Aantal privacyklachten sterk gestegen
De Autoriteit Persoonsgegevens (AP) ontving in 2025 13.517 klachten en tips over mogelijke overtredingen van de privacywetgeving. Dat is ongeveer 75 procent meer dan in 2024, toen de AP 8.521 klachten en tips ontving. De cijfers staan in de Rapportage klachten 2025.
Veel klachten gingen over organisaties die mensen niet of niet op tijd informeren over de persoonsgegevens die zij verwerken. Ook kwamen veel klachten binnen over organisaties die niet reageren op inzageverzoeken of gegevens niet willen verwijderen als mensen daarom vragen. De AP werkt aan plannen om organisaties die niet reageren op inzageverzoeken direct te beboeten.
Het grootste aantal klachten had betrekking op de zorg. Meer dan de helft van die zorgklachten hield verband met het datalek bij Clinical Diagnostics. Daarna volgden klachten over zakelijke dienstverleners en overheidsorganisaties. Bij klachten over de overheid ging het onder meer om situaties waarin persoonsgegevens volgens klagers zonder geldige reden werden verwerkt.
De AP beoordeelt elke klacht en kijkt daarbij ook naar bredere patronen. In ongeveer een derde van de klachten kon de toezichthouder ingrijpen door de regels uit te leggen aan een organisatie of door te helpen bij een oplossing tussen beide partijen. Daarnaast deed de AP 29 verdiepende onderzoeken naar klachten over Nederlandse organisaties. Door de sterke toename blijven wachttijden bij de afhandeling een aandachtspunt.
Code AI-gegenereerde inhoud gepubliceerd
De Europese Commissie heeft een definitieve praktijkcode voor markering en etikettering van door AI gegenereerde inhoud gepubliceerd. De code is bedoeld voor aanbieders en gebruikers van generatieve AI-systemen en sluit aan bij transparantieverplichtingen uit de AI-verordening.
Vanaf 2 augustus 2026 gelden onder de AI-verordening nieuwe regels over transparantie bij AI-systemen. Gebruikers moeten dan in bepaalde gevallen kunnen herkennen dat zij met een AI-systeem communiceren of dat beeld, geluid, video of tekst kunstmatig is gegenereerd of gemanipuleerd.
De code geeft praktische stappen voor situaties waarin duidelijk moet worden gemaakt dat content met AI is gegenereerd of bewerkt. Dat speelt bijvoorbeeld bij deepfakes, AI-gemanipuleerde tekst over onderwerpen van publiek belang en interacties met chatbots of andere interactieve AI-systemen.
De Commissie heeft daarnaast informatie gepubliceerd over EU-iconen voor het labelen van AI-content en over de manier waarop partijen de code kunnen ondertekenen. Daarmee biedt de code een praktisch hulpmiddel voor organisaties die zich voorbereiden op de transparantieverplichtingen uit de AI-verordening.
Datalektemplate in consultatie
De European Data Protection Board (EDPB) heeft een template voor datalekmeldingen in consultatie gebracht. De template moet privacytoezichthouders helpen om meldingen van datalekken op een meer uniforme manier te ontvangen en te verwerken.
Onder de Algemene verordening gegevensbescherming (AVG) moeten organisaties een datalek melden bij de toezichthouder wanneer dat lek waarschijnlijk een risico oplevert voor de rechten en vrijheden van personen. In de praktijk verschillen meldformulieren en uitvraagstructuren per lidstaat. De EDPB wil met de template meer samenhang brengen in de gegevens die organisaties bij een melding moeten aanleveren.
De template is vooral ontworpen om door toezichthouders te worden verwerkt in digitale meldsystemen. Daarbij wordt gewerkt met vooraf ingevulde antwoordopties, toelichtingen en vragen die alleen verschijnen wanneer ze voor de melding relevant zijn. Dat moet organisaties helpen om een melding vollediger en consistenter in te dienen.
De consultatie loopt tot en met 5 augustus 2026. Daarna beoordeelt de EDPB de reacties en besluit zij hoe de template beschikbaar wordt gemaakt voor gebruik door nationale privacytoezichthouders.
Klacht tegen pay-or-okay bij Schibsted
De Noorse Consumentenraad heeft samen met privacyorganisatie noyb een klacht ingediend tegen mediaconcern Schibsted. De klacht gaat over een pay-or-okay-model waarbij lezers moeten kiezen tussen tracking voor gepersonaliseerde advertenties of betalen om die tracking te vermijden.
Schibsted is eigenaar van verschillende Noorse media, waaronder VG en Aftenposten. Volgens de Noorse Consumentenraad moeten gebruikers tot 49 Noorse kronen per maand betalen als zij niet willen dat hun persoonsgegevens worden gebruikt voor tracking en gepersonaliseerde marketing.
