2025 in vogelvlucht: wat is er in het afgelopen jaar allemaal gebeurd?

    - - - - / 12 January 2026

    2025 stond opnieuw in het teken van belangrijke ontwikkelingen op het gebied van data en privacy. Europese rechtspraak bracht verdere nuance in kernbegrippen zoals persoonsgegevens en internationale datadoorgifte, terwijl onze nationale toezichthouder met stevige handhaving duidelijk maakte dat transparantie geen formaliteit is.

    Tegelijkertijd trad nieuwe wetgeving in werking, waaronder de Data Act, en kondigde de Europese Commissie met de Digitale Omnibus een herijking van het digitale regelgevingskader aan. In dit blog zetten we de belangrijkste gebeurtenissen van het jaar op een rij!

    1. Jurisprudentie in de EU

    Voorlopig groen licht voor de Data Privacy Framework, maar twijfel blijft

    Op 3 september 2025 deed het Gerecht van de Europese Unie (het Gerecht) uitspraak in de ‘Latombe-zaak’.[1] Hierin werd het Data Privacy Framework (DPF) aangevochten.

    De kern van het DPF is bekend: Amerikaanse organisaties die zich certificeren, zouden een beschermingsniveau bieden dat “gelijkwaardig” is aan dat binnen de EU. Critici, waaronder Latombe, betoogden dat Amerikaanse surveillancepraktijken en de positie van de Data Protection Review Court (DPRC) deze gelijkwaardigheid ondermijnen.

    Het Gerecht ging daar niet in mee. Volgens het Gerecht:

    • biedt de DPRC voldoende waarborgen voor onafhankelijkheid;
    • is voorafgaande rechterlijke toestemming voor bulkdataverzameling niet vereist, zolang achteraf toetsing mogelijk is;
    • rust op de Europese Commissie een voortdurende monitoringsplicht.

    Juridisch gezien blijft het DPF dus overeind. Tegelijkertijd is, net als bij eerdere adequaatheidsbesluiten (Safe Harbor, Privacy Shield), de onderliggende kritiek niet verdwenen.

    Relativering van het persoonsgegevensbegrip

    Een andere belangrijke Europese uitspraak in 2025 betrof de GAR/EDPS-zaak.[2] Het Hof van Justitie bracht hierin een belangrijke nuance aan in het begrip persoonsgegevens.

    De zaak draaide om reacties van aandeelhouders en schuldeisers die door de Gemeenschappelijke Afwikkelingsraad (GAR) gepseudonimiseerd werden doorgestuurd naar Deloitte. Betrokkenen klaagden bij de European Data Protection Supervisor (EDPS) dat zij niet waren geïnformeerd over deze doorgifte. Uiteindelijk kwam deze zaak bij het Hof van Justitie van de Europese Unie (het Hof).

    Het Hof bracht een nuance aan: voor wie gegevens verstuurt, blijven het persoonsgegevens. Maar voor wie ze ontvangt, niet altijd, zolang die de personen niet redelijkerwijs kan identificeren

    Dat lijkt een versoepeling, maar het Hof legt de nadruk op context. De beoordeling hangt namelijk af van:

    • de hoeveelheid tijd en inspanning;
    • de stand van de techniek;
    • en welke middelen de ontvanger moet inzetten.

    Cruciaal is dat deze nuance niets verandert aan de informatieplicht van de verzender. Die ontstaat al bij het verzamelen van de persoonsgegevens.

    Let op: de uitspraak ziet op de Verordening over gegevensbescherming voor EU-instellingen en -organen(de Verordening) en dus niet de Algemene verordening gegevensbescherming (AVG), maar geldt net zo goed als interpretatiekader voor de AVG.

    2. Nationale handhaving

    KNLTB: commerciële belangen zijn niet uitgesloten, maar blijven risicovol

    In 2025 kwam een einde aan de langdurige zaak tussen de Autoriteit Persoonsgegevens (AP) en de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB). De aanleiding lag in 2018, toen de KNLTB persoonsgegevens van haar leden verkocht aan sponsors om extra inkomsten te genereren. Na klachten van leden greep de AP in en stelde een onderzoek in.

    De AP legde een boete van € 525.000 op. Het delen van de persoonsgegevens was namelijk niet het oorspronkelijke verzameldoel en het argument dat dit uit commercieel belang werd gedaan, werd niet gezien als geldige grondslag.

