Aansprakelijkheid online platformen: einde van de “Safe Harbor” bij GDPR-inbreuken?

Het Hof van Justitie van de Europese Unie (HvJ-EU) heeft in een baanbrekend arrest geoordeeld dat uitbaters van online marktplaatsen rechtstreeks aansprakelijk zijn als verwerkingsverantwoordelijke voor de persoonsgegevens in advertenties van gebruikers. De klassieke immuniteit voor hostingproviders geldt niet in het kader van de GDPR (AVG). Platformen moeten voortaan proactief controleren op gevoelige gegevens en de identiteit van adverteerders verifiëren.

De feiten en context

De zaak draait rond een advertentie op www.publi24.ro, een Roemeense online marktplaats uitgebaat door Russmedia Digital. Een onbekende derde plaatste een valse advertentie waarin seksuele diensten werden aangeboden, gebruikmakend van foto’s en het telefoonnummer van een vrouw zonder haar toestemming.

Hoewel Russmedia de advertentie binnen het uur na melding verwijderde, was het kwaad reeds geschied: de advertentie was inmiddels gekopieerd en verspreid op andere websites. Het slachtoffer startte een procedure en eiste schadevergoeding voor de inbreuk op haar privacy en eer.

De centrale juridische discussie was of het online platform zich kon verschuilen achter de rol van passieve “tussenpersoon” (hostingprovider). Volgens de Richtlijn inzake elektronische handel (en nu de Digital Services Act of DSA) zijn zulke providers in principe niet aansprakelijk voor gebruikerscontent zolang ze geen kennis hebben van het onwettige karakter ervan. De vraag was of deze immuniteit ook geldt voor inbreuken op de Algemene Verordening Gegevensbescherming (AVG/GDPR).

De beslissing van het Hof van Justitie

In het arrest van 2 december 2025 (C-492/23) doet de Grote Kamer van het Hof van Justitie enkele verstrekkende uitspraken die het landschap voor online platformen in Europa fundamenteel veranderen:

• Platform is verwerkingsverantwoordelijke: De exploitant van een online marktplaats is (gezamenlijk met de adverteerder) “verwerkingsverantwoordelijke” in de zin van de GDPR. Doordat het platform de advertenties structureert, categoriseert en monetariseert voor eigen commerciële doeleinden, bepaalt het mee de “doeleinden en middelen” van de verwerking.
• Geen immuniteit onder GDPR: Het Hof oordeelt scherp dat de aansprakelijkheidsbeperkingen (de zogenaamde “safe harbor”) uit de e-Commerce Richtlijn niet kunnen worden ingeroepen om te ontsnappen aan verplichtingen onder de GDPR. De bescherming van persoonsgegevens heeft voorrang.
• Verplichting tot voorafgaande controle: Wanneer het gaat om bijzondere categorieën van persoonsgegevens (zoals gegevens over iemands seksueel leven, art. 9 GDPR), moet het platform vóór publicatie controleren of de advertentie dergelijke gegevens bevat.
• Identificatieplicht: Het platform moet de identiteit van de adverteerder verifiëren om zeker te zijn dat deze toestemming heeft om de gevoelige gegevens te plaatsen. Anoniem adverteren met gevoelige persoonsgegevens is in strijd met de GDPR.
• Beveiliging tegen scraping: Het platform moet technische maatregelen nemen om te voorkomen dat advertenties door derden worden gekopieerd en elders worden herpubliceerd.

Juridische analyse en duiding

Dit arrest markeert een seismische verschuiving in het internetrecht. Tot nu toe opereerden veel platformen onder de veronderstelling dat het “notice and takedown”-principe (reageren na melding) voldoende was om aansprakelijkheid te ontlopen. Het Hof stelt nu ondubbelzinnig dat dit mechanisme niet volstaat voor databescherming.

De verhouding tussen DSA en GDPR Hoewel het arrest formeel gaat over de (oude) Richtlijn inzake elektronische handel, is de redenering rechtstreeks toepasbaar op de huidige Digital Services Act (DSA). Het Hof bevestigt hiermee dat de GDPR als lex specialis fungeert: platformen kunnen zich niet beroepen op hun status als “passieve host” om onder de strenge regels van de AVG uit te komen.

Van reactief naar proactief toezicht De meest ingrijpende consequentie is de introductie van een algemene toezichtsverplichting voor specifieke types data. Waar artikel 15 van de e-Commerce Richtlijn (en art. 8 DSA) een algemene monitoringsverplichting verbiedt, stelt het Hof dat dit verbod niet geldt voor de verplichtingen van een verwerkingsverantwoordelijke onder de GDPR.

Dit creëert een complexe situatie voor platformen: om GDPR-compliant te zijn, moeten ze uploads scannen op gevoelige gegevens (zoals gezondheid, politieke voorkeur of seksuele geaardheid). Dit vereist geavanceerde filters en menselijke moderatie, wat een aanzienlijke verzwaring van de zorgplicht betekent.

Wat dit concreet betekent

De impact van dit arrest strekt zich uit tot elke website die user-generated content (UGC) of advertenties host in België en de EU.

Voor online platformen en marktplaatsen

• Aanpassing algemene voorwaarden: U moet uw rol als verwerkingsverantwoordelijke erkennen en transparant maken.
• Implementatie van filters: U bent verplicht technische maatregelen te implementeren die gevoelige persoonsgegevens detecteren vóór publicatie.
• Einde van anonimiteit: Voor advertenties die gevoelige data bevatten, moet u een strikt “Know Your Customer” (KYC) beleid invoeren. U moet verifiëren of de adverteerder daadwerkelijk de persoon is op wie de gegevens betrekking hebben.
• Anti-scraping maatregelen: U moet investeren in technologie die verhindert dat bots uw content en de persoonsgegevens van uw gebruikers kopiëren.

Voor slachtoffers van online misbruik

Dit arrest is een overwinning voor slachtoffers van wraakporno, doxing of valse profielen.

• Directe aansprakelijkheid: U hoeft niet langer op zoek naar de (vaak anonieme) dader. U kunt het platform rechtstreeks aanspreken voor schadevergoeding op basis van de GDPR, omdat zij hebben nagelaten uw gegevens te beschermen.
• Recht op vergetelheid: Platformen moeten veel actiever voorkomen dat uw gegevens opnieuw opduiken nadat ze zijn verwijderd.

Voor adverteerders en gebruikers

• Privacy vs. controle: Houd er rekening mee dat platformen meer gegevens van u zullen vragen (zoals identiteitsbewijzen) voordat u bepaalde content mag plaatsen. De drempel voor anoniem posten wordt aanzienlijk verhoogd.

Veelgestelde Vragen (FAQ)

Is een website altijd verantwoordelijk voor wat gebruikers plaatsen?
Niet voor alle inhoud, maar wel voor de persoonsgegevens in die inhoud. Als een platform de structuur en verspreiding van advertenties bepaalt, wordt het gezien als ‘verwerkingsverantwoordelijke’ onder de GDPR en is het aansprakelijk voor de bescherming van die data.

Mag ik nog anoniem een advertentie plaatsen?
Dat wordt moeilijker. Als uw advertentie gevoelige gegevens bevat (bijvoorbeeld over etniciteit, gezondheid of seksuele voorkeur), is het platform nu verplicht uw identiteit te verifiëren vóór publicatie om misbruik te voorkomen.

Geldt dit ook als het platform de advertentie snel verwijdert?
Ja. Het Hof oordeelde dat zelfs een snelle verwijdering (notice and takedown) het platform niet vrijpleit van aansprakelijkheid als het heeft nagelaten voorafgaande controles uit te voeren op gevoelige gegevens.

Conclusie

Het arrest Russmedia (C-492/23) herschrijft de spelregels voor het internet in Europa. De tijd dat platformen hun handen in onschuld konden wassen door te wijzen naar de gebruiker, is voorbij wanneer het gaat om privacygevoelige informatie. De GDPR heeft nu onmiskenbaar voorrang op de immuniteitsregels van de e-commerce wetgeving. Voor platformen betekent dit: controleren, verifiëren en beveiligen, of betalen.