Algemene verordening gegevensbeschermingDit artikel bevat verouderde informatie en zou bijgewerkt moeten worden. U wordt uitgenodigd om dit artikel bij te werken.
Uitleg: De sectie Nederland is verouderd, onderin
De AVG (Algemene verordening gegevensbescherming, ook bekend onder de Engelse afkorting GDPR) versterkt de grondrechten van de burgers in het digitale tijdperk en bevordert het handelsverkeer door de regels voor bedrijven in de digitale eengemaakte markt te verduidelijken. De AVG[1] is een Europese verordening (dus met rechtstreekse werking) die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. Volgens overweging 18 en artikel 2.2, aanhef en onder c, is de verordening niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Het doel is niet alleen om de bescherming van persoonsgegevens binnen de Europese Unie te garanderen, maar ook om het vrije verkeer van gegevens binnen de Europese interne markt te waarborgen. De verordening geldt wereldwijd voor alle ondernemingen en organisaties die persoonsgegevens bijhouden en verwerken van natuurlijke personen in de Europese Unie, onafhankelijk of er al dan niet betaald wordt voor diensten of producten. De verordening verving de databeschermingsrichtlijn uit 1995,[2] die niet meer op de huidige digitale wereld aansloot. De AVG is in mei 2016 in werking getreden. Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de AVG in overeenstemming brengen. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een grote onderneming, waarbij de hoogste variant geldt.[3] Voor opsporingsinstanties en het Openbaar Ministerie geldt aparte privacywetgeving.[4] VoorgeschiedenisReeds in de 19e en 20e eeuw werden de grote principes inzake privacy vooropgesteld. Dit leidde na de Tweede Wereldoorlog tot een reeks internationale verdragen. Binnen de Europese Unie kwam in 1995 de databeschermingsrichtlijn tot stand. In januari 2012 stelde de Europese Commissie een grondige hervorming voor van de databeschermingsrichtlijn uit 1995, waarop in maart 2012 zowel de Europees Toezichthouder voor gegevensbescherming als de Werkgroep Artikel 29 (de voorloper van het Europees Comité voor gegevensbescherming) advies uitbrachten. Op 12 maart 2014 keurde het Europees Parlement een eerste versie van de AVG met een overweldigende meerderheid goed. Het zou dan nog tot december 2015 duren alvorens het Parlement, de Europese Raad en de Commissie tot een finale tekst besloten, die op 24 mei 2016 in werking is getreden, met een overgangsperiode van twee jaar.[5] Definitie persoonsgegevensPersoonsgegevens zijn gegevens die aan een individu verbonden kunnen worden, of waarmee een individu kan worden geïdentificeerd, bijvoorbeeld naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mailadres, IP-adres, vingerafdruk en medische data. In artikel 4, eerste lid, AVG worden persoonsgegevens gedefinieerd als "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon". Hiertoe legde het Hof van Justitie van de Europese Unie in antwoord op een prejudiciële vraag in Nowak/DPC (C-434/16)[6] het volgende uit:
De volgende regels moeten worden gevolgd wanneer het om persoonsgegevens gaat:
InhoudToepassingsgebiedDe verordening is van toepassing indien de voor de verwerking verantwoordelijke, een organisatie die gegevens verzamelt van EU burgers, of een verwerker, een organisatie die gegevens verwerkt namens voor de verwerking verantwoordelijke zoals cloud-dienstverleners of namens de betrokkene (persoon), in de EU is gevestigd. De verordening is ook van toepassing op buiten de EU gevestigde organisaties die persoonsgegevens verzamelen of verwerken van binnen de EU gevestigde personen. Volgens de Europese Commissie "zijn persoonsgegevens alle gegevens die betrekking hebben op een individu, ongeacht of het gaat om zijn privé-, beroeps- of openbare leven. Het kan gaan om een naam, een huisadres, een foto, een e-mailadres, bankgegevens, berichten op sociale netwerksites, medische informatie of het IP-adres van een computer."