Data & Privacy jurisprudentieblog | februari 2026

    - - / 23 februari 2026

    In dit blog worden twee recente uitspraken besproken waarin de reikwijdte van privacyverplichtingen centraal staat. Het Hof van Justitie van de Europese Unie verduidelijkte wanneer bij cameratoezicht sprake is van het “verkrijgen van persoonsgegevens bij de betrokkene” in de zin van artikel 13 AVG en welke informatieverplichtingen daaruit voortvloeien. Daarnaast oordeelde de Afdeling bestuursrechtspraak van de Raad van State over de vraag of het uitsluiten van contante betalingen door een bioscoop verenigbaar is met de AVG en in hoeverre organisaties de noodzaak van dergelijke verwerkingen moeten kunnen onderbouwen.

    HvJ-EU: informeer betrokkenen

    Het Hof van Justitie van de Europese Unie (hierna: ‘het Hof’) heeft zich eind vorig jaar uitgesproken over het gebruik van bodycams in het Zweedse openbaar vervoer. Deze camera’s worden door kaartcontroleurs gebruikt wanneer zij vervoersbewijzen controleren. De vraag die aan het Hof werd voorgelegd, ging over de toepasselijkheid van artikel 13 AVG en artikel 14 AVG. Beide bepalingen gaan over de informatieplicht richting de betrokkene waarvan gegevens worden verzameld. Het verschil tussen artikel 13 en artikel 14 AVG is dat artikel 13 van toepassing is wanneer gegevens bij de betrokkene worden verzameld en artikel 14 van toepassing is wanneer gegevens niet bij de betrokkene worden verzameld.

    Wat speelde er in deze zaak

    Een exploitant van openbaar vervoer in Stockholm genaamd AB Storstockholms Lokaltrafik (de vervoerder) rustte haar kaartcontroleurs uit met bodycams. Tijdens de werkzaamheden van de kaartcontroleurs nam de bodycam continu beeld en geluid op. Het doel van de inzet was het voorkomen en het documenteren van bedreigingen en geweld en het identificeren van de reizigers aan wie een boete werd opgelegd. Als voorzorgsmaatregel werkten de bodycams met een circulair geheugen. Dit hield in dat beelden automatisch na één minuut werden overschreven behalve wanneer de kaartcontroleur op een knop drukte. In dat geval werd de opname, inclusief de minuut voordat de controleur op de knop drukte, veiliggesteld. De kaartcontroleurs werden geïnstrueerd dat zij op de cameraknop moesten drukken op het moment dat zij een boete uitschreven of te maken kregen met een dreigende situatie.

    De Zweedse privacywaakhond, de Integritetsskyddsmyndigheten, onderzocht het gebruik van de bodycams en concludeerde dat de vervoerder haar informatieplicht richting de betrokkenen had geschonden omdat deze de betrokkenen onvoldoende geïnformeerd had over de verwerking op basis van artikel 13 AVG. Voor deze schending kreeg de vervoerder een bestuurlijke boete. In hoger beroep oordeelde de Zweedse appelrechter dat artikel 13 AVG niet van toepassing zou zijn. Deze vraag werd vervolgens voorgelegd aan de hoogste bestuursrechter van Zweden, die prejudiciële vragen stelde aan het Hof van Justitie.

    Artikel 13 of artikel 14?

    De vraag aan het Hof was of persoonsgegevens die door de bodycams verzameld werden moeten worden aangemerkt als persoonsgegevens die:

    • zijn verkregen van de betrokkene (conform artikel 13 AVG), of

    • niet zijn verkregen van de betrokkene (conform artikel 14 AVG).

    Het verschil tussen deze twee artikelen is relevant omdat de betrokkene op een andere manier moet worden ingelicht. Bij de toepassing van artikel 13 AVG wordt verplicht dat de betrokkene over de verwerking wordt ingelicht op het moment dat de gegevens verkregen worden, terwijl artikel 14 onder omstandigheden ruimte biedt om de betrokkene op een later moment in te lichten.

    Oordeel van het Hof

    Het Hof bevestigt dat het verschil tussen artikel 13 en 14 AVG afhangt van de bron van de persoonsgegevens. Hierbij merkt het Hof op dat het begrip “verzameld van de betrokkene” geen actieve handeling vereist van de betrokkene. Dit houdt in dat wanneer persoonsgegevens bijvoorbeeld door cameraobservatie worden verkregen, er sprake is van rechtstreekse verkrijging. Dat de betrokkene niet actief gegevens verstrekt is dus niet doorslaggevend. Het Hof concludeert daarmee dat bij gebruik van de bodycams in het Zweedse openbaar vervoer, sprake is van een situatie waarop artikel 13 AVG van toepassing is, omdat de gegevens worden vastgelegd bij de gefilmde persoon. Het Hof merkt daarbij op dat een andere uitleg het risico meebrengt dat betrokkenen niet worden geïnformeerd op het moment van opname. Dit zou kunnen leiden tot vormen van verborgen cameratoezicht, wat in strijd is met het transparantiebeginsel uit de AVG.

    Meerlaagse informatieverstrekking

    In de uitspraak schenkt het Hof nog aandacht aan de informatieplicht in de praktijk. De informatieplicht moet proportioneel worden ingevuld. Hierbij verwijst het Hof naar richtsnoeren waarin een meerlaagse informatieverstrekking wordt toegestaan. Zo kan de meest essentiële informatie aan de betrokkene worden aangeboden middels een waarschuwingsbord, terwijl verdere informatie via een website of ander toegankelijk kanaal beschikbaar wordt gesteld. De uitspraak van het Hof zorgt er dus niet voor dat elke individuele reiziger ter plekke een volledige uitleg over de verwerking moet ontvangen. Betrokkenen moeten zich echter wel ervan bewust zijn dat er videobeelden kunnen worden gemaakt.

    Betekenis voor de praktijk

    Deze uitspraak heeft gevolgen voor organisaties die gebruikmaken van beeldopnamen als controlefunctie. Dit kunnen organisaties zijn die camera’s inzetten ter beveiliging van hun werkvloer of winkel of gebruik maken van bodycams, dashcams of andere mobiele camera’s. In situaties waarin camerabeelden rechtstreeks worden vastgelegd van betrokkenen, zal artikel 13 AVG in beginsel van toepassing zijn. Organisaties zullen de betrokkene moeten informeren over de verwerking waaronder in elk geval:

    • de identiteit van de organisatie;

    • de doelen van de verwerking;

    • de verwerkingsgrond;

    • de bewaartermijn;

    • de rechten van de betrokkene onder de AVG.

    De uitspraak maakt nogmaals kenbaar dat transparantie bij cameratoezicht een kernverplichting is. Verborgen of onvoldoende kenbaar gemaakte observatie staat op gespannen voet met de AVG. Voor organisaties die gebruikmaken van cameratoezicht blijft het daarom van belang om de informatieverstrekking richting betrokkenen kritisch te blijven toetsen. Niet alleen de techniek van de opname, maar de zichtbaarheid en toegankelijkheid van de informatieverstrekking bepaalt of er aan de AVG wordt voldaan.

    Anoniem naar de Bioscoop

    De vraag of organisaties nog contante betalingen mogen weigeren, heeft nu ook een privacyrechtelijke dimensie gekregen. In een recente uitspraak heeft de Afdeling Bestuursrechtspraak Raad van State (hierna: ABRvS of de Afdeling) geoordeeld over de vraag of het uitsluiten van contante betalingen door een bioscoop in overeenstemming is met privacywetgeving.

    De zaak in het kort

    Een bezoeker van het Arnhemse Focus Filmtheater (hierna: Focus) wilde een bioscoopkaartje met contant geld kopen. Dat bleek niet meer mogelijk: sinds 2018 accepteert Focus alleen pinbetalingen, zowel bij de kassa als in de bijbehorende horecagelegenheid. De bezoeker stelde dat dit beleid een inbreuk vormde op zijn persoonlijke levenssfeer. Bij een pinbetaling worden immers persoonsgegevens verwerkt, terwijl dit bij een contante betaling niet het geval is.

    Hij stapte daarom naar de Autoriteit Persoonsgegevens (hierna: AP) met het verzoek om te handhaven. De AP wees dat verzoek af. Volgens de toezichthouder was er geen aanwijzing dat Focus met het afschaffen van contante betalingen de AVG overtrad. De man ging in bezwaar, vervolgens naar de rechter, en uiteindelijk in hoger beroep bij de ABRvS. Op 11 februari 2026 kreeg hij deels gelijk: de AP moet de zaak opnieuw beoordelen.

    Privacyschending door pinbetaling?

    Wie alleen nog met pin mag betalen, kan niet anoniem naar de film. Dat was de kern van de klacht. Bij iedere pintransactie worden namelijk persoonsgegevens verwerkt. Denk aan betaalkaart- en rekeninggegevens, transactiegegevens en identificerende gegevens van de pinner. Die verwerking kan volgens de bezoeker onnodig en disproportioneel zijn, zeker omdat contant betalen ook mogelijk zou zijn zonder dat er persoonsgegevens worden verwerkt. Ook stelde eiser dat er in sommige gevallen sprake zou zijn van verwerking van bijzondere persoonsgegevens. Volgens hem zou het denkbaar zijn dat uit het bezoek aan bepaalde films bijvoorbeeld de politieke of seksuele voorkeur van de bezoeker afgeleid kan worden. Bijzondere persoonsgegevens mogen in beginsel niet zonder toestemming worden verwerkt. Eiser beriep zich op het EVRM en de AVG.

    Het standpunt van de AP

    De AP kon zich wel vinden in het beleid van Focus. De bioscoop stelde dat het verbod op contante betalingen was ingevoerd om de veiligheid van medewerkers te kunnen waarborgen. Dit vond de AP een duidelijk en gerechtvaardigd doel. Bovendien is het verwerken van betaalgegevens noodzakelijk voor de uitvoering van de overeenkomst met de klant: namelijk het verkopen van een kaartje of een drankje. Volgens de AP was de verwerking dus toegestaan op basis van deze grondslag (noodzakelijkheid voor de uitvoering van een overeenkomst) in de AVG. Om die reden wees de toezichthouder het handhavingsverzoek af.

    Wat zegt de ABRvS?

    De Afdeling oordeelt kritischer. Zij stelt voorop dat de AVG inderdaad de juiste toetsingsmaatstaf is: als aan de voorwaarden van de AVG is voldaan, is ook het recht op privacy onder het EU-handvest en het Europees Verdrag voor de Rechten van de Mens. De ABRvS oordeelt dat het verwerken van de laatste vier cijfers van een rekeningnummer en een transactiebedrag niet kwalificeert als verwerking van bijzondere categorieën van persoonsgegevens. Dat uit een bioscoopbezoek indirect politieke of seksuele voorkeuren zouden kunnen blijken, vond de Afdeling te speculatief.

    De ABRvS concludeerde dat de AP haar besluit onvoldoende heeft gemotiveerd. De toezichthouder had simpelweg aangenomen dat veiligheid van medewerkers een gerechtvaardigd doel was, zonder te onderzoeken of daar in dit concrete geval ook echt aanleiding voor bestond. Er was geen bewijs dat de veiligheid van medewerkers daadwerkelijk in gevaar was, of dat het weren van contant geld daar iets wezenlijks aan bijdroeg. De enkele veronderstelling dat contant geld diefstalgevoeliger is, is volgens de ABRvS niet genoeg.

    Wat betekent dit voor de praktijk?

    De ABRvS zegt niet dat pinbetalingen per definitie onrechtmatig zijn. Wel benadrukt de Afdeling dat organisaties moeten kunnen aantonen waarom dit noodzakelijk is en waarom er geen minder ingrijpende alternatieven zijn. Er moet dus een gedegen belangenafweging worden gemaakt tussen het organisatiebelang en het privacybelang van de klant.

    Voor Focus betekent dit dat de AP een nieuw besluit moet nemen binnen acht weken. Voor andere organisaties laat deze uitspraak zien dat zij niet te licht moeten denken over de noodzaak en de proportionaliteit van verwerkingen. Zelfs bij alledaagse zaken als betalingen geldt dat elke verwerking van persoonsgegevens moet kunnen worden onderbouwd.

    Meer jurisprudentie lezen? Bekijk ons Data & Privacy jurisprudentieblog van de vorige maand.

    Data & Privacy jurisprudentieblog | januari 2026

     
    Terug naar overzicht

    Paul Bex

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram