<?xml version="1.0" encoding="UTF-8"?>
<rss xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/" xmlns:g-custom="http://base.google.com/cns/1.0" xmlns:media="http://search.yahoo.com/mrss/" version="2.0">
  <channel>
    <title>60dad05c</title>
    <link>https://www.ediyen.com</link>
    <description />
    <atom:link href="https://www.ediyen.com/feed/rss2" type="application/rss+xml" rel="self" />
    <item>
      <title>Wanneer is een AVG-verzoek ‘buitensporig’ en mag het buiten behandeling blijven?</title>
      <link>https://www.ediyen.com/wanneer-is-een-avg-verzoek-buitensporig-en-mag-het-buiten-behandeling-blijven</link>
      <description />
      <content:encoded>&lt;div data-rss-type="text"&gt;&#xD;
  &lt;h3&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           De restrictieve interpretatie van het begrip 'buitensporig' 
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
  &lt;/h3&gt;&#xD;
&lt;/div&gt;&#xD;
&lt;div data-rss-type="text"&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Organisaties krijgen steeds vaker te maken met verzoeken van betrokkenen op grond van de Algemene Verordening Gegevensbescherming (AVG), zoals inzage-, correctie- of verwijderingsverzoeken. In uitzonderlijke gevallen kan een verwerkingsverantwoordelijke een dergelijk verzoek kwalificeren als
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          ‘buitensporig’
         &#xD;
    &lt;/strong&gt;&#xD;
    &lt;span&gt;&#xD;
      
          , waardoor het niet in behandeling hoeft te worden genomen. De lat voor deze kwalificatie ligt echter hoog, zo blijkt opnieuw uit recente rechtspraak.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Rechtbank Midden-Nederland: misbruik van recht
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In de zomer van 2025 heeft de rechtbank Midden-Nederland uitspraak gedaan in een zaak waarin een eiser niet-ontvankelijk werd verklaard wegens misbruik van recht (ECLI:NL:RBMNE:2025:4040). De betrokkene was sinds zijn ontslag in 2010 betrokken bij een groot aantal door hemzelf gestarte juridische procedures. In de jaren voorafgaand aan de uitspraak had de rechtbank in minimaal veertig zaken geoordeeld over door hem ingediende verzoeken, waarvan het merendeel op grond van artikel 12 lid 5 onder b AVG als buitensporig werd aangemerkt.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Deze zaak laat zien dat het begrip ‘buitensporig’ in zeer uitzonderlijke omstandigheden daadwerkelijk kan worden toegepast, maar ook dat dit sterk afhankelijk is van de feiten en de context.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Strikte uitleg volgens het EDPB
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Het Europees Comité voor Gegevensbescherming (EDPB) benadrukt in zijn richtlijnen dat het begrip ‘buitensporig’
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          restrictief
         &#xD;
    &lt;/strong&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           moet worden geïnterpreteerd. Dat betekent dat er slechts beperkte ruimte is om AVG-verzoeken buiten behandeling te laten. Het uitgangspunt blijft dat betrokkenen hun rechten effectief moeten kunnen uitoefenen.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Een verzoek is niet buitensporig enkel omdat het veel werk oplevert of administratief belastend is. De beoordeling moet altijd per individueel verzoek plaatsvinden, waarbij alle relevante omstandigheden worden meegewogen.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Context en sector zijn bepalend
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Bij de beoordeling of een verzoek buitensporig is, speelt de context waarin het verzoek wordt gedaan een belangrijke rol. Daarbij kijkt men onder meer naar:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           het repetitieve karakter van het verzoek;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de tijd die is verstreken sinds eerdere verzoeken;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de aard en omvang van de verwerkte persoonsgegevens;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de sector waarin de verwerkingsverantwoordelijke actief is.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Hoe dynamischer de dataset, hoe vaker een betrokkene in beginsel een verzoek mag indienen. Een organisatie waarvan persoonsgegevens regelmatig wijzigen, zoals een kredietinformatiebureau, kan niet worden vergeleken met een ambachtelijk bedrijf zoals een timmerman, waar de dataset doorgaans stabieler is. Wat in de ene sector buitensporig kan zijn, hoeft dat in een andere sector dus niet te zijn.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Wanneer kan wél sprake zijn van buitensporigheid?
