#9 De Privacy Nieuwsbrief

Beste lezer,

We zien elkaar even niet, en ondertussen is het kabinet gevallen, zijn er plannen gepresenteerd om de AVG aan te passen en er komen procedurele regels voor het vereenvoudigen van grensoverschrijdende onderzoeken.

Het feit dat de verkiezingen worden gehouden op 29 oktober geeft Nederland (voorlopig) een primeur. Vanaf 10 oktober - midden in de hectische laatste weken van de verkiezingsstrijd - gelden de regels van Verordening 2024/900 over transparantie en gerichte politieke reclame. De artikelen 18 en 19 stellen specifieke eisen aan targetingtechnieken en transparantie bij politieke onlinereclame, waarbij steeds aansluiting wordt gezocht bij de AVG.

De Autoriteit Persoonsgegevens stuurde in juni 2024 al een brief naar politieke partijen over persoonsgegevensverwerking tijdens verkiezingscampagnes. Ook ligt er nog een handleiding uit 2021. Beide documenten mogen dus nu wel worden geüpdatet - en snel ook...

Veel leesplezier met al het andere dat er de afgelopen tijd is gebeurd!

Anna Berlee

🇪🇺 EU rechtspraak

• HvJ EU 5 juni 2025, C-541/24 (Naltov).
  Artikelen: 7 Hv, 8 Hv, 47 Hv
  Kort: Het Hof van Justitie wordt in deze zaak gevraagd om uitspraak te doen over de prejudiciële vraag of advocaten het recht hebben om elk gerechtelijk dossier in te zien, ook zonder dat zij als gemachtigde van een partij optreden.
  De nationale wetgeving in Bulgarije maakt dit mogelijk. De verwijzende rechter stelt echter dat deze bepaling is ingevoerd om advocaten in staat te stellen kennis te nemen van een zaak voordat zij worden gemachtigd, zodat zij kunnen beoordelen of zij de zaak al dan niet kunnen behandelen. Deze regeling is dus bedoeld om het gebruik van advocatendiensten te vergemakkelijken en aldus het recht op een eerlijk proces te waarborgen.
  De verwijzende rechter heeft echter twijfels over de verenigbaarheid van deze onbeperkte toegang van advocaten tot alle gerechtelijke dossiers met het recht op bescherming van persoonsgegevens. Deze vraag wordt vervolgens voorgelegd aan het Hof van Justitie, dat echter weigert deze in behandeling te nemen omdat het onbevoegd is.
  Volgens de vaste rechtspraak betreffende artikel 267 VWEU is de nationale instantie namelijk alleen bevoegd om het Hof te verzoeken om een prejudiciële beslissing indien er een geschil voor hen aanhangig is en zij moeten beslissen in het kader van een procedure die leidt tot een rechterlijke beslissing. In deze situatie waren deze voorwaarden niet vervuld. Daarom komt het Hof van Justitie niet toe aan een inhoudelijke beoordeling van deze overigens zeer interessante vraagstukken.
• AG Čapeta 5 juni 2025, C-769/22 (Commission v Hungary (Valeurs de l’Union)). 
  Artikel: 8(2) Hv, 10 AVG
  Kort: In deze zaak heeft de Europese Commissie een beroep ingesteld tegen Hongarije wegens het aannemen van nationale wetgeving die strengere maatregelen oplegt tegen pedofiele seksuele delinquenten en bepaalde wetten wijzigt ter bescherming van kinderen. Deze wetgeving verbiedt of beperkt de toegang van minderjarigen tot content waarin genderidentiteiten die niet overeenkomen met het bij de geboorte toegewezen geslacht, geslachtsverandering of homoseksualiteit worden gepromoot of afgebeeld, wat volgens de Commissie in strijd is met diverse EU-richtlijnen en het Handvest van de grondrechten van de Europese Unie. Als vierde middel geeft de Commissie aan dat regel 8, die is opgenomen in de wet op het strafregister, in strijd is met artikel 10 AVG jo 8(2) Hv. "342. Regel 8 machtigt organen die toegang hebben tot geregistreerde gegevens om „bevoegde personen” toegang te bieden tot het strafblad van personen die zijn veroordeeld voor seksuele misdrijven tegen kinderen. Wat de categorisering van „bevoegde personen” betreft, is in § 75/B, lid 3, van de wet op het strafregister bepaald dat de beschikbaarstelling van geregistreerde gegevens alleen is toegestaan indien de persoon die om deze gegevens verzoekt een volwassene is die ofwel een familielid is van een persoon die de leeftijd van 18 jaar nog niet heeft bereikt, ofwel iemand die verantwoordelijk is voor de opvoeding van, het toezicht op of de zorg voor een dergelijke persoon." Deze regel gaat echter volgens de A-G verder dan nodig is om de bescherming van minderjaringen te waarborgen en is niet evenredig (punt 351). Zie uitgebreid 352-359.

👩‍⚖️ EHRM rechtspraak

• EHRM 22 mei 2025, Appl. nr. 10870/15 (CASE OF IORDAN v. THE REPUBLIC OF MOLDOVA).
  Artikel: 10 EVRM
  Kort: In deze zaak klaagde rechter Iurie Iordan dat de binnenlandse rechtbanken weigerden een journalist te veroordelen voor het verspreiden van vermeend valse uitspraken die suggereerden dat hij betrokken was bij corruptie. De journalist had een video gepubliceerd waarin Iordan een envelop ontving, wat later een familieaangelegenheid bleek te zijn. Het EHRM oordeelde dat er geen schending van (de positieve verplichtingen uit) artikel 8 van de Conventie was, omdat de nationale instanties een juiste balans hadden gevonden tussen Iordan's recht op reputatiebescherming en de journalist's recht op vrijheid van meningsuiting. Het EHRM vond geen bewijs van kwade trouw of opzettelijke verspreiding van onjuiste informatie door de journalist. De beperkte reikwijdte van de belangenafweging was grotendeels te wijten aan Iordan's keuze voor een administratieve in plaats van een civiele procedure, waarbij de nadruk lag op het aantonen van bewuste onwaarheid in de uitspraken. (r.o. 36)
• EHRM 27 mei 2025, Appl. nrs. 39056/22;39544/22;39548/22;40324/22;40326/22;41239/22;46215/22;46221/22;47161/22;47682/22 (CASE OF SELISHCHEVA AND OTHERS v. RUSSIA).
  Artikel: 8 EVRM
  Kort: In deze zaak tegen Rusland onderzocht het EHRM de weigering om tien Russische staatsburgers als kandidaten voor gemeenteraadsverkiezingen te registreren. Deze weigeringen waren gebaseerd op politie-informatie die de betrokkenheid van de verzoekers bij als "extremistisch" bestempelde organisaties beweerde, waaronder die van oppositieleider Aleksey Navalnyy. De beslissing om hun registratie te weigeren was gebaseerd op informatie zoals deelname aan protesten, engagement op sociale media en activiteiten ter ondersteuning van politieke kandidaten. Het EHRM oordeelde dat deze handelingen een schending van Artikel 8 EVRM vormden, omdat de verzameling en het gebruik van deze persoonlijke gegevens zonder duidelijke wettelijke basis (kon niet op 'general police powers' gebaseerd worden, r.o. 25) en zonder transparantie plaatsvonden of voldoende waarborgen (r.o. 27-28). Bovendien was er geen mogelijkheid voor de verzoekers om de juistheid van de gegevens aan te vechten (r.o. 26), wat de inbreuk niet "in overeenstemming met de wet" en niet noodzakelijk in een democratische samenleving maakte.
• EHRM 3 juni 2025, Appl. nr. 9389/19 (CASE OF UYGUN v. TÜRKİYE).
  Artikel: 8 EVRM
  Kort: In deze zaak, werd Emrah Uygun, die na de couppoging in 2016 werd vastgehouden wegens vermeend lidmaatschap van de FETÖ/PDY terroristische organisatie, geconfronteerd met de inbeslagname van een brief aan zijn verloofde door de gevangenisautoriteiten. Uygun betoogde dat dit zijn recht op eerbiediging van zijn privéleven en correspondentie onder art. 8 EVRM schond. Het EHRM oordeelde dat de weigering om de brief te versturen een inmenging vormde in Uyguns recht op correspondentie, en hoewel de inmenging een wettelijke basis had en een legitiem doel diende, was deze niet proportioneel of noodzakelijk in een democratische samenleving (r.o. 60-62, 70). De autoriteiten hadden niet voldoende rekening gehouden met minder beperkende maatregelen, zoals het verzenden van de brief na redactie/weglakken van de bezwaarlijke inhoud, en hadden de persoonlijke aard van de rest van de brief niet voldoende gewogen (r.o. 68-69). Het Hof concludeerde daarom dat er sprake was van een schending van art. 8 EVRM (r.o. 72).
• EHRM 5 juni 2025, Appl. nr. 9989/20 (AFFAIRE STRĂISTEANU c. RÉPUBLIQUE DE MOLDOVA).
  Artikel: 10 EVRM
  Kort: De klacht betrof de beslissing van administratieve rechtbanken om het recht van T.P. op privacy te laten prevaleren boven het recht van de verzoekster op vrijheid van meningsuiting, zonder een juiste belangenafweging te maken. T.P. had gewelddadige, obscene en homofobe uitspraken gedaan tijdens de Pride Week in Chișinău, en de verzoekster, een bekende LGBTQ+ activiste, had hierover video's op Facebook geplaatst. De verzoekster werd bevolen deze video's te verwijderen. Het Hof concludeerde dat de administratieve rechtbanken ten onrechte het recht op privacy van T.P. zwaarder lieten wegen zonder voldoende rekening te houden met de vrijheid van meningsuiting van de verzoekster, waardoor artikel 10 EVRM was geschonden (r.o. 69-76)
• EHRM 12 juni 2025, Appl. nr. 33037/22 (CASE OF T.H. v. THE CZECH REPUBLIC).
  Artikel: 8 EVRM
  Kort: In deze zaak weigerden de Tsjechische autoriteiten om de persoonlijke numerieke code van T.H., die het geslacht op de identiteitskaart aangeeft, te wijzigen. T.H. identificeert zich als non-binair en wilde de geslachtsaanduiding (en de numerieke code waaruit dat ook bleek) wijzigen van man naar vrouw of naar een neutrale code, maar weigerde de vereiste geslachtsveranderende operatie vanwege mogelijke medische complicaties. Het Hof benadrukte dat het recht op privéleven, inclusief genderidentiteit, beschermd wordt onder art. 8 EVRM en dat staten een positieve verplichting hebben om snelle, transparante en toegankelijke procedures te bieden voor het wijzigen van de geslachtsaanduiding (r.o. 48-49). Het EHRM oordeelde dat het vereisen van sterilisatie of operatie die dat risico met zich meebrengt voor juridische geslachtsherkenning in strijd is met art. 8 EVRM, omdat het de volledige uitoefening van het recht op respect voor privéleven afhankelijk maakt van het opgeven van de fysieke integriteit (r.o. 56). De Tsjechische wetgeving, zoals die tot 30 juni 2025 van kracht was, maakte het onmogelijk voor transgender personen om hun geslacht juridisch te laten erkennen zonder operatie, wat dus leidde tot een schending van art. 8 EVRM (r.o. 60).

🇳🇱 Nederlandse rechtspraak

• Rechtbank Noord-Holland 21 januari 2023, ECLI:NL:RBNHO:2023:14261 (Veilig Thuis heeft onderzoek gedaan op grond van dubbele anonieme melding zonder daar transparant over te zijn. Dit levert een probleem voor de daarop gebaseerde gegevensverwerking op).
  Kort: Veilig Thuis heeft op basis van drie meldingen, waaronder twee dubbel anonieme meldingen en één van de politie, besloten tot een onderzoek naar de thuissituatie van het gezin [eiser 1]. Veilig Thuis heeft informatie verzameld zonder de nodige transparantie te bieden aan het gezin over de aard van de meldingen, wat in strijd is met de AVG en haar eigen protocol. De voorzieningenrechter oordeelt dat Veilig Thuis niet mag volharden in haar onderzoek, daar er geen voldoende wettelijke basis is voor de verwerking van persoonsgegevens in deze context.
  Het punt over vernietiging van het dossier staakt bij niet-ontvankelijkheid aangezien er geen spoedeisend belang was (of onvoldoende onderbouwd) waarom geen gebruik is gemaakt van de termijn genoemd in het besluit. (r.o. 5.17)
• Rechten van betrokkene

• Rechtbank Zeeland-West-Brabant 15 mei 2025, ECLI:NL:RBZWB:2025:2946 (Tussenuitspraak Wpg en AVG inzageverzoeken over mogelijk radicaliseringsrapport. Stukken met citaat omtrent afkomst betrokkene moeten worden gestuurd naar Rb. voor beoordeling of kopie daarvan ook aan betrokkene moet worden gegeven.).
  Artikel: 10 Wpg, 25 Wag, 15 AVG, 15(3) AVG
  Kort: Tussenuitspraak. Uitgebreid inzageverzoek in Wpg en AVG gegevens bij Politie aanwezig. Het ging de betrokkene om een radicaliseringsrapport dat volgens de politie niet bestaat. Een citaat dat betrokkene heeft komt niet daaruit, maar ergens anders vandaan. (r.o. 8.6) Vragen over reikwijdte zoekslag. "Gelet op het zeer uitgebreide verzoek van eiser, en het ontbreken van de gevraagde nadere concretisering van dat verzoek, heeft de korpschef, door te volstaan met het zoeken in de gebruikelijke systemen, voldoende onderzoek verricht. Van de korpschef kan, zonder dat daarvoor aanleiding is, niet worden verwacht worden dat hij bij zon ruim geformuleerd verzoek zoekt binnen alle systemen waarmee en op alle plaatsen waar de organisatie en zijn circa 65.000 medewerkers werken. Eiser heeft niet concreet benoemd waarom de gegeven overzichten niet compleet zouden zijn." (r.o. 8.1-8.2)
  Geen aanleiding om af te wijken van vaste rechtspraak dat er geen recht op een afschrift onder de Wpg bestaat. (r.o. 8.4)
  Korpschef had niet alleen mogen zoeken in mailboxen etc. van werknemers die nog in dienst waren, maar ook voor zover deze gegevens aanwezig waren in gegevensdragers van werknemers die al uit dienst zijn. (r.o. 14.5) Aangezien toch nog hierop moet worden gezocht, kan ook nog worden gezocht naar de overige stukken die recent waren aangeleverd in ee nlijst als stukken die ontbreken volgens betrokkene (r.o. 14.7). De stukken waarin het citaat in voorkomt moeten wel in het geheel worden getoond aan de Rb. om te kunnen beoordelen of de besluiten omtrent van kopie toezenden daarvan kunnen blijven staan. (r.o. 14.10)
• Raad van State 21 mei 2025, ECLI:NL:RVS:2025:2289 (Mag je een rectificatieverzoek afwijzen als je de juiste gegevens niet krijgt aangeleverd van betrokkene? Ja.).
  Artikel: 15 AVG, 16 AVG
  Kort: Beroep van ECLI:NL:RBDHA:2024:1036. De appellant heeft zo goed als herhaald van wat in beroep is aangevoerd, waarop door de Rb. volgens de ABRvS gemotiveerd op is ingegaan. "Echter eiser heeft op verzoek van verweerder niet zijn correcte adresgegevens bevestigd dan wel verstrekt. Nu eiser niet de juiste gegevens aan verweerder verstrekt, is het voor verweerder niet mogelijk om de gegevens te rectificeren. Voor rectificatie is het noodzakelijk om onjuiste gegevens te wijzigen en nu juist die wijziging is zonder de informatie van eiser niet mogelijk." Dit wordt bevestigd door de RvS. Zie ECLI:NL:RBDHA:2024:1036, r.o. 5.
• Raad van State 21 mei 2025, ECLI:NL:RVS:2025:2316 (Naam opvragende instantie van FSV registratie is valt niet onder de uitzondering van de defintie 'ontvanger' in tegenstelling tot wat de Rb. oordeelde).
  Artikel: 4(9) AVG, 15 AVG, 23 AVG, 41(1)(d) UAVG, 41(1)(e) UAVG, 41(1)(h) UAVG
  Onderwerpen: FSV
  Kort: "5.2. Anders dan de rechtbank heeft overwogen, blijkt uit de geheime stukken dat de opvragende instantie niet een overheidsinstantie is die de persoonsgegevens heeft ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht. Niet is gebleken dat die instantie destijds de bevoegdheid had tot het doen van het onderzoek in het kader waarvan de gegevens zijn gevraagd. Daarom moet er van worden uitgegaan dat er geen grondslag voor de opvragende instantie bestond om met die instantie persoonsgegevens te delen. De opvragende instantie is daarom niet uitgezonderd van de definitie van ontvanger als bedoeld in artikel 4, aanhef en onder 9, van de AVG. Dat betekent dat deze overheidsinstantie binnen het toepassingsbereik van artikel 15, eerste lid en onder c, van de AVG valt, zodat [appellant] op grond van dat artikel kan verzoeken om verstrekking van de naam van de opvragende instantie. De minister heeft dus nog niet besloten op dat deel van het verzoek, en zal dat alsnog moeten doen."
• Rechtbank Overijssel 22 mei 2025, ECLI:NL:RBOVE:2025:3253 (Vragen over interpretatie reikwijdte verzoek om inzage. Verwerkingsverantwoordelijkheid in samenwerkingsverband als RIEC.).
  Artikel: 14 AVG, 15 AVG, 26 AVG
  Onderwerpen: RIEC, samenwerkingsverbanden, verwerkingsverantwoordelijkheid
  Kort: (r.o. 5) over interperteren reikwijdte van het verzoek om inzage. Ook nog wat over de zoekslag (r.o. 6-8). Over de kwalificatie van verwerkingsverantwoordelijke of gezamenlijk verwerkingsverantwoordelijke neemt de Rb. het volgende op : "10. Het standpunt van eiser dat het college op grond van artikel 26 van de AVG als verwerkingsverantwoordelijke kan worden aangewezen voor zijn persoonsgegevens die in RIEC-verband (ongeacht door welke convenantpartner) worden verwerkt, volgt de rechtbank niet. Gelet op de aard en inrichting van het RIEC en hoe documenten door convenantpartners vanuit hun eigen systemen kunnen worden gedeeld met zelf te selecteren convenantpartners, zou de conclusie van eiser betekenen dat het college als verwerkingsverantwoordelijke de systemen van bijvoorbeeld de politie moet gaan raadplegen om te controleren welke persoonsgegevens door de politie zijn verwerkt in RIEC-verband. Los van de praktische problemen levert dit een onwenselijke inbreuk op de privacy van betrokkenen die een AVGverzoek doen op. De rechtbank is daarom van oordeel dat het college als convenantpartner verwerkingsverantwoordelijke is voor de persoonsgegevens die hij zelf in RIEC-verband heeft verwerkt als inbrenger of ontvanger van informatie maar niet voor informatie waar hij geen toegang toe heeft omdat dit door een andere convenantpartner is ingebracht en niet met hem is gedeeld."
• Raad van State 2 juni 2025, ECLI:NL:RVS:2025:2313 (Inzage waarbij sommige documenten in oude systeem stonden en niet waren overgeheveld naar nieuwe personeelssysteem).
  Artikel: 15 AVG, 15(1) AVG, 15(3) AVG
  Kort: Inzake omvang van het inzageverzoek, r.o. 3.1. M.b.t. dat sommige stukken niet meer aanwezig waren en de invloed van de mogelijke back-ups (r.o. 4.3)
• Rechtbank Midden-Nederland 22 april 2025, ECLI:NL:RBMNE:2025:2359 (FSV Inzage. Interne adviezen, juridische analyses die zijn bedoeld om intern te delen, notities die persoonlijke gedachten van medewerkers kunnen persoonsgegevens bevatten).
  Artikel: 15 AVG, 15(3) AVG
  Onderwerpen: FSV
  Kort: Omvang van het verzoek was ruimer dan in eerste instantie door Belastingdienst uitvoering aan was gegeven. Dit is in bezwaarfase opgelost (r.o. 6)
  Minister stelde dat interne adviezen, juridische analyses die zijn bedoeld om intern te delen, notities die persoonlijke gedachten van medewerekrs bevatten geen persoonsgegevens bevatten. Dit is niet juist (r.o. 12-15)
• Rechtbank Rotterdam 19 mei 2025, ECLI:NL:RBROT:2025:6586 (Vovo over inzageverzoek vader pgg van zijn kinderen terecht afgewezen.).
  Artikel: 15 AVG, 23(1)(i) AVG
  Onderwerpen: kinderen, Inzagerecht
  Kort: Vader (die ook gezag heeft) wil inzage in de persoonsgegevens van zijn kinderen, maar ook van de moeder. Het college van B&W heeft dit verzoek afgewezen, omdat het belang van verzoeker bij inzage niet zou opwegen tegen de belangen van de moeder van de kinderen. "De voorlopige maatregel waarom verzoeker heeft verzocht, houdt in dat het college inzage moet geven in de persoonsgegevens van de kinderen. Toewijzing van het verzoek zou een onomkeerbare situatie opleveren. Verzoeker komt dan immers over de gevraagde informatie te beschikken en dat kan niet meer worden teruggedraaid. Alleen al hierom ligt toewijzing van het verzoek niet voor de hand. Hierbij is ook van belang dat verzoeker niet duidelijk heeft kunnen maken dat zijn spoedeisend belang zo groot is dat hij desondanks direct inzage moet krijgen in de persoonsgegevens van zijn kinderen. Daarbij is van belang dat de (spoedeisende) problemen die verzoeker in dit verband naar voren heeft gebracht, vooral te maken hebben met de omstandigheid dat hij geen contact heeft met zijn kinderen. Dat is echter niet iets wat met de gewenste inzage in de persoonsgegevens wordt opgelost." (r.o. 7.2) e.e.a. is ook afgestemd met de Autoriteit Persoonsgegevens door College B&W (7.1)
• Rechtbank Den Haag 15 oktober 2024, ECLI:NL:RBDHA:2024:23516 (Inzageverzoek Belastingdienst. Belastingdienst heeft onvoldoende aannemelijk gemaakt dat het doorzoeken van alle 970 systemen in dit geval onevenredig belastend is.).
  Artikel: 15 AVG
  Onderwerpen: FSV
  Kort: Zie r.o. 6.1 voor een globaal overzicht van het systeem. R.o. 6.2 : "Hoewel verweerder met deze toelichting een algemeen beeld heeft gegeven van de systemen en applicaties die binnen de Belastingdienst worden gebruikt en in welke onderwerpen deze systemen en applicaties grofweg kunnen worden onderverdeeld, kan hieruit niet worden opgemaakt in hoeveel en in welke systemen en applicaties op grond van het verzoek van eiser precies is gezocht. Verweerder heeft evenmin inzichtelijk gemaakt welke van deze systemen en applicaties met elkaar zijn gekoppeld en om die reden buiten de zoekslag zijn gehouden. Ook op de zitting heeft verweerder op deze vragen geen duidelijk antwoord gegeven. Gelet daarop heeft verweerder onvoldoende aannemelijk gemaakt dat het doorzoeken van alle 970 systemen in dit geval onevenredig belastend is. Het beroep is in zoverre gegrond en het bestreden besluit zal worden vernietigd. Verweerder zal een nieuwe beslissing op het bezwaar van eiser moeten nemen en daarin inzichtelijk moeten maken in hoeveel en in welke systemen binnen de Belastingdienst op grond van het verzoek van eiser precies is gezocht. Daarbij moet worden aangegeven welke van deze systemen en applicaties aan elkaar zijn gekoppeld en daarom niet zijn doorzocht."
• Raad van State 28 mei 2025, ECLI:NL:RVS:2025:2468 (Voor wissing vaccinatiegegevens mag kopie ID ter controle identiteit door RIVM worden verzocht als alternatief voor identificatie op locatie.).
  Artikel: 12(6) AVG, 17 AVG, O. 64 AVG
  Kort: Beroep ECLI:NL:RBNHO:2023:891. De tijdens zitting aangedragen alternatieve wijze van identificeren bestond (via DigiD) bestond nog niet op moment van aangevochten besluit.
• WAMCA-zaken
  • Rechtbank Rotterdam 28 mei 2025, ECLI:NL:RBROT:2025:6254 (WAMCA-zaak Adobe. Ontvankelijkheid stichting niet gehaald op basis van WAMCA vanwege representativiteitsvereiste, wel ontvankelijk op basis van AVG vereisten. Verhouding WAMCA en AVG onduidelijk daarom parkeerrol totdat prejudiciele vragen Amazon zaak zijn beantwoord.).
    Artikel: 3:305a BW, 79(2) AVG, 80(1) AVG, 80(2) AVG
    Onderwerpen: WAMCA
    Kort: WAMCA zaak van Stichting Data Bescherming Nederland (SDBN) tegen Adobe. Rb. Rotterdam verklaart zichzelf bevoegd. (r.o. 6.2-6.14). De Rb. Rotterdam houdt deze zaak aan in afwachting van de beantwoording prejudiciële vragen in de WAMCA Amazon zaak. SDBN voldoet niet aan de representativiteitseis die de WAMCA stelt (r.o. 6.35), wel aan de overige vereisten. Daarnaast is er geen reden om aan te nemen dat SDBN niet voldoet aan de de ontvankelijkheidseisen die de AVG stelt. Wel vragen over verhouding artikelen 80(1) en (2) AVG en mogelijkheid tot vorderen schadevergoeding, welke aan bod komen in de prejudiciële vragen in de Amazon-zaak.
  • Rechtbank Amsterdam 23 april 2025, ECLI:NL:RBAMS:2025:2964 (WAMCA-zaak tegen Google ook aangehouden in afwachting beantwoording prejudiciële vragen inzake art. 80(2) AVG).
    Artikel: 80(2) AVG
    Onderwerpen: WAMCA
    Kort: WAMCA-zaak, SBP en SMC tegen Alphabet/Google wordt aangehouden in afwachting tot beantwoording prejudiciële vragen over de discussie rondom artikel 80(2) AVG.
  • Rechtbank Amsterdam 19 maart 2025, ECLI:NL:RBAMS:2025:3155 (WAMCA-zaak. Verzoek om terug te komen op eerdere beslissing wordt afgewezen.).
    Onderwerpen: WAMCA
    Kort: WAMCA-zaak tegen GGD's door Stichting ICAM. ICAM verzoekt rechtbank terug te komen op eerdere beslissing (ECLI:NL:RBAMS:2024:4264). "Afgezien van het uitdrukkelijk in de wet geregelde geval van herroeping past een dergelijk terugkomen op een einduitspraak niet in het systeem van het [] bugerlijk procesrecht". Het geding moet eens ten einde komen. (r.o. 2.5).
• Gegevensverwerking in de strafrechtelijke context
  • Raad van State 4 juni 2025, ECLI:NL:RVS:2025:2540 (Inzage en verstrekking en vernietiging politiegegevens afgewezen herhaling van beroepsgronden.).
    Artikel: 25 Wpg, 28 Wpg
    Onderwerpen: politiegegevens
    Kort: De rechtbank heeft geoordeeld dat het verzoek van [appellant] om inzage en verstrekking van persoonsgegevens uit SummIT een herhaalde aanvraag is zonder nieuwe feiten of omstandigheden, en heeft het verzoek daarom terecht afgewezen. In hoger beroep heeft [appellant] dezelfde gronden aangevoerd, maar geen nieuwe redenen gegeven waarom de eerdere gemotiveerde beoordeling onjuist zou zijn. De Afdeling kan zich hierin vinden (r.o. 2-3).
  • Rechtbank Zeeland-West-Brabant 10 juni 2025, ECLI:NL:RBZWB:2025:3591 (Onderzoek in telefoon verdachte.).
    Kort: Toepassen arrest HR van 18 mrt 2025. Dat dit is gewezen een jaar na toestemming OvJ maakt niet uit. (r.o. 4.3.2). Aannemelijk dat de r-c daarvoor toestemming zou hebben gegeven, en zo niet dan is het gevolg enkel het vaststellen van het vormverzuim, niet uitsluiting van bewijs.
  • Rechtbank Noord-Holland 17 april 2025, ECLI:NL:RBNHO:2025:5850 (Doxing). 
    Kort: Doxing. (Zaak E). Uit whatsapp berichten stelt de Rb. vast dat de verdachte aan aangeefster heeft laten weten dat hij haar persoonlijke gegevens zal delen op Telegram.
• Woo-zaken
  • Rechtbank Den Haag 23 september 2024, ECLI:NL:RBDHA:2024:23509 (Woo-zaak. Niet is gebleken dat persoon daadwerkelijk toestemming heeft gegeven voor het openbaar maken van haar pgg.).
    Onderwerpen: Woo
    Kort: r.o. 8.1. Werd pas in beroep naar voren gebracht, dat kon dus niet worden meegenomen in het besluit zelf.
  • Rechtbank Den Haag 21 januari 2025, ECLI:NL:RBDHA:2025:7776 (Woo-zaak. Feit dat adres ook in KvK te vinden is maakt rechtmatigheid niet-openbaar maken niet anders. Context is anders.).
    Artikel: 5.1(1)(e) Woo
    Kort: R.o. 7.1. Adresgegevens ondernemingen van betrokkene mag op grond van de 5.1(e) Woo uitzondering niet openbaar worden gemaakt. Concrete dreiging niet nodig. Feit dat dit adres ook handelsregister staat maakt het niet anders. "De informatie waarvan eiseres in deze procedure om openbaarmaking vraagt en de daarbij behorende context kan namelijk niet worden gelijkgesteld met op zichzelf staande zakelijke gegevens uit het handelsregister van de KvK."
  • College van Beroep voor het bedrijfsleven 27 mei 2025, ECLI:NL:CBB:2025:316 (Beperking van de kennisneming identificerende gegevens dierenartsen en opslaghouders van in bewaring genomen dieren gerechtvaardigd.).
    Artikel: 8:12 Awb, 8:29(3) Awb
    Onderwerpen: Woo
    Kort: r.o. 5
  • Rechtbank Zeeland-West-Brabant 27 mei 2025, ECLI:NL:RBZWB:2025:3257 (Bij Woo-verzoek mag weigeringsgronden gecombineerd worden per blokje).
    Artikel: 5.1(1)(e) Woo, 5.1(2)(e) Woo
    Onderwerpen: Woo
    Kort: r.o. 9.3. Dit hoeft niet per woord afzonderlijk te worden aangegeven. Overigens is deze hele uitspraak interessant als u van Woo-verzoeken houdt.
• Financiële context
  • Gerechtshof Amsterdam 13 mei 2025, ECLI:NL:GHAMS:2025:1261 (Uitgebreide toetsing Hof van registratie in IVR en aantekening in Gebeurtenissenadministratie, ook aan vereisten rechtmatigheids- en juistheidsbeginse en de verantwoordingsplicht van de AVG. Verhouding bepaling Gedragscode Verwerking Persoonsgegevens en grondslagen AVG).
    Artikel: 4(3)(f) Gedragscode Verwerking Persoonsgegevens, 5.1.1 sub d Gedragscode Verwerking persoonsgegevens, 5.6 Gedragscode Verwerking Persoonsgegevens, 5(t) Gedragscode Verwerking Persoonsgegevens, 5(1)(b) AVG, 5(1)(d) AVG, 5(2) AVG, 8 EVRM
    Onderwerpen: EVR, IVR
    Kort: Is de aantekening in Gebeurtenissenadministratie een verwerking van strafrechtelijke gegevens? In dit geval het doen van 'grote cashuitgaven zonder verantwoordeing' en het niet bijhouden van een adequate boekhouding van cashinkopen en het nemen van te weinig maatregelen om betrokkenheid bij een aanta genoemde misdrijven c.q. overtredingen uit te sluiten. Dit is daarvoor onvoldoende (zie maatstaf HR 29 mei 2019, ECLI:NL:HR:2009:BH4720). (r.o. 5.12).
    Hierna volgt een uitgebreide toetsing van de rechtmatigheid van de verwerking met onder meer relatie tussen 6(1)(f) AVG en de Gedragscode Verwerking Persoonsgegevens (r.o. 5.14-5.21). Door o.m. het berusten van de appellant in de opzegging is de reden daarvoor die ook in de brief aan appellant destijds is gestuurd en opgenomen in het Gebeurtnissenregister niet aan te merken as 'niet accuraat'. (r.o. 5.20)
    Verwijzing : ECLI:NL:GHARL:2019:3120.
  • Rechtbank Amsterdam 23 mei 2025, ECLI:NL:RBAMS:2025:3315 (Opzegging bankrelatie en IVR registratie niet houdbaar.).
    Onderwerpen: IVR
    Kort: IVR. "De voorzieningenrechter stelt vast dat eisers zich coöperatief hebben opgesteld en steeds snel, onder overlegging van stukken, hebben gereageerd op de vele vragen van ING. Ter zitting heeft ING dat ook erkend. Dat zij er weinig oog voor lijkt te hebben dat het onderzoek in, volgens ING zelf, maar liefst zes rondes een grote belasting moet zijn voor het kleine familiebedrijf dat eisers runnen en dat ING niet heeft willen ingaan op de herhaalde uitnodiging om in het bedrijf en de administratie te komen kijken (hetgeen mogelijk misverstanden en stukken had kunnen besparen) is jammer. Echt merkwaardig is dat ING zich (in haar akte) beklaagt over de “stortvloed” aan stukken van de zijde van eisers, terwijl ING zelf voortdurend om documentatie heeft gevraagd. Eisers kan niet worden verweten dat zij niet goed hebben meegewerkt aan het onderzoek. Naar de voorzieningenrechter begrijpt is de stelling van ING dat de uitkomsten ervan haar niet gerust stelden, met name vanwege onvoldoende inzicht in herkomst en bestemming van geldstromen." (r.o. 4.4) Ook de andere gronden worden van tafel geveegd door de Rb. het blijvende wantrouwen van ING kan niet worden gerechtvaardigd op andere gronden. Opzeggen van bankrelaties is naar maatstaven van redelijkheid en billijkheid onaanvaardbaar. Dus ook geen grond voor IVR registratie.
  • Rechtbank Amsterdam 3 april 2025, ECLI:NL:RBAMS:2025:2022 (IVR, EVR en SFH registraties mogen blijven bestaand).
    Onderwerpen: EVR, PIFI, SFH, IVR
    Kort: IVR en EVR registratie mogen blijven behouden. Ook de registratie in het SFH, registratie van Stichting Fraudebestrijding Hypotheken (Dat sinds 2004 ook registreert op basis van vereisten PIFI)
  • Rechtbank Gelderland 28 mei 2025, ECLI:NL:RBGEL:2025:4172 (IVR. Registratie mag blijven bestaan.).
    Onderwerpen: IVR
    Kort: Voldoende aannemelijk dat er sprake was van fraude die registratie rechtvaardigde (r.o. 4.4). Duur registratie hoeft ook niet verkort (r.o. 4.6)
  • Rechtbank Amsterdam 21 mei 2025, ECLI:NL:RBAMS:2025:3440 (IVR mag gehandhaafd blijven, ook voor deze duur.).
    Onderwerpen: IVR
    Kort: r.o. 4.8
• Overig
  • Gemeenschappelijk Hof van Justitie van Aruba, Curaçao, Sint Maarten en van Bonaire, Sint Eustatius en Saba 8 april 2025, ECLI:NL:OGHACMB:2025:118 (Inschakelen derde partij voor heffing grondbelasting o.m. door geheimhoudingsplicht voorzien van voldoende waarborgen.).
    Artikel: 1.16 Staatsregeling van Aruba, 8 EVRM, Landsverordening persoonsregistraties
    Kort: In een aantal zaken betreffende vier hotels is in hoger beroep uitspraak gedaan over problemen met betrekking tot de grondbelasting. De Inspecteur zou vertrouwelijke informatie gedeeld hebben met een derde partij zonder wettelijke basis, in strijd met artikel I.16 lid 2 en 3 van de Staatsregeling van Aruba en artikel 8 van het EVRM. Het Hof acht de toelichting van de Inspecteur over de rol van [bedrijf 1]-IT in het proces van de aanslagoplegging grondbelasting echter geloofwaardig. De Inspecteur heeft de regie over het vaststellen en opleggen van de aanslagen, niet [bedrijf 1]-IT. Er zijn voldoende waarborgen voor de privacy van derden in acht genomen, zoals blijkt uit de geheimhoudingsplicht in de NDA. Het Hof acht geen schending van artikel 8 EVRM, artikel 1.16 van de Staatsregeling, of de bepalingen van de Landsverordening persoonsregistratie aannemelijk. (r.o. 5.5.4)
  • Rechtbank Gelderland 27 mei 2025, ECLI:NL:RBGEL:2025:4043 (Algemeen geformuleerde toezichtsbepaling van de deken is voldoende voor uitvraag van financiële kengetallen, geen 8 EVRM schending).
    Artikel: 5:13 Awb, 8 EVRM, 45g Aw
    Kort: Geen schending art. 8 EVRM. (r.o. 9.5) Punt betreffende de AVG moet afzonderlijk worden beoordeeld en valt niet binnen de grenzen van het beroep (r.o. 13)
  • Raad van State 28 mei 2025, ECLI:NL:RVS:2025:2483 (Weggelakte persoonsgegevens is gerechtvaardigd in dit geval gelet op persoonlijke levenssfeer medewerkers en veiligheid van hen en de onderwijsinstelling).
    Artikel: 8:29 Awb
    Kort: Belang bescherming persoonlijke levenssfeer medewerkers en veiligheid weegt zwaarder. Zonder de pgg zijn de stukken voldoende duidelijk (r.o. 6-7)
  • Rechtbank Den Haag 9 december 2024, ECLI:NL:RBDHA:2024:23532 (Doorsturen besluit inzake recht op WW-uitkering aan laatste voormalige werkgever is geen bovenmatige verwerking van persoonsgegevens.).
    Kort: r.o. 5.3
  • Rechtbank Amsterdam 24 april 2025, ECLI:NL:RBAMS:2025:3052 (Incassobureau met vordering van de Staatsloterij hoeft niet aan verwijderverzoek te voldoen).
    Artikel: 17 AVG, 41(1)(f) UAVG
    Kort: Beroep op gegevenswissing bij incassodienstverlener afgewezen. (r.o. 3.2) over grondslag, in dit geval is dat 6(1)(c) AVG jo art. 5.1 Besluit Kwaliteit Incassodienstverlening (BKI). Daarnaast is er nog een beroep gedaan op art. 41 UAVG, ook dat slaagt niet hier. (r.o. 3.3-3.4).
  • Rechtbank Zeeland-West-Brabant 14 mei 2025, ECLI:NL:RBZWB:2025:2909 (Belastingrechter kan over gevolg van een schending van de AVG niet oordelen, anders dan wanneer dit tevens de aanslagen betreft.).
    Kort: Onder verwijzing naar : Hoge Raad 10 december 2021, ECLI:NL:HR:2021:1748.
  • Rechtbank Den Haag 20 mei 2025, ECLI:NL:RBDHA:2025:9525 (Woo-zaak. Gaming the system argument voor openbaarmaking algoritme te weigeren wordt geaccepteerd. Ook rol AP wordt benadrukt).
    Artikel: 5.1(2)(d) Woo, 8:29(6) Awb
    Onderwerpen: Algoritmes, Geautomatiseerde besluitvorming, Woo
    Kort: Eiser, een journalist, heeft verzocht om openbaarmaking van documenten over het gebruik, de werking en de ontwikkeling van algoritmes die worden toegepast door de Belastingdienst. Dit verzoek is gedeeltelijk ingewilligd, echter bepaalde informatie werd geweigerd, met name om het belang van inspectie en controle van bestuursorganen te waarborgen. De rechtbank concludeert dat de bescherming van gevoelige informatie die misbruikt kan worden door kwaadwillenden zwaarder weegt dan het belang van openbaarmaking, met als gevolg dat openbaarmaking van de informatie kan resulteren in een risico op manipulatie van controles door de Belastingdienst. (Gaming the system).
  • Rechtbank Noord-Holland 21 mei 2025, ECLI:NL:RBNHO:2025:5855 (Burenruzie. Camera's hangen over en weer, veel - maar niet allemaal - moeten weg, wel de camera die op dit moment niet op het erf van de buren zijn gericht maar slechts met een zeer beperkte ingreep alsnog daarop gericht kunnen worden. Video-deurbel mag wel blijven hangen.).
    Onderwerpen: cameras
    Kort: "Partijen hebben ieder voor zich een groot aantal videocamera's op hun perceel aangebracht. Zij vorderen dat de andere partij die camera's verwijdert. Zij vinden allebei dat zij dat zelf niet hoeven te doen." (r.o. 3.25). Ook de camera's die met een 'zeer beperkte ingreep' alsnog te richten zijn op de woning en het erf van de buren brengen een inbreuk met zich mee. (r.o. 3.27) (relevant lijkt hier wel dat beide partijen heel veel camera's hebben hangen). "De rechtbank ziet geen aanleiding voor een algemeen verbod tot het plaatsen van camera's die zijn gericht op het perceel van [gedaagden]. Het richten van een camera op het perceel van [gedaagden] is op zich immers niet onrechtmatig. Mogelijke onrechtmatigheid ontstaat pas indien er ook zicht op het perceel van [gedaagden] is en daarvan hoeft wegens de aanwezigheid van een erfafscheiding of het voornemen tot het plaatsen daarvan, in lang niet alle gevallen sprake van te zijn." (r.o. 3.29). Over video-deurbel (r.o. 3.31)
  • Raad van State 28 mei 2025, ECLI:NL:RVS:2025:2431 (Besluit op bezwaar van AP rechtmatig. Geen reden tot schadevergoeding.).
    Artikel: 12(3) AVG, 15(3) AVG, 58(2)(b) AVG
    Kort: "Bij besluit van 11 juli 2022 heeft de AP het door [appellant] daartegen gemaakte bezwaar gegrond verklaard, het besluit van 25 maart 2021 herroepen, het verzoek om handhaving toegewezen en aan de minister van Financiën met toepassing van artikel 58, tweede lid aanhef en onder b, van de Algemene Verordening Gegevensbescherming (hierna: AVG) een berisping opgelegd." Daartegen kwam de appellant op, maar ving bot bij zowel Rb. als ABRvS.
  • Rechtbank Zeeland-West-Brabant 2 juni 2025, ECLI:NL:RBZWB:2025:3319 (Geen billijke vergoeding wegens niet voldoen van werkgever aan AVG-verplichtingen.).
    Kort: Het is niet duidelijk welke AVG-verplichtingen geschonden zouden zijn.

Kifid uitspraken

• Uitspraak Geschillencommissie Kifid nr. 2025-0396 (22 mei 2025)
  Kort : "Omdat het gaat om persoonsgegevens die verkregen zijn uit het
  cliëntenonderzoek uit hoofde de Wwft moet de bank deze persoonsgegevens, gelet op artikel 34a lid 3 jo. artikel 33 lid 3 Wwft, en dus ook de registratie van deze persoonsgegevens in de Gebeurtenissenadministratie en het IVR na vijf jaar verwijderen." (overweging 3.17)

🇪🇺 EDPB

• EDPB, Guidelines 02/2024 on Article 48 GDPR, 2025.
  Artikel: 48 AVG
  Kort: Versie 2.0
• BCR Beslissingen:
  • EDPB, Opinion 8/2025 on the draft decision of the Norwegian Supervisory Authority regarding the Controller Binding Corporate Rules of the Statkraft Group, 2025.
  • EPDB, Opinion 9/2025 on the draft decision of the French Supervisory Authority regarding the Processor Binding Corporate Rules of the Worldline Group, 2025.
  • EDPB, Opinion 10/2025 on the draft decision of the French Supervisory Authority regarding the Controller Binding Corporate Rules of the Worldline Group, 2025.
  • EDPB, Opinion 11/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the Signify Group, 2025.
  • EDPB, Opinion 12/2025 on the draft decision of the Dutch Supervisory Authority regarding the Controller Binding Corporate Rules of the ASML Group Adopted on, 2025.
• Support Pool Experts Documenten :
  • EDPB, Law & Compliance in AI Security & Data Protection (Training module) , 2025.
    Kort: SPE document "Training curriculum on AI and data protection Law & Compliance in AI Security & Data Protection" door Dr. Marco ALMADA
  • EDPB, Fundamentals of Secure AI Systems with Personal Data (Training module), 2025.
    Kort: SPE document "Training curriculum on AI and data protection Fundamentals of Secure AI Systems with Personal Data" door Dr. Enrico GLEREAN

