In onze nieuwsbrief van april vindt u de volgende onderwerpen: |
|
|
|
|
|
|
|
Toezichthouders, politie en OM willen Europees verbod tegen AI-uitkleedapps en -websites |
Op 1 april hebben de Autoriteit Consument & Markt (ACM), de Autoriteit Persoonsgegevens (AP), het Openbaar Ministerie (OM), de Politie en drie andere instanties gezamenlijk hun steun uitgesproken voor een Europees verbod op nudify tools: apps en websites waarmee foto's van mensen digitaal worden 'uitgekleed'. De gegenereerde beelden worden vaak misbruikt om slachtoffers te chanteren, af te persen of te dwingen seksueel beeldmateriaal van zichzelf te sturen.
De huidige wetgeving biedt onvoldoende houvast om de tools zélf aan te pakken en richt zich vooral op individuele daders. De instanties steunen daarom het voorgenomen verbod in de Europese AI-verordening en benadrukken dat dit verbod ook moet gelden wanneer de afgebeelde persoon toestemming heeft gegeven. Een vonnis dat hieraan bijdraagt is de uitspraak van de voorzieningenrechter van de rechtbank Amsterdam van 26 maart. In deze uitspraak verbood de rechter Grok en X om uitkleedbeelden en kinderpornografisch materiaal te genereren en verspreiden. Het verbod geldt voor beelden van personen die in Nederland wonen en voor de vervaardiging en verspreiding van beelden in Nederland.
In afwachting van Europese wetgeving gebruiken de ACM, de AP, de Politie en het OM de middelen die zij nu hebben. Ze behandelen individuele meldingen, wisselen informatie uit en werken samen aan een gezamenlijke casuïstiek. Ook onderzoeken zij hoe ze de digitale weerbaarheid van jongeren kunnen versterken, aangezien ze zien dat de nudify tools gebruikt worden door minderjarigen om seksueel beeldmateriaal van andere minderjarigen te maken en te verspreiden.
Slachtoffers worden verzocht om een melding te maken, zodat er handhavend kan worden opgetreden en zodat er een beter beeld ontstaat van waar en hoe vaak het misgaat. Daarnaast kunnen zij een klacht indienen bij de AP wegens schending van de privacywetgeving. Reageert een platform niet tijdig op een verwijderverzoek, dan kan dat worden gemeld bij de ACM. |
|
|
|
| |
|
|
EDPB publiceert jaarverslag 2025 |
Op 9 april heeft het Europees Comité voor gegevensbescherming (EDPB) zijn jaarverslag 2025 gepubliceerd. Het verslag blikt terug op een jaar waarin het digitale regelgevingslandschap aanzienlijk complexer werd en de EDPB zich focuste op drie pijlers: het vergroten van de rechtszekerheid, het vereenvoudigen van de naleving en het versterken van de samenwerking.
Centraal in 2025 stond de goedkeuring van de Verklaring van Helsinki, waarin de EDPB nieuwe initiatieven aankondigde om AVG-naleving te vereenvoudigen, de consistentie te versterken en de dialoog met organisaties te verbeteren. Als gevolg daarvan ontwikkelde de EDPB praktische hulpmiddelen, zoals templates, en organiseerde zij meerdere evenementen met stakeholders.
Een andere prioriteit was het verduidelijken van de wisselwerking tussen de AVG en andere digitale wetgeving. De EDPB nam richtsnoeren aan over de Digital Services Act, keurde gezamenlijke richtsnoeren over de Digital Markets Act en de AVG goed, en boekte vooruitgang op het vlak van de wisselwerking tussen de AVG en de AI-Verordening. Daarnaast bracht de EDPB vijf adequaatheidsadviezen uit, een gezamenlijk advies met de Europees Toezichthouder voor gegevensbescherming (EDPS) over wetgevingsvereenvoudiging en 29 adviezen op grond van artikel 64 AVG.
Effectieve handhaving bleef daarnaast een kernprioriteit. Via het Coordinated Enforcement Framework (CEF), de Support Pool of Experts (SPE) en speciale taskforces werd de samenwerking tussen nationale gegevensbeschermingsautoriteiten versterkt. In 2025 werden 414 grensoverschrijdende zaken geregistreerd en 1.299 procedures opgestart in het kader van de ‘One-Stop-Shop’, het mechanisme van artikel 60 AVG dat regelt dat bij grensoverschrijdende verwerkingen één leidende toezichthouder optreedt namens alle betrokken autoriteiten, waarbij via een formele samenwerkingsprocedure wordt toegewerkt naar een gezamenlijk en bindend besluit. |
|
|
|
| |
|
|
AP opent consultatie voor nieuw handhavingsbeleid |
Op 13 april 2026 heeft de AP een consultatie geopend over haar concept‑handhavingsbeleid. Met dit document wil de AP meer duidelijkheid bieden over de wijze waarop zij handhavend optreedt bij overtredingen van onder meer de AVG, de Data Act, de Digital Services Act en de Telecommunicatiewet.
Het concepthandhavingsbeleid beschrijft de uitgangspunten die de AP hanteert zodra een overtreding is vastgesteld. Centraal staan de beginselplicht tot handhaven, het effectgerichte karakter van optreden en de mogelijkheid van overleg met de overtreder over het beëindigen van de overtreding. De AP benadrukt dat handhaving doeltreffend, evenredig en afschrikkend moet zijn, in lijn met de rechtspraak van het Hof van Justitie. Tegelijkertijd blijft ruimte bestaan om per geval te bezien welk instrument het meest passend is.
Daarnaast geeft het beleid een overzicht van de handhavingsinstrumenten waarover de AP beschikt. Deze variëren van berispingen en lasten onder dwangsom tot verwerkingsbeperkingen, verwerkingsverboden en bestuurlijke boetes. Ook wordt toegelicht welke factoren een rol spelen bij de keuze voor een instrument, zoals de aard, ernst en duur van de overtreding, eerdere overtredingen en de mate van medewerking van de organisatie. Verder wordt het verloop van de handhavingsprocedure uiteengezet, inclusief hoor en wederhoor, openbaarmaking en de introductie van een nieuwe mogelijkheid voor verkorte afdoening in overleg met de AP.
De verkorte afdoening in overleg biedt de mogelijkheid om een handhavingsprocedure versneld af te ronden. In dat geval erkent de overtreder de overtreding, ziet hij af van rechtsmiddelen, stemt hij in met openbaarmaking én verklaart eventuele schade van betrokkenen te vergoeden. In ruil daarvoor zal de AP de boete met maximaal 35% verlagen.
Tot slot besteedt het beleid aandacht aan samenwerking met andere nationale en Europese toezichthouders, met name bij grensoverschrijdende verwerkingen en het ‘One-Stop-Shop’ mechanisme van de AVG. De consultatie biedt organisaties de gelegenheid om hun praktijkervaringen te delen voordat het beleid definitief wordt vastgesteld. |
|
|
|
| |
|
|
X moet persoonsgegevens van gebruiker vrijgeven |
Op 14 april heeft het gerechtshof Amsterdam geoordeeld dat X inzage moet geven in de persoonsgegevens van een gebruiker van het platform.
De gebruiker ondervond in oktober 2023 een tijdelijke beperking van zijn X-account na een kritisch bericht over Europese plannen tegen kinderporno. Na opheffing van de beperking diende de gebruiker een inzageverzoek in op grond van artikel 15 AVG. X verstrekte slechts gedeeltelijke inzage, met veel zwartgelakte onderdelen, en beriep zich op bedrijfsgeheimen en privacy van medewerkers. X moest namelijk specifieke informatie verschaffen, onder meer over het systeem Guano Notes. Volledige verstrekking van deze Guano Notes zou volgens X bedrijfsgeheime informatie prijsgeven. De gebruiker startte daarop een procedure, waarin de rechtbank X verplichtte tot volledige inzage, op straffe van een dwangsom. X maakte hiertegen bezwaar in hoger beroep vanwege bedrijfsgeheimen.
Het hof benadrukte dat artikel 15 lid 4 AVG ruimte biedt om inzage te beperken ter bescherming van de rechten en vrijheden van anderen, waaronder bedrijfsgeheimen, maar dat dit een belangenafweging vergt. Het hof woog het belang van X af tegen het belang van de gebruiker, en bevestigde het recht van de gebruiker op vrijwel volledige inzage in zijn persoonsgegevens bij X, met uitzondering van namen van medewerkers en exacte tijdstippen van acties. Het belang van transparantie en controle door de betrokkene weegt zwaarder dan het bedrijfsbelang van X. De dwangsom die de rechtbank in eerste instantie oplegde, blijft van kracht. |
|
|
|
| |
|
|
AP gaat ICT-leveranciers preventief controleren |
Op 16 april heeft de AP aangekondigd dat zij zich steeds meer zal richten op het voorkomen van datalekken en cyberaanvallen, in plaats van alleen achteraf op te treden. Door organisaties proactief te controleren op hun digitale beveiliging, kunnen problemen vroegtijdig worden gesignaleerd en aangepakt.
In de praktijk betekent dit dat de AP binnenkort de beveiliging van een aantal Nederlandse ICT-leveranciers onder de loep zal nemen. Deze partijen verwerken doorgaans grote hoeveelheden persoonsgegevens voor meerdere klanten tegelijk, waardoor een datalek bij hen al snel verstrekkende gevolgen kan hebben. De AP beschouwt preventief toezicht op ICT-leveranciers dan ook als een efficiënte manier om haar beperkte capaciteit als toezichthouder in te zetten. Waar nodig zullen organisaties advies en begeleiding ontvangen. Deze aanpak toont tevens aan dat ook verwerkers rechtstreeks verplichtingen hebben op grond van de AVG, in dit geval artikel 32 AVG.
Daarnaast voert de AP sinds kort ook controles uit bij zorginstellingen, waarbij cybersecurity een uitdrukkelijk aandachtspunt is. Een aanleiding voor deze controles is het datalek van vorig jaar bij Clinical Diagnostics. Ook hier is het doel om deze organisaties te helpen de bescherming van persoonsgegevens op het juiste niveau te brengen. |
|
|
|
| |
|
|
|
|
Marc Elshof
advocaat | partner
T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl
|
|
|
|
|
Lars Groeneveld
advocaat
T: +31 70 376 06 48
M:+31 6 46 11 04 57
lars.groeneveld@barentskrans.nl
|
|
|
|
|
Job Julicher
advocaat
T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl
|
|
|
|
|
Julius Louter
advocaat
T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl
|
|
|
|
|
|
BarentsKrans
Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl |
| |
|
|
| |
|
|
|
