Nieuwsbrief week 27 2026

Noyb vraagt Commissie om heroverweging EU–US Data Privacy Framework

Privacyorganisatie noyb heeft de Europese Commissie gevraagd het adequaatheidsbesluit voor het EU–US Data Privacy Framework te heroverwegen. Aanleiding is een recente uitspraak van het Amerikaanse Hooggerechtshof in de zaak Trump tegen Slaughter over de onafhankelijkheid van de Federal Trade Commission (FTC). Volgens noyb raakt die uitspraak aan een belangrijk fundament onder het framework, omdat de Europese Commissie bij het adequaatheidsbesluit mede steunt op de FTC als onafhankelijke toezichthouder.

Het EU–US Data Privacy Framework maakt sinds 2023 doorgifte van persoonsgegevens vanuit de Europese Unie naar gecertificeerde organisaties in de Verenigde Staten mogelijk zonder aanvullende waarborgen. Noyb stelt dat de FTC binnen dit stelsel een centrale toezicht- en handhavingsrol vervult en dat andere genoemde instanties die rol niet kunnen vervangen. Ook plaatst noyb vraagtekens bij andere toezichtmechanismen, zoals de Data Protection Review Court en de Privacy and Civil Liberties Oversight Board.

Het adequaatheidsbesluit blijft vooralsnog van kracht. Noyb vraagt de Commissie om een ordelijke intrekking met redelijke overgangstermijnen en kondigt aan het besluit zo nodig juridisch te zullen aanvechten. Daarmee wil noyb voorkomen dat organisaties opnieuw te maken krijgen met een plotselinge juridische breuk, zoals na de uitspraken Schrems I en Schrems II.

 

AP start consultatie over DPIA-uitzonderingen

Voor een aantal veelvoorkomende verwerkingen van persoonsgegevens hoeft mogelijk geen gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment, DPIA) meer te worden uitgevoerd. De Autoriteit Persoonsgegevens (AP) heeft hiervoor een conceptlijst gepubliceerd op grond van artikel 35, vijfde lid, van de Algemene verordening gegevensbescherming (AVG). De lijst bevat verwerkingen die onder specifieke voorwaarden zijn uitgezonderd van de DPIA-verplichting.

De uitzonderingen hebben onder meer betrekking op personeels- en salarisadministratie, de verwerking van klantgegevens voor reguliere bedrijfsactiviteiten, websitebezoeken, cameratoezicht door mkb-bedrijven, verwerkingen door solistisch werkende zorgverleners en bepaalde verwerkingen door onderwijsinstellingen, kinderopvangorganisaties, verenigingen en stichtingen. Voor alle categorieën geldt dat aan de gestelde voorwaarden moet worden voldaan. Daarnaast blijven andere verplichtingen uit de AVG van toepassing en kan op grond van andere wetgeving alsnog een DPIA verplicht zijn.

De AP heeft de conceptlijst in consultatie gebracht en nodigt belanghebbenden uit om hierop te reageren. Na verwerking van de reacties wordt de definitieve lijst vastgesteld. Vervolgens wordt deze voorgelegd aan het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB) voordat de lijst definitief wordt gepubliceerd.

 

Ministerie van Financiën publiceert terugblik op cyberincident

Ruim drie maanden na een ernstig cyberincident bij het ministerie van Financiën heeft minister Heinen de Tweede Kamer geïnformeerd over het verloop van het incident. Tegelijkertijd is een terugblik gepubliceerd waarin de afhandeling en de genomen maatregelen worden toegelicht. Inmiddels zijn de laatste beperkingen opgeheven en zijn de systemen van het beleidsdepartement weer volledig beschikbaar. De dienstverlening van de Belastingdienst, Douane en Toeslagen is tijdens het incident niet geraakt.

Uit het onderzoek blijkt dat de aanvaller via systemen van een externe leverancier toegang kreeg tot een onbekende kwetsbaarheid in de gebruikte software. Nadat het incident was ontdekt, werden direct maatregelen genomen om verdere toegang te voorkomen. Hoewel geen aanwijzingen zijn gevonden dat systemen zijn beschadigd, acht het ministerie gegevensdiefstal aannemelijk. Welke bestanden precies zijn buitgemaakt, is niet meer vast te stellen.

Tijdens de afhandeling van het incident werkte het ministerie samen met de leverancier, het Nationaal Cyber Security Centrum (NCSC), externe beveiligingsexperts en Team High Tech Crime van de politie. Daarnaast werden onder meer applicaties tijdelijk afgesloten, forensisch onderzoek uitgevoerd en de wachtwoorden van alle medewerkers van het beleidsdepartement preventief gereset. Het ministerie verwerkt de opgedane ervaringen in de continuïteits- en crisisplannen.

 

Cloudreuzen mogelijk DMA-gatekeeper

Onder de Digital Markets Act (DMA) kunnen grote digitale platformen als ‘gatekeeper’ worden aangewezen. Dat zijn bedrijven die door hun omvang en positie een belangrijke toegang vormen tussen zakelijke gebruikers en eindgebruikers. Voor gatekeepers gelden extra verplichtingen en beperkingen, zodat digitale markten eerlijker en beter toegankelijk blijven.

De Europese Commissie vindt voorlopig dat Amazon Web Services (AWS) en Microsoft Azure voor hun clouddiensten als gatekeeper moeten worden aangewezen. Volgens de Commissie spelen AWS en Azure een centrale rol op de Europese cloudmarkt, ook al voldoen zij niet aan de gebruikelijke kwantitatieve drempels voor aanwijzing.

De diensten hebben een grote en gevestigde gebruikersbasis, hoge overstapdrempels en maken deel uit van bredere digitale ecosystemen. Ook de opkomst van AI speelt mee: cloudinfrastructuur is nodig voor de ontwikkeling en inzet van AI-diensten, terwijl AWS en Azure volgens de Commissie veel van die groei binnen hun eigen ecosystemen weten vast te houden.

De Commissie onderzoekt sinds november 2025 of Amazon en Microsoft voor hun clouddiensten als gatekeeper moeten worden aangewezen. De voorlopige bevindingen betekenen nog niet dat Amazon en Microsoft definitief worden aangewezen. Beide bedrijven kunnen reageren op het standpunt van de Commissie. Als de Commissie haar oordeel handhaaft, krijgen Amazon en Microsoft zes maanden om hun clouddiensten in overeenstemming te brengen met de DMA-verplichtingen.

 

Handleiding Cbw-registratieplicht voor gemeenten

Gemeenten die onder de Cyberbeveiligingswet (Cbw) vallen, kunnen zich voorbereiden op de registratieplicht die met de nieuwe wet wordt ingevoerd. De Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) heeft een handleiding gepubliceerd waarmee gemeenten en verbonden organisaties hun registratie in het landelijke entiteitenregister kunnen voorbereiden.

De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn in Nederland. Organisaties die onder de wet vallen, moeten zich registreren en hun gegevens actueel houden. Voor gemeenten is die registratie onder meer van belang om waarschuwingen en dreigingsinformatie van het Nationaal Cyber Security Centrum (NCSC) te kunnen ontvangen.

Volgens de IBD is het raadzaam om de registratie al vóór de inwerkingtreding van de wet voor te bereiden. De Cyberbeveiligingswet treedt naar verwachting deze zomer in werking. Gemeenten kunnen daarbij gebruikmaken van de handleiding en van informatie van het NCSC en de Rijksinspectie Digitale Infrastructuur (RDI) over de registratie- en meldplicht.

De handleiding richt zich niet alleen op gemeenten zelf, maar ook op verbonden organisaties die mogelijk onder de Cbw vallen. Daarmee kunnen gemeentelijke organisaties alvast nagaan welke gegevens nodig zijn voor registratie en wie binnen de organisatie verantwoordelijk is voor het actueel houden daarvan.

 

EDPB en AMLA starten ontwikkeling gezamenlijke richtsnoeren voor informatie-uitwisseling

Het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB) en de Europese Autoriteit voor de bestrijding van witwassen en terrorismefinanciering (Anti-Money Laundering Authority, AMLA) gaan gezamenlijk richtsnoeren ontwikkelen voor zogenoemde partnerships for information sharing. Deze samenwerkingsverbanden maken het voor meldingsplichtige instellingen mogelijk om onder voorwaarden informatie uit te wisselen ter voorkoming van witwassen en terrorismefinanciering.

De gezamenlijke richtsnoeren vloeien voort uit de nieuwe Europese antiwitwasregels en moeten duidelijkheid geven over de toepassing van de Algemene verordening gegevensbescherming (AVG) bij deze vorm van gegevensuitwisseling. De EDPB en AMLA willen hiermee zorgen voor een consistente uitleg van de privacyregels binnen de Europese Unie en organisaties ondersteunen bij de praktische uitvoering van de nieuwe regelgeving.

De richtsnoeren worden ontwikkeld in aanloop naar de toepassing van de bepalingen over deze informatie-uitwisselingspartnerschappen, die vanaf juli 2027 gaan gelden. Tot die tijd werken beide Europese autoriteiten gezamenlijk aan een geharmoniseerde uitleg van de privacy- en antiwitwasregels.

Delen: