichthouders een formele adviesrol en observatiestatus krijgen binnen de Europese raad voor AI.
Ten slotte uiten de toezichthouders zorgen over het uitstellen van de toepassing van de verplichtingen voor hoog risico‑AI‑systemen met maximaal zestien maanden. In een snel ontwikkelende AI‑markt kan dit volgens de toezichthouders grote gevolgen hebben voor de bescherming van fundamentele rechten en vrijheden. Zij roepen de wetgever op om zorgvuldig af te wegen of de huidige termijnen voor bepaalde verplichtingen, zoals transparantie‑eisen, niet toch kunnen worden gehandhaafd. |
|
|
|
| |
|
|
Beroep Epic Games tegen boete ACM over oneerlijke handelspraktijken in Fortnite ongegrond |
Op 14 januari heeft de rechtbank Rotterdam uitspraak gedaan in het beroep van Epic Games International (Epic Games) tegen twee boetes van de Autoriteit Consument & Markt (ACM) over oneerlijke handelspraktijken in de game Fortnite. De rechtbank verklaart het beroep ongegrond en laat alle maatregelen in stand.
Centraal in de procedure staan de reclame-uitingen van Epic Games aan kinderen en de digitale interface van de in-game item shop. Epic Games betoogde dat de ACM een te ruime definitie van het begrip ‘kind’ hanteert. Tevens is er volgens Epic Games geen sprake van een rechtstreeks aanzetten tot aankoop of schending van de vereisten van professionele toewijding.
De rechtbank volgt de argumenten van Epic Games niet en acht het aannemelijk dat de gebruikte uitingen, zoals “Buy the Battle Pass”, “Get it now” en “Grab it”, kwalificeren als agressieve handelspraktijken omdat zij kinderen rechtstreeks aanzetten tot het doen van aankopen. Relevant hiervoor is dat de aankoopknoppen in de digitale omgeving prominente kleuren hadden en opvallend waren vormgegeven, dat de teksten in gebiedende wijs geschreven zijn en dat knoppen waarmee de aankoop definitief geweigerd wordt minder zichtbaar zijn. De rechtbank benadrukt dat het niet relevant is of een aankoop daadwerkelijk afgerond wordt. Doorslaggevend is de invloed die de uitingen hebben op het economische gedrag van kinderen.
De rechtbank maakt korte metten met het argument van Epic Games dat rekening gehouden moet worden met leeftijdsverschillen binnen de categorie minderjarigen. Epic Games bestrijdt niet meer dat Fortnite zich richt op kinderen en ook deze groep in het bijzonder aantrekt. Volgens de wet moet er gekeken worden naar het gemiddelde lid van de groep kinderen. Een onderscheid in verschillende categorieën minderjarigen zoals Epic Games betoogd is volgens de rechtbank daarom niet relevant.
De rechtbank bevestigt dat het ontwerp van de Item Shop in strijd was met de vereisten van professionele toewijding. Het ging onder meer om onduidelijkheid over de beschikbaarheidsduur van items, het gebruik van aflopende timers en de creatie van kunstmatige schaarste. De ACM heeft deze elementen terecht aangemerkt als ‘dark patterns’ die het vermogen van kinderen om een geïnformeerd besluit te nemen merkbaar konden beperken, aldus de rechtbank. Ook hier hoeft de ACM niet aan te tonen dat de beperking daadwerkelijk heeft plaatsgevonden. Voldoende is dat verstoring aannemelijk kan worden geacht, aldus de rechtbank.
Epic Games is door de ACM opgedragen om duidelijkheid te verschaffen over de beschikbaarheidsduur van items, het gebruik van timers te staken en een minimale zichtbaarheidstermijn van 48 uur voor minderjarigen te hanteren De rechtbank oordeelt dat deze opgelegde maatregelen passend en voldoende onderbouwd zijn, gezien de beperkte speeltijd van kinderen en de risico’s op impulsaankopen. |
|
|
|
| |
|
|
Rechtbank Gelderland oordeelt dat beroep op exoneratiebeding door softwareontwikkelaar standhoudt |
Op 21 januari 2026 heeft de rechtbank Gelderland een uitspraak gepubliceerd in een civiele procedure tussen Primedinners B.V. en Media Artists B.V. De zaak betrof een schadestaatprocedure waarin Primedinners heeft verzocht om een verklaring voor recht dat Media Artists geen beroep kon doen op een contractueel exoneratiebeding.
Het gerechtshof Arnhem‑Leeuwarden heeft in de hoofdprocedure al geoordeeld dat Media Artists toerekenbaar tekort is geschoten in de tijdige oplevering van de overeengekomen software en dat Primedinners de overeenkomst rechtsgeldig kon ontbinden. Dat oordeel heeft gezag van gewijsde en vormt het uitgangspunt in deze procedure. Centraal in de schadestaatprocedure staat de vraag of het in de algemene voorwaarden van Media Artist opgenomen exoneratiebeding van toepassing is.
De rechtbank overweegt dat een exoneratiebeding buiten toepassing moet blijven indien toepassing naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is. Die maatstaf moet terughoudend worden toegepast en de rechter weegt alle relevante omstandigheden gezamenlijk. Primedinners voerde in dat kader aan dat het exoneratiebeding van Media Artist ongebruikelijk is in de IT‑branche, dat Media Artists een sterkere positie had dan Primedinners, dat over het beding niet specifiek is onderhandeld en dat de schade omvangrijk is.
