HvJ EU: exploitant online marktplaats is verwerkingsverantwoordelijke voor advertenties met persoonsgegevens
In de zaak Russmedia (C‑492/23) heeft het Hof van Justitie van de EU op 2 december 2025 geoordeeld dat de exploitant van een online marktplaats als verwerkingsverantwoordelijke in de zin van de AVG moet worden aangemerkt voor persoonsgegevens in advertenties die gebruikers op het platform plaatsen. Het HvJEU oordeelde dat de exploitant en de adverteerder als gezamenlijke verwerkingsverantwoordelijken optreden wanneer de exploitant invloed uitoefent op het doel van de verwerking door het platform beschikbaar te stellen en commercieel te exploiteren. De exploitant moet vóór publicatie passende technische en organisatorische maatregelen nemen om advertenties met bijzondere persoonsgegevens te identificeren, te verifiëren of de adverteerder de betrokkene is, en publicatie te weigeren indien de betrokkene geen uitdrukkelijke toestemming heeft gegeven. Het Hof benadrukt dat de exploitant zich bij schending van deze verplichtingen niet kan beroepen op de aansprakelijkheidsvrijstellingen voor hostingdiensten uit de e-Commercerichtlijn (thans neergelegd in de Digital Services Act).
Rechtbank Limburg: misbruik van recht bij AVG-inzageverzoek
In een uitspraak van de Rechtbank Limburg van 16 januari 2026 is geoordeeld dat een bestuursrechtelijk beroep in een AVG-inzagezaak niet-ontvankelijk is wegens misbruik van recht. De eiser verzocht om inzage in een e-mailwisseling tussen het ministerie van Binnenlandse Zaken en de gemeente Nederweert, maar de rechtbank concludeerde, op eigen initiatief (ambtshalve), dat het verzoek feitelijk tot doel had een al jaren slepend conflict over zijn ontslag voort te zetten, en niet om zijn rechten onder de AVG uit te oefenen. De rechtbank wees erop dat eiser al bij eerdere uitspraken voor misbruik van procesrecht was veroordeeld en dat zijn beroepsgronden niet waren gericht op de weigeringsgronden van het inzageverzoek, maar op het aantonen dat de minister de Tweede Kamer onjuist zou hebben geïnformeerd. Deze uitspraak bevestigt dat de bevoegdheid tot het indienen van AVG-verzoeken en beroepsprocedures niet mag worden misbruikt voor doeleinden waarvoor zij niet zijn bedoeld.
AP beboet tien gemeenten voor bezitten onderzoeksrapport
De Autoriteit Persoonsgegevens (AP) heeft op 5 februari 2026 tien Nederlandse gemeenten een boete opgelegd van in totaal 250.000 euro wegens het verwerken van gevoelige persoonsgegevens van islamitische inwoners (verkregen van een onafhankelijk onderzoeksbureau dat de gemeenten hadden ingeschakeld). Het betreft de gemeenten Delft, Ede, Eindhoven, Gooise Meren, Haarlemmermeer, Hilversum, Huizen, Tilburg, Veenendaal en Zoetermeer, die zonder wettelijke grondslag rapporten in bezit hadden met daarin persoonsgegevens over geloofsovertuiging en politieke voorkeuren van moskeegangers. De boetes zien nadrukkelijk alleen op het bezit en niet op het uitvoeren van het onderzoek zelf. De rapporten, opgesteld via zogenoemde ‘krachtenveldanalyses’, bevatten foto’s, namen, familiegegevens en persoonlijke profielen. De gemeenten erkennen de overtredingen en hebben stappen ondernomen om de relatie met de getroffen gemeenschappen te herstellen.
AP kritisch op zelfontwikkelde applicaties Belastingdienst: risico’s voor burgers
De Autoriteit Persoonsgegevens heeft op 13 februari 2026 ernstige kritiek geuit op de honderden ‘Lokaal Ontwikkelde Applicaties’ (LOA’s) die de Belastingdienst buiten de reguliere IT-kaders om heeft gebouwd en gebruikt. Dit blijkt uit een item op de website Security.nl. Volgens de AP voldoen deze applicaties onvoldoende aan privacy- en beveiligingseisen uit de AVG: er is geen overzicht van de mate van compliance, 65 procent beschikt over een ongecontroleerde exportfunctie, voor minder dan de helft is een risicoanalyse uitgevoerd, en logging en monitoring ontbreken vrijwel volledig. Burgers lopen hierdoor het risico dat hun persoonsgegevens langer worden bewaard dan noodzakelijk, onvoldoende worden beveiligd of dat verouderde gegevens leiden tot onjuiste beslissingen. Demissionair staatssecretaris Heijnen heeft toegezegd een plan van aanpak op te stellen om de LOA’s terug te dringen en de Tweede Kamer periodiek te informeren over de voortgang.
Adequaatheidsbesluit Brazilië voor vrij verkeer van persoonsgegevens
De Europese Commissie heeft een adequaatheidsbesluit voor Brazilië gepubliceerd op grond van artikel 45 AVG. De Commissie erkent hiermee dat Brazilië een beschermingsniveau voor persoonsgegevens biedt dat in wezen gelijkwaardig is aan dat van de Europese Unie. Dit gebeurde op 26 januari 2026. Brazilië heeft op dezelfde dag een spiegelbeeldig besluit genomen voor de EU. Het gevolg hiervan is dat persoonsgegevens voortaan vrij kunnen worden uitgewisseld tussen de EU en Brazilië, zonder dat aanvullende instrumenten zoals modelcontractbepalingen (SCC’s) nodig zijn. Hiermee is volgens de Europese Commissie het grootste gebied ter wereld gecreëerd voor veilige grensoverschrijdende datastromen, dat meer dan 670 miljoen personen bestrijkt. De Commissie zal het adequaatheidsbesluit om de vier jaar evalueren. Voor organisaties die gegevens uitwisselen met Brazilië is het raadzaam om hun gegevensstromen in kaart te brengen en bestaande verwerkersovereenkomsten en privacybeleid te actualiseren.