#11 De Privacy Nieuwsbrief

Beste lezer,

Waar de Europese hoven deze zomer even pauzeerden met het publiceren van arresten over het gegevensbeschermingsrecht, gingen onze nationale rechters onvermoeibaar door. Zelfs zonder uitspraken van het EHRM en HvJ EU is het dus weer een bomvolle editie van de nieuwsbrief.

Zo zijn er twee interessante zaken over gegevensbescherming in faillissementen, meer duidelijkheid over wat passende technische en organisatorische maatregelen zijn bij de beveiliging van e-mailaccounts, en opnieuw veel zaken rond de rechten van betrokkenen. Kortom: de kernbeginselen van het gegevensbeschermingsrecht kwamen volop aan bod.

Bij het lezen van een van de uitspraken bekroop me een déjà vu. In 2004 weigerde de RDW de gemeente Heerlen toegang tot het kentekenregister om een overtreder van het APV-verbod op straatprostitutie te achterhalen, en kreeg daarvoor gelijk van de Afdeling bestuursrechtspraak. Ruim twintig jaar later wilden boa’s inzage in het register van snelle vaartuigen, maar opnieuw hield de RDW de deur dicht. De rechter steunde dat standpunt, waarmee de RDW zich opnieuw profileert als hoeder van het doelbindingsbeginsel. Geen gegrasduin in de registers van de RDW.

Over registers gesproken: gegevensbescherming en (openbare) registers zijn een van mijn stokpaardjes. Dus ja, een beetje WC-eend misschien, maar ons eigen onderzoek naar de toetsing van dertien openbare registers aan de vereisten die het gegevensbeschermingsrecht aan de toegankelijkheid stelt dat gisteren is gepubliceerd beveel ik toch van harte aan. Met 541 pagina’s is het misschien wel verstandiger om te beginnen met de samenvatting van het rapport. En mocht je na deze bomvolle nieuwsbrief nog energie over hebben, dan past dat rapport er vast ook nog wel bij.

Veel leesplezier!

Anna Berlee

🇪🇺 EU rechtspraak

• Dit keer geen HvJ EU zaken, maar wacht maar. Het wordt een interessante week.

🇳🇱 Nederlandse rechtspraak

• Gerechtshof Arnhem-Leeuwarden 22 juli 2025, ECLI:NL:GHARL:2025:4556 (Autobedrijf is onvoldoende erin geslaagd te bewijzen dat het voldoet aan vereisten van 'passende beveiliging'. Les van het hof over verplichtingen artikelen 5(1)(f) jo. 24 jo 32 AVG.).
  Artikel: 5(1)(f) AVG, 24 AVG, 32 AVG, 82 AVG
  Kort: Vervolg op ECLI:NL:GHARL:2024:6812. Autobedrijf ontvangt ook ongevraagd gevoelige informatie, dat is het niet aan te rekenen (r.o. 3.5). De inrichting en beheer van het e-mailaccount is uitbesteed aan Autosociaal (r.o. 3.6). Hof geeft aan dat het autobedrijf op zichzelf mag vertrouwen op een ISO 27001-gecertificeerd bedrijf voor de beveiliging van haar e-mailaccount, maar t.o.v. de klanten, 'blijft zij als verwerkingsverantwoordelijke verantwoordelijk voor de beveiligingsmaatregelen die Autosociaal als haar verwerker treft'. "Dit betekent dat als Autosociaal niet de juiste maatregelen treft, [het autobedrijf] toch aansprakelijk is voor de schade die een klant daardoor lijdt. ( [het autobedrijf] had Autosociaal in vrijwaring kunnen dagvaarden om haar schade voor zover mogelijk af te kunnen wentelen, maar dat is hier niet gebeurd.)" (r.o. 3.7). Hof komt tot andere conclusie over het risico voor de grondrechten en fundamentele vrijheden van de klanten van het autobedrijf bij de verwerking van pgg via het e-mailaccount van het autobedrijf dan het autobedrijf zelf. (r.o. 3.8). Mooi lesje van het Hof over de invulling van de beoordeling van de risico's (r.o. 3.8) en de vereisten aan duidelijkheid over de concreetheid van de getroffen maatregelen (r.o. 3.11). Het rapport uitgevaardigd door het autobedrijf door de externe partij is onvoldoende concreet over de specifieke genomen maatregelen en welk gevolg daaraan werd gegeven in de specifieke casus. (r.o. 3.11). Ook de organisatorische maatregelen waren onvoldoende overtuigend (toegelicht), zie r.o. 3.12. Dit heeft als gevolg (zoals beschreven in ECLI:NL:GHARL:2024:6812, r.o. 3.27-3.29) dat het de inbreuk op de AVG aan het autobedrijf is toe te rekenen in de zin van artikel 82(1)-(3) AVG. Het causaal verband tussen de inbreuk en de materiële schade is ook aangetoond. (r.o. 3.14), de immateriële schadevergoeding is echter niet voldoende aangetoond (r.o. 3.17).

