Data & Privacy

Met de inwerkingtreding van de Energiewet per 1 januari 2026 zijn de Elektriciteitswet 1998 en de Gaswet vervangen. Binnen de Energiewet is een is een belangrijke rol weggelegd voor de beschikbaarheid van accurate gegevens, bijvoorbeeld ten aanzien van verbruik en invoeding. Verschillende marktpartijen die een rol hebben bij het creëren en het verzamelen van gegevens worden verplicht tot het beheren van een register, dat vervolgens op een centrale manier wordt ontsloten. Nadrukkelijk wordt ook rekening gehouden met de AVG; de Energiewet stelt eisen aan de omgang met energiedata, onder meer op het gebied van privacy en kwaliteit van de gegevens. Dit blog gaat in op het kader voor gegevensverwerkingen zoals vastgelegd in de Energiewet. Data‑uitwisseling als pijler van de Energiewet De Energiewet reguleert gegevensuitwisseling in hoofdstuk 4 en maakt onderscheid in de volgende processen: Functioneren van een energiesysteem (factureren, transporteren, overstappen etc.); Inzage in eigen gegevens; Uitwisseling op verzoek van de datarechthebbende; Uitwisseling op basis van een wet of Europese verordening.[1] Gegevens binnen de reikwijdte van de Energiewet worden ondergebracht in een beperkt aantal registers, die worden beheerd door aangewezen registerbeheerders. Dit zijn de systeembeheerders van een energiesysteem of de meetverantwoordelijke partij. Het register bevat de gegevens die de registerbeheerder zelf verzamelt en de in artikel 4.8. Energiewet opgenomen categorieën van gegevens die andere marktpartijen (zoals een leverancier, actieve afnemer en een balanceringsverantwoordelijke) verzamelen en vervolgens aanleveren. De specifieke gegevens die binnen de opgenomen categorieën vallen, worden bij ministeriële regeling nader bepaalt. Een centrale Gegevensuitwisselingsentiteit (het Normo) draagt zorg voor de toegang en ontsluiting van de energiedata in de verschillende registers.[2]  Gegevensverwerkingen op basis van de Energiewet Met de Energiewet en bijbehorende regelgeving wordt nagestreefd dat de beginselen van de AVG en de bijbehorende rechten gelijkelijk worden toegepast op alle gegevens binnen het stelsel van de Energiewet.[3] Het algemene uitgangspunt is dat de partij die de gegevens verzamelt en aanlevert ook de primaire verantwoordelijkheid draagt voor de kwaliteit van deze gegevens (correct, tijdig, volledig).[4] De wet borgt bovendien inzagemogelijkheden, zodat consumenten en eindafnemers beter inzicht krijgen in hun eigen gegevens en deze desgewenst met derden kunnen delen. Op basis van de Energiewet kan in lagere regelgeving worden vastgelegd dat het verwerken van persoonsgegevens in bepaalde gevallen verplicht is. Een tweede grondslag is dat de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang (artikel 6, eerste lid, onderdeel e, van de AVG). De Energiewet bevat de taken en de verwerkende partij zal moeten nagaan of een bepaalde verwerking noodzakelijk is voor de vervulling van die taak. Daarnaast blijft het onverminderd mogelijk voor partijen om gebruik te maken van de andere AVG grondslagen zoals toestemming, uitvoering van een overeenkomst en gerechtvaardigd belang.[5] De verdere invulling van de grondslagen die dienen te worden gebruikt bij de processen genoemd in hoofdstuk 4 Energiewet volgt per ministeriële regeling.[6] Het toezicht op gegevensverwerkingen ligt bij zowel de Autoriteit Persoonsgegevens (AP) als de Autoriteit Consument en Markt (ACM): de AP ziet toe op de verwerking van persoonsgegevens, terwijl de ACM toezicht houdt op de werking van de energiemarkt en de bescherming van consumenten. Wat betekent dit voor uw organisatie? Verzameling, gebruik en verwerking van gegevens spelen een centrale rol in de Energiewet. Er ontstaat een samenloop tussen de Energiewet en de AVG, wat vraagt om zorgvuldige keuzes ten aanzien van grondslagen voor gegevensverwerking, verantwoordelijkheden en risicobeheersing. Wilt u weten wat dit concreet voor uw organisatie betekent? Neem dan contact op met een van onze Data & Privacy en/of Energie specialisten. Referenties [1] Artikel 4.1 lid 2 Energiewet. [2] Artikel 4.15 e.v. Energiewet. [3] Kamerstukken II 2022/23, 36 378, nr. 3, Memorie van Toelichting bij het wetsvoorstel Energiewet, p. 106. [4] Artikel 4.2 Energiewet; Kamerstukken II 2022/23, 36 378, nr. 3, Memorie van Toelichting bij het wetsvoorstel Energiewet, p. 106.   [5] Kamerstukken II 2022/23, 36 378, nr. 3, Memorie van Toelichting bij het wetsvoorstel Energiewet, p. 107-108. [6] Artikel 4.1 lid 3 Energiewet.

