Europese Commissie verkent leeftijdsgrens voor sociale media

De Europese Commissie onderzoekt of er op EU-niveau leeftijdsbeperkingen moeten komen voor toegang tot sociale media. Dat maakte zij bekend in het kader van haar actieplan tegen cyberpesten. Daarnaast start een EU-breed onderzoek naar de impact van sociale media op de mentale gezondheid en het welzijn van jongeren.

Volgens de Commissie wordt onder meer gekeken naar het afstemmen van sociale-media-leeftijden op de digitale toestemmingsleeftijd zoals bedoeld in de AVG. Ook worden maatregelen overwogen zoals privacy-by-default voor minderjarigen en vormen van anonieme leeftijdsverificatie.

De Commissie geeft de voorkeur aan een gecoördineerde Europese aanpak boven nationale initiatieven. Verschillende lidstaten werken al aan eigen plannen. Een uniforme regeling zou moeten voorkomen dat uiteenlopende nationale maatregelen leiden tot versnippering binnen de interne markt.

Het Europees Parlement pleitte in november 2025 al voor een geharmoniseerde digitale minimumleeftijd van 16 jaar voor sociale media, videoplatforms en AI-toepassingen. Een expertpanel moet nu verkennen of en hoe een gezamenlijke Europese aanpak juridisch kan worden vormgegeven.

AP kritisch op interne applicaties Belastingdienst

De Autoriteit Persoonsgegevens (AP) uit in een brief aan de Directeur-Generaal van de Belastingdienst stevige kritiek op het gebruik van zogenoemde Lokaal Ontwikkelde Applicaties (LOA’s). Het gaat om honderden zelfgebouwde applicaties waarin persoonsgegevens worden verwerkt, maar die niet altijd aantoonbaar voldoen aan de eisen van privacy- en beveiligingswetgeving.

Uit onderzoek van de AP blijkt dat het ontbreekt aan voldoende regie en overzicht. Voor een groot deel van de applicaties is geen risicoanalyse uitgevoerd en in veel gevallen is onduidelijk of zij voldoen aan wettelijke verplichtingen. Ook signaleert de toezichthouder tekortkomingen in autorisatiebeheer, logging en monitoring. Daarnaast beschikken veel applicaties over exportmogelijkheden, terwijl onvoldoende zicht bestaat op welke gegevens de beveiligde omgeving kunnen verlaten.

Volgens de AP brengt dit risico’s mee voor burgers, bijvoorbeeld doordat gegevens onjuist, verouderd of onvoldoende beveiligd zijn. De Belastingdienst moet daarom meer controle krijgen over het gebruik en het bestaan van deze applicaties en een plan opstellen om ze waar nodig uit te faseren of te vervangen.

Het ministerie van Financiën laat weten te werken aan een centraal overzicht en een plan van aanpak. De Tweede Kamer wordt periodiek over de voortgang geïnformeerd.

Raad van State: nieuw besluit nodig over pin-only bioscoop

In een uitspraak van 11 februari 2026 heeft de Afdeling bestuursrechtspraak van de Raad van State geoordeeld dat opnieuw moet worden gekeken naar de vraag of een Arnhemse bioscoop contante betaling mag weigeren.

De zaak draait om een inwoner die filmkaartjes anoniem wil kunnen kopen en daarom contant wil betalen. De bioscoop accepteert sinds een verhuizing uitsluitend pinbetalingen. Volgens de exploitant draagt dat bij aan de (sociale) veiligheid van medewerkers.

De Raad van State oordeelt dat veiligheid in beginsel een gerechtvaardigd belang kan zijn om persoonsgegevens te verwerken, maar dat in dit geval onvoldoende is onderbouwd dat het weren van contant geld daadwerkelijk noodzakelijk is. De enkele verwijzing naar het risico op diefstal is daarvoor niet voldoende.

De Autoriteit Persoonsgegevens had eerder geweigerd handhavend op te treden. Volgens de Afdeling is die afwijzing niet toereikend gemotiveerd. De toezichthouder moet daarom binnen acht weken een nieuw besluit nemen. Tegen dat besluit staat rechtstreeks beroep open bij de Afdeling bestuursrechtspraak.

EU-Hof: bedrijven mogen besluiten EDPB rechtstreeks aanvechten

Het Hof van Justitie van de EU heeft geoordeeld dat bedrijven besluiten van de European Data Protection Board (EDPB) rechtstreeks kunnen aanvechten bij de Europese rechter. De uitspraak volgt in een zaak van WhatsApp tegen een privacyboete van €225 miljoen.

De boete werd in 2021 opgelegd door de Ierse toezichthouder DCP wegens onvoldoende transparantie over gegevensverwerking. De DPC had aanvankelijk een lagere boete voorgesteld, maar andere Europese toezichthouders waren het daar niet mee eens. De EDPB greep in en verplichtte Ierland het bedrag te verhogen naar €225 miljoen.

WhatsApp stelde dat de EDPB daarmee buiten haar bevoegdheden was getreden en vocht het besluit aan. Het Hof oordeelt dat EDPB-besluiten die nationale toezichthouders binden directe rechtsgevolgen hebben voor bedrijven en daarom kunnen worden aangevochten.

De zaak gaat terug naar het Gerecht van de Europese Unie, dat zich nog moet uitspreken over de hoogte van de boete en de vraag of WhatsApp daadwerkelijk de AVG heeft overtreden.

De uitspraak kan gevolgen hebben voor meerdere lopende procedures waarin bedrijven EDPB-besluiten aanvechten.

AP waarschuwt voor beveiligingsrisico’s van AI-agent OpenClaw

De Autoriteit Persoonsgegevens (AP) waarschuwt voor de beveiligingsrisico’s van autonome AI-agents zoals OpenClaw. Aanleiding is de snelle opkomst van dit open source-platform, dat gebruikers een AI-assistent laat installeren die zelfstandig taken uitvoert op hun computer.

Volgens de AP krijgen deze systemen vaak vergaande toegang tot bestanden, e-mail en online accounts. Daardoor kunnen kwetsbaarheden of kwaadaardige plug-ins leiden tot datalekken, accountovernames en het misbruik van inloggegevens. Beveiligingsonderzoekers signaleren dat een deel van de beschikbare uitbreidingen malware bevat en dat het platform gevoelig is voor zogenoemde promptinjecties, waarbij verborgen opdrachten via websites of e-mails worden uitgevoerd. Ook zijn er kwetsbaarheden gevonden waarmee op afstand volledige systemen kunnen worden overgenomen.

De AP adviseert gebruikers en organisaties om dergelijke experimentele AI-agents niet te installeren op systemen met privacygevoelige of vertrouwelijke gegevens. Ontwikkelaars en gebruikers blijven zelf verantwoordelijk voor naleving van de AVG en passende beveiligingsmaatregelen.

Op Europees niveau pleit de AP ervoor om expliciet vast te leggen dat autonome AI-agents onder de AI-verordening vallen, zodat ook voor dit type systemen veiligheidseisen gelden.

Verscherpt toezicht op Belastingdienst loopt door in 2026

De staatssecretaris van Financiën heeft de Tweede Kamer in een brief geïnformeerd over het jaarplan 2026 van het toezichtarrangement tussen de Autoriteit Persoonsgegevens en de Belastingdienst. Het verscherpte toezicht wordt voortgezet en krijgt op onderdelen een bredere invulling.

Sinds 2024 geldt voor de Belastingdienst een speciaal toezichtarrangement, gericht op structurele verbetering van privacybescherming en AVG-naleving. In 2026 ligt de nadruk op verdere professionalisering van gegevensbescherming binnen de organisatie. Daarbij wordt onder meer gekeken naar gegevensdeling met andere overheidsinstanties, de uitvoering van DPIA’s, het recht op inzage en de borging van logging en autorisatiebeheer.

Ook monitort de toezichthouder hoe eerdere aanbevelingen zijn opgevolgd en hoe privacybewustzijn en governance binnen de organisatie zich ontwikkelen. Daarnaast wordt aandacht besteed aan de voorbereiding op nieuwe verplichtingen, zoals die uit de AI-verordening.

Volgens de staatssecretaris zijn stappen gezet om beter “in control” te komen, onder meer door het actualiseren van het verwerkingsregister en het inlopen van achterstanden bij risicoanalyses.