Joris DeeneMag de aanbieder van een online identificatiedienst zichzelf in zijn algemene voorwaarden als verwerker positioneren wanneer hij de volledige inrichting van die dienst zelf heeft ontworpen? Neen, oordeelt de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) in beslissing 103/2026 van 12 mei 2026. Isabel SA krijgt voor haar identificatiedienst TruliUs een geldboete van 120.000 euro wegens schending van het verantwoordelijkheidsbeginsel uit art. 5, lid 2 Algemene Verordening Gegevensbescherming (AVG/GDPR), plus een berisping voor de transparantie-, inzage- en minimalisatie-inbreuken die uit die verkeerde kwalificatie voortvloeien. De redenering reikt verder dan deze ene zaak en raakt elke B2B-SaaS-aanbieder die zich via zijn voorwaarden tot verwerker positioneert.
De feiten
De klager is zaakvoerder van een vennootschap die voor haar boekhouding gebruikmaakt van een externe boekhouder. Die boekhouder werkt op zijn beurt met een online boekhoudplatform waarop klanten hun documenten kunnen uploaden. Om zich op dat platform te identificeren namens zijn vennootschap, moest de klager de dienst TruliUs gebruiken — een door Isabel SA ontwikkelde identificatie- en authenticatieoplossing voor ondernemingen, vergelijkbaar met itsme maar specifiek bedoeld om aan te tonen dat een natuurlijke persoon rechtsgeldig kan handelen voor rekening van een rechtspersoon. TruliUs steunt daarvoor op itsme als onderliggende identiteitsverifier.
Op 29 maart 2021 dient de klager een klacht in bij de GBA. Hij maakt twee bezwaren. Eerst constateert hij dat de privacyverklaring op de TruliUs-website slechts een fractie weergeeft van de gegevens die effectief via itsme worden opgevraagd — meer dan tien datapunten, waaronder nationaliteit, foto van de eID, geboorteplaats en -datum, eID-nummer. Vervolgens stelt hij vast dat zijn inzageverzoeken van 11 en 19 maart 2021 onbeantwoord zijn gebleven.
De Inspectiedienst formuleert vier vaststellingen: gebrekkige voorafgaande informatie (art. 5, lid 1, a), 12, lid 1 en 13 AVG), miskenning van het recht van inzage (art. 5, lid 1, a), 12, lid 1 en 15, lid 1 AVG), schending van het minimalisatiebeginsel en van protection by default (art. 5, lid 1, c) en 25, lid 2 AVG), en schending van het verantwoordelijkheidsbeginsel (art. 5, lid 2 AVG). Isabel verweert zich met de stelling dat zij voor de authenticatie- en identificatieactiviteit slechts verwerker is en dat al deze verplichtingen op de klant — de vennootschap van de klager — rusten.
De beslissing
De Geschillenkamer beantwoordt eerst de vraag of Isabel verwerker of verwerkingsverantwoordelijke is in de zin van art. 4, 7) AVG voor de authenticatie- en identificatieactiviteit binnen TruliUs. Zij kwalificeert Isabel als verwerkingsverantwoordelijke en bouwt die kwalificatie op vier pijlers.
Eerst onderzoekt de Geschillenkamer het doel. Isabel heeft TruliUs zelf bedacht, ontwikkeld en in oktober 2020 op de markt gebracht. Het doel — een oplossing aanbieden waarmee natuurlijke personen zich kunnen identificeren namens een rechtspersoon — is eenzijdig door Isabel bepaald, voorafgaand aan elke contractuele relatie met een klant. Steunend op het arrest van het Hof van Justitie in IAB Europe (HvJ 7 maart 2024, C-604/22) wijst de Kamer erop dat wie de regels van een datadeelsysteem opstelt en controleert, daardoor al verwerkingsverantwoordelijke wordt — laat staan dat Isabel hier nog veel verder ging dan louter regels opstellen.
Vervolgens analyseert de Kamer de wezenlijke middelen van de verwerking. Isabel heeft eenzijdig vastgelegd welke gegevens worden opgevraagd via itsme, welke categorieën personen toegang krijgen, hoe lang accounts worden bewaard (een verwijderingstermijn van 13 maanden voor inactieve accounts), met welke partners gegevens kunnen worden gedeeld en hoe de volledige technische architectuur eruitziet. Dat de klant in theorie kon kiezen welke gegevens te verzamelen, blijft volgens de Geschillenkamer “zeer theoretisch” — in de praktijk werden alle door Isabel gedefinieerde datapunten standaard verzameld, ook die de boekhoudplatform niet nodig had.
Daarna verwerpt de Kamer Isabels analogie met een gestandaardiseerde clouddienst uit de EDPB-richtsnoeren 07/2020. Een cloudprovider biedt een neutrale technische infrastructuur waarin de klant zelf bepaalt welke data hij opslaat, waarom en hoe lang. Bij TruliUs ligt dat fundamenteel anders: Isabel heeft niet alleen de infrastructuur, maar ook het doel, de datacategorieën, de bewaartermijnen en de ontvangers zelf bepaald. De klant gebruikte enkel een dienst waarvan de parameters volledig vooraf waren ingevuld.