De rechtbank volgt Primedinners niet in deze argumenten. Vergelijkbare exoneratiebedingen komen veelvuldig voor in de sector, waaronder in de algemene voorwaarden van brancheorganisatie NL Digital. Daarnaast zijn beide partijen kleine ondernemingen en heeft Primedinners voldoende gelegenheid gehad om het beding te bespreken of juridische bijstand in te schakelen. Dat zij dit heeft nagelaten komt voor haar eigen rekening, aldus de rechtbank.
De rechtbank acht het exoneratiebeding niet naar maatstaven van redelijkheid en billijkheid onaanvaardbaar. De aard van de samenwerkingsovereenkomst, de afhankelijkheid van Primedinners van Media Artist en de hoogte van de zuivere vermogensschade doen niet af aan het beroep van Media Artists op het exoneratiebeding. |
|
|
|
| |
|
|
Europese Commissie publiceert FAQ over de Dataverordening |
Op 22 januari heeft de Commissie een bijgewerkte versie van haar FAQ over de Dataverordening gepubliceerd. Deze FAQ is bedoeld als praktische leidraad voor marktpartijen bij de implementatie van de Dataverordening.
De FAQ verduidelijkt de toepassing van de belangrijkste begrippen en verplichtingen uit de Dataverordening, waaronder de rechten van gebruikers van verbonden producten, verplichtingen van gegevenshouders en de verhouding tot de AVG. De Commissie benadrukt dat de FAQ niet bindend is en geen uitbreiding vormt van wettelijke verplichtingen.
Een groot deel van de FAQ gaat in op de verplichtingen van gegevenshouders bij het verstrekken van data aan gebruikers en door gebruikers aangewezen derden. Daarbij verduidelijkt de Commissie dat data direct of indirect toegankelijk moeten worden gemaakt, in een “comprehensive, structured, commonly used and machine‑readable format”. Gegevenshouders moeten dergelijke verzoeken zonder onnodige vertraging uitvoeren en daarbij waarborgen dat de kwaliteit, volledigheid en beveiliging van de data gewaarborgd blijft.
De FAQ licht verder de zogenoemde “safety and security‑handrem” toe. Deze biedt gegevenshouders de mogelijkheid om gegevensverstrekking op te schorten of te weigeren ter bescherming van bedrijfsgeheimen of als de normen voor veiligheid en beveiliging dit vereisen.
Daarnaast biedt de Commissie verduidelijkingen over de rol van gebruikers van verbonden producten als er sprake is van meerdere gebruikers, de reikwijdte van gebruikersrechten, de toepassing buiten de EU en de mogelijkheid om data te laten delen met derden. Gebruikers moeten binnen de EU gevestigd zijn, maar mogen de gegevenshouder vragen hun data door te geven aan een derde buiten de EU. De gegevenshouder is niet verplicht daaraan mee te werken.
De FAQ gaat tevens in op de samenloop met de AVG, waaronder de noodzaak voor niet‑betrokken gebruikers om een zelfstandige rechtsgrond te hebben voor de verwerking van persoonsgegevens.
Tot slot bevat de FAQ een uitgebreide toelichting op andere onderdelen van de Dataverordening, zoals toegang tot gegevens door overheidsinstanties, de verplichtingen voor cloud‑ en dataserviceproviders bij het overstapproces, en handhavingsmechanismen. |
|
|
|
| |
|
|
EU en Brazilië stellen wederzijdse adequaatheidsbesluiten vast |
Op 26 januari hebben de Commissie en Brazilië wederzijdse adequaatheidsbesluiten vastgesteld. Hiermee is het mogelijk persoonsgegevens door te geven vanuit de EU naar Brazilië zonder extra waarborgen te nemen.
Volgens de Commissie erkent de Grondwet van Brazilië privacy en gegevensbescherming als grondrechten. Daarnaast biedt de Lei Geral de Proteção de Dados (LGPD) een algemeen juridisch kader dat in hoge mate overeenkomt met de AVG. De LGPD bevat bepalingen over rechtmatigheid, doelbinding, minimale gegevensverwerking, transparantie en beveiliging van persoonsgegevens. Ook kent het kader rechten voor betrokkenen, waaronder inzage, rectificatie, verwijdering en dataportabiliteit.
Volgens de Commissie beschikt de ANPD, de toezichthouder voor de LGPD, over handhavingsbevoegdheden vergelijkbaar met die van Europese toezichthouders. Zodoende biedt Brazilië een beschermingsniveau dat “wezenlijk gelijkwaardig” is aan de AVG.
Door de wederzijdse erkenning van adequaatheid ontstaat het grootste gebied voor vrije en veilige gegevensstromen ter wereld, dat circa 670 miljoen burgers omvat. De Commissie benadrukt dat dit kosten vermindert en rechtszekerheid bevordert voor Europese ondernemingen die actief zijn in Brazilië en voor Braziliaanse ondernemingen die de Europese markt (willen) betreden.
De Commissie zal het adequaatheidsbesluit na vier jaar opnieuw beoordelen. Verwerkingsverantwoordelijken moeten blijven voldoen aan de overige verplichtingen van de AVG, waaronder transparantie, beveiliging en het sluiten van verwerkersovereenkomsten. |
|
|
|
| |
|
|
|
|
Marc Elshof
advocaat | partner
T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl
|
|
|
|
|
Lars Groeneveld
advocaat
T: +31 70 376 06 48
M:+31 6 46 11 04 57
lars.groeneveld@barentskrans.nl
|
|
|
|
|
Job Julicher
advocaat
T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl
|
|
|
|
|
Julius Louter
advocaat
T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl
|
|
|
|
|
|
BarentsKrans
Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl |
| |
|
|
| |
|
|
|
