Een beslissing van de Zweedse toezichthouder IMY zet een basisregel van de GDPR opnieuw in de schijnwerpers. Artikel 32 legt de plicht op aan wie persoonsgegevens verwerkt om zorg te dragen voor de beveiliging van die gegevens, met passende technische en organisatorische maatregelen. Die verplichting geldt niet alleen voor de verwerkingsverantwoordelijke, maar evenzeer voor de verwerker. Toch leeft bij veel dienstverleners het idee dat beveiliging vooral een opdracht van de klant is.

Dat maakt de Zweedse boete bijzonder relevant. In België werd een verwerker voor een inbreuk op de beveiligingsplicht tot nu toe zelden rechtstreeks aangesproken. Daardoor ontstaat gemakkelijk de reflex dat een verwerker kan schuilen onder de paraplu van de verwerkingsverantwoordelijke. De casus toont dat dit een gevaarlijke veronderstelling is en dat artikel 32 ook voor verwerkers een eigen, directe verantwoordelijkheid inhoudt.

Onder de GDPR is de DPO vaak de vuurtorenwachter. Hij ziet de rotsen. Hij waarschuwt op tijd. Hij schijnt licht op risico’s. Maar hij staat niet aan het roer. In veel organisaties blijft de DPO daardoor een sterke adviseur, terwijl de echte koersbeslissingen elders vallen.

China lijkt nu een heel ander model te willen voor “large online platforms”. Eind 2025 verscheen een ontwerp dat de rol van de “persoon verantwoordelijk voor de bescherming van persoonsgegevens” niet alleen verder uitwerkt, maar ook zwaarder positioneert. De functie bestond al onder de PIPL, maar voor grote platformen wordt ze nu veel concreter geregeld, met scherp afgelijnde governance-verplichtingen en stevige bevoegdheden.

Dat is interessant om twee redenen. China kiest niet voor één allesomvattend kader zoals de GDPR, maar voor een gefaseerde en gedifferentieerde aanpak. Daardoor kan het sneller bijsturen waar de impact het grootst is. En precies in die LOP-context lijkt China de privacyfunctie te ontwerpen als een first officer: iemand die niet enkel waarschuwt, maar ook kan ingrijpen wanneer het schip richting verboden wateren vaart.

De datamarkt bulkt van snelle verkooppraatjes en halve waarheden. Data brokers schermen met “GDPR-compliance”, terwijl ze in de praktijk vaak handelen alsof transparantie optioneel is. Hun klanten laten zich graag geruststellen door leveranciers die zeggen dat alles volgens de regels verloopt. Ondertussen krijgt een nietsvermoedende burger plots een geadresseerde reclameboodschap in de bus en vraagt zich af: hoe komen ze in hemelsnaam aan mijn gegevens?

In dit verhaal staan drie spelers centraal. De data broker, die winst ziet in elk datapunt. De klant, die te graag meegaat in dat gemak. En het individu, dat achterblijft met de gevolgen. Samen tonen ze hoe dun de lijn is tussen slimme marketing en misbruik van vertrouwen.

Een onderneming die persoonsgegevens pseudonimiseert en doorgeeft, blijft in de ogen van de wet nog steeds met persoonsgegevens werken. Alle verplichtingen van de AVG, en in het bijzonder de transparantieplicht tegenover de betrokkenen, blijven dus overeind. Dat is de essentie die het Hof van Justitie op 4 september 2025 nog eens scherp bevestigde in de zaak EDPS tegen de Single Resolution Board (SRB).

Tegelijk erkent het Hof ook dat er aan de kant van de ontvanger ruimte is voor een meer liberale interpretatie: krijgt die een dataset zonder sleutel en zonder redelijke herleidingsmogelijkheden, dan kan het goed zijn dat deze gegevens in zijn handen niet langer persoonsgegevens zijn.

Voor controllers is de boodschap echter helder: pseudoniemen zijn geen ontsnappingsroute uit de AVG.

Op 3 september sprak het Europees Gerecht zich uit over de Latombe-zaak, waarin het jongste trans-Atlantische mechanisme voor datadoorgiften – het Data Privacy Framework – ter discussie stond. Tot verrassing van velen verwierp het Gerecht het beroep niet om procedurele redenen, maar inhoudelijk. Daarmee krijgt de Europese Commissie gelijk: de Amerikaanse waarborgen zijn volgens het Gerecht voldoende om van een adequaat beschermingsniveau te spreken.

Voor Europese bedrijven klinkt dit als goed nieuws. Maar wie denkt dat de kous hiermee af is, komt bedrogen uit.

Smartglasses met camera zijn geen sciencefiction meer – je ziet ze op straat, op het strand, en zelfs op het terras naast je. Maar weet jij wanneer je toestemming nodig hebt om die camera te gebruiken?

Zomer 2025. Terwijl toeristen flaneren door historische stadjes en gezinnen ontspannen aan het zwembad, kijken steeds meer mensen door een slimme bril. Sommige modellen bieden alleen navigatie of spraakassistentie, maar andere nemen stilletjes video op of maken automatisch foto's. En daar wringt het schoentje: wat betekent dat voor de privacy van anderen? In deze blog leggen we uit welke juridische regels gelden – en waarom je met een slimme bril ook slim moet omgaan.

Een slimme armband die je hartslag meet. Een app die je werkdruk monitort. Een algoritme dat je prestaties voorspelt. Klinkt als sciencefiction, maar het is vandaag al realiteit op de werkvloer. Werkgevers willen inzetten op welzijn en preventie, werknemers willen gezond en veilig blijven. Maar tussen die goede bedoelingen staat een obstakel: de AVG. En meer bepaald: de vraag of toestemming van werknemers wel geldig is.

Want hoe vrijwillig is toestemming eigenlijk, als je baas het vraagt? En wat als je ‘nee’ zegt, maar je collega’s wél meedoen? Mag een werkgever dan echt gezondheidsdata verzamelen, zelfs met de beste bedoelingen? Achter die ene klik op een checkbox schuilt vaak een spanningsveld van macht, druk en afhankelijkheid. En precies daar wringt het juridisch schoentje – veel meer dan je zou denken. Want achter die eenvoudige vraag – "mag ik?" – schuilt een veel fundamentelere discussie over macht, vertrouwen en grenzen op het werk.

Een hotelboeking leidde tot een uitspraak die Belgische ondernemers wakker zou moeten schudden. De Guangzhou Internet Court sprak zich uit over de toepassing van de Chinese privacywet, de Personal Information Protection Law (PIPL), in een context die opvallend vertrouwd aanvoelt: een klant gebruikt een app van een buitenlands bedrijf, zijn persoonsgegevens worden gedeeld met derde landen, en hij stemt in via een algemene checkbox.

Maar wat voor Europese bedrijven vaak als normale praktijk geldt, bleek in China in strijd met de wet. En dat is geen ver-van-mijn-bedshow. Ook bedrijven zonder vestiging in China kunnen onder de PIPL vallen. Tijd om dit ernstig te nemen.

Een privacyverklaring is voor veel organisaties niet meer dan een verplicht nummer. Iets wat ergens onderaan de website wordt geplaatst, verstopt achter juridisch jargon of – in het andere uiterste – opgesmukt met loze marketingbeloftes.

Maar een privacyverklaring is meer dan een formaliteit. Transparantie over gegevensverwerking is een fundamentele pijler van de Algemene Verordening Gegevensbescherming (AVG). Een recente beslissing van de Gegevensbeschermingsautoriteit (GBA) legt nogmaals de nadruk op het belang van een duidelijke en eerlijke privacyverklaring. Ondernemingen die zich hier niet aan houden, riskeren niet alleen sancties, maar ook een vertrouwensbreuk met hun klanten en gebruikers.

NFT’s (Non-Fungible Tokens) waren de voorbije jaren een van de meest besproken fenomenen in de digitale wereld. Van exclusieve digitale kunstwerken tot verzamelobjecten in games en zelfs digitale eigendomsbewijzen voor luxegoederen, NFT’s beloofden een revolutie in eigendom en handel op het internet.

Nu de speculatieve hype rond NFT’s grotendeels is weggeëbd, blijven er fundamentele vragen over hun juridische status. Eigendom, intellectuele rechten, consumentenbescherming en privacywetgeving blijven onduidelijk en stellen nieuwe uitdagingen voor bedrijven en gebruikers. Wat betekent het om een NFT te bezitten? Wat koop je écht? Wat zegt de wet over NFT-transacties?