juridisch kronieken

Kroniek
Privacyrecht 2025

door Sarah Stapel, Jacob van de Velde & Vita Zwaan
beeld Floris Tilanus

In onze zesde Kroniek privacyrecht voor het Advocatenblad komen weer tal van onderwerpen aan bod die de privacy community in 2025 bezighielden. Wij gaan onder meer in op de begrippen ‘persoons­gegevens’ en ‘bijzondere persoons­gegevens’. Schadevergoeding en de rechten van betrokkenen blijven daarnaast een hot topic. Nieuwe onderwerpen dit jaar zijn commerciële communicatie en geautomatiseerde besluit­vorming, waarover verschillende interessante uitspraken zijn gewezen. In de vooruitblik bespreken we tot slot de aankomende voorstellen om de AVG te versimpelen.

Het begrip ‘persoons­gegevens’

In de Kroniek van 2023 bespraken wij de uitspraak GAR/​EDPS van het Gerecht van eerste aanleg van het Hof van Justitie van de Europese Unie (HvJ EU).1 Wij gaven toen aan dat hoger beroep liep van deze zaak. In dat hoger beroep is in 2025 door het HvJ EU arrest gewezen (ECLI:​EU:​C:​2025:645).2 De vraag die in deze zaak centraal staat, is of gepseudonimiseerde gegevens die aan een derde zijn verstrekt voor deze derde als persoons­gegevens aangemerkt moeten worden. Concreet heeft de zaak betrekking op de doorgifte van opmerkingen van aandeel­houders en crediteuren over bestuursbesluiten, zonder direct identificerende gegevens zoals namen, aan een derde partij.3 De verwerkings­verantwoordelijke beschikte nog over de koppeltabel om de opmerkingen weer te koppelen aan de auteur, maar de ontvangende derde partij niet.4 Volgens het HvJ EU kan deze pseudonimisering tot gevolg hebben dat de gegevens voor de derde niet meer op een persoon betrekking hebben als de derde geen mogelijkheid meer heeft om de pseudonimiseringsmaatregel ongedaan te maken. Bij beantwoording van die vraag moet rekening worden gehouden met ‘alle middelen waarvan redelijker­wijs te verwachten valt’ dat de verwerkings­verantwoordelijke of andere persoon die zal gebruiken om de natuurlijke persoon te identificeren.5 Relevant kan bijvoorbeeld zijn dat de identificatie voor de derde bij wet verboden of in de praktijk ondoenlijk is, omdat het – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt.6 Of een gegeven een persoons­gegeven is, hangt dus af van het perspectief van de partij en de omstandig­heden van het geval.7 Als een verwerkings­verantwoordelijke gepseudonimiseerde gegevens aan een derde verstrekt, die voor deze derde geen persoons­gegevens zijn, moet de verwerkings­verantwoordelijke de betrokkenen daar wel over informeren. De informatieplicht rust immers op de verwerkings­verantwoordelijke voordat de doorgifte plaatsvindt.8 Als gegevens geen persoons­gegevens zijn, dan is de AVG niet van toepassing en hoeft dus ook niet aan de verplichtingen daarvan voldaan te worden. Dit kan ruimte geven voor partijen om gepseudonimiseerde gegevens ook voor eigen doeleinden te gebruiken. De uitspraak maakt niet duidelijk of bij het delen van gepseudonimiseerde gegevens nog steeds een verwerkersovereen­komst gesloten moet worden. Een verwerkersovereen­komst moet gesloten worden als een derde ‘namens een verwerkings­verantwoordelijke’ persoons­gegevens verwerkt. Als de persoons­gegevens adequaat gepseudonimiseerd zijn, verwerkt de derde geen persoons­gegevens meer en zou dus geen verwerkersovereen­komst gesloten hoeven worden. Wij kunnen ons moeilijk voorstellen dat het HvJ EU een dergelijke beperking van de bescherming van betrokkenen heeft bedoeld en voorzien.

Een andere opvallende Nederlandse uitspraak over het begrip persoons­gegevens is van 30 juli 2025 van de Afdeling bestuurs­rechtspraak van de Raad van State (de Afdeling) (ECLI:​NL:​RVS:​2025:3561).9 Een bewoonster wil er via de Wet open overheid onder meer achter komen of er overlastmeldingen over haar zijn gedaan. In reactie op haar verzoek ontvangt zij een overzicht met meldingen. In een van de meldingen, die geen betrekking heeft op de bewoonster in kwestie, staat een locatieaanduiding: te weten een dorre boom op een openbare locatie nabij een gespecificeerd adres. Het adres is dat van de bewoonster. Deze locatieaanduiding met adres is volgens de Afdeling geen persoons­gegeven. Het is ‘ongelukkig’ dat de locatieaanduiding is opgenomen bij de overlast­melding, aangezien de melding niet over de bewoonster gaat, maar dat maakt het volgens de Afdeling nog geen persoons­gegeven; het is slechts een locatieaanduiding. Het adres hoeft daarom niet uit de melding verwijderd te worden. De Afdeling verwijst in haar uitspraak helaas niet naar de inmiddels uitgebreide juris­prudentie van het HvJ EU over het begrip persoons­gegevens, waaronder het Nowak-arrest.10 In dit arrest heeft het HvJ EU uitgemaakt dat van persoons­gegevens sprake is als informatie wegens haar ‘inhoud, doel of gevolg gelieerd is aan een bepaalde persoon’. De Afdeling lijkt ervan uit te gaan dat alleen sprake is van een persoons­gegeven als het doel is geweest dat informatie betrekking heeft op een persoon. De locatieaanduiding is echter naar haar inhoud (de bewoonster woont op het adres) en gevolg (zij wordt geassocieerd met de overlastmelding) gelieerd aan de bewoonster en daarom een persoons­gegeven. Dit volgt ook uit de feiten van de zaak: de overlastmelding was aan de bewoonster verstrekt omdat haar adres eraan gekoppeld was, ondanks dat de melding geen betrekking had op haar handelen.

Het begrip ‘verwerkings­verantwoordelijke’

De meeste verplichtingen uit de AVG rusten op de verwerkings­verantwoordelijke, de natuurlijke of rechtspersoon die het doel en de middelen – het waarom en hoe – voor het verwerken van persoons­gegevens vaststelt. Het onderwerp kreeg met name rond 2018-2019 veel aandacht van het HvJ EU,11 dat duidelijk maakte dat het begrip breed uitgelegd moet worden. In 2025 doet het HvJ EU weer een uitspraak over dit begrip, in het kader van de verant­woordelijk­heid van online marktplaatsen voor advertenties die op het platform worden geplaatst (ECLI:​EU:​C:​2025:935).12 Achtergrond is een advertentie waarin seksuele diensten worden aangeboden, met daarbij een foto en telefoonnummer. Deze advertentie was door een andere persoon geplaatst dan van wie de foto en het telefoonnummer was. Klager is degene die zichtbaar is in de advertentie. Het HvJ EU komt tot de conclusie dat de aanbieder van de online marktplaats verwerkings­verantwoordelijke is voor de advertenties die daarop geplaatst worden. De aanbieder bepaalt immers de paramaters voor de verspreiding van de advertenties op basis van publiek. Daarnaast bepaalt die de wijze van weergave, de duur van de plaatsing, de rubrieken waarin de advertenties worden ingedeeld en de rangschikking van de advertenties.13 Vervolgens is de vraag welke verplichtingen deze kwalificatie volgens het HvJ EU met zich brengt. De aanbieder is verplicht om passende maat­regelen te treffen om advertenties die gevoelige persoons­gegevens bevatten te identificeren, voordat de advertentie wordt gepubliceerd. Als dat het geval is, moet de aanbieder nagaan of deze publicatie rechtmatig is. Dit vereist dat de aanbieder de identiteit achterhaalt en verifieert van degene die de advertentie plaatst om te controleren of de gevoelige gegevens van die adverteerder zijn. Lukt dit niet, dan mag de advertentie niet worden geplaatst.14 Bovendien moet de aanbieder maat­regelen nemen om te voorkomen dat gepubliceerde advertenties met gevoelige persoons­gegevens worden gekopieerd en verspreid op andere websites.15 De aanbieder kan zich voor deze verplichtingen niet beroepen op de aansprakelijk­heidsuitzonderingen uit de Richtlijn inzake elektronische handel. Deze aansprakelijk­heidsuitzonderingen kunnen volgens het HvJ EU de verplichtingen onder de AVG niet nadelig beïnvloeden.16 Kortom: het lijkt erop dat marktplaatsen, en mogelijk ook andere verwerkings­verantwoordelijken, aansprakelijk kunnen worden gehouden voor de onrecht­matige verwerking van persoons­gegevens, ook als zij een tussenpersoon zijn in de zin van de Richtlijn inzake elektronische handel of Digital Services Act.

Rechten van betrokkenen

De AVG kent een aantal rechten toe aan betrokkenen. Met name het recht op inzage levert veel rechtspraak op. Betrokkenen die om inzage verzoeken, hebben recht op een kopie van hun persoons­gegevens en informatie over de verwerking daarvan, behoudens enkele uitzonderingen. Op 9 mei 2025 wijst de Hoge Raad arrest in een zaak over het inzagerecht (ECLI:​NL:​HR:​2025:723),17 na een interessante conclusie van P-G De Bock, die wij in de Kroniek van vorig jaar bespraken.18 Samengevat gaat de uitspraak over de vraag of en hoe een jongere voor wie indertijd kinderbeschermingsmaat­regelen getroffen zijn, het recht heeft om aan een gerechtelijke organisatie inzage te vragen in stukken uit zijn dossier. De, inmiddels meerderjarige, verzoeker wil via het dossier meer over zijn jeugd te weten komen. Volgens de Hoge Raad komen deze verzoeken vaker voor en is er nog geen eenduidige werkwijze binnen de gerechten voor de afhandeling daarvan.19 De algemene civiel­rechtelijke inzagegronden bieden geen oplossing, onder meer omdat deze, onder het toenmalige recht, alleen tijdens een procedure kunnen worden gebruikt.20 Een andere bevoegdheid, de Wet open overheid, is niet van toepassing op gerechten.21 Het inzagerecht uit de AVG biedt wel een mogelijkheid. Dat recht is wel van toepassing op gerechten en biedt bovendien een grond voor inzage in persoons­gegevens in het dossier. De Hoge Raad plaatst wel de kanttekening dat dit inzagerecht niet nood­zakelijkerwijs een grondslag biedt voor inzage in volledige documenten of een volledig dossier. Dat moet per geval worden beoordeeld.22 De Jeugdwet biedt verder een grondslag voor het verkrijgen van volledige dossiers, maar alleen bij gecertificeerde instellingen. Dossiers kunnen zich ook (deels) bevinden bij andere instellingen dan gecertificeerde instellingen, zoals de Raad voor de Kinder­bescherming. Ook daar biedt het inzagerecht uit de AVG enig soelaas, maar resulteert niet in volledige dossiers.23 De verzoeker kan kortom met gebruik van verschillende inzagerechten bij verschillende instanties een deel van het dossier verkrijgen, maar mogelijk niet het gehele dossier. De Hoge Raad merkt op dat dit mogelijk strijdig is met de positieve verplichtingen die het EVRM oplegt aan staten om te zorgen dat personen die opgegroeid zijn in de pleegzorg informatie van overheids­instanties kunnen verkrijgen om de kindertijd en vroege ontwikkeling te kennen en te begrijpen.24 Het is echter aan de wetgever om dit probleem op te lossen.25

Op 16 september wijst het gerechtshof Arnhem-Leeuwarden een zeldzame uitspraak over artikel 19 van de AVG (ECLI:​NL:​GHARL:​2025:5678).26 Dit artikel verplicht verwerkings­verantwoordelijken om bij verzoeken tot verwijdering of correctie van persoons­gegevens27 iedere ontvanger van die persoons­gegevens daarvan in kennis te stellen. Het doel van deze verplichting is dat de ontvanger vervolgens dezelfde verwijderingen of correcties door kan voeren. De verplichting is niet beperkt tot verwerkers die persoons­gegevens namens de verwerkings­verantwoordelijke verwerken, maar strekt zich uit tot alle ontvangers. Het hof concludeert dan ook dat de verwerkings­verantwoordelijke die een verwijderverzoek ontvangt eerst moet nagaan aan welke ontvangers de persoons­gegevens zijn verstrekt om die op de hoogte te stellen.28 In de onderhavige zaak had de verwerkings­verantwoordelijke de gegevens direct verwijderd en kon zij niet meer nagaan wie de ontvangers waren. Dat maakt nakoming van deze verplichting onmogelijk, die daarmee komt te vervallen.29 Dit is alleen anders voor één specifieke organisatie aan wie de gegevens vermoedelijk zijn verstrekt, die organisatie moet alsnog geïnformeerd worden. Als gevolg daarvan concludeert het hof dat de verwerkings­verantwoordelijke in casu haar verplichtingen onder artikel 19 geschonden heeft.30

Geautomatiseerde besluit­vorming

Betrokkenen hebben, behoudens uitzonderingen, het recht om niet onderworpen te zijn aan uitsluitend geautomatiseerde besluit­vorming die rechtsgevolgen voor hen hebben of hen anderszins in aanmerkelijke mate treffen (artikel 22 AVG). Wanneer sprake is van geautomatiseerde besluit­vorming, hebben betrokkenen via het inzagerecht daarnaast recht op ‘nuttige uitleg’ over de onderliggende logica hiervan (artikel 15 lid 1 onder h AVG). Het HvJ EU en het gerechtshof Amsterdam doen in 2025 uitspraken over de invulling van dit recht.

In Dun & Bradstreet Austria verduidelijkt het HvJ EU dat nuttige uitleg inhoudt dat de betrokkene moet kunnen begrijpen welke van zijn persoons­gegevens bij de geautoma­tiseerde besluit­vorming zijn gebruikt en hoe deze zijn gebruikt (ECLI:​EU:​C:​2025:117).31 In deze zaak werd het afsluiten van een mobiel abonnement door een Oostenrijkse telecomprovider geweigerd op grond van een geautomatiseerde kredietanalyse. De betrokkene verzocht om informatie over deze besluit­vorming, maar de telecomprovider weigerde deze informatie te verstrekken omdat dit beschermde bedrijfsgegevens zouden zijn. Het HvJ EU overweegt dat de betrokkene recht heeft op uitleg over welke procedure en beginselen er concreet zijn toegepast om het besluit te maken en wat het resultaat is van dit besluit.32 Het verstrekken van een wiskundige formule voldoet niet, omdat dit niet begrijpelijk is.33 Het HvJ EU bepaalt verder dat als een verwerkings­verantwoordelijke inzage wil beperken op grond van de bescherming van bedrijfs­geheimen, zij die beschermde informatie aan de bevoegde toezicht­houder of recht­bank moet verstrekken. Die kan vervolgens een belangafweging maken en bepalen of een uitzondering van toepassing is.

