Terugblik op Stay Tuned as DPO 2026 Q2: Een kwartaal vol privacy-inzichten

Een dag rechtspraak, vertaald naar je praktijk

Recap van de Nederlandstalige sessie. Docent: Anneleen Van de Meulebroucke (Eubelius). Moderator: Bart van Buitenen.

Nog geen abonnee? Probeer Stay Tuned as DPO eenmalig gratis. Meer onderaan.

Vier keer per jaar nemen we met een zaal vol DPO’s en privacyprofessionals de meest recente beslissingen van de GBA, het Hof van Justitie en de EDPB door. Twee complementaire profielen (een advocaat en een DPO) presenteren alle interessante beslissingen door de lens van de privacyprofessional: hoe ga je de uitkomst van die beslissingen nu vertalen naar de praktijk?

Twee trends werden meteen in het begin al gesignaleerd:

Hieronder een greep uit de interessantste discussies van de dag.

Verwerker of verwerkingsverantwoordelijke? De vraag die maar niet weggaat

De hardnekkigste kwalificatievraag bleef ook dit kwartaal centraal staan en deze beslissing toont opnieuw aan hoe cruciaal een juiste kwalificatie is. In de Isabel/TruliUs-zaak (beslissing 103/2026, €120.000) had een bedrijf (in deze beslissing specifiek genoeg: Isabel) de documentatie keurig op orde … maar volledig opgebouwd rond een rol als verwerker. De GBA oordeelde dat Isabel wél verwerkingsverantwoordelijke was, en dan vallen de dominostenen: foutieve kwalificatie, gebrekkige dataminimalisatie, een privacyverklaring die niet meer klopt.

Cruciaal onderdeel in deze beslissing over het bepalen van de hoedanigheden: kijk naar de essentiële middelen. Bepaalt de leverancier de bewaartermijn, de gegevens die opgevraagd worden, het ontwerp van de dienst? Dezelfde logica rond essentiële middelen kwam ook terug in een andere beslissing tussen een syndicus en een vereniging van mede-eigenaars (43/2026) waarbij de syndicus volgens GBA géén verwerkingsverantwoordelijke is: die voert immers enkel de beslissingen van de VME uit en bepaalt zelf weinig tot niets.

Beveiliging: ook binnen de eigen groep telt elk detail

De Spaanse toezichthouder legde Hyundai €2 miljoen op na een datalek. Leerrijk om twee redenen. Ten eerste werden zowel de verwerkingsverantwoordelijke als de verwerker aangesproken. De verwerker had bekende kwetsbaarheden niet gepatcht, de gegevens waren niet versleuteld, en de risicoanalyse kwam er pas ná het lek. Ten tweede speelde dit in een intragroepscontext, precies de situatie waarin men beveiliging en documentatie wel eens laat verslappen omdat “het toch binnen de groep blijft”. De boodschap: behandel een zustervennootschap die IT-diensten levert als elke andere externe dienstverlener: verwerkersovereenkomst, opvolging en monitoring maken daar ook onderdeel van uit.

Transparantie tot in de details

Twee beslissingen bekeken de nuances van informatieverstrekking binnen enerszijds online platform en anderzijds naar klanten en werknemers in een callcenter context.

Bij MyMinfin (53/2026) ontdekte een betrokkene dat zijn loggegevens minutieus werden bijgehouden, zonder dat dit ergens in de privacyverklaring stond. Een nuttige reflex die hieruit volgt: je publieke website-verklaring dekt níet automatisch het achterliggende platform waarop mensen inloggen. Ook voor de achterliggende platform moet een privacyverklaring voorzien worden die de verwerkingdactiviteiten op het platform dekt zoals de logging die plaatsvindt en cookies die geplaatst worden.

De callcenter-zaak tegen de SWDE (€85.000) wordt een referentiebeslissing in de context van organisaties die diensten hebben waarbij veel en korte telefoongesprekken centraal staan, oftewel organisaties die een callcenter hebben. De huidige wetgeving bevat geen exacte criteria om te bepalen wat een callcenter is dus de GBA bakende voor het eerst scherp af wat een “callcenter” is (korte, gestandaardiseerde, veelvuldige oproepen) en hoe ver men in de automatische boodschappen de verplichte kennisgeving mag inkorten. Dat ene zinnetje “dit gesprek kan worden opgenomen voor training en bewijsdoeleinden” volstaat niet: het feit van de opname, het doel, de rechten en waar je de volledige info vindt, moeten onderdeel zijn van deze boodschap. Extra aandachtspunt met oog op de digitale kloof: bij een dienstverlener met miljoenen klanten is “alle info staat op onze website” geen afdoend verwijzing naar de volledige privacyverklaring.

De mailbox-saga: beleid hebben is niet hetzelfde als beleid toepassen

Geen Stay Tuned zonder mailboxverhaal: hoe lang mag je een mailbox bijhouden, hoe moet je de out-of-office instellen, en wie mag toegang krijgen tot een mailbox. De beslissing tegen een Beglische techonderneming met €804 miljoen omzet leverde een boete van ≈ €177.000 op (met 95% verlaagd t.o.v. het theoretische maximum). De kern: er kan afgeweken worden van het standaard “mailbox maximaal 1-tot-3-maanden bijhouden”-beleid enkel als een organisatie voldoende differentieert. Voor een seniorprofiel of een sleutelpositie mag je bijvoorbeeld een ander regime laten gelden, maar dat moeten de uitzonderingen zijn.

Nog een aantal details uit deze beslissing die wat meer richting geven aan het concreet inrichten van een gepast mailbeleid: werk met classificaties op e-mails (publiek / intern / vertrouwelijk / strikt vertrouwelijk) en leg in je beleid duidelijk vast dat een mapje “persoonlijk” met rust gelaten wordt. Dat beschermt de privé-mail van je medewerker én geeft de organisatie ruimte om bij een inzageverzoek het professionele luik beargumenteerd af te bakenen. Het echte werk begint bij onboarding: hoe minder er ongestructureerd in mailboxen blijft hangen, hoe rustiger het vertrek.

Inzage en misbruik: het Europees Hof benoemt de grens

In een belangrijke zaak voor het Hof van Justitie, Brillen-Rothler, ging het over een betrokkene die zich op nieuwsbrieven inschreef met als enige doel om kort daarna een complex inzageverzoek te lanceren om schadevergoeding te eisen als dat verzoek niet perfect werd afgewerkt. De hamvraag voor het Hof: mag je een eerste inzageverzoek al meteen als misbruik buitensporig beschouwen en niet inwilligen? Ja, oordeelt het Hof maar de lat ligt hoog en de bewijslast ligt volledig bij de verwerkingsverantwoordelijke, die objectieve en subjectieve elementen van misbruik moet aantonen. In dit geval kon dat door diverse publieke bronnen waar de betrokkene zijn insteek voor louter schadevergoedingen duidelijk benoemde. Deze uitspraak is dus bruikbaar als leidraad voor het beoordelen van buitensporige verzoeken, maar zeker geen vrijbrief om lastige verzoeken weg te wuiven.

En nog veel meer…

De dag ging verder met onder meer ANPR-camera’s tegen sluipverkeer in Dilbeek (project “Minder verkeer, beter wonen”), gemeentearchieven in een open container op de openbare weg, camerabewaking in een appartementencomplex, een inzageverzoek bij een advocatenkantoor, een verzoek tot wissing, de nieuwe EDPB-richtsnoeren 01/2026 over wetenschappelijk onderzoek, en enkele arresten van de Franse Raad van State (Health Data Hub, CEGEDIM, CRITEO) met tenslotte nog aandacht voor de nieuwe EDPB richtlijnen rond medische wetenschappelijk onderzoek.

Waarom DPO’s hierbij zitten

De ontwikkelingen in gegevensbeschermingsland gaan razendsnel en het wordt steeds moeilijker om op eigen initiatief alles op te volgen. Dit neemt niet weg dat wie de evoluties vanop de eerste rij meekrijgt sterker staat als DPO en als organisatie ten aanzien van autoriteiten. Dat is exact wat Stay Tuned as DPO mogelijk maakt: elk kwartaal de actualiteit, vertaald naar je dagelijkse praktijk, door specialisten die de evoluties van dichtbij volgen.

Stay Tuned, Stay Safe.

Probeer het zelf: gratis

Stay Tuned as DPO is een jaarabonnement met vier sessiedagen per jaar. Wil je eerst proberen? Volg eenmalig een volledige sessie gratis. De eerstvolgende sessie (Q3 2026) wordt in het Nederlands verzorgd door Anouck Focquet en Bart van Buitenen.

Bij een actief abonnement krijg je er bovendien bij:

• 2 gratis extra opleidingsdagen (workshops) in 2026
• 10% ledenkorting op opleidingen bij Data Protection Institute