Recent publiceerde het NRC een artikel over de AI-worsteling van de journalistiek.[1] Daarin werd besproken hoe vier grote Vlaamse tijdschriften artikelen hadden laten genereren door AI zonder dit te melden aan de lezers. Zo werden meer dan de helft van de in 2025 gepubliceerde artikelen in het tijdschrift Elle geschreven door verzonnen auteurs met AI-gegenereerde profielfoto’s. [2] Ook werden eerder AI-gegenereerde boekenlijsten gepubliceerd, waar niet-bestaande boeken op bleken te staan. ​     ​ Al kan nuttig zijn in de journalistiek, bijvoorbeeld om het redactionele proces van de journalist te verrijken. De journalistiek is echter ook gebaseerd op vertrouwen. Een deel van dit vertrouwen is gebaseerd op de mogelijkheid om de bron van informatie te identificeren. Door de opkomst van AI komt dit steeds meer onder druk te staan. Zoals omschreven in overweging 133 van de AI-verordening: ‘De brede beschikbaarheid en toenemende capaciteit van deze systemen hebben een aanzienlijke impact op de integriteit van en het vertrouwen in het informatie-ecosysteem, waardoor nieuwe risico’s op desinformatie en manipulatie op grote schaal, fraude, imitatie en consumentenbedrog ontstaan.’ Wanneer media AI inzetten om teksten te genereren, zonder duidelijk te maken dat een computeralgoritme daaraan heeft bijgedragen, ontstaat het risico dat de herkomst van het nieuws onduidelijk wordt. In deze bijdrage zal om die reden worden stilgestaan bij de transparantieverplichtingen uit de AI-verordening die op dergelijk gebruik van AI van toepassing zijn. Een vraag die centraal staat is of deze de risico’s die gepaard gaan met het gebruik van AI in journalistiek voldoende ondervangen of dat er wellicht meer specifiek beleid is vereist. Wat houdt de transparantieverplichtingen van de AI-verordening in? De AI-verordening is op 12 juli 2024 formeel vastgesteld en vormt het eerste uitgebreide wettelijke kader binnen de EU voor het gebruik van kunstmatige intelligentie.[3] De verordening classificeert AI-systemen op basis van risico en legt verplichtingen op aan zowel aanbieders als gebruikersverantwoordelijken. Een aanbieder van een AI-systeem is de partij die het AI-model voor algemene doeleinden ontwikkelt of laat ontiwkkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder eigen naam of merk. Een gebruikersverantwoordelijke is daarentegen de partij die een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruitk in het kader van een persoonlijke niet-beroepsactiviteit. Journalisten zullen in veel gevallen kwalificeren als gebruikersverantwoordelijke. Onderzoek laat zien dat hun lezers het belangrijk vinden om te beschikken over de bron van informatie van een nieuwsartikel dat zij lezen. Zij voelen zich mogelijk gemanipuleerd wanneer zij hierover niet geïnformeerd zijn.[4] Dit sluit aan bij de stelling van de Nederlandse Vereniging voor Journalistiek, dat vertrouwen de kern van journalistiek is. Hierop sluit aan dat het een journalist op grond van de NVJ-code verantwoordelijk is voor de juistheid en controleerbaarheid van de feiten. Het publiceren van onjuiste informatie kan leiden tot een klacht bij de Raad voor de Journalistiek. Als een klacht gegrond wordt verklaard, wordt van het medium verwacht dat het de uitspraak publiceert, met mogelijke reputatieschade tot gevolg. Deze bijdrage richt zich op de transparantieverplichtingen voor gebruikersverantwoordelijken van generatieve AI-systemen, zoals tekst- en beeldgeneratoren en haar effecitiviteit ter voorkoming van desinofrmatie.  Met betrekking tot AI-gegenereerde tekst bepaalt artikel 50 lid 4 van de AI-verordening het volgende: ‘Gebruikersverantwoordelijken van een AI-systeem dat tekst genereert of bewerkt die wordt gepubliceerd om het publiek te informeren over aangelegenheden van algemeen belang, maken bekend dat de tekst kunstmatig is gegenereerd of bewerkt. Deze verplichting is echter niet van toepassing wanneer het gebruik bij wet is toegestaan om strafbare feiten op te sporen, te voorkomen, te onderzoeken of te vervolgen of wanneer de door AI gegenereerde content een proces van menselijke toetsing of redactionele controle heeft ondergaan en wanneer een natuurlijke of rechtspersoon redactionele verantwoordelijkheid draagt voor de bekendmaking van de content.’ Het niet vermelden van het gebruik van AI, wanneer de uitzondering niet van toepassing is, wordt in artikel 99 van de AI verordening beboet met hoogstens EUR 15 miljoen of 3% van de jaaromzet. Wat is een aangelegenheid van algemeen belang? Een van de eerste vragen die deze bepaling oproept is wanneer sprake is van tekst die wordt gepubliceerd om het publiek te informeren over aangelegenheden van algemeen belang. Ieder geschreven artikel kan het publiek informeren over aangelegenheden van algemeen belang. Aangenomen is dat het betrekking heeft op aangelegenheden die eenieder aangaan. Wanneer daarvan gesproken kan worden is erg contextafhankelijk. Zo kan een artikel dat pas na verloop van tijd het algemeen belang werk ook worden geacht het publiek te informeren. Wat zijn de uitzonderingen? twee cumulatieve voorwaarden In beginsel dient bij het gebruik van AI voor tekstgeneratie in nieuwsberichten, waarvan wordt verondersteld dat deze het publiek informeren over een aangelegenheid van algemeen belang, te worden vermeld dat AI is gebruikt. Er is één belangrijke uitzondering, waarin twee cumulatieve vereisten zijn verbonden. De verplichting tot vermelding is niet van toepassing wanneer is voldaan aan de volgende twee cumulatieve vereisten: (i) de AI-     gegenereerde content een proces van menselijke toetsing of redactionele controle heeft ondergaan en (ii) wanneer een natuurlijke of rechtspersoon verantwoordelijkheid draagt voor de bekendmaking van de content. Ook deze vereisten roepen vragen op. Is het voldoende dat een tekst door een journalist wordt nagelezen? Of moet de tekst ook daadwerkelijk worden herschreven? Piasecki e.a. gingen er in hun eerdere bijdrage vanuit dat dit vereiste moet worden geïnterpreteerd als het vereist redigeren en herschrijven van door AI gegenereerde teksten.[5] Visser en Klopper wijzen in een andere richting: zij gaan ervan uit dat: de uitzondering in veel gevallen van toepassing zal zijn, omdat de meeste nieuwsberichten onderhevig zullen zijn aan ten minste enige mate van redactionele controle.