Deze belangen­afweging wordt in oktober door het gerechtshof Amsterdam toegepast in een zaak over het recht op nuttige uitleg. In de Shadowbanning-zaak van de Nederlandse jurist en techexpert Danny Mekíc tegen X bepaalt het hof dat beperkte kennisneming van onderliggende logica verplicht is (ECLI:​NL:​GHAMS:​2025:2667).34 Mekíc had in eerste aanleg verzocht om X te bevelen om te voldoen aan zijn inzageverzoek. Meer specifiek, om nuttige informatie over de onderliggende logica die ten grondslag lag aan het Shadowban-besluit. De recht­bank had X bevolen om aan dit verzoek te voldoen ten straffe van een dwangsom35 en daartegen is X in hoger beroep gegaan. X stelde dat de verzochte informatie mag worden uitgezonderd van het inzagerecht omdat deze informatie bedrijfs­geheimen bevat.36 Ook vroeg het platform het hof Mekíc een spreekverbod op te leggen over deze informatie om openbaring van deze bedrijfs­geheimen tegen te gaan. Het hof beveelt X om het hof onder beperkte kennisneming een volledig ongeredigeerde versie van het ‘systeem [y]’37 te verstrekken, beveelt X om alsnog Mekíc in een algemene toelichting te voorzien van de systemen van X en wijst het door X verzochte spreekverbod af.

Internationale doorgifte

Na twee jaar maakt de internationale doorgifte van persoons­gegevens haar rentree in de Kroniek. Wanneer organisaties persoons­gegevens delen met landen of organisaties buiten de Europese Economische Ruimte (EER), moet een doorgiftemechanisme van toepassing zijn om te zorgen dat de persoons­gegevens ook buiten de EER voldoende beschermd zijn. Een van deze mechanismen is het adequaatheidsbesluit: als de Europese Commissie (EC) heeft besloten dat een derde land een passend beschermingsniveau biedt. Als alternatief kan onder meer gebruikgemaakt worden van standaardovereen­komsten die door de EC zijn vastgesteld (bekend als Standard Contractual Clauses of SCC’s), waar nodig met aanvullende maat­regelen ter bescherming van de persoons­gegevens.

Het heetste hangijzer is de doorgifte van gegevens naar de Verenigde Staten. Met de zaken Schrems-I & Schrems-II sneuvelden twee adequaatheidsbesluiten bij het HvJ EU.38 Sindsdien is een nieuw systeem ontwikkeld op basis waarvan persoons­gegevens wel passend beschermd moeten worden in de VS: het Data Privacy Framework (DPF). Met de Latombe-uitspraak van 3 september 2025 blijft het DPF overeind (ECLI:​EU:​T:​2025:831).39 Voor het Gerecht is doorslaggevend dat er nu, in tegenstelling tot de voorgangers van DPF, minder mogelijkheden zijn voor bulksurveillance door Amerikaanse inlichtingen­diensten en dat er onafhankelijk toezicht georganiseerd is.40 Het is de vraag of dit het einde is van de discussie over de doorgifte van gegevens naar de Verenigde Staten; Latombe heeft hoger beroep ingesteld.41 Max Schrems, eiser in de eerste twee zaken bij het HVJ EU over doorgifte naar de Verenigde Staten, verwacht dat de ‘fragiele wetgeving’ van de Verenigde Staten aanleiding zal zijn voor vernietiging van het DPF.42

De doorgifte van gegevens naar het Verenigd Koninkrijk blijft in ieder geval mogelijk. Het eerste adequaatheidsbesluit na de Brexit was bijna verlopen. Inmiddels heeft de EC een nieuw adequaatheidsbesluit genomen. Hiermee bevestigt de Europese Commissie dat gegevens in het Verenigd Koninkrijk passend beschermd worden.43 Tot slot kunnen adequaatheidsbesluiten niet alleen voor landen, maar ook voor zelfstandige internationale organisaties worden genomen. Dat heeft de EC in 2025 voor het eerst gedaan voor het Europees Octrooibureau.44

Schadevergoeding

In 2025 is er op Europees en nationaal niveau minder rechtspraak over het recht op schade­vergoeding dan in de jaren daarvoor. Het HvJ EU doet maar een keer uitspraak over artikel 82 AVG, in de zaak Quirin Privatbank (ECLI:​EU:​C:​2025:655).45 In deze zaak heeft een werk­nemer van Quirin Privatbank gegevens over de looneisen van een sollicitant gedeeld met een derde die niet bij de wervingsprocedure betrokken was. De sollicitant werd afgewezen, maar de derde heeft hem vervolgens benaderd met de vraag of hij hem nog verder kon helpen. De sollicitant was niet blij met dit onverwachte verzoek en claimt reputatieschade omdat iemand uit de beroepssector kennis kon nemen van vertrouwelijke informatie, wat hij heeft ervaren als nadelig en vernederend voor toekomstige sollicitaties. In eerste aanleg kent de Duitse rechter de sollicitant 1.000 euro aan immateriële schade­vergoeding toe, maar in hoger beroep wordt de vordering alsnog afgewezen. Uiteindelijk stelt het Bundesgerichtshof vragen aan het HvJ EU, onder andere over de ondergrens voor immateriële schade­vergoeding.

Het HvJ EU herhaalt het inmiddels bekende kader voor de vraag of er grond is voor het vorderen van immateriële schade­vergoeding onder de AVG, dat wij ook in de vorige kroniek bespraken:46 a) immateriële schade is een ruim begrip dat op autonome en uniforme wijze moet worden uitgelegd,47 b) een beroep op schade­vergoeding slaagt alleen wanneer er sprake is van 1) een inbreuk op de AVG, 2) schade en 3) een causaal verband tussen de inbreuk en de schade48 en c) er is geen de-minimisdrempel.49 Verder benadrukt het HvJ EU opnieuw dat het verlies van controle of vrees voor mogelijk misbruik, ook zonder dat concreet misbruik plaatsvindt, aangemerkt kan worden als schade, mits deze schade wordt bewezen.50 Het HvJ EU gaat nog een stapje verder en verduidelijkt dat dit ook geldt voor negatieve gevoelens die deel kunnen uitmaken van de ‘algemene risico’s van het dagelijks leven’, zoals de gevoelens van vernedering, zolang de betrokkene kan aantonen dat deze gevoelens het gevolg zijn van een inbreuk op de AVG.51 Het HvJ EU benadrukt wederom de lage drempel voor het recht op schade­vergoeding en laat de beoordeling van (het bewijs voor) de schade over aan de nationale rechter.52

Rond dezelfde tijd wordt de conclusie van A-G Szpunar in Brillen Rottler gepubliceerd (ECLI:EU:C2025:723).53 Deze zaak draait om de vraag of een betrokkene recht heeft op schade­vergoeding bij een schending van zijn inzagerecht. Brillen Rottler, een opticien, had het inzageverzoek van de betrokkene geweigerd omdat er sprake zou zijn van misbruik van recht. Uit openbare informatie zou blijken dat de betrokkene stelselmatig inzageverzoeken indient en schade­vergoeding eist wanneer niet aan deze verzoeken wordt voldaan. De verwijzende rechter acht deze openbare informatie onvoldoende om misbruik te bewijzen en oordeelt dat er sprake is een schending van het inzagerecht. De rechter vraagt het HvJ EU of de betrokkene ook recht heeft op schade­vergoeding bij een schending van dit recht, ook al is die niet ‘ten gevolge van’ een verwerking. A-G Szpunar adviseert van wel, verwijzend naar een vergelijkbaar oordeel in Meta Platforms Ireland.54 Zolang er sprake is van een inbreuk ten gevolge van een onrecht­matige verwerking of van enige andere daad die onverenigbaar is met de uitvoering van de AVG, kan een betrokkene recht hebben op schade­vergoeding.55

De opvallendste uitspraken over schade komen dit jaar van het Gerecht van het HvJ EU. In Bindl (ECLI:​EU:​T:​2025:4)56 en OLAF (ECLI:​EU:​T:​2022:273)57 wijst het Gerecht voor het eerst concrete immateriële schade­bedragen toe voor privacyschendingen door een EU-instelling.58 In Bindl kreeg de betrokkene een immateriële schade­vergoeding van 400 euro voor onrecht­matige doorgifte van persoons­gegevens naar de Verenigde Staten. De betrokkene had zich met zijn Facebook-account aangemeld voor een evenement van de EC, waardoor onder meer zijn IP-adres is doorgegeven naar de Verenigde Staten, zonder dat een doorgiftemechanisme van toepassing was. Volgens het Gerecht moet de immateriële schade als reëel en zeker worden beschouwd, omdat de betrokkene in een situatie van onzekerheid is gebracht. In OLAF wijst het Gerecht een immateriële schade­vergoeding van 50.000 euro toe aan een onderzoeker wier gegevens onrecht­matig waren verwerkt door het Europees bureau voor fraudebestrijding (OLAF). OLAF had een artikel gepubliceerd over de besteding van EU-fondsen in een fraudeonderzoek. Dit artikel had anoniem moeten zijn. Het bureau had echter onnodige niet-essentiële persoons­gegevens van de onderzoeker opgenomen in de publicatie, waaronder haar nationaliteit, geslacht, het feit dat haar vader ook werkzaam was aan de betrokken Griekse universiteit en het bedrag van de toegekende subsidie, waardoor de identiteit van de onderzoeker gemakkelijk te herleiden was. De onderzoeker leed hierdoor reputatie­schade, schade aan haar professionele carrière en schade aan haar gezondheid. Het Gerecht geeft in deze uitspraak concrete aanknopings­punten voor wat er nodig kan zijn om dergelijke schade aan te tonen. Zo volgt uit de uitspraak dat de schade blijkt uit de media-aandacht die het artikel ontving, de intrekking van een formeel aanbod tot hoogleraarschap en de aankoop van geneesmiddelen en bezoeken aan een arts. Hoewel in nationale procedures de hoogte van schade­bedragen beoordeeld moet worden door de nationale gerechten,59 geven de genoemde bedragen wel een indicatie van wat het Gerecht redelijk vindt.

Terug naar Nederland, waar het toewijzen van immateriële schade­vergoeding dit jaar niet vaak is voorgekomen.60 De reden daarvoor is veelal dat de schade niet voldoende aannemelijk is gemaakt. Zo ook in een uitspraak van de Afdeling van 30 juli (ECLI:​NL:​RVS:​2025:3578).61 In deze zaak had het Centraal Justitieel Incassobureau een brief aan eiseres gestuurd waarin werd vermeld dat de termijn voor tenuitvoerlegging van de opgelegde taakstraf wegens de coronapandemie was verlengd. Deze brief was ten onrechte verstuurd, omdat de taakstraf in hoger beroep was vernietigd. Eiseres verzoekt om correctie van deze gegevens. Die correctie wordt doorgevoerd, maar dat wordt niet aan eiseres gemeld, waardoor zij acht maanden in onzekerheid verkeert over het moeten uitvoeren van de taakstraf. De Afdeling erkent dat eiseres enige mate van stress en ongemak heeft ervaren, maar wijst het verzoek om schade­vergoeding af omdat zij niet aannemelijk heeft gemaakt dat ze is aangetast in haar eer, goede naam of persoon. De Afdeling lijkt hier ten onrechte een ondergrens voor schade te hanteren, nu de stress en ongemak worden erkend maar blijkbaar geen reden geven voor het toewijzen van schade­vergoeding.62

Het gerechtshof Arnhem-Leeuwarden kent wel een vergoeding toe voor materiële schade als gevolg van een hack bij een autoverkoper (ECLI:​NL:​GHARL:​2025:8556).63 De koper van een auto had een deel van de koopprijs overgemaakt aan een hacker in plaats van aan de verkoper, zonder de afwijkende betaalinstructie eerst te controleren. Omdat de verkoper het bedrag niet had ontvangen, weigerde hij die auto te leveren. De koper eist het onjuist overgemaakte bedrag terug in de vorm van schade­vergoeding. Het hof oordeelt dat de verkoper de beveiliging niet op orde had en daardoor in overtreding was van de AVG en wijst het schade­vergoedings­verzoek (grotendeels) toe. Wel past het hof een billijkheidscorrectie toe omdat er deels sprake was van eigen schuld. De koper had de juistheid van de afwijkende betaalinstructie beter moeten controleren, door bijvoorbeeld contact op te nemen met de verkoper.

Commerciële communicatie en accounts

Voor veel onder­nemingen is de mogelijkheid die zij hebben om commerciële communicatie64 te sturen een belangrijk aandachtspunt. Commerciële communicatie mag worden verstuurd als aan één van de volgende twee voorwaarden is voldaan: 1) de ontvanger heeft toestemming gegeven of 2) de gegevens van de ontvanger zijn verkregen gedurende in het kader van de verkoop van een product of dienst, de communicatie gaat over eigen gelijksoortige producten of diensten en de ontvanger heeft de mogelijkheid gehad om verzet aan te tekenen zowel bij het verkrijgen van de gegevens als in elke communicatie.65 De eerste mogelijkheid wordt ook wel het ‘opt-inregime’ genoemd, waarbij de ontvanger een vakje kan aanvinken.66 De tweede mogelijkheid staat bekend als het ‘opt-outregime’,67 waarbij de ontvanger gedurende het aankoopproces een vooraf aangevinkt vakje te zien krijgt, die hij kan uitvinken om geen commerciële communicatie te ontvangen.68 Op 13 november 2025 doet het HvJ EU uitspraak in de zaak-Inteligo Media (ECLI:​EU:​C:​2025:871), over de tweede optie: het opt-outregime.69 Achtergrond is commerciële communicatie van een uitgever van een platform waarmee burgers geïnformeerd worden over wetswijzigingen. Het platform biedt drie mogelijkheden:

  • zonder account zes gratis artikelen lezen;
  • met een gratis account twee extra gratis artikelen lezen en nieuwsbrieven ontvangen met een overzicht van wetswijzigingen, links naar artikelen op het platform en promotie voor het aangaan van een betaald abonnement. Bij het aanmaken van het account kan de klant aanvinken om geen nieuwsbrief te ontvangen – standaard ontvangt de klant deze wel; en
  • met een betaald abonnement toegang tot alle artikelen en een meer volledige nieuwsbrief.70

Het HvJ EU wordt gevraagd of de tweede mogelijkheid in overeenstemming is met de ePrivacy Richtlijn, die het versturen van commerciële communicatie regelt.71 Het HvJ EU overweegt dat de nieuwsbrief aangemerkt moet worden als commerciële communicatie, omdat deze de klant aanmoedigt om een abonnement af te sluiten.72 Vervolgens overweegt het HvJ EU dat de term ‘verkoop’ in het opt-outregime betekent dat een vergoeding moet zijn betaald.73 Niet geregeld is echter door wie deze vergoeding moet zijn betaald. Bij de prijs van het betaalde abonnement is verdisconteerd dat andere klanten alleen gebruikmaken van de gratis dienst. Voor de gratis dienst wordt dus wel betaald, maar door betalende gebruikers. Daarom valt ook het gratis account onder de ‘verkoop van een dienst’.74 Dit betekent dat bij het aanmaken van een gratis account een opt-out mag worden aangeboden, als voor deze gratis dienst door anderen wordt betaald. In het onderhavige geval gaat het om andere klanten die het betaalde abonnement afnemen, maar wellicht zijn er ook situaties denkbaar waarin adverteerders betalen omdat de dienst betaalde advertenties bevat. Hoe dan ook biedt de uitspraak meer ruimte om op basis van een opt-out in plaats van een opt-in commerciële communicatie te versturen. Het HvJ EU merkt verder nog op dat de ePrivacy Richtlijn een uitputtende regeling bevat voor het versturen van commerciële communicatie; het is een lex specialis. Daarom hoeft niet ook nog getoetst te worden aan het vereiste uit de AVG om voor de verwerking van persoons­gegevens een grondslag te vinden.75

Het HvJ EU velt in 2025 ook een oordeel over de gegevens die verwerkt mogen worden voor het versturen van commerciële communicatie. De zaak-Mousse (ECLI:​EU:​C:​2025:2)76 gaat over de vraag of een openbaarvervoersbedrijf het geslacht van haar klanten mag verwerken om klanten in commerciële communicatie aan te kunnen spreken met gebruik van een aanspreektitel op basis van het geslacht. Het HvJ EU overweegt dat het verwerken van het geslacht niet mogelijk is op basis van de grondslag uitvoering van de overeen­komst, omdat het verwerken hiervan niet objectief onontbeerlijk is om de overeen­komst uit te voeren. Commerciële communicatie kan immers ook nog verstuurd worden met een aanspreektitel die niet op het geslacht is gebaseerd.77 Om vergelijkbare redenen kan ook het gerecht­vaardigd belang in principe niet dienen als grondslag. De verwijzende rechter dient de definitieve beoordeling te maken, maar het HvJ EU lijkt erop aan te sturen dat voor de aanspreektitel in commerciële communicatie het invullen van het geslacht niet verplicht kan worden gesteld. Klanten die er geen prijs op stellen dat hun geslacht wordt verwerkt, kunnen simpelweg aangesproken worden met een generieke aanspreektitel.78

In Nederland gelden de regels voor commerciële communicatie per e‑mail ook voor commerciële communicatie per telefoon. Daar komt verandering in. Vanaf 1 juli 202679 mag telefonische commerciële communicatie uitsluitend op basis van toestemming (opt-in) plaatsvinden. Het opt-outregime is dan niet meer van toepassing op telefonische communicatie voor commerciële doeleinden. Voor ideële en charitatieve doeleinden blijft de mogelijkheid wel bestaan.80

Tot slot heeft de European Data Protection Board (EDPB) zich in december 2025 in conceptrichtsnoeren uitgelaten over het verplicht stellen van het aanmaken van accounts voor e‑commerce websites, zoals webshops.81 De EDPB meent dat in principe voor individuele aankopen geen account vereist mag worden. De klant moet de mogelijkheid hebben om met een guest check-out aankopen te doen De definitieve richtsnoeren worden in 2026 verwacht.

Collectieve acties

Op 19 november 2025 is de uitkomst van de evaluatie van vijf jaar Wet afwikkeling massaschade in collectieve actie (WAMCA) gepubliceerd.82 De onder­zoekers komen tot vier algemene bevindingen. De eerste is dat het bestaan van de WAMCA als positief wordt ervaren. De tweede en derde bevindingen gaan over de doorlooptijd van WAMCA-procedures, namelijk het feit dat de fasering van WAMCA-procedures ten koste gaat van effectiviteit en efficiëntie. Daarnaast heeft na vijf jaar nog geen enkele collectieve schadeafwikkeling plaatsgevonden door de lange duur van de voorfase. De vierde aanbeveling is dat de WAMCA, net als elke grote wetswijziging, tot onduidelijkheden en knelpunten leidt, waarvoor technische wetswijzigingen worden aanbevolen.

Deze stagnatie van WAMCA-procedures vindt ook plaats in privacyzaken. Dit heeft niet alleen met de interpretatie van de ontvankelijkheidseisen van de WAMCA zelf te maken, maar ook met de verhouding tot de ontvankelijkheidseisen in de AVG. Over dit onderwerp stelt de recht­bank Rotterdam op 23 juli 2025 prejudiciële vragen aan het HvJ EU (ECLI:​NL:​RBROT:​2025:9088).83 Het tussen­vonnis over deze prejudiciële vragen bespraken wij in de Kroniek van 2024.84 Verschillende gerechten hebben zich vervolgens gebogen over de vraag wat deze prejudiciële verwijzing betekent voor lopende AVG-procedures. Op 7 oktober oordeelt het gerechtshof Amsterdam in de procedure tegen TikTok dat alleen de AVG-vorderingen worden aangehouden in afwachten van de uitspraak van het HvJ EU (ECLI:​NL:​GHAMS:​2025:2666).85 Er is geen beletsel om verder te procederen over de vorderingen gebaseerd op andere grondslagen. Dit strookt juist met de door de WAMCA beoogde efficiëntie en effectiviteit.86 De volgende stap is een mondelinge behandeling over het vervolg van de procedure, waarin onder meer een bespreking kan plaatsvinden over een eventuele collectieve schikking en over de vraag of het hof de zaak voor de inhoudelijke fase aan zich houdt of terugverwijst naar de recht­bank.87 Eerder in het jaar hielden enkele recht­banken volledige procedures aan in afwachting van de uitspraak van het HvJ EU.88 Het is de vraag of deze uitspraken stand kunnen houden.

Tot slot wijzen wij op een uitspraak van de recht­bank Amsterdam in een kortgeding­procedure van The Privacy Collective (TPC) tegen Salesforce (ECLI:​NL:​RBAMS:​2025:2936).89 Salesforce had in de WAMCA-procedure van TPC tegen Oracle en Salesforce aangegeven dat zij de diensten waar de procedure over gaat niet meer aanbiedt in Nederland. De recht­bank had partijen in overweging gegeven afspraken te maken over het veiligstellen van gegevens die voor de procedure van belang zijn. Per brief had TPC aan Salesforce gevraagd om te bevestigen dat zij die gegevens daadwerkelijk zou bewaren gedurende de procedure. Salesforce reageerde daarop dat zij die gegevens niet had, omdat zij niet de verwerkings­verantwoordelijke is.90 De kort­geding­rechter constateert dat Salesforce tegenstrijdig heeft verklaard. Zo heeft Salesforce zelf aangegeven dat ze de gegevens heeft verwijderd, waaruit blijkt dat zij in ieder geval beschikking had over de gegevens.91 Mede door de houding van Salesforce in de procedure acht de rechter het risicovol dat Salesforce eventuele nog resterende gegevens gaat verwijderen. Salesforce wordt daarom verplicht om resterende gegevens te bewaren, onder last van een dwangsom.92 Verder gebiedt de rechter Salesforce inzage te geven in haar klanten in Nederland, mede omdat Salesforce voor verant­woordelijk­heid naar haar klanten verwijst.93

Toezicht en handhaving

In 2025 stonden twee thema’s centraal bij de Autoriteit Persoons­gegevens (AP): algoritmes en cookiebanners. Zo waarschuwde de toezicht­houder tegen de risico’s bij het gebruik van chatbots,94 ging zij aan de slag met handvatten voor betekenisvolle menselijke tussenkomst bij algoritmische besluit­vorming,95 constateerde zij meerdere risico’s van een lage AI-geletterdheid in het bedrijfsleven96 en riep zij mensen op om bezwaar te maken de verwerking van persoons­gegevens door Meta97 en LinkedIn98 om AI te trainen.

