GDPR

Zeven jaar AVG: een juridische balans en vooruitblik

Joris Deene
4 weken geleden
156 keer bekeken
10 minuten leestijd

De Algemene Verordening Gegevensbescherming (AVG), beter bekend als de GDPR, is sinds 25 mei 2018 een hoeksteen van de gegevensbescherming binnen de Europese Unie. Nu, zeven jaar later, blijft het privacylandschap evolueren, mede dankzij de verduidelijkende rol van het Hof van Justitie van de Europese Unie (HvJ-EU). Voor ondernemingen en organisaties is het cruciaal om op de hoogte te blijven van deze ontwikkelingen om compliant te blijven en de rechten van betrokkenen te waarborgen. In deze bijdrage bespreken we enkele van de meest invloedrijke arresten van het afgelopen jaar (mei 2024 – mei 2025) en kijken we vooruit naar enkele belangrijke zaken die op komt zijn.

Belangrijke uitspraken van het HvJ-EU (mei 2024 – mei 2025)

Het afgelopen jaar heeft het Hof van Justitie zich opnieuw gebogen over cruciale aspecten van de GDPR. Hieronder een selectie van arresten die een directe impact hebben op de dagelijkse praktijk van gegevensverwerking.

  1. Zaak C-621/22 – Koninklijke Nederlandse Lawn Tennisbond (KNLTB)
    • Kern van de zaak: Het HvJ-EU oordeelde dat een zuiver commercieel belang onder bepaalde voorwaarden kan worden beschouwd als een “gerechtvaardigd belang” voor gegevensverwerking. Dit gerechtvaardigd belang hoeft niet expliciet in de wet te zijn vastgelegd, maar moet wel rechtmatig zijn. De verwerking van de betreffende gegevens is enkel toegestaan indien deze strikt noodzakelijk is en er geen minder ingrijpende alternatieven beschikbaar zijn. Bovendien is een belangenafweging vereist tussen het belang van de verwerkingsverantwoordelijke en de rechten van de betrokkenen, waarbij de betrokkenen redelijkerwijs moeten kunnen voorzien hoe hun gegevens gebruikt zullen worden.
    • Praktische implicaties: Organisaties die tot nu toe terughoudend waren om een gerechtvaardigd belang als rechtsgrond te gebruiken voor zuiver commerciële doeleinden, kunnen dit nu overwegen, mits aan de strikte criteria van het Hof wordt voldaan. Organisaties die reeds een gerechtvaardigd belang inroepen voor commerciële belangen, dienen te evalueren of hun huidige praktijken voldoen aan de door het Hof gestelde eisen. Indien dit niet het geval is, moeten zij hun werkwijze aanpassen of een andere rechtsgrond voor de verwerking kiezen.
    • Relevante GDPR-bepaling: Artikel 6(1)(f) GDPR – Gerechtvaardigd belang
    • Rechtstreeks link naar het arrest
  2. Zaak C-446/21 – Maximilian Schrems
    • Kern van de zaak: Het Hof stelde onder meer dat een situatie waarin een persoon zijn/haar seksuele geaardheid bekendmaakt tijdens een publiek panelgesprek, niet automatisch kwalificeert als een verwerking van persoonsgegevens die “kennelijk door de betrokkene openbaar zijn gemaakt” zoals bedoeld in de vrijstelling van artikel 9, lid 2, letter e) GDPR. Een socialemediaplatformbeheerder mag deze vrijstelling dus niet gebruiken om andere gegevens over seksuele geaardheid te verwerken die buiten het platform zijn verkregen (van websites of apps van derden).
    • Praktische implicaties: Organisaties moeten voorzichtig zijn bij de verwerking van bijzondere categorieën van persoonsgegevens. Zelfs als een persoon bijzondere categorieën van gegevens over zichzelf openbaar maakt in de context van een publieke discussie of in gelijkaardige situaties, is dit niet voldoende om de toepassing van de vrijstelling in artikel 9, lid 2, e) GDPR te activeren. De verwerkingsverantwoordelijke moet dus een andere vrijstelling onder artikel 9 identificeren of afzien van de verwerking van dergelijke bijzondere categorieën van gegevens.
    • Relevante GDPR-bepaling: Artikel 9 GDPR – Verwerking van bijzondere categorieën van persoonsgegevens
    • Rechtstreeks link naar het arrest
    • Lees ook ons uitvoerig blogpostbericht over dit arrest
  3. Zaak C-169/23 – Másdi
    • Kern van de zaak: Dit arrest gaat over de toepasselijkheid van de bepaling onder artikel 14, lid 5, c) GDPR. Dit betreft een uitzondering op de informatieplicht jegens betrokkenen, die van toepassing is wanneer het verkrijgen of meedelen van de gegevens uitdrukkelijk is voorgeschreven bij wet (voor zover die wet passende maatregelen biedt ter bescherming van de gerechtvaardigde belangen van de betrokkenen). Het HvJ-EU stelde dat deze uitzondering van toepassing is op persoonsgegevens, ongeacht de wijze waarop ze zijn verkregen. Indien de genoemde uitzondering van toepassing is, hoeft de verwerkingsverantwoordelijke de betrokkene dus niet te informeren over gegevens die van een derde zijn verkregen of over gegevens die de verwerkingsverantwoordelijke zelf heeft gegenereerd in het kader van zijn taken.
    • Praktische implicaties: Organisaties kunnen zich op deze uitzondering beroepen om de informatieplicht te vermijden voor persoonsgegevens, ongeacht hun bron (verkregen van derden of intern gegenereerd). Zij moeten echter wel de specifieke wettelijke bepaling die de verwerking toestaat duidelijk identificeren en ervoor zorgen dat de nodige maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkenen effectief worden geïmplementeerd. Een dergelijke beoordeling van de toepasselijkheid van de uitzondering onder artikel 14, lid 5, c) moet adequaat worden gedocumenteerd, zoals vereist door het verantwoordingsbeginsel.
    • Relevante GDPR-bepaling: Artikel 14 GDPR – Informatie die moet worden verstrekt wanneer persoonsgegevens niet van de betrokkene zijn verkregen
    • Rechtstreekse link naar het arrest
  4. Zaak T-354/22 – Bindl t. Commissie
    • Kern van de zaak: Volgens het Gerecht kunnen betrokkenen niet alleen recht hebben op vergoeding van materiële schade, maar ook van immateriële schade als gevolg van een inbreuk op de gegevensbeschermingsregels. In deze specifieke zaak oordeelde het Gerecht dat de doorgifte van gegevens buiten de Europese Economische Ruimte (EER) zonder de adequate doorgiftemechanismen een daadwerkelijke en zekere immateriële schade voor de betrokkene had veroorzaakt, aangezien dit hem in een positie van onzekerheid bracht met betrekking tot de verwerking van zijn persoonsgegevens. Bovendien achtte het Gerecht een voldoende direct oorzakelijk verband aanwezig tussen de inbreuk op de gegevensbescherming en de door de betrokkene geleden immateriële schade, en begrootte deze immateriële schade op 400 EUR, te betalen door de verwerkingsverantwoordelijke die zijn gegevens buiten de EER had doorgegeven.
    • Praktische implicaties: Naar aanleiding van deze uitspraak dienen organisaties hun gegevensbeschermingspraktijken te versterken, aangezien zelfs kleine inbreuken tot schadeclaims kunnen leiden. Dit omvat onder meer het waarborgen van passende beveiligingsmaatregelen, duidelijke interne procedures, periodieke training van personeel en efficiënte communicatie met getroffen betrokkenen.
    • Relevante GDPR-bepaling: Artikel 82 GDPR – Recht op schadevergoeding en aansprakelijkheid
    • Rechtstreekse link naar het arrest

Verwachte uitspraken van het HvJ-EU: een vooruitblik

Naast de reeds gedane uitspraken, zijn er enkele zaken aanhangig bij het HvJ-EU die potentieel belangrijke gevolgen zullen hebben.