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Naast een extreem repetitief patroon kan een verzoek ook als buitensporig worden aangemerkt wanneer duidelijk blijkt dat het verzoek een ander doel dient dan het uitoefenen van privacyrechten. Bijvoorbeeld wanneer een betrokkene aanbiedt het verzoek in te trekken in ruil voor een voordeel, of wanneer het verzoek kennelijk uitsluitend is bedoeld om hinder te veroorzaken.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In alle andere gevallen blijft de beoordeling sterk afhankelijk van de concrete omstandigheden, waarbij terughoudendheid is geboden.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Rechterlijke terughoudendheid blijft uitgangspunt
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Belangrijk om te benadrukken is dat rechters over het algemeen zeer terughoudend zijn bij het aannemen van misbruik van recht. Verwerkingsverantwoordelijken doen er daarom verstandig aan om zorgvuldig te documenteren waarom een verzoek als buitensporig wordt aangemerkt.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Conclusie
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Een AVG-verzoek kan slechts in uitzonderlijke situaties als buitensporig worden gekwalificeerd. De beoordeling vereist een zorgvuldige, contextafhankelijke analyse waarbij sector, frequentie en intentie van de betrokkene een rol spelen. De lat ligt hoog, en terecht: het recht op gegevensbescherming blijft het uitgangspunt.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
&lt;/div&gt;</content:encoded>
      <enclosure url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-5668473.jpeg" length="174404" type="image/jpeg" />
      <pubDate>Mon, 26 Jan 2026 09:00:11 GMT</pubDate>
      <guid>https://www.ediyen.com/wanneer-is-een-avg-verzoek-buitensporig-en-mag-het-buiten-behandeling-blijven</guid>
      <g-custom:tags type="string">Privacy</g-custom:tags>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-5668473.jpeg">
        <media:description>thumbnail</media:description>
      </media:content>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-5668473.jpeg">
        <media:description>main image</media:description>
      </media:content>
    </item>
    <item>
      <title>Recht op uitleg bij geautomatiseerde besluitvorming: bedrijfsgeheimen bieden geen absolute bescherming</title>
      <link>https://www.ediyen.com/recht-op-uitleg-bij-geautomatiseerde-besluitvorming-bedrijfsgeheimen-bieden-geen-absolute-bescherming</link>
      <description />
      <content:encoded>&lt;div data-rss-type="text"&gt;&#xD;
  &lt;h3&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Artikel 15 lid 1 sub h AVG uitgelegd
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/h3&gt;&#xD;
&lt;/div&gt;&#xD;
&lt;div data-rss-type="text"&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Geautomatiseerde besluitvorming speelt een steeds grotere rol bij kredietbeoordelingen, sollicitatieprocedures en fraudedetectie. Besluiten die volledig automatisch tot stand komen, kunnen aanzienlijke gevolgen hebben voor betrokkenen. De AVG kent daarom specifieke waarborgen toe aan personen die door dergelijke besluiten worden geraakt. Een recente uitspraak van het Hof van Justitie van de Europese Unie (zaak
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          C-203/22
         &#xD;
    &lt;/strong&gt;&#xD;
    &lt;span&gt;&#xD;
      
          ) onderstreept het belang en de reikwijdte van het recht op uitleg.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          De casus: weigering van “nuttige informatie”
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In deze zaak weigerde een kredietinformatiebureau aanvullende informatie te verstrekken aan een betrokkene over een geautomatiseerd besluit waarbij was vastgesteld dat hij onvoldoende kredietwaardig was. De Oostenrijkse gegevensbeschermingsautoriteit had het bureau opgedragen om “nuttige informatie” te verstrekken over de logica die aan de geautomatiseerde besluitvorming ten grondslag lag.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het kredietinformatiebureau voerde aan dat het verstrekken van nadere informatie niet mogelijk was vanwege de bescherming van bedrijfsgeheimen. Volgens het bureau volstond de informatie die reeds aan de betrokkene was verstrekt.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Uitleg van artikel 15 lid 1 onder h AVG
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Het Hof van Justitie volgt deze redenering niet. Het oordeelt dat onder de term
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
    &lt;span&gt;&#xD;
      
          “nuttige informatie”
         &#xD;
    &lt;/span&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           in artikel 15 lid 1 onder h AVG moet worden verstaan: alle informatie die relevant is voor de procedure en voor de beginselen van het geautomatiseerde gebruik van persoonsgegevens.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dit betekent dat de informatie niet mag blijven steken op een abstract of algemeen niveau. De betrokkene moet daadwerkelijk inzicht krijgen in hoe het besluit tot stand is gekomen, voor zover dit betrekking heeft op de verwerking van zijn of haar persoonsgegevens.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Recht op uitleg bij ingrijpende besluiten
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het Hof verwijst daarbij naar overweging 71 van de AVG. Hieruit volgt dat wanneer een besluit:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           uitsluitend is gebaseerd op geautomatiseerde verwerking, en
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de betrokkene aanmerkelijk treft,
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de betrokkene recht heeft op uitleg over dat besluit. Artikel 15 lid 1 onder h AVG biedt dus een
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
    &lt;span&gt;&#xD;
      
          daadwerkelijk recht op uitleg over:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de werking van het mechanisme dat aan de geautomatiseerde besluitvorming ten grondslag ligt, en
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           het resultaat van dat besluit.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het gaat daarbij niet om het prijsgeven van broncode of volledige algoritmen, maar om een begrijpelijke en betekenisvolle toelichting.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Bedrijfsgeheimen zijn geen absolute uitzondering
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Hoewel de AVG erkent dat rekening moet worden gehouden met rechten en vrijheden van anderen, waaronder bedrijfsgeheimen, mogen deze niet worden gebruikt om het recht op inzage en uitleg volledig uit te hollen. Organisaties moeten een balans vinden tussen bescherming van hun intellectuele eigendom en het informeren van betrokkenen.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dat betekent in de praktijk dat informatie zo moet worden verstrekt dat:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de gebruikte persoonsgegevens worden toegelicht;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           duidelijk wordt welke factoren een rol hebben gespeeld;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           inzicht wordt gegeven in hoe deze gegevens hebben bijgedragen aan het besluit.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Praktische betekenis voor organisaties
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Voor organisaties die gebruikmaken van geautomatiseerde besluitvorming is deze uitspraak een belangrijk signaal. Transparantieverplichtingen reiken verder dan algemene beschrijvingen of standaardteksten. Betrokkenen hebben in de meeste gevallen recht op een begrijpelijke uitleg van welke persoonsgegevens zijn gebruikt en hoe deze zijn ingezet in het besluitvormingsproces.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Conclusie
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het recht op uitleg bij geautomatiseerde besluitvorming is een wezenlijk onderdeel van de AVG. Bedrijfsgeheimen vormen geen absolute rechtvaardiging om “nuttige informatie” te weigeren. Organisaties moeten ervoor zorgen dat zij betrokkenen op een duidelijke en begrijpelijke manier kunnen informeren over de logica en uitkomst van geautomatiseerde besluiten die hen aanmerkelijk raken.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
&lt;/div&gt;</content:encoded>
      <enclosure url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-906018.jpeg" length="85257" type="image/jpeg" />
      <pubDate>Mon, 19 Jan 2026 09:00:54 GMT</pubDate>
      <guid>https://www.ediyen.com/recht-op-uitleg-bij-geautomatiseerde-besluitvorming-bedrijfsgeheimen-bieden-geen-absolute-bescherming</guid>
      <g-custom:tags type="string">Privacy</g-custom:tags>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-906018.jpeg">
        <media:description>thumbnail</media:description>
      </media:content>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-906018.jpeg">
        <media:description>main image</media:description>
      </media:content>
    </item>
    <item>
      <title>Leidt een ernstige AVG-overtreding automatisch tot schadevergoeding?</title>
      <link>https://www.ediyen.com/leidt-een-ernstige-avg-overtreding-automatisch-tot-schadevergoeding</link>
      <description />
      <content:encoded>&lt;div data-rss-type="text"&gt;&#xD;
  &lt;h3&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Wanneer heeft iemand recht op schadevergoeding?
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/h3&gt;&#xD;
&lt;/div&gt;&#xD;
&lt;div data-rss-type="text"&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In discussies over privacyclaims wordt vaak verondersteld dat een ernstige overtreding van de Algemene Verordening Gegevensbescherming (AVG) automatisch recht geeft op schadevergoeding. De gedachte is begrijpelijk: hoe zwaarder de inbreuk, hoe groter de aanspraak. Toch klopt deze redenering juridisch niet altijd. Het Europese recht hanteert een ander uitgangspunt.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het Hof van Justitie van de Europese Unie heeft hierover belangrijke duidelijkheid gegeven in zaak C-667/21. De kernboodschap van deze uitspraak is helder: niet de ernst van de overtreding, maar het bestaan van daadwerkelijke schade is doorslaggevend voor een aanspraak op schadevergoeding op grond van artikel 82 AVG.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Artikel 82 AVG: schade als voorwaarde
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Artikel 82 AVG geeft betrokkenen het recht om schadevergoeding te vorderen wanneer zij materiële of immateriële schade hebben geleden als gevolg van een inbreuk op de AVG. Daarmee is schade geen bijzaak, maar een essentieel vereiste. Zonder schade ontstaat er geen recht op compensatie.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In de genoemde uitspraak benadrukt het Hof dat artikel 82 AVG geen punitief karakter heeft. In rechtsoverwegingen 85 en 86 wordt expliciet vastgesteld dat de schadevergoeding uitsluitend een compensatoire functie vervult. Het doel is het vergoeden van daadwerkelijk geleden schade, niet het bestraffen van de verantwoordelijke voor de ernst van de overtreding.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Ernst van de inbreuk is niet doorslaggevend
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dit betekent dat zelfs een ernstige of structurele AVG-schending niet automatisch leidt tot een schadevergoedingsplicht. De ernst van de inbreuk kan relevant zijn in andere contexten, zoals bij handhaving door de toezichthouder of bij de hoogte van een bestuurlijke boete, maar speelt geen zelfstandige rol bij de beoordeling van een civiele schadeclaim.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In de praktijk blijkt dat betrokkenen of hun gemachtigden regelmatig wijzen op de zwaarte van de overtreding, bijvoorbeeld door te benadrukken dat fundamentele privacyrechten zijn geschonden. Zonder onderbouwing van concrete materiële of immateriële schade is dit echter onvoldoende om een geslaagd beroep te doen op artikel 82 AVG.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Aantoonbare schade blijft vereist
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Voor een succesvolle schadeclaim moet de betrokkene kunnen aantonen:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           dat er sprake is van een AVG-inbreuk;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           dat hij of zij daadwerkelijk schade heeft geleden (materieel of immaterieel);
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           dat er een causaal verband bestaat tussen de inbreuk en de schade.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het Hof maakt hiermee duidelijk dat schade niet mag worden verondersteld of automatisch aangenomen. Ook immateriële schade moet concreet en reëel zijn, en kan niet uitsluitend worden gebaseerd op het enkele feit dat een overtreding heeft plaatsgevonden.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           ﻿
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Betekenis voor organisaties
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Voor organisaties betekent deze jurisprudentie dat zij niet iedere privacyclaim zonder meer hoeven te accepteren. Een kritische beoordeling van de gestelde schade is gerechtvaardigd en noodzakelijk. De toon of stelligheid van de tegenpartij mag daarbij niet doorslaggevend zijn.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dit neemt uiteraard niet weg dat AVG-naleving essentieel blijft. Overtredingen kunnen leiden tot boetes, reputatieschade en toezichtmaatregelen. Maar civielrechtelijke aansprakelijkheid op grond van artikel 82 AVG vergt meer dan alleen een ernstige fout.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Conclusie
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Een zware overtreding van de AVG leidt niet automatisch tot een recht op schadevergoeding. Alleen wanneer sprake is van aantoonbare, concrete schade kan artikel 82 AVG met succes worden ingeroepen. Geen schade betekent geen schadevergoeding, ongeacht de ernst van de inbreuk.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
&lt;/div&gt;</content:encoded>
      <enclosure url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-8858688.jpeg" length="76647" type="image/jpeg" />
      <pubDate>Mon, 12 Jan 2026 09:00:31 GMT</pubDate>
      <guid>https://www.ediyen.com/leidt-een-ernstige-avg-overtreding-automatisch-tot-schadevergoeding</guid>
      <g-custom:tags type="string">Privacy</g-custom:tags>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-8858688.jpeg">
        <media:description>thumbnail</media:description>
      </media:content>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-8858688.jpeg">
        <media:description>main image</media:description>
      </media:content>
    </item>
    <item>
      <title>Persoonsgegevens verwerken omdat het “in de overeenkomst staat”?</title>
      <link>https://www.ediyen.com/persoonsgegevens-verwerken-omdat-het-in-de-overeenkomst-staat</link>
      <description />
      <content:encoded>&lt;div data-rss-type="text"&gt;&#xD;
  &lt;h3&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Wanneer kunt u zich succesvol beroepen op artikel 6 lid 1 sub b AVG?
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/h3&gt;&#xD;
&lt;/div&gt;&#xD;
&lt;div data-rss-type="text"&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In de praktijk wordt regelmatig aangenomen dat persoonsgegevens mogen worden verwerkt zodra deze verwerking expliciet in een overeenkomst is opgenomen. “Het staat in het contract, dus het mag.” Deze redenering klinkt logisch, maar is juridisch onjuist. De Algemene Verordening Gegevensbescherming (AVG) stelt strengere eisen aan het gebruik van persoonsgegevens dan enkel een contractuele vermelding.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het opnemen van een gegevensverwerking in een overeenkomst is op zichzelf geen geldige verwerkingsgrondslag. Voor iedere verwerking van persoonsgegevens moet een beroep kunnen worden gedaan op één van de grondslagen uit artikel 6 AVG. Een overeenkomst kan daarbij een rol spelen, maar uitsluitend onder specifieke voorwaarden.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Artikel 6 lid 1 sub b AVG: noodzakelijkheid staat centraal
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Artikel 6 lid 1 sub b AVG bepaalt dat persoonsgegevens mogen worden verwerkt wanneer dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van stappen op verzoek van de betrokkene voorafgaand aan het sluiten van die overeenkomst.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het sleutelbegrip hier is “noodzakelijk”. De verwerking moet objectief noodzakelijk zijn om:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ol&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de overeenkomst met de betrokkene uit te voeren, of
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           voorbereidende handelingen te verrichten op verzoek van de betrokkene.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ol&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dat betekent dat niet iedere verwerking die verband houdt met een contract automatisch onder deze grondslag valt. De AVG vereist dat de verwerking essentieel is voor de kern van de afgesproken dienst of prestatie.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Niet alles wat handig is, is noodzakelijk
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          In de praktijk worden persoonsgegevens vaak verwerkt omdat dit efficiënt, commercieel aantrekkelijk of intern wenselijk is. Denk aan aanvullende analyses, marketingdoeleinden of uitgebreide klantprofielen. Dergelijke verwerkingen kunnen nuttig zijn, maar dat maakt ze nog niet noodzakelijk voor de uitvoering van de overeenkomst.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          De toezichthouders hanteren hierbij een strikte toets: kan de dienst daadwerkelijk niet worden geleverd zonder deze specifieke verwerking? Als het antwoord “nee” is, dan kan artikel 6 lid 1 sub b AVG niet worden gebruikt als grondslag.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Wat moet je kunnen aantonen?
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Wil een organisatie zich met succes beroepen op artikel 6 lid 1 sub b AVG, dan moet zij kunnen onderbouwen dat:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           er sprake is van een geldige overeenkomst met de betrokkene;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de betreffende verwerking van persoonsgegevens essentieel is voor de uitvoering van die overeenkomst, en uitsluitend ziet op de kern van de dienst;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           er geen minder ingrijpende alternatieven bestaan waarmee hetzelfde doel kan worden bereikt.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Ontbreekt één van deze elementen, dan is deze grondslag niet van toepassing en moet een andere grondslag uit artikel 6 AVG worden gekozen, zoals toestemming of een gerechtvaardigd belang.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Contracten zijn geen vrijbrief
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het contractuele kader bepaalt de civielrechtelijke afspraken tussen partijen, maar vervangt niet de vereisten van de AVG. Een overeenkomst kan dus nooit dienen als “vrijbrief” om persoonsgegevens te verwerken zonder verdere toetsing.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Conclusie
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dat een gegevensverwerking in een overeenkomst is opgenomen, betekent niet automatisch dat deze verwerking rechtmatig is onder de AVG. Alleen wanneer de verwerking objectief noodzakelijk is voor de kern van de overeenkomst, kan een beroep worden gedaan op artikel 6 lid 1 sub b AVG. De cruciale vraag die organisaties zichzelf steeds moeten stellen blijft dan ook: kan deze dienst daadwerkelijk niet worden geleverd zonder deze persoonsgegevens te verwerken?
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
&lt;/div&gt;</content:encoded>
      <enclosure url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/document-agreement-documents-sign-48148.jpeg" length="139592" type="image/jpeg" />
      <pubDate>Mon, 05 Jan 2026 23:23:07 GMT</pubDate>
      <guid>https://www.ediyen.com/persoonsgegevens-verwerken-omdat-het-in-de-overeenkomst-staat</guid>
      <g-custom:tags type="string">Privacy</g-custom:tags>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/document-agreement-documents-sign-48148.jpeg">
        <media:description>thumbnail</media:description>
      </media:content>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/document-agreement-documents-sign-48148.jpeg">
        <media:description>main image</media:description>
      </media:content>
    </item>
    <item>
      <title>Verwerkingsverantwoordelijke of verwerker: waar ligt de beslissingsbevoegdheid?</title>
      <link>https://www.ediyen.com/verwerkingsverantwoordelijke-of-verwerker-waar-ligt-de-beslissingsbevoegdheid</link>
      <description />
      <content:encoded>&lt;div data-rss-type="text"&gt;&#xD;
  &lt;h3&gt;&#xD;
    &lt;span&gt;&#xD;
      
          De manier om de verwerkingsverantwoordelijke te kwalificeren
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/h3&gt;&#xD;
&lt;/div&gt;&#xD;
&lt;div data-rss-type="text"&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Binnen de AVG is het onderscheid tussen de rol van verwerkingsverantwoordelijke en verwerker van fundamenteel belang. Toch blijkt dit onderscheid in de praktijk vaak lastig te maken. Organisaties worstelen regelmatig met de vraag: welke rol vervullen wij in deze specifieke verwerking, en welke verplichtingen horen daarbij? De scheidslijn tussen beide rollen is niet altijd scherp. Dit komt doordat de AVG geen formele of contractuele aanwijzing als uitgangspunt neemt, maar een feitelijke beoordeling vereist.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Feitelijke beoordeling staat centraal
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          De toewijzing van de rollen verwerkingsverantwoordelijke en verwerker wordt gebaseerd op een analyse van de feitelijke elementen en omstandigheden van het geval. Met andere woorden: het maakt niet doorslaggevend uit wat partijen onderling afspreken of hoe zij zichzelf contractueel positioneren. Het gaat om wat er in de praktijk daadwerkelijk gebeurt. Dit betekent ook dat onderhandelen over de rolverdeling weinig zin heeft als de feitelijke situatie daar niet mee in overeenstemming is. Een organisatie is niet automatisch verwerkingsverantwoordelijke of verwerker op basis van haar aard of positie, maar op basis van haar concrete activiteiten binnen een specifieke verwerking.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Beslissen over doel én middelen
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Een belangrijk onderscheidend kenmerk van de verwerkingsverantwoordelijke is dat deze beslist over:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           het doel van de verwerking (waarom persoonsgegevens worden verwerkt), én
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de middelen van de verwerking (hoe die verwerking plaatsvindt).
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het is daarbij niet voldoende om alleen het doel vast te stellen. Wie uitsluitend bepaalt waarom gegevens worden verwerkt, maar geen invloed heeft op de middelen, kan niet zonder meer als verwerkingsverantwoordelijke worden aangemerkt. De combinatie van beide beslissingsbevoegdheden is essentieel.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Ruimte voor beslissingen door de verwerker
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het Europees Comité voor Gegevensbescherming (EDPB) erkent dat een verwerker in de praktijk niet volledig besluitloos is. Een verwerker mag binnen bepaalde kaders zelf keuzes maken over de uitvoering van de verwerking. Daarbij maakt het EDPB een belangrijk onderscheid tussen wezenlijke en niet-wezenlijke middelen.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Wezenlijke middelen, die zijn voorbehouden aan de verwerkingsverantwoordelijke, hebben onder meer betrekking op:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           het type persoonsgegevens dat wordt verwerkt;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de duur van de verwerking;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de categorieën van betrokkenen;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de mate waarin gegevens worden gedeeld of gecombineerd.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;br/&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Niet-wezenlijke middelen, waarover de verwerker beslissingsruimte heeft, zien vooral op de praktische uitvoering, zoals:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de inrichting van processen;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           de keuze voor specifieke hardware of software;
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           bepaalde technische en organisatorische beveiligingsmaatregelen.
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Deze verdeling laat zien dat het feit dat een verwerker operationele keuzes maakt, niet automatisch betekent dat hij verwerkingsverantwoordelijke is.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Waarom een juiste roltoewijzing cruciaal is
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Een onjuiste roltoewijzing kan verstrekkende gevolgen hebben. De verantwoordelijkheden, aansprakelijkheden en verplichtingen verschillen aanzienlijk per rol. Denk aan transparantieverplichtingen, het afsluiten van verwerkersovereenkomsten, het uitvoeren van DPIA’s en de meldplicht bij datalekken. Daarom is het essentieel om niet uit te gaan van aannames of standaardmodellen, maar om telkens opnieuw te kijken naar de feitelijke situatie.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Conclusie
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Het onderscheid tussen verwerkingsverantwoordelijke en verwerker vraagt om een zorgvuldige, feitelijke analyse. De vraag wie beslist over het doel en de wezenlijke middelen van de verwerking is daarbij doorslaggevend. Twijfel over de rolverdeling? Dan is een grondige beoordeling van de concrete omstandigheden altijd de eerste en noodzakelijke stap.
          &#xD;
      &lt;br/&gt;&#xD;
      
           
          &#xD;
      &lt;br/&gt;&#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
&lt;/div&gt;</content:encoded>
      <enclosure url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-8850706.jpeg" length="93471" type="image/jpeg" />
      <pubDate>Mon, 05 Jan 2026 23:23:04 GMT</pubDate>
      <guid>https://www.ediyen.com/verwerkingsverantwoordelijke-of-verwerker-waar-ligt-de-beslissingsbevoegdheid</guid>
      <g-custom:tags type="string">Privacy</g-custom:tags>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-8850706.jpeg">
        <media:description>thumbnail</media:description>
      </media:content>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-8850706.jpeg">
        <media:description>main image</media:description>
      </media:content>
    </item>
    <item>
      <title>Privacy by Design bij API-configuraties: dataminimalisatie als structureel uitgangspunt</title>
      <link>https://www.ediyen.com/privacy-by-design-bij-api-configuraties-dataminimalisatie-als-structureel-uitgangspunt</link>
      <description />
      <content:encoded>&lt;div data-rss-type="text"&gt;&#xD;
  &lt;h3&gt;&#xD;
    &lt;span&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Het belang van Privacy By Design bij API-configuraties
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/span&gt;&#xD;
  &lt;/h3&gt;&#xD;
&lt;/div&gt;&#xD;
&lt;div data-rss-type="text"&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Steeds meer organisaties koppelen systemen via API’s om processen te automatiseren en efficiënter te werken. Denk aan integraties tussen CRM-systemen, HR-software, financiële applicaties of externe dienstverleners. Bij het inrichten van deze API-koppelingen gaat doorgaans veel aandacht uit naar informatiebeveiliging. Authenticatie, autorisatie, logging en versleuteling zijn vaak goed geregeld.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Wat in de praktijk echter regelmatig onderbelicht blijft, is privacy compliance. Met name het beginsel van dataminimalisatie wordt bij API-configuraties onvoldoende toegepast.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Dataminimalisatie: een kernbeginsel uit de AVG
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dataminimalisatie is een fundamenteel beginsel uit de Algemene Verordening Gegevensbescherming (AVG). Het houdt in dat organisaties alleen persoonsgegevens mogen verwerken die noodzakelijk zijn voor het specifieke doel van de verwerking. Meer data verzamelen of uitwisselen “voor het geval dat” is niet toegestaan.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Bij API-koppelingen gaat dit beginsel vaak mis. API’s worden standaard breed ingericht, waarbij volledige datasets worden uitgewisseld, terwijl slechts een beperkt aantal gegevens daadwerkelijk nodig is voor het betreffende proces. Dit kan bijvoorbeeld betekenen dat namen, contactgegevens of identificerende kenmerken worden meegestuurd, terwijl een uniek ID of statusveld voldoende zou zijn.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Privacy by Design bij technische integraties
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          De AVG verplicht organisaties om het principe van Privacy by Design toe te passen. Dit betekent dat privacybescherming al in de ontwerpfase van systemen en processen moet worden meegenomen, en niet pas achteraf.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Bij API-configuraties vertaalt Privacy by Design zich naar concrete vragen zoals:
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;ul&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Is het gebruik van deze persoonsgegevens voor dit doel rechtmatig?
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Welke gegevens zijn strikt noodzakelijk om de koppeling te laten functioneren?
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Kan de dataset worden beperkt tot specifieke velden?
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Kunnen persoonsgegevens worden gepseudonimiseerd of geanonimiseerd?
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
    &lt;li&gt;&#xD;
      &lt;span&gt;&#xD;
        
           Worden er gegevens uitgewisseld die geen functionele meerwaarde hebben?
          &#xD;
      &lt;/span&gt;&#xD;
    &lt;/li&gt;&#xD;
  &lt;/ul&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Door deze vragen structureel te stellen bij het ontwerpen en configureren van API’s, wordt voorkomen dat onnodige persoonsgegevens onderdeel worden van technische integraties.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Risicobeperking bij datalekken
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Een belangrijk, maar vaak onderschat voordeel van dataminimalisatie is risicobeperking. Geen enkel systeem is volledig immuun voor incidenten. Mocht er sprake zijn van een datalek, dan bepaalt de omvang en gevoeligheid van de betrokken gegevens in hoge mate de impact voor betrokkenen én voor de organisatie.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Wanneer API-koppelingen alleen de strikt noodzakelijke gegevens verwerken, is de potentiële schade bij een datalek aanzienlijk kleiner. Minder persoonsgegevens betekent minder risico voor betrokkenen, minder meldplichtige gevolgen en doorgaans ook minder reputatieschade.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Van technische keuze naar governance-vraagstuk
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Dataminimalisatie bij API’s is niet uitsluitend een technisch vraagstuk. Het raakt ook aan governance, verantwoordelijkheden en samenwerking tussen IT, security en juridische of privacyfuncties. Privacy-expertise wordt nog te vaak pas betrokken wanneer systemen al live staan, terwijl juist de ontwerpfase cruciaal is.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          Organisaties die dataminimalisatie structureel verankeren in hun API-architectuur, laten zien dat privacybescherming geen bijzaak is, maar een integraal onderdeel van hun digitale processen.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;br/&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;strong&gt;&#xD;
      
          Conclusie
         &#xD;
    &lt;/strong&gt;&#xD;
  &lt;/p&gt;&#xD;
  &lt;p&gt;&#xD;
    &lt;span&gt;&#xD;
      
          API-koppelingen zijn onmisbaar in moderne organisaties, maar brengen ook privacyrisico’s met zich mee. Door het beginsel van dataminimalisatie consequent toe te passen en Privacy by Design als uitgangspunt te nemen, kunnen organisaties deze risico’s aanzienlijk beperken. Dat is niet alleen een wettelijke verplichting, maar ook een verstandige keuze vanuit risicomanagement en verantwoord datagebruik.
         &#xD;
    &lt;/span&gt;&#xD;
  &lt;/p&gt;&#xD;
&lt;/div&gt;</content:encoded>
      <enclosure url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-3861943.jpeg" length="124503" type="image/jpeg" />
      <pubDate>Mon, 05 Jan 2026 23:23:03 GMT</pubDate>
      <guid>https://www.ediyen.com/privacy-by-design-bij-api-configuraties-dataminimalisatie-als-structureel-uitgangspunt</guid>
      <g-custom:tags type="string">Privacy</g-custom:tags>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-3861943.jpeg">
        <media:description>thumbnail</media:description>
      </media:content>
      <media:content medium="image" url="https://irp.cdn-website.com/c4acab69/dms3rep/multi/pexels-photo-3861943.jpeg">
        <media:description>main image</media:description>
      </media:content>
    </item>
  </channel>
</rss>