In navolging van de cookiecampagne die zij in 2024 startte, maakte de AP in 2025 grote stappen.99 Zij stuurde brieven naar meer dan tweehonderd websites over hun misleidende cookiebanners, met het verzoek om deze aan te passen. Driekwart van de websites gaven hier gehoor aan en de AP is onderzoek gestart naar de ‘weigeraars’.100 De boete die de AP AS Watson (Kruidvat) in 2024 had opgelegd, die wij in de vorige Kroniek bespraken,101 wordt in bezwaar gematigd. De lange duur van de procedure bij de AP, de erkenning van de overtreding door AS Watson, de geringe ernst van de overtreding en de omstandigheid dat de AP in een vergelijkbare procedure tot een geheel andere boete is gekomen zijn voor de AP aanleiding om het boetebedrag te verlagen van 600.000 naar 50.000 euro.102 In december lanceerde de AP tot slot een publiekscampagne om organisaties verder te informeren over wat er nodig is voor goed cookiebeleid.103

De AP lijkt zich verder vooral te hebben gefocust op informatiecampagnes. In 2025 legt zij (aldus haar website) maar twee sancties op vanwege overtredingen van de AVG. In oktober legt zij kredietbeoordelaar Experian een boete op van 2,7 miljoen euro omdat zij mensen onvoldoende had geïnformeerd over de brede strekking van haar verwerkingsactiviteiten, uit zowel openbare als niet-openbare bronnen. Hierdoor waren mensen niet op de hoogte van de kredietcheck en konden zij niet op tijd nagaan of de informatie juist was. Experian is niet in beroep gegaan, heeft de Nederlandse markt verlaten en heeft de Nederlandse database verwijderd.104 In december legt de AP de HAN University of Applied Sciences een boete op van 175.000 euro. De hogeschool werd in 2021 gehackt via een SQL-injectie, waar zij zich beter tegen had moeten beschermen door het nemen van technische en organisatorische maat­regelen.105

De procedures over de DPG Media- en KNLTB-boetes komen in 2025 tot een einde. In september laat de Afdeling de boete aan DPG Media voor het vereisen van een kopie ID bij inzageverzoeken tóch (deels) in stand. De recht­bank Amsterdam had de boete op 0 gezet, maar de Afdeling bepaalt dat het mediabedrijf 50% van de oorspronkelijke boete van 525.000 euro moet betalen.106 De Afdeling acht daarbij relevant dat geen sprake was van een incident, maar van structureel beleid waarbij standaard een kopie ID werd verlangd van betrokkenen die buiten de online inlogomgeving een inzageverzoek deden.107 Daarnaast meldt de AP dat de procedure tegen de Nederlandse tennisbond (KNLTB) is beëindigd, in opvolging van het HvJ EU-arrest over de grondslag ‘gerecht­vaardigd belang’.108 De KNLTB erkent dat zij de AVG heeft overtreden en neemt maat­regelen. De oorspronkelijke boete van 525.000, die in 2019 is opgelegd, wordt verlaagd naar 250.000 euro.109

Vooruitblik

De Draghi en Letta-rapporten uit 2024 over het (beperkte) concurrentievermogen van Europa leggen veel nadruk op de Europese regeldruk. Dit heeft aanleiding gegeven tot verschillende pakketten om onder meer techregels te ‘vereenvoudigen’ en de regeldruk voor met name de kleinere bedrijven te verlagen. Deze zogeheten Omnibussen bestaan uit meerdere voorstellen, waaronder het voorstel voor de Digitale Omnibus die in november 2025 is gepresenteerd.110 In dit laatste voorstel wordt een breed scala aan digitale regelgeving, waaronder de AVG, de ePrivacy Richtlijn en de AI Act op de schop genomen. Deze versimpelingen zouden rechtszekerheid moeten geven door de juris­prudentie te codificeren, terwijl het hoge beschermingsniveau van betrokkenen zou worden gewaarborgd. De wijzigingen raken echter de kern van de bescherming, zoals de definitie van persoons­gegeven, de mogelijkheid om persoons­gegevens te verwerken voor de ontwikkeling en training van AI en de invulling van het inzagerecht. Ook bestaat het plan om de cookiebanner af te schaffen. De Commissie stelt voor om de cookie-instellingen naar een centrale plek te verplaatsen: de browserinstellingen. De AP reageert in 2025 dat het streven naar meer rechtszekerheid te begrijpen is, maar dat de beperkt ogende aanpassen grote impact kunnen hebben in de praktijk.111 Digitale rechten­organisaties, zoals European Digital Rights en none of your business112 en het College voor de Rechten van de Mens113 reageren kritisch en signaleren een zorgwekkende afzwakking van de bescherming van grondrechten. Welke wijzigingen uiteindelijk zullen worden doorgevoerd, wordt als het goed is eind 2026 bekendgemaakt.

De auteurs zijn advocaat bij Rubicon Impact & Litigation te Amsterdam. De auteurs danken Max Nazarski voor zijn bijdrage.

Noten

  1. V.A. Zwaan e.a., ‘Kroniek Privacyrecht 2023’, Adv.bl. 2024-03, p. 91-100, p. 91-92.

  2. HvJ EU 4 september 2025, ECLI:​EU:​C:​2025:645 (EDPS/​GAR).

  3. Voor de volledige feitelijke achtergrond verwijzen wij naar onze bespreking in de Kroniek van 2023.

  4. EDPS/​GAR, r.o. 76.

  5. EDPS/​GAR, r.o. 77-79.

  6. EDPS/​GAR, r.o. 82.

  7. EDPS/​GAR, r.o. 100.

  8. EDPS/​GAR, r.o. 110-114.

  9. ABRvS 30 juli 2025, ECLI:​NL:​RVS:​2025:3561.

  10. HvJ EU 20 december 2017, ECLI:​EU:​C:​2017:994, r.o. 35.

  11. HvJ EU 29 juli 2019, ECLI:​EU:​C:​2018:1039 (Fashion ID); HvJ EU 10 juli 2018, ECLI:​EU:​C:​2018:551 (Jehovan todistajat) en HvJ EU 5 juni 2018, ECLI:​EU:​C:​2018:388 (Wirtschaftsakademie Schleswig-Holstein).

  12. HvJ EU 2 december 2025, ECLI:​EU:​C:​2025:935 (Russmedia Digital).

  13. Russmedia Digital, r.o. 72.

  14. Russmedia Digital, r.o. 97-106.

  15. Russmedia Digital, r.o. 107-126.

  16. Russmedia Digital, r.o. 127-136.

  17. HR 9 mei 2025, ECLI:​NL:​HR:​2025:723.

  18. S.W. Stapel, J. van de Velde & V.A. Zwaan, ‘Kroniek Privacyrecht 2024’, Adv.bl. 2025-03, p. 96-106, p. 100-101.

  19. ECLI:​NL:​HR:​2025:723, r.o. 2.1-3.2.

  20. Artikelen 290, 811, 29 en 194 Wetboek van Burgerlijke Rechtsvordering, zo licht de HR toe in r.o. 3.2-3.5.

  21. ECLI:​NL:​HR:​2025:723, r.o. 3.6.

  22. ECLI:​NL:​HR:​2025:723, r.o. 3.7.

  23. ECLI:​NL:​HR:​2025:723, r.o. 3.8.2-3.8.3.

  24. ECLI:​NL:​HR:​2025:723, r.o. 3.8.1.

  25. ECLI:​NL:​HR:​2025:723, r.o. 3.8.4.

  26. Hof Arnhem-Leeuwarden 16 september 2025, ECLI:​NL:​GHARL:​2025:5678.

  27. De verplichting zit ook op het recht op beperking van de verwerking uit artikel 18 AVG, maar dit recht komt in juris­prudentie weinig voor.