[6] Gezien de bedoeling om desinformatie te voorkomen lijkt mij het vooralsnog aannemelijk dat niet direct is bedoeld dat teksten volledig dienen te worden geredigeerd, maar dat gebruikersverantwoordelijken niet klakkeloos de informatie uit een AI-gegenereerde tekst moeten overnemen. Die redenering lijkt meer aan te sluiten bij de toepassing van de uitzondering door Klopper en Visser. Met andere woorden, de uitzondering voor nieuwsberichten zal veelal kunnen worden gebruikt omdat de drempel voor redactionele controle en verantwoordelijkheid relatief laag is. Hoewel de transparantieverplichting de lezer in dit geval van informatie over AI gebruik heeft willen voorzien, lijkt de formulering van de uitzondering ervoor te zorgen dat AI-gegenereerde teksten alsnog zonder vermelding kunnen worden gebruikt, zo lang zij maar enigszins zijn nagelopen.  Om die reden kan de effectiviteit van dit instrument tegen mogelijke hallucinaties in AI-gegenereerde teksten in nieuwsberichten twijfel worden getrokken. De AI-verordening noemt de stimulans voor het opstellen van praktijkcodes om doeltreffende uitvoering van de verplichtingen met betrekking tot het opsporen en het aanmerken van kunstmatig gegenereerde of gemanipuleerde content te vergemakkelijken.[7] Ook zal de Commissie nog richtsnoeren over de praktische implicaties van de transparantieverplichtingen uit artikel 50 AI-verordening publiceren.[8] Dit biedt hopelijk meer duidelijkheid over de bedoeling van de transparantieverplichting en de invulling van de genoemde menselijke toetsing en redactionele controle. Conclusie en aanbeveling Concluderend, biedt de AI‑verordening met artikel 50 een kader voor transparantie in de journalistiek. Enerzijds verplicht zij tot duidelijkheid over AI‑gebruik in nieuwsartikelen, anderzijds laat de uitzondering van vermelding bij ‘redactionele controle en redactionele verantwoordelijkheid’ ruimte voor interpretatie. Hierdoor zouden nieuwsberichten ongewijzigd kunnen blijven verschijnen zonder expliciete vermelding van AI-gebruik. Deze ambiguïteit ondermijnt het doel van de AI-verordening om desinformatie, hallucinaties en misleiding tegen te gaan, waardoor de effectiviteit van de transparantieverplichting in nieuwsberichten onzeker is. Om de beoogde integriteit van en het vertrouwen in het informatie-ecosysteem te waarborgen bieden de aangekondigde richtsnoeren mogelijk soelaas. Om praktische missers te voorkomen is het raadzaam voor nieuwsaanbieders om duidelijk beleid op te stellen voor het gebruik van AI-gegenereerde tekst. Voor nieuwsaanbieders luidt het huidige advies:       integreer de transparantieverplichting in het redactiebeleid en wees proactief om verspreiding van desinformatie te voorkomen. Enkele aanbevelingen: Houd redactionele controle: laat journalisten een AI-gegenereerde tekst altijd nalezen en zonodig herschijven. Stel hiervoor duidelijke richtlijnen op: leg in redactieprotocollen vast hoe en wanneer AI-tools mogen worden ingezet. Transparantie in de tekst: maak expliciet bekend wanneer een onderdeel van een artikel door AI is gegenereerd. Doe dit met een korte vermelding of een disclaimer bij het artikel. Contact Heeft u vragen over dit onderwerp, of wilt u als redactie of organisatie beter voorbereid zijn op de juridische en praktische gevolgen van de AI-verordening? Aarzel dan niet om contact op te nemen met Kimberly Meijs of een van onze andere data en privacy specialisten. Referenties [1] M. Reiniers, ‘De AI-worsteling van de journalistiek: ‘De menselijke journalist is echt nodig’ NRC. [2] Buytaert e.a., ‘ Sophie Vermeulen bestaat niet, maar schreef wel 403 artikels voor magazine Elle, blijkt uit onderzoek van VRT NWS’ VRT NEWS. [3] Verordening (EU) 2024/1689 van het Europees Parlement en de Raad tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie en tot wijziging van de Verordeningen (EG) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 en (EU) 2019/2144, en de Richtlijnen 2014/90/EU, (EU) 2016/797 en (EU) 2020/1828 (verordening artificiële intelligentie). [4] Piasecki e.a., ‘AI-generated journalism: Do the transparency provisions in the AI Act give news readers what they hope for?’  Internet Policy Review, Volume 13, Issue 4. [5] Piasecki e.a., ‘AI-generated journalism: Do the transparency provisions in the AI Act give news readers what they hope for?’  Internet Policy Review, Volume 13, Issue 4. [6] J. Klopper & D. Visser, ‘Vermelding gebruik AI bij AI-gegenereerde content’, Bb 2024/51. [7] Artikel 50 lid 7 AI-verordening. [8] Artikel 96 AI-verordening.

Bent u actief in marketing, communicatie, media of biedt u online reclamediensten aan? Of bent u als organisatie of politieke partij betrokken bij het inkopen van reclame? Dan krijgt u vanaf 10 oktober 2025 te maken met de nieuwe Europese Verordening 2024/900 over transparantie en gerichte politieke reclame. Deze regels brengen niet alleen nieuwe verplichtingen met zich mee, maar ook aanzienlijke risico’s bij niet-naleving. In dit blog leggen wij uit wat deze verordening voor uw organisatie betekent en hoe u zich hierop kunt voorbereiden. Wat is politieke reclame volgens de verordening? De verordening hanteert een brede definitie van politieke reclame. Politiek reclame omvat alle communicatie die de publieke opinie wil beïnvloeden rond verkiezingen of politieke thema’s, ook als deze niet van politieke partijen afkomstig is. De verplichtingen kunnen dus ook gelden voor maatschappelijke organisaties, bedrijven of lobbygroepen. Verplichtingen voor aanbieders en uitgevers van reclamediensten De nieuwe regels zijn van toepassing op alle partijen die politieke reclame aanbieden of inkopen, dus zowel aanbieders als opdrachtgevers. Aanbieders van reclamediensten – van online platforms tot mediabureaus – moeten voortaan onder andere: Navragen of een advertentie politieke reclame is, wie de opdrachtgever is, wie zeggenschap heeft over de opdrachtgever, waar financiering vandaan komt en andere informatie opvragen die van belang is om aan de verordening te voldoen; De verkregen informatie vastleggen; Redelijke maatregelen nemen om te controleren of de opgave van de opdrachtgever klopt; Transparantie bieden over politieke advertenties die via hun platform lopen; Voorzien in een mechanisme door middel waarvan niet-naleving van de verordening kan worden gemeld. Aanbieders mogen niet discrimineren op basis van de verblijfplaats of plaats van vestiging van de opdrachtgever. In de laatste drie maanden voorafgaand aan een verkiezing mogen politieke reclamediensten in verband met die verkiezingen echter niet worden verricht voor opdrachtgevers van buiten de Europese Unie. Ook dit moeten de aanbieders navragen bij hun opdrachtgevers. Wat betekent dit voor opdrachtgevers? Opdrachtgevers zijn verplicht om bij elke reclame-uiting aan te geven of het politieke reclame betreft en volledig transparant te zijn over financiering en doelstellingen. Onjuiste of onvolledige informatie kan leiden tot sancties. Bovendien moeten opdrachtgevers rekening houden met strengere transparantie-eisen, zoals het vermelden van de financiering en de doelstellingen van de campagne. Verwerking van persoonsgegevens en targeting Wat is targeting bij politieke reclame? Targeting houdt in dat politieke reclame specifiek wordt gericht op bepaalde groepen of individuen. Dit gebeurt bijvoorbeeld op basis van hun online gedrag, locatie of demografische gegevens. Targeting mag in het kader van politieke reclame alleen als daarvoor toestemming is gegeven. Ook mogen alleen persoonsgegevens worden gebruikt die de verwerkingsverantwoordelijke zelf van de betrokkene heeft verkregen, en dus geen data van derden. Deze regels gelden in het algemeen voor technieken voor de aanlevering van reclameboodschappen rondom politieke reclame die gepaard gaan met de verwerking van persoonsgegevens. Als de verwerkingsverantwoordelijke met redelijke zekerheid weet dat de betrokkene jonger is dan 17, mogen geen persoonsgegevens worden verwerkt voor het aanbieden van politieke reclame. Transparantie en verantwoording bij targeting Aanbieders en uitgevers van reclamediensten moeten zich houden aan strenge accountability- en transparantieverplichtingen. Zo moeten zij een intern beleid vaststellen en bewaren; registers bijhouden; en duidelijk maken welke criteria zijn gebruikt voor de selectie van doelgroepen en welke persoonsgegevens daarbij zijn verwerkt. Het is in principe verboden om bijzondere categorieën van persoonsgegevens, zoals politieke opvattingen, religie of etniciteit, te gebruiken voor targeting of versterking. Dit mag alleen als er aan zeer strikte voorwaarden wordt voldaan en uitdrukkelijke toestemming is gegeven. Gevolgen bij niet-naleving In Nederland wordt het toezicht op de verordening uitgeoefend door de Autoriteit Persoonsgegevens. De AP krijgt ruime handhavingsbevoegdheden. Overtredingen van de regels rondom politieke reclame kunnen leiden tot hoge boetes, reputatieschade en zelfs een verbod op het aanbieden van reclamediensten. Het is dus zaak om tijdig compliant te zijn. Wat moet u nu doen? Het is van belang om tijdig, vóór 10 oktober 2025, uw processen en contracten aan te passen aan de nieuwe regels. Denk er daarbij aan dat de komende Tweede Kamerverkiezingen op 25 oktober zijn. De nieuwe regels zijn dus van toepassing op het staartje van de campagne. Uitingen in het kader van deze campagne zullen al aan de nieuwe regels moeten voldoen. Hoe kunnen wij u helpen? De implementatie van deze verordening vraagt om juridische, technische en organisatorische aanpassingen. Ons kantoor heeft ruime ervaring met dit soort regelgeving en helpt u graag bij: Het beoordelen van uw huidige processen; Het opstellen of aanpassen van interne procedures en contracten; Training van uw medewerkers; Begeleiden bij toezicht en handhaving. Wilt u weten wat deze regels concreet voor uw organisatie betekenen? Neem dan contact op met Jan Baas of een collega van het Team Data & Privacy. Zij helpen u graag verder!

Vanaf 12 september 2025 is de Europese Dataverordening van toepassing. Deze verordening creëert nieuwe rechten en verplichtingen die niet alleen zien op persoonsgegevens, maar op data in het algemeen. De praktische implicaties zijn groot. De Dataverordening raakt in het bijzonder partijen die verbonden (‘connected’ of Internet of Things (‘IoT’)) producten en clouddiensten aanbieden. Onderbelicht is gebleven dat de verordening ook regels bevat over contracteren over de uitwisseling van data. Deze regels zijn van toepassing op alle bedrijven. Aanbieders van connected devices en gerelateerde diensten Het eerste hoofdonderwerp in de Dataverordening betreft de regels over het delen en gebruiken van gebruiksgegevens van verbonden producten en daaraan gerelateerde diensten. Dit zijn producten en diensten zoals smartwatches en slimme speakers met een virtuele assistent als Alexa, maar ook met het internet verbonden landbouwmachines. Bedrijven moeten naar aanleiding van de Dataverordening aan nieuwe verplichtingen voldoen met betrekking tot verbonden producten en gerelateerde diensten. Ten eerste moeten bedrijven die verbonden producten produceren en gerelateerde diensten verlenen, de producten en diensten zodanig ontwerpen dat gebruikers hun gegevens gemakkelijk kunnen inzien (“data access by design”). Bovendien geeft de Dataverordening gebruikers een expliciet toegangsrecht tot gebruiksgegevens. Dit toegangsrecht houdt in dat gebruikers van verbonden producten en gerelateerde diensten eenvoudig inzage krijgen in hun gebruiksgegevens wanneer de data access by design niet geregeld is. Daarnaast moeten ondernemingen het ook mogelijk maken dat gebruikers hun gebruiksgegevens eenvoudig met een andere partij kunnen delen. Tot slot moeten kopers van verbonden producten en ontvangers van een gerelateerde dienst van de verkoper en respectievelijk de leverancier ook bepaalde informatie krijgen over hoe het verbonden product data verzamelt. De gegevenshouder (veelal de aanbieder van het verbonden product of een gerelateerde dienst) mag niet-persoonsgegevens voortaan alleen gebruiken als de overeenkomst met de gebruiker van het verbonden product of de gerelateerde dienst dit toestaat. De gegevenshouder mag de gegevens niet gebruiken om inzicht te krijgen in de economische situatie, de activa of de productiemethoden van de gebruiker of het gebruik van het product of de dienst door de gebruiker, op een manier die de commerciële positie van de gebruiker op de markten waarop deze actief is, kan ondermijnen. Gegevens mogen alleen met derden worden gedeeld als dat nodig is om de overeenkomst met de gebruiker uit te voeren. Vanaf 12 september 2026 moeten de verbonden producten die worden verkocht en gerelateerde diensten die worden verleend voldoen aan de ontwerpplicht (data access by design). De andere regels over verbonden producten en gerelateerde diensten, inclusief het expliciete toegangsrecht, zijn al vanaf 12 september 2025 van toepassing. Cloudaanbieders Het tweede hoofdonderwerp betreft de regels die worden opgelegd aan “dataverwerkingsdiensten”. Met “dataverwerkingsdiensten” wordt gedoeld op een breed scala aan clouddiensten. De considerans verwijst naar “infrastructure-as-a-service” (IaaS), “platform-as-a-service” (PaaS), “software-as-a-service” (SaaS), “storage-as-a-service” en “database-as-a-service”. Daarnaast vallen ook zogenaamde edgediensten onder het begrip. De verplichtingen die aan aanbieders van dataverwerkingsdiensten worden opgelegd zien op 1) het faciliteren van de overstap naar een andere aanbieder, 2) het faciliteren van interoperabiliteit tussen verschillende dataverwerkingsdiensten en 3) het voorkomen van internationale overheidstoegang. Vanaf 12 september 2025 moeten aanbieders van dataverwerkingsdiensten aan deze regels voldoen. Delen van gegevens met overheden Het derde hoofdonderwerp betreft regels over het verplicht delen van gegevens met overheidsinstanties, de Europese Centrale Bank, de Europese Commissie of een ander orgaan van de Europese Unie. Deze instanties kunnen op grond van een uitzonderlijke noodzaak gegevens opvragen. Dit kan alleen als de instanties in een noodsituatie niet goed en tijdig op een andere manier aan de gegevens kunnen komen. Ook kunnen de instanties niet-persoonsgegevens opvragen wanneer deze gegevens nodig zijn voor het uitoefenen van een specifieke taak in het algemeen belang, zoals voor het opstellen van officiële statistieken. Ook deze regels zijn vanaf 12 september 2025 van toepassing. Oneerlijke contractvoorwaarden voor ondernemingen onderling Het meest verrassende onderdeel van de Dataverordening is wellicht de bepaling over oneerlijke contractvoorwaarden. Deze is van toepassing op afspraken die ondernemingen onderling (‘B2B’) maken over het delen van data. Kortgezegd regelt het artikel dat contractvoorwaarden over data niet bindend zijn voor de andere partij wanneer de bedingen eenzijdig door de aanbieder zijn opgelegd én als “oneerlijk” worden bestempeld. Het artikel bevat een lijst met bepalingen die altijd oneerlijk zijn (een ‘zwarte lijst’) en een lijst met bepalingen die worden vermoed oneerlijk te zijn (een ‘grijze lijst’). Als een onderneming een beding uit de grijze lijst gebruikt, moet deze onderneming bewijzen dat het beding niet oneerlijk is. Opvallend aan het artikel is dat het is opgesteld als een zwarte en grijze lijst tussen ondernemingen onderling. Er bestaan al veel langer zwarte en grijze lijsten voor algemene voorwaarden die ondernemingen aan consumenten opleggen (zie bijvoorbeeld artikel 6:236 en 6:237 Burgerlijk Wetboek), waarbij de consument wordt beschermd tegen oneerlijke algemene voorwaarden. Nu is er dus een vergelijkbare lijst voor overeenkomsten tussen ondernemingen onderling. Deze bepaling geldt ongeacht de grootte van de betreffende ondernemingen. De verplichtingen uit dit artikel zien op alle contracten en bedingen over de toegang tot en het gebruik van data die worden gesloten tussen ondernemingen. Bij elke overeenkomst of bepaling over het delen van gegevens en het gebruik van gegevens zal rekening moeten worden gehouden met dit artikel. Het artikel zal veelal ook van toepassing zijn wanneer ondernemingen onderling contracten over persoonsgegevens sluiten, zoals een overeenkomst voor gezamenlijke verwerkingsverantwoordelijken onder artikel 26 van de Algemene Verordening Gegevensbescherming (‘AVG’). De toepassing van het artikel is van dwingend recht. Dit betekent dat ondernemingen niet kunnen afspreken dat het artikel niet op hun relatie van toepassing is en er niet van kunnen afwijken. Het is van belang dat ondernemingen zich van dit artikel bewust zijn wanneer zij overeenkomsten sluiten over (persoons)gegevens. Voor afnemers is het overigens belangrijk om altijd te proberen te onderhandelen over de aan hen opgelegde oneerlijke contractvoorwaarden. Als er niet is geprobeerd om over de oneerlijke voorwaarden te onderhandelen, kan een onderneming geen beroep doen op de bescherming van het artikel. De bepaling is van toepassing op alle overeenkomsten die worden gesloten na 12 september 2025. Op een aantal overeenkomsten die voor 13 september 2025 zijn gesloten is de bepaling van toepassing vanaf 12 september 2027. Dit geldt voor overeenkomsten die voor onbepaalde tijd zijn gesloten en voor overeenkomsten die aflopen na 11 januari 2034. Toezicht en handhaving van de Dataverordening De Dataverordening heeft directe werking in de Nederlandse rechtsorde, waardoor er geen of beperkte ruimte is voor afwijkende of aanvullende nationale regels. Voor de onderwerpen die nationaal moeten worden geregeld is een nationale Uitvoeringswet in behandeling. De verordening geeft lidstaten de vrijheid om zelf te bepalen welke toezichthouder bevoegd is om de bepalingen uit de verordening te handhaven. In Nederland moet de Tweede Kamer nog stemmen over het ontwerp van een Nederlandse Uitvoeringswet. In het huidige wetsontwerp van de Uitvoeringswet dataverordening worden de Autoriteit Persoonsgegevens (‘AP’) en de Autoriteit Consument en Markt (‘ACM’) als toezichthouders aangewezen. Conclusie De Dataverordening is vanaf 12 september 2025 van toepassing in Nederland. De Dataverordening schept nieuwe rechten en verplichtingen voor met name ondernemingen. In het bijzonder zullen alle ondernemingen bij het sluiten van overeenkomsten over (persoons)gegevens waakzaam moeten zijn voor de regels over oneerlijke contractuele bedingen. De AP en de ACM zullen waarschijnlijk worden aangewezen als toezichthouder voor de naleving van de verordening. De Dataverordening is nu nog niet van toepassing. Toch is het aan ondernemingen aan te raden om alvast maatregelen te nemen. Zo kan de bedrijfsvoering tijdig worden aangepast aan de verplichtingen die de verordening met zich meebrengt. Tot slot Er zullen meer blogs over dit onderwerp volgen. Houd onze website in de gaten voor meer informatie. Dit blog is oorspronkelijk verschenen op Privacy Web. Heeft u vragen over de Dataverordening? Neem dan contact op met Jan Baas of Jiahui Plomp of een van onze andere specialisten Data & Privacy.  Dit artikel is mede geschreven door Jolijn Gijsen.

Gemeenten ontvangen met grote regelmaat van burgers verzoeken om inzage zoals bedoeld in artikel 15 van de Algemene verordening gegevensbescherming (‘AVG’). Om gemeenten hierbij handvatten te bieden, beschrijft dit blog de laatste ontwikkelingen in de jurisprudentie over inzageverzoeken. In het blog worden de volgende onderwerpen achtereenvolgens besproken: Recht op een kopie van de verwerkte persoonsgegevens; Inzage in mails en notities voor intern overleg en beraad; Inzage in (categorieën) van ontvangers en namen van werknemers en ambtenaren. Recht op kopie van verwerkte persoonsgegevens Ingevolge artikel 15 lid 3 van de AVG heeft een betrokkene het recht om een kopie te verkrijgen van de persoonsgegevens die worden verwerkt. Het Hof van Justitie heeft in een recente zaak (ECLI:EU:C:2023:369 C-487/21, F.F. / Österreichische Datenschutszbehörde CRIF-arrest) verduidelijkt wat een “kopie” inhoudt. Het Hof lichtte toe dat een kopie de verwerkte persoonsgegevens “volledig en getrouw moet reproduceren” zodat de betrokkene “daadwerkelijk” zijn rechten onder de AVG kan uitoefenen. Om de begrijpelijkheid te waarborgen, kan bij het voldoen aan een inzageverzoek “onontbeerlijk” zijn om uittreksels of zelfs volledige documenten te reproduceren. Op basis van de context kan het dus verplicht zijn om uittreksels of volledige documenten te verstrekken aan een betrokkene. Deze uitspraak komt overeen met de eerdere uitspraken van de Afdeling bestuursrechtspraak van de Raad van State (hierna: ‘Afdeling’) hierover (ECLI:NL:RVS:2020:2559). In deze zaak werd geoordeeld dat gelet op de algehele systematiek van artikel 15, het verstreken van een kopie van het document waarin de persoonsgegevens zijn vervat niet altijd noodzakelijk is, en dat het doel van artikel 15 AVG is dat de betrokkene zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Ook in een recente uitspraak van de Afdeling (ECLI:NL:RVS:2023:3067), onder verwijzing naar het CRIF-arrest, blijft het uitgangspunt dat er in beginsel geen verplichting is om uittreksels of afschriften van stukken te overleggen. De verwerkingsverantwoordelijke zal zelf de afweging moeten maken of het verstrekken van afschriften of uittreksels “onontbeerlijk is” in de gegeven context, of dat kan worden volstaan met andere manieren om de begrijpelijkheid van de kopieën te waarborgen. Verder heeft het Hof van Justitie in een andere zaak (ECLI:EU:C:2023:811 C-307/22, FT / DW) geoordeeld dat een eerste kopie onder artikel 15 AVG gratis moet zijn. Daarnaast oordeelde het Hof in deze zaak dat een verwerkingsverantwoordelijke niet kan eisen dat een betrokkene een reden aanvoert voor zijn inzageverzoek. Een inzageverzoek kan niet worden afgewezen wanneer de betrokkene er een ander doel mee wil bereiken dan zich op de hoogte stellen van de verwerkingen van de gegevens en/of het controleren van de rechtmatigheid van de verwerkingen. Inzage in mails en notities voor intern overleg en beraad In een zaak die voorlag bij de rechtbank Gelderland (ECLI:NL:RBGEL:2023:4184) stelde de minister voor Rechtsbescherming zich op het standpunt dat er geen inzage hoefde te worden gegeven in “mails en notities die de persoonlijke gedachten van medewerkers bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad”. Documenten die zijn opgesteld ten behoeve van intern beraad met daarin persoonlijke beleidsopvattingen vormen wel een uitzonderingsgrond onder de Wet open overheid (zie artikel 5.2 van de Wet open overheid), maar hetzelfde kan niet worden gezegd voor artikel 15 AVG. De rechtbank volgt hierin een eerdere uitspraak van de Afdeling (ECLI:NL:RVS:2020:352 onder rechtsoverweging 7.1.) en oordeelde dat de minister niet inzage kon weigeren met het argument dat interne notities niet onder het inzageverzoek van artikel 15 AVG kon vallen. Inzage in (categorieën van) ontvangers Op grond van artikel 15 lid 1 sub c AVG heeft een betrokkene ook het recht om inzage te krijgen in de “ontvangers of categorieën van ontvangers” aan wie de persoonsgegevens zijn verstrekt. Uit de AVG blijkt niet duidelijk of de betrokkene het recht heeft om inzage te krijgen in concrete ontvangers van de persoonsgegevens, of dat de verwerkingsverantwoordelijke de vrijheid heeft bij een inzageverzoek zelf te kiezen of het informatie over concrete ontvangers dan wel categorieën van ontvangers deelt. Het Europese Hof van Justitie in een recente uitspraak (ECLI:EU:C:2023:3:, C-154/21, RW / Österreichische Post AG) verduidelijkt dat het uitgangspunt is dat de verwerkingsverantwoordelijke de daadwerkelijke ontvangers met de betrokkene moet delen. Dit is alleen anders indien het onmogelijk is om de ontvangers van de persoonsgegevens te identificeren, bijvoorbeeld omdat de concrete ontvangers nog niet bekend zijn. Dan kan worden volstaan met categorieën van ontvangers. Dit laat onverlet dat een verwerkingsverantwoordelijke onder omstandigheden een beroep kan doen op uitzonderingen zoals in artikel 12 lid 5 van de AVG of artikel 41 van de Uitvoeringswet Algemene verordening gegevensbescherming (“UAVG”) om inzage in concrete ontvangers te weigeren. Voor een gemeente zou dit bijvoorbeeld kunnen spelen als tegemoetkoming aan het inzageverzoek de openbare veiligheid in gevaar brengt. Inzage in namen van werknemers En hoe zit het als een verzoeker onder verwijzing naar dit arrest inzage wil in de naam van de ambtenaar die zijn persoonsgegevens heeft verwerkt? Hierover oordeelde Rechtbank Noord-Nederland (ECLI:NL:RBNNE:2023:5486) dat de ambtenaar die de gegevens in een