De databank voor en door Innovatieve meesters

De Europese Commissie heeft half november 2025 een versoepeling, uitstel en centralisering van Europese digitale regels voorgesteld in de zogeheten Digital Omnibus Package. Dit pakket bevat voorstellen tot aanpassingen van de AI Verordening en de toepassing van de Algemene Verordening Gegevensbescherming (AVG). Of u nu AI-systemen ontwikkelt of AI inzet in uw bedrijfsvoering: deze ontwikkelingen zijn direct relevant voor uw compliancestrategie. In deze blog zetten wij de zeven belangrijkste voorgestelde wijzigingen voor u op een rij.Let op: De Digital Omnibus is op dit moment nog een wetgevingsvoorstel zonder rechtskracht. De voorstellen doorlopen de Europese trilogen — onderhandelingen tussen de Commissie, de Raad en het Europees Parlement. Pas na formele bekrachtiging staan de wijzigingen vast. Naar verwachting ontstaat pas begin zomer 2026 duidelijkheid over de definitieve uitkomst. 

Bewaartermijnen voor persoonsgegevens lijken soms een formaliteit, maar het nieuws over telecombedrijf Odido laat zien dat dit onderwerp nadelige gevolgen kan hebben indien organisaties persoonsgegevens niet conform de bewaartermijn bewaren. Odido blijkt persoonsgegevens van oud-klanten langer te bewaren dan zij zelf aangeeft in haar privacyverklaring. Dit kan risico’s opleveren onder de Algemene Verordening Gegevensbescherming (AVG), vooral indien er vervolgens sprake is van een datalek. Hoe zit het eigenlijk precies met bewaartermijnen en waar moet u als ondernemer op letten?

Contant geld, wie heeft het tegenwoordig nog op zak? Steeds meer ondernemingen kiezen ervoor om geen contant geld meer te accepteren. Dat lijkt praktisch en veilig. Maar hoe zit dat onder de AVG? Mag u klanten verplichten om met pin of creditcard te betalen, terwijl daarbij persoonsgegevens (denk daarbij o.a. aan het rekeningnummer) worden verwerkt?In een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State is hier antwoord op gegeven. 

De AP heeft recent een brief met aanbevelingen gepubliceerd gericht aan een tweetal gemeenten naar aanleiding van informatieverzoeken en toezichtsbezoeken. Het gaat om de gemeenten Doesburg en Breda. Dit zijn de eerste twee bezoeken van de AP in een reeks waarmee de AP inzicht wil krijgen in hoe secuur gemeenten met persoonsgegevens omgaan. De AP heeft namelijk eerder al geconstateerd dat veel gemeenten nog gebrekkig zijn in hun naleving van de AVG. 

Het gebruik van AI-chatbots zoals ChatGPT heeft al geleid tot tientallen datalekken, dit maakte de Autoriteit Persoonsgegevens (‘AP’) onlangs bekend in diverse media (het FD en RTL Z). Aanleiding hiervoor was een datalek bij de gemeente Eindhoven waarbij medewerkers cv’s, jeugdzorgdocumenten en interne verslagen hadden geüpload in AI-tools. Met daarin gevoelige persoonsgegevens. Op 18 december 2025 meldde de gemeente Eindhoven dat er een datalek had plaatsgevonden door het gebruik van een aantal medewerkers van openbare AI-chatbots.

Stelt u zich voor, u heeft een koopovereenkomst met een klant gesloten en een dag later geeft de klant aan het bedrag te hebben overgemaakt volgens de betaalinstructie die de klant zou hebben ontvangen via uw bedrijfsmail. U ontdekt dat een hacker toegang heeft gekregen tot uw bedrijfsmail en de klant dus geld over heeft gemaakt naar de hacker. Bent u in deze situatie zelf in overtreding en aansprakelijk voor de schade die de klant lijdt? Een vergelijkbare vraag stond centraal in een recent gewezen zaak van het hof Arnhem-Leeuwarden. 

Overheidsinformatie is op grond van wetten zoals de Wet open overheid of de Archiefwet (na 20 jaar) in principe openbaar. Maar niet altijd. Bevat een archiefstuk bijvoorbeeld gegevens die de persoonlijke levenssfeer raken? Dan kan het zijn dat openbaarheid voor dat archiefstuk tijdelijk beperkt wordt. Als er persoonsgegevens in een archief zitten moeten archieven bovendien ook voldoen aan de strenge eisen van de Algemene Verordening Gegevensbescherming (AVG). Uiteindelijk is het aan de archivaris om bij een verzoek om inzage van archiefdocumenten te beoordelen of deze ingezien mogen worden. De beoordeling of een stuk openbaar mag worden gemaakt is soms een ingewikkelde afweging. We nemen u mee in dit onderwerp.

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)?  Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet?  Lees hieronder meer.

De Europese Commissie heeft voorgesteld om de administratieve last van het voldoen aan de AVG voor zogenaamde Small Mid cap-ondernemingen (SMC)-ondernemingen te verlagen. Benieuwd of uw onderneming kwalificeert als een SMC’s? En wilt u weten wat deze versoepelingen betreffen? Hieronder zetten wij het voor u op een rij.