Current events, updates, and developments in data protection law
De Autoriteit Persoonsgegevens (AP) waarschuwt gebruikers en organisaties voor het gebruik van OpenClaw en soortgelijke experimentele systemen. De aanleiding is de hoge snelheid waarmee OpenClaw populair is geworden. Dit soort open source-systemen voldoen al snel niet aan basisveiligheidseisen. Het gebruik van dergelijke experimentele AI-agents brengt grote risico’s met zich mee, zoals datalekken en accountovernames.
De Autoriteit Persoonsgegevens (AP) legt tien gemeenten een boete op van in totaal 250.000 euro. De reden is dat zij dossiers met gevoelige informatie over islamitische inwoners hebben verwerkt, zonder dat deze inwoners dat wisten. De gemeenten hebben daarmee de Algemene verordening gegevensbescherming (AVG) overtreden. Zij mochten deze informatie niet hebben. Ook hebben zij hiermee gegevens over de religie en politieke voorkeuren van mensen verwerkt, terwijl dit vrijwel altijd verboden is.
De Autoriteit Persoonsgegevens (AP) presenteert vandaag de visie van de AP op generatieve artificiële intelligentie (AI). Daarin schetst de toezichthouder hoe generatieve AI veilig, verantwoord en in lijn met grondrechten kan worden ingezet. De AP kijkt vooruit en ziet mogelijkheden, maar waarschuwt tegelijk voor reële maatschappelijke risico’s.
De Autoriteit Persoonsgegevens (AP) heeft de eerder gepubliceerde leidraad voor gerichte politieke online reclame aangepast. Hierin is nu de input verwerkt van organisaties die reageerden op de consultatie van de leidraad.
De European Data Protection Board (EDPB) en de European Data Protection Supervisor (EDPS) hebben een gezamenlijke opinie gepubliceerd over het voorstel van de Europese Commissie om de uitvoering van de AI-verordening te vereenvoudigen. Dit voorstel wordt ook wel de ‘Digital Omnibus on AI’ genoemd.
De Autoriteit Persoonsgegevens (AP) stelt drie prioriteiten centraal voor de periode 2026-2028: massasurveillance, artificiële intelligentie (AI) en digitale weerbaarheid. Met deze prioriteiten wil de AP mensen nog beter beschermen in een verder digitaliserende wereld. Het jaarplan 2026 beschrijft welke stappen de AP dit jaar gaat zetten binnen deze prioriteiten.
De Autoriteit Persoonsgegevens (AP) vindt dat onvoldoende is aangetoond dat buitengewoon opsporingsambtenaren (boa’s) in het openbaar vervoer toegang nodig hebben tot pasfoto’s in het rijbewijsregister. Dat schrijft de AP in een toets van een wetsvoorstel van het ministerie van Infrastructuur en Waterstaat. De toegang tot pasfoto’s zou boa’s moeten helpen sneller vast te stellen wie iemand is, bijvoorbeeld bij handhaving tegen overlast of zwartrijden.
Op de Europese dag van de privacy op 28 januari organiseerde de Autoriteit Persoonsgegevens (AP) een sessie met jongeren. Afgevaardigden van verschillende jongerenpartijen en -verenigingen kwamen langs bij de AP om te praten over privacy-onderwerpen die jongeren en jongvolwassenen bezighouden.
Permanent cameratoezicht op de vaste werkplek van werknemers is niet toegestaan. Camera’s mogen alleen worden ingezet als dat strikt noodzakelijk is, bijvoorbeeld voor veiligheid bij incidenten, en niet om werknemers structureel te volgen of te beoordelen. Dat geldt ook als camerabeelden alleen achteraf worden bekeken. Dat benadrukt de Autoriteit Persoonsgegevens (AP) na een klacht en gesprekken met openbaarvervoerbedrijf Arriva over het gebruik van camera’s in hun bussen.
Gemeenten vinden het lastig om misbruik van persoonsgegevens door eigen ambtenaren te signaleren. Het gaat dan bijvoorbeeld om ambtenaren die onder druk informatie verstrekken aan criminelen. Dit soort datalekken komt meestal pas aan het licht als de Rijksrecherche of een inwoner de gemeente erop wijst. Gemeenten die het misbruik wel ontdekken, melden zo’n datalek regelmatig niet aan de Autoriteit Persoonsgegevens (AP), terwijl dat wel zou moeten.
Online stores are generally not allowed to require customers to create an account before they can make a purchase. This is according to new recommendations from the European Data Protection Board (EDPB). Mandatory accounts have long been a source of numerous complaints to data protection authorities in several EU countries. Therefore, the EDPB clarifies that a mandatory account for an online purchase is usually unnecessary and may violate privacy regulations.
Webshops mogen klanten meestal niet verplichten eerst een account aan te maken voordat zij iets kunnen kopen. Dat blijkt uit nieuwe aanbevelingen van de European Data Protection Board (EDPB). Verplichte accounts leiden in meerdere EU-landen al langere tijd tot veel klachten bij privacytoezichthouders. Daarom verduidelijkt de EDPB dat een verplicht account voor een online aankoop meestal niet nodig is en in strijd kan zijn met de privacyregels.
De Autoriteit Persoonsgegevens (AP) legt HAN University of Applied Sciences (HAN) een boete op van 175.000 euro voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de HAN in het verleden onvoldoende maatregelen heeft genomen om persoonsgegevens van onder meer studenten en werknemers goed te beveiligen.
The Dutch Data Protection Authority (AP) has fined HAN University of Applied Sciences (HAN) €175,000 for violating the General Data Protection Regulation (GDPR). An investigation by the AP revealed that HAN had previously failed to implement adequate measures to properly protect personal data, including data belonging to students and employees.
TikTok continues to send user data, including to China. This practice contradicts a joint decision by European data protection authorities, who have determined that the transfer of this data is unlawful. Since yesterday, TikTok has been displaying a warning to users about how the company handles their data. The Dutch Data Protection Authority (AP) emphasizes the importance of people understanding what this means for their privacy.
TikTok blijft voorlopig data van gebruikers naar onder meer China sturen. Het bedrijf gaat daarmee in tegen een gezamenlijk besluit van de Europese privacytoezichthouders, die hebben bepaald dat het doorgeven van de data onrechtmatig is. TikTok toont sinds gisteren een waarschuwing aan gebruikers over wat het bedrijf met de data doet. De Autoriteit Persoonsgegevens (AP) vindt het belangrijk dat mensen begrijpen wat dit betekent voor hun privacy.
De komende maanden gaat de Autoriteit Persoonsgegevens (AP) steekproefsgewijs zorgaanbieders bezoeken, zoals ziekenhuizen of huisartsenposten. De AP wil controleren hoe zij omgaan met informatie over patiënten en cliënten, waaronder gevoelige gegevens over hun gezondheid. Ook geeft de AP voorlichting over de regels en hoe zorgaanbieders daaraan moeten voldoen.
Over the coming months, the Dutch Data Protection Authority (AP) will be conducting random inspections of healthcare providers, such as hospitals and primary care centers. The AP aims to assess how these organizations handle information about patients and clients, including sensitive data related to their health. Furthermore, the AP will provide information about the relevant regulations and how healthcare providers must comply with them.
"Use cookies wisely." With this message, the Dutch Data Protection Authority (AP) is launching a three-week public awareness campaign, urging organizations to review their cookie policies. The campaign will be broadcast on the radio and displayed on websites, in newspapers, and in various industry publications.
“Ga slim om met cookies.” Met die boodschap start de Autoriteit Persoonsgegevens (AP) een 3 weken durende publiekscampagne, waarmee de AP organisaties oproept hun cookiebeleid onder de loep te nemen. De campagne is te horen op de radio en te zien op websites, in kranten en in diverse vakbladen.
Sinds september 2025 is de Dataverordening van kracht. Deze nieuwe Europese regelgeving moet consumenten binnen de EU meer controle geven over het gebruik van hun data. In Nederland wordt vanaf nu ook toezicht gehouden op de naleving van de Dataverordening, want op 21 november is de Uitvoeringswet dataverordening in werking getreden. In Nederland houden de Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP) toezicht.
Since September 2025, the General Data Protection Regulation (GDPR) has been in effect. This new European regulation aims to give consumers within the EU more control over the use of their data. In the Netherlands, enforcement of the GDPR has also begun, as the Implementation Act for the GDPR came into force on November 21st. In the Netherlands, the Authority for Consumers and Markets (ACM) and the Data Protection Authority (AP) are responsible for monitoring compliance.
The Dutch Data Protection Authority (AP) has taken note of the official Omnibus proposal from the European Commission. The Commission states that it intends to amend various laws, including the General Data Protection Regulation (GDPR) and the AI Regulation, in order to simplify digital regulations. This objective is understandable, as long as it does not infringe upon the rights of individuals.
De Autoriteit Persoonsgegevens (AP) heeft kennisgenomen van het officiële Omnibusvoorstel van de Europese Commissie. De Commissie zegt hiermee verschillende wetten, waaronder de Algemene verordening gegevensbescherming (AVG) en de AI-verordening, te willen aanpassen om digitale regelgeving te vereenvoudigen. Dat streven is te begrijpen, zolang het de rechten van mensen niet aantast.
The government intends to use information available online about citizens for the purpose of oversight and enforcement. This involves collecting personal data through so-called open-source intelligence (OSINT) research. This is evident from various legislative proposals. The Data Protection Authority (AP) sees significant risks for individuals.
De overheid wil informatie op internet over burgers gebruiken voor de uitvoering van toezicht en handhaving. Het gaat om het verzamelen van persoonsgegevens via zogeheten open source intelligence onderzoek (OSINT). Dat blijkt uit diverse wetgevingsvoorstellen. De Autoriteit Persoonsgegevens (AP) ziet grote risico’s voor mensen.
Many organizations want to handle personal data responsibly, but they often find it difficult to properly implement privacy regulations in practice. Therefore, the European Data Protection Board (EDPB) is asking organizations, particularly small and medium-sized enterprises (SMEs), to contribute ideas for practical tools and resources.
Veel organisaties willen zorgvuldig omgaan met persoonsgegevens, maar vinden het in de praktijk lastig om de privacyregels goed toe te passen. Daarom vraagt de European Data Protection Board (EDPB) organisaties – vooral uit het mkb – om mee te denken over praktische hulpmiddelen.
Well-drafted data processing agreements between organizations help to effectively manage and, in some cases, even prevent cyberattacks. This strengthens the digital resilience of victims of data breaches. However, the Dutch Data Protection Authority (AP) observes that good agreements are often lacking. Based on its research, the AP is therefore providing organizations with three recommendations for creating strong data processing agreements.
Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen. Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom drie aanbevelingen voor sterke verwerkersovereenkomsten.