Data & Privacy jurisprudentieblog | maart 2026

    - - / 26 maart 2026

    Twee recente uitspraken laten zien hoe lastig de verhouding tussen sectorspecifieke wetgeving en de Algemene verordening gegevensbescherming (AVG) in de praktijk kan zijn. In de zaak tussen een creditcardhouder en International Card Services (ICS) gaat het om de vraag of een financiële instelling voor her-identificatie een identiteitsbewijs en selfie mag opvragen en bewaren, en hoe ver die ruimte onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), en de AVG precies reikt. In de zaak Inteligo Media/ANSPDCP staat juist de vraag centraal wanneer een organisatie zonder aparte opt-in een nieuwsbrief mag sturen aan gebruikers met een gratis account, en welke rol de AVG dan nog speelt naast de Richtlijn 2002/58/EG (hierna: (e-Privacy)richtlijn).

    AVG en anti-witwasregels: Hoge Raad vraagt uitleg aan HvJEU

    De Hoge Raad heeft op 13 maart 2026 een belangrijk tussenarrest gewezen in de zaak tussen een creditcardhouder en ICS. Centraal staat een vraag die in de praktijk veel organisaties raakt: mag een financiële instelling voor her-identificatie een kopie van een identiteitsbewijs en een foto verlangen, en die vervolgens bewaren? De Hoge Raad maakt in dit arrest alvast één punt duidelijk, maar legt op andere punten juist prejudiciële vragen voor aan het Hof van Justitie van de EU (hierna: het HvJEU of het Hof).

    Wat speelde er?

    ICS had een bestaande klant gevraagd zich opnieuw online te identificeren. Daarbij moest zij via smartphone of tablet een foto van haar identiteitsbewijs en een selfie uploaden. Volgens ICS was dat nodig in het kader van de Wwft. Art. 38 Wwft verplicht ICS tot actualisering van de cliëntenonderzoeken die zij bij aanvang van creditcardovereenkomsten al op grond van art. 3 Wwft had verricht. De creditcardhouder weigerde mee te werken aan een nieuwe (online) identificatie. Haar principiële bezwaar was niet zozeer identificatie als zodanig, maar vooral het opslaan en bewaren van haar pasfoto en selfie. Toen zij niet meewerkte, blokkeerde ICS uiteindelijk haar creditcard en werd de overeenkomst opgezegd. In eerdere instanties kreeg ICS gelijk. De zaak belandde daarna bij de Hoge Raad.

    In deze zaak draaide het om twee vragen: (1) Is het vastleggen of opslaan van een (pas)foto door ICS een verwerking van biometrische gegevens en (2) omvat een Wwft-cliëntenonderzoek een verplichting tot het bewaren van een (pas)foto, en zo ja, hoe verhoudt deze zich tot de AVG?

    1. Is een pasfoto of selfie een biometrisch gegeven?

    Op dat punt is de Hoge Raad vrij duidelijk: nee, niet automatisch. Onder de AVG zijn biometrische gegevens persoonsgegevens die het resultaat zijn van een specifieke technische verwerking van iemands fysieke of gedragskenmerken, zodat die persoon uniek kan worden geïdentificeerd of geauthentiseerd. Denk bijvoorbeeld aan gezichtsherkenning waarbij een systeem uit een foto een biometrisch template maakt. Dat volgt uit artikel 4 onder 14 AVG, en hangt samen met het verwerkingsverbod uit artikel 9 lid 1 AVG.

    De Hoge Raad zegt dus: een gewone foto van een gezicht is nog niet meteen een biometrisch gegeven. Daarvoor is méér nodig dan enkel opslag. Pas als die foto met specifieke technische middelen wordt verwerkt voor unieke identificatie, kom je in de sferen van biometrie terecht. Dat is een nuttige verduidelijking, soms wordt al snel gezegd dat een pasfoto of selfie ‘biometrisch’ is, maar zo simpel is het juridisch niet.

    Verwerking niet automatisch toegestaan

    Dat iets geen biometrisch gegeven is, betekent natuurlijk niet dat je het zonder problemen mag opslaan. De Hoge Raad benadrukt in dit arrest juist ook dat het vastleggen en bewaren van een foto van een gezicht wel degelijk verwerking van persoonsgegevens is. Een pasfoto of selfie blijft gewoon een persoonsgegeven, waarop AVG-regels van toepassing zijn

    2. Verplicht de Wwft tot opslag van de volledige ID-kopie?

    Daarover heeft de Hoge Raad nog geen definitief oordeel gegeven. Op dit punt wil de Hoge Raad prejudiciële vragen stellen aan het HvJEU. De kern van de twijfel zit in artikel 33 Wwft. Die bepaling schrijft voor dat de documenten en gegevens die zijn gebruikt voor het cliëntenonderzoek opvraagbaar moeten worden vastgelegd, en gedurende vijf jaar moeten worden bewaard. Maar hoe ver strekt die verplichting precies?

    De discussie zit grofweg hier: mag een instelling volstaan met het vastleggen van relevante identificatiegegevens, of moet zij ook echt een kopie van het gebruikte identiteitsdocument bewaren? En als zo’n kopie mag of moet worden bewaard, geldt dat dan ook voor de pasfoto op dat document?

    Dat is juridisch belangrijk, want onder de AVG geldt dat je niet meer persoonsgegevens mag verwerken dan nodig is. Als het doel kan worden bereikt met minder gegevens, dan wordt opslag van een volledige ID-kopie al snel lastig te verdedigen.

    De Hoge Raad twijfelt daarom of de Nederlandse regeling in de Wwft, in combinatie met artikel 40 lid 1 onder a van de vierde anti-witwasrichtlijn (Richtlijn (EU) 2015/849), wel zo moet worden gelezen dat een volledige kopie van het identiteitsbewijs moet worden bewaard. En zo ja, of die bewaarplicht dan ook de pasfoto omvat. Deze vragen heeft de Hoge Raad bij het Hof van Justitie neergelegd.

    Nog een open vraag: kan een foto ook gegevens over ras of etnische afkomst onthullen?

    De kaarthoudster had ook aangevoerd dat een pasfoto ras of etnische afkomst kan blijken, zodat artikel 9 lid 1 AVG in beeld komt. Ook hierover hakt de Hoge Raad nog geen definitieve knoop door. Hij merkt wel op dat hierover onder de AVG nog onduidelijk bestaat: dit rechtsgebied is nog in ontwikkeling.

    De Hoge Raad wil daarom ook hierover vragen stellen aan het Hof van Justitie. Hierbij spelen de volgende subvragen: 1) is relevant met welk doel de foto wordt verwerkt en 2) is relevant of ras of etnische afkomst met voldoende mate van zekerheid uit die foto kan worden afgeleid.

    Voor de Nederlandse praktijk is daarbij ook artikel 25 UAVG relevant. Dat artikel bepaalt onder meer dat de verwerking van gegevens waaruit ras of etnische afkomst blijkt, mogelijk kan zijn als dat gebeurt met het oog op identificatie van betrokkene, en alleen voor zover dat daarvoor onvermijdelijk is.

    Wat betekent dit nu voor organisaties?

    Voor financiële instellingen en andere Wwft-plichtige organisaties is dit een relevante uitspraak. De Hoge Raad verduidelijkt in ieder geval één punt: een opgeslagen selfie of pasfoto is niet zonder meer biometrische gegevensverwerking. Op de andere belangrijke vraag, namelijk of opslag van de foto of van een volledige ID-kopie überhaupt noodzakelijk en wettelijk verplicht is, is nog geen eindantwoord gegeven.

