Wat zijn de grenzen aan de gebruiksvoorwaarden?

woensdag, 1 april 2026 (12:09) - Security.NL

In dit artikel:

Ict-jurist Arnoud Engelfriet beantwoort de vraag of bedrijven via algemene voorwaarden vrijwel alles met gebruikersdata mogen doen zodra je op “agree” klikt. Zijn belangrijkste punten:

- Juridisch onderscheid: het Europese recht maakt een scherp onderscheid tussen persoonsgegevens (gegevens over identificeerbare personen) en niet-persoonsgegevens. Voor niet-persoonsgegevens gelden weinig beperkingen; de nieuwe Datawet (Data Act, 2025) regelt vooral toegang tot data van apparaten en clouddiensten, maar beperkt nauwelijks wat dienstverleners met die data mogen doen, behalve een paar specifieke verboden. Voor die categorieën zijn de gebruiksvoorwaarden dus veelal leidend.

- Strenge regels voor persoonsgegevens: voor persoonsgegevens werkt dat anders. Onder de AVG is toestemming voor gebruik van persoonsgegevens alleen geldig als die specifiek, vrijgegeven en in duidelijke, afzonderlijke vorm wordt gegeven. Een algemeen toestemmingsparagraaf in de algemene voorwaarden volstaat doorgaans niet. Practisch betekent dit dat diensten vaak een apart, specifiek vinkje nodig hebben en dat ook moet blijken aan wie gegevens eventueel verkocht of doorgegeven worden.

- Lezen van voorwaarden is onrealistisch: Engelfriet wijst erop dat het onredelijk is te verwachten dat consumenten al die lange voorwaarden lezen. Daarom is het rechtssysteem zo ingericht dat onredelijke of onaanvaardbare bedingen in voorwaarden vernietigbaar zijn: je kunt je erop beroepen dat zulke clausules niet bindend zijn.

- Handhaving en praktijkprobleem: hoewel consumenten juridisch beschermd zijn, is het afdwingen van die rechten vaak kostbaar en tijdrovend. Bedrijven, zeker buiten de EU, trekken zich daar soms weinig van aan, en toezichthouders kunnen niet altijd overal tegelijk toezicht houden.

Kortom: voor niet-persoonsgegevens zijn voorwaarden beslissend; voor persoonsgegevens biedt de AVG stevige grenzen en vereist de wet afzonderlijke, specifieke toestemming. In de praktijk blijft effectieve handhaving en bewustwording van gebruikers een uitdaging.