Tot slot wijst de Geschillenkamer op de absurde gevolgen van Isabels stelling: als de vennootschap van de klager verwerkingsverantwoordelijke zou zijn, had de klager zichzelf — als zaakvoerder van die vennootschap — informatie moeten verstrekken over de door Isabel verzamelde gegevens, en zijn recht van inzage moeten uitoefenen tegenover zijn eigen vennootschap voor data die door een derde worden bewaard. Dat zou in strijd zijn met het nuttig effect van de AVG.
De Geschillenkamer concludeert dat Isabel verwerkingsverantwoordelijke is, en dat de andere drie inbreuken (gebrek aan informatie, weigering van inzage, overmatige gegevensverzameling) rechtstreeks voortvloeien uit deze foutieve kwalificatie. Daarom legt zij voor de schending van art. 5, lid 2 AVG — de inbreuk waaruit alle andere voortvloeien — één geldboete van 120.000 euro op, met een berisping voor de afgeleide schendingen. Deze keuze vindt steun in art. 58, lid 2, i) AVG en overweging 148 AVG.
Juridische analyse en duiding
Geen kunstmatige opsplitsing van rollen binnen één samenhangende dienst
Isabel had haar verdediging zorgvuldig opgebouwd: voor de bevraging van de Kruispuntbank van Ondernemingen, het aanmaken van accounts, de facturatie en de webstatistieken zag zij zich als verwerkingsverantwoordelijke, voor de authenticatie- en identificatieactiviteit als verwerker. De Geschillenkamer doorprikt deze constructie scherp. Authenticatie en identificatie zijn binnen TruliUs niet los te denken van de andere verwerkingen: alle stappen dragen bij aan één enkele doel — natuurlijke personen toelaten in naam van een onderneming op te treden — en steunen op één technische architectuur die door Isabel is ontworpen.
De Kamer erkent dat de rechtspraak van het Hof van Justitie — onder meer Fashion ID (HvJ 29 juli 2019, C-40/17) — een verwerking-per-verwerking benadering oplegt, maar voegt daar een belangrijk voorbehoud aan toe: die opsplitsing veronderstelt dat de verwerkingen ook werkelijk afzonderlijk kunnen worden beschouwd. Wanneer dat niet kan — wanneer het gaat om verwerkingen die elkaar logisch en technisch veronderstellen — verbiedt het effectiviteitsbeginsel om de ene als verwerker en de andere als verwerkingsverantwoordelijke te bestempelen.
Dit is een duidelijke verfijning van de Fashion ID-doctrine en een belangrijk signaal voor SaaS-aanbieders die hun rolverdeling per submodule willen finetunen. De boodschap is dat een functioneel geheel ook juridisch als geheel wordt beoordeeld.
De grenzen van het “gestandaardiseerd clouddienst”-argument
Het cloudvoorbeeld uit de EDPB-richtsnoeren 07/2020 wordt door SaaS-aanbieders graag aangehaald: een leverancier die een gestandaardiseerde technische infrastructuur aanbiedt zonder zelf het doel of de inhoud van de verwerking te bepalen, kan zich als verwerker opstellen.
Eerst inhoudelijk: zodra de aanbieder zelf het doel, datacategorieën, de bewaartermijn en de ontvangers definieert, is de cloud-analogie niet meer toepasbaar. De vergelijking houdt enkel stand wanneer de aanbieder werkelijk neutraal is — een opslagcontainer levert, geen voorgekookt proces.
Vervolgens procedureel: zelfs als men aanneemt dat de dienst gestandaardiseerd is, voegt de EDPB volgens de Kamer een aanvullende voorwaarde toe. De klant moet een gedetailleerde beschrijving van de dienst ontvangen en actief instemmen met de wijze waarop de verwerking gebeurt. In deze zaak ontbraken die elementen. Het is een interpretatie die de drempel om zich als verwerker te kwalificeren aanzienlijk verhoogt, en die SaaS-aanbieders ertoe noopt hun precontractuele informatieverstrekking grondig te documenteren — anders blijft het cloud-argument een holle frase.
Eén geldboete voor de hoofdinbreuk, een berisping voor de afgeleide schendingen
Methodologisch interessant is de keuze om voor één centrale inbreuk — art. 5, lid 2 AVG — een geldboete op te leggen en de andere inbreuken via een berisping af te handelen. De Geschillenkamer onderbouwt deze keuze met drie elementen: het structureel en onlosmakelijk karakter van de inbreuken, de formele pedagogische waarde van een berisping en het proportionaliteitsbeginsel.
Deze techniek heeft een eigen logica wanneer schendingen werkelijk uit één en dezelfde fout voortvloeien, maar zij roept ook vragen op. Door enkel art. 5, lid 2 AVG te beboeten, wordt de boete gekapt op de plafondbedragen van art. 83, lid 5 AVG via de schending van het verantwoordelijkheidsbeginsel — wat in casu een aanzienlijk maximaal bedrag oplevert. In andere gevallen kan een onderneming die meerdere afzonderlijke schendingen begaat zonder gemeenschappelijke oorzaak wel cumulatief beboet worden — zij het binnen de grenzen van de samenloopregel uit art. 83, lid 3 AVG. De Geschillenkamer wijst er bovendien uitdrukkelijk op dat haar eerdere beslissingen geen precedent vormen waaraan zij gebonden is bij de beoordeling van latere zaken, en steunt zich daarvoor op een arrest van het Marktenhof (Marktenhof 27 januari 2021, 2020/AR/1333). Wie de hoogte van een GBA-boete wil betwisten met verwijzing naar lagere boetes in eerdere dossiers, vindt daardoor weinig gehoor.
Wat betekent dit concreet?
Voor aanbieders van B2B-SaaS-diensten. Een contractuele zelfkwalificatie als verwerker biedt geen schild wanneer u in werkelijkheid het doel en de essentiële middelen van de verwerking bepaalt. De analyse moet per verwerkingsactiviteit gebeuren, maar wanneer activiteiten functioneel onlosmakelijk zijn, worden zij als geheel beoordeeld. Wie zich op het “gestandaardiseerde clouddienst”-voorbeeld wil beroepen, moet daadwerkelijk een neutrale infrastructuur leveren zonder zelf datavelden, bewaartermijnen of ontvangers te definiëren — én moet kunnen aantonen dat de klant precontractueel een gedetailleerde beschrijving van de verwerking heeft ontvangen en actief heeft goedgekeurd. Algemene voorwaarden, DPIA’s en verwerkingsregisters die uitgaan van een verkeerde kwalificatie bieden geen verschoning: de Geschillenkamer leest ze als bewijs van een doorgevoerd, maar foutief, conformiteitsbeleid.
Voor afnemers van SaaS-diensten. Een tegenpartij die zich in haar voorwaarden tot verwerker bestempelt, schuift de AVG-verplichtingen op u door zonder dat dit feitelijk klopt. Bij authenticatiediensten, identiteitsoplossingen, scoring-engines en gelijkaardige platformen verdient het aanbeveling om vóór contractsluiting de feitelijke beslissingsmacht over doel, datacategorieën, bewaartermijnen en ontvangers contractueel én operationeel in kaart te brengen. Een DPIA waarin u zichzelf als verwerkingsverantwoordelijke aanduidt terwijl u die rol feitelijk niet uitoefent, beschermt u niet tegen klachten van uw klanten of werknemers — ze vergroot juist uw aansprakelijkheid.
Voor digitale identiteits- en authenticatieaanbieders. De Geschillenkamer trekt expliciet de parallel tussen Isabel en itsme: wie eindgebruikers identificeert en hun gegevens deelt met partners, is voor die activiteit verwerkingsverantwoordelijke. Het volstaat niet zich achter het B2B-karakter van de dienst te verschuilen.
Veelgestelde vragen (FAQ)
Kan ik in mijn algemene voorwaarden vrij kiezen of ik verwerker of verwerkingsverantwoordelijke ben?
Neen. De Geschillenkamer wijst er uitdrukkelijk op dat de kwalificatie berust op een feitelijke beoordeling, niet op de contractuele zelfaanduiding. Wie het doel en de essentiële middelen van de verwerking bepaalt, is verwerkingsverantwoordelijke, ongeacht wat de algemene voorwaarden zeggen.
Wat zijn de risico’s van een foutieve zelfkwalificatie als verwerker?
Een verkeerde kwalificatie is op zichzelf een schending van het verantwoordelijkheidsbeginsel uit art. 5, lid 2 AVG en kan een geldboete tot 20 miljoen euro of 4% van de wereldwijde omzet opleveren. Bovendien blijven de onderliggende verplichtingen (transparantie, recht van inzage, minimalisatie) van toepassing en kunnen zij tot bijkomende sancties leiden — in deze zaak een berisping.
Mag ik voor sommige onderdelen van mijn dienst verwerker zijn en voor andere verwerkingsverantwoordelijke?
In principe wel, want de kwalificatie moet per verwerkingsactiviteit gebeuren. Maar wanneer de verschillende verwerkingen functioneel onlosmakelijk verbonden zijn binnen één dienst — wat bij authenticatiediensten typisch het geval is — verbiedt de Geschillenkamer een artificiële opsplitsing.
Conclusie
De Geschillenkamer hanteert in deze beslissing een strikte feitelijke benadering van de begrippen verwerker en verwerkingsverantwoordelijke. Wie een SaaS-dienst van A tot Z ontwerpt en daarbij eenzijdig het doel, de datavelden, de bewaartermijnen en de ontvangers definieert, kan zich niet als verwerker kwalificeren — ook niet wanneer zijn algemene voorwaarden, DPIA en verwerkingsregister jarenlang dat tegenovergestelde verhaal vertellen. De beslissing dwingt B2B-SaaS-aanbieders, en in het bijzonder spelers in digitale identiteit en authenticatie, tot een grondige herevaluatie van hun rolverdeling onder de AVG.
Dutch 
English