    In 2024 was het Hof echter niet eens met de AP en legde uit dat een commercieel belang niet per definitie is uitgesloten als grondslag onder de AVG.[3] Deze lijn werd in 2025 gevolgd in de schikking tussen de AP en de KNLTB.

    KNLTB erkende dat zij onjuist had gehandeld bij het delen van ledengegevens, waarna de AP de boete verlaagde van € 525.000 naar € 250.000, mede vanwege voorlichtingsmaatregelen vanuit KNLTB.

    Experian: profilering zonder zichtbaarheid is onacceptabel

    Misschien wel het meest sprekende handhavingsmoment van 2025 was de boete van € 2,7 miljoen voor Experian. Het bedrijf stelde kredietwaardigheidsrapporten op voor haar klanten. Daarbij maakte Experian gebruik van grote hoeveelheden zowel openbare als niet-openbare persoonsgegevens van betrokkenen, zonder te informeren dat zij werden beoordeeld.

    Omdat kredietscores grote gevolgen kunnen hebben voor mensen, legt de AP de lat hoog. Daarbij stelt de AP dat er te veel onnodige persoonsgegevens zijn gebruikt, zonder een geldige grondslag daarvoor te hebben. Bovendien heeft Experian de betrokkenen onvoldoende geïnformeerd over het bestaan en de gevolgen van het verzamelen van hun persoonsgegevens

    3. Data Act: van databezit naar datadeling

    Sinds 12 september 2025 geldt de Europese Data Act. Deze wet regelt wie toegang krijgt tot data, onder welke voorwaarden en met welk doel. De reikwijdte is groot: niet alleen partijen die data genereren vallen eronder, maar ook gegevenshouders, gegevensontvangers en in uitzonderlijke gevallen overheden.

    Een belangrijk doel van de wet is het doorbreken van het “op slot zitten” van data bij dominante spelers. Gebruikers, zowel consumenten als bedrijven, krijgen recht op toegang tot gegevens die ontstaan door het gebruik van verbonden producten. Dit kunnen auto’s, smartwatches en slimme koelkasten zijn, maar ook de apps die je voor deze producten gebruikt.

    Gebruikers van zulke producten moeten vooraf weten welke data wordt verzameld en hoe zij daar toegang tot krijgen. De wet gaat uit van access by design: directe toegang voor de gebruiker, of anders actieve beschikbaarstelling. Ook krijgen gebruikers het recht om hun data te laten doorsturen naar een derde partij.

    De verantwoordelijkheid hiervoor ligt bij de gegevenshouder, bijvoorbeeld de fabrikant of dienstverlener. Deze moet ervoor zorgen dat gebruikers hun rechten in de praktijk kunnen uitoefenen. In de praktijk zijn er vaak meerdere gegevenshouders.

    Daarnaast introduceert de Data Act regels voor verplicht datadelen tussen ondernemingen (B2B). Dit kan bijvoorbeeld op verzoek van een gebruiker. Dit delen gebeurt onder vaste voorwaarden:

    • het moet eerlijk, redelijk en niet-discriminerend gedeeld worden;
    • een toegestane vergoeding (voor mkb’s en ngo’s maximaal kostendekkend) en;
    • bescherming van bedrijfsgeheimen.

    Ook partijen die zelf geen data genereren kunnen hierdoor onder de wet vallen.

    Tot slot mogen overheden alleen bij uitzonderlijke noodzaak data opvragen en moeten zij dat goed motiveren. In noodsituaties kunnen ook persoonsgegevens worden gevorderd; daarbuiten gaat het in principe om niet-persoonsgebonden data.

    Let op: de huidige regels voor B2G-datadeling in de Data Act kunnen mogelijk nog veranderen. Met het voorstel van de Digitale Omnibus kunnen deze bepalingen nog worden aangepast. Hierop komen we later in dit blog op terug.

    4. Telemarketing: de soft opt-in verdwijnt

    Daarnaast bracht 2025 duidelijkheid over een ingrijpende wijziging in de Telecommunicatiewet, die per 1 juli 2026 ingaat. Nu mogen bedrijven hun bestaande klanten nog telefonisch benaderen om eigen, vergelijkbare producten of diensten aan te bieden, zonder dat daar vooraf toestemming voor nodig is.

    Maar daar komt verandering in. Vanaf 2026 is telemarketing op basis van een bestaande klantrelatie in principe niet langer toegestaan. Bedrijven mogen klanten dan niet meer “zomaar” bellen met een commercieel aanbod. Alleen als de klant hier expliciet mee heeft ingestemd, blijft telefonisch contact mogelijk.

    Voor e-mail en sms verandert dit beeld minder drastisch. Bedrijven mogen bestaande klanten via deze kanalen blijven benaderen zonder voorafgaande toestemming, mits het gaat om eigen, soortgelijke producten of diensten.

    Daarnaast maakt de wet enkele duidelijke uitzonderingen op het verbod op telemarketing. Telefonisch contact op basis van een bestaande klantrelatie blijft toegestaan voor:

    • ideële en charitatieve organisaties;
    • bepaalde loterijen met een maatschappelijk doel;
    • sommige uitgevers van kranten, weekbladen en tijdschriften.

    5. De Digitale Omnibus: één raamwerk voor data, AI en privacy

    Met de Digitale Omnibus (Omnibus) zette de Europese Commissie in november 2025 een duidelijke stap richting vereenvoudiging van het digitale regelgevingslandschap. We moeten daarbij de Omnibus niet zozeer zien als een “grote reset”, maar een technische en inhoudelijke herijking. Bestaande wetgeving blijft namelijk in stand, maar wordt beter op elkaar afgestemd, verduidelijkt en op onderdelen versoepeld.

    De impact van de Omnibus is vooral zichtbaar binnen drie pijlers: de AVG, de AI Act en de Data Act.

    5.1. AVG: meer duidelijkheid en uitvoerbaarheid

    Relatieve benadering van persoonsgegevens wettelijk vastgelegd

    Een opvallende wijziging is dat de zogeheten relatieve leer van persoonsgegevens nu expliciet wordt vastgelegd. Kort gezegd: gegevens zijn alleen persoonsgegevens voor een organisatie als die organisatie een persoon ook redelijkerwijs kan identificeren. Dat een andere partij dat in theorie wél zou kunnen, is niet langer doorslaggevend. Deze benadering sluit aan bij de hiervoor besproken rechtspraak van het Hof van Justitie (de GAR/EDPS-zaak).

    Om te voorkomen dat hier in de praktijk verschillend mee wordt omgegaan, krijgt de European Data Protection Board (EDPB) de opdracht om nadere richtsnoeren te ontwikkelen.

    Meer ruimte voor AI binnen de AVG

    De Europese Commissie erkent expliciet dat de AVG in de praktijk kan knellen bij AI-ontwikkeling. Daarom wordt verduidelijkt dat het gerechtvaardigd belang in principe kan dienen als grondslag voor het trainen van AI-modellen, mits:

    • geen andere Europese of nationale wet expliciet toestemming vereist;
    • de belangen van betrokkenen niet zwaarder wegen;
    • en kwetsbare groepen, zoals kinderen, extra worden beschermd.

    Ook voor bijzondere persoonsgegevens komt er meer speelruimte. Incidenteel gebruik daarvan voor AI-ontwikkeling wordt mogelijk, bijvoorbeeld om bias en discriminatie op te sporen, zolang passende technische en organisatorische maatregelen worden genomen.

    Daarnaast mag verwerking van biometrische gegevens (zoals: vingerafdrukken, gezichtsscans of stemherkenning) plaatsvinden als dat nodig is om iemands identiteit te verifiëren, mits de middelen voor die verificatie volledig onder controle van de betrokkene zelf blijven.

    Minder administratieve lasten

    Tot slot bevat de Digitale Omnibus praktische verlichting:

    • informatieplichten worden beperkt versoepeld bij niet-intensieve verwerkingen binnen een bestaande relatie;
    • organisaties mogen kennelijk ongegronde of excessieve privacyverzoeken weigeren of een redelijke vergoeding vragen;
    • datalekmeldingen worden geharmoniseerd via één Europees meldloket, met een verruimde meldtermijn van 96 uur en een hogere drempel (alleen melden bij hoog risico).

    5.2. AI Act: uitstel en ademruimte, geen afzwakking

    Hoogrisico-AI later van start

    Het meest zichtbare effect van de Digitale Omnibus op de AI Act is het uitstel van verplichtingen voor hoogrisico-AI. De inwerkingtreding wordt gekoppeld aan een formeel besluit van de Europese Commissie dat de markt er klaar voor is.

    Zodra dat besluit er is:

    • gelden de regels na 6 maanden voor hoogrisico-AI uit bijlage III;
    • en na 12 maanden voor bijlage I.

    Blijft een besluit uit, dan treden de regels automatisch in werking op 2 december 2027 voor hoogrisico-AI uit bijlage III en 2 augustus 2028 voor hoogrisico-AI uit bijlage I. Belangrijk: de inhoudelijke eisen veranderen nauwelijks. Het gaat om timing, niet om versoepeling van normen.

    AI-geletterdheid wordt minder zwaar

    Een andere belangrijke wijziging betreft AI-geletterdheid. Waar organisaties aanvankelijk een algemene opleidingsverplichting hadden, verschuift dit naar een inspanningsplicht voor lidstaten en de Commissie.

    Overige aanpassingen

    Naast de grotere wijzigingen bevat de Digitale Omnibus enkele gerichte aanpassingen die relevant zijn voor de praktijk.

    Zo wordt het expliciet toegestaan dat conformiteitsbeoordelingen onder de AI Act worden gecombineerd met andere verplichte productbeoordelingen, wat vooral voor AI-systemen uit bijlage I administratieve lasten kan verminderen. Daarnaast kunnen regulatory sandboxes voortaan ook op Unieniveau of in samenwerking tussen meerdere lidstaten worden ingericht.

    Tot slot verduidelijkt de Digitale Omnibus de taakverdeling in het toezicht op AI voor algemene doeleinden tussen de AI Office, de Europese Commissie en nationale toezichthouders.

    5.3. Data Act: één kader voor datadeling

    Van versnippering naar één datawet

    De Omnibus positioneert de Data Act als hét centrale kader voor niet-persoonsgebonden data. Andere instrumenten, zoals de Data Governance Act, Verordening Vrij verkeer niet-persoonsgebonden gegevens en de Open Data-richtlijn, verdwijnen als zelfstandige regimes en worden geïntegreerd binnen de Data Act.

    Het resultaat: twee duidelijke pijlers:

    • AVG voor persoonsgegevens;
    • Data Act voor vrijwel alle overige data.

    Belangrijkste wijzigingen

    De Digitale Omnibus scherpt de Data Act op meerdere punten aan om praktische knelpunten weg te nemen. Zo krijgen organisaties meer bescherming voor bedrijfsgeheimen: gegevenshouders mogen datadeling weigeren wanneer er een reëel risico bestaat dat vertrouwelijke informatie in derde landen onrechtmatig wordt gebruikt of openbaar gemaakt.

    Daarnaast wordt datadeling met overheden (B2G) sterk beperkt. Anders dan wat er hiervoor over B2G werd besproken, mogen overheden mogelijk data alleen nog opvragen bij duidelijk afgebakende publieke noodsituaties. Mkb-ondernemingen krijgen recht op kostencompensatie, terwijl grotere ondernemingen data in die situaties kosteloos blijven verstrekken.

    Tot slot worden de regels rond cloud switching genuanceerd. Het doel is nog steeds om klanten de mogelijkheid te bieden om van clouddiensten te switchen zonder extra kosten en vendor lock-in te voorkomen. Wel komen er uitzonderingen voor maatwerkdiensten en bepaalde mkb-aanbieders.

    Conclusie

    Het jaar 2025 laat weer is zien dat het recht rondom data en privacy zich verder verfijnt. Ruimte voor innovatie en commerciële belangen bestaat, maar alleen binnen duidelijke juridische grenzen. Transparantie, context en zorgvuldigheid blijven daarbij centraal staan. Met de Digitale Omnibus verschuift de aandacht van losse regels naar samenhang en uitvoerbaarheid. Voor organisaties betekent dit dus dat een geïntegreerde benadering van privacy, data en AI onmisbaar blijft.

    Wij blijven de ontwikkelingen scherp volgen en informeren je daar graag over. Blijf op de hoogte met onze nieuwsbrieven.

    Inschrijven nieuwsbrieven

    [1] Gerecht EU 3 september 2025, ECLI:EU:T:2025:831 (Latombe/Europese Commissie.

    [2] HvJ EU 26 april 2023, ECLI:EU:T:2023:219 (GAR/EDPS).

    [3] HvJ EU 4 oktober 2024, ECLI:EU:C:2024:858 (KNLTB/AP).
    Terug naar overzicht

    Anthony Tang

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram