juridisch kronieken

Kroniek
Privacy­recht 2024

door Sarah Stapel, Jacob van de Velde & Vita Zwaan

Een groot aantal uitspraken over uiteenlopende onderwerpen kenmerkt de privacykroniek 2024. We trappen af met de toepasselijkheid van de Algemene Verordening Gegevens­bescherming (AVG). Nog altijd bestaat er discussie over de begrippen ‘persoons­gegevens’, ‘verwerken’ en ‘bijzondere persoons­gegevens’. Schadevergoeding en de rechten van betrokkenen komen ook weer aan bod. Het gebruik van tracking cookies en de grondslag voor het verwerken van persoons­gegevens zorgden eveneens voor vermeldenswaardige uitspraken. Tot slot gaan we in op handhaving en collectieve acties, en sluiten we traditiegetrouw af met een vooruitblik.

Materiële toepasselijkheid

De AVG is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoons­gegevens, en op de verwerking van persoons­gegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. 2024 bracht ons verschillende uitspraken over de betekenis van beide begrippen.

Het begrip ‘persoons­gegevens’

In de Kroniek van 2023 bespraken wij twee uitspraken van het Hof van Justitie van de Europese Unie (HvJ EU) over het begrip persoons­gegevens.1 Met name de GAR/​EDPS-uitspraak van het Gerecht,2 die het begrip persoons­gegevens enigszins leek te beperken, blies de discussie over de omvang van het begrip nieuw leven in. 2024 heeft helaas niet het hoger beroep in deze zaak gebracht, maar wel enkele andere interessante zaken.

In maart oordeelt het HvJ EU over het Transparency & Consent Framework (TCF) van IAB Europe (ECLI:​EU:​C:​2024:214).3 IAB Europe is de Europese branche­organisatie voor digitale adverteerders. Met het TCF beoogt IAB Europe het veel bekritiseerde real timebiddingsysteem4 van digitale advertenties in overeenstemming te brengen met de AVG. Onderdeel van het TCF is de Transparency & Consent String (TC-string). De TC-string is een reeks tekens waarmee wordt bijgehouden voor welke adverteerders en doeleinden de internet­gebruiker toestemming heeft gegeven. Het HvJ EU oordeelt dat de TC-string een persoons­gegeven is omdat hij de voorkeuren van de gebruiker bevat en, daarnaast, omdat hij gekoppeld is aan het IP-adres van de betrokkene. Het is hiervoor niet relevant dat IAB Europe niet zelf, maar haar leden de koppeling met het IP-adres maken. Het HvJ EU oordeelt ook dat IAB Europe gezamenlijk met de adverteerders verwerkings­verantwoordelijke is voor de verwerking van de TC-string. Het is nu aan het Belgische Marktenhof om gevolg te geven aan de IAB Europe-uitspraak.

Ook op nationaal niveau komt de kwalificatie van technische identificatoren aan bod. Op 2 februari vernietigt de rechtbank Overijssel het besluit van de Autoriteit Persoons­gegevens (AP) om een boete op te leggen aan de gemeente Enschede voor wifi-tracking (ECLI:​NL:​RBOVE:​2024:594).5 Met wifi-tracking wilde de gemeente Enschede inzicht krijgen in bezoekersaantallen om de drukte in de stad te monitoren. Middels sensoren die in de binnenstad werden opgehangen, kon het aantal unieke telefoons, waarvan wifi aanstaat, worden geteld. Hiervoor werd het MAC-adres6 verzameld en vervolgens gepseudonimiseerd en afgeknipt. De AP meent dat deze gepseudonimiseerde en afgeknipte tekenreeks een persoons­gegeven is. Een medewerker van de gemeente Enschede of de door haar ingeschakelde partij zou namelijk ’s ochtends rond kunnen lopen in de stad om een koppeling te maken tussen de daar aanwezige personen en de op dat moment verzamelde MAC-adressen. De rechtbank gaat hier niet in mee en oordeelt dat de AP had moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om personen te identificeren. Dit heeft de AP niet aangetoond. De boete van 600.000 euro gaat van tafel.

Verwerking

Over het verwerkingsbegrip bestaat doorgaans minder discussie, mede door de enorm brede toepassing ervan. De brede toepassing werd in maart 2024 bevestigd door het HvJ EU, dat werd gevraagd of de mondelinge verstrekking van persoons­gegevens die in een (digitale) database waren opgenomen onder de werkingssfeer van de AVG valt (ECLI:​EU:​C:​2024:216).7 Het HvJ EU oordeelt dat het mondeling verstrekken een verwerking is, maar dat deze niet ‘geheel of gedeeltelijk geautomatiseerd is’. De AVG is echter ook van toepassing op het verwerken van gegevens die in een bestand zijn opgeno­men. Een digitale database is een bestand en het oplezen daarvan een verwerking. Ook de mondelinge verstrekking van persoons­gegevens valt daarmee onder de werkingssfeer van de AVG. Het HvJ EU merkt hier nog bij op dat de mogelijkheid om de toepassing van de AVG te omzeilen door persoons­gegevens mondeling in plaats van schriftelijk te verstrekken duidelijk onverenigbaar zou zijn met de doelstelling van de AVG, te weten een hoog niveau van bescherming van de fundamentele vrijheden van natuurlijke personen.

Bijzondere persoons­gegevens

Bijzondere persoons­gegevens onthullen gevoelige eigenschappen van betrokkenen, zoals over hun gezondheid of etniciteit. De verwerking van bijzondere persoons­gegevens is in principe verboden, tenzij een uitzondering van toepassing is. In 2023 oordeelde het HvJ EU dat bijzondere eigenschappen aan het licht kunnen komen bij het analyseren van websitebezoeken, ongeacht of het de bedoeling is om bijzondere persoons­gegevens te verwerken.8 In oktober 2024 geeft het HvJ EU verdere toelichting op het begrip. In de Lindenapotheke-uitspraak oordeelt het HvJ EU dat gegevens die worden verzameld bij het bestellen van medicatie bijzondere persoons­gegevens zijn, ook als de medicatie voor een ander dan de besteller bedoeld zijn (ECLI:​EU:​C:​2024:846).9

Schadevergoeding

Ook in 2024 krijgt het onderwerp schade­vergoeding voor inbreuken op de AVG veel aandacht. In een reeks uitspraken van het HvJ EU wordt duidelijk hoe breed het begrip schade is en dat vergoeding daarvoor snel toegewezen dient te worden.10 In de uitspraak van 4 oktober 2024 zet het HvJ EU alle eerdere rechtspraak overzichtelijk op een rij. Wij bespreken de eerdere rechtspraak dan ook aan de hand hiervan.

De zaak-Agentsia po vpisvaniyata (ECLI:​EU:​C:​2024:827) gaat over het publiceren van een vennootschapsovereenkomst door het Bulgaarse handelsregister. In deze overeenkomst zijn onder meer het identificatienummer, bepaalde gegevens van de identiteitskaart, het adres en de handtekening van een van de vennoten opgenomen. Deze vennoot wilde niet dat deze gegevens publiek waren en verzocht vervolgens om de verwijdering daarvan. Daar werd geen gehoor aan gegeven. De vennoot vordert vervolgens vergoeding voor de immateriële schade die bestaat uit angst en vrees voor eventueel misbruik en gevoelens van machteloosheid en teleurstelling door de onmogelijkheid om persoons­gegevens te beschermen. Het HvJ EU komt tot de volgende overwegingen:

  • de AVG bevat een autonoom schadebegrip dat in de EU uniform moet worden uitgelegd;11
  • voor een recht op schade­vergoeding bestaan drie voorwaarden: er moet sprake zijn van een schending van de AVG, van schade en van een causaal verband tussen de schending en de schade;12
  • een recht op schade­vergoeding bestaat ook bij de vrees voor toekomstig misbruik, als deze vrees gegrond kan worden geacht;13
  • het verlies van controle over persoons­gegevens kan schade vormen, ook als er geen concreet misbruik heeft plaatsgevonden;14
  • het schadebegrip is niet beperkt tot een bepaalde ernst. Er is geen de-minimisdrempel en er mogen geen bijkomende voorwaarden worden gesteld, zoals de tastbaarheid van het nadeel of de objectieve aantoonbaarheid van de inbreuk;15
  • immateriële schade als gevolg van een inbreuk op de AVG weegt naar haar aard niet minder zwaar dan letselschade;16
  • de begroting van de schade wordt overgelaten aan het nationale recht. Die vergoeding moet volledig en daadwerkelijk zijn, maar vervult geen punitieve functie.17

Het HvJ EU concludeert aan de hand van deze overwegingen dat een kortstondig verlies van controle over persoons­gegevens door publicatie ervan in het online handelsregister kan volstaan om immateriële schade te veroorzaken.18

Op nationaal niveau worden in 2024 weinig hogere uitspraken over schade­vergoeding gewezen. Op 5 maart 2024 verwijst het gerechtshof Arnhem-Leeuwarden naar de schade­staatprocedure wegens een onterechte registratie in het extern verwij­zingsregister, waardoor de eisers geen lening meer konden krijgen (ECLI:​NL:​GHARL:​2024:1639).19 Schade is volgens het hof in ieder geval aannemelijk; het is afwachten hoe die wordt afgewikkeld in de schade­staat­procedure. Opvallend is ook een uitspraak van de Afdeling bestuurs­rechtspraak van de Raad van State van 5 juni 2024 (ECLI:​NL:​RVS:​2024:2311).20 De Afdeling overweegt eerst dat het schadebegrip uit de AVG autonoom moet worden uitgelegd, maar sluit in de volgende paragraaf toch weer aan bij het Nederlandse civiele schade­vergoedingsrecht. Ten onrechte: het gaat immers om een autonoom Europees begrip. Het is te hopen dat de Afdeling deze onjuiste toepassing van het schadebegrip in 2025 loslaat.

Bevoegdheid vordering tot schade­vergoeding bij de bestuursrechter

In 2024 wijst de Afdeling enkele procedurele uitspraken over het vorderen van schade­vergoeding bij de bestuurs­rechter. In juli 2024 oordeelt de Afdeling dat de bestuurs­rechter niet bevoegd is om te oordelen over een schade­vergoedings­verzoek over de onrechtmatige gegevens­verwerking in de Fraude Signalering Voorziening of FSV (ECLI:​NL:​RVS:​2024:2891).21 De schade­vergoedingsregeling in het bestuursrecht22 is niet van toepassing op schade veroorzaakt door besluiten of handelingen in het kader van een aan de Belasting­dienst opgedragen taak. Daar komt bij dat de registratie in de FSV een feitelijke handeling is waartegen geen bestuurs­rechtelijk rechtsmiddel openstaat. Om die reden kan de bestuurs­rechter ook niet op grond van processuele connexiteit oordelen over een zuiver schadebesluit. Appellant had bij de civiele rechter moeten zijn. Enkele maanden later komt de Afdeling tot hetzelfde oordeel in een procedure over het vermeend onrechtmatig opvragen van gegevens door de Belasting­dienst aan de verzekeraar van de appellant (ECLI:​NL:​RVS:​2024:3746).23 Tot slot komt de Afdeling tot een vergelijkbare uitkomst bij een schadeverzoek bij het Openbaar Ministerie voor een vermeend onrechtmatige gegevensverwerking in een straf­rechtelijk onderzoek. Hoofdstuk 8 van de Awb is hierop niet van toepassing (ECLI:​NL:​RVS:​2024:3105).24 De uitspraken illustreren dat scherp beoordeeld moet worden bij welke rechter een schade­vergoedings­actie wordt ingesteld.

Rechten van betrokkenen

De AVG geeft betrokkenen verschillende rechten, waaronder het recht om inzage te verkrijgen in hun persoons­gegevens. Steevast wordt over dit onderwerp veel geprocedeerd, met name over de reikwijdte van het inzagerecht. Allereerst in een procedure bij het gerechtshof Arnhem-Leeuwarden op 19 maart (ECLI:​NL:​GHARL:​2024:1924).25 De gemeente Rotterdam had door KPMG fraudeonderzoek laten uitvoeren naar een van haar ambtenaren. In dit onderzoek werden enkele onregel­matig­heden vastgesteld, wat resulteerde in straf­rechtelijke vervolging van de ambtenaar. De ambtenaar diende daarop een inzageverzoek in bij KPMG om inzicht te krijgen in het fraudeonderzoek en ontvangt eerst één overzicht en later nog enkele overzichten van zijn persoons­gegevens. Volgens KPMG was volledige inzage verleend door middel van deze overzichten. Verder kon een deel niet worden verstrekt vanwege de belangen van KPMG zelf en haar werknemers, de vertrouwelijkheid van stukken en de geheim­houdings­plicht van haar accountants en in-house advocaten. Ook zou de ambtenaar de inzageprocedure gebruiken voor een ander doel dan waarvoor het inzagerecht bedoeld is, namelijk om stukken te ontvangen en te gebruiken in een andere procedure. Volgens KPMG was dit misbruik van recht. Daarop start de ambtenaar een procedure. Hij krijgt ongelijk van de rechter en gaat in beroep.

