Je hebt de krantenkoppen gezien: China stelt een groeidoelstelling van "ongeveer 5%" vast. Er zijn nieuwe stimuleringsmaatregelen aangekondigd. De handelsspanningen blijven bestaan.

Maar als je een ondernemer, manager of IT-professional bent die zaken doet met (of concurreert met) Chinese bedrijven, ligt het echte verhaal ergens anders. Verborgen in de verslagen van rechtbanken en toezichthouders zitten signalen die je compliance-landschap de komende jaren zullen bepalen.

Dit is geen nieuw verhaal voor lezers van deze blog. Afgelopen september analyseerde ik hoe de "Opinions on the ‘artificial intelligence+’ action" van de State Council een gedurfde koers uitzetten naar 2035. De Two Sessions van 2026 (de jaarlijkse politieke top van China) kun je het beste zien als het volgende hoofdstuk: het moment waarop die top-downstrategie in aanraking komt met de machinerie van wetgeving, rechtbanken en handhaving.

Dit is wat er is veranderd, en wat dat voor jou betekent.

Wanneer Odido in Nederland het nieuws haalt met een datalek, is de verontwaardiging groot. Niet veel later duikt in België dezelfde reflex op bij het herinneren aan het incident bij Orange Belgium vorig jaar. Andere naam. Zelfde patroon. Klanten onzeker. Media scherp. En al snel de conclusie: dit is een schending van de AVG.

Maar dat is te eenvoudig. Een hack kan zelfs met de beste beveiliging nooit volledig worden uitgesloten. De echte vraag is dus niet of een incident kan gebeuren. De vraag is wat het incident blootlegt. Want een datalek is zelden het begin van het probleem. Het is meestal het moment waarop het zichtbaar wordt.

Een beslissing van de Zweedse toezichthouder IMY zet een basisregel van de GDPR opnieuw in de schijnwerpers. Artikel 32 legt de plicht op aan wie persoonsgegevens verwerkt om zorg te dragen voor de beveiliging van die gegevens, met passende technische en organisatorische maatregelen. Die verplichting geldt niet alleen voor de verwerkingsverantwoordelijke, maar evenzeer voor de verwerker. Toch leeft bij veel dienstverleners het idee dat beveiliging vooral een opdracht van de klant is.

Dat maakt de Zweedse boete bijzonder relevant. In België werd een verwerker voor een inbreuk op de beveiligingsplicht tot nu toe zelden rechtstreeks aangesproken. Daardoor ontstaat gemakkelijk de reflex dat een verwerker kan schuilen onder de paraplu van de verwerkingsverantwoordelijke. De casus toont dat dit een gevaarlijke veronderstelling is en dat artikel 32 ook voor verwerkers een eigen, directe verantwoordelijkheid inhoudt.

Onder de GDPR is de DPO vaak de vuurtorenwachter. Hij ziet de rotsen. Hij waarschuwt op tijd. Hij schijnt licht op risico’s. Maar hij staat niet aan het roer. In veel organisaties blijft de DPO daardoor een sterke adviseur, terwijl de echte koersbeslissingen elders vallen.

China lijkt nu een heel ander model te willen voor “large online platforms”. Eind 2025 verscheen een ontwerp dat de rol van de “persoon verantwoordelijk voor de bescherming van persoonsgegevens” niet alleen verder uitwerkt, maar ook zwaarder positioneert. De functie bestond al onder de PIPL, maar voor grote platformen wordt ze nu veel concreter geregeld, met scherp afgelijnde governance-verplichtingen en stevige bevoegdheden.

Dat is interessant om twee redenen. China kiest niet voor één allesomvattend kader zoals de GDPR, maar voor een gefaseerde en gedifferentieerde aanpak. Daardoor kan het sneller bijsturen waar de impact het grootst is. En precies in die LOP-context lijkt China de privacyfunctie te ontwerpen als een first officer: iemand die niet enkel waarschuwt, maar ook kan ingrijpen wanneer het schip richting verboden wateren vaart.

De datamarkt bulkt van snelle verkooppraatjes en halve waarheden. Data brokers schermen met “GDPR-compliance”, terwijl ze in de praktijk vaak handelen alsof transparantie optioneel is. Hun klanten laten zich graag geruststellen door leveranciers die zeggen dat alles volgens de regels verloopt. Ondertussen krijgt een nietsvermoedende burger plots een geadresseerde reclameboodschap in de bus en vraagt zich af: hoe komen ze in hemelsnaam aan mijn gegevens?

In dit verhaal staan drie spelers centraal. De data broker, die winst ziet in elk datapunt. De klant, die te graag meegaat in dat gemak. En het individu, dat achterblijft met de gevolgen. Samen tonen ze hoe dun de lijn is tussen slimme marketing en misbruik van vertrouwen.

We discussiëren eindeloos over de macht van Big Tech in de Verenigde Staten en de reguleringsdrang van Europa. Maar terwijl wij druk bezig zijn met onze eigen zorgen, kondigt zich in China een gebeurtenis aan die ons allemaal zou moeten wakker schudden. Op 26 augustus 2025 heeft de Chinese State Council een richtinggevende tekst gepubliceerd die de inzet van AI tot 2035 vorm moet geven. Een major event, maar in het Westen nauwelijks opgemerkt.

Waar wij verzanden in navelstaren, legt China een blauwdruk neer die rechtstreeks de toekomst van wetenschap, industrie, consumptie en bestuur bepaalt. Het is tijd om dat ernstig te nemen.

Een onderneming die persoonsgegevens pseudonimiseert en doorgeeft, blijft in de ogen van de wet nog steeds met persoonsgegevens werken. Alle verplichtingen van de AVG, en in het bijzonder de transparantieplicht tegenover de betrokkenen, blijven dus overeind. Dat is de essentie die het Hof van Justitie op 4 september 2025 nog eens scherp bevestigde in de zaak EDPS tegen de Single Resolution Board (SRB).

Tegelijk erkent het Hof ook dat er aan de kant van de ontvanger ruimte is voor een meer liberale interpretatie: krijgt die een dataset zonder sleutel en zonder redelijke herleidingsmogelijkheden, dan kan het goed zijn dat deze gegevens in zijn handen niet langer persoonsgegevens zijn.

Voor controllers is de boodschap echter helder: pseudoniemen zijn geen ontsnappingsroute uit de AVG.

Op 3 september sprak het Europees Gerecht zich uit over de Latombe-zaak, waarin het jongste trans-Atlantische mechanisme voor datadoorgiften – het Data Privacy Framework – ter discussie stond. Tot verrassing van velen verwierp het Gerecht het beroep niet om procedurele redenen, maar inhoudelijk. Daarmee krijgt de Europese Commissie gelijk: de Amerikaanse waarborgen zijn volgens het Gerecht voldoende om van een adequaat beschermingsniveau te spreken.

Voor Europese bedrijven klinkt dit als goed nieuws. Maar wie denkt dat de kous hiermee af is, komt bedrogen uit.

Smartglasses met camera zijn geen sciencefiction meer – je ziet ze op straat, op het strand, en zelfs op het terras naast je. Maar weet jij wanneer je toestemming nodig hebt om die camera te gebruiken?

Zomer 2025. Terwijl toeristen flaneren door historische stadjes en gezinnen ontspannen aan het zwembad, kijken steeds meer mensen door een slimme bril. Sommige modellen bieden alleen navigatie of spraakassistentie, maar andere nemen stilletjes video op of maken automatisch foto's. En daar wringt het schoentje: wat betekent dat voor de privacy van anderen? In deze blog leggen we uit welke juridische regels gelden – en waarom je met een slimme bril ook slim moet omgaan.

Een blond model met foutloze huid, symmetrisch gezicht en zomerjurk sierde onlangs de pagina’s van Vogue. Maar deze vrouw bestaat niet. Ze is gegenereerd door artificiële intelligentie, in opdracht van modebedrijf Guess. Wat bedoeld was als een innovatieve marketingcampagne, werd het begin van een stevig debat – over schoonheid, over eerlijkheid, en vooral over juridische grenzen.

Want mag dit zomaar? Of botst deze technologische verleiding met de Europese regels over transparantie, auteursrecht en portretbescherming? In deze blog bekijken we wat er écht op het spel staat – en waarom dit voor elk bedrijf relevant is dat marketing of communicatie inzet met AI.