Downloads
Blog
Wie we zijn
Onze klanten
Neem contact op
Software
Advies
Training en E-learning

Samengevat: privacyhighlights van 2024

January 14, 2025
Blog overview
/
Samengevat: privacyhighlights van 2024
Extraterritoriale boetes, de invoering van de AI-verordening en discussies over digitale soevereiniteit zijn slechts enkele van de veelbesproken privacyonderwerpen van 2024. Alweer vergeten wat er het afgelopen jaar allemaal is gebeurd? Deze blog praat je bij over de spraakmakende privacygebeurtenissen van 2024.

Opmerkelijk nieuws en spraakmakende rechtzaken

In augustus 2024 zorgde de arrestatie van Pavel Doerov voor opschudding. De Telegram CEO werd aangeklaagd voor het onvoldoende tegengaan van criminaliteit dat werd gefaciliteerd via het berichtenplatform. Telegram stond bekend om zijn weerstand tegen het voldoen aan verzoeken van wetshandhavers en profileerde zichzelf als een beschermer van vrije meningsuiting.1 De arrestatie riep vragen op over de balans tussen privacy en openbare veiligheid, en de grenzen van vrijheid van meningsuiting. Uiteindelijk leidde dit ertoe dat Telegram zijn privacybeleid aanpaste om samenwerking met de autoriteiten in bepaalde gevallen mogelijk te maken.

Later in het jaar sprak het Hof van Justitie van de Europese Unie (HvJ) zich uit over targeted advertising in een zaak tegen Meta.2 Kort samengevat oordeelde het Hof dat het aggregeren, analyseren en verwerken van alle persoonsgegevens die een verwerkingsverantwoordelijke heeft verzameld, niet in overeenstemming is met het beginsel van dataminimalisatie. Bovendien leidde het feit dat Schrems zich had uitgesproken over zijn seksuele geaardheid tijdens een openbaar panel er niet toe dat Facebook andere gegevens met betrekking tot zijn geaardheid mocht verwerken (met als doel hem gepersonaliseerde reclame aan te bieden).3 Deze uitspraak heeft gevolgen voor alle andere advertentiebedrijven die verzamelde gegevens niet verwijderen – zij mogen niet zomaar alle persoonsgegevens die ze hebben gebruiken voor advertentiedoeleinden.

Na een langdurende discussie binnen Nederland oordeelde het Hof dat een louter commercieel belang kan worden aangemerkt als een gerechtvaardigd belang.4 Dit staat haaks op het standpunt dat de Autoriteit Persoonsgegevens eerder had ingenomen, namelijk dat zuiver commerciële belangen geen gerechtvaardigd belang konden vormen.5 Het hof liet ook weten dat het gerechtvaardigd belang niet bij wet hoeft te worden bepaald om rechtmatig te zijn. Goed om te weten!

Een ander belangrijk onderwerp in Nederland het afgelopen jaar was digitale soevereiniteit. Nu de zorgen over de afhankelijkheid van het land van buitenlandse cloudproviders groeit, heeft de regering aangekondigd in 2025 een herziening van het Rijksbrede cloudbeleid te introduceren. Het nieuwe beleid zal onder andere inzoomen op digitale soevereiniteit en uitdagingen die voortkomen uit AI en andere nieuwe technologieën.6

Toestemming geven of betalen – mag dat?

Internetgebruikers zullen het dit jaar vaker hebben gezien – een pop-up die ze de keuze biedt om óf toestemming te geven voor hun persoonsgegevens voor gerichte reclame, óf te betalen om toegang te krijgen tot de dienst zonder dergelijke gegevensverwerkingen. Deze praktijk, vaak ‘pay or okay’ genoemd, is zeer omstreden en roept de vraag op wat vrije en geldige toestemming is onder de AVG. De EDPB heeft een advies (opinion) uitgebracht over deze kwestie, waarin wordt gesteld dat ‘pay or okay’-modellen over het algemeen niet voldoen aan de eisen voor geldige toestemming onder de AVG. Online platforms worden geadviseerd om een derde optie aan te bieden: een ‘gelijkwaardig alternatief’ van de dienst zonder gepersonaliseerde reclame.7 Zowel online platforms als andere belanghebbenden wachten met nieuwsgierigheid aankomende EDPB richtlijnen af die het standpunt verder zullen verduidelijken.

Boete of geen boete…

Europese gegevensbeschermingsautoriteiten hebben ten minste 510 boetes uitgegeven in 2024.8 De top 3 hoogste boetes:

  1. Een boete van 310 miljoen euro voor LinkedIn voor het niet hebben van een geldige grondslag voor het verwerken van persoonsgegevens voor gepersonaliseerde advertentiedoeleinden, opgelegd door de Ierse gegevensbeschermingsautoriteit.
  2. Een boete van 290 miljoen euro voor Uber voor de doorgifte van persoonsgegevens van Europese chauffeurs naar de VS zonder voldoende waarborgen, opgelegd door AP.
  3. Een boete van 251 miljoen euro voor Meta voor het nemen van onvoldoende technische en organisatorische maatregelen om voldoende beveiliging te garanderen, opgelegd door de Ierse gegevensbeschermingsautoriteit.

Een andere opmerkelijke boete is de boete van 30,5 miljoen euro die de AP heeft opgelegd aan Clearview AI, waaruit blijkt hoe lastig het is om de AVG extraterritoriaal te handhaven. Lees hier wat we erover schreven.

Niet alleen commerciële bedrijven, maar ook de Europese Commissie heeft te maken gehad met toezichthoudende maatregelen. The European Data Protection Supervisor (EDPS) heeft op grond van de “EU GDPR”9 een formele waarschuwing gegeven aan de Europese Commissie voor politieke micro-targeting. De Europese Commissie gebruikte bijzondere persoonsgegevens over de politieke voorkeuren van burgers om reclame op hen te richten, en probeerde zo de politieke opvattingen in Nederland te beïnvloeden. De EDPS besloot geen boete uit te geven, omdat de Europese Commissie al was gestopt.10

2024 bij Privacy Company

Oef, en dat was nog niet eens alles wat er in 2024 gebeurde. Gelukkig kregen we bij Privacy Company nog steeds dingen gedaan tussen alle nieuwsberichten door. Zo hebben we DPIA’s voor SURF en Rijk over Copilot afgerond, trainingen over AI gegeven, studenten verwelkomd op onze inhousedagen en ons 10-jarig bestaan gevierd!

Wat staat ons te wachten in 2025?

Aankomend jaar kunnen we uitkijken naar EDPB richtlijnen over consent or pay, de gedeeltelijke implementatie van de AI-verordening en de nationale invoering van verschillende andere EU-richtlijnen en -verordeningen in Nederland. Gelukkig hoef je niet alle ontwikkelingen zelf bij te houden.

Iemand nodig die op de hoogte is van alles wat met privacy te maken heeft, geïnteresseerd in een training of nieuwsgierig naar een van onze andere diensten? Bekijk ons aanbod en aarzel niet om contact met ons op te nemen!


 

1 NRC, Telegram-oprichter Doerov in staat van beschuldiging gesteld, 28 augustus 2024, URL: https://www.nrc.nl/nieuws/2024/08/28/telegram-oprichter-pavel-doerov-voorgeleid-ook-arrestatiebevel-voor-doerovs-broer-a4864045.

2 CJEU, C-6446/21, Maximilian Schrems v Meta Platforms Ireland Limited, formerly Facebook Ireland Limited (October 4th, 2024)

3 Court of Justice of the European Union, PRESS RELEASE No 166/24, URL: https://noyb.eu/sites/default/files/2024-10/CP240166EN.pdf.

4 CJEU, C-621/22, Koninklijke Nederlandse Lawn Tennisbond v Autoriteit Persoonsgegevens (October 4th, 2024)

5 Autoriteit Persoonsgegevens, Normuitleg grondslag ‘gerechtvaardigd belang’, URL: https://autoriteitpersoonsgegevens.nl/uploads/imported/normuitleg_gerechtvaardigd_belang.pdf.

6 Kamerbrief, Evaluatie Rijksbreed Cloudbeleid, 16 oktober 2024, URL: https://open.overheid.nl/documenten/4a4f7ec7-a241-46bc-94a5-cb4c1587a974/file.

7 EDPB, Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms, adopted on 17 April 2024.

8 GDPR Enforcement Tracker, URL: https://www.enforcementtracker.com/, last accessed January 7th, 2025.

9 Regulation (EU) 2018/1727.

10 Noyb, Political Microtargeting by EU Commission illegal, 13 december 2024, URL: https://noyb.eu/en/political-microtargeting-eu-commission-illegal

Download
Suzette
Adviseur
Den Haag
Maanweg 174
2516 AB Den Haag
+31 708209690
info@privacycompany.nl
Berlijn
Friedrichstrasse 68
1017 Berlijn
+49 16098404354
info@privacycompany.nl
© Privacy Company
ImpressumPrivacyverklaringCookieverklaring