Het hof komt tot een andere conclusie. Ten eerste overweegt het hof dat het feit dat de ambtenaar (ook) een ander doel nastreeft met een inzageprocedure niet leidt tot misbruik van recht.26 Dat de verschillende verzoeken en klachten die de betrokkene bij KPMG had ingediend een grote impact hebben gehad op KPMG en haar medewerkers heeft verder geen invloed op (de omvang van) het inzagerecht.27 Ten tweede onderstreept het hof het ruime inzagebegrip. Inzage wordt veelal pas begrijpelijk wanneer de verwerkte gegevens in een bepaalde context worden geplaatst, bijvoorbeeld door niet alleen stukken te verstrekken maar door deze ook toe te lichten. Dat heeft KPMG volgens het hof onvoldoende gedaan. De eerste overzichten die KPMG had verstrekt, bevatten volgens het hof geen reproductie van de daadwerkelijk door KPMG verwerkte persoons­gegevens. Zo geven de categorieën van gegevens niet het nodige inzicht.28 Ten derde overweegt het hof dat het inzagerecht weliswaar niet absoluut is, maar dat een beroep op deze uitzonde­ringen wel (per document) moet worden gemotiveerd.29 Nu de betrokkene de nodige informatie niet heeft ontvangen, wordt KPMG alsnog veroordeeld om grotendeels inzage te verlenen.

In juli volgt een uitgebreide conclusie over het inzagerecht van P⁠-⁠G De Bock (ECLI:​NL:​PHR:​2024:750).30 De zaak gaat over een jongvolwassene, inmiddels meerderjarig, die lang in de jeugdzorg heeft gezeten en daar nu informatie over opvraagt. Hij wil zo veel mogelijk te weten komen over zijn achtergrond maar beschikt niet over de nodige stukken en kan dat aan niemand vragen, onder meer omdat hij geen contact heeft met zijn biologische familie. De zaak ziet voornamelijk op het inzagerecht op grond van het Wetboek van Burgerlijke Rechtsvordering, maar De Bock behandelt ook de invulling van het inzagerecht in de AVG. Ze bespreekt daarnaast uitvoerig het fundamentele belang van inzage en de gevoelige belangen­afwegingen die zich voordoen in familie- en jeugd­procedures.

De P⁠-⁠G overweegt dat bij deze afweging de belangen van het kind voorop moeten worden gesteld.31 Wat betreft artikel 15 AVG (recht van inzage van de betrokkene) benadrukt de P⁠-⁠G dat slechts onder strikte voorwaarden een uitzondering zoals op grond van artikel 41 lid 1 onder 1 UAVG kan worden gemaakt op het inzagerecht. De bescherming van anderen, of de betrokkene zelf, kan niet leiden tot de uitkomst dat helemaal geen inzage wordt verleend.32 Er zal steeds aan de hand van een gedetailleerde beoordeling moeten worden nagegaan of er sprake is van een concrete aantasting van de rechten of belangen van derden.33 Deze lat ligt volgens de P⁠-⁠G hoog. Verder overweegt de P⁠-⁠G dat de verplichting om informatie op een begrijpelijke en toegankelijke wijze aan te bieden inhoudt dat de verwerkings­verantwoordelijke een zorgplicht heeft om de kwetsbare positie van de betrokkene in acht te nemen.34 Om het risico van hertraumatisering te voorkomen, kan informatie niet zonder aanvullende informatie over de schutting worden gegooid.

Soms slaagt een beroep op een uitzonderingsgrond wel, zoals in een zaak die voorlag bij de Hoge Raad (ECLI:​NL:​HR:​2024:1372).35 Aan de orde is of een voormalig werkneemster inzagerecht heeft in een adviesaanvraag van de werkgever en het resulterend advies over een arbeidsgeschil tussen de werkgever en de werkneemster. Net zoals A-G Drijber (ECLI:​NL:​PHR:​2024:416),36 de rechtbank en het hof concludeert de Hoge Raad dat de werkgever in dit geval een beroep kan doen op de uitzonderingsgrond in artikel 23 lid 1, aanhef en onder i AVG. Afwijzing was namelijk nood­zakelijk en evenredig vanwege het zwaar­wegend belang om in vrijheid en beslotenheid een standpunt in het arbeidsgeschil te bepalen en de verdediging tegen of het instellen van een rechtsvordering of verzoek voor te bereiden. De mogelijkheid om tot een vrije en ongestoorde gedachtewisseling te komen, wordt verhinderd als een partij vooraf rekening moet houden dat zij haar weder­partij na afloop van het geschil inzage moet verschaffen in de gedachtewisseling die ten grondslag heeft gelegen aan het innemen van haar standpunt in dit geschil. Dit argument werd ook gevoerd door KPMG in de hiervoor genoemde uitspraak, maar was in dat geval onvoldoende zwaarwegend.

Daarnaast is er op Europees niveau een relevante ontwikkeling op het gebied van inzage. Het HvJ EU bevestigt op 28 november 2024 (ECLI:​EU:​C:​2024:988)37 de ruime strekking van het recht op informatie in artikel 14 AVG. In deze zaak had een Hongaarse toezicht­houder een klacht over een schending van informatie­verplichtingen afgewezen. Volgens de toezicht­houder was de verwerkings­verantwoordelijke, een overheids­instantie, niet verplicht om inzage te verstrekken in de gegevens die zij heeft verkregen via andere instanties. Het HvJ EU gaat niet mee in deze redenering, en oordeelt dat de transparantie­verplichting van toepassing is op alle persoons­gegevens over de betrokkene, ongeacht of deze gegevens door de betrokkene zelf verstrekt zijn of gegenereerd zijn door de verwerkings­verantwoordelijke.

Tracking en cookies

Sinds het Criteo-vonnis van december 2023, dat we in de vorige Kroniek bespraken, is het toezicht op tracking en cookies flink aangescherpt. Begin februari meldt de AP dat zij in 2024 vaker gaat controleren of websites op de juiste manier toestemming vragen voor (tracking) cookies.38 De toezicht­houder publiceert ook een handleiding voor de inrichting van een heldere cookiebanner, met verschillende voorbeelden van hoe het wel, en vooral hoe het niet moet.39

Na de AP komt ook de EDPB met een tracking-update. Op 17 april publiceert de EDPB haar opinie over de ‘pay or okay’-modellen van grote online platforms.40 Via deze modellen worden gebruikers verzocht om een keuze te maken voor het gebruik van het platform: 1) je geeft ‘toestemming’ voor het verwerken van persoons­gegevens voor gepersonaliseerde advertenties of 2) je betaalt een vergoeding. De EDPB is van mening dat er een gelijkwaardig en kosteloos alternatief moet worden aangeboden zonder reclame op basis van tracking, bijvoorbeeld een versie met contextuele advertenties. Naast een overtreding op de AVG is het gebruik van het pay or okay-toestemmingsmodel een overtreding van artikel 5 lid 2 van de Digital Markets Act. De Europese Commissie stuurt Meta in juli 2024 haar voorlopige bevindingen over dit model.41 Meta mag het gebruik van de dienst niet afhankelijk maken van de toestemming van gebruikers. De Commissie kondigt aan dat zij constructief blijft en samen met Meta op zoek gaat naar een werkbaar alternatief.