[7] Het maakt hierbij niet uit of de gegevens elektronisch of op papier worden verwerkt.[8] De verordening is niet bedoeld om van toepassing te zijn op de verwerking van persoonsgegevens voor activiteiten op het gebied van nationale veiligheid of rechtshandhaving in de EU; industriële groepen die zich zorgen maken over mogelijke wetsconflicten hebben zich echter afgevraagd of artikel 48 van de AVG kan worden ingeroepen om te proberen te voorkomen dat een voor de verwerking verantwoordelijke die onder de wetgeving van een derde land valt, zich houdt aan een rechtsorde van de wetshandhavings-, gerechtelijke of nationale veiligheidsinstanties van dat land om aan die autoriteiten de persoonsgegevens van een persoon uit de EU bekend te maken, ongeacht of de gegevens zich in of uit de EU bevinden. Artikel 48 bepaalt dat een rechterlijke beslissing van een rechterlijke instantie en een beslissing van een administratieve autoriteit van een derde land die een voor de verwerking verantwoordelijke of verwerker ertoe verplicht persoonsgegevens door te geven of openbaar te maken, alleen erkend of afdwingbaar kan zijn op grond van een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp dat van kracht is tussen het verzoekende derde land (niet-EU) en de EU of een lidstaat. Het hervormingspakket inzake gegevensbescherming omvat ook een afzonderlijke gegevensbeschermingsrichtlijn voor de politiële en strafrechtelijke sector die regels bevat voor de uitwisseling van persoonsgegevens op nationaal, Europees en internationaal niveau. Eén set regels en één loketVoor alle lidstaten van de EU gelden dezelfde regels. Elke lidstaat dient een onafhankelijke gegevensbeschermingsautoriteit te hebben om klachten te behandelen en te onderzoeken, administratieve overtredingen te bestraffen, enz. De toezichthoudende autoriteiten in elke lidstaat werken samen met andere toezichthoudende autoriteiten, verlenen wederzijdse bijstand en organiseren gezamenlijke acties. Indien een bedrijf in de EU meerdere vestigingen heeft, zal het één enkele toezichthoudende autoriteit als "leidende autoriteit" hebben, gebaseerd op de locatie van zijn "hoofdvestiging" waar de belangrijkste verwerkingsactiviteiten plaatsvinden. Het Europees Comité voor gegevensbescherming coördineert de toezichthoudende autoriteiten. Dit Comité vervangt de werkgroep artikel 29. Er zijn uitzonderingen voor gegevens die in het kader van de werkgelegenheid of de nationale veiligheid worden verwerkt en die nog steeds onderworpen kunnen zijn aan individuele nationale regelgeving (artikel 2, lid 2, onder a), en artikel 82 van de AVG). Verantwoordelijkheid en verantwoordingsplichtDe aankondigingseisen blijven gehandhaafd en worden uitgebreid. Zij moeten de bewaartermijn voor persoonsgegevens bevatten en er moet contactinformatie worden verstrekt aan de verantwoordelijke voor de verwerking en de functionaris voor gegevensbescherming. Geautomatiseerde individuele besluitvorming, met inbegrip van profilering (artikel 22), kan worden betwist, net als in de databeschermingsrichtlijn (artikel 15). Burgers hebben het recht om vragen te stellen en te strijden tegen belangrijke beslissingen die hen betreffen en slechts op algoritmische basis zijn genomen. Om aan te kunnen tonen dat de AVG wordt nageleefd, moet de voor de verwerking verantwoordelijke maatregelen nemen die voldoen aan de beginselen van gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default). Volgens gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (artikel 25) moeten gegevensbeschermingsmaatregelen worden ontworpen voor de ontwikkeling van bedrijfsprocessen voor producten en diensten. Dergelijke maatregelen omvatten onder meer zo spoedig mogelijke pseudonimisering van persoonsgegevens door de voor de verwerking verantwoordelijke (overweging 78). Het is de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke om effectieve maatregelen te treffen en de conformiteit van de verwerkingsactiviteiten aan te tonen, zelfs als de verwerking wordt uitgevoerd door een gegevensverwerker namens de voor de verwerking verantwoordelijke. (overweging 74). Bij specifieke risico's voor de rechten en vrijheden van de betrokkenen moeten gegevensbeschermingseffectbeoordelingen (artikel 35) worden uitgevoerd. Risicobeoordeling en risicobeperking is vereist en voorafgaande goedkeuring van de nationale gegevensbeschermingsautoriteiten is vereist voor grote risico' s. Er zijn gegevensbeschermingsfunctionarissen (artikelen 37-39) nodig om de naleving binnen organisaties te waarborgen. Zij moeten worden benoemd:
Wettelijke basis voor verwerkingGegevens mogen niet worden verwerkt tenzij er ten minste één wettelijke basis is om dit te doen:
ToestemmingIndien de toestemming wordt gebruikt als wettelijke basis voor verwerking, moet de toestemming expliciet worden gegeven voor de verzamelde gegevens en de doeleinden waarvoor die gegevens worden gebruikt (artikel 7; gedefinieerd in artikel 4). Toestemming voor kinderen moet door de ouder of voogd van het kind worden gegeven en moet verifieerbaar zijn (artikel 8). De voor de verwerking verantwoordelijken moeten "toestemming" kunnen aantonen en de toestemming kan worden ingetrokken. Functionaris voor gegevensbeschermingIndien de verwerking wordt uitgevoerd door een overheidsinstantie, met uitzondering van rechterlijke instanties of onafhankelijke rechterlijke instanties wanneer zij optreden in hun gerechtelijke hoedanigheid, of indien de verwerking in de particuliere sector wordt uitgevoerd door een voor de verwerking verantwoordelijke wiens kernactiviteiten bestaan uit verwerkingen die een regelmatige en systematische controle van de betrokkenen vereisen, dient een persoon met deskundige kennis van de wetgeving en praktijken inzake gegevensbescherming de voor de verwerking verantwoordelijke of verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. De Functionaris Gegevensbescherming is vergelijkbaar met een nalevingsfunctionaris en zal naar verwachting ook deskundig zijn in het beheren van IT-processen, gegevensbeveiliging (met inbegrip van het afhandelen van cyberaanvallen) en andere kritieke bedrijfscontinuïteitsaspecten rond het bewaren en verwerken van persoonlijke en gevoelige gegevens. De vereiste vaardigheden gaan verder dan het begrijpen van de wettelijke naleving van wetten en voorschriften inzake gegevensbescherming. De aanstelling van een functionaris voor gegevensbescherming in een grote organisatie zal een uitdaging vormen voor zowel het bestuur als de betrokkene. Er zijn tal van problemen op het gebied van bestuur en menselijke factoren die organisaties en bedrijven moeten aanpakken, gezien de omvang en de aard van de benoeming. Daarnaast moet de functionaris voor gegevensbescherming beschikken over een ondersteuningsteam en zal zij/hij ook verantwoordelijk zijn voor de verdere professionele ontwikkeling om onafhankelijk te zijn van de organisatie die hen in dienst neemt, effectief als een "mini-autoriteit". Meer details over de functie en de rol van de functionaris voor gegevensbescherming werden op 13 december 2016 (herziene versie 5 april 2017) gegeven in een richtsnoer.