🇳🇱 Autoriteit Persoonsgegevens

• Ambtsbericht AP over lekken persoonsgegevens door ambtenaren aan criminelen
• Consultaties Autoriteit Persoonsgegevens
  • Reacties consultatie betekenisvolle menselijke tussenkomst
  • Verantwoord vooruit: AP-visie op generatieve AI
  • AVG-randvoorwaarden voor generatieve AI
• Besluit op bezwaar AS Watson - Kruidvat
  Kort: Boete wordt verlaagd naar EUR 50.000
• Wetgevingsadviezen:
  • Toets wijziging Algemeen douanebesluit
  • Toets Wet borging gegevensverwerkingen funderend onderwijs
  • Toets Wet internationale sanctiemaatregelen
  • Toets wijziging Archiefwet
  • Advies tijdelijke voorziening CABR
• Vergunningen:
• Besluit vergunning collectief winkelverbod Binnenstad Tilburg 
• Besluit vergunning collectieve horecaontzegging Kampen
• Besluit vergunning collectief winkelverbod Den Helder
• Besluit vergunning collectief winkelverbod supermarkten Hulst

🇪🇺 EU-nieuws

De Raad en het Europees Parlement hebben onder het Poolse voorzitterschap een voorlopig akkoord bereikt over een nieuwe wet die de samenwerking tussen nationale gegevensbeschermingsautoriteiten bij de handhaving van de GDPR zou moeten verbeteren. Het harmoniseert de vereisten voor de ontvankelijkheid van grensoverschrijdende klachten en versnelt het proces van klachtenafhandeling. Het akkoord introduceert ook deadlines voor onderzoeken en een mechanisme voor vroegtijdige geschillenbeslechting. Zie persbericht.

Omnibus IV is aangekondigd en de Commissie stelt daarin voor om artikel 30 lid 5 van de AVG (de uitzonderingen op de registerplicht) te wijzigen. Zoals de Commissie toelicht : "Artikel 30 stelt dat elke verwerkingsverantwoordelijke en verwerker een register van verwerkingsactiviteiten moet bijhouden en bepaalt welke informatie dit register moet bevatten. Lid 5 van dit artikel voorziet in een uitzondering voor het MKB en organisaties met minder dan 250 werknemers, waarbij dergelijke entiteiten geen register hoeven bij te houden, mits aan bepaalde voorwaarden wordt voldaan. Het huidige voorstel beoogt de uitzondering op de registerplicht onder artikel 30(5) te vereenvoudigen en te verduidelijken door de registerplicht alleen verplicht te maken wanneer de verwerkingsactiviteiten waarschijnlijk een ‘hoog risico’ voor de rechten en vrijheden van betrokkenen met zich meebrengen. Tegelijkertijd moet de reikwijdte van de uitzondering worden uitgebreid tot SMC's en organisaties met minder dan 750 werknemers. Artikel 30(5) moet dienovereenkomstig worden aangepast." Zie pagina's 8 en 9.

🏢 Overheidsnieuws :

Het is Jaarraportage-tijd!
De Douane heeft in 2024 'de basis neergezet' om te voldoen aan de vereisten die de AVG en Wpg stellen (zie pagina 24 Jaarrapportage Douane), ook de ILT geeft aan hier hard aan werkt maar dat er 'niet of beperkt' wordt voorzien in de capaciteit daarvoor (p. 41). De Dienst Toeslagen geeft in haar Jaarrapportage aan te hebben ingezet op 'departementale en Toeslagenbrede kennisdeling. Onder andere door het inrichten van een kennisplatform en een onlinetraining'. De Belastingdienst heeft in 2024 'alle bedrijfsprocessen (ruim 700) langs de hoofdlijnen van de AVG getoetst en zijn de tekortkomingen geregistreerd'. (p. 7) en 'In december 2024 is afgewogen dat er geen tekortkomingen zijn die dermate ernstig zijn dat een bedrijfsproces of verwerking gestaakt moet worden. In 2025 is alle aandacht er op gericht om de tekortkomingen op te lossen.' (p. 39). Zie ook p. 20 van het Jaarverslag van het Ministerie van Financiën. In het SUWI jaarverslag van Stichting Inlichtingenbureau wordt aangegeven dat 'In 2024 zijn alle 25 Privacy Impact Assessments (PIA's) opnieuw beoordeeld.' en 'Het herijken van de PIA’s resulteerde in een sterke vermindering van het aantal signalen binnen de dienst rechtmatigheidscontrole. Bij 12 van de 13 signaaltypen leverde het IB in 2024 minder signalen.' Daarnaast 'In 2024 zijn er geen inzage verzoeken geweest van inwoners. In 2023 waren dat er nog 12.' (p. 20). Het SUWI Jaarverslag SVB geeft ook beperkt informatie, met name over de datalekken, waarvan 15 gemeld waren bij de AP. (p. 32). Uit het SUWI Jaarverslag UWV blijkt dat er in 2024 28 DPIA's zijn afgerond waarvan 9 in een negatief advies resulteerden, 'De betrokken organisatieonderdelen ondernemen hierop actie.' (p. 47). En uit het SUWI Jaarverslag Bureau Keteninformatisering Werk en Inkomen blijkt dat Bijlage 1 van de Regeling SUWI gewijzigd gaat worden, omdat het daarin opgenomen stelsontwerp aanpassing behoeft en SZW, UWV en BKWI hierin een gezamenlijk voorstel voor hebben uitgewerkt 'ten aanzien van de AVG-verantwoordelijkheden voor het transport van persoonsgegevens via het centrale deel van de GeVS' (p. 8). De Functionaris voor Gegevensbescherming van het ministerie van Defensie publiceert ook een Toezichtjaarverslag, en die van 2024 is zojuist openbaar geworden. Dat is altijd een fascinerend document, nu Defensie een organisatie is waar een ongelofelijk breed scala aan verwerkingen plaatsvindt. De wetgeving sluit hier echter onvoldoende op aan. Uit het jaarverslag blijkt namelijk dat er gewerkt wordt aan nieuwe wetgeving inzake 'urgente gereedstelling en de inzet', waarbij de FG-unit proactief adviseert in dat traject. (p. 12). Uit het Jaarverslag van het ministerie van SZW 2024 blijkt dat we in de zomer van 2025 een brief kunnen verwachten over 'Verkenning naar de mogelijkheid persoonsgegevens te verwerken met het oog op niet-verwijtbaarheid' in het kader van de 'Evaluatie Wet aanpak schijnconstructies) (p. 206). Het Jaarverslag Ministerie van Infrastructuur en Waterstaat 2024 laat ook zien dat er wordt gewerkt aan gegevensuitwisseling tussen vervoerders en politie in het kader van regionale reisverboden. (p. 251). Het Ministerie van Onderwijs, Cultuur en Wetenschap bericht ook over de datalekken bij enkele uitvoeringsinstanties (p. 115), er wordt nog even gereflecteerd op de '(late) waarschuwing' van de AP inzake het CABR en de extra kosten die moeten worden gemaakt t.b.v. het voorzieningen treffen in het kader van de tijdelijke werkwijze (p. 131). Er wordt gewezen op het Convenant digitale onderwijsmiddelen en privacy waarin een 'sectorbrede uitleg' wordt gegeven 'hoe her door alle partijen moet worden omgegaan met persoonsgegevens'. (p. 253). Uit de Jaarverantwoording van de Politie wordt aangegeven dat 'de politie in 2024 gestart met het opzetten van een duidelijker stelsel, gebaseerd op het zogenoemde Three lines of defence model' (p. 46). Er wordt voorts aangegeven dat 'De druk op privacy compliance is hoog. Om dit risico tot een acceptabel niveau terug te brengen zijn meerdere beheersmaatregelen ingezet. In 2024 waren deze nog niet afdoende en bleef het risico daardoor (te) hoog. Beoogd wordt om met behulp van het verbeterplan het risico in 2025 verder terug te brengen.' (p. 77) en ook is opgemerkt dat 'Daarnaast zal gekeken worden naar de openbaarmaking van nevenfuncties van de politietop, welke in 2024 niet is gepubliceerd in verband met de veiligheid van de
betrokkenen. De interne monitoring van nevenfuncties van de politietop is echter wel geborgd.' (p. 77) Het Jaarverslag van het Ministerie van Justitie is altijd interessant, omdat daarin ook wat meer informatie staat over de Autoriteit Persoonsgegevens. Waaronder dat de AP in 2024 EUR 186.000 heeft geïnd aan boetes via het CJIB. (p. 54), uit drie boetes. Uit het Jaarverslag van het Ministerie van Buitenlandse Zaken blijkt dat: "In september 2023 is de Autoriteit Persoonsgegevens (AP) een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens in het beoordelingsproces bij aanvragen voor visa kort verblijf. Dit onderzoek was ingegeven door zorgen van de AP ten aanzien van het gebruik van het aspect nationaliteit bij de profilering van aanvragers door middel van een algoritme in de ‘Buitenlandse Zaken Analyse Omgeving’ (BAO) in het kader van het ‘Informatie Ondersteund Beslissen’ (IOB). Op 11 september 2024 is het voorlopige rapport van bevindingen van de AP ontvangen. Naar aanleiding hiervan heeft BZ een zienswijze opgesteld, die inmiddels met de AP is gedeeld." (p. 68), daarnaast blijkt uit het jaarverslag ook dat "Eind 2024 is er door de Auditdienst Rijk een vraag gestuurd onderzoek gestart (ingegeven door de functionaris gegevensbescherming van BZ) naar de organisatie en het beheer van de AVG binnen BZ. Zodra de resultaten bekend zijn, zullen de aanbevelingen tegen het licht worden gehouden." (p. 68). Het Ministerie van Algemene Zaken geeft aan in 2024 twee inzageverzoeken ontvangen en een verwijderverzoek en geen Wiv 2017-verzoeken (p. 16).

