ICT - TIC - Privacy  

Hof van Justitie EU 7 december 2023, IT 5280; IEFbe 4226; ECLI:EU:C:2023:957 (OQ tegen Land Hessen, SCHUFA Holding). In deze zaak staat de vraag centraal of het automatisch vaststellen van een kredietscore door een kredietinformatiebureau kan worden aangemerkt als geautomatiseerde individuele besluitvorming in de zin van artikel 22 AVG. SCHUFA stelde op basis van persoonsgegevens een waarschijnlijkheidswaarde vast over de kredietwaardigheid van een persoon. Die score werd vervolgens verstrekt aan derden, zoals banken, die deze waarde gebruikten bij de beoordeling of zij al dan niet een contractuele relatie met de betrokkene aangingen. Volgens SCHUFA nam zij zelf geen besluit, maar verstrekte zij slechts informatie aan haar contractuele partners.

Conclusie A-G Hof van Justitie EU 26 februari 2026, IT 5223; IEFbe 4194; ECLI:EU:C:2026:117 (Meta tegen Europese Commissie). In deze hogere voorziening vecht Meta arresten van het Gerecht aan over besluiten van de Europese Commissie om grote hoeveelheden interne documenten op te vragen voor mededingingsonderzoeken naar Facebook Marketplace en data-gebruik. De Commissie gebruikte hiervoor brede zoektermen, wat volgens Meta leidde tot het verzamelen van talloze irrelevante en privé-documenten. Meta stelt dat het 'noodzakelijkheidsbeginsel' is geschonden en dat de Commissie onvoldoende waarborgen biedt voor persoonsgegevens in zogenoemde 'gemengde documenten' (documenten met zowel zakelijke als persoonlijke informatie). De kern van de juridische discussie is of de Commissie redelijkerwijs mag aannemen dat dergelijke brede zoekopdrachten nodig zijn om inbreuken op het mededingingsrecht op te sporen, zelfs als er veel 'bijvangst' is.

Hof van Justitie EU 20 november 2025, IT 5194; IEFbe 4185; ECLI:EU:C:2025:905 (JH tegen Policejní prezidium). Deze zaak draait om de vraag in hoeverre de politie biometrische en genetische gegevens, zoals foto’s, vingerafdrukken en DNA-profielen, mag verzamelen en bewaren van personen die worden verdacht of beschuldigd van een opzettelijk gepleegd strafbaar feit. Centraal staat richtlijn 2016/680, de politierichtlijn voor gegevensbescherming, die regels geeft voor de verwerking van persoonsgegevens door bevoegde autoriteiten in het kader van strafrechtelijke handhaving. In de onderliggende zaak was tegen JH een strafprocedure gestart. In dat kader heeft de Tsjechische politie, ondanks zijn verzet, identificatiehandelingen verricht: er zijn vingerafdrukken afgenomen, een wanguitstrijkje gemaakt voor DNA-analyse, foto’s genomen en uiterlijke kenmerken vastgelegd. Deze gegevens zijn vervolgens opgeslagen in politiedatabanken. JH verzette zich daartegen en stelde dat dit een onrechtmatige inmenging vormde in zijn recht op privéleven. Een lagere rechter gaf hem gelijk en oordeelde dat de maatregelen niet voldeden aan het evenredigheidsvereiste, mede omdat het ging om een relatief licht strafbaar feit, zonder sterke aanwijzingen voor recidive. De hoogste bestuursrechter in Tsjechië legde daarop prejudiciële vragen voor aan het Hof van Justitie. Die vragen gingen in essentie over drie punten: welke mate van differentiatie vereist is tussen categorieën betrokkenen bij het verzamelen van biometrische en genetische gegevens, of zulke gegevens zonder maximale bewaartermijn mogen worden opgeslagen, en wat precies moet worden verstaan onder “lidstatelijk recht” als grondslag voor zulke verwerkingen.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 17 december 2025, IT 5185; IEFbe 4177; C-846/25 (Ligue des droits humains ASBL tegen Eerste Minister) via MinBuza. Ligue des droits humains (hierna: verzoeker) heeft in 2024 een beroep ingesteld bij het Grondwettelijke Hof tot vernietiging van een wet betreffende de oprichting en organisatie van de opdrachten van ETIAS Nationale Eenheid (hierna: E.N.E). De wet regelt onder meer de verwerking van persoonsgegevens in het kader van reisautorisaties binnen de EU, risicobeoordelingen, het gebruik van het ETIAS-informatiesysteem, en de procedures rond het intrekken en annuleren van reisautorisaties. Verzoeker stelt dat de combinatie van het beheren van veiligheidsrisico's en het beheer van de grenzen leidt tot een strafbaarstelling van migratie, wat een onevenredige inbreuk op de grondrechten (zoals het recht op privacy en gegevensbescherming) inhoudt. Volgens verzoeker zou artikel 3, lid 1, punt 6, van de ETIAS-verordening een te ruime en onvoldoende nauwkeurige definitie van "veiligheidsrisico" geven. De Ministerraad verdedigt de wet en stelt dat het kritiek gericht is tegen de bewoording van de ETIAS-verordening zelf, waarover het Grondwettelijk Hof niet bevoegd is te oordelen, en dat de wet voldoende waarborgen en regelingen bevat die in overeenstemming zijn met de Grondwet en internationale normen. In het kader van dit beroep rijst voor het Grondwettelijk Hof de vraag of de nationale wet, die uitvoering geeft aan de ETIAS-verordening, voldoende nauwkeurig is omschreven en verenigbaar is met het Unierecht.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 20 november 2026, IEF 23445; IT 5184; IEFbe 4176; C-741/25 (MR tegen TM) via MinBuza. In Polen is in november 2024 een regeling in werking getreden die telecommunicatieondernemingen verplicht om de gegevens van de gebruikers van hun netwerken te bewaren en op te slaan. De nationale regelgeving legt geen beperkingen op ten aanzien van de personen op wie deze maatregelen betrekking hebben. Op grond van het Unierecht mag alleen in bijzondere gevallen worden vastgesteld waarom de bescherming van persoonsgegevens speciaal moet worden beperkt. De verwijzende rechter vraagt zich daarom af of de nationale regeling in strijd is met richtlijn 2002/68 en met diverse bepalingen van het Handvest.

Prejudiciële vragen gesteld aan Hof van Justitie EU 9 december 2025, IT 5184; IEFbe 4175; C-798/25 (MV-expo, s.r.o. tegen IMMIX spol. s r. o.) via MinBuza. Verzoeker transporteert goederen, en heeft bij de rechtbank betaling van openstaande facturen gevorderd van verwerende partij. Verwerende partij heeft in 2019 via e-mail het volledig verschuldigde bedrag erkend. Bij de rechtbank stelt zij nu dat de e-mail niet voldeed aan het vereiste in schriftelijke vorm, waardoor haar erkenning van de schuld nietig is. Hierdoor zijn de verjaringstermijnen niet gestuit en zijn de vorderingen verjaard, aldus verweerster. De Tsjechische rechter twijfelt of de vermelding van de naam van een persoon onderaan een e-mail voldoet aan de vereisten ten aanzien van elektronische handtekeningen, zoals vastgesteld in artikel 3, punt 10, van verordening 910/2014. 

Artikel door Fulco Blokhuis. Oorspronkelijk verschenen in AI-Forum 2026-1.

Inleiding: Vibe coding - een revolutie in softwareontwikkeling

Het werk van veel ontwikkelaars wordt steeds meer door generatieve AI (GenAI) gedaan. Software tools, zoals Lovable, Cursor, Claude Cowork, Codex en AI Studio kunnen werkende software ontwikkelen, testen en uitvoeren op basis van een of meerdere prompts. Deze vorm van programmeren wordt – sinds februari 2025[1] – vibe coding genoemd. Vibe coding is inmiddels mainstream aan het worden.

Met behulp van Claude wordt nu in een paar uur of dagen software gebouwd waar dat normaal maanden kostte. Ontwikkelaars in Silicon Valley sturen meerdere AI agents aan, ook wel agent coding genoemd. De agents schrijven zelf code, of delegeren die taak aan andere AI agents. OpenAI maakte bekend dat haar AI Agents een miljoen regels aan code hadden geschreven, aan de hand van een uitgebreide instructie, maar zonder menselijke interventie. Het aantal apps in de appstore is in december 2025 met 60% toegenomen.

Deze verschuiving van handmatig programmeren naar "prompten" heeft fundamentele gevolgen voor de juridische bescherming van software. Het traditionele auteursrechtelijke model gaat uit van menselijke creativiteit die zich uit in code, maar bij vibe-coding is de menselijke creativiteit verschoven naar de prompt, terwijl de AI de code schrijft. Dat roept de vraag op: is software nog te beschermen door het auteursrecht?

In dit artikel worden de auteursrechtelijke gevolgen van deze ontwikkeling geschetst.

Wat is de stand van zaken op het gebied van AI en auteursrecht? Hoe zit dat met aansprakelijkheid en cybersecurity? Wat is de wisselwerking tussen de AVG en de AI-verordening in de praktijk? En last but not least: zijn we te afhankelijk geworden van Big Tech?

In het nieuwe AI-Forum tijdschrift (2026-1) brengen wij deze actuele thema’s samen.

Met dank aan de bijdragen van:

Daniel Gervais (Vanderbilt University);
Roeland de Bruin (Kienhuis Legal);
Julie Petersen (Artes Law);
Thijs Kelder en Wouter Seinen (Pinsent Masons) ;
Fulco Blokhuis (Boekx);
Menno Weij (The Data Lawyers).

Nog geen abonnee? Het volledige tijdschrift is vrij toegankelijk via ons proefabonnement.

Prejudiciële vragen gesteld aan HvJEU 22 oktober 2025, IT 5159; IEFbe 4160; C-676/25 (I. N. R. tegen "Viva Credit” AD) via MinBuza. In september 2023 hebben ‘I.N.R.’ en verwerende partij ‘Viva Credit’ een leningsovereenkomst gesloten. In april 2025, na beëindiging van de overeenkomst, heeft I.N.R. op basis van artikel 15 AVG een verzoek ingediend bij verweerder en verzocht om alle informatie omtrent het gebruik van zijn persoonsgegevens met hem te delen. Viva Credit heeft een uittreksel van de leningsovereenkomst met daarin de verwerkte persoonsgegevens met hem gedeeld. Viva Credit weigert vervolgens het nieuwe verzoek van I.N.R. om een kopie van de volledige overeenkomsten met hem te delen (en niet alleen de uittreksels), waarna I.N.R. in beroep gaat. De Bulgaarse rechter vraagt het Hof naar de reikwijdte van artikel 15 AVG. 

Prejudiciële vragen gesteld aan HvJEU 6 oktober 2025, IT 5158; IEFbe 4158 (US en DR tegen KY) via MinBuza. Verzoeker exploiteert een website waarin hij Google Fonts heeft geïntegreerd. Hierdoor worden bij het bezoeken van de betreffende websites de lettertypen van Google Fonts via een Google-server gedownload en het betreffende IP-adres van de bezoeker naar Google in de VS verzonden. Een bezoeker van de site, die middels een webcrawler bewust de doorgiften uitlokte, vordert schadevergoeding wegens een vermeende inbreuk op zijn AVG-rechten. Verzoeker betaalde onder druk, maar vorderde terugbetaling. Verzoeker kreeg in hoger beroep gelijk omdat een dynamische IP-adres geen persoonsgegeven is, waardoor er geen schadevergoedingsrecht zou zijn ontstaan en de bezoeker daarmee rechtsmisbruik pleegde. De verwijzende rechter vraagt het Hof wanneer een dynamisch IP-adres volgens het Unierecht als persoonsgegeven geldt, of schadevergoeding mogelijk is wanneer de betrokkene de inbreuk bewust heeft uitgelokt, en in hoeverre een dergelijk geval tot rechtsmisbruik kan leiden.