In april 2024 wordt Criteo weer voor de rechter gedaagd in een kort geding (ECLI:​NL:​RBAMS:​2024:3095).42 Na de uitspraak in december 2023 had Criteo vrijwillig aan het maximumbedrag aan dwangsommen van 25.000 euro voldaan. Volgens de eiser biedt dit bedrag echter onvoldoende financiële prikkel om het handelen te staken, aangezien de overtreding nog voortduurt. Daarom vordert eiser een verhoging van de dwangsom. De rechtbank stelt eiser in het gelijk en het maximum wordt verhoogd naar 50.000 euro. De rechtbank gaat niet mee in het verweer van Criteo dat het onmogelijk zou zijn om aan de veroordeling te voldoen. Zij verwijst naar de overweging van het gerechtshof waarin het hof concludeerde dat Criteo wel over de mogelijkheden beschikt om het onrechtmatig handelen te staken.

In mei publiceert de AP ook haar eerste cookieboete. Het bedrijf achter Kruidvat krijgt een boete van 600.000 euro opgelegd omdat zij bezoekers van kruidvat.nl volgde met tracking cookies, zonder dat de bezoekers dat wisten of daarvoor toestemming hadden gegeven.43 De cookies waren vooraf aangevinkt en konden alleen via geavanceerde instellingen en vier verschillende handelingen worden uitgezet. Hierdoor was geen sprake van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. De AP sluit het jaar af met een publiekscampagne over de privacyrisico’s van cookies.44 Haar standpunt van begin dat jaar wordt herhaald: organisaties weten door misleidende cookiebanners te veel over mensen, en dat moet veranderen.

Grondslagen/​gerechtvaardigd belang

In 2024 gaat het controversiële standpunt van de AP over de gerechtvaardigd belanggrondslag,45 zoals opgenomen in haar normuitleg over gerechtvaardigd belang, definitief onderuit. De AP meende dat een zuiver commercieel belang nooit aangemerkt kan worden als een gerechtvaardigd belang, wat er in de praktijk op neerkwam dat voor elke verwerking van persoons­gegevens voor een zuiver commercieel belang toestemming was vereist. Het HvJ EU doet op 4 oktober 2024 uitspraak in de KNLTB-zaak (ECLI:​EU:​C:​2024:858) en maakt korte metten met dit standpunt. Wat een gerechtvaardigd belang is, hoeft volgens het HvJ EU niet bij wet te worden bepaald. Het is alleen vereist dat het belang rechtmatig is. Vervolgens moet worden beoordeeld of de verwerking strikt nood­zakelijk is om het belang te behartigen en of de belangen en de fundamentele vrijheden en grondrechten van de betrokkenen (in dit geval de KNLTB-leden) niet zwaarder wegen dan het belang. Een echte verrassing is het niet: overweging 47 van de AVG benoemt expliciet dat direct marketing een gerechtvaardigd belang is. De EDPB heeft al nieuwe richtsnoeren (1⁠/⁠2024) gepubliceerd over deze grondslag, waarin ook de KNLTB-uitspraak is opgenomen.46 Het wachten is nu op de aangepaste normuitleg van de AP.

Een paar maanden eerder liet het gerechtshof Amsterdam zich uit over de grondslag noodzaak om te voldoen aan een wettelijke verplichting van artikel 6, lid 1 onder c AVG (ECLI:​NL:​GHAMS:​2024:1165). Centraal staat de vraag of creditcardbedrijf ICS een kopie van een identiteitsbewijs mag vragen en opslaan om aan de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) te voldoen. Het gerechtshof Amsterdam oordeelt dat dit wel het geval is. De betrokkene maakte bezwaar tegen het verzoek van ICS om een kopie van zijn identiteitsbewijs te scannen voor het gebruik van een zakelijke creditcard. Hij wilde een gewaarmerkte kopie verstrekken maar dit werd door ICS niet geaccepteerd. Ook de alternatieve mogelijkheden van verificatie die ICS aanbood, namelijk controle van het identiteitsbewijs aan huis of bij de notaris, werden door de betrokkene geweigerd. Vervolgens waarschuwde ICS dat zij de creditcard zou blokkeren en de overeenkomst zou opzeggen. Het hof oordeelt in het voordeel van ICS. De Wwft verplicht tot het uitvoeren van een cliënten­onderzoek en het opslaan van een kopie van het identificatiebewijs. De door ICS gehanteerde wijze om dit te doen, is volgens het hof toelaatbaar. Opvallend is dat niet wordt ingegaan op het verwijderen van het bsn van de door ICS opgeslagen versie van het identiteitsbewijs. Het bsn is namelijk niet nood­zakelijk voor de identiteitscontrole en hoeft ook niet opgeslagen te worden. Dit is ook het uitgangspunt van de Autoriteit Financiële Markten.47

Toezicht en handhaving

In september 2024 wijst het HvJ EU de Land Hessen-uitspraak, een van de eerste arresten waarin het HvJ EU de rol van privacy­toezicht­­houders uitgebreid bespreekt (ECLI:​EU:​C:​2024:785).48 Achtergrond is een (klein) datalek: een werknemer van een bank had ten onrechte de persoons­gegevens van een klant bekeken. De bank doet vervolgens een datalekmelding en neemt maat­regelen tegen de werknemer, maar informeert de klant niet. De klant ontdekt het datalek toevallig en dient een klacht in bij de toezicht­houder. De toezicht­houder wijst de klacht af, de klant gaat in beroep bij de rechtbank en de rechtbank ziet zich gesteld voor de vraag of de toezicht­houder handhavend had moeten optreden.

Het HvJ EU legt de lat voor toezicht­houders duidelijk hoog. Klachten moeten met de nodige voortvarendheid en zorgvuldigheid worden onderzocht en de klager moet binnen een redelijke termijn van de voortgang en het resultaat van het onderzoek op de hoogte worden gesteld.49 Wanneer de toezicht­houder na het onderzoek vaststelt dat er sprake is van een schending, is zij verplicht om op gepaste wijze te reageren.50 De toezicht­houder heeft vervolgens wel een bepaalde beoordelingsmarge voor de manier (het handhavings­middel) waarop de vastgestelde schending moet worden verholpen, maar deze wordt beperkt door de noodzaak van strenge handhaving.51 Zo is zij in beginsel verplicht om corrigerende maat­regelen te nemen om een vastgestelde ontoereikendheid te verhelpen en de naleving van de AVG te waarborgen.52 Dit ligt in lijn met de beginselplicht tot handhaving die we in het bestuursrecht kennen voor het nemen van herstelmaat­regelen. Het HvJ EU licht vervolgens toe dat als al een einde is gemaakt aan de schending, de toezicht­houder bij wijze van uitzondering en gelet op de bijzondere omstandig­heden van een concreet geval kan afzien van het nemen van corrigerende maat­regelen.53 Van het opleggen van een boete kan bijvoorbeeld worden afgezien als het gaat om een kleine inbreuk of als de boete een onevenredige last zou berokkenen aan een natuurlijk persoon. In dergelijke gevallen kan een berisping worden opgelegd.54 De rechter dient vol te toetsen of de toezicht­houder de klacht voortvarend en zorgvuldig heeft onderzocht en of de beoordelingsmarge in acht is genomen.55 Al met al wordt duidelijk dat van toezicht­houders veel wordt verwacht: zorgvuldig en voortvarend onderzoek en bij een schending moet in beginsel gehandhaafd worden.

In 2024 publiceert de AP zeven boetes.56 Twee daarvan zijn voor recidivist Uber: in januari 10 miljoen euro voor het gebrek aan transparantie over haar bewaartermijnen en naar welke landen gegevens zijn doorgegeven57 en in augustus 290 miljoen euro voor de doorgifte van persoons­gegevens naar de Verenigde Staten.58 Kruidvats moederbedrijf AS Watson ontvangt een boete van 600.000 euro voor het onrechtmatig gebruik van tracking cookies op kruidvat.nl.59 In juni ontvangt een recruitment­bedrijf een boete van 6.000 euro voor het niet-voldoen aan verwijderverzoeken.60 Interessant is tot slot de boete van 4,75 miljoen euro voor Netflix voor gebreken in haar privacybeleid. Zo had Netflix in haar privacystatement geen koppeling gemaakt tussen de doeleinden en de grondslagen, waren ontvangers van de persoons­gegevens en bewaartermijnen niet vermeld en stonden de waarborgen voor doorgifte naar derde landen niet opgenomen.61

Opvallend is dat de AP nog steeds bijzonder lang doet over het afronden van onderzoeken en het opleggen van boetes. De onderzoeken naar Uber zijn gestart in respectievelijk 2020 en 2021. De onderzoeken naar Kruidvat en het recruitment­bedrijf in 2019. Het boete­besluit jegens Netflix vermeldt niet wanneer het onderzoek is gestart, maar het betreft overtredingen tussen 2018 en 2020. Tussen het starten van een onderzoek en het opleggen van een boete lijkt dus gauw vier tot vijf jaar te verstrijken. Het is de vraag of deze voort­varendheid voldoet aan de maatstaven van Land Hessen.

Collectieve acties

In de Kronieken van 2022 en 2023 bespraken wij de laatste ontwikkelingen op het gebied van collectieve acties. Ook in 2024 was er volop aandacht voor collectieve acties. Zo zijn er procedures gestart tegen antivirussoftwaremaker Avast,62 Twitter,63 en de exploitant van Tinder, MTCH.64 In de rechtspraak ligt de nadruk nog met name op de ontvankelijk­heids­fase.

In juni wijst het gerechtshof Amsterdam een tussenarrest in de zaak tussen The Privacy Collective (TPC) en Oracle en Salesforce. In eerste aanleg had de rechtbank Amsterdam geoordeeld dat TPC niet-ontvankelijk was omdat zij niet op de juiste wijze steun van haar achterban had verkregen en daarmee niet representatief was. Om redenen van data­minimalisatie had de stichting steun voor haar vordering verzameld met een steunknop op haar website (vergelijkbaar met ‘likes’). Volgens de rechtbank was deze methode niet geschikt om steun van de achterban mee aan te tonen. Representativiteit kon volgens de rechtbank ook niet worden aangetoond via steun van privacyorganisaties.65 Het hof denkt daar anders over (ECLI:​NL:​GHAMS:​2024:1651).66 In de eerste plaats is van belang dat het hof oordeelt dat de ontvankelijkheid ex nunc moet worden beoordeeld, ten tijde van de zitting over de ontvankelijkheid in appel en niet ex tunc, ten tijde van dagvaarden.67 Ten tweede overweegt het hof over de representativiteit dat een niet te verwaarlozen aantal personen achter de actie staat. Daarvoor is het wel degelijk relevant dat maat­schappelijke organisaties steun voor de actie hebben uitgesproken. De likes geven daarnaast aan dat een behoorlijk aantal natuurlijke personen instemmen met deze actie.68 Ten derde is van belang dat alle vorderingen volgens het hof aan het gelijk­soortigheidsvereiste voldoen, ook de schade­vergoedingsvorderingen. Volgens het hof vloeit de gestelde schade voort uit een gelijke normschending en kan deze in hoogte verschillen, waarbij een indeling in categorieën voor de hand ligt. Het hof geeft aan dat een collectieve actie waarin ook wordt beslist over eventuele schade­vergoeding efficiënt is omdat het in het voordeel van alle partijen is dat kan worden volstaan met één procedure. Het niet in de ontvankelijkheidsfase laten stranden van het schade­vergoedingsonderdeel past bij de ratio van de Wet afwikkeling massaschade in collectieve actie (WAMCA).69

Dat oordeel handhaaft het hof in het daaropvolgende tussenarrest (ECLI:​NL:​GHAMS:​2024:2661).70 Of er schade is, is een kwestie waarover dient te worden beslist bij de beoordeling van de toewijsbaarheid van de vorderingen (de inhoudelijke fase) en niet al bij de beoordeling van de ontvankelijkheid van de collectieve vorderingen. Op dat moment zal ook aan de orde moeten komen hoe het opdrachtvereiste van artikel 80 lid 1 jo. art. 82 AVG moet worden uitgelegd en op welk moment en op welke wijze die opdracht moet zijn verstrekt; dat is een punt waarover wellicht prejudiciële vragen gesteld zullen moeten worden, maar daarop loopt het hof niet vooruit.71 Het hof verwijst de zaak terug naar de rechtbank voor de inhoudelijke fase.72 Het hof stelt tegelijkertijd wel tussentijds cassatie open over haar arresten in de ontvankelijkheidsfase.73

In een tussen­vonnis van 11 november over de ontvankelijkheid van Stichting Data Bescherming Nederland in een collectieve actie tegen Amazon over, samengevat, het gebruik van persoons­gegevens van Amazon-gebruikers, spreekt de rechtbank Rotterdam het voornemen uit om prejudiciële vragen aan het HvJ EU te stellen (ECLI:​NL:​RBROT:​2024:11322).74 De rechtbank heeft een aantal voorgenomen vragen opgenomen in het vonnis, waar partijen nog op mogen reageren. De vragen gaan over de verhouding tussen de ontvankelijkheidseisen op grond van de WAMCA en de ontvankelijkheidseisen op grond van de AVG en de vraag hoe artikel 80 lid 2 AVG met betrekking tot het recht op schade­vergoeding moet worden uitgelegd.75

Tot slot enkele uitspraken waarbij we kort stilstaan: het hof Amsterdam doet uitspraak in een procedure van stichting Offlimits tegen Hammy Media, uitbater van pornowebsite xhamster.com (ECLI:​NL:​GHAMS:​2024:1572).76 Het hof oordeelt dat Hammy Media onrecht­matig pornografisch materiaal moet verwijderen. De exploitant komt geen beroep op de hostingexceptie voor aansprakelijkheid toe.77 In januari verklaart de recht­bank Amsterdam drie stichtingen ontvankelijk en wijst twee daarvan aan als exclusieve belangen­behartiger in de procedure tegen TikTok (ECLI:​NL:​RBAMS:​2024:83).78 Stichting Take Back Your Privacy wordt de belangen­behartiger voor minderjarigen en Stichting Massaschade & Consument die voor meerderjarigen. Tegen de uitspraak loopt hoger beroep. Verder verklaart de rechtbank Midden-Nederland drie belangenorganisaties en individuele eisers ontvankelijk in een procedure tegen de Nederlandse Zorgautoriteit (NZa) (ECLI:​NL:​RBMNE:​2024:4106).79 Eisers willen dat de NZa stopt met het opvragen van informatie over de gezondheidssituatie van individuele cliënten in de geestelijke gezondheidszorg. De collectieve vorderingen strekken niet tot de vergoeding van schade. De drie belangenorganisaties worden samen aangewezen als exclusieve belangen­behartigers. De rechtbank Amsterdam oordeelt dat de schade­vergoedingsvordering van de Stichting Initiatieven Collectieve Acties Massaschade (ICAM), over een datalek bij de GGD, niet kan worden toegewezen (ECLI:​NL:​RBAMS:​2024:4264).80 Schadevergoeding wegens de vrees dat gegevens in verkeerde handen zouden kunnen komen, zonder dat vaststaat dat dit het geval is, is volgens Europese rechtspraak niet mogelijk, zo oordeelt de rechtbank. Voor de gevallen waarin wel vaststaat dat de gegevens in verkeerde handen zijn gekomen, geldt dat de GGD’s een financiële tegemoetkoming hebben aangeboden, die door de meeste benadeelden is geaccepteerd, waarmee zij afstand hebben gedaan van een vordering tot schade­vergoeding. Er blijft slechts een beperkte groep van benadeelden over. De ICAM heeft niet aannemelijk kunnen maken dat zij representatief is voor die groep.

Vooruitblik

In onze vorige vooruitblik stonden we kort stil bij twee onderwerpen waarvan wij verwachtten dat die de komende jaren een centrale rol zullen spelen in het privacyrecht: AI en collectieve acties. Zoals hiervoor toegelicht, wordt het juridisch kader voor collectieve acties op grond van de AVG steeds verder uitgeprocedeerd.

Een mogelijke ontwikkeling volgt uit de hiervoor besproken Lindenapotheke-uitspraak. Het HvJ EU oordeelt namelijk dat de AVG niet belet dat concurrenten tegen elkaar op kunnen komen wegens privacyschendingen. Zo kan een onder­neming opkomen tegen een concurrent die voordeel geniet door het aan de laars lappen van de verplichtingen uit de AVG. Mogelijk gaan we een ontwikkeling zien van concurrenten die elkaar betichten van privacyschendingen.81

Ook het AI-landschap blijft in beweging, zij het trager dan verwacht. De AI Act is in 2024 wel aangenomen,82 maar onder meer de publicatie van de General-Purpose AI Code of Practice is met minstens een maand uitgesteld.83 Deregulering, of de vrees daarvoor, blijkt in ieder geval een hot topic. Zo zijn de wets­voorstellen voor de AI-aansprakelijk­heids­richtlijn en de ePrivacy Verordening begin 2025 ingetrokken en overweegt de Europese Commissie versoepeling van wetgeving om te investeren in AI en overige tech innovatie. Volgens de Europese Commissie is dit geen reactie op de politieke ontwikke­lingen aan de andere kant van de Atlantische Oceaan, maar reflecteert dit de ambitie om verder te investeren in een ‘simpler and faster Europe’.84

Aan de andere kant zien we ook de intentie van de EU-wetgever om juist de ‘robuuste handhaving’ te verbeteren. Op 25 juli 2024 publiceert de Europese Commissie haar tweede verslag over de stand van zaken bij de uitvoering van de AVG en onderstreept juist de noodzaak om meer te gaan handhaven.85 Naast de ambitie om meer te handhaven, zien we ook een voorstel om de AVG volledig aan te passen. In maart 2025 kondigen privacyactivist Max Schrems en Duits Europarlementariër Axel Voss een voorstel aan om de AVG om te zetten in een verordening van drie niveaus, die net zoals de Digital Services Act (DSA) een onderscheid maakt tussen grotere en kleinere onder­nemingen.86 Gaat dit de AVG versimpelen of opent het voorstel om de AVG te herzien de doos van Pandora? Die discussie zal het komende jaar worden gevoerd.

De auteurs zijn advocaat bij Rubicon Impact & Litigation te Amsterdam.

Noten

  1. V. Zwaan e.a., ‘Kroniek Privacyrecht 2023’, Adv.bl. 2024-03, p. 91-100, p. 91-92.

  2. Gerecht EU 26 april 2023, ECLI:​EU:​T:​2023:219 (GAR/​EDPS).

  3. HvJ EU 7 maart 2024, ECLI:​EU:​C:​2024:214 (IAB Europe).

  4. Met het real time biddingsysteem kunnen websitehouders (publishers) advertentie­ruimte verkopen aan adverteerders die daarop bieden. Om het bieden te optimaliseren, worden de persoons­gegevens van de betrokkene aan de bieders verstrekt zodat deze weten welke interesses de gebruiker heeft, om daarop vervolgens het bod aan te passen. Deze veiling van advertentie­ruimte met gebruik van de persoons­gegevens van internetgebruikers vindt in milliseconden plaats, gedurende de tijd dat een internetpagina laadt.