• Rapport 'Het faciliteren van webharvesting', ofwel 'harvesten/crawlen, acquireren, preserveren en toegankelijk maken (presenteren via een leesterminal) van het Nederlandse webdomein, zowel in zijn geheel (nationale domeincrawl) als meer selectief (beredeneerde selecties)' om wedarchieven ook voor toekomstige generaties veilig te stellen. Het Nederlandse erfgoed is immers niet alleen fysiek. De gegevensbeschermingsrechtelijke knelpunten worden ook besproken.
• Minister van Buitenlandse Zaken, Kamerbrief 15 april 2025 schriftelijke appreciatie motie inzake TikTok te verbieden tenzij aan 'harde voorwaarden' wordt voldaan. Kort gezegd; 'De motie wordt door het kabinet overbodig geacht nu in de rechtsbescherming waartoe zij oproept reeds is voorzien.' Namelijk de AVG. De minister wijst op de mogelijkheden van artikelen 57 & 58 AVG waaronder het verwerkingsverbod (art. 58(2)(f) AVG) en Opschorting gegevensstroom naar derde land (art. 58(2)(j) AVG).
• De Kamerbrief over de 'Stand van zaken rond het Centraal Archief Bijzondere Rechtspleging (CABR)' (27 mei 2025), inclusief de Reactie van de AP op adviesaanvraag m.b.t. tijdelijke voorziening CABR (24 april 2025).
• Normaal gesproken wijs ik zelden op verslagen van schriftelijke overleggen in de Tweede Kamer, maar dit verslag verdient bijzondere aandacht: 'Verslag van een schriftelijk overleg over Uitkomsten extern onderzoek Risico Analyse Model (RAM)'. Voor wie belangstelling heeft: als bijlagen bij dit verslag zijn maar liefst 121 documenten toegevoegd die in het KPMG-rapport worden genoemd. Tegenwoordig worden ook de bijbehorende beslisnota's vaak openbaar gemaakt, zoals in dit geval. Vermakelijk detail daaruit: toen werd voorgesteld om deze documenten naar de Tweede Kamer te sturen, heeft de minister daar handgeschreven bij gezet: "Zit daar iets bijzonders tussen?". Of dat inderdaad het geval is, weet ik niet. Maar nu alles openbaar is, kunt u zelf een oordeel vormen - mocht u de tijd en interesse hebben.

🇳🇱 Wetsvoorstellen :

• Kamerbrief appreciatie gewijzigde amendementen Verzamelwet gegevensbescherming. (20 mei 2025)De amendementen over verplichte openbaarmaking van de AP opgelegde bestuurlijke sanctie en over de verplichte consultatie van AP beleidsregels van de AP zijn gewijzigd en hebben nu 'Oordeel Kamer' gekregen.
• Kamerbrief 'Aanvullende informatie n.a.v. debat Wet invoering BSN envoorzieningen digitale overheid BES' (19 mei 2025). Inclusief een Architectuurschets BSN Caribisch Nederland.
• Wijziging van de Wet DNA-onderzoek bij veroordeelden en het Wetboek van Strafvordering in verband met de introductie van conservatoire afname van celmateriaal en enkele andere wijzigingen met betrekking tot DNA-onderzoek is ingediend. Kamerstukken 1 t/m 4 zijn gepubliceerd inclusief als bijlagen de adviezen van o.a. AP.
• Kamerbrief, 'Antwoorden op vragen inzake de derde evaluatie van de Wet biometrie in de vreemdelingenketen' (14 mei 2025).

📣 Internetconsultaties

• Voorstel voor een Wet op de defensiegereedheid
  Deadline : 04-07-2025
  Kort: Dit is een enorm omvangrijke wetgevingsoperatie. De beoogde WODG maakt veel gegevensverwerkingen mogelijk waarvoor thans nog geen grondslag is gecreëerd en/of waarborgen voor ontbreken.
  Hoofdstuk 4 van de wet gaat in het geheel over de informatieomgeving en gegevensverwerkingen.
• Energieregeling (regeling Energiewet)
  Deadline : 16-07-2025
  Kort: "Op 1 januari 2026 zal de Energiewet in werking treden. Deze nieuwe wet vervangt en moderniseert de huidige Gaswet en Elektriciteitswet 1998 en bepaalt de regels voor de elektriciteits- en gasmarkt en het energiesysteem. Bij de Energiewet en het onderliggende Energiebesluit (AMvB) hoort ook een ministeriële regeling: de Energieregeling. Deze Energieregeling wordt nu geconsulteerd." Zie paragraaf 3.3. voor de gevolgen voor de verwerking van persoonsgegeven

Editie #10 komt op 30 juni 2025
Tot dan!