Voor zowel consumenten als bedrijven komen er in 2025 nieuwe uitdagingen en kansen op het gebied van privacy. In deze blog nemen we je mee in de belangrijkste ontwikkelingen rondom privacy die we in 2025 kunnen verwachten. Denk aan nieuwe wet- en regelgeving, aanstaande jurisprudentie of andere interessante ontwikkelingen. Deze updates helpen je om goed voorbereid 2025 in te gaan.
Wet gegevensverwerking door samenwerkingsverbanden
Het jaar beginnen met een knal: het streven is dat per 1 januari 2025 de wet Gegevensverwerking door samenwerkingsverbanden (WGS) in werking treedt.
De WGS geeft publieke en private partijen ruime bevoegdheden om binnen bepaalde verbanden persoonsgegevens te delen om fraude en (ondermijnende) criminaliteit tegen te gaan. Het gaat vooralsnog om de volgende samenwerkingsverbanden:
De deelnemende samenwerkingsverbanden zijn aangewezen in de wettekst. Bij algemene maatregel van bestuur kunnen andere samenwerkingsverbanden worden aangewezen.
De informatie die de partijen binnen het samenwerkingsverband delen, varieert van feitelijke gegevens tot vermoedens, risicosignalen en zwarte lijsten. De wet wordt zo niet voor niks de ‘Big-Brotherwet’ genoemd. Ondanks herhaaldelijke kritiek van de Autoriteit Persoonsgegevens (AP), is de wet aangenomen. Hoewel het wetsvoorstel aan de hand van de kritiek werd gewijzigd, mist volgens de AP nog steeds een belangrijke waarborg: de inzet van de, op deze wet gebaseerde bevoegdheden, zou vooraf getoetst moeten worden door de rechter.
Let op: het moment van inwerkingtreding kan verschillen voor verschillende artikelen of onderdelen van de wet. Aangezien we tot nog toe niks hebben gehoord over de inwerkingtreding, lijkt het sterk dat dit per 1 januari gerealiseerd is. Hoe deze wet zich in de praktijk verder gaat ontwikkelen, zien we in 2025.
Dataverordening
Het duurt nog even, maar op 12 september 2025 treedt de Europese Dataverordening (‘Data Act’ in het Engels) in werking. De Dataverordening betreft data verzameld door “verbonden apparaten”. Denk aan hardloophorloges en slimme koelkasten, de apparaten binnen ‘theInternet of Things’. Met de komst van de Dataverordening krijgen personen en bedrijven betere toegang tot die data. Om dat te realiseren introduceert de Dataverordening allerlei rechten en verplichtingen, en regels voor veilige datadeling. Zo beoogt de Europese wetgever het potentieel van die data te ontgrendelen en de gebruiker meer in controle te brengen. De gebruiker is de persoon of het bedrijf, die met het gebruik van het apparaat de data genereert.
Hoewel de Dataverordening niet specifiek gericht is op persoonsgegevens, kan het natuurlijk wel zo zijn dat de data persoonsgegevens bevat. Zo kunnen verplichtingen van de Dataverordening en de Algemene verordening gegevensbescherming (AVG) elkaar aanvullen en kruisen.
De Dataverordening is opgesteld met de AVG in het achterhoofd. Wanneer de gebruiker van de data niet de betrokkene van de data is, mag de data alleen verzonden worden op basis van een rechtsgeldige grondslag. De grondslag toestemming zou hier eventueel voor gebruikt kunnen worden. De Dataverordening en de AVG zijn allebei van toepassing als het data betreft van een verbonden apparaat wat ook kwalificeert als persoonsgegevens. In dat geval vormen de rechten uit de Dataverordening een aanvulling vormen op de al bestaande rechten van inzage en dataportabiliteit als bedoeld in de AVG.
Hoewel de Dataverordening de AVG hoort aan te vullen, kan de toepassing van beide verordeningen lastigheden veroorzaken. Een grondige analyse van je data, en wanneer de data de Dataverordening en de AVG betreft, is essentieel om te voldoen aan dit stuk wetgeving. Zo kun je de rechten en verplichtingen uit de Dataverordening laten aansluiten op bestaande systemen gebaseerd op de AVG.
Duidelijkheid verwerking gezondheidsgegevens bij arbeidsongevallen
Het ministerie van Sociale Zaken en Werkgelegenheid publiceert jaarlijks een Verzamelwet. De wet heeft als doel wetten over werk en sociale zekerheid technisch te onderhouden en te verbeteren. Zo brengt de Verzamelwet 2025 een toevoeging op artikel 9 Arbowet. Op grond van artikel 9 Arbowet zijn werkgevers verplicht bedrijfsongevallen te melden en hierover te rapporteren wanneer de ongevallen resulteren in blijvend letsel, een ziekenhuisopname of een overlijden. Het is onvermijdelijk dat hierbij bepaalde gezondheidsgegevens van werknemers worden vastgelegd door de werkgever.
Om duidelijkheid te verschaffen over het verwerken van gezondheidsgegevens door werkgevers, is voorgesteld om een nieuw lid toe te voegen aan artikel 9 Arbowet. Dit lid maakt duidelijk dat het verbod op het verwerken van gezondheidsgegevens (artikel 9 AVG) niet van toepassing is wanneer de werkgever deze gegevens verwerkt, mits dit noodzakelijk is voor het voldoen aan de verplichting om een arbeidsongeval te melden en, indien gevraagd, hierover te rapporteren aan de toezichthouder.
Op dit moment ligt het voorstel nog bij de Eerste kamer. De verwachting is dat het voorstel op 10 december 2024 als hamerstuk wordt afgedaan.
Omstreden Chat Control-wet afgewezen – voor nu
Het Europese Wetsvoorstel CSAM, Child Sexual Absuse Material, staat sinds september weer op de agenda van de Raad van de Europese Unie (EU). Met de komst van de zogenoemde Chat Control-wet zouden chatdiensten verplicht worden om alle berichten van hun gebruikers te controleren. Het wetsvoorstel beoogt verspreiding van beelden van seksueel misbruik van kinderen tegen te gaan. Volgens critici betekent de eventuele komst van de wet een aanzienlijke inbreuk op privacy van burgers, terwijl er geen garanties zijn dat de wet verspreiding van beelden van seksueel misbruik van kinderen tegengaat.
De meest recente ontwikkeling is dat de Nederlandse regering besloot geen steun te bieden aan het controversiële EU-wetsvoorstel, waardoor het voorstel voorlopig geen meerderheid behaalt. In december 2024 plant het Hongaarse voorzitterschap van de EU-Raad een nieuwe poging om de wet goed te keuren. Dit is er één om in de gaten te houden in 2025.
Het EDPB-werkprogramma van 2025
Elk jaar publiceert de EDPB een werkprogramma, aan de hand van de EDPB-strategie. De EDPB heeft begin oktober het werkprogramma voor 2024 en 2025 aangenomen.
Het werkprogramma omvat onder meer het ontwikkelen van richtlijnen over:
Daarnaast richt de EDPB zich op het versterken van de samenwerking tussen privacytoezichthouders binnen de Europese Economische Ruimte (EER) en daarbuiten.
Gecoördineerde handhavingsactie door de EDPB 2025: recht op vergetelheid
Tijdens de plenaire vergadering in oktober heeft de European Data Protection Board (EDPB) het onderwerp voor de gecoördineerde handhavingsactie van 2025 vastgesteld: het recht van vergetelheid. De EDPB gaat zo onderzoeken hoe dit recht in de praktijk is geïmplementeerd. Nationale toezichthouders gaan samenwerken om praktijkervaringen te bundelen en gezamenlijke inzichten te genereren, met als doel om zowel op nationaal als EU-niveau verbeteringen door te voeren.
Deze actie is onderdeel van het Coordinated Enforcement Framework (CEF), dat sinds 2020 handhaving en samenwerking tussen de nationale toezichthouders bevordert. Eerdere acties richtten zich bijvoorbeeld op de positie van functionarissen voor gegevensbescherming en het gebruik van cloudservices door overheden.
Voor organisaties is deze aankondiging een oproep om hun processen rondom het recht op vergetelheid te evalueren en te verbeteren.
Nederlandse privacyrechtszaak tegen Google van start
In oktober vond in Amsterdam de eerste zitting plaats in de rechtszaak van Stichting Bescherming Privacybelangen (SBP) tegen Google. SBP daagde Google voor de rechter wegens grootschalige privacyschendingen, waaronder het onrechtmatig verwerken van persoonsgegevens van Nederlandse consumenten voor eigen commercieel gewin. Kort gezegd eist SBP het volgende van Google erkenning van onrechtmatig handelen, het stopzetten van onrechtmatige praktijken en een schadevergoeding.
SBP baseert de collectieve eis tegen Google op artikel 3:305a van het Burgerlijk Wetboek (BW). Dit artikel biedt stichtingen of verenigingen zonder winstoogmerk de mogelijkheid om namens een groep personen een collectieve vordering in te dienen.
De eerste zitting op 22 oktober ging de vraag of SBP voldoet aan alle formele vereisten om de procedure tegen Google te mogen voeren. Dit betekent dat de rechtbank beoordeelt of de stichting gerechtigd is om op te treden als vertegenwoordiger van de betrokken groep. Naar verwachting horen wij hier in 2025 meer over. Wordt vervolgd!
De Ierse privacytoezichthouder onderzoekt biometrische identificatie door Ryanair
Een interessante ontwikkeling rondom het gebruik van biometrische gegevens voor klantverificatie: de Ierse toezichthouder (DPC) doet hier momenteel onderzoek naar Ryanair
De DPC heeft een onderzoek ingesteld naar Ryanair's verwerking van persoonsgegevens in het kader van hun klantverificatieproces voor klanten die vluchten boeken via derde partijen of online reisagenten. Het proces omvatte het gebruik van gezichtsherkenningstechnologie waarbij biometrische gegevens werden verwerkt. Ryanair heeft verklaard het onderzoek van de DPC te verwelkomen en benadrukt dat hun verificatieproces is ontworpen om klanten te beschermen tegen ongeautoriseerde online reisagenten die mogelijk onjuiste klantgegevens verstrekken en consumenten misleiden.
Het gebruik van biometrische gegevens is verbonden aan strikte voorwaarden onder de AVG. Biometrische gegevens kwalificeren als bijzondere persoonsgegevens en daarvoor geldt in beginsel een verwerkingsverbod, tenzij er een uitzondering van toepassing is.
Het onderzoek moet verduidelijken of de verificatiemethoden van Ryanair in overeenstemming zijn met de AVG. De uitkomst biedt bedrijven meer duidelijkheid over het gebruik van biometrische gegevens voor klantverificatie, wat – zeker gezien de aanvullende regels van de Artificial Intelligence Act – zeer noodzakelijk is.;
2025: privacy gaat verder dan de AVG
In 2025 zien we dat privacy steeds meer omvat dan alleen de AVG. Het wordt dan ook steeds belangrijker om mee te bewegen met de nieuwe ontwikkelingen. Niet alleen rondom de jaarwisselingup to dateblijven? We plaatsen elke maand een jurisprudentieblog en posten ook via LinkedIn over de laatste ontwikkelingen. Meer vragen? Schroom niet om even contact op te nemen via onze contactpagina.
Heb je hulp nodig bij het waarborgen van privacy wetgeving? Huur dan een Privacy Officer in. Met een ervaren Privacy jurist in jouw organisatie ben je verzekerd van een zorgvuldige behandeling van persoonsgegevens.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.