  28. ECLI:​NL:​HR:​2025:723, r.o. 3.10, 3.12.

  29. ECLI:​NL:​HR:​2025:723, r.o. 3.13, dit volgt ook uit de tekst van artikel 19 zelf.

  30. ECLI:​NL:​HR:​2025:723, r.o. 3.12 en 3.13, voorlaatste zin.

  31. HvJ EU 27 februari 2025, ECLI:​EU:​C:​2025:117 (Dun & Bradstreet Austria).

  32. Dun & Bradstreet Austria, r.o. 58.

  33. Dun & Bradstreet Austria, r.o. 59.

  34. Hof Amsterdam 7 oktober 2025, ECLI:​NL:​GHAMS:​2025:2667 (X).

  35. Rb. Amsterdam 4 juli 2024, ECLI:​NL:​RBAMS:​2024:4019.

  36. X, r.o. 3.12.

  37. Uit de recht­bankuitspraak blijkt dat het gaat om het systeem Guano, wat een chronologisch overzicht is van alle acties die op een account zijn genomen, zie Rb. Amsterdam 4 juli 2024, ECLI:​NL:​RBAMS:​2024:4019.

  38. HvJ EU 6 oktober 2015, ECLI:​EU:​C:​2015:650 (Schrems I) en HvJ EU 16 juli 2020, ECLI:​EU:​C:​2020:559 (Schrems II).

  39. Gerecht 3 september 2025, ECLI:​EU:​T:​2025:831 (Philippe Latombe/​Europese Commissie).

  40. Philippe Latombe/​Europese Commissie, r.o. 145.

  41. Geregistreerd onder nummer C-703/​25 P.

  42. M. Schrems, EU-US Data Transfers: Time to prepare for more trouble to come via: NOYB.eu, 10 december 2025.

  43. Europese Commissie besluit 19 december 2025, C(2025) 8771.

  44. Europese Commissie besluit 15 juli 2025 (C2025/​4626).

  45. HvJ EU 4 september 2025, ECLI:​EU:​C:​2025:655 (Quirin Privatbank).

  46. Zie ook S.W. Stapel, J. van de Velde & V.A. Zwaan, ‘Kroniek Privacyrecht 2024’, Adv.bl. 2025-03, p. 98-99.

  47. Quirin Privatbank, r.o. 55 en 63.

  48. Idem, r.o. 56.

  49. Idem, r.o. 58.

  50. Idem, r.o. 60.

  51. Idem, r.o. 62 en 64.

  52. Idem, r.o. 62.

  53. Concl. HvJ EU A-G Szupnar 18 september 2025, ECLI:EU:C2025:723 (Brillen Rottler).

  54. HvJ EU 11 juli 2024, ECLI:​EU:​C:​2024:598 (Meta Platforms Ireland), r.o. 40, 42, 59-64.

  55. Brillen Rottler, r.o. 77.

  56. Gerecht 8 januari 2025, ECLI:​EU:​T:​2025:4 (Bindl).

  57. Gerecht 1 oktober 2025, ECLI:​EU:​T:​2022:273 (OLAF).

  58. Het Gerecht van de EU oordeelt over schendingen door instellingen van de EU op basis van Verordening 2018/​1725. Artikel 65(1) van deze verordening is vrijwel identiek aan artikel 82(1) van de AVG.

  59. De nationale gerechten moeten in dat geval wel voldoen aan de principes van gelijkwaardigheid en doeltreffendheid, zie HvJ EU 4 mei 2023, ECLI:​EU:​C:​2023:370 (UI v Österreichische Post AG), r.o. 52-59. Wij bespraken deze uitspraak in V.A. Zwaan e.a., ‘Kroniek Privacyrecht 2023’, Adv.bl. 2024-03, p. 91-100, p. 96.

  60. In de enige gepubliceerde uitspraak die wij konden vinden is 125 euro toegewezen omdat gegevens ten onrechte niet verwijderd waren waardoor derden er kennis van konden nemen, Rb. Noord-Nederland 15 september 2025, ECLI:​NL:​RBNNE:​2025:4698.

  61. ABRvS 30 juli 2025, ECLI:​NL:​RVS:​2025:3578.

  62. We merken op dat het verzoek om schade­vergoeding op grond van de Wet justitiële en strafvorderlijke gegevens (Wjsg) is beoordeeld, en niet op basis van de AVG. De Wjsg is gebaseerd op Richtlijn 2016/​680, die voor schade vergelijkbare bepalingen en overwegingen bevat als de AVG.

  63. Hof Arnhem-Leeuwarden 23 december 2025, ECLI:​NL:​GHARL:​2025:8556.

  64. De term commerciële communicatie in de Tele­communicatie­wet is een onjuiste implementatie van de beperktere term ‘e‑mail met het oog op direct marketing’ uit de ePrivacy Richtlijn. Volgens het College van Beroep voor het bedrijfsleven moet inhoudelijk aangesloten worden bij de definitie uit de ePrivacy Richtlijn (CBb 5 juni 2014, ECLI:​NL:​CBB:​2014:206). Wij gebruiken de meer gangbare term commerciële communicatie. Het HvJ EU krijgt ook de vraag wat de verhouding is tussen de twee verschillende begrippen, maar beantwoordt deze niet: Inteligo Media, r.o. 70-74.

  65. Artikel 11.7, lid 1 en 4 Tele­communicatie­wet.

  66. De toestemming kan ook op andere wijzen verkregen worden, zoals door het aanklikken van een knop.

  67. Of het ‘soft opt-in’regime of het ‘klantrelatie’regime.

  68. Ook hiervoor geldt dat er andere mogelijkheden zijn. Er kan bijvoorbeeld ook een niet-aangevinkt hokje worden getoond, die de klant moet aanvinken om geen commerciële communicatie te ontvangen.

  69. HvJ EU 13 november 2025, ECLI:​EU:​C:​2025:871 (Inteligo Media).

  70. Inteligo Media, r.o. 20-22.

  71. Meer specifiek artikel 13, lid 2 van de ePrivacy Richtlijn, in Nederland geïmplementeerd in artikel 11.7, lid 4 van de Tele­communicatie­wet.

  72. Inteligo Media, r.o. 45.

  73. Inteligo Media, r.o. 53.

  74. Inteligo Media, r.o. 54-57.

  75. Inteligo Media, r.o. 64-69.

  76. HvJ EU 9 januari 2025, ECLI:​EU:​C:​2025:2 (Mousse).

  77. Mousse, r.o. 38-40.

  78. Mousse, r.o. 55-57.

  79. Zo volgt uit Besluit van 31 maart 2025 tot vaststelling van het tijdstip van inwerkingtreding van artikel 7.8 van de Energiewet, te vinden via: https://​zoek.officielebekendmakingen.nl/​stb-2025-89.html.

  80. Wet van 11 december 2024, houdende regels over energiemarkten en energiesystemen (Energiewet), artikel 7.8, te vinden via: https://​zoek.officielebekendmakingen.nl/​stb-2025-12.html.

  81. EDPB, Recommendations 2/​2025 on the legal basis for requiring the creation of user accounts on e‑commerce websites, version 1.0, Adopted on 03 December 2025, beschikbaar via: https://​www.edpb.europa.eu/​system/​files/​2025-12/​edpb-recommendations-202502-mandatory-user-accounts_en.pdf.

  82. Vijf jaar WAMCA – Evaluatie Wet afwikkeling massaschade in collectieve actie (2020-2025), september 2025, beschikbaar op: https://​www.rijksoverheid.nl/​documenten/​rapporten/​2025/​11/​19/​ek-bijlage-wodc-wamca-volledig-finaal.

  83. Rb. Rotterdam 23 juli 2025, ECLI:​NL:​RBROT:​2025:9088 (Stichting Data Bescherming Nederland/​Amazon).

  84. S.W. Stapel, J. van de Velde & V.A. Zwaan, ‘Kroniek Privacyrecht 2024’, Adv.bl. 2025-03, p. 96-106, p. 103-104.

  85. Hof Amsterdam 7 oktober 2025, ECLI:​NL:​GHAMS:​2025:2666 (Stichting Massaschade en Consument & Stichting Take Back Your Privacy/​TikTok). Inmiddels heeft ook procureur-generaal De Bock conclusie genomen over dit onderwerp. Zij adviseert dat de prejudiciële verwijzing geen reden is om de procedure aan te houden: Conclusie P-G de Bock 30 januari 2026, ECLI:​NL:​PHR:​2026:129 (Stichting The Privacy Collective/​Oracle & Salesforce), par. 12.31-12.39.

  86. Stichting Massaschade en Consument & Stichting Take Back Your Privacy/​TikTok, r.o. 4.16.

  87. Stichting Massaschade en Consument & Stichting Take Back Your Privacy/​TikTok, r.o. 4.57.

  88. Rb. Amsterdam 23 april 2025, ECLI:​NL:​RBAMS:​2025:2964 (Stichting Bescherming Privacybelangen & Stichting Massaschade & Consument/​Google) en Rb. Rotterdam 28 mei 2025, ECLI:​NL:​RBROT:​2025:6254 (Stichting Data Bescherming Nederland/​Adobe).

  89. Rb. Amsterdam 2 mei 2025, ECLI:​NL:​RBAMS:​2025:2936 (The Privacy Collective/​Salesforce).

  90. The Privacy Collective/​Salesforce, r.o. 2.5-2.8.

  91. The Privacy Collective/​Salesforce, r.o. 4.6-4.8.

  92. The Privacy Collective/​Salesforce, r.o. 4.9.

  93. The Privacy Collective/​Salesforce, r.o. 4.20.

  94. AP, ‘AP: pas op met gebruik chatbot DeepSeek’, AP, 3 februari 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-pas-op-met-gebruik-chatbot-deepseek; AP, ‘AP: AI-chatbotapps voor vriendschap en mentale gezondheid ongenuanceerd en schadelijk’, AP, 26 februari 2026, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-ai-chatbotapps-voor-vriendschap-en-mentale-gezondheid-ongenuanceerd-en-schadelijk en AP, ‘AP en ACM: chatbot mag mens niet volledig vervangen bij klantenservice’, 2 oktober 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-en-acm-chatbot-mag-mens-niet-volledig-vervangen-bij-klantenservice.

  95. AP, ‘Consultatie betekenisvolle menselijke tussenkomst bij algoritmische besluit­vorming’, AP, 6 maart 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​consultatie-betekenisvolle-menselijke-tussenkomst-bij-algoritmische-besluit­vorming.

  96. AP, ‘Bedrijfsleven geeft zichzelf onvoldoende voor omgang met algoritmes ‘, AP, 16 april 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​bedrijfsleven-geeft-zichzelf-onvoldoende-voor-omgang-met-algoritmes; AP, ‘Verder bouwen aan AI-geletterdheid’, 23 oktober 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​verder-bouwen-aan-ai-geletterdheid.

  97. AP, ‘AP: Laatste kans om bezwaar te maken bij Meta’, 23 mei 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-laatste-kans-om-bezwaar-te-maken-bij-meta.

  98. AP, ‘AP bezorgd over AI-training LinkedIn en roept gebruikers op om instellingen aan te passen’, 24 september 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-bezorgd-over-ai-training-linkedin-en-roept-gebruikers-op-om-instellingen-aan-te-passen.

  99. AP, ‘Foute cookiebanners aangepast na ingrijpen AP’, AP, 8 april 2025, https://​www.autoriteitpersoons­gegevens.nl/​actueel/​foute-cookiebanners-aangepast-na-ingrijpen-ap; AP, ‘Heldere cookiebanners’, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​themas/​internet-slimme-apparaten/​cookies/​heldere-cookiebanners.

  100. AP, ‘AP waarschuwt 50 organisaties om misleidende cookiebanner’, AP, 15 april 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-waarschuwt-50-organisaties-om-misleidende-cookiebanner; AP, ‘AP: driekwart websites past misleidende cookiebanner aan na waarschuwing, onderzoek gestart naar weigeraars’, 11 november 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-driekwart-websites-past-misleidende-cookiebanner-aan-na-waarschuwing-onderzoek-gestart-naar-weigeraars.

  101. Zie S.W. Stapel, J. van de Velde & V.A. Zwaan, ‘Kroniek Privacyrecht 2024’, Adv.bl. 2025-03, p. 101.

  102. AP, Besluit op bezwaar AS Watson – Kruidvat, 17 mei 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​besluit-op-bezwaar-as-watson-kruidvat.

  103. AP, ‘AP lanceert campagne om organisaties te helpen met een goed cookiebeleid’, 2 december 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-lanceert-campagne-om-organisaties-te-helpen-met-een-goed-cookiebeleid.

  104. AP, Beslissing op bezwaar Experian, 16 oktober 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​beslissing-op-bezwaar-experian; Nu.nl techredactie, ‘Bedrijf dat kredieten beoordeelt vertrekt uit Nederland na miljoenenboete’, nu.nl, 17 oktober 2025, te raadplegen via: https://​www.nu.nl/​tech/​6372689/​bedrijf-dat-kredieten-beoordeelt-vertrekt-uit-nederland-na-miljoenenboete.html.

  105. AP Boetebesluit HAN, 15 december 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​documenten/​boete-han.

  106. ABRvS 24 september 2025, ECLI:​NL:​RVS:​2025:4562 (DPG Media).

  107. DPG Media, r.o. 8.3.

  108. S.W. Stapel, J. van de Velde & V.A. Zwaan, ‘Kroniek Privacyrecht 2024’, Adv.bl. 2025-03, p. 102 en Hv JEU 4 oktober 2024, ECLI:​EU:​C:​2024:858 (KNLTB).

  109. AP, ‘AP en KNLTB beëindigen zaak rond boete’, 18 oktober 2025, https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-en-knltb-beeindigen-zaak-rond-boete.

  110. Europese Commissie, Voorstel voor een digitale omnibusverordening, 19 november 2025, te raadplegen via: https://​digital-strategy.ec.europa.eu/​nl/​library/​digital-omnibus-regulation-proposal.

  111. AP, ‘AP over Europees voorstel om wetten te wijzigen: mag niet ten koste gaan van mensen­rechten’, 20 november 2025, te raadplegen via: https://​www.autoriteitpersoons­gegevens.nl/​actueel/​ap-over-europees-voorstel-om-wetten-te-wijzigen-mag-niet-ten-koste-gaan-van-mensen­rechten.

  112. Noyb, ‘Open letter: Digital omnibus brings deregulation, not simplification’, 11 november 2025, te raadplegen via: https://​noyb.eu/​en/​open-letter-digital-omnibus-brings-deregulation-not-simplification; EDRi, ‘Press Release: Commission’s Digital Omnibus is a major rollback of EU digital protections’, 19 november 2025, te raadplegen via: https://​edri.org/​our-work/​commissions-digital-omnibus-is-a-major-rollback-of-eu-digital-protections/.

  113. College voor de Rechten van de Mens, ‘EU-wetswijzingen ‘digitale omnibus’ zorgelijk voor grondrechten’, 19 november 2025, te raadplegen via: https://​www.mensen­rechten.nl/​actueel/​nieuws/​2025/​11/​19/​eu-wetswijzingen-digitale-omnibus-zorgelijk-voor-grondrechten.