  5. Rb. Overijssel 2 februari 2024, ECLI:​NL:​RBOVE:​2024:594 (College van B&W Enschede/​AP).

  6. Het MAC-adres is een uniek identificatienummer gekoppeld aan de netwerkchip van een apparaat. Elke netwerkchip in een smartphone heeft een MAC-adres en deze wordt verstuurd naar wifinetwerken waarmee de smartphone contact maakt. Het is hiervoor niet nood­zakelijk dat de smartphone ook daadwerkelijk met het wifinetwerk verbonden is.

  7. HvJ EU 7 maart 2024, ECLI:​EU:​C:​2024:216 (Endemol Shine Finland Oy).

  8. V. Zwaan e.a., ‘Kroniek Privacyrecht 2023’, Adv.bl. 2024-03, p. 91-100, p. 92 en V. Zwaan e.a., ‘Kroniek Privacyrecht 2022’, Adv.bl. 2023-03, p. 89-90.

  9. HvJ EU 4 oktober 2024, ECLI:​EU:​C:​2024:846 (Lindenapotheke).

  10. HvJ EU 25 januari 2024, ECLI:​EU:​C:​2024:72 (MediaMarktSaturn); HvJ EU 20 juni 2024, ECLI:​EU:​C:​2024:536 (PS); HvJ EU 11 april 2024, ECLI:​EU:​C:​2024:288 (Juris); HvJ EU 4 oktober 2024, ECLI:​EU:​C:​2024:827 (Agentsia po vpisvaniyata).

  11. Agentsia po vpisvaniyata, r.o. 139; met verwijzing naar HvJ EU 4 mei 2023 (ECLI:​EU:​C:​2023:370 (Österreichische Post).

  12. Agentsia po vpisvaniyata, r.o. 140-141; met verwijzing naar HvJ EU 4 mei 2023 (ECLI:​EU:​C:​2023:370 (Österreichische Post) en HvJ EU 11 april 2024, ECLI:​EU:​C:​2024:288 (Juris).

  13. Agentsia po vpisvaniyata, r.o. 143-144; met verwijzing naar HvJ EU 14 december 2023, ECLI:​EU:​C:​2023:986 (Natsionalna agentsia za prihodite) en HvJ EU 20 juni 2024, EU:C:2024:536 (PS).

  14. Agentsia po vpisvaniyata, r.o. 145-146; met verwijzing naar HvJ EU 14 december 2023, ECLI:​EU:​C:​2023:986 (Natsionalna agentsia za prihodite).

  15. Agentsia po vpisvaniyata, r.o. 147-149; met verwijzing naar HvJ EU 14 december 2023, ECLI:​EU:​C:​2023:988 (Gemeinde Ummendorf).

  16. Agentsia po vpisvaniyata, r.o. 151; met verwijzing naar HvJ EU 20 juni 2024, ECLI:​EU:​C:​2024:531 (Scalable Capital).

  17. Agentsia po vpisvaniyata, r.o. 152-153; met verwijzing naar HvJ EU 20 juni 2024, ECLI:​EU:​C:​2024:531 (Scalable Capital); HvJ EU 4 mei 2023 (ECLI:​EU:​C:​2023:370 (Österreichische Post) en HvJ EU 11 april 2024, ECLI:​EU:​C:​2024:288 (Juris).

  18. Agentsia po vpisvaniyata, r.o. 155-156.

  19. Hof Arnhem-Leeuwarden 5 maart 2024, ECLI:​NL:​GHARL:​2024:1639.

  20. ABRvS 5 juni 2024, ECLI:​NL:​RVS:​2024:2311.

  21. ABRvS 17 juli 2024, ECLI:​NL:​RVS:​2024:2891.

  22. Artikel 8:88 Algemene wet bestuursrecht (Awb).

  23. ABRvS 18 september 2024, ECLI:​NL:​RVS:​2024:3746.

  24. ABRvS 31 juli 2025, ECLI:​NL:​RVS:​2024:3105.

  25. Hof Arnhem-Leeuwarden 19 maart 2024, ECLI:​NL:​GHARL:​2024:1924 (KPMG).

  26. KPMG, r.o. 4.4.

  27. KPMG, r.o. 4.8.

  28. KPMG, r.o. 4.11.

  29. KPMG, r.o. 4.20.

  30. Concl. P⁠-⁠G De Bock, ECLI:​NL:​PHR:​2024:750.

  31. Concl. P⁠-⁠G De Bock, ECLI:​NL:​PHR:​2024:750, para. 11.29.

  32. Concl. P⁠-⁠G De Bock, ECLI:​NL:​PHR:​2024:750, para. 18.40.

  33. Concl. P⁠-⁠G De Bock, ECLI:​NL:​PHR:​2024:750, para. 20.29.

  34. Concl. P⁠-⁠G De Bock, ECLI:​NL:​PHR:​2024:750, para. 21.5.

  35. HR 4 oktober 2024, ECLI:​NL:​HR:​2024:1372.

  36. Concl. A-G Drijber, ECLI:​NL:​PHR:​2024:416, bij HR 4 oktober 2024, ECLI:​NL:​HR:​2024:1372.

  37. HvJ EU 28 november 2024, ECLI:​EU:​C:​2024:988 (Másdi).

  38. AP, AP pakt misleidende cookiebanners aan, 6 februari 2024, https://​autoriteitpersoons­gegevens.nl/​actueel/​ap-pakt-misleidende-cookiebanners-aan.

  39. AP, Heldere en misleidende cookiebanners, te raadplegen op: https://​autoriteitpersoons­gegevens.nl/​themas/​internet-slimme-apparaten/​cookies/​heldere-en-misleidende-cookiebanners.

  40. EDPB, Advies 08/​2024 over geldige toestemming in het kader van door grote onlineplatforms toegepaste ‘consent or pay’-modellen, vastgesteld op 17 april 2024.

  41. Europese Commissie, Commissie stuurt Meta voorlopige bevindingen over model ‘betaal of stem toe’ wegens inbreuk op digitalemarktenverordening, 1 juli 2024, te raadplegen op: https://​ec.europa.eu/​commission/​presscorner/​detail/​nl/​ip_24_3582.

  42. Rb. Amsterdam (vzr.) 22 april 2024, ECLI:​NL:​RBAMS:​2024:3095.

  43. AP, Besluit van 2 mei 2024 (gepubliceerd op 16 juli 2024), te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​boete-van-600000-euro-voor-tracking-cookies-op-kruidvatnl (Boete Kruidvat).

  44. AP, AP lanceert campagne over privacyrisico’s van cookies, 16 december 2024, te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-lanceert-campagne-over-privacyrisicos-van-cookies.

  45. Artikel 6 lid 1 onder f AVG.

  46. EDPB Guidelines 1/​2024 on processing of personal data based on Article 6(1)(f) GDPR, Versie 1.0, vastgesteld op 8 oktober 2024 (nu alleen beschikbaar in het Engels).

  47. AFM, Leidraad Wwft en Sanctiewet, 5 juni 2024, te raadplegen op: https://​www.afm.nl/~/​profmedia/​files/​wet-regelgeving/​beleidsuitingen/​leidraden/​herziene-leidraad-wwft-2024.pdf.

  48. HvJ EU 26 september 2024, ECLI:​EU:​C:​2024:785 (Land Hessen).

  49. Land Hessen, r.o. 32.

  50. Land Hessen, r.o. 33-35.

  51. Land Hessen, r.o. 37-38.

  52. Land Hessen, r.o. 42-43.

  53. Land Hessen, r.o. 46.

  54. Land Hessen, r.o. 47.

  55. Land Hessen, r.o. 49.

  56. Volgens het boeteoverzicht op de website van de AP, te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​boetes-en-andere-sancties.

  57. AP, Besluit van 11 december 2023 (gepubliceerd op 21 januari 2024), te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​boete-uber-privacyrechten (Boete Uber I).

  58. AP, Besluit van 22 juli 2024 (gepubliceerd op 26 augustus 2024), te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​boete-uber-doorgifte-naar-vs (Boete Uber II).

  59. Boete Kruidvat.

  60. AP, Besluit van 30 juli 2020 (gepubliceerd op 5 juni 2024), te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​boete-ambitious-people-group-verwijderverzoeken (Boete Ambitious People Group); het bedrijf verzette zich nog tegen openbaar­making van de boete, althans haar naam in de boete, maar dat mocht niet baten, zie ABRvS 29 mei 2024, ECLI:​NL:​RVS:​2024:2221.

  61. AP, Besluit van 26 november 2024 (gepubliceerd op 18 december 2024), te raadplegen op: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​boete-netflix (Boete Netflix).

  62. De dagvaarding van Stichting CUIC is te raadplegen op: https://​www.rechtspraak.nl/​SiteCollectionDocuments/​Stichting-CUIC-v-Avast-Software-sro-cs.pdf.

  63. De dagvaarding van SOMI is te raadplegen op: https://​www.rechtspraak.nl/​SiteCollectionDocuments/​2024.08.16_Uittreksel_dagvaarding_SOMI_v_X%20Corp_Twitter_International_Unlimited_Company_Twitter_Netherlands_BV.pdf.

  64. De dagvaarding van Stichting Take Back Your Privacy is te raadplegen op: https://​www.rechtspraak.nl/​SiteCollectionDocuments/​stichting-take-back-your-privacy-tegen-MTCH-technology-services-limited.pdf.

  65. Rb. Amsterdam 29 december 2021, ECLI:​NL:​RBAMS:​2021:7647 (The Privacy Collective); wij bespreken de uitspraak in C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2021’, Adv.bl. 2022-03, p. 88.

  66. Hof Amsterdam 18 juni 2024, ECLI:​NL:​GHAMS:​2024:1651 (The Privacy Collective).

  67. Idem, r.o. 4.7.

  68. Idem, r.o. 4.20-4.22.

  69. Idem, r.o. 4.11-4.19.

  70. Hof Amsterdam, 29 september 2024, ECLI:​NL:​GHAMS:​2024:2661 (The Privacy Collective).

  71. Idem, r.o. 2.2.

  72. Idem, r.o. 2.3.1-2.4.

  73. Idem, r.o. 2.5-2.6.

  74. Rb. Rotterdam 13 november 2024, ECLI:​NL:​RBROT:​2024:11322 (Amazon).

  75. Idem, r.o. 6.25-6.26.

  76. Hof Amsterdam 11 juni 2024, ECLI:​NL:​GHAMS:​2024:1572 (Stichting Offlimits).

  77. De uitspraak volgt grotendeels de lijn van de eerdere procedure tegen de uitbater van vagina.nl: Rb. Amsterdam 16 februari 2022, ECLI:​NL:​RBAMS:​2022:557. Wij bespraken deze uitspraak in V. Zwaan e.a., ‘Kroniek Privacyrecht 2022’, Adv.bl. 2023-03, p. 95-96.

  78. Rb. Amsterdam 10 januari 2024, ECLI:​NL:​RBAMS:​2024:83 (TikTok).

  79. Rb. Midden-Nederland 17 juli 2024, ECLI:​NL:​RBMNE:​2024:4106 (NZa).

  80. Rb. Amsterdam 17 juli 2024, ECLI:​NL:​RBAMS:​2024:4264 (ICAM/​GGD).

  81. HvJ EU 4 oktober 2024, ECLI:​EU:​C:​2024:846 (Lindenapotheke), r.o. 46-73.

  82. Europese Commissie, ‘Verordening artificiële intelligentie: Raad geeft definitief groen licht’, https://​www.consilium.europa.eu/​nl/​press/​press-releases/​2024/​05/​21/​artificial-intelligence-ai-act-council-gives-final-green-light-to-the-first-worldwide-rules-on-ai/.

  83. Europese Commissie, General-Purpose AI Code of Practice, https://​digital-strategy.ec.europa.eu/​en/​policies/​ai-code-practice.

  84. Europese Commissie, A simpler and faster Europe: Communication on implementation and simplification, 2024-2029, https://​commission.europa.eu/​document/​download/​8556fc33-48a3-4a96-94e8-8ecacef1ea18_en?filename=250201_Simplification_Communication_en.pdf; P. Haeck, ‘Virkkunen stands firm on American pushback against EU tech laws’, Politico, 11 februari 2025, https://​www.politico.eu/​article/​virkkunen-stands-firm-against-american-pushback-against-eu-tech-laws/.

  85. Europese Commissie, Verslag over de algemene verordening gegevensbescherming, 25 juli 2024, https://​ec.europa.eu/​info/​law/​better-regulation/​have-your-say/​initiatives/​14054-Verslag-over-de-algemene-verordening-gegevensbescherming_nl.

  86. J. Wulff Wold, ‘Voss and Schrems team up to propose three-layered GDPR revision’, Euractiv, 5 maart 2025, https://​www.euractiv.com/​section/​tech/​news/​voss-and-schrems-team-up-to-propose-three-layered-gdpr-revision/.