  1. Zaak C-693/22-I (Verkoop van een databank)
    • Waar de zaak over gaat: Het Hof moet beoordelen of een nationale wet die de verkoop van een databank met persoonsgegevens in het kader van executiemaatregelen toestaat, zelfs wanneer de betrokkene geen toestemming heeft gegeven voor de verkoop, toelaatbaar is onder de GDPR.
    • Mogelijke praktische implicaties: Indien het Hof het standpunt van de Advocaat-Generaal volgt en de verkoop van een databank met persoonsgegevens zonder toestemming van de betrokkenen toestaat, mits een dergelijke verwerking noodzakelijk en proportioneel wordt geacht om een civielrechtelijke vordering af te dwingen, ontstaan er verschillende praktische implicaties. Ten eerste zou dit het controleniveau dat betrokkenen over hun persoonsgegevens hebben, kunnen verminderen. Bovendien kan het bepalen of een dergelijke gegevensverwerking voldoet aan de drempels van noodzakelijkheid en proportionaliteit leiden tot juridische en procedurele onzekerheid, met name bij gebrek aan duidelijke criteria of toezichtmechanismen.
  2. Zaak C-654/23 – Inteligo
    • Waar de zaak over gaat: Het HvJ-EU moet onder meer interpreteren of artikel 83, lid 2, GDPR inhoudt dat een toezichthoudende autoriteit die een administratieve geldboete oplegt, verplicht is om in een sanctiebeslissing de impact van elk van de criteria genoemd in letters (a) tot (k) van dat artikel op de beslissing om een boete op te leggen en, respectievelijk, op de beslissing met betrekking tot het bedrag van de opgelegde boete, te beoordelen en toe te lichten.
    • Mogelijke praktische implicaties: Afhankelijk van het antwoord van het Hof, zouden toezichthoudende autoriteiten hun modellen voor sanctiebesluiten moeten herzien of ten minste de manier waarop dergelijke documenten worden ingevuld, moeten wijzigen, zodat daarin de criteria worden weerspiegeld die zijn gebruikt bij het bepalen van zowel de beslissing om een boete op te leggen als het specifieke bedrag van de boete. In dat geval zouden organisaties een reden kunnen hebben om het sanctiebesluit aan te vechten indien de toezichthoudende autoriteiten dergelijke sanctiecriteria niet adequaat toelichten.
    • Relevante GDPR-bepaling: Artikel 83 GDPR – Algemene voorwaarden voor het opleggen van administratieve geldboeten.
  3. Zaak C-492/23 – Russmedia
    • Waar de zaak over gaat: Het HvJ-EU moet een onderscheid maken tussen de kwalificatie als verwerker of verwerkingsverantwoordelijke in de context van opslag en hosting van online informatie, om in het licht van deze verduidelijking te bepalen wat hun verplichtingen onder de GDPR zijn. Het Hof zal onder meer bepalen in hoeverre verwerkingsverantwoordelijken verantwoordelijk zijn voor (i) het verifiëren van de identiteit van de persoon die advertenties plaatst en voor het uitvoeren van voorafgaande controles van de inhoud van advertenties die mogelijk onwettig zijn of het privé- en gezinsleven van een persoon kunnen schenden, alsmede voor (ii) het implementeren van technische maatregelen om ongeoorloofd kopiëren en herdistribueren van die advertenties te voorkomen.
    • Mogelijke praktische implicaties: Indien het Hof het standpunt van de Advocaat-Generaal overneemt, zouden opslag- en hostingproviders in het licht van de GDPR als verwerkers worden beschouwd met betrekking tot de door gebruikers geplaatste advertenties, en derhalve niet verplicht zijn om de inhoud van de advertenties proactief te monitoren of technische maatregelen te implementeren om kopiëren of herdistributie te voorkomen, waardoor hun verantwoordelijkheden voor door gebruikers gegenereerde inhoud worden beperkt. Voor geregistreerde gebruikers/adverteerders zouden de platformbeheerders echter als verwerkingsverantwoordelijken optreden en moeten zij hun identiteit verifiëren, alsmede voldoen aan de verplichtingen die de GDPR voor verwerkingsverantwoordelijken vastlegt met betrekking tot hen, zoals het zorgen voor een geldige rechtsgrond voor verwerking, het verstrekken van duidelijke privacyverklaringen en het toepassen van adequate beveiligingsmaatregelen.
  4. Zaak C-413/23 P – EDPS t. SRB (Europees Toezichthouder voor gegevensbescherming t. Single Resolution Board)
    • Waar de zaak over gaat: De zaak betreft de situatie waarin alleen de verwerkingsverantwoordelijke die bepaalde gepseudonimiseerde informatie openbaar maakt, in staat is de betrokkenen te identificeren, terwijl dit niet mogelijk is voor de ontvanger van dergelijke informatie. De door de openbaar makende verwerkingsverantwoordelijke gepseudonimiseerde informatie kan dus niet door de ontvanger worden gecorreleerd met aanvullende informatie die betrokkenen zou identificeren. Verwacht wordt dat het Hof in deze zaak onder meer zal verduidelijken of de aan betrokkenen verstrekte privacyverklaring ook de openbaarmaking van dergelijke gepseudonimiseerde informatie aan de ontvanger, voor wie dergelijke informatie geen persoonsgegevens zijn, moet dekken.
    • Mogelijke praktische implicaties: Indien het HvJ-EU het standpunt van de Advocaat-Generaal volgt dat gepseudonimiseerde gegevens persoonsgegevens zijn, moeten organisaties dergelijke gegevens behandelen als volledig onderworpen aan de gegevensbeschermingsregels, zelfs wanneer ze worden gedeeld met derden die betrokkenen niet direct opnieuw kunnen identificeren. Dit betekent dat zij moeten voldoen aan transparantieverplichtingen, waaronder het informeren van betrokkenen over de openbaarmaking van hun persoonsgegevens, het identificeren van alle categorieën ontvangers en ervoor zorgen dat deze informatie duidelijk en op een efficiënte manier wordt verstrekt.

Conclusie en aanbevelingen

De rechtspraak van het Hof van Justitie van de EU blijft een dynamische en richtinggevende factor in de interpretatie en toepassing van de GDPR. De hierboven besproken arresten en de nog te verwachten uitspraken onderstrepen het belang voor elke organisatie om haar gegevensverwerkingsactiviteiten continu te evalueren en aan te passen aan de evoluerende juridische normen.

Het correct interpreteren van deze uitspraken en het vertalen ervan naar concrete actiepunten binnen uw organisatie kan complex zijn. Een proactieve benadering van gegevensbescherming is echter niet alleen een wettelijke verplichting, maar draagt ook bij aan het vertrouwen van uw klanten en relaties.

Heeft u vragen over de impact van deze arresten op uw specifieke situatie of wenst u begeleiding bij het optimaliseren van uw GDPR-compliance? Ons team van gespecialiseerde advocaten staat klaar om u met deskundig advies bij te staan. Neem gerust contact met ons op voor een vrijblijvend gesprek.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

GDPR

EDPB adviezen: bindend of slechts indicatief?

Inleiding Op 29 april 2025 heeft het Gerecht van de Europese Unie een uitspraak gedaan in de zaak T-319/24, waarin technologiegigant Meta Platforms Inc. een beroep had ingesteld tegen het Advies 08/2024 over geldige...

Joris Deene
2 maanden geleden
237 keer bekeken

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics