Uitspraken van de maand | juli 2026

Datalekken: de boete zit vaak niet in de hack, maar in de voorbereiding

Cyberaanvallen zijn inmiddels een gegeven. De vraag voor organisaties is daarom hoe goed zij daarop zijn voorbereid. Verschillende Europese toezichthouders maakten dat de afgelopen maanden opnieuw duidelijk met forse boetes voor organisaties die hun beveiliging niet op orde hadden.

De Britse toezichthouder ICO legde een waterleidingbedrijf een boete van ruim £963.000 op nadat een cyberaanval lange tijd onopgemerkt bleef en persoonsgegevens van meer dan 633.000 personen werden blootgesteld. Volgens de toezichthouder schoot de organisatie tekort op het gebied van monitoring, toegangsbeheer en kwetsbaarhedenmanagement.

Ook de Ierse privacytoezichthouder DPC trad op tegen een retailbank. Aanvallers slaagden erin zich via het klantcontactcentrum voor te doen als rekeninghouders en kregen toegang tot bankgegevens. De bank had onvoldoende authenticatiemaatregelen getroffen en voldeed bovendien niet aan de meldplicht voor datalekken. Dat resulteerde in een boete van €277.500.

In Spanje kreeg een IT- en technologiebedrijf een boete van €200.000 nadat een datalek meer dan 800.000 personen had geraakt. Ook hier concludeerde de toezichthouder dat passende technische en organisatorische maatregelen ontbraken.

De les uit deze zaken is duidelijk: artikel 32 AVG verplicht organisaties niet om elk datalek te voorkomen, maar wel om passende beveiligingsmaatregelen te treffen. Denk aan multifactor-authenticatie, strikte toegangsrechten, monitoring van verdachte activiteiten, tijdig beveiligingsupdatebeheer en periodieke beveiligingstests. Daarnaast verwachten toezichthouders dat organisaties vooraf nadenken over hun incidentrespons. Wie wordt betrokken bij een incident? Hoe wordt de impact beoordeeld? En wanneer moet een melding bij de Autoriteit Persoonsgegevens plaatsvinden?

Organisaties die direct maatregelen nemen om verdere schade te beperken, de omvang van het lek onderzoeken, betrokkenen informeren wanneer dat nodig is en tijdig melden bij de toezichthouder, verkleinen niet alleen de impact van het incident zelf, maar ook het risico op aanvullende handhaving. De ervaring leert dat toezichthouders vaak minstens zo kritisch kijken naar de reactie op een datalek als naar het datalek zelf.

Cookieprocedures nemen toe, LinkedIn laat zien wat werkt

Een opvallende uitspraak kwam van de rechtbank Amsterdam in een zaak tegen LinkedIn. Twee gebruikers stelden dat het platform zonder toestemming tracking cookies plaatste en daarmee de Telecommunicatiewet en AVG schond. De rechter wees de vorderingen echter af nadat tijdens de procedure bleek dat de gebruikers eerder zelf toestemming hadden gegeven voor gepersonaliseerde advertenties en bijbehorende cookies via hun LinkedIn-instellingen.

Een belangrijke reden waarom LinkedIn deze zaak won, is dat het platform kon aantonen dat de betrokken gebruikers eerder toestemming hadden gegeven voor gepersonaliseerde advertenties via hun cookie-instellingen. Tijdens de procedure legde LinkedIn screenshots van de toestemmingsinstellingen over, waaruit bleek dat de gebruikers expliciet hadden ingestemd met advertentiecookies. Omdat de eisers dit niet weerspraken, concludeerde de rechter dat onvoldoende aannemelijk was gemaakt dat trackingcookies zonder toestemming waren geplaatst.

Hoewel de uitspraak zelf al uit 2025 stamt, verscheen recent een annotatie van advocaat (en onze ex-collega) Martijn Poulus. Daaruit blijkt dat deze zaak onderdeel is van een bredere ontwikkeling: het aantal procedures over tracking cookies groeit en ook de Autoriteit Persoonsgegevens handhaaft steeds actiever op cookiebanners.
Een compliant cookiebanner, duidelijke informatie over advertentiedoeleinden en een goede registratie van gegeven toestemming kunnen het verschil maken wanneer een klacht of procedure volgt.

Elkjøp krijgt boete van €1,7 miljoen voor klantclub en marketingdoeleinden

De Noorse privacytoezichthouder legde elektronicaketen Elkjøp een boete van €1,7 miljoen op wegens meerdere AVG-overtredingen in hun loyaliteitsprogramma. Volgens de toezichthouder was de toestemming van klanten onvoldoende specifiek, geïnformeerd en vrij gegeven. Daarnaast gebruikte Elkjøp persoonsgegevens voor nieuwe marketingdoeleinden zonder daarvoor een geldige grondslag vast te stellen en zonder de verenigbaarheid van die nieuwe verwerkingen te beoordelen. Meer dan zes miljoen personen werden geraakt door de overtredingen.

Een loyaliteitsprogramma is geen vrijbrief om persoonsgegevens voor iedere marketingactiviteit te gebruiken. Wanneer gegevens worden ingezet voor bijvoorbeeld conversiemetingen of het delen van data met socialmediaplatformen, moet vooraf duidelijk zijn omschreven waarvoor de gegevens worden verzameld én op welke grondslag die verdere verwerking plaatsvindt. Algemene formuleringen als “marketingdoeleinden” zijn daarbij vaak onvoldoende. Ook benadrukt de toezichthouder dat persoonsgegevens niet zomaar met derde partijen mogen worden gedeeld voor advertentie- of analysediensten.

De boete laat zien dat toezichthouders steeds kritischer kijken naar loyaltyprogramma’s en first-party datastrategieën. Juist omdat deze programma’s vaak miljoenen klanten raken.

Legal advies nodig?
Ben je lid van DDMA en heb je legal vragen? Neem dan contact op met onze Legal Counsels via legal@ddma.nl. 

Team Legal DDMA

Kennisbank voor marketing en data