[9] PseudonimiseringDe AVG verwijst naar pseudonimisering als een proces waarbij persoonsgegevens zodanig worden omgezet dat de resulterende gegevens niet zonder het gebruik van aanvullende informatie aan een specifieke betrokkene kunnen worden toegeschreven. Een voorbeeld hiervan is versleuteling, waarbij de oorspronkelijke gegevens onbegrijpelijk worden en het proces niet kan worden omgekeerd zonder toegang tot de juiste ontcijferingssleutel. De AVG vereist dat de aanvullende informatie (zoals de ontcijferingssleutel) gescheiden wordt gehouden van de gepseudonimiseerde gegevens. Een ander voorbeeld van pseudonimisering is symbolisering, een niet-wiskundige benadering van de bescherming van gegevens in rust die gevoelige gegevens vervangt door niet-gevoelige substituten, de zogenaamde symbolen. De symbolen hebben geen extrinsieke of exploiteerbare betekenis of waarde. De symbolisering verandert het type of de lengte van de gegevens niet, wat betekent dat het kan worden verwerkt door oudere systemen zoals databases die gevoelig kunnen zijn voor lengte en type gegevens. Dat vereist veel minder rekenmiddelen om te verwerken en minder opslagruimte in databases dan traditioneel gecodeerde gegevens. Dit wordt bereikt door specifieke gegevens volledig of gedeeltelijk zichtbaar te houden voor verwerking en analyse terwijl gevoelige informatie verborgen wordt gehouden. Pseudonimisering wordt aanbevolen om de risico's voor de betrokkenen te beperken en ook om de voor de verwerking verantwoordelijken en verwerkers te helpen hun verplichtingen inzake gegevensbescherming na te komen (overweging 28). Hoewel de AVG het gebruik van pseudonimisering aanmoedigt om "de risico's voor de betrokkenen te verminderen" (overweging 28), worden gepseudonimiseerde gegevens nog steeds beschouwd als persoonsgegevens (overweging 26) en blijven zij dus onder de AVG vallen. DatalekKrachtens de AVG is de voor de verwerking verantwoordelijke wettelijk verplicht de toezichthoudende autoriteit zonder onnodige vertraging op de hoogte te stellen, tenzij het datalek waarschijnlijk niet zal leiden tot een risico voor de rechten en vrijheden van de betrokkenen. Er is een maximumtermijn van 72 uur na kennisneming van het datalek om het verslag op te stellen (artikel 33). Personen moeten op de hoogte worden gebracht wanneer negatieve effecten worden vastgesteld (artikel 34). Bovendien moet de gegevensverwerker de voor de verwerking verantwoordelijke zonder onnodige vertraging op de hoogte te stellen van een datalek. (artikel 33). De kennisgeving aan betrokkenen is echter niet vereist indien de voor de verwerking verantwoordelijke passende technische en organisatorische beschermingsmaatregelen ten uitvoer heeft gelegd die de persoonsgegevens onbegrijpelijk maken voor eenieder die geen toegangsbevoegdheid heeft, zoals versleuteling (artikel 34). SanctiesDe volgende sancties kunnen worden opgelegd:
Rechten van de betrokkeneDe AVG kent betrokkenen onder meer onderstaande rechten toe. Recht op inzageArtikel 15. Het recht op inzage geeft de betrokkene het recht om toegang te krijgen tot zijn persoonlijke gegevens en informatie over de manier waarop deze persoonsgegevens worden verwerkt. Op verzoek van de betrokkene moet de verwerkingsverantwoordelijke een overzicht verstrekken van de categorieën gegevens die worden verwerkt (artikel 15, lid 1, onder b)) en een kopie van de feitelijke gegevens (artikel 15, lid 3). Daarnaast moet hij de betrokkene informeren over de details van de verwerking, zoals wat het doel van de verwerking is (artikel 15, lid 1, onder a)), met wie de gegevens worden gedeeld (artikel 15, lid 1, onder c)) en hoe de gegevens zijn verkregen (artikel 15, lid 1, onder g)). Recht op rectificatie en aanvullingArtikel 16. Een betrokkene heeft het recht dat een organisatie op verzoek zijn gegevens corrigeert. Hierbij is van belang dat de informatie rechtmatig, doelmatig, nauwkeurig en juist is. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken. Recht op gegevenswissing („recht op vergetelheid”)Artikel 17. Het recht om vergeten te worden werd vervangen door een beperkter recht op schrapping in de versie van de AVG die het Europees Parlement in maart 2014 heeft aangenomen.[10] Artikel 17 bepaalt dat de betrokkene het recht heeft om op een van een aantal gronden te verzoeken om verwijdering van hem betreffende persoonsgegevens, waaronder niet-naleving van artikel 6.1 (wettigheid) die een geval (f) omvat waarin de legitieme belangen van de voor de verwerking verantwoordelijke zwaarder wegen dan de belangen of fundamentele rechten en vrijheden van de betrokkene die bescherming van persoonsgegevens vereisen (zie ook Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González). Recht op beperking van de verwerkingArtikel 18. Een betrokkene heeft het recht om de verwerking van zijn gegevens door een organisatie te beperken. Bijvoorbeeld omdat er een juridische procedure loopt, of wanneer de gegevens niet kloppen maar de correctie nog niet is verwerkt of wanneer de organisatie de gegevens gebruikt voor een doel waarvoor hij ze niet mag gebruiken. Bijvoorbeeld in het geval dat betrokkene de organisatie een mailadres heeft gegeven om een afspraak met een monteur te maken, en de organisatie het adres gebruikt om marketingmails te sturen. Recht op dataportabiliteitArtikel 20. Een betrokkene moet door hem verstrekte persoonsgegevens van het ene elektronische verwerkingssysteem naar het andere kunnen overdragen, zonder door de verantwoordelijke voor de verwerking te worden verhinderd. Geanonimiseerde gegevens en gegevens die niet op de betrokkene zelf zien vallen buiten dit zogenaamde recht op dataportabiliteit. Gepseudonimiseerde gegevens en gegevens van derden die duidelijk aan de betrokkene gekoppeld kunnen worden (bijvoorbeeld doordat de betrokkene aanvullende gegevens verschaft, vgl. artikel 11, tweede lid) komen wel in aanmerking.[11][12] Zowel gegevens die door de betrokkene "verstrekt" zijn, als "waargenomen" gegevens – bijvoorbeeld over zijn gedrag – vallen binnen de omvang van dit recht. Dit geldt niet voor afgeleide gegevens, zoals een op basis van het bezoekersgedrag opgebouwd interesseprofiel.[12] De gegevens moeten door de verwerkingsverantwoordelijke worden verstrekt in een gestructureerde en algemeen gebruikte elektronische open standaard. Het recht op gegevensoverdraagbaarheid is vastgelegd in artikel 20 van de AVG. Juridische deskundigen zien in de definitieve versie van deze maatregel een "nieuw recht" dat "verder reikt dan de portabiliteit van gegevens tussen twee voor de verwerking verantwoordelijken, zoals bepaald in [artikel 20]".[13] Recht van bezwaarArtikel 21. Een betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn gegevens. Bij direct marketing is dit een absoluut recht: de organisatie moet dit bezwaar altijd respecteren. In andere situaties geldt een afweging van de belangen van de betrokkene tegen de belangen van de organisatie. Wanneer de procedure loopt, mag de organisatie de gegevens van de betrokkene niet verwerken. Geautomatiseerde individuele besluitvorming, waaronder profileringArtikel 22. De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Bij geautomatiseerde besluitvorming heeft betrokkene het recht om bezwaar te maken tegen het besluit en te vragen om een nieuw besluit, genomen met tussenkomst van een menselijke blik. Deze situatie komt veel voor bij de automatische acceptatie - en weigering - van verzekerden door een verzekeraar. Recht op schadevergoedingArtikel 82. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. In het arrest Österreichische Post (C-300/21)[14] legde het Hof van Justitie van de Europese Unie het recht op schadevergoeding uit. Artikel 82, eerste lid, AVG vereist voor de toekenning van een schadevergoeding (i) een inbreuk op de AVG, (ii) (daadwerkelijk) geleden schade en (iii) een causaal verband tussen die inbreuk en de geleden schade. Niet noodzakelijk is dat de geleden schade een bepaalde mate van ernst bereikt. Er is geen Europees gedefinieerd schadebegrip. De schadevergoeding wordt nationaal vastgesteld met toepassing van nationaal recht. Daarbij moeten het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen.[15] Zie ook de conclusie van de advocaat-generaal in de zaak Krankenversicherung Nordrhein (C-667/21).[16] HandhavingDe handhaving van de AVG vindt plaats op basis van gedecentraliseerde procedures. Vanwege de transnationale aard van gegevensverwerking zijn er meerdere partijen betrokken bij de handhaving. De procedures vinden plaats tussen nationale gegevensbeschermingsautoriteiten, maar ook de European Data Protection Board (EDPB) kan in sommige situaties betrokken worden.[17] Uit communicatie van de Europese Commissie blijkt dat de handhaving van de AVG achterblijft. Lidstaten moeten zich meer inspannen om de bescherming van persoonsgegevens binnen de EU te verzekeren.[18] Om de handhaving van de AVG te verbeteren, heeft de Europese Commissie op 4 juli 2023 een voorstel gedaan voor een nieuwe verordening met betrekking tot de samenwerking tussen de gegevensbeschermingsautoriteiten.[19] Het voorstel schetst nieuwe richtlijnen voor de handhavingszaken van transnationale aard, en beoogt de betrokkenheid van lidstaten te vergroten met de verduidelijking van het klachtenproces van de AVG.[19] Echter is dit voorstel veelvuldig bekritiseerd door experts. Zo komt het voorstel te laat en wordt de inhoud ontoereikend geacht om de verschillen in implementatie tussen de lidstaten substantieel aan te pakken.[20] Bovendien worden andere problemen niet verbeterd, zoals de korte reactietijden voor bedrijven die volgen wanneer inbreukzaken door gegevensbeschermingsautoriteiten naar de EDPB worden doorgestuurd.[21] Er is ook geen nieuw mechanisme in het voorstel opgenomen om inconsistente handhaving te voorkomen wanneer andere autoriteiten dan de gegevensbeschermingsautoriteiten AVG-inbreuken onderzoeken.[21] BeperkingenDe AVG is (materieel) niet van toepassing op de verwerking van:
Tijdlijn
E-privacyverordening Zie E-privacyverordening voor het hoofdartikel over dit onderwerp.
De AVG wordt naar verwachting[31] nog aangevuld met een meer specifieke e-privacyverordening (Lex specialis). Deze verordening, die de bestaande e-privacyrichtlijn uit 2002 gaat vervangen, moet de AVG aanvullen op het vlak van online-communicatie (zoals WhatsApp of Skype, maar ook sms, cookies en dergelijke).[32] Europese instellingenVoor de bescherming van persoonsgegevens die verwerkt worden door instellingen van de Europese Unie zelf geldt Verordening (EU) 2018/1725.[33] NederlandIn Nederland verving de AVG de Wet bescherming persoonsgegevens (Wbp). De uitvoering van de AVG is geregeld in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). De Autoriteit Persoonsgegevens heeft 10 stappen beschreven om voorbereid te zijn op de AVG.[34]
De minister voor Rechtsbescherming, Sander Dekker, gaf vlak de inwerkingtreding van de verordening aan dat er te verwachten is dat bij kleine organisaties niet gehandhaafd zal worden.[35] De handhavende autoriteit is evenwel zelfstandig bevoegd, en moet daarbij de Algemene wet bestuursrecht naleven wat inhoudt dat het voor de overtreder duidelijk had kunnen zijn wat van hem kon worden verwacht.[36] België Zie Wet bescherming persoonsgegevens (België) voor het hoofdartikel over dit onderwerp.
Sedert september 2018 is de nieuwe wet van toepassing. De Privacycommissie, die vooral een adviserende bevoegdheid had, hield op te bestaan en werd vervangen door de Gegevensbeschermingsautoriteit (GBA), een controle- en sanctie-instantie onder toezicht van de Kamer van volksvertegenwoordigers.[37][38][39] Eind 2019 werd in België voor het eerst een website veroordeeld voor een tekortschietend cookiebeleid. De website Jubel.be kreeg door de geschillenkamer van de GBA een boete van 15.000 euro opgelegd.[40] Referenties
Externe links
Zie de categorie General Data Protection Regulation van Wikimedia Commons voor mediabestanden over dit onderwerp.
|