systeem heeft ingevoerd geen ontvanger is in de zin van de AVG, en daarom niet verstrekt hoeft te worden. Dit wordt ook bevestigd door een uitspraak van het Hof van Justitie (ECLI:EU:C:2023:501 C-579/21, J.M. / Apulaistietosuojavaltuutettu) waarin een verzoeker inzage wilde hebben in de namen van de werknemers van de verwerkingsverantwoordelijke die zijn gegevens hadden geraadpleegd en de data waarop en de doeleinden waarvoor de raadplegingen waren gedaan. Het Hof oordeelde dat de betrokkene via artikel 15 AVG inzage kon krijgen in de data en de doeleinden van de raadplegingen. Daarentegen gold dat in beginsel niet voor de namen van de werknemers. De werknemers van de verwerkingsverantwoordelijke kunnen namelijk niet worden beschouwd als ontvangers in de zin van artikel 15, lid 1, onder c), AVG wanneer de werknemers persoonsgegevens verwerken onder het gezag van die verwerkingsverantwoordelijke en overeenkomstig zijn instructies. Het Hof oordeelde wel dat de namen van de werknemers van de verwerkingsverantwoordelijke die de persoonsgegevens van de betrokkene hebben geraadpleegd ook persoonsgegevens van de betrokkene kunnen zijn. Desondanks hoeft hier volgens het Hof in dit geval geen inzage in te worden verleend, omdat dit de privacy van de werknemers kan schaden. Artikel 15 AVG mag geen afbreuk doen aan rechten of vrijheden van anderen. In andere gevallen is het niet uitgesloten dat er toch inzage in de namen van de werknemers moet worden gegeven wanneer deze informatie “onontbeerlijk is” voor de betrokkene om hem in staat te stellen zijn rechten onder de AVG uit te oefenen en er rekening wordt gehouden met de rechten en vrijheden van die werknemers. Contact Heeft u vragen over dit onderwerp? Neem dan contact op met Anke van de Laar of een van onze andere Data & Privacy Specialisten. Dit blog is mede geschreven door Jolijn Gijsen.

Op 2 mei 2023 is de Digital Markets Act (DMA)[1] in werking getreden. Deze Europese verordening heeft tot doel de mededinging op de digitale markt eerlijk en goed functionerend te houden door regels te stellen voor zogenaamde ‘’Poortwachters’’. Poortwachters zijn grote digitale platforms die zogenaamde kernplatformdiensten aanbieden, zoals online zoekmachines of app stores, welke aanzienlijke macht op de markt bezitten. Om te voorkomen dat de poortwachters concurrenten dwarszitten met hun marktmacht, worden zij in de DMA aan verplichtingen en verboden gebonden. De DMA is onderdeel van het wetgevingspakket van de EU inzake digitale diensten en raakt aan verschillende mededingings- en privacyaspecten. Samen met de Digital Services Act (DSA) is het eerste ontwerp aangekondigd in 2021. De DMA moet samen met de DSA, AVG en de AI Act bijdragen aan eerlijke(re) mededinging op de digitale markten. In deze blog zetten wij voor u uiteen welke regels gelden voor de poortwachters, en hoe (kleinere) marktpartijen de DMA kunnen inzetten om oneerlijke concurrentie door poortwachters op digitale markten tegen te gaan. Wie zijn poortwachters? Poortwachters in de zin van de DMA zijn ondernemingen die kernplatformdiensten aanbieden en aan drie criteria voldoen: De onderneming heeft een omvang die van invloed is op de interne markt. De onderneming heeft controle over een belangrijke toegangspoort voor zakelijke gebruikers naar eindgebruikers. De onderneming heeft een bestendige en duurzame positie. De DMA schrijft tevens een lijst met kernplatformdiensten voor, waaronder onlinetussenhandelsdiensten, onlinezoekmachines, onlinesocialenetwerkdiensten en webbrowsers. Wordt aan bovenstaande criteria voldaan, dan kan de Europese Commissie de onderneming formeel aanwijzen als poortwachter, en dient de onderneming de verplichtingen uit de DMA na te leven. Momenteel zijn er door de Europese Commissie zeven ondernemingen met in totaal 24 diensten aangewezen als poortwachters in de zin van de DMA. Het betreft Alphabet (onder andere Google Search, YouTube), Amazon, Apple (onder andere Appstore), Booking (Booking.com), ByteDance (TikTok), Meta (onder andere Facebook, Whatsapp) en Microsoft (onder andere Windows, LinkedIn)[2]. Verplichtingen en verboden voor poortwachters De DMA bevat een uitgebreide lijst met praktijken van poortwachters die als oneerlijk worden gezien, en schrijft diverse verplichtingen aan de poortwachters voor. Poortwachters zijn verplicht om binnen zes maanden na het aanwijzingsbesluit aan deze verplichtingen te voldoen. Voor de initiële zes poortwachters is de zes maanden termijn op 6 maart 2024 verstreken. Booking is later als poortwachter aangewezen, en heeft nog tot 13 november 2024 om DMA-compliant te worden. Een aantal voorbeelden van verplichtingen voor poortwachters zijn: Het in staat stellen van derde partijen om in bepaalde specifieke situaties met de eigen diensten van de poortwachter samen te werken; Zakelijke gebruikers toegang verschaffen tot gegevens op het kennisplatform die deze gebruikers zelf genereren; Adverteerders en uitgevers die hun platform gebruiken, de nodige tools en informatie geven om advertenties zelf op het platform van de poortwachter te analyseren; Zakelijke gebruikers in staat stellen hun aanbod op het platform te promoten en buiten het platform contracten met klanten te sluiten. Voorbeelden van gedragingen waar poortwachters zich van dienen te onthouden zijn: Eigen diensten en producten op het platform hoger plaatsen of gunstiger behandelen dan vergelijkbare producten of diensten van derde partijen; Consumenten verbieden om buiten het platform om contact te leggen met bedrijven; Gebruikers verhinderen om automatische geïnstalleerde software of apps te verwijderen; Eindgebruikers buiten de kernplatformdienst van de poortwachters volgen met het oog op gerichte reclame, zonder dat effectieve toestemming is verleend. Verwerking van persoonsgegevens De DMA heeft tevens invloed op de wijze van verwerking van persoonsgegevens door poortwachters. De DMA omvat een aantal verplichtingen voor poortwachters die gericht zijn op het beschermen van de privacy van gebruikers. Deze verplichtingen zien erop toe dat poortwachters hun (dominante) positie niet misbruiken door gegevens van gebruikers verzameld in verschillende diensten te combineren voor commerciële doeleinden. Het betreft de volgende verplichtingen De poortwachter mag geen persoonsgegevens van eindgebruikers verwerken die gebruikmaken van diensten van derden via kernplatformdiensten met als doel online advertentiediensten aan te bieden; Persoonsgegevens van de kernplatformdienst mogen niet worden gecombineerd met persoonsgegevens van andere kernplatformdiensten, andere diensten van de poortwachter, of diensten van derden; Persoonsgegevens van de kernplatformdienst mogen niet worden gebruikt in andere afzonderlijke diensten van de poortwachter, inclusief andere kernplatformdiensten, en vice versa; Eindgebruikers mogen niet automatisch worden aangemeld bij andere diensten van de poortwachter met het doel persoonsgegevens te combineren. Onderzoeken van de Europese Commissie De Europese Commissie is bevoegd een onderzoek in te stellen naar de naleving van de DMA door poortwachters. Zij heeft inmiddels meerdere van dergelijke onderzoeken ingesteld. Bijvoorbeeld Apple is onderwerp van drie verschillende niet-nalevingsonderzoeken. In het kader van één van deze onderzoeken heeft de Europese Commissie op 24 juni 2024 voorlopige bevindingen gepubliceerd, waarin zij stelt dat de stuurregels van Apple gebruikt in de Apple App Store strijdig zijn met de DMA. Apple hanteert in de App Store momenteel drie typen zakelijke voorwaarden op grond waarvan het app-ontwikkelaars niet vrij staat om hun klanten vrij door te sturen naar alternatieve en/of goedkopere distributiekanalen. Ontwikkelaars kunnen bijvoorbeeld geen prijsinformatie verstrekken binnen de app of op een andere manier communiceren met hun klanten om aanbiedingen te promoten die beschikbaar zijn op alternatieve distributiekanalen. Dit vormt naar het voorlopige standpunt van de Europese Commissie een overtreding van de DMA. Apple heeft nu de mogelijkheid om zich te verweren, alvorens de Commissie definitief zal besluiten met betrekking tot eventuele niet-naleving en potentiële sancties.[3] Niet-naleving van de DMA Indien uit het onderzoek van de Europese Commissie volgt dat een poortwachter zich niet aan de regels uit de DMA houdt, kan de Europese Commissie daar straffen aan verbinden. De Europese Commissie kan geldboetes opleggen aan het platform, welke maximaal 10% van de totale wereldwijde jaaromzet van de onderneming bedragen of tot 20% in geval van herhaalde inbreuken. Ook kan de Europese Commissie besluiten een dwangsom op te leggen in de vorm van een periodieke financiële sanctie tot 5% van de gemiddelde dagelijkse omzet. Tot slot, kunnen bij systematische overtredingen van de DMA ook extra maatregelen worden opgelegd, welke zo ver kunnen gaan als een bevel tot verandering van gedraging of structuur van het betreffende platform. Handhaving In principe wordt naleving van de DMA gehandhaafd door de Europese Commissie. Wel bestaan er voor marktpartijen die last ondervinden van gedragingen van poortwachters verschillende tools aan de hand waarvan zij handhaving en/of naleving kunnen initiëren of stimuleren. Dit kan allereerst door te klagen bij nationale mededingingsautoriteiten, zoals de Autoriteit Consument en Markt (ACM) in Nederland. Deze mededingingsautoriteiten zijn aangewezen als nationale toezichthouders en beschikken over bevoegdheden om onderzoek te starten naar aanwijzing van ondernemingen als poortwachter, of naar gedragingen van reeds aangewezen poortwachters. Daarnaast kunnen concurrenten of andere benadeelden ook rechtstreeks naar de rechter stappen om naleving van de DMA af te dwingen, dan wel schadevergoeding te vorderen nadat schending van de DMA is vastgesteld. Dit kan onder andere in massaschadeclaims. Problemen ten aanzien van poortwachters? Ondervindt u belemmeringen door de dominante positie van poortwachters? Worden uw belangen als concurrent en/of consument geschaad door hun acties?  Wij denken graag met u mee over mogelijkheden om oneerlijke praktijken van poortwachters tegen te gaan, en eventuele schade vergoed te krijgen. Meer weten over dit onderwerp? Neem contact op met Monika Beck, Jiahui Plomp of één van onze andere specialisten. [1] Verordening (EU) 2022/1925 van het Europees Parlement en de Raad van 14 september 2022 over betwistbare en eerlijke markten in de digitale sector, en tot wijziging van de Richtlijnen (EU) 2019/1937 en (EU) 2020/1828 (digitalemarktenverordening) (PbEU 2022, L 265/1). [2] Voor een actueel overzicht van aangewezen gatekeepers wordt verwezen naar de website van de Europese Commissie ‘’Gatekeepers’’ [https://digital-markets-act.ec.europa.eu/gatekeepers_en]. [3] Lees meer op Europese Commissie, Persbericht: Commissie stuurt Apple haar voorlopige bevindingen en opent aanvullend onderzoek wegens niet-naleving van de digitalemarktenverordening door Apple, 24 juni 2024 [https://ec.europa.eu/commission/presscorner/detail/nl/ip_24_3433].