In onze nieuwsbrief van maart vindt u de volgende onderwerpen: |
|
|
|
|
|
|
|
Commissie publiceert conceptrichtsnoeren toepassing Cyber Resilience Act |
Op 3 maart heeft de Europese Commissie (de Commissie) een ontwerpbesluit gepubliceerd met richtsnoeren voor de toepassing van de Cyber Resilience Act (CRA).
De CRA, die sinds 10 december 2024 van kracht is, bevat cybersecurity‑vereisten voor producten met digitale elementen en verplicht fabrikanten, importeurs en distributeurs om te zorgen dat deze vereisten worden nageleefd. Deze verplichtingen uit hoofdstuk IV gelden vanaf 11 juni 2026. Ook moeten fabrikanten vanaf 11 september 2026 actief uitgebuite kwetsbaarheden en ernstige cyberincidenten van hun producten met digitale elementen melden aan het computer security incident response team en ENISA.
De richtsnoeren zijn opgesteld op grond van artikel 26 CRA en beogen met name MKB‑ondernemingen te ondersteunen bij de implementatie van de CRA. De Commissie benadrukt dat tijdige begeleiding noodzakelijk is om fabrikanten en ontwikkelaars in staat te stellen hun compliance‑processen aan te passen vóórdat de CRA in werking treedt.
De richtsnoeren verduidelijken onder meer de reikwijdte van de CRA, de criteria voor substantiële wijzigingen, de invulling van de supportperiode, en de rol van remote data processing in het kader van cybersecurity‑vereisten. Ook wordt de systematiek van conformiteitsbeoordeling voor belangrijke en kritieke producten uitgewerkt, waaronder de verhouding tussen aangemelde instanties en geharmoniseerde standaarden.
De conceptrichtsnoeren liggen tot en met 13 april 2026 ter consultatie voor. Belanghebbenden kunnen tot die tijd feedback indienen op de conceptrichtsnoeren via het feedbackportaal van de Commissie. |
|
|
|
| |
|
|
Vorderingen Reddit over waarborgen verschoningsrecht afgewezen |
Op 4 maart heeft de rechtbank Den Haag uitspraak gedaan in een kort geding tussen Reddit Netherlands B.V., Reddit Inc. (gezamenlijk Reddit) en de Autoriteit Persoonsgegevens (AP).
De zaak vindt zijn oorsprong in een onderzoek van de AP naar de verwerking van persoonsgegevens door Reddit, met name het delen en verkopen van openbare inhoud van gebruikers van het gelijknamige platform dat Reddit aanbiedt aan ontwikkelaars van AI-modellen om deze door te ontwikkelen. Tijdens het onderzoek is een geschil ontstaan over de toegang tot diverse systemen van Reddit door de AP, waaronder Jira, Google Vault en SWAT Tables. Reddit weigerde volledige toegang te verlenen en voerde aan dat deze systemen geprivilegieerde informatie bevatten die beschermd wordt door het verschoningsrecht. Ook zou toegang tot deze systemen door de AP een inbreuk opleveren op de US Stored Communications Act, volgens Reddit. De AP legde op 26 januari 2026 een last onder dwangsom op wegens schending van de medewerkingsplicht.
Reddit vorderde in deze procedure dat de AP schriftelijk bevestigt of zij beschikt over informatie die onder het verschoningsrecht valt, dat de AP kopieën van deze informatie veiligstelt en dat de AP het verschoningsrecht moet waarborgen conform het arrest van de Hoge Raad van 12 maart 2024. Ook verzocht Reddit de voorzieningenrechter om verlof te verlenen voor conservatoir bewijsbeslag op deze informatie.
De voorzieningenrechter oordeelde dat Reddit niet-ontvankelijk is in haar vorderingen, omdat er een met voldoende waarborgen omklede bestuursrechtelijke rechtsgang openstaat. De bezwaren van Reddit tegen de werkwijze van de AP – waaronder de wijze waarop wordt omgegaan met het verschoningsrecht – kunnen in een bestuursrechtelijke procedure tegen de opgelegde last onder dwangsom aan de orde worden gesteld. De AP heeft op 21 januari 2026 al bevestigd dat zij, behoudens één door Reddit zelf verstrekt document, niet over geprivilegieerde informatie beschikt. Reddit heeft onvoldoende concrete aanwijzingen voor het tegendeel aangevoerd, aldus de voorzieningenrechter. |
|
|
|
| |
|
|
Hof wijst beroep op rectificatie persoonsgegevens in processtukken en aangifte af |
Op 5 maart heeft het gerechtshof Arnhem-Leeuwarden een uitspraak gepubliceerd in een zaak over de reikwijdte van het recht op rectificatie van persoonsgegevens in civiele processtukken en een strafrechtelijke aangifte. Het hof oordeelt dat artikel 16 AVG geen mogelijkheid biedt om stellingen in processtukken achteraf te laten corrigeren, ook niet wanneer deze stellingen onjuist blijken te zijn.
De zaak betrof een voormalig ambtenaar bij de gemeente Rotterdam die om correctie verzocht van persoonsgegevens in processtukken van een civiele schadevergoedingsprocedure en een door de stichting Divosa gedane aangifte in verband met valsheid in geschriften en gewoontewitwassen. Centraal stonden uitlatingen over de bevoegdheid van de ambtenaar tot het accorderen van facturen en over vermeende factuurfraude door de ambtenaar ten koste van de gemeente Rotterdam en de stichting Divosa. De ambtenaar stelde dat deze uitlatingen onjuiste persoonsgegevens betroffen die volgens hem gecorrigeerd moesten worden.
Het hof Den Haag heeft de ambtenaar in 2017 in de door de gemeente Rotterdam en stichting Divosa ingestelde civielrechtelijke procedure veroordeeld tot het betalen van een schadevergoeding. Het hoger beroep in de strafrechtelijke procedure als gevolg van de aangifte liep ten tijde van de uitspraak nog.
Volgens het hof moet bij de beoordeling of persoonsgegevens onjuist zijn, worden uitgegaan van het doel van de verwerking van die gegevens. In civiele procedures dienen processtukken ter onderbouwing van vorderingen en om verweer te voeren. Een door een procespartij ingenomen stelling die is opgenomen in een processtuk, is niet onjuist in de zin van artikel 16 AVG, ook niet wanneer achteraf blijkt dat deze niet op waarheid berust. Het hof vergelijkt dit met een onjuist antwoord in een examen: gelet op het doel van die verwerking is geen sprake van een onjuist persoonsgegeven. Toepassing van artikel 16 AVG op een definitief door de rechter beslecht geschil zou tot een gedeeltelijke herbeoordeling van de procedure leiden, wat in strijd is met het gesloten systeem van rechtsmiddelen en de rechtszekerheid en effectiviteit van de rechtspraak, aldus het hof.
Ook voor de strafrechtelijke aangifte geldt dat het doel van de verwerking bepalend is, wat bestaat uit het doen van aangifte van in de ogen van Divosa strafbaar gedrag waarvan zij slachtoffer is geworden. Het is vervolgens aan politie, Openbaar Ministerie en strafrechter om de materiële waarheid te onderzoeken en zich daarover uit te laten. Ook wijst het hof op de mogelijkheid om de rechten van betrokkenen te beperken ter waarborging van het onderzoek, de opsporing en vervolging van strafbare feiten op grond van artikel 23 lid 1 onder d AVG en artikel 41 lid 1 onder d UAVG, en op de beperking van het recht op rectificatie ten aanzien van getuigenverklaringen in artikel 28 lid 1 van de Wet politiegegevens. |
|
|
|
| |
|
|
HvJEU verduidelijkt wanneer een inzageverzoek 'buitensporig' kan zijn |
Op 19 maart heeft het Hof van Justitie van de Europese Unie (HvJEU) uitspraak gedaan over de vraag wanneer een inzageverzoek als ‘buitensporig’ kwalificeert en de verwerkingsverantwoordelijke deze mag weigeren. Daarnaast beantwoordt het HvJEU de vraag of schending van het inzagerecht een schadevergoedingsplicht met zich mee kan brengen.
De zaak betrof een persoon die zich aangemeld had voor de nieuwsbrief van een opticiensbedrijf en zeer kort daarna een inzageverzoek indiende. Het bedrijf weigerde hier gevolg aan te geven met een beroep op misbruik van het inzagerecht. Uit openbare onlinebronnen bleek namelijk dat de betrokkene stelselmatig inzageverzoeken indiende met als enige doel het vorderen van schadevergoeding zodra de wettelijke termijn verstreken was.
Het HvJEU oordeelt dat één enkel inzageverzoek al 'buitensporig' kan zijn als de verwerkingsverantwoordelijke kan aantonen dat sprake is van opzettelijk misbruik. Dit vereist een objectief en subjectief element: enerzijds moet blijken dat het beoogde doel van de AVG met de uitvoering van het inzagerecht niet wordt bereikt; anderzijds moet worden aangetoond dat de betrokkene het verzoek niet indient met de intentie kennis te nemen van de verwerking en de rechtmatigheid ervan te controleren, maar enkel om kunstmatig voorwaarden te creëren voor verkrijgen van een in de AVG toegekend recht op schadevergoeding. Hierbij moeten alle feiten en omstandigheden van het geval in aanmerking worden genomen. Daarbij kan een rol spelen dat iemand volgens openbare informatie meerdere vergelijkbare verzoeken heeft ingediend.
Daarnaast bevestigt het HvJEU dat het recht op schadevergoeding ook toepassing vindt bij schending van het inzagerecht, ook als er geen sprake is van een onrechtmatige gegevensverwerking. De betrokkene moet wel aantonen dat hij daadwerkelijk schade heeft geleden als gevolg van deze schending; zijn eigen gedrag mag niet de doorslaggevende oorzaak van die schade zijn geweest. |
|
|
|
| |
|
|
AP publiceert praktijkgids 'Gezondheidsgegevens in de cloud' |
Op 23 maart heeft de AP de praktijkgids 'Gezondheidsgegevens in de cloud' gepubliceerd. De gids richt zich op organisaties die cloudoplossingen gebruiken voor het verwerken van gezondheidsgegevens en benadrukt de noodzaak van zorgvuldige afwegingen en bewuste keuzes.
De praktijkgids is een actualisatie van de eerdere gids over patiëntgegevens in de cloud en breidt het bereik aanzienlijk uit. Waar de vorige versie zich beperkte tot patiëntgegevens binnen de behandelrelatie, heeft de nieuwe gids betrekking op gezondheidsgegevens in brede zin, zoals medische dossiers, gegevens over gezondheid in relatie tot werk, testresultaten en gegevens uit digitale zorgtoepassingen. De gids behandelt de verantwoordelijkheden van de verwerkingsverantwoordelijke, de rol van (sub-)verwerkers, aandachtspunten en risicoanalyse, datasoevereiniteit en internationale doorgifte, en het samenspel tussen de AVG en de Cyberbeveiligingswet, de Nederlandse implementatiewet van de NIS2 Richtlijn.
Om organisaties op weg te helpen heeft de AP een stappenplan ontwikkeld. Dit helpt bij het in kaart brengen van de belangrijkste aandachtspunten en verwijst vervolgens naar nadere informatie in de praktijkgids. Organisaties kunnen de gids op strategisch, tactisch en operationeel niveau gebruiken bij besluitvorming over het verwerken van gezondheidsgegevens in de cloud. De AP benadrukt dat organisaties volledig verantwoordelijk blijven voor de verwerking van gezondheidsgegevens in de cloud en dat deze verantwoordelijkheid niet kan worden uitbesteed aan een cloudleverancier. |
|
|
|
| |
|
|
Meerderheid Nederlandse webwinkels ontoegankelijk voor mensen met beperking |
Op 24 maart heeft de Autoriteit Consument en Markt (ACM) een persbericht gepubliceerd waaruit blijkt dat het merendeel van de Nederlandse webwinkels onvoldoende toegankelijk is voor mensen met een fysieke beperking, zoals blinden en slechtzienden.
Uit de controle van de ACM volgt dat 61% van de grootste Nederlandse webwinkels geen maatregelen heeft genomen of middelen aanbiedt om het voor mensen met een beperking mogelijk te maken een bestelling te plaatsen. Bij 33% van de onderzochte websites is het plaatsen van een bestelling wel mogelijk, maar kost dit aanzienlijke moeite voor mensen met een beperking in vergelijking met mensen zonder beperking, aldus de ACM.
De Europese Toegankelijkheidsrichtlijn en de Nederlandse implementatiewet daarvan gelden sinds 28 juni 2025. De Richtlijn verplicht aanbieders van onder andere webwinkels in de EU hun websites zodanig in te richten dat mensen met een beperking hier op een toegankelijke wijze gebruik van kunnen maken en bestellingen kunnen plaatsen. De verplichtingen gelden voor organisaties met meer dan 10 werknemers en/of een jaaromzet van meer dan € 2.000.000. Bij niet-naleving kan de ACM boetes opleggen tot € 900.000 of 1% van de jaaromzet als dat meer is.
De ACM wijst de grootste bedrijven die het slechts presteren op verbeterpunten, en bij onvoldoende verbetering zal zij tot handhaving overgaan. Los van dit risico kost een ontoegankelijke webwinkel ook omzet voor de bedrijven zelf, nu zij potentiële klanten met een beperking mislopen, aldus de ACM. |
|
|
|
| |
|
|
|
|
Marc Elshof
advocaat | partner
T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl
|
|
|
|
|
Lars Groeneveld
advocaat
T: +31 70 376 06 48
M:+31 6 46 11 04 57
lars.groeneveld@barentskrans.nl
|
|
|
|
|
Job Julicher
advocaat
T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl
|
|
|
|
|
Julius Louter
advocaat
T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl
|
|
|
|
|
|
BarentsKrans
Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl |
| |
|
|
| |
|
|
|