• Rechtbank Noord-Holland 11 augustus 2025, ECLI:NL:RBNHO:2025:9031 (Toegang tot persoonsgegevens bij doorstart na faillissement: curatoren handelden conform APA en AVG, en CVGI frustreerde zelf toegang door het door de privacy-advocaten onderhandelde Protocol niet te ondertekenen.).
  Onderwerpen: faillissement
  Kort: Doorstart na faillissement. CVGI nam per 1 maart 2023 activa en personeel van het failliete Crown van Gelder B.V. over, nadat curatoren op 23 januari 2023 een volledige digitale back-up van de administratie hadden laten maken. Om te voldoen aan de AVG maakten zij persoonlijke mailboxen en schijven ontoegankelijk, tenzij werknemers expliciet toestemming gaven of bestanden zelf naar een “#BEHOUDEN”-map verplaatsten. In de Asset Purchase Agreement (APA) is vastgelegd dat personeelsadministratie niet wordt overgedragen zonder schriftelijke toestemming van de betrokkene (art. 12.1) en dat CVGI verplichtingen heeft bij verwerking van eventuele persoonsgegevens (art. 12.2). Omdat nog discussie bestond over toegang tot bepaalde bestanden, onderhandelden de privacy-advocaten van beide partijen een Protocol waarin een derde partij de resterende administratie zou screenen en anonimiseren alvorens die aan CVGI werd verstrekt. r.o. 5.6 : "Naar het oordeel van de voorzieningenrechter hebben de curatoren volledig voldaan aan hun verplichting uit artikel 12.1 APA. In genoemd artikel is expliciet bepaald dat administratie en documenten met betrekking tot werknemers van CVG zijn uitgesloten, tenzij de betreffende werknemer schriftelijk toestemming heeft gegeven aan de verkoper (de curatoren) om zulke administratie en documenten over te dragen aan de koper (CVGI). Het gaat CVGI met name om persoonlijke documenten van de voormalig bestuurders van CVG. Deze voormalig bestuurders hebben echter geen toestemming gegeven voor overdracht van de bestanden en documenten aan CVGI. De werkwijze die de curatoren hebben gevolgd, is naar het oordeel van de voorzieningenrechter in lijn met de verplichting die op grond van artikel 6 lid 1 AVG op hen rust. Dat in artikel 12.2 APA is aangegeven hoe CVGI moet omgaan met persoonsgegevens die zij (desondanks of alsnog) in haar bezit heeft gekregen maakt dit niet anders. Hiermee wordt de initiële uitsluiting van deze gegevens immers niet ongedaan gemaakt.". Over het verwijt dat CVGI de curatoren maakte dat deze documenten uit de administratie zouden hebben verwijderd of vernietigd, is de voorzieningenrechter duidelijk; die stelling wordt niet gevolgd (r.o. 5.7 e.v.). CVGI wordt voorts door de voorzieningenrechter verweten dat het door de privacy-advocaten uit onderhandelde Protocol over hoe om te gaan met de apart gezette persoonlijke bestanden vervolgens niet te ondertekenen. Had CVGI dat gedaan had het al geruime tijd geleden toegang kunnen krijgen tot de informatie die zij stelt te missen (r.o. 5.13).
• Rechtbank Amsterdam 28 mei 2025, ECLI:NL:RBAMS:2025:5388 (Verstrekking identificerende gegevens van klant van Bunq moeten verstrekt worden. Art. 6:162 BW als oplossing voor doelbindingsprobleem.).
  Artikel: 6:162 BW, 5(1)(b) AVG, 6(1)(f) AVG, 6(4) AVG, 195a Rv, 196 Rv
  Kort: Bunq wordt verplicht mee te werken aan verstrekken identificerende gegevens klant om een derde de mogelijkheid te bieden de executoriale titel van deze een derde ten uitvoer te kunnen leggen d.m.v. beslaglegging waarvoor de verstrekking van een kopie van de gevorderde persoonsgegevens kennelijk vereist is. Bunq weigerde met een beroep op de AVG maar de Rb. gaat daarin niet mee : "De bescherming van persoonsgegevens strekt er niet toe om verduistering van gelden af te kunnen schermen van civielrechtelijke aansprakelijkheid en verhaalsmogelijkheden. Het gerechtvaardigd belang van [eiser] om zijn rechten als slachtoffer van fraude te kunnen effectueren weegt dan ook zwaarder dan het belang van [naam 2] bij bescherming van zijn persoonsgegevens. [eiser] stelt terecht dat het recht om een vonnis af te dwingen illusoir zou worden indien Bunq zich zou kunnen onttrekken aan haar medewerkingsplicht door te verwijzen naar de AVG. In dit geval is voorts voldaan aan het proportionaliteitsbeginsel. Er is sprake geweest van een omvangrijke fraude en een fraudeur ( [naam 2] ) die zich aan verhaal onttrekt. Aan het subsidiariteitsbeginsel is gelet op het volgende eveneens voldaan." (r.o. 4.5.4). Met betrekking tot de noodzakelijkheid overweegt de Rb. als volgt : "Overigens is niet geheel uitgesloten dat [eiser] de persoonsgegevens ook op een andere wijze zou kunnen verkrijgen, bijvoorbeeld in Duitsland of in Polen. Het begrip “noodzakelijk” mag in deze context echter niet zo eng worden uitgelegd dat de gegevensverwerking steeds slechts als ultimum remedium mag plaatsvinden. Noodzakelijk, maar ook voldoende, is dat de gegevensverwerking in de omstandigheden van het geval voldoet aan de beginselen van proportionaliteit en subsidiariteit. Daarvan is in dit geval dus sprake." (r.o. 4.5.5) De grondslag voor de verwerking is in dit geval 6(1)(f) AVG en het argument van Bunq inzake de verenigbaarheidstoets wordt door de Rb. gepasseerd. Art. 6:162 BW is de lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23(1) AVG bedoelde doelstellingen (i.h.b art. 23(1)(j) AVG). (r.o. 4.5.6.)
• Rechtbank Den Haag 31 juli 2025, ECLI:NL:RBDHA:2025:14322 (AVG wél, maar UAVG niet van toepassing in Risepoint geschil. Beroep op exhibitieplicht wordt niet uitgesloten door een mogelijkheid de eigen pgg te verkrijgen via de AVG. Verzoek strandt echter bij gebrekkige onderbouwing van het belang.).
  Artikel: 4 UAVG, 79 AVG, 79(2) AVG, 194 Rv, 195 Rv
  Kort: Nog een zaak in relatie tot eerder besproken (zie #10) casus over Risepoint (ECLI:NL:RBAM:2025:4663). Over het niet van toepassing zijn van UAVG, zie r.o 4.4. Vervolgens in het kader van het exhibitieverzoek wordt er weliswaar 'verzocht [] om AVG-gegevens, is het subsidiaire verzoek gebaseerd op de tussen partijen gesloten (consumenten)overeenkomst).' Wat betekent dat Rome I van toepassing is en gelet daarop artikelen 194-196 Rv. (r.o. 4.9). Beroep exhibitieplicht wordt niet uitgesloten door een mogelijkheid de eigen pgg te verkrijgen via de AVG.(r.o. 4.11-4.12). Het beroep daarop slaagt alleen niet nu verzoekers 'onvoldoende hebben aangetoond dat zij een rechtmatig belang hebben bij het verkrijgen van een afschrift van hun eigen transactiegegevens'. (r.o. 4.13) Dit is te gebrekkig onderbouwd (r.o. 4.13)
• Rechtbank Midden-Nederland 21 juli 2025, ECLI:NL:RBMNE:2025:3536 (Voldoende (feitelijke) grondslag voor opname persoonsgegevens in Persoonsgerichte Aanpak. Ook mogen de gegevens bewaard blijven ook nadat er een afsluitbrief is verstuurd.).
  Artikel: 6(1)(e) AVG, Convenant Privacyreglement Lokale Persoonsgerichte Aanpak
  Onderwerpen: samenwerkingsverbanden
  Kort: Onterechte opname in de Persoonsgerichte Aanpak (PGA) kan reputatieschade opleveren (r.o. 8). Het feit dat de gegevens nog even opgeslagen blijven maakt dat er sprake is van een doorlopende verwerking ook al is meedegedeeld dat deze gegevens niet langer gedeeld zullen worden. (r.o. 8) Zowel de opname als de blijvende bewaring zijn rechtmatig (r.o. 9 t/m 23). Het besluit is echter gebrekkig geformuleerd omdat e.e.a. pas in het beroep met het verweerschrift en de bestuurlijke rapportage aan de vereiste motivering heeft voldaan. Het bestreden besluit bevat enkel een belangenafweging en is daarom gebrekkig. (r.o. 24)
