Preview document (🔗 origineel)

---

AH 1559

2026Z04886

Antwoord van staatssecretaris Van Bruggen (Justitie en Veiligheid) en de staatssecretaris van Economische Zaken en Klimaat (ontvangen 8 april 2026)

Vraag 1
Bent u bekend met het bericht dat telecomprovider Odido zonder medeweten van klanten MAC-adressen en apparaatnamen uit consumentenrouters heeft doorgestuurd naar een Amerikaans AI-bedrijf? 1)

Antwoord op vraag 1

Ja.

Vraag 2
Kunt u toelichten in hoeverre MAC-adressen en apparaatnamen volgens de Algemene verordening gegevensbescherming (AVG) als persoonsgegevens kunnen worden beschouwd?

Antwoord op vraag 2

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon kan een persoonsgegeven zijn (artikel 4, eerste lid, van de Algemene Verordening Gegevensbescherming, AVG). Ook een MAC-adres of een apparaatnaam kan als persoonsgegeven worden beschouwd.

Vraag 3
Hoe beoordeelt u de privacyrisico's van het verzamelen en delen van deze gegevens, omdat daarmee mogelijk ook huishoudens kunnen worden herkend of gevolgd?

Antwoord op vraag 3

Het is van belang dat persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is. Een verwerking is bijvoorbeeld rechtmatig, als er toestemming voor is gegeven, een gerechtvaardigd belang is of als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Het is niet aan het kabinet binnen het stelsel van de AVG om in te gaan op individuele gevallen, maar in eerste instantie aan de Autoriteit Persoonsgegevens (AP). De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhavend optreden, advies verstrekken en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 4
Hoe beoordeelt u het feit dat deze gegevens naar een Amerikaans AI-bedrijf zijn doorgestuurd?

Antwoord op vraag 4

Doorgifte van persoonsgegevens naar een bedrijf dat buiten de Europese Economische Ruimte (EER) is gevestigd is op grond van de AVG alleen toegestaan onder voorwaarden. Persoonsgegevens mogen alleen buiten de EER worden verwerkt in overeenstemming met de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de AVG. Bijvoorbeeld als de Europese Commissie een adequaatheidsbesluit heeft genomen of dat er door het bedrijf passende waarborgen zijn genomen. Of in deze casus wel of geen grondslag was voor het al dan niet delen van deze gegevens buiten de EER, evenals de vraag of de waarborgen van hoofdstuk V van de AVG in acht zijn genomen, is niet aan het kabinet om te beoordelen, maar aan de toezichthouder. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 5
Deelt u de opvatting van de Autoriteit Persoonsgegevens dat MAC-adressen kunnen worden beschouwd als persoonsgegevens? Zo ja, welke eisen gelden voor het verzamelen en delen van deze gegevens door telecomproviders?

Antwoord op vraag 5

Ja. Zie het antwoord op vraag 2. De AVG geeft algemene regels voor de verwerking van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders.

Vraag 6
Welke risico’s ziet u voor de privacy en veiligheid van burgers wanneer grote hoeveelheden metadata over wifi-netwerken en apparaten worden verzameld en mogelijk gecombineerd met andere datasets?

Antwoord op vraag 6

Dat hangt af van de omstandigheden van het geval. Een risico dat volgt uit het niet naleven van de AVG is in ieder geval dat de betrokkenen hun rechten niet (volledig) kunnen uitoefenen. Denk hierbij aan het inzien, corrigeren, of verwijderen van hun eigen persoonsgegevens.

Vraag 7
Is de Autoriteit Persoonsgegevens betrokken bij deze kwestie en wordt onderzocht of Odido de privacyregels heeft nageleefd?

Antwoord op vraag 7

De AP is op de hoogte van de genoemde berichtgeving over Odido. Het is aan de AP om opheldering te vragen aan Odido.

Vraag 8

Welke stappen verwacht u van Odido richting klanten, bijvoorbeeld om hen te informeren over welke gegevens zijn gedeeld en welke maatregelen worden genomen om dit in de toekomst te voorkomen?

Antwoord op vraag 8

Dit is niet aan het kabinet, maar in eerste instantie aan de AP. De AP toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. In zijn algemeenheid hangt het van meerdere factoren af. Onder andere de vraag of er een grondslag is voor het verwerken van deze gegevens en, indien er sprake is van doorgifte buiten de EER, of de waarborgen van de AVG in acht zijn genomen.

Vraag 9
Ziet u aanleiding om strengere eisen te stellen aan telecomproviders die AI-diensten gebruiken, zodat gegevens van gebruikers beter worden beschermd en transparanter wordt omgegaan met dataverzameling?

Antwoord op vraag 9

Nee. De AVG geeft duidelijke regels voor de bescherming van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders. Ook de AI-verordening kent een duidelijke set van regels. Er is wel aanleiding om het gesprek te voeren met het veld, waaronder telecomaanbieders, over de bescherming van persoonsgegevens in de praktijk. Vervolgens zal dit betrokken worden bij het voornemen om de toepassing van de AVG in Nederland tegen het licht te houden.

Vraag 10
Kunt u de vragen afzonderlijk beantwoorden en dit doen voor 23 maart 2026 vanwege het wetgevingsoverleg over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten?

Antwoord op vraag 10

Dat is helaas niet gelukt.

1) Telegraaf, Odido-routers stuurden informatie over klanten naar Amerikaans AI-bedrijf zonder dat ze dat wisten (www.telegraaf.nl/lifestyle/tech/odido-routers-stuurden-stiekem-informatie-over-klanten-naar-amerikaans-ai-bedrijf/139305838.html?utm_medium=referral&utm_campaign=share).