Privacy First | Datahandel onder de loep bij Europees Hof van Justitie

Geplaatst op 2 oktober 2025 door Ellen Timmer

Burgerrechtenorganisatie Privacy First publiceerde het artikel Datahandel onder de loep bij Europees Hof van Justitie, naar aanleiding van prejudiciële vragen die een Duitse rechter stelde aan het Europese hof. Die datahandel is ook voor financiële privacy van belang, aangezien er wordt gehandeld in persoonsgegevens ten behoeve van kredietbeoordeling en de geprivatiseerde criminaliteitsbestrijding (‘witwasbestrijding’).

Hierna volgt het artikel:

Datahandel onder de loep bij Europees Hof van Justitie

26 september, 2025

Mag een datahandelaar gegevens van onbekende derden gebruiken voor een kredietwaardigheidsbeoordeling? Dat is het onderwerp van vragen die een Duitse rechter heeft gesteld aan het Hof van Justitie van de Europese Unie.

In Nederland zijn vele bedrijven actief die gegevens over mensen verzamelen om aan de hand daarvan hun klanten te adviseren over hun kredietwaardigheid. Zij verzamelen persoonsgegevens achter de rug van mensen om.
In Nederland zijn onder meer de kredietinformatiebureaus Graydon, Experian, Focum en EDR actief. In Duitsland is het bedrijf Schufa bekend van de kredietwaardigheidsbeoordelingen (‘Bonitätsscore’). In een rechtszaak tegen Schufa zijn nu door de rechter vragen aan het Europese Hof gesteld, waarop wij na een inleiding zullen ingaan.

Financiële persoonsgegevens zijn het “nieuwe goud”

Bedrijven zoals Schufa verzamelen op grote schaal financiële en andere persoonsgegevens van mensen en verspreiden die gegevens op vele plaatsen zonder dat betrokkenen daar zicht op hebben.

Die persoonsgegevens, en al helemaal financiële persoonsgegevens, zijn het nieuwe ‘goud’ dat grote bedrijven en overheden graag willen delven. Dat nieuwe goud verdient dan ook een hoogwaardige bescherming. Die bescherming ontbreekt nu. Daarom besteedt Privacy First er aandacht aan, in het kader van ons focusgebied financiële privacy.

Mensen weten niet welke gegevens de kredietbeoordelaar over hen heeft ontvangen

Kenmerkend voor kredietbeoordelaars is dat het volledig schimmig is waar zij hun gegevens over mensen vandaan halen. In hun algemene voorwaarden staat dat zij hun informatie halen uit openbare bronnen, zoals het handelsregister en insolventieregister. Zij betrekken hun informatie ook uit niet-openbare bronnen, zoals hun eigen klanten en anderen die een zakelijke of financiële relatie hebben (‘derde-leveranciers’). Dat kunnen telecombedrijven zijn, maar ook advertentiebedrijven zoals Google, Meta en hun dochterondernemingen. De mensen om wie het gaat worden door de kredietbeoordelaars niet geïnformeerd over de ontvangen gegevens. Dat betekent dat het niet mogelijk is om te verifiëren of de van derde-leveranciers ontvangen gegevens juist zijn en of die derde-leveranciers die gegevens wel mochten verstrekken.

Het is onbekend bij wie de gegevens terechtkomen

Eveneens is schimmig aan wie de kredietbeoordelaars de gegevens verstrekken. Als de betrokken persoon een kredietaanvraag bij een financiële instellingen doet of een telefoonabonnement aangaat, wordt hij of zij soms wel geïnformeerd door de partij bij wie de aanvraag wordt gedaan of het abonnement wordt aangegaan.

De kredietbeoordelaar kan de persoonsgegevens ook aan andere klanten verstrekken, zonder dat de betrokkene dat weet. Op die manier kunnen vertrouwelijke gegevens bij partijen terechtkomen die daar geen recht op hebben. Het kan zelfs gebeuren dat de gegevens in criminele handen terechtkomen, zoals is gebeurd in de VS met een dochteronderneming van Experian.

‘Gerechtvaardigd belang’

De kredietbeoordelaars verschuilen zich achter een vermeend ‘gerechtvaardigd belang’ om de persoonsgegevens van derde-leveranciers te ontvangen, zonder de betrokkenen personen te informeren. Datzelfde argument gebruiken ze ook als ze financiële persoonsgegevens aan hun klanten leveren.

Riskante handel

De handel in financiële persoonsgegevens is niet gereguleerd. De kredietbeoordelaars hebben alleen met de AVG (GDPR) te maken. Die lappen ze aan hun laars, zo werd in het najaar van 2024 bekend via berichtgeving van het Financieel Dagblad [1]. Daaruit bleek dat aan Experian en Focum hoge boetes door de Autoriteit Persoonsgegevens zijn opgelegd. Helaas zijn die boetes niet openbaar gemaakt (anders dan in het financiële recht waarin boetes verplicht worden gepubliceerd).

Al langer is bekend dat de datahandel grote risico’s voor mensen oplevert. Zo schreef BNR in 2024 over de verkoop van locatiegegevens afkomstig van mobiele telefoons [2] en publiceerde RTL een artikel over de handel in adressen, ook geheime adressen [3], en maakte Cracked Labs bekend dat datahandelaar LiveRamp een bevolkingsregister heeft aangelegd van alle burgers ter wereld [4]. Ook bij datahandelaren doen zich datalekken voor, een voorbeeld is World-Check, leverancier van persoonsgegevens voor de witwasbestrijding [5].

Kernbeginsel AVG: je hoort te weten wat er met je financiële persoonsgegevens wordt gedaan

Een van de kernbeginselen van de AVG [6] is dat je als burger op de hoogte moet worden gebracht van de verspreiding van jouw gegevens en dat je die gegevens kunt inzien. Dat is belangrijk, allereerst om te kunnen zien of de gegevens juist zijn en ten tweede om te verifiëren of die gegevens terecht bij de ontvangende partij (zoals een kredietbeoordelaar) terecht zijn gekomen. Daaraan zijn onder meer het recht op inzage, het recht op rectificatie en het recht op wissen gekoppeld. Als je niet weet dat een datahandelaar jouw gegevens heeft, kan je ook niet controleren of de gegevens juist zijn en je andere rechten uitoefenen.

Verschuilen achter ‘gerechtvaardigd belang’

Ook kredietbeoordelaar Schufa en de derden-leveranciers verschuilen zich achter ‘gerechtvaardigd belang’ om achter de rug van mensen om hun financiële gegevens door te geven. In een zaak bij een Duitse rechter (het Landgericht Lübeck) kwam dit standpunt aan de orde. Een klant van een telecombedrijf (Vodafone) ontdekte dat Vodafone zonder zijn toestemming gegevens over hem aan Schufa had doorgegeven. Het ging om zijn naam, geboortedatum, adres, datum van het sluiten van het telecomcontract en contractnummer. De klant was het daar niet mee eens en is een procedure bij de rechter gestart, waarin hij van Vodafone onder meer eist dat zij stopt met gegevensverstrekking aan kredietbeoordelaars zoals Schufa.

De Duitse rechter zag hierdoor aanleiding om vragen te stellen aan het Europese Hof over de uitleg van de Europese privacyregels. De rechter vraagt zich af of Vodafone zich überhaupt wel op gerechtvaardigd belang kan beroepen, nu die bepaling niet lijkt te zijn geschreven voor massale overdracht van persoonsgegevens, zoals door telecombedrijven aan kredietbeoordelaars. Verder vraagt de rechter aan het Hof of de doorgifte door Vodafone onrechtmatig wordt nu Schufa de gegevens gebruikt voor profilering (het opstellen van een kredietwaardigheidsbeoordeling). Tot slot wordt gevraagd of de burger ook schadevergoeding kan eisen als er geen toestemming is gevraagd maar het telecombedrijf wel heeft gemeld dat zij persoonsgegevens aan de kredietbeoordelaar zal verstrekken. Meer informatie is te vinden in het Duitstalige nieuwsbericht van de Duitse rechter [7], waarin naar de uitspraak wordt verwezen.

Privacy First is benieuwd hoe het Europese Hof gaat beslissen.

Standpunt Privacy First over datahandel

Privacy First houdt zich al enige tijd met het onderwerp datahandel bezig, waarbij we ons met name richten op financiële privacy. In 2023 participeerde Privacy First in een wetgevingsconsultatie over de toekomst van kredietregistratie in Nederland, zie ons artikel Kredietregistratie in Nederland: BKR in huidige vorm moet verdwijnen en ons consultatiedocument destijds. Daarin bepleit Privacy First regulering van de datahandel. In 2024 stuurde Privacy First tevens een position paper [8] naar de commissie Digitale Zaken van de Tweede Kamer, waarin we opnieuw aandrongen op regulering van de datahandel en verbetering van de handhaving.

Het is inmiddels hoog tijd dat er een einde komt aan het Wilde Westen van de handel in persoonsgegevens. Daartoe is het Europese Hof nu aan zet.

 

[1] Gemeld in dit artikel: https://privacy-web.nl/nieuws/ap-treedt-op-tegen-privacypraktijken-kredietinformatiebureaus-experian-focum-en-edr/
[2] https://www.bnr.nl/nieuws/technologie/10537256/nederlandse-telefoons-onlinestiekem-te-volgen-extreem-veiligheidsrisico
[3] https://www.rtl.nl/boulevard/crime/artikel/5425259/geheime-adressen-bedreigde-journalisten-politici-en-advocaten-te
[4] http://crackedlabs.org/dl/CrackedLabs_IdentitySurveillance_LiveRamp.pdf
[5] https://techcrunch.com/2024/04/18/world-check-database-leaked-sanctions-financial-crimes-watchlist/
[6] Artikel 13 en 14 AVG (GDPR), https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#cpt_III.sct_2
[7] Zie dit nieuwsbericht van Landgericht Lübeck d.d. 9 september 2025. Zaaknummer bij EU Hof: C-594/25.
[8] Zie Paper Privacy First inzake rondetafelgesprek Verzamelwet gegevensbescherming 4 december 2024 (pdf).

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , | Plaats een reactie

Onverstandig amendement van Tweede Kamerlid SP over vergaande bevoegdheid van FIU Nederland

Geplaatst op 1 oktober 2025 door Ellen Timmer

Regelmatig is zichtbaar dat de SP de rechtsstatelijke weg kwijt is als het gaat om de bestrijding van crimineel geld door bedrijven (‘witwasbestrijding’) [1].

Dat is nu te zien aan het amendement dat het Tweede Kamerlid Van Nispen indiende op een strafrechtelijk wetsvoorstel. In dat wetsvoorstel staat dat banken op bevel van FIU Nederland (een onderdeel van de politie) transacties mogen blokkeren, ik schreef er over [2]. Dat is een vergaande bevoegdheid zonder waarborgen dat die bevoegdheid niet onjuist wordt ingezet. Voor die waarborgen heeft Van Nispen geen belangstelling, terwijl het hem zou sieren als hij volksvertegenwoordiger voorstellen zou doen voor betere waarborgen.
In zijn amendement wil hij deze riskante bevoegdheid van FIU Nederland (die in het behandelde wetsvoorstel is beperkt tot banken) uitbreiden naar toepassing op alle witwasbestrijdingsplichtigen, dus ook naar de boekhouder, de makelaar en de vele andere bedrijven die overheidstaken moeten uitvoeren. Van Nispen licht zijn amendement als volgt toe:

Het voorgestelde artikel 17a in de Wet ter voorkoming van witwassen en financieren van terrorisme geeft de Financiële inlichtingen eenheid de bevoegdheid de banken te verzoeken transacties aan te houden waarvan aanwijzingen bestaan dat ze verband houden met (onder andere) witwassen. Dit verzoek tot blokkering kan volgens het wetsvoorstel enkel aan banken worden gericht, niet aan andere meldingsplichtige instellingen, terwijl die ook te maken krijgen met transacties die verband kunnen houden met witwassen. Indiener van dit amendement vindt de argumentatie van de regering hiervoor niet overtuigend. De regering erkent dat ‘ook bij andere Wwft-instellingen sprake kan zijn van transacties die de FIU-Nederland aanleiding kunnen geven te veronderstellen dat deze verband houden met witwassen en onderliggende basisdelicten of met terrorismefinanciering’. Toch wordt voor een ‘beperkte en beheerste toepassing van deze nieuwe bevoegdheid’ gekozen omdat de ervaring in andere EU-landen leert dat een dergelijke bevoegdheid ‘het meest wordt ingezet ten aanzien van banken’. 1
Indiener kan zich voorstellen dat de Financiële inlichtingen eenheid de bevoegdheid als eerste of vooral zal inzetten richting banken, maar dat neemt niet weg dat in voorkomende gevallen de bevoegdheid ook gebruikt zou moeten kunnen worden richting bijvoorbeeld makelaars, notarissen, belastingadviseurs, advocaten en bijvoorbeeld cryptobedrijven. Temeer omdat uit Europese wetgevende voorstellen de verplichting voortvloeit dat vanaf 2027 deze bevoegdheid toegepast moet worden ‘ten aanzien van alle meldingsplichtige instellingen, waaronder cryptoaanbieders’. Indiener vindt het niet logisch in dit wetsvoorstel dan de beperking tot banken op te nemen.

1 Kamerstukken II 2023/24, 36463, nr. 6.

Het SP kamerlid wil vooruitlopen op Europese regelgeving die mogelijk een inbreuk maakt op grondrechten van burgers, nu waarborgen tegen onjuist of onzorgvuldig optreden door de overheid ontbreken.
Lees over die Europese regels het artikel van Privacy First over hun deelname aan de consultatie over de Nederlandse implementatiewet, waarin zij onder meer aandringen op ingrijpende verbetering van de rechtsbescherming van consumenten, mkb en kleine en middelgrote nonprofit organisaties (de complete consultatiereactie is hier te vinden).

Een ander kamerlid: “drukknopmacht van de staat”
Een ander Tweede Kamer lid schrijft (vermeld in mijn artikel):

Indiener is kritisch op de toenemende ‘push-button power’ of drukknopmacht van de staat. De digitale transformatie van de samenleving heeft ertoe geleid dat de overheid op veel vlakken veel machtiger tegenover haar burgers staat dan in het verleden überhaupt technisch mogelijk was, bijvoorbeeld als het gaat om het kunnen controleren en blokkeren van financiële geldstromen van burgers. Ook heeft de beschikbaarheid en inzet van digitale technologie geresulteerd in scheefgroei van de machtsverdeling binnen de trias politica, daar dit de macht van de regering ten opzichte van de rechtspraak en het parlement onevenredig vergroot heeft [*]. Indiener is derhalve van mening dat drukknopmacht enkel uitgebreid zou moeten mogen worden wanneer hier volwaardige rechtsstatelijke waarborgen tegenover staan.

[*] Zie bijvoorbeeld: R. Passchier, ‘Artificiële intelligentie en de rechtsstaat’ (2021)

Grondrechten in de witwasbestrijding
Het is hoog tijd dat alle leden van de Tweede Kamer gaan zorgen dat de grondrechten ook in de witwasbestrijding worden gerespecteerd.

 

Noten:

[1] Ook Groenlinks-PvdA laat regelmatig zien geen interesse te hebben voor de grondrechten van burgers. Zo was Paul Tang, europarlementariër van de PvdA, verantwoordelijk voor de totstandkoming van het Europese antiwitwaspakket dat een groot aantal grondrechten schendende elementen bevat.
[2] Zie Vasthouden financiële transactie in opdracht van FIU-Nederland | wijziging Wwft.

 

 

Aanvulling 2 december 2025
Helaas is er een blokkeringsbepaling gekomen. Deze is  beperkt tot transacties.

Zie het bericht van AMLC (onderdeel van de FIOD): “De Wwft wordt uitgebreid met artikel 17a Wwft. Dit artikel geeft de FIU de bevoegdheid om een transactie tijdelijk aan te laten houden als er aanwijzingen zijn dat die verband houdt met witwassen of financiering van terrorisme.“.

Het nieuwe artikel 17a Wwft luidt:

Artikel 17a
1. De Financiële inlichtingen eenheid kan ten behoeve van de uitvoering van de taak, bedoeld in artikel 13, aanhef en onderdelen a en b, een instelling verzoeken het uitvoeren van een transactie of meerdere transacties gedurende een periode van ten hoogste vijf werkdagen aan te houden ingeval de Financiële inlichtingen eenheid aanwijzingen heeft dat deze transactie of transacties verband kan of kunnen houden met witwassen of financieren van terrorisme, of indien een financiële inlichtingen eenheid uit een andere staat hierom verzoekt.
2. De in het eerste lid genoemde periode kan met een termijn van ten hoogste vijf werkdagen worden verlengd indien de Financiële inlichtingen eenheid het in het eerste lid bedoelde verzoek doet op verzoek van een financiële inlichtingen eenheid van een andere staat.
3. De Financiële inlichtingen eenheid trekt het verzoek, bedoeld in het eerste lid, voor het aflopen van de termijn, genoemd in het eerste en tweede lid, in zodra zulks mogelijk is.
4. De instelling waaraan overeenkomstig het eerste lid een verzoek is gedaan, geeft hieraan onverwijld gevolg.
5. Een instelling beschikt over gedragslijnen, procedures en maatregelen die haar in staat stellen te voldoen aan het vierde lid.
6. Een instelling informeert een cliënt terstond over toepassing van het vierde lid.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Strafrecht | Tags: , , , , , , , , , , , , , | Plaats een reactie

BSI publishes a Test Criteria Catalogue for AI Systems in Finance

Geplaatst op 30 september 2025 door Ellen Timmer

The German Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechniek, BSI) published a Test Criteria Catalogue for AI Systems in Finance (pdf). Read their article. BSI’s information on the document is as follows:

The catalogue provides practical criteria for testing AI systems and suggests suitable test methods and tools for technical and document-based testing. In addition, a process for applying the catalogue is described.

In the German version BSI explains the document is in English as it is meant to support the implementation of the EU AI Act by all relevant stakeholders, that includes financial and insurance institutions throughout the EU.

Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | 1 reactie

Poolse beslissing over identificatie door ING Bank

Geplaatst op 29 september 2025 door Ellen Timmer

De Poolse gegevensbeschermingsautoriteit, Urząd Ochrony Danych Osobowych (UODO), heeft aan ING Bank een boete opgelegd wegens niet-naleving van de AVG bij identificatie op grond van de antiwitwasregels (nieuwsbericht in het Engels [1], nieuwsbericht in het Pools, uitspraak in het Pools). Die regels hebben, net als in Nederland, een Europese basis, zodat de beslissing ook voor de Nederlandse praktijk interessant kan zijn.

Hoewel UODO ook een Engelstalige versie van de site heeft, kon ik nog niet vinden of de uitspraak vertaald is.

De uitspraak wordt besproken op GDPR Hub. Daar wordt gezegd dat de bank zich schuldig maakte aan het excessief en zonder rechtsgrondslag verwerken van identiteitsdocumenten van klanten. Verder was UODO van mening dat de scans van identiteitsbewijzen meer gegevens bevatten dan nodig voor het doel van de bank. Naar de mening van UODO is het voldoende dat het sociale verzekeringsnummer wordt geregistreerd, dan wel als dat ontbreekt andere gegevens zoals het nummer van het identiteitsdocument.

Er zijn berichten dat ING Bank beroep instelt [2].

Identificatie wordt riskanter door nieuwe Europese regels
Onder het Europese antiwitwaspakket dat medio 2027 van toepassing wordt kan identificatie nog problematischer en riskanter worden, zoals Privacy First heeft gesignaleerd in de consultatie van de Europese Banken Autoriteit (EBA), lees de aankondiging inzake de consultatie deelname en het artikel Digitale identiteit wordt sluipenderwijs toch verplicht.

 

Noten:

[1] UODO schrijft onder meer:

It has appeared that prior to the amendment of the AML Act on 13 July 2018, the bank had not copied customers’ identity documents. However, after analysis, reconciliation and changes in banking processes, there was a change in practice and procedures. It has been assumed that in each of the cases indicated in these procedures and instructions, a scan of the customer’s or potential customer’s identity document should be carried out – in many situations, making the performance of activities for the customer conditional on it being obtained.

Thus, the Bank did not carry out an individual assessment of the risks associated with the customer concerned and its activities. Identity documents were also scanned in cases which did not comply with the obligations laid down in the AML Act (e.g. in a complaint about an ATM).

The scanning of identity cards by institutions is required to be lawful in the context of the AML Act only if it involves the necessary application of financial security measures to combat money laundering and terrorist financing under that law.

The bank’s task is to carry out an individual assessment of the AML/CFT risk and to design security measures appropriate to its outcome (risk-based approach). It is only if the obligated institution demonstrates that, in order to combat money laundering and terrorist financing, it is necessary to apply financial security measures involving the processing of information contained in identity documents and the taking of copies thereof (scans), then it is entitled to demand that it be executed.

The Bank, as a controller, has infringed the rules on the protection of personal data through its actions (Article 5 (1)(a)(b) and (c), as well as Article 6 (1) GDPR). The infringement consisted of the unjustified processing of personal data of current and potential customers obtained through the scanning of identity documents in situations unrelated to its obligations under the AML Act.

According to the Bank’s reports, e.g. in 2020, the number of customers was 4.72 million, including 4.24 million individual customers and 486 000 corporate customers. Mass processing must entail a higher level of responsibility of the controller and a higher level of due diligence required of the controller, as it may result in negative consequences for many persons.

It should also be noted that the Bank should be expected to take a professional approach to the question of the legal basis for data processing.

According to the Bank’s explanations, the practice of copying identity documents concerned potentially a large group of customers over a relatively long period of time (i.e. for a period of approx. 18 months: from 1 April 2019 to 23 September 2020), which indicates a large scale of this processing, while customers were not found to have suffered any harm.

Although personal data processed by the Bank, obtained by scanning identity documents, do not fall within the special categories of personal data referred to in Article 9 (1) and 10 GDPR, but their scope (i.e. inter alia: name and surname, personal identification number (PESEL number), image, date of birth, parents’ names, surname at birth, number and series of identity document), entail a high risk to the rights and freedoms of natural persons.

The personal identification number (PESEL number), together with name and surname, uniquely identifies a natural person in a way that attributes the negative effects of the infringement (e.g. identity theft, loan fraud) to that particular person. 

[2] Engelstalige berichten:
ING Bank Śląski will appeal against UODO’s decision, Polish News 28 augustus 2025,
ING is fined over PLN 18 million by the Personal Data Protection Office (UODO). The bank intends to appeal the decision, 1 News Day 26 augustus 2025.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Uitspraak Raad van State over openbaarheid van bestuur en persoonsgegevens van agrariërs

Geplaatst op 28 september 2025 door Ellen Timmer

Eerder schreef ik over de kort geding uitspraak van de rechtbank Den Haag over openbaarheid van bestuur en persoonsgegevens van agrariërs.
Nu is er een belangrijke beslissing van de Afdeling rechtspraak van de Raad van State [*], waarin de Afdeling expliciet ingaat op de vraag of agrariërs aanspraak kunnen maken op bescherming van hun persoonsgegevens.

In deze procedure gaat het om de vraag of de gegevens van agrarische bedrijven ‘emissiegegevens’ zijn in de zin van de toepasselijke regelgeving. Voor emissiegegevens geldt dat als daar persoonsgegevens deel van uit maken, er geen recht op vertrouwelijkheid is, aldus (kort gezegd) de Afdeling.

In het nieuwsbericht schrijft de Afdeling onder meer:

De Wet open overheid bepaalt uitdrukkelijk dat emissiegegevens openbaar worden gemaakt en dat daarop geen uitzonderingen mogelijk zijn. Het bedrijfsadres van een veehouderij is een emissiegegeven, ook als op datzelfde adres de veehouder en zijn gezinsleden wonen. Ook het aantal gehouden dieren en het staltype zijn emissiegegevens. De wet biedt geen ruimte om persoonlijke belangen van de veehouders mee te wegen bij een verzoek om emissiegegevens openbaar te maken.

In de uitspraak is een nadere toelichting te vinden, onder meer in overwegingen 9.1 tot en met 9.4:

9.2. Zoals de Afdeling heeft geoordeeld (…) volgt uit rechtspraak van het Hof van Justitie van de Europese Unie (hierna: het Hof) dat het begrip milieu-informatie een ruime betekenis heeft. (…) Uit de arresten van het Hof (…) volgt dat onder de begrippen “emissies in het milieu” en “informatie over emissies in het milieu” niet alleen gegevens moeten worden begrepen die de daadwerkelijke uitstoot betreffen, maar ook de gegevens over de invloeden van die emissies op het milieu alsook de gegevens die het publiek in staat stellen te controleren of de beoordeling van de daadwerkelijke of voorzienbare emissies door het bestuursorgaan juist is. (…)

9.3. Ter zitting is duidelijk geworden dat de journalisten niet beogen dat nummers van de Kamer van Koophandel, telefoonnummers, namen en andere privégegevens, anders dan bedrijfsgegevens, openbaar worden gemaakt. (…) De Afdeling heeft met toepassing van artikel 8:29, zesde lid, van de Awb kennisgenomen van de door de minister overgelegde stukken, waarvan zij het voornemen heeft die te openbaren. Hieruit blijkt dat in de openbaar te maken documenten bedrijfsadresgegevens, staltypen en het aantal dieren per locatie zijn opgenomen. Dit zijn gegevens over de invloeden van emissies op het milieu, waarmee het publiek in staat kan worden gesteld te controleren of de beoordeling van de daadwerkelijke of voorzienbare emissies door de minister juist is. De Afdeling heeft in de uitspraak van 27 januari 2021, ECLI:NL:RVS:2021:153, geoordeeld dat de plaats van de emissies informatie over emissies in het milieu is. Ook het Hof heeft in het arrest van 20 maart 2025, punt 91, onder verwijzing naar haar eerdere rechtspraak, bevestigd dat de plaats van de emissies een emissiegegeven is. Dit geldt ook voor het aantal dieren op een locatie, zogeheten diertelgegevens. (…) Dat een bedrijfsadres gelijk is of kan zijn aan een woonadres, maakt niet dat het daarom geen emissiegegeven is. Het gaat immers niet om het woonadres maar om de emissielocatie. Wanneer veehouders op het bedrijfsadres wonen, heeft dat in die gevallen feitelijk tot gevolg dat met openbaarmaking van het bedrijfsadres ook het woonadres bekend wordt. Anders dan FDF en anderen en de NMV betogen, zijn de openbaar te maken gegevens, waaronder de bedrijfsadressen, dus wel emissiegegevens.

Het beroep van de (vertegenwoordigers van de) agrariërs op hogere regelgeving, zoals artikel 8 van het EVRM, artikel 4, vierde lid van het Verdrag van Aarhus, de milieu-informatierichtlijn en artikel 10 van de AVG slaagt niet (overweging 10).

Een en ander leidt tot ongegrondverklaring van het ingestelde beroep. Verder bepaalt de Afdeling dat de minister de gevraagde documenten binnen twee weken na dagtekening van deze uitspraak openbaar moet maken.

 

[*] Afdeling rechtspraak van de Raad van State 24 september 2025, nieuwsbericht Minister moet binnen twee weken informatie over boerenbedrijven openbaar maken, uitspraak.

Geplaatst in Bestuursrecht, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie

Prejudiciële vragen over datahandelaar die zonder toestemming van betrokkenen gegevens van derden ontvangt | Schufa

Geplaatst op 27 september 2025 door Ellen Timmer

Een Duitse rechter, het Landgericht Lübeck, heeft prejudiciële vragen gesteld aan het Europese hof over de praktijk van een datahandelaar, het Duitse kredietwaardigheidsbeoordelingsbedrijf Schufa, om buiten betrokkene om gegevens van derden te betrekken en deze te gebruiken voor de kredietwaardigheidsbeoordeling (Bo­ni­täts­score). Lees het bericht van het Landgericht, Datenübermittlung an die Schufa: Landgericht Lübeck ruft Europäischen Gerichtshof an.

De prejudiciële vragen zijn relevant voor alle datahandelaren, inclusief handelaren in kredietwaardigheidsbeoordelingen, bedrijfsinformatiehandelaren zoals Company Info en Altares c.s. en handelaren in persoonsgegevens voor de witwasbestrijding. Immers, het is een vaste praktijk dat datahandelaren persoonsgegevens van derden (zoals telecomaanbieders en advertentiebedrijven) worden betrokken en voor eigen doelen worden gebruikt. Betrokkenen worden niet geïnformeerd over de gegevensverschaffing aan de datahandelaren, wat in strijd is met de AVG.

Meer informatie:
Uitspraak Landgericht Lübeck van 4 september 2025, kenmerk: 15 O 12/24, ECLI: ECLI:DE:LGLUEBE:2025:0904.15O12724.00.
De uitspraak is hier te vinden.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Conclusies advocaat-generaal HvJ over het land-van-oorsprongbeginsel in de richtlijn inzake elektronische handel

Geplaatst op 26 september 2025 door Ellen Timmer

Op 18 september werden conclusies van de advocaat-generaal (‘AG’) Szpunar bij het Europese hof (HvJ) bekend. De AG oordeelde dat het land-van- oorsprongbeginsel van de richtlijn inzake elektronische handel ook van toepassing is op nationale maatregelen met andere doeleinden.

Uit het persbericht over het onderwerp van het geschil:

Om de openbare orde en veiligheid te beschermen, beperkt het Franse recht bepaalde digitale diensten. Het verbiedt met name om minderjarigen toegang te geven tot pornografische websites en legt beheerders van dergelijke websites de verplichting op technische voorzieningen te treffen om die toegang te voorkomen. Ook stelt het Franse recht beperkingen aan rijassistentiediensten die op geolokalisatie zijn gebaseerd, door meldingen van bepaalde controles langs de weg te verbieden. Deze maatregelen worden uitgevoerd door twee decreten, waarvan in twee afzonderlijke zaken nietigverklaring wordt gevorderd bij de Franse raad van state, de Conseil d’État.

In zaak C-188/24 betogen Webgroup Czech Republic en NKL Associates, twee ondernemingen die in Tsjechië zijn gevestigd, dat het Franse recht in strijd is met het land-van-oorsprongbeginsel van de richtlijn inzake elektronische handel , volgens hetwelk diensten voor wat betreft vereisten die binnen het „gecoördineerde gebied” vallen, onder het recht van de staat van vestiging vallen.

 

Meer informatie:

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

The WP29 letter of 12 December 2016 to the OECD on automatic exchange of information mechanisms for tax purposes

Geplaatst op 25 september 2025 door Ellen Timmer

The predecessor of the European Data Protection Board (EDPB), WP29 {1} on 12 December 2016 wrote a letter to the OECD {2}, that is still very relevant.
In this letter, WP29 emphasises that data protection principles must also be complied with in the international exchange of personal financial data under the OECD Common Reporting Standard (CRS). This includes ongoing monitoring of compliance by the non-EU country with fundamental rights and data protection rules.

The text of the letter follows, please note that the urls do not work anymore and refer to the WP29-archive page:

As you know, the Article 29 Working Party has been dealing with the data protection implications of automatic exchange of information mechanisms for tax purposes, including the OECD Common Reporting Standard (CRS), for the last few years.

By letter of 18 September 2014 [1] to the OECD, the WP29 expressed concerns regarding the impact of CRS on the right to the protection of personal data and highlighted the data protection principles to be respected so that the legitimate aim of combating fraud and tax evasion would be achieved while ensuring full compliance with fundamental rights as set forth by both European and international legal tools.

After your reply of 22 October 2014, the WP29 adopted a statement on 4 February 2015 [2], primarily addressed to national governments and EU institutions (which in the meanwhile had engaged in the preparation of EU legislation largely modelled after the CRS [3]), to draw their attention to the need that such exchanges should meet data protection requirements with particular regard to the principles of necessity and proportionality, and taking due account of the effects of the European Court of Justice’s judgment of 8 April 2014. Such judgment was indeed particularly relevant as it declared Directive 2006/24/EC (‘Data retention Directive’) invalid on the ground that EU legislators had exceeded the limits of proportionality in forging such Directive.
The statement was followed by the Guidelines [4] adopted by the WP29 on 16 December 2015, addressed to Member States, on the criteria to ensure compliance with data protection requirements in the context of automatic data exchange between competent authorities of different countries.

On that occasion, the WP29 highlighted that: a) in respect of data exchange between an EU Member State and a third country not covered by an adequacy decision under Article 25.6 of Directive 95/46, it was crucial to ensure that the receiving country provided adequate protection to personal data through the adoption of an ad hoc agreement with binding safeguards; b) given the comprehensive and systematic nature of the data transfer concerned, the exceptions provided for in Article 26 (1,d) of the Directive 95/46/EC could not be applied.

Since then, the EU data protection framework has been evolving, in particular with the adoption of Regulation 2016/679 (‘GDPR’) and Directive 2016/680 [5] which have strengthened data protection rights and introduced more stringent criteria for the assessment of data transfers. In parallel, at international level, the modernisation of the Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data (Convention 108/1981) – aimed at reinforcing data protection safeguards, including specific rules on cross-border data flows with third countries has largely progressed.

Significant and more recent case law from the European Court of Justice has made it even more urgent to ensure that transfers of data from EU to third countries are accompanied by appropriate data protection safeguards and emphasized the role of data protection authorities in the supervision of such data transfers®.

Against this background, the WP29 wishes to reiterate its strong concerns regarding the repercussions on fundamental rights of mechanisms entailing major data processing and exchange operations such as those envisaged by the CRS.

Additional concerns in relation to the security of massive automatic data processing have been raised by recent reports in the media of high-profile cyber-attacks.

The WP29, while acknowledging confidentiality of data as an important element of data security, recalls that the entire range of data protection principles – as recognized by European and international instruments, including CoE’s Convention 108 and OECD Privacy Guidelines – require full compliance. Compliance with data protection principles is moreover important to reduce the risk of negative court decisions which may jeopardize the anti-evasion instruments at stake.

In particular the WP29 recommends that the OECD, by also involving the appropriate OECD bodies competent for data protection, assess the different interests at issue appropriately so as to ensure that tax evasion is countered and prosecuted without hampering individuals’ rights, as also recognized within the same OECD.

The WP29 would be grateful to be kept informed about any possible new elements in the OECD CRS process that may have repercussions on data protection. It wishes to open an active dialogue with the competent OECD bodies and proposes to hold a high-level meeting between the WP29 and the OECD to foster a real cooperation, in a joint effort to identify methods to pursue the legitimate aim of fighting tax evasion through efficient mechanisms that do not expose individuals’ rights to disproportionate interference.

Yours sincerely,
On behalf of the Article 29 Working Party (…)

[1] http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140918_letter_on_oecd_common_reporting_standard.pdf.pdf
Annex to the letter containing specific issues identified in respect of CRS: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140918_annex_oecd_common_reporting_standard.pdf.pdf

[2] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp230_en.pdf

[3] Directive 2014/107/EU of 9 December 2014 amending Directive 2011/16/EU as regards mandatory automatic exchange of information in the field of taxation

[4] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp234_en.pdf

[5] On 4 May 2016, the official texts of the Regulation and the Directive were published in the EU Official Journal in all the official languages. While the Regulation came into force on 24 May 2016, it will apply from 25 May 2018. The Directive entered into force on 5 May 2016 and EU Member States have to transpose it into their national law by 6 May 2018.

[6] In particular, ECJ’s decision of 6 October 2015 (Case C-362/14, so called Schrems case) has stated that it is for the national data protection authorities to supervise and, where necessary, intervene by opening an investigation, if they have grounds to consider that the data protection safeguards implemented by the third country to which the data are transferred are not or no longer adequate – even in the presence of an adequacy decision by the Commission.
According to the said judgment, any adequacy decision must fully respect the criteria provided for in Article 25 of Directive 95/46/EC. The Court underlined that even a sectorial decision (such as the Safe Harbor decision) requires an in-depth, continuous analysis of the third country’s domestic laws and international commitments. The principle of law elaborated by the Court in this case also apply, mutatis mutandis, to the international exchange of personal financial information. In this context, a new framework for the transfer of personal data to the USA was adopted on the 15 of August, 2016 – the so-called Privacy Shield.

 

Notes:

{1} The Article 29 Data Protection Working Party.
{2} This letter is published (pdf) on the site of the European Commission. The recipients were:

  • the Director of Centre for Tax Policy and Administration of the OECD,
  • the Head of International Cooperation and Tax Administration Unit (Centre for Tax Policy and Administration OECD),
  • the Head of Digital Economy Policy Division (Directorate for Science, Technology and Innovation OECD),
  • the Director General of the EU Commission, DG TAXUD (European Commission),
  • the European Council,
  • the European Parliament.
Geplaatst in English - posts in English on this blog, Evenementen, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Plaats een reactie

Latombe uitspraak HvJ over uitwisseling van persoonsgegevens met de VS

Geplaatst op 25 september 2025 door Ellen Timmer

Op 3 september jl. wees het Europese hof van justitie [*] een uitspraak in de Latombe zaak, T-553/23. De rechters beslisten dat de nieuwe overeenkomst van de EU met de VS over de uitwisseling van persoonsgegevens niet ongeldig is. In deze uitspraak is geen rekening gehouden met de nieuwste ontwikkelingen in de VS.

Meer informatie:

 

[*] General Court (Tenth Chamber, Extended Composition).

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , | 1 reactie

Europese consultatie over vereenvoudiging van de Europese digitale regels

Geplaatst op 24 september 2025 door Ellen Timmer

De Europese Commissie is een consultatie gestart over de vereenvoudiging van de Europese digitale regels, lees de aankondiging. Op de consultatiepagina is een consultatiedocument (‘call for evidence’) te vinden.

Het lastige van de huidige regels, zoals de AVG, is dat deze nu al onvoldoende worden nageleefd en ook niet adequaat worden gehandhaafd. Als dat formele regels betreft is dat niet erg. Maar ook inhoudelijke regels (zoals voldoende cybersecurity maatregelen nemen, niet datagraaien zonder goede grondslag) worden niet nageleefd. We leven in het digitale Wilde Westen vol met datalekken en rondzwevende gegevens waar niemand zicht op heeft, een eldorado voor kwaadwillenden. Gaat de EU daar nu eindelijk iets aan doen?

Geplaatst in Europa, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie