Meta boft, BoF niet

Het gerechtshof in Amsterdam gaf Meta gelijk in het beroep op het door Bits of Freedom gewonnen kort geding. Dat was op dinsdag 28 oktober 2025, één dag voor de verkiezingen waarvoor BoF de zaak aanspande wegens mogelijke oneerlijke beïnvloeding van kiezers met het algoritme.

Meta krijgt nu tot 31 december 2025 de tijd om Instagram en Facebook aan te passen conform de toegewezen eis van Bits of Freedom (BoF): dat gebruikers de mogelijkheid krijgen om een tijdlijn als standaard in te stellen die niet gebaseerd is op profilering door Meta.

De voorzieningenrechter oordeelde dat Meta de Digital Services Act (DSA) overtreedt zonder die keuzevrijheid. De deelname aan het publieke debat wordt beperkt als Meta kan bepalen wat gebruikers vooral te zien krijgen in hun tijdlijn.

Meta stelt dat het niet haalbaar is om in zo’n korte termijn aanpassingen aan te brengen. Het hof bevestigt dit: “Zelfs als Bits of Freedom gelijk heeft met haar standpunt dat een tijdelijke oplossing sneller te realiseren zou zijn (geweest), is voldoende aannemelijk geworden dat de daarmee gemoeide tijdswinst beperkt zal zijn, terwijl aannemelijk is dat de potentiële risico’s die kleven aan deze sneller te realiseren tijdelijke oplossing veel groter zijn.”

Bits of Freedom reageerde teleurgesteld: Het is spijtig dat de druk bij Meta nu weg is om direct in actie te komen. Juist rond de verkiezingen wil je als gebruiker namelijk grip op je informatiedieet. Dit betekent echter niet dat Meta rustig achterover kan leunen wanneer de verkiezingen zijn geweest. Ook in de nasleep ervan is een goed functionerend publiek debat van essentieel belang. Bovendien volgen in maart de gemeenteraadsverkiezingen.”

Meta wordt bijgestaan door De Brauw, Bits of Freedom door Brandeis.

Lange burgerarm van de pliesie

Privacy First vraagt terecht aandacht voor het zoetjesaan tot een Big Brother samenleving worden van Nederland, als gevolg van excessief cameragebruik in de openbare ruimte. Specifiek wijst Privacy First op de toepassing Camera in Beeld waar particulieren en bedrijven hun camera’s kunnen registreren als ze de politie willen helpen. Zo zijn talloze camera’s in Nederland vindbaar via het register en kunnen misdrijven sneller worden opgelost.

Het gaat om camera’s die de openbare ruimte filmen. Eerder meldde EenVandaag de aantallen, die ik even afrond: 338.000 geregistreerde camera's, waarvan 75.000 camera's van particulieren, 240.000 van bedrijven en 23.000 van de overheid. Doorgaans slaan ze beelden 28 dagen op en zolang kan de politie er een beroep op doen.

De politie biedt een goed vraag-en-antwoord, over de verplichte registratie met DigiD, met onder meer: “Is herleidbaar dat ik camerabeelden heb aangeleverd aan de politie? Ja, als de politie camerabeelden vordert, dan staat de persoon of rechtspersoon van wie de beelden gevorderd worden, in het strafdossier. Het maakt daarbij niet uit of deze camerabeelden opgevraagd zijn via Camera in Beeld of op een andere manier. Het strafdossier is toegankelijk voor de verdachte en zijn advocaat.”

Geestig: je kunt melden via “MijnPolitie” en krijgt dan de volgende waarschuwing die impliceert dat het overtreden van de wet de politie juist helpt: “Als u uw camera op uw eigen terrein richt, ontkomt u er soms niet aan dat ook de openbare weg wordt gefilmd. Dit moet zo beperkt mogelijk zijn. Voor een deurbelcamera gelden dezelfde regels als voor een gewone beveiligingscamera. Maak duidelijk dat u een camera heeft hangen, bijvoorbeeld met een bordje of sticker. Het delen van beelden kan inbreuk maken op de privacy van anderen.”

Claimzaak tegen Clinical Diagnostics

Honderdduizend vrouwen van wie privégegevens werden gestolen bij een hack van het lab dat hun uitstrijkjes onderzocht, hebben zich georganiseerd voor een collectieve claim. NRC schrijft ook onderbouwd er van alles mis is met het bedrijf Eurofins, de Franse moederbedrijf van Clinical Diagnostics.

Clinical Diagnostics in Rijswijk analyseerde in het Bevolkingsonderzoek Baarmoederhalskanker een derde van alle uitstrijkjes van deelnemende vrouwen. Begin augustus 2025 werd bekend dat hackers BSN-nummers, labuitslagen en andere privégegevens van ruim 940.000 personen hadden, inclusief medische gegevens van Bergman Clinics en de Dienst Justitiële Inrichtingen.

Van Diepen Van der Kroef in Amsterdam begon een massaclaim, evenals DHKV Advocaten. De eerste was actief met Stichting voor Collectieve Consumentenbelangen, de laatste met Collectieve Claim Bevolkingsonderzoek. Het laatste nieuws hier was onderling overleg over samenwerking.

Uit het NRC-artikel valt indirect op te maken dat ze nu samenwerken in de Collectieve Claim Bevolkingsonderzoek. Die richt de pijlen behalve op Clinical Diagnostics ook op haar klant Bevolkingsonderzoek Nederland en de opdrachtgevers RIVM en het ministerie van Volksgezondheid (VWS).

Ook het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd doen nog onderzoek naar het lek.

Het kan de grootste claimzaak worden volgens betrokken advocaten, maar niettemin zoeken ze wel claimfinanciers. Hoe zit het dan met hun vertrouwen in de goede afloop en een hoog bedrag aan uitkeringen?

Als 100.000 vrouwen zich hebben gemeld, dan hebben 840.000 betrokkenen dat nog niet gedaan. Komende week komt een portal online waarin gedupeerden kunnen vertellen welke last zij hebben ervaren. Er zijn 550 meldingen van identiteitsfraude, hoogstwaarschijnlijk het gevolg van het lek.

Echter, het blijft de vraag of het jatten van de medische data zo erg is als steeds wordt voorgesteld. Wat moet je met labuitslagen over baarmoederhalskanker? Dat je buren of ouders van je kanker weten terwijl je het voor jezelf wilt houden? Wel kunnen boeven met phishing mensen sneller overtuigen als ze meer persoonlijke gegevens weten. Maar hoort dit er ook bij: “U heeft gelukkig geen baarmoederhalskanker.” Of: wat tragisch dat u baarmoederhalskanker heeft.”

Afluisteren door buren illegaal

Een belangrijke uitspraak in Oostenrijk wat betreft de onderlinge privacy tussen burgers, die er in de AVG zo bekaaid vanaf komt. Een Oostenrijkse rechtbank oordeelt dat een flatbewoner in haar recht staat met de klacht bij de Oostenrijkse datawaakhond DSB voor het filmen van haar en haar kinderen in haar privégarage.

Buurman heeft de beelden aan een derde verstrekt, en komt daarmee binnen de reikwijdte van de AVG als verwerkingsverantwoordelijke. De verwerking was niet uitsluitend bedoeld voor persoonlijke of familiale activiteiten en viel dus niet onder de uitzondering voor huishoudelijke activiteiten van artikel 2, lid 2c van de AVG

De buren treffen elkaar in een gemeenschappelijke ondergrondse garage. De filmer ging tevergeefs tegen het DSB-oordeel in beroep bij het Bundesverwaltungsgericht (BVwG).

Dit lijkt me belangrijke jurisprudentie, bijvoorbeeld voor het aanpakken van mensen die filmen in de openbare ruimte met telefoons en met deurbelcamera’s. Probleem: hoe bewijs je dat de beelden aan derden zijn verstrekt?

Europese klacht om Ierse benoeming

De Irish Council for Civil Liberties (ICCL) heeft een klacht ingediend bij de Europese Commissie tegen de Ierse staat, vanwege de benoeming van voormalig Meta-lobbyist Niamh Sweeney tot commissaris bij de Ierse datawaakhond DPC. Deze benoeming is omstreden, zo meldden we eerder

De ICCL meent dat "Ierland heeft nagelaten voldoende waarborgen te bieden voor de onafhankelijkheid en onpartijdigheid van het benoemingsproces: De EU-wetgeving vereist dat onafhankelijke toezichthoudende autoriteiten niet alleen onpartijdig en onafhankelijk zijn, maar ook boven elke verdenking van partijdigheid staan”.

Tot de selectiecommissie die Sweeney als nieuwe commissaris heeft gekozen, behoorde een advocaat uit de sector, volgens Politico. “Het resultaat was de benoeming van een persoon die geen technische, juridische of onderzoeksexpertise lijkt te hebben. Integendeel, de benoemde lobbyde in haar vorige functies juist tegen een hoge standaard van bescherming van persoonsgegevens en de doelstellingen van de DPC”, schrijft het ICCL.

Inzage bij kredietbureau

De Oostenrijkse datawaakhond DSB oordeelt dat personen op grond van artikel 15 AVG recht hebben om van een kredietinformatiebureau te vernemen hoe een oordeel tot kredietwaardigheid tot stand gekomen.

Datagraaier CRIF had slechts algemene richtlijnen verstrekt na een informatieverzoek, maar dat volstaat niet volgens de DSB. De “verificatiescore” en “persoonlijke treffers” moeten voor het specifieke geval worden uitgelegd.

Brussel: TikTok en Meta overtreden DSA

Onder de Digital Services Act moeten grote platforms onderzoekers toegang tot besloten gegevens verschaffen, bijvoorbeeld om risico's en schade voor gebruikers te onderzoeken. In een persbericht meldt de Europese Commissie dat TikTok en Meta deze verplichting tot transparantie niet nakomen.

Volgens de voorlopige bevindingen van de Commissie hebben Facebook, Instagram en TikTok “mogelijk omslachtige procedures en instrumenten ingesteld voor onderzoekers die toegang tot openbare gegevens willen aanvragen. Hierdoor beschikken zij vaak over onvolledige of onbetrouwbare gegevens, wat van invloed is op hun vermogen om onderzoek te doen, bijvoorbeeld naar de vraag of gebruikers, waaronder minderjarigen, worden blootgesteld aan illegale of schadelijke uitingen op de platforms.”

Meta maakt het gebruikers ook moeilijk om beslissingen over moderatie aan te vechten want verstrekt geen afdoende onderbouwd bewijs. Nu dreigen er boetes.

De Europese privacytoezichthouders (EDPB) en de Europese Commissie hebben nieuwe guidelines gepubliceerd over de samenhang tussen de Digital Markets Act (DMA) en de Europese privacyregels (de Algemene verordening gegevensbescherming, AVG). De guidelines verduidelijken hoe grote online platforms beide wetten tegelijk kunnen naleven.

Poging tot aansluiting DMA en AVG

De Verordening digitale markten of Digital Markets Act (DMA) probeert de concurrentiemacht van grote digitale platforms te beteugelen, te weten  Alphabet, Amazon, Apple, ByteDance, Meta Platforms en Microsoft, met in totaal 22 diensten. Deze ‘poortwachters’ moeten eerlijke concurrentie mogelijk maken, bijvoorbeeld door het koppelen van diensten te beperken en data te delen met andere aanbieders.

Veel van deze verplichtingen raken direct aan de bescherming van persoonsgegevens, dus moeten DMA en AVG aansluiten. Daartoe hebben de gezamenlijke Europese toezichthouders op de AVG concept-richtlijnen opgesteld.

Deze behelzen onder meer wanneer platforms toestemming moeten vragen voor het combineren van gegevens uit verschillende diensten, en hoe zij gebruikers moeten informeren.

Voor bedrijven bieden de regels houvast bij het uitvoeren van hun verplichtingen onder de DMA zonder in strijd te komen met de AVG. Voor gebruikers geven ze extra zekerheid dat hun privacyrechten

Iedereen kan tot 4 december 2025 reageren in de openbare consultatie.