    Totdat het HvJEU zich heeft uitgesproken, ligt het daarom voor de hand om identificatieprocessen kritisch te heroverwegen. Organisaties doen er verstandig aan om zich af te vragen:

    • Welke wettelijke bepaling precies de opslag van een ID-kopie of foto draagt;

    • Of werkelijk een volledige kopie nodig is, of dat vastlegging van beperkte identificatiegegevens volstaat. Beperkte identificatiegegevens zijn bijvoorbeeld de gegevens die art. 33 Wwft zelf noemt (naam, geboortedatum, adres, documentnummer etc.), zonder dat je een volledige ID-kopie opslaat.

    • Hoe de noodzakelijkheid en proportionaliteit intern zijn gedocumenteerd. Analyseer expliciet de alternatieven en leg de motivering van waarom er meer gegevens nodig zijn vast in bijvoorbeeld een DPIA, een verwerkingsregister of een interne memo.

    • En of privacyverklaringen en klantcommunicatie hierover voldoende precies zijn.

    Voor organisaties is de boodschap helder: kijk niet alleen naar het label ‘biometrie’, maar vooral naar noodzaak, proportionaliteit en wettelijke basis.

    Inteligo Media/ANSPDCP

    In een zaak van 13 november 2025 deed zich een belangrijke vraag voor: mag een online uitgever die gebruikers een gratis account laat aanmaken, daarna zonder aparte opt-in een dagelijkse e-mailnieuwsbrief sturen met samenvattingen en links naar artikelen?

    Het antwoord van het Hof is voor veel uitgevers, platforms en aanbieders van contentdiensten relevant: ja, dat kan onder omstandigheden. Maar minstens zo belangrijk is de reden waarom het Hof dat zegt. De uitspraak verduidelijkt namelijk drie klassieke pijnpunten uit de praktijk van e-mailmarketing: wanneer iets ‘direct marketing’ is, wanneer sprake is van een verkoop van een product of dienst, en hoe de verhouding ligt tussen de AVG en de e-Privacyrichtlijn

    De feiten

    De zaak draaide om een Roemeense uitgever van online publicaties. Gebruikers konden gratis een account aanmaken. Daarmee kregen zij toegang tot extra artikelen en een dagelijkse e-mailnieuwsbrief met een overzicht van nieuwe wetgeving en links naar artikelen. Ook kregen zij de mogelijkheid om later een betaald abonnement af te nemen. Bij registratie konden gebruikers aangeven dat zij de nieuwsbrief niet wilden ontvangen. Ook bevatte iedere e-mail een afmeldmogelijkheid. Ondanks al deze waarborgen, vond de Roemeense toezichthouder toch dat de verwerking niet deugde. Volgens die toezichthouder was geen geldige toestemming (opt-in) verkregen voor het versturen van de nieuwsbrief.

    Niet meteen naar de AVG kijken

    Het Hof begint op een belangrijk punt: bij dit soort e-mailcommunicatie moet je niet automatisch eerst naar artikel 6 AVG kijken, waarin de algemene grondslagen voor rechtmatige verwerking van persoonsgegevens zijn neergelegd. De eerste stap is hier artikel 13 van de e-Privacyrichtlijn: de e-privacyregels over ongevraagde elektronische communicatie. In Nederland zijn die regels vooral uitgewerkt in artikel 11.7 van de Telecommunicatiewet (Tw).

    De hoofdregel is dat ongevraagde commerciële e-mail in beginsel alleen is toegestaan met voorafgaande toestemming. Daarop bestaat echter een belangrijke uitzondering: de soft opt-in. Die uitzondering geldt wanneer een organisatie het e-mailadres heeft verkregen in het kader van de verkoop van een dienst of product, het adres gebruikt voor eigen gelijksoortige producten of diensten en de ontvanger bij verkrijging én iedere boodschap eenvoudig bezwaar kan maken.

    Ook een inhoudelijke nieuwsbrief kan direct marketing zijn

    Van belang is dat het Hof oordeelt dat de nieuwsbrief wel onder direct marketing valt. De nieuwsbrief in kwestie bevatte samenvattingen van nieuwe wetgeving en links naar inhoudelijke artikelen. Dat klinkt op het eerste gezicht vooral informatief of redactioneel, maar toch zegt het Hof dat dat niet uitsluit dat zo’n mail tegelijkertijd een marketingdoel heeft.