• Rechten van betrokkene
  • Rechtbank Den Haag 18 maart 2025, ECLI:NL:RBDHA:2025:13489 (Belastingdienst mocht volstaan met een overzicht van de verwerkte persoonsgegevens. Onderliggende documenten niet nodig voor de begrijpelijkheid.).
    Artikel: 41 Hv, 15 AVG, 15(3) AVG
    Kort: Inzageverzoek om meer informatie te krijgen over inschatten gevolgen bijzondere fiscale positie van de betrokkene als medewerker ICC en spitste zich toe op de informatiedeling tussen medewerkers van de belastingdienst onderling. Daar ging de Rb. echter niet in mee (r.o. 5.4.) Het verstrekte overzicht van de pgg was voldoende. Dit was voldoende duidelijk, de context van de overige informatie in de documenten was niet nodig. (r.o. 5.5.) Artikel 41 Hv is niet van toepassing nu zich dit alleen tot de instellingen, organen en instanties van de Unie richt, aldus de Rb. (r.o. 6.2.)
  • Rechtbank Rotterdam 16 juli 2025, ECLI:NL:RBROT:2025:9044 (Geen misbruik van recht door meervoudige AVG-verzoeken in te dienen.).
    Artikel: 15 AVG, 12(5) AVG, 3:13 BW
    Kort: Wordt niet ingegaan op art. 12(5) AVG. Zie ook andere uitspraak hierover. Voorts : r.o. 3.2: "De rechtbank waarschuwt eiser wel dat wanneer hij doorprocedeert op een wijze waarbij hij aanvragen, ingebrekestellingen en rechtsmiddelen via een niet daartoe bestemd (e-mail)adres indient om vervolgens zodra termijnen verlopen bij het bestuursorgaan dan wel bij de rechtbank om dwangsommen verzoekt zonder inhoudelijk tegen een besluit op te komen, hij het risico loopt dat de bestuursrechter in een volgend geval wel misbruik van procesrecht zal aannemen." Zie ook ECLI:NL:RBROT:2025:9045
  • Rechtbank Rotterdam 16 juli 2025, ECLI:NL:RBROT:2025:9045 (Geen misbruik van recht bij AVG-verzoeken).
    Artikel: 15 AVG, 3:13 BW
    Kort: Zie r.o. 4.3. Zie ook ECLI:NL:RBROT:2025:9044
  • Raad van State 6 augustus 2025, ECLI:NL:RVS:2025:3682 (Handhavingsverzoek. Aantekening van verwijderverzoek door GGNet mag blijven bestaan. Uitzondering art. 9(2)(h) AVG van toepassing. Dossierplicht bestaat ook voor verpleegkundige bij een intakegesprek van deze aard.).
    Artikel: 7:454(1) BW, 9(2)(h) AVG, 17(1)(c) AVG
    Kort: Hoger beroep van niet gepubliceerde zaak. "De rechtbank heeft terecht geoordeeld dat de AP zich op het standpunt heeft mogen stellen dat het vastleggen van de aantekening noodzakelijk is voor het beheer van de gezondheidszorgdiensten van GGNet zoals bedoeld in artikel 9, tweede lid, aanhef en onder h, van de AVG. GGNet zal tegenover toezichthouders, zoals de IGJ, zorgverzekeraars en de AP, in voorkomende gevallen moeten kunnen verantwoorden waarom zij bepaalde medische dossiers niet meer onder zich heeft. De Afdeling volgt de stelling van [appellante] dat er geen controles zullen plaatsvinden vanwege het tijdsverloop in de procedure en het achterwege blijven van het indienen van declaraties daarom niet." (r.o. 6.3) Over bestaan dossierplicht zie r.o. 6.5. Zie ook r.o. 6.7
  • Rechtbank Noord-Nederland 6 augustus 2025, ECLI:NL:RBNNE:2025:3230 (Inzageverzoek aan voldaan volgens Rb.).
    Artikel: 15 AVG
  • Raad van State 20 augustus 2025, ECLI:NL:RVS:2025:3961 (Zoekslag onvolledig, besluit tot inzage onzorgvuldig tot stand gekomen.).
    Artikel: 15 AVG
    Kort: Beroep ECLI:NL:RBAMS:2021:3195. Aanvankelijke besluit was onzorgvuldig tot stand gekomen nu na nadere zoekslag is gebleken dat er meer persoonsgegevens werden verwerkt over betrokkene.
  • Raad van State 13 augustus 2025, ECLI:NL:RVS:2025:3869 (Recht op bezwaar is iets anders dan het maken van bezwaar zoals bedoeld in art. 6:4 Awb).
    Artikel: 15 AVG, 21 AVG, 34 UAVG
    Kort: Beroep ECLI:NL:RBROT:2023:168. Het recht op bezwaar is iets anders dan het maken van bezwaar zoals bedoeld in art. 6:4(1) Awb. Dat was de appellante niet duidelijk blijkt. (r.o. 4)
  • Raad van State 13 augustus 2025, ECLI:NL:RVS:2025:3844 (Inzageverzoek aan voldaan.).
    Artikel: 15 AVG
    Kort: Beroep ECLI:NL:RBNNE:2023:4840. Over de formele gronden (r.o. 1 t/m 4). Met verwijzing naar ECLI:EU:C:2023:369 (Österreichische Datenschutzbehörde en CRIF) werkt de ABRvS het inzageverzoek verder uit, daaraan is hier voldoende voldaan. Het recht op inzage stelt in staat om de rechtmatigheid te controleren, maar de vraag of een verwerking rechtmatig is kan in andere procedures aan de orde komen (r.o. 5.4).
  • Rechtbank Midden-Nederland 25 juli 2025, ECLI:NL:RBMNE:2025:4039 (Misbruik van (proces)recht bij wederom nieuwe AVG-verzoeken in langslepend conflict Universiteit Utrecht en oud-medewerker).
    Artikel: 12(5)(b) AVG, 15 AVG
    Onderwerpen: misbruik van recht
    Kort: Zie ook ECLI:NL:RBMNE:2025:4040.
  • Rechtbank Midden-Nederland 25 juli 2025, ECLI:NL:RBMNE:2025:4040 (Misbruik van (proces)recht bij wederom nieuwe AVG-verzoeken in langslepend conflict Universiteit Utrecht en oud-medewerker).
    Artikel: 3:13 BW, 3:15 BW, 12(5)(b) AVG
    Onderwerpen: misbruik van recht
    Kort: Nóg een uitspraak inzake de perikelen van de oud-werknemer van de UU. (zie uitgebreid #9). "In vrijwel elk besluit, elke brief en elk verweerschrift dat het college opstelt, vindt eiser weer een aanleiding tot het indienen van een nieuw AVG-verzoek. In de afgelopen jaren heeft de rechtbank in minimaal 40 zaken uitspraken gedaan over door eiser ingediende AVG-verzoeken, verzoeken om wijziging van functiegroep, rectificatieverzoeken en meldingen van inbreuk, die allemaal zijn terug te voeren op zijn conflict met het college over zijn ontslag in 2010. In die uitspraken is hij veelal in het ongelijk gesteld en is eiser al meermaals duidelijk gemaakt dat zijn verzoeken niet als AVG-verzoeken kwalificeren of niet als zodanig kunnen worden aangemerkt vanwege het repetitieve karakter ervan. Meerdere verzoeken zijn gekwalificeerd als buitensporig in de zin van artikel 12, vijfde lid, aanhef en onder b, van de AVG." (r.o. 4) En hier gaat het weer mis voor de verzoeker, beroepen zijn niet-ontvankelijk. (r.o. 6-7)
• Persvrijheid
  • Gerechtshof Amsterdam 5 augustus 2025, ECLI:NL:GHAMS:2025:2090 (Voldoende maatregelen genomen in televisieprogramma Stegeman op de Bres, dan wel belangenafweging in voordeel van persvrijheid.).
    Artikel: 8 EVRM, 10 EVRM
    Kort: Maatregelen die waren genomen (inkorting naam, blurren gezicht en WhatsApp-profielfoto en gebruik stemvervormer) zijn voldoende om tegemoet te komen aan het belang van bescherming van de persoonlijke levenssfeer van individu in TV-programma. (r.o. 4.13). Voor wat betreft noemen van naam en bedrijfspand dat in beeld komt, valt de belangenafweging (8 EVRM-10 EVRM) uit in het voordeel van het persvrijheid. (r.o. 4.14)
  • Rechtbank Midden-Nederland 8 augustus 2025, ECLI:NL:RBMNE:2025:4201 (Medische informatie over acteur mag door documentaire maker die werkte aan pilotaflevering over het leven van deze acteur niet worden gedeeld/openbaar gemaakt worden.).
    Artikel: 9 AVG AVG, 9 AVG, 9 AVG, 7 AVG, 9 AVG, 9 AVG AVG, 9 AVG, 7 AVG
    Kort: Kort geding. Een acteur wordt gevolgd door een documentairemaker t.b.v. een pilotaflevering om te kijken of er een reality of andere serie kan worden gemaakt over hem. Door het breken van een been tijdens de filmopnames en de nasleep daarvan wordt het niet helemaal wat partijen ervan hadden gehoopt en ook schiet het niet echt op met het afronden van het project. De acteur wil nu dat de beelden niet meer worden gebruikt. Een onderdeel van de zaak is de vraag hoe om te gaan met de medische informatie. Een deel is achter gesloten deuren behandeld, maar de Rb. gaat ook in op artikel 9 AVG in samenhang met het intrekken van toestemming. R.o. 3.18 : "Wat betreft medische informatie geldt het volgende. Uit artikel 9 lid 1 van de Algemene verordening gegevensbescherming (hierna: AVG) volgt dat het verwerken van medische persoonsgegevens in beginsel verboden is. Voor het verwerken van die gegevens is uitdrukkelijke toestemming van de betrokkene vereist (artikel 9 lid 2 sub a AVG). Het is niet gebleken dat [eisende partij sub 1] (al dan niet namens zijn familieleden) uitdrukkelijke toestemming heeft gegeven. Daar komt bij dat een betrokkene op grond van artikel 7 lid 3 AVG zijn toestemming tot verwerking van persoonsgegevens kan intrekken. Voor zover [eisende partij sub 1] toestemming gegeven zou hebben tot verwerking van zijn medische gegevens, heeft hij die toestemming ingetrokken. Andere uitzonderingsgronden uit artikel 9 lid 2 AVG op het verbod tot het verwerken van de medische gegevens van [eisende partij sub 1] of zijn familieleden zijn door [gedaagde] niet gesteld of gebleken. Dat betekent dat [gedaagde] zal worden bevolen om geen medische informatie die hem uit hoofde van opnames van de documentaire of zijn vriendschap met [eisende partij sub 1] bekend is geworden te verspreiden of openbaar te (doen) maken."
  • Raad van State 13 augustus 2025, ECLI:NL:RVS:2025:3833 (Handhavingsverzoek AP. AP mocht met verwijzing naar beleidsregels terecht afzien van uitgebreid onderzoek.).
    Artikel: 58(2)(c) AVG
    Onderwerpen: handhaving
    Kort: Beroep ECLI:NL:RBAMS:2023:1297 (niet-gepubliceerd). Verwijzing naar ECLI:NL:RVS:2023:4624. "De Afdeling is met de rechtbank van oordeel dat de AP met verwijzing naar de beleidsregels er in dit geval van mocht afzien om uitgebreider onderzoek te doen." (r.o. 7)
  • College van Beroep voor het bedrijfsleven 26 mei 2025, ECLI:NL:CBB:2025:418 (Beperkte kennisname persoonsgegevens medewerkers ACM gerechtvaardigd).
    Artikel: 8:29 Awb
    Kort: r.o. 5.4
• Gegevensverwerking in de strafrechtelijke context
  • Raad van State 20 augustus 2025, ECLI:NL:RVS:2025:3981 (Detentie komt voor je eigen rekening. Je moet er dan zelf voor zorgen dat je post op een tijdige en juiste wijze wordt verzorgd.).
    Artikel: 8:29 Awb, 25 Wpg
    Kort: Beroep ECLI:NL:RBNNE:2023:821. Appellant stelt dat hij nooit het bericht van de Rb heeft ontvangen met de vraag of hij toetemming verleend aan de Rb. om stukken onder geheimhouding te verstrekken omdat hij toen in detentie verbleef in Denemarken. Echter, (r.o. 4) "Het is aan [appellant] om bij langdurige afwezigheid zoals detentie, passende en toereikende maatregelen te treffen voor de verzorging van de post waardoor hij, of een door hem aangewezen persoon kennisneemt van de relevante informatie. Niet gebleken is dat [appellant] niet in staat was om ervoor te zorgen dat de voor hem bestemde post op een tijdige en juiste wijze werd verzorgd. Dat [appellant] niet de nodige maatregelen heeft genomen om tijdig kennis te kunnen nemen van de voor hem bestemde post komt voor zijn risico."
  • Raad van State 27 augustus 2025, ECLI:NL:RVS:2025:4089 (Recht op inzage o.g.v. Wpg biedt geen recht op kopie en strekt zich enkel uit tot de eigen pgg niet die van anderen. Geen belangenafweging nodig inzake dienstnummers van politieagenten dus.).
    Artikel: 25(1) Wpg
    Onderwerpen: Inzagerecht
    Kort: Beroep inzake ECLI:NL:RBAMS:2024:1768. "Het recht op inzage uit [] de Wpg ziet op inzage in persoonsgegevens van de verzoeker en niet van anderen. De namen van politieagenten komen daarom niet voor inzage in aanmerking. Dat geldt ook voor de dienstnummers van politieagenten. Aan die conclusie gaat geen belangenafweging vooraf, anders dan de rechtbank heeft overwogen. [] De AP mocht de klacht in zoverre afwijzen." (r.o. 5) Zie ook r.o. 4 inzake recht op inzage dat niet ook betekent een recht op een kopie.
  • Rechtbank Zeeland-West-Brabant 12 augustus 2025, ECLI:NL:RBZWB:2025:5380 (Onderzoek aan telefoons zonder voorafgaande machtiging r-c leidt alleen tot constatering vormverzuim.).
    Onderwerpen: doorzoeking
    Kort: Vormverzuim geconstateerd voor onderzoek aan telefoons zonder voorafgaande machtiging r-c. Rb. stelt vast dat verdachte hierdoor 'in beperkte mate' nadeel heeft ondervonden (r.o. 4.3.1). Consequentie blijft bij de constatering van het vormverzuim.
  • Rechtbank Midden-Nederland 9 juli 2025, ECLI:NL:RBMNE:2025:3297 (Zoekslag korpschef is niet inzichtelijk gemaakt in het bestreden besluit.).
    Artikel: 8(6) Wpg, 25 Wpg, 27(1)(b) Wpg
    Kort: e.e.a. is echter op zitting opgeklaard, daarom met toepassing van 6:22 Awb kan het besluit in stand worden gelaten. Er is geen noodzaak tot het verrichten van een nieuwe zoekslag.
  • Rechtbank Midden-Nederland 19 juni 2025, ECLI:NL:RBMNE:2025:4052 (Voldaan aan inzageverzoek Wpg).
    Artikel: 25 Wpg
  • Rechtbank Den Haag 24 januari 2025, ECLI:NL:RBDHA:2025:14712 (Weigering inzageverzoek Wpg onvoldoende gemotiveerd. Besluit vernietigd, rechtsgevolgen in stand.).
    Artikel: 4(3) Wpg, 25 Wpg, 25(1)(c) Wpg
    Kort: Namen van de politiemedewerkers hoefden niet te worden verstrekt, nu dit niet onder recht op inzage valt. "In het bestreden besluit heeft verweerder gesteld dat de namen van politiemedewerkers en van derden en overige informatie die herleidbaar is of kan zijn naar derden niet zijn verstrekt, omdat dit noodzakelijk en evenredig is ter bescherming van de rechten en vrijheden van derden. Net als eiser vindt de rechtbank dat deze motivering van verweerder tekortschiet. Verweerder heeft hiermee namelijk onvoldoende inzichtelijk gemaakt waarom de weigering om die betreffende informatie te verstrekken noodzakelijk en evenredig is ter bescherming van de rechten en vrijheden van derden. Het bestreden besluit is op dit punt dan ook onvoldoende gemotiveerd." * r.o. 6.3. Het besluit wordt vernietigd maar de rechtsgevolgen blijven in stand, gelet op de nadere toelichting in het verweerschrift en de inzage in de stukken door de Rb. (r.o. 6.4)
  • Raad van State 20 augustus 2025, ECLI:NL:RVS:2025:3976 (Bescherming van het politieonderzoek weegt in dit geval zwaarder dan inzage betrokkene.).
    Artikel: 25 Wpg, 27(1)(b) Wpg
    Kort: Verwijzing ECLI:NL:RVS:2023:1735. Korpschef mocht verstrekken van pvs en nummers daarvan (deels) weigeren. "Door het verstrekken van alle pvs en de nummers zou [appellant] inzicht krijgen in de omvang van het onderzoek en de onderzoeksstrategieën naar hem. [appellant] zou hierop vervolgens kunnen anticiperen en eventuele af te leggen verklaringen hierop kunnen aanpassen." bevestiging oordeel rechtbank. (r.o. 5)
  • Rechtbank Zeeland-West-Brabant 7 augustus 2025, ECLI:NL:RBZWB:2025:5174 (Terechte weigering korpschef van delen van de ter inzage gegeven documenten).
    Artikel: 25 Wpg, 27(1)(b) Wpg, 27(1)(d) Wpg
    Kort: Verzoek om inzage ogv artikel 25, eerste lid Wet Politiegegevens (Wpg)
  • Rechtbank Rotterdam 19 mei 2025, ECLI:NL:RBROT:2025:9956 (Doxing van BOA door filmpjes op TikTok te zetten waarin boa wordt beledigd in combinatie met noemen dienstnummer.).
    Onderwerpen: doxing
    Kort: "De verdachte heeft de verbalisantennummers van de opsporingsambtenaren gevraagd en gekregen en daarbij met zijn telefoon afbeeldingen (filmpjes) gemaakt van de opsporingsambtenaren. Die afbeeldingen, zeker in relatie tot de verbalisantennummers, zijn gegevens waarmee de opsporingsambtenaren zijn te identificeren en daarmee persoonsgegevens." Interessant is de overweging inzake het oogmerk om ernstige overlast te laten ondervinden : "Het op beledigende en intimiderende wijze verzamelen van persoonsgegevens van opsporingsambtenaren om deze op het internet te plaatsen bewijst ook het oogmerk om de opsporingsambtenaren ernstige overlast te laten ondervinden. Het is immers een feit van algemene bekendheid dat mensen heel veel last kunnen hebben als hun persoonsgegevens op een negatieve manier rondgaan op het internet. Of de opsporingsambtenaren ook daadwerkelijk ernstige hinder hebben ervaren, is geen voorwerp van de bewijsvraag. Het gaat erom dat de verdachte bij het vragen naar de nummers en het maken van de filmpjes die bedoeling had." (r.o. 2)
  • Gerechtshof 's-Hertogenbosch 23 december 2024, ECLI:NL:GHSHE:2024:4300 (Strafbare belaging).
    Onderwerpen: belaging, doxing
    Kort: Geen doxing, zoals het werd ervaren, maar strafbare belaging. Hof geeft mooi overzicht van de vereisten van belaging en de toepassing op de casus
  • Gerechtshof 's-Hertogenbosch 22 augustus 2025, ECLI:NL:GHSHE:2025:2301 (Toepassing interstatelijk vertrouwensbeginsel en aanwezigheid voldoende waarborgen gebruik cryptoberichten via JIT gedeeld).
    Onderwerpen: Interstatelijk vertrouwensbeginsel
  • Gerechtshof 's-Hertogenbosch 22 augustus 2025, ECLI:NL:GHSHE:2025:2300 (Rechtmatigheid van door Frankrijk onderschepte en via JIT gedeelde cryptoberichten.).
    Artikel: 126ua Sv, 126uba Sv, 170 Sv
    Onderwerpen: Interstatelijk vertrouwensbeginsel, JIT
    Kort: Rechtmatigheid en betrouwbaarheid van door Frankrijk onderschepte en via een Joint Investigation Team (JIT) gedeelde versleutelde berichten (cryptodata) en de mate waarin de Nederlandse rechter daaraan toetsing kan geven. Eén bericht wordt uitgesloten omdat Frankrijk al op 28 sept. 2020 had meegedeeld dat berichten na 14 juni 2020 niet als bewijs mochten worden gebruikt en het OM dit bericht niet tijdig had verwijderd of daarover de rechtbank/verdediging tijdig ingelicht. Voor de rest van de dataset geldt geen bewijsuitsluiting.
• Woo
  • Raad van State 20 augustus 2025, ECLI:NL:RVS:2025:4001 (Verzoek om inzage in namen melders en de meldingen die tot een huiszoeking leiden zijn geen inzageverzoeken in de zin van de AVG maar een Woo-verzoek).
    Artikel: 15 AVG, 5.5 Woo
    Onderwerpen: Woo, Inzage
    Kort: Beroep ECLI:NL:RBMNE:2023:5179. Verzoek om informatie over melders en meldingen die hebben geleid tot huisbezoeken wordt opgevat als art. 15 AVG verzoek, ten onrechte stelt appellante. "Volgens [appellante] heeft zij geen verzoek om inzage in haar persoonsgegevens gedaan, maar blijkt uit de bewoordingen van haar verzoek dat zij uitdrukkelijk inzage wilde in de meldingen en de melders." (r.o. 4.) de ABRvS gaat daarmee, het was geen inzageverzoek maar een verzoek om verstrekking van documenten die haar betreffen zoals bedoeld in artikel 5.5. van de Woo. (r.o. 5)
  • Rechtbank Rotterdam 15 juli 2025, ECLI:NL:RBROT:2025:9041 (Woo-zaak inzake Huis voor Klokkenluiders, uitzondering goed toegepast.).
    Artikel: 5.1(1)(e) Woo
    Onderwerpen: Woo
    Kort: r.o. 6.3
  • Rechtbank Midden-Nederland 15 juli 2025, ECLI:NL:RBMNE:2025:3526 (Woo-zaak. Namen ambtenaren mochten weggelakt worden).
    Artikel: 5.1(2)(e) Woo
    Onderwerpen: Woo
    Kort: r.o. 15.
  • Rechtbank Rotterdam 20 juni 2025, ECLI:NL:RBROT:2025:7038 (Woo-zaak, weglakken medewerkers personalia is gerechtvaardigd.).
    Artikel: 5.1(2)(e) Woo, 5.5 Woo
    Onderwerpen: Woo
    Kort: Weglakken medewerkers mag. Zie r.o. 4.4.
  • Rechtbank Noord-Nederland 6 augustus 2025, ECLI:NL:RBNNE:2025:3228 (Afwijzing Woo-verzoek. Gaat om Wpg, Wjsg dan wel om AVG-gegevens. Dus vangnetbepaling art. 5.5 is n.v.t.).
    Artikel: 5.5 Woo
    Onderwerpen: Woo
    Kort: "De rechtbank deelt het standpunt van de korpschef dat de gegevens waarvan eiser om openbaarmaking heeft verzocht, gegevens betreffen die onder de Wet politiegegevens (Wpg), Wet justitiële en strafvorderlijke gegevens (Wjsg) dan wel de Algemene Verordening gegevensbescherming (AVG) vallen. Artikel 5.5 van de Woo betreft slechts een vangnetbepaling, die hier niet van toepassing is gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime." (r.o. 3)
  • Raad van State 13 augustus 2025, ECLI:NL:RVS:2025:3827 (Overplaatsbeslissing o.g.v. Penitentiaire beginselenwet betekent dat gegevens op basis daarvan verwerkt worden als tenuitvoeringslegginggegevens zijn te kwalificeren.).
    Artikel: 5.1(1)(d) Woo, 8.8 Woo
    Kort: Is de Woo of Wjsg van toepassing? Relevant voor de toepassing van de Woo. R.o. 4.1 "Ook de aantekeningen van medewerkers van een penitentiaire inrichting over een gedetineerde in een dossier of een ander gegevensbestand die gebruikt kunnen worden voor de onderbouwing van een overplaatsingsbeslissing, kunnen daarom worden gekwalificeerd als tenuitvoerleggingsgegevens."
  • Raad van State 13 augustus 2025, ECLI:NL:RVS:2025:3872 (Woo-zaak. Weigering delen namen ACM-medewerkers die geen publieke functies bekleden gerechtvaardigd.).
    Onderwerpen: Woo
    Kort: Bij de belangenafweging o.g.v. 5.1(2)(e) Woo speelt het verdedigingsbelang van de vennootschappen in de boetezaak en de zaak over een handhavingsverzoek (beiden bij de ACM) geen rol. (r.o. 3.2.)
• Financiële context
  • Rechtbank Noord-Nederland 13 augustus 2025, ECLI:NL:RBNNE:2025:3351 (Voorzieningenrechter gelast ongedaan maken van EVR registratie).
    Onderwerpen: EVR, IVR
    Kort: Voorzieningenrechter verwacht niet dat de bodemrechter zal oordelen dat [eiser] met opzet of bewust de verzekeraar heeft misleid door een onjuiste voorstelling van zaken te geven. Het valt niet te verwachten dat de feiten en omstandigheden naar voren gebracht de maatstaf van een bewezenverklaring in de zin van art. 350 Sv kunnen dragen. (r.o. 2.7 -2.12) de EVR registratie moet ongedaan gemaakt worden. (r.o. 2.13)
  • Rechtbank Gelderland 23 juli 2025, ECLI:NL:RBGEL:2025:6893 (Proportionaliteitsmatrix EVR-registratie. Registratie mag blijven bestaan en er is geen reden om de verkorte termijn van drie jaar verder in te korten.).
    Onderwerpen: EVR, IVR
    Kort: EVR-registratie en toepassing proportionaliteitsmatrix, zie r.o. 4.10 e.v. Nu hogere drempel van EVR-registratie is behaald mogen ook de IVR registraties blijven bestaan (r.o. 4.18)
  • Rechtbank Amsterdam 15 augustus 2025, ECLI:NL:RBAMS:2025:5997 (EVR registratie blijft gehandhaafd).
    Onderwerpen: EVR, PIFI
    Kort: r.o. 4.6
  • Rechtbank Amsterdam 14 augustus 2025, ECLI:NL:RBAMS:2025:6000 (BKR-registratie moet worden verwijderd).
    Artikel: 21 AVG, 79(2) AVG
    Onderwerpen: BKR
    Kort: BKR-registratie moet worden verwijderd nu de banken onvoldoende hebben aangetoond dat er dwingende gerechtvaardigde belangen (het doel van de kredietregistratie) in dit specifieke geval zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van [verzoeker]. (r.o. 4.8). Relevante punten : schulden waren relatief klein, jarenlang voldaan aan betalingsverplichtingen. Dat geen baan als piloot na afronden opleiding kon worden gevonden en dus schulden niet kon terugbetalen betekent niet dat kan worden gezegd dat '[verzoeker] van het ontstaan van de onderhavige schulden een serieus verwijt valt te maken'. zie overige redenen r.o. 4.11 e.v.)
• Overig
  • Rechtbank Noord-Nederland 22 augustus 2025, ECLI:NL:RBNNE:2025:3494 (Prejudiciële vragen aan HR inzake geslachtsaanduidingwijziging op geboorteakte naar 'X').
    Artikel: 8 EVRM
    Onderwerpen: genderidentiteit
    Kort: De Hoge Raad wordt nogmaals gevraagd zich over dit onderwerp te buigen. De eerste keer heeft de HR afgezien van de beantwoording, mede omdat wetgeving op dit terrein in de nabije toekomst viel te verwachten. Dat is echter niet meer zo, wat vragen oproept over de lijn die de HR heeft uitgezet (r.o. 2.17)
  • Parket bij de Hoge Raad 26 augustus 2025, ECLI:NL:PHR:2025:903 (Relaas partner slachtoffer schietpartij over verlies van privacy. Nieuwswaarde en persoonlijke levenssfeer).
    Onderwerpen: shockschade
    Kort: Deze zaak is toegevoegd vanwege bijlage 10. Het verhaal van de partner van een slachtoffer van een schietpartij. In essentie een vraag naar de verhouding tussen nieuwswaarde en de persoonlijke levenssfeer. Foto's van het huis, auto's, naambordjes met de naam er op, etc. "Er volgen foto's en artikelen over ons huis, over onze auto's, ons naambordje met ook mijn naam er op (staan nog op Google), artikelen waarin wordt gezegd dat het om een man gaat met veel en dure auto's achter de poort. Dat alles was nogal een inbreuk op de privacy en is het nog steeds. Ik begrijp dan ook niet dat dit soort informatie zo wordt vrijgegeven, ik begrijp niet dat er geen rekening wordt gehouden met inbraakgevoeligheid in deze? Dat frustreert mij tot op de dag van vandaag nog steeds, dat mensen weten wat je hebt. Je bent niet meer anoniem. Wij hebben er altijd alles aan gedaan om zo min mogelijk op te vallen met dure spullen, maar vervolgens weet heel Nederland wat je achter de poort hebt staan. Ik begrijp niet dat daar niet discreter mee om is gegaan door de krant. Gaat het om een verdachte, dan is een krant vaker discreter. Waarom een slachtoffer niet sparen, maar een verdachte wel in zijn of haar privacy? Wordt 0 over nagedacht mijn inziens. En dit komt iedere keer weer terug als er een nieuwsbericht is. De ene krant blurt het kenteken, de andere krant het naambordje. Ga een half uur zoeken op Google en het plaatje is compleet."
  • Raad van State 22 augustus 2025, ECLI:NL:RVS:2025:4052 (Beroep 8:29(3) Awb gehonoreerd nu het gaat om gegevens betreffende gezondheid.).
    Artikel: 4(15) AVG, 8:29(3) Awb
    Kort: In het kader van een procedure inzake schade na een onrechtmatige gegevensverwerking wordt een beroep op art. 8:29(3) Awb toegekend omdat de stukken gegevens over de gezondheid van [appellant] bevatten. Zie r.o. 4.
  • Gerechtshof Arnhem-Leeuwarden 1 juli 2025, ECLI:NL:GHARL:2025:4776 (Burenruzie. Cameras. De privacy-masks zijn onvoldoende, ze moeten worden afgeplakt.).
    Artikel: 6:162 BW
    Onderwerpen: cameras
    Kort: r.o. 3.28. Tegen de achtergrond van de escalerende ruzie tussen partijen en de verstoorde verhoudingen "acht het hof van belang dat het voor [geïntimeerden] kenbaar is dat de cameras niet ook (een deel van) hun perceel opnemen. In het kader van het treffen van een tijdelijke voorziening heeft de voorzieningenrechter tegen deze achtergrond [appellanten] dan ook kunnen veroordelen tot het afplakken van de betrokken cameras. Van een permanente blokkering van de opname mogelijkheden van de cameras met het privacy-mask van het perceel van [geïntimeerden] is immers geen sprake is. Het afplakken is dan een afdoend alternatief." (r.o. 3.28) Zie ook verder die overweging.
  • Rechtbank Midden-Nederland 7 augustus 2025, ECLI:NL:RBMNE:2025:4161 (Burenruzie. Camera's. Twee moeten weg, eentje mag blijven maar moet op eigen perceel gericht worden.).
    Artikel: 6:162 BW
    Onderwerpen: cameras
    Kort: Camera's kunnen niet alleen een groot gebied bestrijken maar ook geluid registreren. Ook al wordt daar geen gebruik van gemaakt, neemt de kantonrechter de mogelijkheid daartoe wel mee in de afweging. Deze moeten weg. De voordeurcamera mag blijven nu deze alleen de (eigen) voortuin in beeld brengt.
  • Rechtbank Gelderland 23 juli 2025, ECLI:NL:RBGEL:2025:6142 (Brief aan verkeerde persoon gestuurd aan eiser, maar dat levert geen onrechtmatige bestuurswijze van gemeente op.).
    Kort: "Het is weliswaar onzorgvuldig dat de gemeente een brief die bestemd is voor iemand anders aan [eiser] heeft gestuurd, maar deze onzorgvuldigheid is niet van dien aard dat dit tot de conclusie zou moeten leiden dat de gemeente een onrechtmatige bestuurswijze hanteert." r.o. 4.9.
  • Rechtbank Rotterdam 7 juli 2025, ECLI:NL:RBROT:2025:7939 (Handhavingsverzoek AP inzake GIR-melding gemeente Den Haag. AP mocht beslissen geen onderzoek in te stellen n.a.v. de klacht.).
    Artikel: 57(1)(f) AVG
    Onderwerpen: GIR-melding
    Kort: Registratie van een GIR-melding (grensoverschrijdend gedrag) door Gemeente Den Haag. Hierover klaagde de persoon over wie de melding ging bij de AP. De AP heeft een normoverdragende brief gestuurd naar de gemeente Den Haag maar dat was het en eiser vond dat onvoldoende. "Uit het dossier volgt namelijk dat de betreffende GIR-registratie over eiser na enkele weken weer is verwijderd. De vermeende overtreding is dan ook niet meer aan de gang. Vanwege het verwijderen van de registratie kan de AP ook niet meer vaststellen of sprake is van een opzettelijke overtreding van de AVG of dat de vermeende overtreding een zware maatschappelijke impact heeft gehad. Hierdoor is de beoordeling of sprake is van een overtreding lastig en is handhaving ook niet meer aan de orde." (r.o. 3.7.) Onduidelijk uit de zaak blijkt echter waarom er een normoverdragende brief is gestuurd als de klacht niet nader is behandeld. Waar deze brief dan op zag is onduidelijk. De Rb. stelt vast dat de AP deze klacht niet nader hoefde te behandelen.
  • Raad van State 20 augustus 2025, ECLI:NL:RVS:2025:3962 (Gedeeltelijk toewijzen inzageverzoek bij AIVD om dossier niet-actuele gegevens terecht.).
    Artikel: 23 Wiv 2017, 80 Wiv 2017, 84 Wiv 2017
    Kort: Beroep ECLI:NL:RBDHA:2024:14404.
  • Centrale Raad van Beroep 8 juli 2025, ECLI:NL:CRVB:2025:1143 (Intrekken bijstand na opvragen bankafshcriften en testament, en ook het horen van de broer. Geen schending art. 8 EVRM.).
    Artikel: 8 EVRM, 53a Pw
    Onderwerpen: Bijstand
    Kort: Intrekken bijstand. "Het opvragen van de bankafschriften en het testament en het horen van de broer, die in het testament is aangesteld als bewindvoerder voor het legaat van appellant, maken inbreuk op het recht op privacy van appellant. De algemene onderzoeksbevoegdheid van artikel 53a van de PW biedt daarvoor in dit geval een toereikende wettelijke grondslag in de zin van artikel 8, tweede lid, van het EVRM." (r.o. 4.4.3) Deze voldoet voorts aan de subsidiariteit en proportionaliteitsvereisten (r.o. 4.4.4)
  • Rechtbank Midden-Nederland 4 augustus 2025, ECLI:NL:RBMNE:2025:4117 (Opvragen bankgegevens voor langere periode in het kader van Participatiewet in dit geval niet disproportioneel en voldoet aan subsidiariteitsvereiste.).
    Artikel: 8 EVRM
    Onderwerpen: Bijstand
    Kort: r.o. 15-16. Dusdanig veel twijfel en vragen n.a.v. overzicht van drie maanden dat opvragen over langere periode gerechtvaardigd is.

🇪🇺 EDPB

• EDPB, EDPB-EDPS Joint Opinion 01/2025 on the Proposal for a Regulation on simplification measures for SMEs and SMCs, in particular the record-keeping obligation under Art. 30(5) GDPR, 2025.
• EDPB, Statement 4/2025 on the European Commission’s Recommendation on draft non-binding model contractual terms on data sharing under the Data Act, 2025
• EDPB, EDPB comments on European Commission’s Guidelines on Art. 28 DSA, 2025
• EDPB, EDPB contribution to the EBA public consultation on draft regulatory technical standards on AML/CFT, 2025
• EDPB, The Helsinki Statement on enhanced clarity, support and engagement, 2025
• EDPB, Visa Information System (VIS) Supervision Coordination Group activity report 2023-2024, 2025 
• Opinions over BCRs etc
  • EDPB, Opinion 13/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the Aramex Group, 2025
  • EDPB, Opinion 14/2025 on the draft decision of the Norwegian Supervisory Authority regarding the Controller Binding Corporate Rules of the Wilh. Wilhelmsen Group, 2025
  • EDPB, Opinion 15/2025 on the draft decision of the Austrian Supervisory Authority (AT SA) regarding the certification criteria of BDO Consulting GmbH, 2025
  • EDPB, Opinion 16/2025 regarding the draft decision of the German North Rhine Westphalia Supervisory Authority regarding Trusted Site Data Privacy (TÜV IT) certification criteria, 2025

🇳🇱 Autoriteit Persoonsgegevens

• Algemeen
  • Autoriteit Persoonsgegevens, Aan de slag met algoritmeregistratie: handvatten voor organisaties, 2025. 
  • Autoriteit Persoonsgegevens, Ambtsbericht AP over onder andere Unibet, 2025
  • Autoriteit Persoonsgegevens, Ambtsbericht AP registratieplicht Israël, 2025
  • Autoriteit Persoonsgegevens, Reacties consultatie visie generatieve AI, 2025
  • Autoriteit Persoonsgegevens, Rapportage AI & Algoritmes Nederland (RAN) - juli 2025
  • Autoriteit Persoonsgegevens, Position paper: slagvaardige AP voor een eerlijke, veilige en open digitale samenleving. Het is onduidelijk wat de aanleiding van dit position paper is, of waar het gepresenteerd wordt. Ik kon de ronde tafel of technische briefing niet vinden.
  • Autoriteit Persoonsgegevens, Handvatten betekenisvolle menselijke tussenkomst
• Wetgevingsadviezen
  • Toets Besluit proactieve dienstverlening SZW
  • Toets Energieregeling
  • Toets Evaluatiewet Wvggz en Wzd
  • Toets Regeling erkenningen wegverkeer
  • Toets wetsvoorstel kennisprogramma beroepsziekten
  • Toets wijziging Uitvoeringsregeling visserij
  • Toets wijziging Wet structuur uitvoeringsorganisatie werk en inkomen
  • Toets wijziging Woningwet en Huisvestingswet 2014
• Vergunningen
  • Besluit vergunning Gatekeeper 2024 
    Hierbij het protocol zelf. (In dit protocol staan voorwaarden voor havens, luchthavens en andere gevoelige logistieke locaties om personen te kunnen weigeren die eerder op zo’n locatie betrokken waren bij (drugs)criminaliteit.)
  • Besluit vergunning collectief winkelverbod binnenstad Leeuwarden
  • Besluit vergunning collectief winkelverbod centrum Hoogeveen
  • Besluit vergunning collectief winkelverbod Supermarkten Venray
  • Besluit vergunning collectieve horecaontzegging Deventer
  • Besluit vergunning collectieve horecaontzegging Oss
• Woo-besluiten
  • Activiteiten AP in het onderwijs
  • Bewijsbeleid AP
  • Contacten en documenten over Transactie Monitoring Nederland (TMNL)
  • Correspondentie NZa
  • Brieven onderzoeken cookiebanners
  • Datalek GGD en onderzoek
  • Handhavingszaken zonder gepubliceerd besluit (afgewezen)
  • Informatie datalekken
  • Documenten documenten over het beleid en de richtlijnen rond informele handhaving, en de motivering van keuzes bij de behandeling van een specifieke klacht.
  • Informatie Google Analytics
  • De procedure voor het afhandelen van klachten die door de AP zijn doorgestuurd naar een andere Europese toezichthouder
  • Openbaarmaking handhavingsbesluit waarnaar wordt verwezen in een uitspraak van de rechtbank Den Haag (ECLI:NL:RBDHA:2024:17249).

🧑‍💻 Rathenau Instituut

Rathenau Instituut, 'Inclusief online. Naar een ontwerp van apps en omgevingen waar mensen vrij en veilig kunnen zijn' (auteurs: Nieuwenhuizen, W., Nieuwenhuis, T., Van Eeden, Q., & Van Huijstee, M.)
Kort: "Uit dit onderzoek komt naar voren dat online omgevingen mensen veel kunnen bieden. Voor inclusieve online omgevingen zijn een aantal randvoorwaarden nodig: (...) • Veiligheid en privacy" en verderop : "Hoewel fundamentele rechten zoals vrijheid van meningsuiting, privacy en veiligheid wettelijk zijn verankerd, worden deze online nog onvoldoende gerealiseerd. De manier waarop veel online omgevingen zijn ingericht, met gecentraliseerde governance en datagedreven verdienmodellen, staat op gespannen voet met zeggenschap en inclusie. Tegelijkertijd neemt de pluriformiteit van het online landschap af, wat de keuzemogelijkheden voor gebruikers verder beperkt. Dat stelt zowel overheden als beheerders van online omgevingen voor een urgente opgave. Dit rapport benoemt twee richtingen voor verbetering: (1) versterken van inclusiebinnen huidige online omgevingen, en (2) systeemverandering gericht op een inclusiever landschap van online omgevingen." (p. 6-7) Zie uitgebreid pagina 43-46.

🇪🇺 EU-nieuws

• Briefing over de Payment services framework voor het Europees Parlement
• Het Deense presidentschap wil vaart zetten achter Omnibus IV blijkt uit het programma (p. 10 & 36) en ook de 'Child Sexual Abuse (CSA) Regulation and Directive' hebben een 'high priority' (p. 24 & 36).

🏢 Overheidsnieuws :

• Rapport 'Definitieve conceptkerndoelen digitale geletterdheid' (juli 2025) inclusief toelichtingdocument.
  Kort : Kerndoel 24 : 'De leerling participeert in de gedigitaliseerde wereld.' begint met : "De leerling gaat veilig, om met digitale, systemen, data en de, privacy van zichzelf en anderen." Wat onder meer wordt uitgewerkt tot : "wegen van dilemma’s bij het delen van zowel eigen persoonsgegevens, data, informatie en digitale content als die van anderen;" (p. 18)
• Kabinetsreactie op Rapportage AI & Algoritmerisico’s Nederland (RAN) van de Autoriteit Persoonsgegevens
  Kort: Een kabinetsreactie op RAN 4 van 12 feb 2025.
• Kamerbrief over stand van zaken herziening Wet op de inlichtingen- en veiligheidsdienst 2017 (Wiv 2017)
  Kort: Eveneens over de invoeringstoets van de Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen.
• De BNC Fiche over het Omnibus IV voorstel (de wijziging van onder meer de AVG om bepaalde steunmaatregelen voor het mkb uit te breiden naar small mid-cap ondernemingen en aanvullende vereenvoudigingsmmatregelen)
  Kort : Dit is de inzet van het kabinet in Europa met betrekking tot artikel 30 AVG aanpassingen: "Het kabinet verwelkomt het feit dat deze verruiming aansluit bij het risicogebaseerde karakter van de AVG, waarin de lasten van naleving in verhouding staan tot het risico voor de rechten en vrijheden van betrokkenen. Wel constateert het kabinet dat met name kleinere organisaties moeite kunnen hebben om te bepalen wanneer sprake is van een hoog risico. Het kabinet vindt het belangrijk dat hierover in de praktijk meer duidelijkheid wordt geboden". En ten aanzien van artikelen 40 en 42 AVG : "Het kabinet staat positief tegenover het voorstel om de reikwijdte van de artikelen 40, eerste lid, en 42, eerste lid, uit te breiden, zodat ook expliciet rekening wordt gehouden met de behoeften van SMC’s. Tegelijkertijd onderkent het kabinet dat het opstellen van gedragscodes in de praktijk complex is. Hoewel dergelijke codes juist kunnen bijdragen aan lastenverlichting door samenwerking op sectorniveau te stimuleren, wordt er zeer beperkt gebruik van gemaakt. Ondernemingen wijzen daarbij op obstakels zoals de eis om een geaccrediteerde toezichthoudende instantie in te stellen, beperkte betrokkenheid van gegevensbeschermingsautoriteiten en langdurige goedkeuringsprocedures. In het voorstel benadrukt de Commissie opnieuw de mogelijkheid tot het opstellen van gedragscodes en moedigt zij lidstaten aan het gebruik daarvan te bevorderen. Om dit aantrekkelijker te maken is mogelijk verdere vereenvoudiging wenselijk om de eisen voor het gebruik van gedragscodes te verlichten." (p. 6-7)
• Beleidsreactie bij het reflectieverslag van het onderzoek van de Inspectie belastingen, toeslagen en douane (IBTD) ''De fraudeaanpak en privacypuzzel''
  Kort: De staatssecretaris informeert de Kamer dat de Belastingdienst naar aanleiding van het IBTD-reflectieverslag werkt aan een AVG-proof meldingenproces, verbeterde privacy-organisatie en duidelijkere governance om urgente fraude-meldingen beter en zorgvuldiger te verwerken.

🇳🇱 Wetsvoorstellen :

• Nader rapport Wet terugkeer en vreemdelingenbewaring welke enkele bepalingen wijzigt n.a.v. het advies van de Afdeling Advisering van de Raad van State.

📣 Internetconsultaties

• Wijziging Besluit zorg en dwang ivm gegevensverwerking strafrechtelijke cliënten
  Deadline : 15-09-2025
  Kort : "Er wordt een artikel in het Besluit zorg en dwang toegevoegd. Dat is nodig om voor  mensen een goede plek in een zorginstelling te vinden. Het gaat om mensen die bij de strafrechter moeten komen. Door die verandering geven organisaties, zoals zorgkantoren en zorgaanbieder, elkaar gegevens over die mensen."
• Fiscale verzamelwet 2027
  Deadline: 18-09-2025
  Kort: Naast wijziging van verwijzingen naar het Cbp, wordt er met deze verzamelwet ook enkele ingrijpendere wijzigingen voorgesteld, zoals het creëren van enkele grondslagen (p. 38 e.v.).

📚 Vakliteratuur

• J.J. Oerlemans, 'Verder kijken dan je neus lang is' Computerrecht 4/2025
  "Het gaat niet alleen om minimale aanpassingen om aan de vereisten van het HvJ EU te voldoen. We moeten meer systemisch denken: wat betekenen deze uitspraken voor andere bevoegdheden waarbij locatiegegevens worden verkregen? Moet de bevoegdheid tot het doorzoeken ter inbeslagneming van gegevens ook worden herzien? En wat zijn de voor- en nadelen van een nieuw in te richten onafhankelijk toetsingsorgaan? We mogen toch verwachten dat de wetgever dit soort voor de hand liggende vragen zelf oppakt. Anders blijven we afhankelijk van de volgende reeks prejudiciële vragen."
• L. de Béthune & L. Drechsler, 'eIDAS II: het sluitstuk van de Europese digitale transitie?' Computerrecht 4/2025
• C.H.R.M. van der Hoeven & J.M. Brölmann, 'De nieuwe Energiewet: overregulering van data (naast de AVG en NIS2) of (gemiste) kansen voor de markt?' Bb 2025/44
• A.A. Avramenko, 'Privacy vs. Whistleblowing: Can Data Breaches Be Justified During Public Disclosure?', TvCU 2025/3
• En nog een laatste Wij van WC-eend :
  A. Berlee, 'Analyse van het voorstel van de Staatscommissie voor een algemene grondslag voor gegevens­deling tussen overheidsinstanties in het belang van de burger', TVCR 2025/2 (open access)

Editie #12 komt rond 15 sept 2025
Tot dan!