De privacy druk op organisaties loopt op. Privacy is steeds meer een commercieel criterium om te kiezen voor uw bedrijf. Het is ook steeds vaker een onderdeel van contractuele ketenbepalingen die door uw klanten en hoofdaannemers contractueel worden doorgezet aan uw bedrijf.
Toezichthouders kijken ook steeds scherper mee, cyberaanvallen en hacks worden geavanceerder.
Tot slot eisen gebruikers meer eerlijkheid en bescherming van hun persoonsgegevens.
Wie in 2026 echt privacy volwassen wil worden, moet daarom nú gaan handelen. In deze blog zetten wij daarom de belangrijkste recente aandachtspunten van de Autoriteit Persoonsgegevens (AP) uiteen.
- Strengere regels rondom cookiebanners: geen excuses meer
Eerder schreven wij al over het strengere toezicht op cookieregels, maar het onderwerp blijft ook aan het einde van 2025 zeer relevant.[1] De Autoriteit Persoonsgegevens (AP) heeft immers recentelijk meer dan 200 Nederlandse websites officieel gewaarschuwd vanwege misleidende cookiebanners. Driekwart van deze sites heeft hierdoor verbeteringen doorgevoerd, zoals bijvoorbeeld een duidelijke weigermogelijkheid. Voor websites die weigeren zich aan te passen, is inmiddels een formeel onderzoek opgestart.
Het signaal van de AP is duidelijk. De toestemming van websitegebruikers moet vrij, geïnformeerd en even eenvoudig te weigeren als te geven zijn. Om organisaties te helpen is de AP zelfs per 2 december 2025 een publiekscampagne gestart genaamd “Ga slim om met cookies”. In dit kader adviseert de AP organisaties ook om een goed cookiebeleid op te stellen naast het inrichten van een duidelijke en juiste cookiebanner.
Transparantie over tracking en toestemming wordt gezien als een basisrecht van gebruikers en in 2026 staat dit alleen nog maar hoger op de agenda van de AP. Dus wees hiervan bewust, ook ter voorkoming van boetes.
- Cyberaanvallen: de verwerkersovereenkomst to the rescue
Naast misleidende cookiesbanners waarschuwt de AP ook voor de risico’s wanneer persoonsgegevens worden verwerkt door externe partijen, zoals IT-dienstverleners of hostingpartijen. Wanneer de afspraken over privacy verantwoordelijkheden ontbreken, lopen organisaties tijdens een cyberaanval compleet vast. Alsdan zijn er onvoldoende gegevens om te beoordelen wat gelekt is met als gevolg dat betrokkenen en slachtoffers niet worden ingelicht over hun kwetsbare positie.
De AP deed recentelijk een themaonderzoek naar de rol van de verwerkersovereenkomst bij cyberaanvallen op dienstverleners. Daaruit volgen drie concrete aanbevelingen:
- Maak verwerkersafspraken zo concreet mogelijk
Afspraken in de verwerkersovereenkomst moeten duidelijk en specifiek zijn over wat er met persoonsgegevens gebeurt en hoe partijen voldoen aan de AVG. Dat betekent dat de overeenkomst o.a. moet bevatten:
- een heldere rolverdeling (wie is verwerkingsverantwoordelijke, wie is verwerker)
- een exacte beschrijving van doel, duur, aard, soort persoonsgegevens en betrokken groepen
- toepassing van dataminimalisatie en concrete bewaartermijn
- bereikbare meldcontacten bij datalekken
- afgesproken meldtermijn én minimale inhoud van meldingen
Zonder deze vastgelegde afspraken ontstaat bij een cyberaanval te veel vertraging en onduidelijkheid, met als gevolg dat slachtoffers te laat of niet worden geïnformeerd.
- Houd grip op de hele leveranciersketen;
Ook als meerdere dienstverleners betrokken zijn (“subverwerkers”), blijft de verwerkingsverantwoordelijke volledig verantwoordelijk voor de bescherming van persoonsgegevens. Daarom moet de verwerkingsverantwoordelijke zorgen dat zij zicht heeft op:
- een overzicht van de hele keten: wie verwerkt wat en waarom?
- inzicht in de beveiligingsmaatregelen bij alle schakels;
- de actuele informatie over subverwerkers, waaronder locatie en beveiliging;
- een goede samenwerking met de verwerker en afgestemde incidentprocessen.
Bij een cyberaanval kunnen organisaties alleen snel en adequaat handelen indien alle datastromen en partijen in kaart zijn gebracht.
- Geef prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten
Nog altijd worden verwerkersovereenkomsten te vaak als bijzaak behandeld: ze worden pas ná het ondertekenen van het hoofdcontract besproken, niet bijgewerkt of onvoldoende concreet vastgelegd. Dit leidt tot (beveiligings-)incidenten. Daarom is het belangrijk dat privacy-volwassen ondernemers:
- tijdig en kritisch onderhandelen, met de focus op beveiliging en de meldplicht van datalekken;
- afspraken regelmatig herzien en meenemen in de praktijk, zodat de verwerkersovereenkomst als het ware een dynamische en veranderlijke overeenkomst wordt;
- medewerkers voldoende voorlichting en privacy-kennis meegeven;
Enkel een actuele en levende overeenkomst helpt echt bij een cyberaanval en is juridisch afdwingbaar wanneer het erop aankomt.
De rode draad van deze ontwikkelingen?
Of het nu gaat om eerlijke en duidelijke cookiebanners of om concrete afspraken met dienstverleners in de keten: in beide gevallen draait alles om het versterken van het vertrouwen van gebruikers en klanten. Duidelijk is dat het niet meer voldoende is om alleen het vinkje “verwerkersovereenkomst aanwezig” te zetten. Bent u afhankelijk van leveranciers, dan vraagt dat om juiste en actuele afspraken, inclusief heldere meldplichttermijnen voor datalekken en cybersecurity-verplichtingen.
Privacy is geen eenmalige verplichting of af te vinken checklist. Het is een continu proces van verbeteren, actualiseren en alert blijven op risico’s. Organisaties die nu investeren in eerlijke datapraktijken en correcte overeenkomsten, gaan 2026 niet alleen compliant, maar daadwerkelijk privacy proof én AVG-volwassen in.
Heeft u vragen over het correct inrichten van uw cookiebanner? Wilt u nagaan of uw verwerkersovereenkomsten up-to-date zijn en daadwerkelijk bescherming bieden bij een cyberincident of een datalek of heeft u andere privacy gerelateerde vragen? De ondernemingsjuristen van The Legal Company helpen u graag verder – van compliance-checks tot het opstellen of heronderhandelen van privacy documentatie die écht werkt voor uw organisatie. Neem gerust contact met ons op en bel ons via 020 345 0152 of mail naar info@thelegalcompany.nl.
[1] https://thelegalcompany.nl/strenger-toezicht-op-cookieregels-wat-uw-bedrijf-moet-weten/