    De doorslag gaf hier dat de nieuwsbrief gebruikers terugleidde naar het platform, hen stimuleerde om meer artikelen te lezen en uiteindelijk kon bijdragen aan het afsluiten van een betaald abonnement. Daarmee had de e-mail dus een commercieel doel. Soms menen organisaties dat een nieuwsbrief geen marketing is zolang de inhoud informatief genoeg is. Het Hof kiest nadrukkelijk voor een functionele benadering: niet alleen de toon van de inhoud telt, maar ook het doel van de boodschap binnen het verdienmodel.

    Een gratis account onderdeel van verkoop?

    Minstens zo relevant is wat het Hof zegt over de vraag wanneer een e-mailadres is verkregen in het kader van de verkoop van een product of dienst. In deze zaak betaalde de gebruiker niet voor het account. Toch oordeelt het Hof dat er onder omstandigheden wel degelijk sprake kan zijn van een verkoop van een dienst. Het gratis account maakte deel uit van een breder commercieel aanbod. De gebruiker kreeg extra toegang en een nieuwsbrief, terwijl de uitgever daarmee gebruikers naar betaalde content kon leiden. De gratis dienst had dus een duidelijke promotionele functie binnen een commercieel model. Met andere woorden: ook als de gebruiker niet direct betaalt, kan sprake zijn van een dienst die economisch samenhangt met een betaalde propositie. Voor de toepassing van artikel 13 lid 2 van de e-Privacyrichtlijn hoeft ‘verkoop’ dus niet beperkt te blijven tot een klassieke transactie met een directe prijs.

    De verhouding tussen e-privacy en AVG

    Het Hof laat in dit arrest duidelijk zien dat als artikel 13 lid 2 van de e-Privacyrichtlijn al van toepassing is, je niet ook nog apart hoeft te kijken naar de grondslagen van artikel 6 AVG. Dat volgt uit artikel 95 AVG. Die bepaling voorkomt dat de AVG extra verplichtingen oplegt op punten waar de e-Privacyrichtlijn al specifieke regels met hetzelfde doel bevat.

    De AVG verdwijnt daarmee niet uit beeld, maar haar rol verandert. Voor de rechtmatigheid van dit type marketingmail ligt de eerste toets hier bij het e-Privacykader.

    Wat betekent dit in Nederland?

    Voor Nederlandse organisaties zit de relevantie van deze uitspraak vooral in de toepassing van artikel 11.7 Tw: de nationale uitwerking van artikel 13 van de e-Privacyrichtlijn. Op papier verandert er misschien weinig, de regels rond de soft opt-in bestonden al. Dit arrest laat wel zien hoe ruim en tegelijkertijd hoe precies die regels in de praktijk kunnen worden uitgelegd. Een gratis account kan dus onder omstandigheden worden gezien als onderdeel van een dienstrelatie, mits die duidelijk past binnen een commercieel geheel.

    Veel organisaties werken met een gratis account of een proefabonnement. Uit deze uitspraak volgt dat zulke modellen onder omstandigheden binnen het bereik van de soft opt-in kunnen vallen. Dat betekent niet dat elke gratis registratie ineens voldoende is. De nieuwsbrief moet altijd wel betrekking hebben op eigen en gelijksoortige diensten, en gebruikers moeten zowel bij het verzamelen van hun gegevens als in iedere e-mail een eenvoudige en kosteloze opt-out krijgen. Om te bepalen of een nieuwsbrief onder direct marketing valt, gaat het om het commerciële doel van de communicatie, mede bezien in de context waarin deze wordt verstuurd. Een commercieel tintje mag, maar het mag niet de hoofdboodschap zijn.

    Meer jurisprudentie lezen? Bekijk ons Data & Privacy jurisprudentieblog van de vorige maand.

    Data & Privacy jurisprudentieblog | februari 2026
    Terug naar overzicht

    Isabelle Gelderman

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram