Nieuws & Blogs

Waarom generieke AI voor de meeste juristen meer dan genoeg is

Mark Zijlstra — Thu, 09 Apr 2026 16:02:39 GMT

Stel je voor: een advocaat die geen Harvey gebruikt, geen CoCounsel, geen Spellbook. Gewoon Claude, de generieke tool van Anthropic, maar dan zó geconfigureerd dat het precies weet hoe hij juridisch werk benadert. Klinkt als een compromis. Maar uit de praktijk blijkt steeds vaker dat het geen compromis is. Het is in sommige gevallen zelfs de betere keuze.

De juridische AI-markt heeft de afgelopen jaren een duidelijk narratief neergezet: juristen hebben AI nodig die speciaal voor hen is gebouwd. Met juridische datasets getraind, op het klantdossier afgestemd, volledig geïntegreerd met de contractenbibliotheek. Dat verhaal is goed verkoopbaar en soms ook terecht. Maar zoals wel vaker in de juridische wereld geldt: de generalist wint.

AI raakt de kerntaken van de jurist

Generieke AI-systemen raken steeds vaker de kern van het juridisch werk. ChatGPT, Gemini, Claude kunnen inmiddels contracten redigeren, risico's signaleren, clausules herschrijven. En dat doen ze lang niet slecht. Sterker nog, uit een praktische test blijkt het gemiddeld beter dan een deel van de ervaren advocaten die naast hen werden gezet.^[1]De modellen die het minst goed scoren, falen niet per se op juridische inhoud. De aanpak was te vergaand en dat maakte de output minder praktisch hoewel het juridisch correct was.

De sleutelvariabele is nog altijd de jurist zelf

Zack Shapiro schreef recente een post over zijn Claude-native law firm. Hierin beschrijft Shapiro hoe hij Claude gedetailleerde instructies geeft over hoe hij het zaak benadert, wat de specifieke opdracht is en hoe het zijn afwegingen moet maken.^[2]

Onderdeel van zijn kernboodschap is dat templatebibliotheken geen concurrentievoordeel meer is, elke zelfrespecterende jurist heeft min of meer dezelfde. Ook hier gaat het erom wat de jurist daadwerkelijk doet met de templates. Context begrijpen, risico’s vertalen en de cliënt goed en praktisch adviseren. Shapiro stelt dat je met goede instructies dergelijke processen kunt configureren in een AI-oplossing. En dan heb je geen specialistische tool nodig.

Dit sluit aan bij wat Elgar eerder schreef over de AI-paradox: de omweg is soms de kortste route. Investeren in een dure juridische AI-oplossing terwijl de onderliggende vaardigheid (de juiste use case in combinatie met goed prompting) ontbreekt, levert minder op dan een generieke tool met goede training.

Wanneer wél voor specialistisch kiezen?

Dit is geen pleidooi voor het verwerpen van alle juridische AI-tools. Er zijn scenario's waarin specialistische oplossingen wél het verschil maken. Als een kantoor honderden contracten per week analyseert op specifieke clausules, dan is een RAG-gebaseerd systeem (zoals eerder besproken in de meepraten-met-de-nerds-reeks) met eigen kennis en workflows waarschijnlijk sneller dan elke generieke oplossing. Ook bij rechtsgebieden waar veel specialistische kennis is, kan een specifieke oplossing waarin deze kennis beschikbaar is, betere resultaten leveren. De vraag is of het hier gaat om de technologie of de kennis die beschikbaar is binnen specifieke oplossingen.

Wat betekent dit voor de praktijk?

Mijn boodschap is niet 'koop geen juridische AI'. Maar begin met de methode, niet met de tool. Die investering in training en geletterdheid betaalt zich terug ongeacht welk model je vervolgens gebruikt. Zoek vervolgens naar een oplossing die daadwerkelijk een meerwaarde kan leveren voor de organisatie, bijvoorbeeld vanwege beschikbaarheid van specifiek juridische kennis. Dat is exact de reden waarom we het AI Pro Pack hebben ontwikkeld. Het AI Pro Pack is een model agnostisch systeem (je kunt dus zelf het onderliggende model kiezen) dat toegang heeft tot zeer specialistische kennis. Ideaal als sparringspartner of als ondersteuning bij het uitvoeren van allerhande juridische taken.

Ontdek het zelf met een gratis proefperiode van 14 dagen.

^[1]https://weichen221.substack.com/p/redline-face-off-experienced-attorneys

^[2] https://x.com/zackbshapiro/status/2027389987444957625

Studentgegevens voor onderzoek: van juridisch mijnenveld naar goudmijn

c.soriano@ictrecht.nl (Channa Soriano) — Wed, 08 Apr 2026 14:09:06 GMT

Onderwijsinstellingen beschikken over een schat aan data, zoals kenmerken van studenten en leerlingen, studieresultaten en evaluaties, en gegevens over aanwezigheid. Dit soort data is heel interessant voor onderzoekers, aangezien het waardevolle inzichten kan opleveren waarmee het onderwijs(beleid) kan worden verbeterd, uitval kan worden verminderd of welzijn van studenten kan worden gemonitord. Door deze data te analyseren, kunnen onderzoekers en onderwijsinstellingen gerichter bepalen hoe het welzijn en studiesucces van studenten concreet kan worden verbeterd.

De betreffende data bevatten doorgaans informatie over geïdentificeerde of identificeerbare studenten, waardoor deze data als persoonsgegevens moeten worden aangemerkt. Dit betekent dat de Algemene verordening gegevensbescherming (AVG) van toepassing is. Een directe vraag die hieruit voortvloeit is wanneer onderwijsinstellingen persoonsgegevens van studenten met externe onderzoekers mogen delen voor het uitvoeren van onderzoek.

Om deze vraag te beantwoorden worden een aantal voorwaarden voor het verantwoord delen van studentgegevens in het kader van onderzoek in dit blog toegelicht.

Rolverdeling bij onderzoekssamenwerkingen

Voordat we verder ingaan op de voorwaarden voor het delen van persoonsgegevens voor onderzoek, is het van belang te benadrukken dat een samenwerking tussen externe onderzoekers en onderwijsinstellingen verschillende vormen kan aannemen. Een onderzoek kan immers door zowel een externe onderzoeker als een onderwijsinstelling apart worden geïnitieerd, of gezamenlijk worden opgezet. Beide partijen kunnen daarbij in verschillende AVG-hoedanigheden optreden. In dit geval zal worden uitgegaan van een situatie waarin sprake is van gezamenlijke verwerkingsverantwoordelijkheid. Deze situatie dient zich voor wanneer een onderzoek geheel in samenwerking tussen twee of meer externe onderzoekers en onderwijsinstellingen wordt opgestart, en het doel en de middelen van dit onderzoek gezamenlijk worden bepaald.

De randvoorwaarden onder de AVG

Onderzoekers en onderwijsinstellingen mogen niet zonder meer alle beschikbare persoonsgegevens van studenten delen en gebruiken ten behoeve van onderzoek. De AVG stelt immers duidelijke grenzen aan het verwerken van persoonsgegevens. Hiermee wordt het uitvoeren van onderzoek echter niet per definitie uitgesloten.

In de AVG zijn een aantal voorwaarden vastgelegd waaronder op een verantwoorde manier met persoonsgegevens kan worden omgegaan. Deze voorwaarden zijn dan ook aan de orde bij het delen van persoonsgegevens voor het uitvoeren van onderzoek. Aangezien het geheel aan voorwaarden te omvangrijk is om in dit blog te bespreken, zal specifiek worden ingegaan op de voorwaarde dat elke verwerking – en dus ook het delen – van persoonsgegevens moet zijn gebaseerd op een passende verwerkingsgrondslag.

In de praktijk blijkt het voor externe onderzoekers en onderwijsinstellingen immers vaak een uitdaging om aan deze voorwaarde te voldoen, waardoor het delen en gebruiken van persoonsgegevens voor onderzoeksdoeleinden al snel als een juridisch mijnenveld kan worden ervaren. Hieronder wordt daarom in meer detail toegelicht welke verwerkingsgrondslagen in welke situatie van toepassing zijn op onderzoeken met persoonsgegevens van studenten, zodat deze persoonsgegevens op verantwoorde wijze als goudmijn kunnen worden benut.

De meest passende verwerkingsgrondslag

Wanneer een externe onderzoeker en een onderwijsinstelling gezamenlijk een onderzoek opstarten, moeten zij ook gezamenlijk bepalen op welke verwerkingsgrondslag het betreffende onderzoek kan worden gebaseerd. Op basis van deze verwerkingsgrondslag mag de onderwijsinstelling vervolgens persoonsgegevens met de externe onderzoeker delen. Hierbij geldt dat de meest passende verwerkingsgrondslag moet worden geselecteerd. Dit kan in de praktijk leiden tot een uitdagende afweging tussen verschillende mogelijkheden.

In veel gevallen wordt er aan studenten toestemming gevraagd voor het delen (en verder verwerken) van hun persoonsgegevens voor onderzoek. Het vragen van toestemming is echter niet altijd de meest passende en praktische verwerkingsgrondslag. Behalve dat toestemming vrijelijk, specifiek, ondubbelzinnig en geïnformeerd moet worden gegeven, vereist de AVG tevens dat toestemming te allen tijde weer moet kunnen worden ingetrokken. De mogelijkheid om toestemming in te trekken, houdt in dat studenten op elk moment hun persoonsgegevens van het onderzoek kunnen uitsluiten. Wanneer gedurende de loop van het onderzoek bepaalde persoonsgegevens niet meer mogen worden gebruikt, kan dit het onderzoek verstoren of leiden tot onbetrouwbare resultaten. Om deze reden ligt het vragen van toestemming niet altijd voor de hand en is het raadzaam om andere mogelijke verwerkingsgrondslagen te overwegen.

Als alternatief kunnen publieke onderwijsinstellingen bij een samenwerking voor onderzoek vaak aansluiting vinden bij de verwerkingsgrondslag taak van algemeen belang, wanneer het onderzoeksdoel voortvloeit uit wettelijke taken of verplichtingen. Bijvoorbeeld bij een onderzoek naar uitval in het eerste studiejaar, met als doel het onderwijs te verbeteren. Dit sluit immers aan bij de wettelijke taak van publieke onderwijsinstellingen om kwalitatief goed onderwijs te bieden. Deze verwerkingsgrondslag is dus uitsluitend passend publieke onderwijsinstellingen en voor onderzoeksdoelen die te herleiden zijn naar concrete wettelijke bepalingen. Het is daarom van belang dat onderwijsinstellingen en externe onderzoekers kritisch beoordelen of zij aan deze aanvullende voorwaarden voldoen, voordat een onderzoek op deze verwerkingsgrondslag wordt gebaseerd.

In andere gevallen kan het gerechtvaardigd belang een passende verwerkingsgrondslag zijn. Hierbij moet echter ook aan drie aanvullende cumulatieve voorwaarden worden voldaan.

Als eerste moet er daadwerkelijk sprake zijn van een gerechtvaardigd belang. Vervolgens moet het delen en gebruiken van persoonsgegevens bij dit onderzoek noodzakelijk zijn om dit belang te behartigen. Hierbij moet worden nagegaan of het onderzoeksdoel in verhouding staat tot de inbreuk op de privacy van de studenten, en of het doel niet bereikt kan worden op een manier die minder ingrijpend is voor de studenten. Als laatste moet er een zorgvuldige belangenafweging plaatsvinden waarbij het onderzoeksbelang wordt afgewogen tegen de privacybelangen van studenten. Ook hierbij is het dus essentieel dat onderwijsinstellingen en externe onderzoekers een kritische afweging maken, voordat een onderzoek op deze verwerkingsgrondslag wordt gebaseerd.

Ten slotte is het van belang te benadrukken dat indien er bijzondere persoonsgegevens worden verwerkt, er tevens een passende uitzonderingsgrond moet worden vastgesteld zoals bedoeld in de AVG.

Conclusie: een bewuste keuze is goud waard

Persoonsgegevens van studenten zijn waardevol voor onderzoek binnen het onderwijs. Ze bieden inzichten die bijdragen aan verbetering van onderwijs en ondersteuning van studenten. Tegelijkertijd vraagt het delen en verder verwerken van persoonsgegevens voor onderzoek om zorgvuldige juridische afwegingen. De keuze voor een verwerkingsgrondslag is hierbij een essentieel vertrekpunt dat bepalend is voor de rechtmatigheid van het gehele onderzoek. Voor onderwijsinstellingen en externe onderzoekers is het daarom noodzakelijk om per onderzoek vooraf kritisch te beoordelen welke verwerkingsgrondslag het meest passend is, waarbij de specifieke omstandigheden van het geval steeds leidend moeten zijn.

Juist door deze afweging bewust te maken, kan verantwoord gebruik worden gemaakt van een echte goudmijn aan persoonsgegevens.

Benieuwd naar andere onderwerpen binnen data & privacy? Bekijk hier onze blogs.

Wijzigingen Microsoft Copilot en dataverwerking buiten de Europese Unie

Caroline van Ekeren — Wed, 08 Apr 2026 11:10:16 GMT

Door recent nieuws over Microsoft Copilot laait de discussie over internationale datadoorgifte weer op. Microsoft informeert namelijk dat ze bij het gebruik van Copilot gegevens buiten de grenzen van de EU deelt. Wat is er aan de hand en wat moet je doen?

Hieronder nemen we je mee in de wijziging en wat er voor jouw organisatie kan veranderen, rekening houdend met de regels van de Algemene verordening gegevensbescherming (AVG).

De status nu

Veel organisaties gevestigd in de Europese Unie (EU) contracteren met de Europese entiteit van Microsoft (Microsoft Ireland Operations Limited, later: Microsoft Ierland). Microsoft doet al jaren zijn best om gegevens afkomstig van zijn Europese klanten binnen de EU te houden. Hierdoor wordt zij door veel partijen in de markt benaderd als een meer betrouwbare partij dan andere partijen afkomstig uit de Verenigde Staten (VS).

Microsoft’s nieuws

Microsoft zou door iets dat “flexroutering” heet, in sommige momenten bij het gebruik van Microsoft 365 Copilot (persoons)gegevens buiten de EU laten komen. Volgens Microsoft gebeurt dit alleen in piekmomenten om “een consistente Copilot-ervaring te behouden”. Critici stellen dat dit vanaf 17 april standaard aanstaat. Microsoft stelt: “Flexroutering is standaard ingeschakeld voor in aanmerking komende tenants die zijn gemaakt na 25 maart 2026. Voor in aanmerking komende tenants die bestonden vóór 25 maart 2026, raadpleegt u het Berichtencentrum voor meer informatie over de standaardinstelling voor flexroutering van uw tenant.”

De EU-datagrens

Microsoft introduceerde in 2023 een EU Data Boundary waarin ze een aantal “commitments” deelde dat ze in beginsel – buiten “global cybersecurity purposes”- data ontvangen van Europese organisaties (inclusief Copilot) in de EU (wilde) houden. Het lijkt erop dat daar nu een nieuw doel aan toegevoegd wordt met flexroutering: “Wanneer flexroutering is ingeschakeld, kan LLM-deductie plaatsvinden buiten de EU-gegevensgrens tijdens piekmomenten van de vraag.”, aldus Microsoft.

Wettelijk kader

De AVG stelt strenge regels aan het “doorgeven” van persoonsgegevens buiten de Europese Economische Ruimte (EER). Je moet aanvullende maatregelen nemen en afspraken maken als je met een partij buiten de EU persoonsgegevens deelt (lees of luister hier meer over doorgifte). Dit creëert vaak verwarring in de praktijk. De AVG gebruikt namelijk als drempel of je aan deze regels moet voldoen of de importeur van de persoonsgegevens zich bevindt in een land buiten de EU – niet per se relevant is waar die persoonsgegevens in de praktijk naartoe vloeien.

In dit geval is het (zoals ik kan deduceren uit het bericht) zo dat Microsoft Ierland deze persoonsgegevens deelt met haar moederbedrijf in de Verenigde Staten. Dat betekent dat tussen Microsoft Ierland en Microsoft Corporation de regels van doorgifte moeten worden nageleefd. Microsoft Corporation is Data Privacy Framework-gecertificeerd (zie figuur 1). Omdat dit framework adequaat is bevonden door de Europese Commissie via een adequaatheidsbesluit (huidige terechte praktische discussie even daargelaten), is deze wijze delen van persoonsgegevens rechtmatig. Microsoft heeft als aanvulling – dit is in beginsel niet nodig bij dit doorgiftemechanisme - een Transfer Impact Assessment uitgevoerd.

Impact praktijk

Bij het inschakelen van Microsoft als cloudprovider blijft jouw organisatie verwerkingsverantwoordelijk. Dat betekent ruw gezegd dat – hoewel Microsoft Ierland deze doorgifte zelf goed moet inregelen – jouw organisatie wel eindverantwoordelijk is voor de naleving van de AVG. Gelukkig legt Microsoft ook uit, hoe je deze aanvullende gegevensdoorgifte kan uitzetten (zie figuur 2).

Door de veranderende verhouding tussen de EU en de VS en geopolitieke spanningen die blijven oplopen, blijft het altijd ook een keuze van jouw organisatie of je (ten aanzien van beveiliging en continuïteit) gegevens en diensten wil laten leveren vanuit de VS. Maar die discussie, staat los van dit nieuws.

Meer weten over doorgifte? Luister onze podcast. Specifieke vragen? Neem vooral contact op.

Gallery Gathering Enschede: AI vs jurist in de praktijk

Linsey Ganzeboom - Schaftenaar — Tue, 07 Apr 2026 10:38:47 GMT

Afgelopen week vond in Enschede een nieuwe editie plaats van de Gallery Gathering: een laagdrempelige lunchsessie voor bedrijven gevestigd op de Gallery. Met meer dan 40 deelnemers van negen verschillende organisaties was de opkomst hoog. Een mooi teken dat de behoefte om kennis te delen en elkaar te versterken in de regio leeft.

Samen met Machiel Takens verzorgden wij namens ICTRecht de sessie. Vanwege het internationale karakter van het publiek kozen we ervoor om de presentatie in het Engels te geven. We begonnen met een introductie van ons bedrijf en onze visie op digitale transformatie: innovatie kan niet zonder recht. Een solide juridische basis is geen sluitstuk, maar een voorwaarde om nieuwe producten en diensten succesvol en duurzaam in de markt te kunnen zetten.

Van visie naar praktijk: hoe werkt AI in het juridische domein?

Na de introductie doken we de praktijk in. Centraal stond de vraag: hoe verhoudt AI zich tot het werk van een legal counsel? Om dat concreet te maken, hebben we één NDA (non-disclosure agreement) drie keer laten beoordelen: één keer door onze legal counsel Laura Brand, één keer door een gratis versie van GPT en één keer door ons AI Pro Pack.

De beoordeling door onze legal counsel liet zien waar juridische expertise echt het verschil maakt. Niet alleen werden de belangrijkste bepalingen uit de NDA geïdentificeerd, er werd ook praktisch meegedacht over de concrete risico’s voor de organisatie. Het advies was toegespitst op de situatie van de klant en direct toepasbaar in de praktijk.

De gratis AI-versie gaf een duidelijk ander beeld. De output bestond grotendeels uit algemene, niet of nauwelijks onderbouwde opmerkingen. In sommige gevallen waren de bevindingen zelfs feitelijk onjuist. Voor een niet-jurist is het lastig, zo niet onmogelijk, om deze fouten te herkennen. Daarmee wordt duidelijk dat dergelijke tools, zonder juridische duiding, beperkte waarde hebben bij het beoordelen van juridische documenten.

Met het AI Pro Pack zagen we een duidelijke verbetering. De analyse was gestructureerd, voorzien van toelichting en onderbouwing, en vrij van feitelijke onjuistheden. Hoewel het advies minder praktisch was dan dat van een ervaren legal counsel, maakte de vergelijking duidelijk hoe groot het verschil is met generieke, gratis AI-oplossingen.

Wat is het AI Pro Pack?

Het AI Pro Pack is onze professionele AI-omgeving, ontwikkeld voor juristen en compliance professionals. Het bestaat uit meer dan 30 gespecialiseerde GPT’s die ondersteunen bij dagelijkse werkzaamheden, zoals contractanalyse, privacyvraagstukken en compliance checks.

In tegenstelling tot generieke AI-tools is het AI Pro Pack ingericht vanuit juridische expertise en ontwikkeld met aandacht voor privacy en security. Al onze open source informatie, onze boeken en onze blogs zijn gebruikt om de GPT’s te voorzien van juiste en actuele informatie. Dat betekent dat de output beter aansluit op de praktijk, voorzien is van onderbouwing en gebruikt kan worden binnen een gecontroleerde en compliant omgeving.

AI als hulpmiddel, niet als vervanger

De vergelijking tussen de beoordelingen van de legal counsel, de gratis versie van GPT en van ons AI Pro Pack laat duidelijk zien waar de kracht van AI ligt, maar ook waar de grenzen liggen. AI kan ondersteunen, versnellen en structureren, mits goed ingericht en gebruikt binnen de juiste kaders. Tegelijkertijd blijft menselijke expertise essentieel om risico’s goed te duiden en te vertalen naar praktisch en contextgericht advies.

Om deelnemers zelf te laten ervaren wat dit in de praktijk betekent, hebben we een 14-daagse gratis proefperiode van het AI Pro Pack aangeboden. Zo kunnen organisaties op een toegankelijke manier ontdekken hoe AI verantwoord kan worden ingezet binnen hun eigen juridische en compliance processen.

Onze rol in de regio

Vanuit onze vestiging in The Gallery in Enschede sluit deze bijeenkomst naadloos aan bij hoe wij naar onze rol in de regio kijken. Gelegen op Kennispark Twente bevinden wij ons midden in een ecosysteem waar technologie, ondernemerschap en innovatie samenkomen.

In deze omgeving, met veel startups en scale-ups uit onder andere de Universiteit Twente, zien we dagelijks hoe belangrijk het is om juridische en compliance-aspecten vanaf de start mee te nemen. Door dit vroegtijdig te integreren, kunnen organisaties voorkomen dat zij later moeten terugkomen op gemaakte keuzes, met alle kosten en vertragingen van dien.

Tegelijkertijd is gespecialiseerde juridische ondersteuning op het snijvlak met IT, privacy en AI in de regio nog beperkt beschikbaar. Dat heeft ook effect op talent: professionals trekken sneller naar andere regio’s waar deze expertise wel geconcentreerd is. Met onze aanwezigheid in Enschede willen wij juist bijdragen aan een sterker en duurzamer lokaal ecosysteem: door bedrijven vroegtijdig te ondersteunen én door juridisch en technologisch talent in de regio te behouden en verder te ontwikkelen.

Een geslaagde middag

De informele setting, met een lunch en ruimte voor gesprek, maakte deze Gallery Gathering tot een geslaagde bijeenkomst. De combinatie van inhoud, interactie en ontmoeting zorgde voor waardevolle gesprekken, zowel tijdens als na de sessie.

Voor ons bevestigt dit opnieuw dat de behoefte groot is: aan duiding, aan praktische toepasbaarheid van wetgeving, en aan een realistisch beeld van wat AI wel en niet kan binnen het juridische domein.

Ben jij benieuwd wat het AI Pro Pack voor jouw organisatie kan betekenen? Start vandaag nog een gratis proefperiode van 14 dagen.

Hoe gaat een domeinnaamprocedure in zijn werk?

Vivianne Vermeulen — Tue, 31 Mar 2026 07:47:47 GMT

Regelmatig wordt ons gevraagd te assisteren bij het ‘terughalen’ van een domeinnaam. Er kunnen verschillende dingen gebeurd zijn. Zo kan het zijn dat iemand zijn domeinnaam heeft laten verlopen en vervolgens is die opnieuw geregistreerd door een ander. Of iemand is ‘niet handig met dit soort dingen’ en stalt zijn domeinnaam bij een webdeveloper die zich als houder registreert. Of een merkhouder, enkel actief in de Benelux heeft er nooit eerder aan gedacht zijn merknaam te registreren met een .eu extensie en op het moment dat hij dat wel wil registreren blijkt de domeinnaam al bezet. Wat nu?

Niet naar de rechtbank: snel, voordelig en helder.

Domeinnaamprocedures zoals ik ze omschrijf zijn administratieve procedures. Het is een alternatieve vorm van beslechting en gaat dus buiten de rechter om. Je bent niet verplicht een advocaat in de arm te nemen, het is relatief snel en voordelig en je hoeft niet naar een rechtbank: alles gaat online. Wel is het zo dat er een raamwerk is van regels en nadere invulling van die regels door eerdere beslissingen. Dit raamwerk is inmiddels zeer volledig; de meest exotische domeinnamen en websites zijn inmiddels behandeld door de arbiters, dus er zijn volop precedenten.

Het topleveldomein als leidraad

We beginnen te kijken naar het topleveldomein, soms ook wel extensie genoemd. Is dat een topleveldomein dat verwijst naar een bepaald land zoals .nl of .be, of is het generiek topleveldomein, zoals bijvoorbeeld .com of .store? Dit topleveldomein bepaalt het raamwerk (het beleid, in feite de ‘wetgeving’) die van toepassing is op het domein en het bepaalt dus ook aan welke eisen moet worden voldaan voor het verkrijgen of terugkrijgen van de domeinnaam.

De procedure

Conform dit raamwerk is het in de meeste gevallen nodig om een klachtschrift op te stellen, waarin we uiteenzetten waarom de klager recht heeft op de domeinnaam. Dit klachtschrift sturen we, samen met overig bewijs, naar de arbiter. De houder van de domeinnaam krijgt de kans zich te verweren en duidelijk te maken dat hij wél recht heeft op de domeinnaam. Voor .nl domeinnamen geldt dat vervolgens een mediation procedure in gang wordt gezet. In de praktijk blijkt vaak dat de houder geen verweerschrift indient. In dat geval (of wanneer de mediation mislukt), zal de arbiter zich uitspreken over de zaak. Hij oordeelt over de vraag of de domeinnaam overgedragen moet worden of niet. Vervolgens wordt dit oordeel naar de registrar, de reseller en technisch beheerder van de domeinnaam gestuurd. De registrar draagt er zorg voor dat de domeinnaam wordt overgedragen wanneer het oordeel van de arbiter dit verlangt.

Timeframe

Dit alles neemt van start tot oordeel doorgaans enkele maanden in beslag. Onder sommige voorwaarden is het mogelijk de procedure nog sneller te laten verlopen. De kosten zijn sterk afhankelijk van de complexiteit van de procedure, het aantal domeinnamen dat kan worden geïncorporeerd in één procedure, het onderzoek dat gedaan moet worden en het bewijs dat vergaard moet worden en het aantal arbiters dat aangewezen wordt.

Wil je meer weten over domeinnaamprocedures of wat wij hierbij voor jou kunnen betekenen, neem dan contact met ons op.

Game On: opsporingsberichtgeving van de politie

Paul Bex — Mon, 30 Mar 2026 09:42:12 GMT

Misschien heb je de reclamepanelen en billboards al zien hangen in bushokjes langs de weg. Een grote poster met daarop ‘Game Over?!’ is te zien met daarnaast een aantal geblurde foto’s waarop personen onherkenbaar zijn afgebeeld. Dit was de nieuwe grootschalige campagne van Politie Nederland om nepagenten en fraudeurs op te sporen. Het idee erachter was vrij eenvoudig. Foto’s van 100 personen die verdacht werden van het plegen van fraude werden onherkenbaar op internet geplaatst. De verdachten kregen twee weken de tijd om zich bij de politie te melden. Als dit niet gebeurde, werden de beelden vervangen door herkenbare foto’s van de verdachten. Hoewel het delen van deze gegevens een zeer zwaar middel is, hoeft dit niet direct in strijd te zijn met de wetgeving. Waarom kan politie dit doen en op welke grond kan dit dan? In dit blog zal dan ook de vraag centraal staan: wat is opsporingsberichtgeving van de politie en wanneer mag de politie dit middel inzetten?

Opsporing verzocht

Het openbaar maken van foto’s of video’s van verdachten is een zwaar middel dat door de politie ingezet kan worden. Dit opsporingsmiddel is niet nieuw. De politie kiest er al jaren voor om het publiek in te zetten om verdachten te identificeren. Het bekende programma Opsporing Verzocht is hier een voorbeeld van. In deze gevallen kiest de politie ervoor om politiegegevens (d.w.z. persoonsgegevens die verzameld worden ten uitvoering van de politietaak), openbaar te delen met het bredere publiek om hulp te vragen bij het verkrijgen van informatie rondom een gepleegd strafbaar feit. De hulpvraag kan op verschillende manieren aan het publiek worden gesteld. Dit kan via tv-programma’s, maar ook via oproepen op billboards en sociale media. Bij de Game Over?!-campagne heeft de politie besloten om al deze middelen gelijktijdig in te zetten.

Juridische grondslag

De politie kan ervoor kiezen dit opsporingsmiddel in te zetten voor waarheidsvinding. De bevoegdheid hiervoor is te vinden in de Politiewet, Wet op de bijzondere opsporingsdiensten en het Wetboek van Strafvordering. Deze wettelijke grondslagen zijn echter op zichzelf niet voldoende. Eerder in dit blog werd al kort aangestipt dat het delen van beelden waarop een verdachte is afgebeeld, gekwalificeerd wordt als het delen van politiegegevens. Dit maakt dat niet de Avg maar de Wet politiegegevens (‘Wpg’) en Wet justitiële en strafvorderlijke gegevens van toepassing zijn. Op grond van de Wpg (met name art. 3, art. 8 en artikel 19 Wpg) mogen politiegegevens worden verwerkt en, onder voorwaarden, worden verstrekt aan derden, voor zover dit noodzakelijk is voor de uitvoering van de politietaak, waaronder de opsporing van strafbare feiten. Het delen van de gegevens met personen of instanties sluit aan bij het doel van waarheidsvinding. Toch moet de politie zorg betrachten bij het inzetten van dit opsporingsmiddel. Het delen van de beelden zorgt voor een inbreuk op de persoonlijke levenssfeer van de verdachte. Daarbij speelt mee dat gepubliceerde beelden terechtkomen in het permanente digitale geheugen van het internet. De schade die zou kunnen ontstaan wanneer een onschuldige betrokkene wordt gepubliceerd, kan moeilijk weer ongedaan worden gemaakt. De politie mag deze gegevens daarom alleen delen op voorwaarde dat er een zorgvuldige belangenafweging door de officier van justitie heeft plaatsgevonden, waarbij de vereisten van rechtmatigheid, proportionaliteit, subsidiariteit en doelmatigheid in acht zijn genomen. In beleidskaders wordt onder meer gekeken naar de ernst van het strafbare feit, bijvoorbeeld of sprake is van een misdrijf met een strafmaat van 8 jaar of meer. Dit vormt echter geen harde wettelijke drempel, maar een nadere invulling van de proportionaliteitstoets. Op basis van deze afweging kan de officier van justitie toestemming verlenen voor het vrijgeven van beelden van de verdachte. Zonder deze toestemming worden de beelden niet openbaar gemaakt. Dit alles brengt met zich mee dat wanneer de verdachte is geïdentificeerd, de noodzaak voor de gegevensdeling vervalt en de beelden weer uit het publieke domein verwijderd moeten worden.

Game Over?!

Wanneer er gekeken wordt naar de webpagina van de campagne, kun je deze regelgeving in werking zien. De verdachten die werden getoond, waren in eerste instantie geblurd. Hiermee paste de politie een minder ingrijpend middel toe dan het publiceren van de ongeblurde beelden. Deze werkwijze paste binnen het vereiste van subsidiariteit. De verdachte kreeg in feite een waarschuwing: “Verdachte, let op. Je hebt de kans om jezelf bij de politie te melden, anders publiceren wij beelden van je”. Pas toen de verdachte zich niet binnen twee weken zelf meldde, werd overgegaan tot het tonen van ongeblurde foto’s. De politie ging hiermee gefaseerd te werk. Eerst werd geprobeerd het doel te bereiken met een minder vergaande inbreuk op de privacy van de verdachte. Toen dat geen effect had, werd het zwaardere middel ingezet en werden de beelden ongeblurd geplaatst op internet.

Daarnaast moet de campagne proportioneel zijn. Dat wil zeggen dat het doel de middelen moet rechtvaardigen. Volgens de politie is ook hier sprake van. De slachtoffers van de misdrijven zijn in de meeste gevallen ouderen. Zij worden door deze misdrijven vaak achterdochtig, durven de voordeur niet meer open te doen en worden wantrouwend ten opzichte van politieagenten. Juist om deze groep te beschermen en de ontstane maatschappelijke schade te beperken verkiest de politie om een zwaarwegend middel als openbare opsporing toe te passen. Zelf geeft de politie aan dat in alle 100 gevallen er een individuele belangenafweging heeft plaatsgevonden door de officier van justitie voordat de beelden geplaatst zijn.

Er is ook kritiek op de campagne. Door een verdachte openbaar te tonen, gaat de politie eigenlijk op de stoel van de rechter zitten. De publiekelijke perceptie zal al snel zijn dat de verdachten ook meteen de daders van het gepleegde misdrijf zijn. Dit schuurt met de onschuldpresumptie van artikel 6 van het Europees Verdrag voor de Rechten van de Mens. Een verdachte geldt immers als onschuldig totdat schuld door een rechter is vastgesteld.

Effect

Ten tijde van het schrijven van dit blog heeft de politie daad bij het woord gevoegd en de foto’s van de verdachten gepubliceerd. Van de 100 verdachten werden er in twee weken 27 personen geïdentificeerd. In de week nadat de beelden zijn gepubliceerd zijn er nogmaals 31 verdachten geïdentificeerd waardoor het inmiddels game over is voor 58 verdachten. De personen die geïdentificeerd zijn, zijn van de website verwijderd. In landelijke berichtgeving geeft de politie aan dat de campagne zeer effectief is. Naar eigen zeggen hebben sommige rechercheurs de afgelopen weken overuren moeten draaien omdat tipgevers massaal meedenken.

Conclusie

De Game Over?!-campagne laat zien dat opsporingsberichtgeving een zeer effectief, maar ingrijpend middel is dat alleen binnen strikte juridische kaders kan worden ingezet. De gefaseerde aanpak benadrukt dat de politie probeert te handelen in lijn met proportionaliteit en subsidiariteit, maar maakt tegelijk zichtbaar hoe snel opsporing kan overgaan in publieke veroordeling.

Juist daarin ligt de kern van het vraagstuk: niet óf dit middel werkt, maar wanneer het gebruik ervan nog gerechtvaardigd is. Effectiviteit kan daarbij nooit de doorslag geven. De inzet van opsporingsberichtgeving is alleen verdedigbaar wanneer in het concrete geval overtuigend kan worden aangetoond dat publicatie van beelden noodzakelijk is en dat minder ingrijpende alternatieven niet volstaan.

Heb je vragen na het lezen van dit blog? Neem dan contact met ons op!

Data & Privacy jurisprudentieblog | maart 2026

i.gelderman@ictrecht.nl (Isabelle Gelderman) — Thu, 26 Mar 2026 09:11:48 GMT

Twee recente uitspraken laten zien hoe lastig de verhouding tussen sectorspecifieke wetgeving en de Algemene verordening gegevensbescherming (AVG) in de praktijk kan zijn. In de zaak tussen een creditcardhouder en International Card Services (ICS) gaat het om de vraag of een financiële instelling voor her-identificatie een identiteitsbewijs en selfie mag opvragen en bewaren, en hoe ver die ruimte onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), en de AVG precies reikt. In de zaak Inteligo Media/ANSPDCP staat juist de vraag centraal wanneer een organisatie zonder aparte opt-in een nieuwsbrief mag sturen aan gebruikers met een gratis account, en welke rol de AVG dan nog speelt naast de Richtlijn 2002/58/EG (hierna: (e-Privacy)richtlijn).

AVG en anti-witwasregels: Hoge Raad vraagt uitleg aan HvJEU

De Hoge Raad heeft op 13 maart 2026 een belangrijk tussenarrest gewezen in de zaak tussen een creditcardhouder en ICS. Centraal staat een vraag die in de praktijk veel organisaties raakt: mag een financiële instelling voor her-identificatie een kopie van een identiteitsbewijs en een foto verlangen, en die vervolgens bewaren? De Hoge Raad maakt in dit arrest alvast één punt duidelijk, maar legt op andere punten juist prejudiciële vragen voor aan het Hof van Justitie van de EU (hierna: het HvJEU of het Hof).

Wat speelde er?

ICS had een bestaande klant gevraagd zich opnieuw online te identificeren. Daarbij moest zij via smartphone of tablet een foto van haar identiteitsbewijs en een selfie uploaden. Volgens ICS was dat nodig in het kader van de Wwft. Art. 38 Wwft verplicht ICS tot actualisering van de cliëntenonderzoeken die zij bij aanvang van creditcardovereenkomsten al op grond van art. 3 Wwft had verricht. De creditcardhouder weigerde mee te werken aan een nieuwe (online) identificatie. Haar principiële bezwaar was niet zozeer identificatie als zodanig, maar vooral het opslaan en bewaren van haar pasfoto en selfie. Toen zij niet meewerkte, blokkeerde ICS uiteindelijk haar creditcard en werd de overeenkomst opgezegd. In eerdere instanties kreeg ICS gelijk. De zaak belandde daarna bij de Hoge Raad.

In deze zaak draaide het om twee vragen: (1) Is het vastleggen of opslaan van een (pas)foto door ICS een verwerking van biometrische gegevens en (2) omvat een Wwft-cliëntenonderzoek een verplichting tot het bewaren van een (pas)foto, en zo ja, hoe verhoudt deze zich tot de AVG?

1. Is een pasfoto of selfie een biometrisch gegeven?

Op dat punt is de Hoge Raad vrij duidelijk: nee, niet automatisch. Onder de AVG zijn biometrische gegevens persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van iemands fysieke of gedragskenmerken, zodat die persoon uniek kan worden geïdentificeerd of geauthentiseerd. Denk bijvoorbeeld aan gezichtsherkenning waarbij een systeem uit een foto een biometrisch template maakt. Dat volgt uit artikel 4 onder 14 AVG, en hangt samen met het verwerkingsverbod uit artikel 9 lid 1 AVG.

De Hoge Raad zegt dus: een gewone foto van een gezicht is nog niet meteen een biometrisch gegeven. Daarvoor is méér nodig dan enkel opslag. Pas als die foto met specifieke technische middelen wordt verwerkt voor unieke identificatie, kom je in de sferen van biometrie terecht. Dat is een nuttige verduidelijking, soms wordt al snel gezegd dat een pasfoto of selfie ‘biometrisch’ is, maar zo simpel is het juridisch niet.

Verwerking niet automatisch toegestaan

Dat iets geen biometrisch gegeven is, betekent natuurlijk niet dat je het zonder problemen mag opslaan. De Hoge Raad benadrukt in dit arrest juist ook dat het vastleggen en bewaren van een foto van een gezicht wel degelijk verwerking van persoonsgegevens is. Een pasfoto of selfie blijft gewoon een persoonsgegeven, waarop AVG-regels van toepassing zijn

2. Verplicht de Wwft tot opslag van de volledige ID-kopie?

Daarover heeft de Hoge Raad nog geen definitief oordeel gegeven. Op dit punt wil de Hoge Raad prejudiciële vragen stellen aan het HvJEU. De kern van de twijfel zit in artikel 33 Wwft. Die bepaling schrijft voor dat de documenten en gegevens die zijn gebruikt voor het cliëntenonderzoek opvraagbaar moeten worden vastgelegd, en gedurende vijf jaar moeten worden bewaard. Maar hoe ver strekt die verplichting precies?

De discussie zit grofweg hier: mag een instelling volstaan met het vastleggen van relevante identificatiegegevens, of moet zij ook echt een kopie van het gebruikte identiteitsdocument bewaren? En als zo’n kopie mag of moet worden bewaard, geldt dat dan ook voor de pasfoto op dat document?

Dat is juridisch belangrijk, want onder de AVG geldt dat je niet meer persoonsgegevens mag verwerken dan nodig is. Als het doel kan worden bereikt met minder gegevens, dan wordt opslag van een volledige ID-kopie al snel lastig te verdedigen.

De Hoge Raad twijfelt daarom of de Nederlandse regeling in de Wwft, in combinatie met artikel 40 lid 1 onder a van de vierde anti-witwasrichtlijn (Richtlijn (EU) 2015/849), wel zo moet worden gelezen dat een volledige kopie van het identiteitsbewijs moet worden bewaard. En zo ja, of die bewaarplicht dan ook de pasfoto omvat. Deze vragen heeft de Hoge Raad bij het Hof van Justitie neergelegd.

Nog een open vraag: kan een foto ook gegevens over ras of etnische afkomst onthullen?

De kaarthoudster had ook aangevoerd dat een pasfoto ras of etnische afkomst kan blijken, zodat artikel 9 lid 1 AVG in beeld komt. Ook hierover hakt de Hoge Raad nog geen definitieve knoop door. Hij merkt wel op dat hierover onder de AVG nog onduidelijk bestaat: dit rechtsgebied is nog in ontwikkeling.

De Hoge Raad wil daarom ook hierover vragen stellen aan het Hof van Justitie. Hierbij spelen de volgende subvragen: 1) is relevant met welk doel de foto wordt verwerkt en 2) is relevant of ras of etnische afkomst met voldoende mate van zekerheid uit die foto kan worden afgeleid.

Voor de Nederlandse praktijk is daarbij ook artikel 25 UAVG relevant. Dat artikel bepaalt onder meer dat de verwerking van gegevens waaruit ras of etnische afkomst blijkt, mogelijk kan zijn als dat gebeurt met het oog op identificatie van betrokkene, en alleen voor zover dat daarvoor onvermijdelijk is.

Wat betekent dit nu voor organisaties?

Voor financiële instellingen en andere Wwft-plichtige organisaties is dit een relevante uitspraak. De Hoge Raad verduidelijkt in ieder geval één punt: een opgeslagen selfie of pasfoto is niet zonder meer biometrische gegevensverwerking. Op de andere belangrijke vraag, namelijk of opslag van de foto of van een volledige ID-kopie überhaupt noodzakelijk en wettelijk verplicht is, is nog geen eindantwoord gegeven.

Totdat het HvJEU zich heeft uitgesproken, ligt het daarom voor de hand om identificatieprocessen kritisch te heroverwegen. Organisaties doen er verstandig aan om zich af te vragen:

Welke wettelijke bepaling precies de opslag van een ID-kopie of foto draagt;
Of werkelijk een volledige kopie nodig is, of dat vastlegging van beperkte identificatiegegevens volstaat. Beperkte identificatiegegevens zijn bijvoorbeeld de gegevens die art. 33 Wwft zelf noemt (naam, geboortedatum, adres, documentnummer etc.), zonder dat je een volledige ID-kopie opslaat.
Hoe de noodzakelijkheid en proportionaliteit intern zijn gedocumenteerd. Analyseer expliciet de alternatieven en leg de motivering van waarom er meer gegevens nodig zijn vast in bijvoorbeeld een DPIA, een verwerkingsregister of een interne memo.
En of privacyverklaringen en klantcommunicatie hierover voldoende precies zijn.

Voor organisaties is de boodschap helder: kijk niet alleen naar het label ‘biometrie’, maar vooral naar noodzaak, proportionaliteit en wettelijke basis.

Inteligo Media/ANSPDCP

In een zaak van 13 november 2025 deed zich een belangrijke vraag voor: mag een online uitgever die gebruikers een gratis account laat aanmaken, daarna zonder aparte opt-in een dagelijkse e-mailnieuwsbrief sturen met samenvattingen en links naar artikelen?

Het antwoord van het Hof is voor veel uitgevers, platforms en aanbieders van contentdiensten relevant: ja, dat kan onder omstandigheden. Maar minstens zo belangrijk is de reden waarom het Hof dat zegt. De uitspraak verduidelijkt namelijk drie klassieke pijnpunten uit de praktijk van e-mailmarketing: wanneer iets ‘direct marketing’ is, wanneer sprake is van een verkoop van een product of dienst, en hoe de verhouding ligt tussen de AVG en de e-Privacyrichtlijn

De feiten

De zaak draaide om een Roemeense uitgever van online publicaties. Gebruikers konden gratis een account aanmaken. Daarmee kregen zij toegang tot extra artikelen en een dagelijkse e-mailnieuwsbrief met een overzicht van nieuwe wetgeving en links naar artikelen. Ook kregen zij de mogelijkheid om later een betaald abonnement af te nemen. Bij registratie konden gebruikers aangeven dat zij de nieuwsbrief niet wilden ontvangen. Ook bevatte iedere e-mail een afmeldmogelijkheid. Ondanks al deze waarborgen, vond de Roemeense toezichthouder toch dat de verwerking niet deugde. Volgens die toezichthouder was geen geldige toestemming (opt-in) verkregen voor het versturen van de nieuwsbrief.

Niet meteen naar de AVG kijken

Het Hof begint op een belangrijk punt: bij dit soort e-mailcommunicatie moet je niet automatisch eerst naar artikel 6 AVG kijken, waarin de algemene grondslagen voor rechtmatige verwerking van persoonsgegevens zijn neergelegd. De eerste stap is hier artikel 13 van de e-Privacyrichtlijn: de e-privacyregels over ongevraagde elektronische communicatie. In Nederland zijn die regels vooral uitgewerkt in artikel 11.7 van de Telecommunicatiewet (Tw).

De hoofdregel is dat ongevraagde commerciële e-mail in beginsel alleen is toegestaan met voorafgaande toestemming. Daarop bestaat echter een belangrijke uitzondering: de soft opt-in. Die uitzondering geldt wanneer een organisatie het e-mailadres heeft verkregen in het kader van de verkoop van een dienst of product, het adres gebruikt voor eigen gelijksoortige producten of diensten en de ontvanger bij verkrijging én iedere boodschap eenvoudig bezwaar kan maken.

Ook een inhoudelijke nieuwsbrief kan direct marketing zijn

Van belang is dat het Hof oordeelt dat de nieuwsbrief wel onder direct marketing valt. De nieuwsbrief in kwestie bevatte samenvattingen van nieuwe wetgeving en links naar inhoudelijke artikelen. Dat klinkt op het eerste gezicht vooral informatief of redactioneel, maar toch zegt het Hof dat dat niet uitsluit dat zo’n mail tegelijkertijd een marketingdoel heeft.

De doorslag gaf hier dat de nieuwsbrief gebruikers terugleidde naar het platform, hen stimuleerde om meer artikelen te lezen en uiteindelijk kon bijdragen aan het afsluiten van een betaald abonnement. Daarmee had de e-mail dus een commercieel doel. Soms menen organisaties dat een nieuwsbrief geen marketing is zolang de inhoud informatief genoeg is. Het Hof kiest nadrukkelijk voor een functionele benadering: niet alleen de toon van de inhoud telt, maar ook het doel van de boodschap binnen het verdienmodel.

Een gratis account onderdeel van verkoop?

Minstens zo relevant is wat het Hof zegt over de vraag wanneer een e-mailadres is verkregen in het kader van de verkoop van een product of dienst. In deze zaak betaalde de gebruiker niet voor het account. Toch oordeelt het Hof dat er onder omstandigheden wel degelijk sprake kan zijn van een verkoop van een dienst. Het gratis account maakte deel uit van een breder commercieel aanbod. De gebruiker kreeg extra toegang en een nieuwsbrief, terwijl de uitgever daarmee gebruikers naar betaalde content kon leiden. De gratis dienst had dus een duidelijke promotionele functie binnen een commercieel model. Met andere woorden: ook als de gebruiker niet direct betaalt, kan sprake zijn van een dienst die economisch samenhangt met een betaalde propositie. Voor de toepassing van artikel 13 lid 2 van de e-Privacyrichtlijn hoeft ‘verkoop’ dus niet beperkt te blijven tot een klassieke transactie met een directe prijs.

De verhouding tussen e-privacy en AVG

Het Hof laat in dit arrest duidelijk zien dat als artikel 13 lid 2 van de e-Privacyrichtlijn al van toepassing is, je niet ook nog apart hoeft te kijken naar de grondslagen van artikel 6 AVG. Dat volgt uit artikel 95 AVG. Die bepaling voorkomt dat de AVG extra verplichtingen oplegt op punten waar de e-Privacyrichtlijn al specifieke regels met hetzelfde doel bevat.

De AVG verdwijnt daarmee niet uit beeld, maar haar rol verandert. Voor de rechtmatigheid van dit type marketingmail ligt de eerste toets hier bij het e-Privacykader.

Wat betekent dit in Nederland?

Voor Nederlandse organisaties zit de relevantie van deze uitspraak vooral in de toepassing van artikel 11.7 Tw: de nationale uitwerking van artikel 13 van de e-Privacyrichtlijn. Op papier verandert er misschien weinig, de regels rond de soft opt-in bestonden al. Dit arrest laat wel zien hoe ruim en tegelijkertijd hoe precies die regels in de praktijk kunnen worden uitgelegd. Een gratis account kan dus onder omstandigheden worden gezien als onderdeel van een dienstrelatie, mits die duidelijk past binnen een commercieel geheel.

Veel organisaties werken met een gratis account of een proefabonnement. Uit deze uitspraak volgt dat zulke modellen onder omstandigheden binnen het bereik van de soft opt-in kunnen vallen. Dat betekent niet dat elke gratis registratie ineens voldoende is. De nieuwsbrief moet altijd wel betrekking hebben op eigen en gelijksoortige diensten, en gebruikers moeten zowel bij het verzamelen van hun gegevens als in iedere e-mail een eenvoudige en kosteloze opt-out krijgen. Om te bepalen of een nieuwsbrief onder direct marketing valt, gaat het om het commerciële doel van de communicatie, mede bezien in de context waarin deze wordt verstuurd. Een commercieel tintje mag, maar het mag niet de hoofdboodschap zijn.

Meer jurisprudentie lezen? Bekijk ons Data & Privacy jurisprudentieblog van de vorige maand.

Wie reguleert het internet? Een trans-Atlantisch vraagstuk over digitale regels

Koen van Jaarsveld — Wed, 25 Mar 2026 10:05:08 GMT

Wat is er gaande?

De Amerikaanse House Judiciary Committee heeft grote technologiebedrijven, waaronder Alphabet, Apple, Meta, Microsoft, TikTok en OpenAI, gedagvaard om hun interne communicatie met Europese toezichthouders te overhandigen. Duizenden documenten zijn al gedeeld. De aanleiding is de Digital Services Act (DSA). Amerikaanse autoriteiten beschouwen die wet als instrument voor politieke censuur, Brussel ziet de dagvaardingen als een aanval op Europese soevereiniteit, en de techbedrijven zitten er middenin.

Hoe het zover is gekomen?

De DSA verplicht grote platforms om op te treden tegen illegale content en systeemrisico's. Voor Washington is dat een censuurinstrument. Al begin 2025 vuurde commissievoorzitter Jim Jordan zijn eerste waarschuwingsschoten af, en in februari volgden de dagvaardingen. In juli publiceerde de commissie een rapport, The Foreign Censorship Threat, met de stelling dat de DSA platforms dwingt hun mondiale contentmoderatie aan Europese normen aan te passen, waarmee ook de vrije meningsuiting van Amerikanen in het geding zou zijn.

Versleutelde berichten en een precedent

De zaak kreeg extra lading toen bleek dat EU-functionarissen hun communicatie met platforms steeds vaker via versleutelde apps laten verlopen, met berichten die automatisch verdwijnen. De Amerikaanse House Judiciary Committee reageerde door bedrijven te verplichten ook die tijdelijke berichten te bewaren en over te dragen. Kunnen Amerikaanse congrescommissies zo effectief grip krijgen op communicatie van Europese overheidsinstanties? Formeel niet, maar dit legt wel veel druk bij grote technologiebedrijven. Dat die bedrijven al duizenden documenten hebben overhandigd laat zien hoe groot de druk daadwerkelijk is.

Wat dit betekent voor Europees toezicht

De Europese Commissie handhaaft de DSA op basis van vertrouwelijke communicatie met platforms: interne documenten, workshops achter gesloten deuren, informele compliancegesprekken. Als die communicatie systematisch via dagvaardingen in Washington belandt, ontstaat een afschrikwekkend effect: waarom overleggen als dat gesprek later in een Congreshearing wordt uitvergroot?

Wat nu?

Voor Europese toezichthouders is de boodschap helder: de aanname dat Europese regelgeving zich buiten de greep van buitenlandse politieke actoren bevindt, is niet langer houdbaar. Voor techbedrijven geldt dat zij steeds meer als onderdeel fungeren in een conflict dat zij zelf niet kunnen oplossen. En voor wie nadenkt over digitale soevereiniteit: dit dossier toont dat soevereiniteit niet alleen gaat over eigen wetten schrijven. Het gaat ook over de vraag of je ze ongestoord kunt handhaven, ook als anderen de middelen en de bereidheid hebben om dat van buitenaf te doorkruisen.

Heb je vragen na het lezen van dit blog? Neem dan gerust contact met ons op.

Valkuilen bij ICT-contracten deel 4: de terhandstelling van algemene voorwaarden

Frerik Rorink — Wed, 25 Mar 2026 08:11:21 GMT

ICT-systemen vormen vandaag de dag het kloppend hart van menig organisatie. Van ziekenhuizen tot transportbedrijven en van adviesbureaus tot financiële instellingen: één bug, kwetsbaarheid of storing in een belangrijk ICT-systeem kan zomaar een bedrijfsproces verstoren of anderszins grote financiële schade veroorzaken. Het maken van passende contractuele afspraken is dan ook essentieel. In deze blogserie staan we stil bij veelgemaakte fouten bij het uitonderhandelen en sluiten van een ICT-contract. Dit om zowel de afnemer als leverancier te behoeden voor al te grote gevaren.

Eerdere blogs in deze serie hadden betrekking op positioneel onderhandelen, het contractsluitingsproces en het kiezen van een juiste leverancier. ICT-contracten kunnen behoorlijk omvangrijk zijn. Een softwarelicentie, SaaS-overeenkomst of implementatiecontract bestaat al snel uit tientallen pagina’s met afspraken over aansprakelijkheid, servicelevels, intellectuele eigendom en beëindiging van de samenwerking.

Om al te veel maatwerk en onderhandelingen te voorkomen, kiezen veel ondernemers ervoor om te werken met algemene voorwaarden. Door algemene voorwaarden te hanteren, hoeft een onderneming niet elk contract opnieuw uit te onderhandelen. In de praktijk vormen deze voorwaarden vaak het juridische kader van de overeenkomst. Soms bestaan de afspraken zelfs vrijwel volledig uit algemene voorwaarden, bijvoorbeeld bij standaard SaaS-diensten of softwarelicenties (EULA’s), waarbij de voorwaarden feitelijk de overeenkomst vormen.

Terhandstelling

Algemene voorwaarden hoeven niet expliciet te worden geaccepteerd met bijvoorbeeld een handtekening, maar zijn al van toepassing als deze juist ‘ter hand gesteld’ zijn aan de wederpartij. Aan die toets is voldaan als de wederpartij de ‘redelijke mogelijkheid heeft gehad om kennis te nemen’ van de voorwaarden. Het is daarbij niet vereist dat de wederpartij deze voorwaarden daadwerkelijk heeft gelezen, maar deze moet wél de kans hebben gehad om de algemene voorwaarden in te zien, al gelden daarop in zakelijke verhoudingen de nodige uitzonderingen, bijvoorbeeld bij grote wederpartijen of bij herhaaldelijke transacties.

Opmerkelijk genoeg gaat dit alsnog regelmatig mis. Wanneer algemene voorwaarden niet of niet correct ter hand zijn gesteld, kan de wederpartij de algemene voorwaarden in bepaalde gevallen vernietigen. Dat kan vergaande gevolgen hebben. Bepalingen over aansprakelijkheidsbeperkingen, garanties of forumkeuze kunnen dan ineens buiten toepassing blijven. Daarop geldt een aantal belangrijke nuanceringen: zo kan voor dienstverrichters een soepeler regime gelden, wordt in zakelijke verhoudingen minder snel aangenomen dat vernietiging mogelijk is en kan bij bestendige handelsrelaties hernieuwde terhandstelling achterwege blijven. Desalniettemin is het aan te raden om scherp te zijn bij het ter hand stellen van algemene voorwaarden. In dit blog worden vijf valkuilen besproken tijdens het ter hand stellen en hanteren van algemene voorwaarden.

Valkuil 1: verwijzen naar voorwaarden zonder ze mee te sturen

Een veelgemaakte fout is dat in een offerte of contract wel wordt verwezen naar algemene voorwaarden, maar dat die voorwaarden niet worden meegestuurd of anderszins toegankelijk gemaakt. Een voorbeeld daarvan is een leverancier die een offerte stuurt waarin is opgenomen dat de ‘algemene voorwaarden van Leverancier van toepassing zijn’, zonder dat wordt verwezen naar de concrete vindplaats van deze voorwaarden. In zo’n geval heeft de wederpartij geen reële mogelijkheid gehad om kennis te nemen van de inhoud. De voorwaarden zijn dan in beginsel vernietigbaar, al gelden daarop - zoals eerder genoemd - de nodige uitzonderingen.

Valkuil 2: voorwaarden pas achteraf verstrekken

Een tweede veelvoorkomende fout is dat algemene voorwaarden pas worden verstrekt nadat de overeenkomst al is gesloten. Dit kan bijvoorbeeld gebeuren als twee partijen een overeenstemming bereiken over uit te voeren IT-werkzaamheden, maar de opdrachtgever diens algemene voorwaarden opstuurt nadat de opdrachtnemer al met de werkzaamheden is gestart. In de praktijk gebeurt het bijvoorbeeld dat leveranciers hun algemene voorwaarden pas op een factuur opnemen, bijvoorbeeld via een voorgedrukte tekst onderaan de factuur. Op dat moment is de overeenkomst echter al gesloten, ook als sprake is van vooruitbetaling. De wederpartij heeft dan niet vóór het sluiten van de overeenkomst de mogelijkheid gehad om van de voorwaarden kennis te nemen.

Valkuil 3: een vage verwijzing naar voorwaarden

Tegenwoordig wordt in offertes vaak naar algemene voorwaarden verwezen. Dat is toegestaan, maar de verwijzing moet wel voldoende duidelijk zijn. Een verwijzing zoals ‘onze algemene voorwaarden zijn te vinden op onze website’ kan onvoldoende zijn wanneer niet duidelijk is waar deze precies te vinden zijn. In dat geval kan worden betoogd dat de wederpartij geen reële mogelijkheid heeft gehad om van de voorwaarden kennis te nemen. Tegelijkertijd geldt dat hier in de praktijk niet altijd strikt mee wordt omgegaan. In zakelijke verhoudingen kan een algemene verwijzing soms toch volstaan, bijvoorbeeld wanneer de wederpartij eenvoudig toegang had tot de voorwaarden of daarmee bekend mocht worden verondersteld. Ook voor dienstverrichters kan een soepeler regime gelden.

Valkuil 4: onduidelijkheid over de toepasselijke versie van de voorwaarden

Een valkuil die vaak over het hoofd wordt gezien, is dat niet duidelijk wordt gemaakt welke versie van de algemene voorwaarden van toepassing is. In offertes wordt bijvoorbeeld volstaan met een verwijzing naar ‘de algemene voorwaarden van Leverancier' zonder datum of versienummer. Dit kan tot discussie leiden. Zeker wanneer een leverancier zijn voorwaarden in de loop der tijd wijzigt of wanneer partijen meerdere overeenkomsten met elkaar sluiten. Dit probleem speelt met name wanneer voorwaarden via een website beschikbaar worden gesteld en oude versies niet (goed) worden gearchiveerd. Het is dan achteraf lastig vast te stellen welke voorwaarden de wederpartij destijds heeft kunnen raadplegen. Het verdient daarom aanbeveling om in offertes en overeenkomsten expliciet te verwijzen naar een specifieke versie, bijvoorbeeld met datum of versienummer, en om oudere versies van voorwaarden intern goed te archiveren.

Valkuil 5: de ‘battle of forms’

Nagenoeg elke onderneming, zowel leverancier als afnemer, maakt gebruik van een eigen set algemene voorwaarden. Dit kan voor moeilijkheden zorgen bij onderhandelingen, omdat beide partijen hun algemene voorwaarden van toepassing verklaren. Dit wordt ook wel de battle of forms genoemd. De vraag is dan welke voorwaarden uiteindelijk gelden. In beginsel zijn dat de voorwaarden van de partij die als eerst naar de voorwaarden verwijst (first shot rule), tenzij de andere partij die voorwaarden uitdrukkelijk van de hand wijst. Hierover kan echter veel discussie ontstaan. Om onzekerheid te voorkomen is het verstandig om expliciet vast te leggen welke voorwaarden van toepassing zijn en welke juist niet.

Conclusie

Algemene voorwaarden vormen vaak het juridische fundament onder ICT-contracten. Toch gaat het regelmatig mis bij de toepasselijkheid en het correct hanteren ervan. Wanneer die stap niet zorgvuldig wordt uitgevoerd, kan de wederpartij de voorwaarden in sommige gevallen vernietigen of kan discussie ontstaan over de vraag welke voorwaarden precies gelden, waardoor belangrijke beschermingsbepalingen onder druk komen te staan.

Voor zowel leveranciers als afnemers is het daarom verstandig om bij het contractsluitingsproces expliciet stil te staan bij de vraag of de algemene voorwaarden daadwerkelijk op de juiste manier zijn verstrekt én of duidelijk is welke voorwaarden van toepassing zijn. Hierbij kunnen de volgende praktische tips worden gehanteerd:

voeg algemene voorwaarden standaard als bijlage toe aan offertes en contracten;
gebruik duidelijke hyperlinks wanneer voorwaarden online beschikbaar zijn;
zorg dat de voorwaarden vóór het sluiten van de overeenkomst beschikbaar zijn;
verwijs naar een specifieke versie van de voorwaarden en archiveer oudere versies goed;
leg expliciet vast welke algemene voorwaarden van toepassing zijn.

Andere blogs in deze serie

Meer weten over valkuilen bij ICT-contracten? Lees ook de eerdere blogs in deze serie over het selectieproces van leveranciers en positioneel onderhandelen. Binnenkort verschijnen nieuwe delen waarin we andere veelvoorkomende contractuele valkuilen bespreken. Zodra het volgende blog online staat, zal hier een hyperlink worden toegevoegd. Je kunt je natuurlijk ook aanmelden voor onze nieuwsbrief als je op de hoogte wil blijven.

Menselijk gedrag als sleutel tot security awareness

k.keenswijk@ictrecht.nl (Kimberly Keenswijk) — Mon, 23 Mar 2026 12:50:05 GMT

Security awareness, een relatief bekend begrip binnen onze sector. Tegenwoordig erkennen steeds meer organisaties het belang van menselijk gedrag voor de gehele informatiebeveiliging van de organisatie. Trainingen binnen het kader van ISO 27001 zijn bedoeld om medewerkers niet alleen bewust te maken van informatiebeveiligingsrisico’s, maar hen ook in staat te stellen veilig te handelen in hun dagelijkse werkzaamheden. Het gaat daarbij niet om het ‘afvinken van verplichte kennisoverdracht’. Dit zag ik namelijk voorheen wel eens in het werkveld, maar het gaat om het ontwikkelen van begrip, vaardigheden en gewenst gedrag dat aansluit bij de praktijk. Effectieve security awareness ondersteunt het Information Security Management System (ISMS) door beleid en maatregelen te vertalen naar herkenbare situaties. Dit zorgt ervoor dat medewerkers weten wat er van hen wordt verwacht, waarom dat belangrijk is en hoe zij hier concreet naar kunnen handelen.

In het vorige blog van mijn collega Laurens Rüpp lieten we zien waarom informatiebeveiliging in de praktijk zelden faalt door technologie, maar vaker door het menselijk gedrag. Het blog hierna van mijn collega Hediye Kamalizade liet zien dat menselijke fouten vaak een logisch gevolg zijn binnen de organisatorische context van organisaties. Dit is het laatste deel. We bespreken hier onder andere de praktische tips en de mogelijke methodes voor het opzetten van een security awareness training, die rekening houdt met de context, routines van het menselijke gedrag.

Samenvatting theorie

Als eerste hierbij nog een korte samenvatting van de theorie uit de vorige blogs. Informatiebeveiliging wordt vaak benaderd als een technisch vraagstuk, terwijl in de praktijk veel incidenten terug te leiden zijn tot menselijk gedrag. Dat gedrag is zelden irrationeel of onverschillig, maar ontstaat onder invloed van emoties, routines, sociale normen en context. De neuroloog António Damásio is er bijgehaald en stelt dat ‘mensen voelende machines zijn die denken’. Dat betekent dat veilig of onveilig gedrag niet primair wordt gestuurd door kennis of regels. Het eerste blog introduceert een systematische gedragsaanpak op basis van vijf gedragslenzen, afkomstig uit het Persuasive by Design-model. Deze lenzen maken inzichtelijk hoe informatieveilig gedrag tot stand komt: via gewoontes en impulsen, kennis en overtuigingen, zichtbaarheid en feedback, motivatie en vaardigheden, en herhaling in de dagelijkse praktijk. Dit gaan we dan ook meenemen voor de opzet van de awareness training.

Daarnaast kwam in het tweede blog ook naar voren dat zelfs de beste en meest loyale medewerker op een phishinglink zou kunnen klikken en dat dit niet uit onwil voortkomt, maar door de manier waarop ons brein en onze werkomgeving functioneren. Door bijvoorbeeld hoge werkdruk of vermoeidheid. Hierdoor schakelen we over op de ‘automatische piloot’, waarbij we snelle, onbewuste beslissingen nemen om energie te besparen, waardoor waakzaamheid afneemt. Onderzoek laat zien dat de menselijke factor bij een groot deel van de datalekken een rol speelt. Extra trainingen of strengere regels zijn daarom zelden de oplossing, de beveiliging faalt namelijk ook vaak door een kloof tussen beleid en praktijk, onwerkbare processen en een cultuur waarin werkdruk veiligheid ondermijnt. Effectieve informatiebeveiliging vraagt om een integrale benadering waarin mens, proces en techniek samenkomen en waarbij de veilige route ook de makkelijkste route is.

Deze informatie is zeer relevant en helpt ons inzicht te krijgen op wat uiteindelijk wel en niet werkt, maar ook waarom. Dit kunnen we goed gebruiken om de daadwerkelijke training vorm te geven en komt terug in de tips.

Opvallend, maar uiteindelijk best logisch

Er zijn natuurlijk verschillende manieren om security awareness goed te implementeren in de organisatie. Wat we uiteindelijk kunnen concluderen is dat er geen ‘One size fits all’-oplossing is. Ook dat er consistentie en herhaling nodig is, ofwel, geduld. Menselijk gedrag pas je niet snel of gemakkelijk aan. Wel zien we in de praktijk, bij andere organisaties verschillende toepassingen van hoe zij bezig waren het bewustzijn van medewerkers te verbeteren. Wat vaak, over het algemeen als positief wordt ervaren is het volgende.

Een laagdrempelig aanspreekpunt

Niet één aanspreekpunt, maar meerdere wat betreft vragen over security en/of privacy in verschillende afdelingen (vaak op locatie). Zeker bij grotere organisaties, is de stap naar meteen een FG of CISO, die vaak al erg druk zijn, groter dan een medewerker in een team die snel even je vraag kan beantwoorden. Een organisatie noemde het ook wel ‘Informatiebeveiliging (en privacy) vraagbakens’. Dit kunnen medewerkers zijn met affiniteit met dit onderwerp en per kwartaal een sessie hebben om op de hoogte gehouden te worden van recente ontwikkelingen binnen en buiten de organisatie m.b.t. informatiebeveiliging (en eventueel privacy).

Een open en leergierige bedrijfscultuur

Dit kan natuurlijk op verschillende manieren worden opgevat en misschien zelfs wat cliché klinken. Toch helpt het als een leidinggevende vanaf het begin uitlegt waarom informatiebeveiliging en privacy belangrijk zijn, welke (gedrags)regels binnen de organisatie gelden en dat fouten maken nu eenmaal menselijk is. In zo’n omgeving zijn mensen eerder geneigd om ermee aan de slag te gaan en verantwoordelijkheid te nemen. Vaak geven medewerkers dan ook sneller aan als ze twijfelen over iets of een fout maken, zoals op een phishingmail klikken. Dit verhoogt de incident meldingsbereidheid bij medewerkers en dit borgt uiteindelijk dat de organisatie een beter zicht heeft op de gevaren en de daarbij behorende risico’s. Uiteindelijk kan de organisatie hierop dan gepaster reageren, door bijvoorbeeld gerichte trainingen.

De trainingen laten aansluiten op een bestaand overleg of bijeenkomst

Met de awareness training kun je ook aansluiten op een bestaand overleg die periodiek wordt gevolgd door een groep medewerkers. Je kunt een training ook samenvoegen met een bijeenkomst (zowel fysiek als digitaal). Daardoor heb je al meteen een groep mensen die aanwezig is en laat je zien dat informatiebeveiliging en/of privacy een belangrijk onderwerp is, die voor iedereen geldt. Houd hiermee wel rekening met de doelgroep.

Tips voor het opstellen van een security awareness training

Vaak zijn de security awareness trainingen inhoudelijk prima, maar ze missen soms hun doel. Medewerkers weten na afloop vaak wél wat phishing is of waarom sterke wachtwoorden belangrijk zijn, maar in de praktijk verandert er weinig. De stap hierna ontbreekt. Dat is dus geen onwil, maar een logisch gevolg van hoe menselijk gedrag werkt. De organisatorische context van een organisatie, bijvoorbeeld werkdruk of de werkomgeving, heeft hier ook invloed op.

Het opstellen van een effectieve security awareness training is vaak lastig. Hoe zorg je ervoor dat medewerkers niet alleen weten wat veilig gedrag is, maar dit ook daadwerkelijk gaan toepassen in hun dagelijkse werk?

Tip 1. Zorg dat je afwisselt per training; zowel fysiek als digitaal en sluit aan op de doelgroep.

Afwisseling zorgt dat men in eigen tijd hieraan kan werken, maar door fysieke aanwezigheid kun je de groep monitoren en inspelen op interactie. In fysieke trainingen kun je peilen wat goed aankomt en waar er vraag naar is. Ook kun je dan per groep specifiekere thema’s behandelen die voor die doelgroep meer van toepassing is.

Tip 2. Gewoontes aanleren door herhaling en beloning.

Borg in de training afspraken met betrekking tot informatiebeveiliging voor verschillende afdelingen. Zorg dat de belangrijkste informatie en afspraken elke training herhaald worden (wel op verschillende manieren of perspectieven). Zodat het aansluit op de praktijk en zorg voor een positieve beloning aan ‘goed gedrag’. Dit sluit aan op de theorie van de gedragslenzen, die de kracht van herhaling bespreekt. Door bepaalde werkprocessen vast te leggen, dit herhaaldelijk te communiceren naar medewerkers toe en ze het te laten uitvoeren, zorg je ervoor dat dit op termijn een werkwijze wordt die medewerkers op een gegeven moment als ‘standaard’ ervaren.

Tip 3. Zichtbaarheid van het informatiebeveiligingsgedrag vergroten.

Deze tip sluit aan op gedragslens drie. Het zorgen voor inzicht en kennis bij medewerkers helpt om ze mee te krijgen in verandering. Zorg voor zichtbaarheid van de bedrijfsrisico’s en borg dat ze inzicht krijgen op hun eigen gedrag m.b.t. informatiebeveiliging en privacy. Dit kun je bewerkstelligen door praktijkvoorbeelden en ervaringen in de trainingen te verwerken. Dit kan vervolgens door iets te leren van de incidenten. Dit kan door een ‘root cause analyse’ uit te voeren. Dit is een systematische methode om de onderliggende oorzaak (de kern van het probleem) van incidenten te helpen identificeren, met als doel begrijpen waarom het incident heeft kunnen plaatsvinden. Het belangrijkste is, communiceer open naar medewerkers en neem ze mee om zo herhaling in de toekomst te voorkomen.

Tip 4. Focus tijdens de training op het menselijk gedrag onder (werk)druk.

Zoals ook beschreven in het tweede blog, is het van belang het te erkennen dat dit een veelvoorkomende oorzaak is van een menselijke fout. Speel hier dan ook op in door tijdens de trainingen te oefenen met het nemen van beslissingen onder druk. Het voorkomen van werkdruk is natuurlijk het eerste waar je naar moet kijken, maar soms ontkom je niet aan een drukke week met deadlines. Zorg voor input bij medewerkers en gebruik dit voor realistische tijdsdruk-simulaties (scenario’s) waarin je in de training kunt focussen op het integreren van reflexen (simpele gedragstoepassingen) die men dan kan uitvoeren om de risico op fouten, zoals het klikken op een phishinglink, te verkleinen. Bijvoorbeeld als er een urgente actie wordt verwacht van een collega, dat er altijd eerst een berichtje/belletje wordt gedaan.

Uiteindelijk draait effectieve informatiebeveiliging niet om strengere regels of meer kennis. In deze serie hebben we laten zien dat informatieveilig gedrag ontstaat door een omgeving die veilig handelen vanzelfsprekend maakt. Wanneer organisaties bewust investeren in gedrag, processen en cultuur, wordt security awareness niet een verplicht onderdeel van compliance, maar verankerd binnen de werkomgeving. Het draait om het ontwerpen van een werkomgeving waarin veilig gedrag vanzelfsprekend wordt, gedragen door mensen die begrijpen dat hun dagelijkse keuzes daarin het verschil maken.

Onze unieke 'Phishing Awareness Service' traint je medewerkers om phishing e-mails te herkennen en hier passend mee om te gaan.