De klacht draait om de vraag of toestemming onder zulke omstandigheden nog vrij kan worden gegeven. Onder de AVG moet toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. De klagers stellen dat betalen om tracking te weigeren geen gelijkwaardig alternatief is voor toestemming voor commerciële gegevensverwerking.
Het onderwerp past in een bredere Europese discussie over consent-or-pay-modellen. Daarbij staat de vraag centraal of grote online diensten gebruikers daadwerkelijk een vrije keuze bieden wanneer privacyvriendelijk gebruik alleen beschikbaar is tegen betaling.
Europees toezicht op Eurodac uitgebreid
De European Data Protection Board (EDPB) heeft bekendgemaakt dat het gecoördineerde toezicht op Eurodac voortaan onder het Coordinated Supervision Committee (CSC) valt. Eurodac is de Europese databank voor asiel- en migratiegegevens.
Eurodac werd oorspronkelijk opgezet om vingerafdrukken van asielzoekers en bepaalde groepen mensen zonder geldige verblijfsstatus te registreren en binnen het Europese asiel- en migratiesysteem te vergelijken. Het systeem speelt een rol bij de toepassing van de Dublinregels, waarmee wordt bepaald welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek. In de loop der tijd is Eurodac uitgegroeid tot een bredere databank voor asiel- en migratiebeheer.
Het toezicht op de verwerking van persoonsgegevens in Eurodac is verdeeld over nationale privacytoezichthouders en de European Data Protection Supervisor (EDPS). Nationale toezichthouders houden toezicht op de verwerking door nationale autoriteiten en op de doorgifte naar de centrale Eurodac-databank. De EDPS houdt toezicht op de centrale verwerking en de doorgifte vanuit het centrale systeem naar lidstaten.
Met de uitbreiding van de rol van het CSC moet dat toezicht beter worden gecoördineerd. Het comité bestaat uit vertegenwoordigers van nationale privacytoezichthouders en de EDPS en houdt zich ook bezig met andere grootschalige Europese IT-systemen en EU-instanties.
Gemeenten moeten scanauto’s registreren
De Autoriteit Persoonsgegevens (AP) gaat vanaf 1 juli controleren of gemeenten de inzet van scanauto’s hebben opgenomen in het algoritmeregister. Dat volgt op een thematische studie waaruit bleek dat minder dan de helft van de onderzochte gemeenten de inzet van scanauto’s had geregistreerd.
Gemeenten gebruiken scanauto’s voor parkeerhandhaving. Daarbij worden kentekens gescand en worden algoritmes gebruikt om te bepalen of voor een parkeerplaats is betaald. Omdat hierbij persoonsgegevens worden verwerkt en geautomatiseerde controles plaatsvinden, moeten inwoners kunnen zien dat zulke systemen worden ingezet en waarvoor zij worden gebruikt.
Volgens de AP vraagt verantwoord gebruik van scanauto’s om meer dan technische controle alleen. Gemeenten moeten onder meer zicht hebben op de privacyrisico’s, de inrichting van het proces en de manier waarop fouten of onterechte boetes worden voorkomen. Ook moeten zij zelf een gegevensbeschermingseffectbeoordeling uitvoeren en kunnen zij niet volstaan met een beoordeling van een parkeerdienstverlener.
De controle richt zich specifiek op de registratie in het algoritmeregister. Daarmee wil de AP nagaan of gemeenten transparant zijn over de algoritmes die zij gebruiken bij parkeerhandhaving.
VK wil socialemediaverbod onder 16 jaar
De Britse regering wil socialemediabedrijven verbieden hun diensten aan kinderen onder de 16 jaar aan te bieden. Het plan volgt op de nationale consultatie Growing up in the online world, waarin de regering onderzocht hoe kinderen online beter kunnen worden beschermd.
Het voorstel gaat niet alleen over sociale media. De regering wil ook voorkomen dat kinderen onder de 16 toegang krijgen tot schadelijke functies op andere online diensten, waaronder gamingdiensten. Voor jongeren van 16 en 17 jaar moeten standaardbeperkingen gaan gelden voor schadelijke functies.
De Britse regering wil de maatregelen handhaven met strengere leeftijdscontroles. Ook wil zij voorkomen dat minderjarigen toegang krijgen tot AI-chatbots die primair seksuele content aanbieden. Andere AI-chatbots mogen kinderen geen functies aanbieden die seksueel expliciete content bevatten of seksuele rollenspellen mogelijk maken.
De consultatie liep van maart tot en met mei 2026. Volgens de Britse regering steunde een groot deel van de ouders en jongeren die deelnamen aan de consultatie aanvullende maatregelen voor sociale media en andere online diensten.
