De boete van 310 miljoen euro voor LinkedIn: hoe een AVG-onderzoek van zes jaar uitmondde in een van de grootste reclamebesluiten van de Ierse DPC

De kern in het kort

Op 22 oktober 2024 heeft de Ierse Data Protection Commission (DPC) LinkedIn Ireland Unlimited Company een definitief besluit toegezonden waarin drie administratieve boetes van in totaal 310 miljoen euro worden opgelegd, samen met een berisping en een opdracht om de verwerking met de AVG in overeenstemming te brengen. Het besluit betreft het gebruik door LinkedIn van persoonsgegevens van leden voor gedragsanalyse en gerichte reclame. De DPC stelde inbreuken vast op artikel 5 lid 1 onder a, artikel 6 lid 1, artikel 13 lid 1 onder c en artikel 14 lid 1 onder c van de Algemene verordening gegevensbescherming. LinkedIn beriep zich op drie rechtsgronden uit artikel 6: toestemming, noodzaak voor de uitvoering van een overeenkomst en gerechtvaardigde belangen. De DPC wees ze één voor één af. De zaak begon in 28 mei 2018 met een klacht van de Franse non-profit La Quadrature du Net bij de CNIL; in het DPC-onderzoek werden uiteindelijk 8.540 LinkedIn-leden vertegenwoordigd. Zes jaar later mondt dat uit in een van de hoogste reclamegerelateerde AVG-sancties die de Ierse toezichthouder heeft opgelegd. LinkedIn heeft zowel een wettelijke beroepsprocedure als een judicial review aanhangig gemaakt; de materiële vaststellingen blijven van kracht zolang de procedure loopt. De compliance-les reikt veel verder dan Big Tech — zij treft elke organisatie die gedragsgerichte reclame of doelgerichte contentpersonalisatie inzet.

De kerncijfers

310 mln € | B2B-sociaal netwerk | Big Tech (Microsoft-dochter) | Ierse Data Protection Commission | Besluit betekend op 22 oktober 2024.

Wat er gebeurde: een zesjarig onderzoek mondt uit in een forse boete

Op 28 mei 2018 diende de Franse digitale-rechtenorganisatie La Quadrature du Net een collectieve klacht in bij de Franse toezichthouder Commission Nationale de l'Informatique et des Libertés (CNIL). In de daaropvolgende procedure bij de Ierse DPC werden uiteindelijk 8.540 LinkedIn-leden vertegenwoordigd. De klacht richtte zich tegen wat de organisatie het "GAFAM-businessmodel" noemde — het koppelen van platformtoegang aan de verplichte aanvaarding van gedragsanalyse en gerichte reclame. De klacht viel met name vooraangevinkte toestemmingsvakjes aan, gebruiksvoorwaarden waarin het voortgezet gebruik van de dienst als toestemming wordt opgevat, en het ontbreken van een echte keuze voor gebruikers die de dienst wilden gebruiken zonder voor reclamedoeleinden te worden geprofileerd.

Omdat het Europese hoofdkantoor van LinkedIn in Dublin is gevestigd, verwees de CNIL de klacht door naar de Ierse DPC via het one-stop-shopmechanisme van artikel 56 AVG. De Ierse toezichthouder werd zo de leidende toezichthoudende autoriteit voor het onderzoek. Het onderzoek duurde meer dan zes jaar. Op 22 oktober 2024 betekenden de Commissioners for Data Protection — dr. Des Hogan en Dale Sunderland — LinkedIn Ireland een definitief besluit. De DPC maakte het besluit op 24 oktober 2024 openbaar bekend. Het besluit omvat een berisping op grond van artikel 58 lid 2 onder b AVG, drie administratieve boetes voor in totaal 310 miljoen euro op grond van artikel 58 lid 2 onder i en artikel 83 AVG, en een opdracht op grond van artikel 58 lid 2 onder d AVG om de verwerking in overeenstemming te brengen.

Vóór de definitieve vaststelling werd het ontwerpbesluit in juli 2024 ingediend bij het samenwerkingsmechanisme van artikel 60 AVG. Die procedure stelt andere betrokken toezichthouders — waarvan ook betrokkenen worden geraakt — in staat gemotiveerde bezwaren te uiten tegen het ontwerp van de leidende autoriteit. Er werden geen bezwaren ingediend. Het uitblijven van bezwaren betekent dat geen enkele betrokken toezichthouder de geschilbeslechting van artikel 65 in gang heeft gezet; het mag niet worden uitgelegd als een formele goedkeuring van het bedrag door de EDPB.

Hoe één klacht uit 2018 het Europese reclamerecht hervormde

De klacht van La Quadrature du Net stond niet op zichzelf. Op 28 mei 2018, drie dagen na de inwerkingtreding van de AVG op 25 mei 2018, diende La Quadrature du Net vijf gecoördineerde collectieve klachten in bij de CNIL — tegen Facebook (nu Meta), Google, Apple, Amazon en LinkedIn — gedragen door ongeveer 12.000 ondertekenaars. Elke klacht richtte zich op hetzelfde architectonische probleem: het koppelen van platformtoegang aan de verplichte aanvaarding van gedragsverwerking, het gebruik van vooraangevinkte of impliciete toestemmingsmechanismen, en het ontbreken van een echte weigeringsroute. De strategie was bewust. Door alle vijf klachten meteen aan het begin van het AVG-tijdperk te lanceren, creëerde La Quadrature du Net een gecoördineerde testcase voor de architectuur van toestemming en rechtsgrondslagen, toegepast op het dominante businessmodel van het commerciële internet.

De vroege uitkomsten van die parallelle klachten tekenden het juridische landschap dat LinkedIn uiteindelijk zou bereiken. In januari 2019 legde de CNIL Google een boete op van 50 miljoen euro — de eerste grote AVG-boete tegen een Big Tech-platform — voor inbreuken op rechtmatigheid en transparantie bij gepersonaliseerde reclame. In januari 2023 legde de Ierse DPC Meta een boete op van 390 miljoen euro (210 mln € voor Facebook en 180 mln € voor Instagram) op grond van dezelfde redenering over noodzaak voor uitvoering van een overeenkomst die LinkedIn later tevergeefs zou trachten te verdedigen. In mei 2023 volgde een aanvullende boete van 1,2 miljard euro tegen Meta voor grensoverschrijdende datadoorgiften. Elk besluit verstrakte de interpretatie. Toen de Ierse DPC in oktober 2024 het LinkedIn-besluit uitvaardigde, hadden de rechtspraak van het HvJ en de toezichtspraktijk het toepassingsbereik van artikel 6 al ingeperkt: noodzaak voor uitvoering van een overeenkomst dekt geen gedragsgerichte reclame op een sociaal platform, en toestemming moet werkelijk granulair en vrijelijk worden gegeven. De LinkedIn-zaak is een nadere toepassing van deze lijn, niet een op zichzelf staand uniek arrest.

Voor organisaties buiten de platformsector luidt de praktische conclusie: de juridische vragen zijn niet meer open. Het Hof van Justitie van de Europese Unie heeft in zijn arrest van 4 juli 2023 in zaak Meta Platforms tegen Bundeskartellamt (C-252/21) reeds bevestigd dat de voorwaarde "noodzakelijk voor de uitvoering van een overeenkomst" in artikel 6 lid 1 onder b restrictief moet worden uitgelegd, dat de verwerkingsverantwoordelijke de bewijslast draagt voor de noodzaak, en dat personalisatie ten behoeve van reclame-inkomsten geen contractuele noodzaak vormt. Daarmee heeft het Hof de deur gesloten die LinkedIn en anderen openhielden. Het LinkedIn-besluit past die sluiting toe.

Het besluit: vier artikelen, drie afgewezen rechtsgronden

Het DPC-onderzoek beoordeelde één werkstroom — de verwerking van persoonsgegevens van leden voor gedragsanalyse en gerichte reclame — aan de hand van het volledige AVG-apparaat van beginselen, rechtsgronden en transparantie. Het onderzoek stelde inbreuken vast op vier artikelen: artikel 5 lid 1 onder a, artikel 6 lid 1, artikel 13 lid 1 onder c en artikel 14 lid 1 onder c AVG. In een voorlopig oordeel van 20 april 2026 in de procedure van LinkedIn heeft de Ierse High Court vastgesteld dat section 142 van de Data Protection Act 2018 deze statutaire beroepsroute beperkt tot de beslissing om de boete op te leggen; de onderliggende vaststellingen van inbreuk zijn via section 142 niet vatbaar voor beroep en blijven van kracht zolang de bredere procedure loopt.

Artikel 5 lid 1 onder a — het beginsel van rechtmatigheid, behoorlijkheid en transparantie

Artikel 5 legt de basisbeginselen van de AVG vast. Artikel 5 lid 1 onder a vereist dat persoonsgegevens "rechtmatig, behoorlijk en transparant ten aanzien van de betrokkene" worden verwerkt. De DPC stelde vast dat de gedragsgerichte-reclamelijn van LinkedIn elk van deze drie deelbeginselen schond. De rechtmatigheid sneuvelde omdat geen van de aangevoerde artikel-6-gronden de verwerking kon dragen. De transparantie sneuvelde omdat het privacystatement de ingeroepen rechtsgronden niet adequaat openbaarde. De behoorlijkheid sneuvelde omdat gebruikers geen echte mogelijkheid hadden de verwerking te begrijpen of te weigeren. Het DPC-citaat vat het beginsel direct samen: "De rechtmatigheid van de verwerking is een fundamenteel aspect van het gegevensbeschermingsrecht, en de verwerking van persoonsgegevens zonder passende rechtsgrondslag is een duidelijke en ernstige schending van het grondrecht van de betrokkene op gegevensbescherming."

Artikel 6 lid 1 — geen van de drie rechtsgronden hield stand

Artikel 6 lid 1 verplicht de verwerkingsverantwoordelijke vóór de verwerking een rechtsgrondslag aan te wijzen. LinkedIn voerde er drie aan: toestemming (artikel 6 lid 1 onder a), noodzaak voor de uitvoering van een overeenkomst (artikel 6 lid 1 onder b) en gerechtvaardigde belangen (artikel 6 lid 1 onder f). De DPC beoordeelde ze één voor één en wees ze elk af.

Over toestemming (artikel 6 lid 1 onder a): de DPC paste de norm van artikel 4 punt 11 AVG toe — toestemming moet "vrij, specifiek, geïnformeerd en ondubbelzinnig" zijn — en stelde vast dat het mechanisme van LinkedIn op alle vier criteria faalde. Gebruikers kregen geen duidelijke, granulaire keuze tussen gebruik van het platform met gedragsgerichte reclame en gebruik zonder. De toestemmingsstroom bundelde meerdere verwerkingsdoeleinden. De informatie vermeldde niet specifiek welke rechtsgrondslag voor welke verwerking werd aangevoerd. Een actieve opt-in voor gedragsanalyse ontbrak. Conclusie: toestemming kon de verwerking juridisch niet legitimeren.

Over noodzaak voor de uitvoering van een overeenkomst (artikel 6 lid 1 onder b): de DPC volgde de EDPB-richtsnoeren uit 2019 over artikel 6 lid 1 onder b in de context van onlinediensten. Gedragsgerichte reclame is niet "noodzakelijk" voor de uitvoering van een overeenkomst voor een sociaal netwerk; hooguit is het een commerciële keuze van de aanbieder om de dienst te financieren. Een gebruiker kan LinkedIn gebruiken voor het kerndoel — netwerken, vacatures, content — zonder voor reclamedoeleinden te worden geprofileerd. De noodzaak faalt.

Over gerechtvaardigde belangen (artikel 6 lid 1 onder f): de DPC paste de drie-stappen-afwegingstoets toe — vaststellen van het belang, beoordelen van de noodzaak, afwegen tegen de rechten en vrijheden van betrokkenen. Het commerciële belang van LinkedIn bij inkomsten uit gedragsgerichte reclame is op de eerste stap gerechtvaardigd. De DPC concludeerde echter dat de verwerking niet strikt noodzakelijk was voor dat belang (er bestaan minder ingrijpende middelen, waaronder contextgerichte reclame) en dat de impact op de rechten van betrokkenen — waaronder het recht op gegevensbescherming uit artikel 8 van het EU-Handvest van de grondrechten — zwaarder weegt dan het belang van de verwerkingsverantwoordelijke. Het gerechtvaardigd belang sneuvelt in de afweging.

Artikel 13 lid 1 onder c en artikel 14 lid 1 onder c — de transparantieplicht is niet nagekomen

Artikel 13 en 14 verplichten de verwerkingsverantwoordelijke om betrokkenen op het moment van verzameling specifieke informatie te verstrekken. Sub-lid (1)(c) van elk artikel vereist mededeling van "de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsmede de rechtsgrond voor de verwerking". De DPC stelde vast dat het privacystatement van LinkedIn voor gedragsanalyse en gerichte reclame niet adequaat openbaarde welke artikel-6-grondslag werd aangevoerd voor welk concreet doel. Een privacystatement dat slechts vermeldt "wij kunnen uw gegevens verwerken op grond van toestemming, overeenkomst of gerechtvaardigd belang" zonder de gebruiker te zeggen welk element bij welk doel hoort, schendt artikel 13/14 lid 1 onder c. De transparantieplicht is granulair: per doel, per rechtsgrondslag, in begrijpelijke taal.

De reactie van LinkedIn, het hoger beroep en de huidige stand

LinkedIn publiceerde op 24 oktober 2024 een korte officiële verklaring: "Vandaag heeft de Ierse Data Protection Commission (IDPC) een definitief besluit genomen over claims uit 2018 over enkele van onze digitale reclame-inspanningen in de EU. Hoewel wij van mening zijn dat wij in overeenstemming waren met de Algemene verordening gegevensbescherming (AVG), werken wij eraan om onze reclamepraktijken in lijn te brengen met dit besluit binnen de termijn van de IDPC." De verklaring erkende geen inbreuk en kondigde geen concrete maatregelen aan.

LinkedIn opende vervolgens twee parallelle rechtsroutes. Op 18 november 2024 diende het bedrijf een wettelijk beroep in op grond van sections 142 en 150 van de Ierse Data Protection Act 2018. Op 16 december 2024 verleende rechter Mary Rose Gearty bij de High Court LinkedIn verlof om een judicial review aanhangig te maken. De aangevoerde rechtsgronden omvatten constitutionele bezwaren tegen de wet van 2018, het argument dat de boete van 310 miljoen euro vanwege de hoogte een "strafrechtelijk of punitief" karakter heeft en daarmee de fair-trial-waarborgen van het Handvest van de grondrechten en het Europees Verdrag voor de Rechten van de Mens activeert, en procedurele bezwaren tegen het besluitvormingsproces van de DPC. LinkedIn betoogt verder dat "de DPC geen onafhankelijke en onpartijdige rechterlijke instantie is in de zin van het Handvest".

De DPC diende zijn verweerschrift in op 25 februari 2025. De Ierse Staat volgde op 18 maart 2025. Op 20 april 2026 besliste de High Court voorlopige vragen — onder meer dat section 142 van de Data Protection Act 2018 alleen beroep toestaat tegen het opleggen van een boete, niet tegen de onderliggende vaststellingen van inbreuk noch tegen de uitoefening van andere corrigerende bevoegdheden. De materiële AVG-vaststellingen blijven dus van kracht tijdens de procedure. Voor organisaties die deze zaak volgen voor compliance-lessen is het hoger beroep een geschil over hoogte en procedure — niet over de materiële analyse van toestemming, rechtsgrondslag en transparantie.

Wat LinkedIn anders had kunnen doen — de kern van de zaak

Het DPC-besluit is geen technische curiositeit tussen een toezichthouder en een Big Tech-gedaagde. Het is een methodische demonstratie van hoe een gedragsgerichte-reclamelijn tegelijk op elk van de artikel-6-rechtsgronden kan falen, en hoe een conforme variant eruit zou zien. Elke organisatie die gedragsgerichte reclame inzet — waaronder B2B-SaaS-bedrijven met account-based-marketing-scoring, e-commercebedrijven die productaanbevelingen personaliseren en uitgevers die monetariseren via gerichte displayreclame — wordt aan dezelfde analyse onderworpen. Vier preventielagen hadden de uitkomst veranderd.

Laag 1 — het specifieke architectuurprobleem in het toestemmingsproces

Het toestemmingsproces van LinkedIn presenteerde gebruikers, volgens de DPC-analyse, een "neem het of laat het"-logica. De vermelding van rechtsgronden was generiek — "toestemming, overeenkomst of gerechtvaardigd belang" — in plaats van granulair per verwerkingsdoel. Een actieve opt-in voor gedragsanalyse ontbrak; het platform leunde op voortgezet gebruik als impliciete toestemming. Er was geen even prominente "Alles weigeren"-route naast "Alles accepteren" bij de toestemmingsinterface. Geen van deze ontwerpkeuzes is uniek voor LinkedIn. Ze vormden de industriestandaard in 2018 en bleven bij het onderzoek wijdverbreid. Het punt van de DPC is dat de AVG sinds 25 mei 2018 iets anders eist, en een industriestandaard wordt niet rechtmatig doordat hij wijdverbreid is.

Laag 2 — de technische controle die het had voorkomen

De conforme variant is goed gedefinieerd. Een granulair Consent Management Platform (CMP) met afzonderlijke, even prominente opt-in-schakelaars voor elk afzonderlijk verwerkingsdoel — profielgegevensweergave, gedragsinferentie, gerichte reclame, combinatie met derden — voldoet aan het specificiteitscriterium van artikel 4 punt 11. Een werkende "Alles weigeren"-route met dezelfde visuele prominentie als "Alles accepteren" voldoet aan het "vrijelijk"-criterium. Standaard UIT-positionering van elke gedragsanalyseschakelaar, met vereiste actieve bevestiging, voldoet aan het "ondubbelzinnig"-criterium. Een doelgericht toestemmingslog dat op verzoek van de betrokkene oproepbaar is, getimestempeld en versie-beheerd met de op het moment van toestemming getoonde informatie, voldoet aan het "geïnformeerd"-criterium. Niets hiervan is exotische techniek. Open-source-CMP-frameworks ondersteunen het allemaal; de grote commerciële CMP-aanbieders adverteren met al deze functies. De implementatiekosten van een conforme CMP voor een organisatie ter grootte van LinkedIn liggen tussen 500.000 € en 2 mln €, plus jaarlijkse operationele kosten. Voor een mkb-organisatie kost dezelfde architectuur tussen 5.000 € en 50.000 €.

Laag 3 — de organisatorische controle die het had ontdekt

Een Data Protection Impact Assessment (DPIA) op grond van artikel 35 AVG is verplicht vóór de start van een verwerking met hoog risico — en gedragsgerichte reclame op grote schaal is naar elke redelijke uitleg een verwerking met hoog risico waarbij systematisch wordt gevolgd in de zin van artikel 35 lid 3 onder b. Een DPIA, uitgevoerd vóór de inzet, goedgekeurd door de Functionaris voor Gegevensbescherming en getoetst aan de rechtsgrondanalyse per doel, had het architectuurprobleem zichtbaar gemaakt. Een gedocumenteerde kwartaalreview van toestemmingskwaliteit — opt-in-percentage per doel, weigeringspercentage, intrekkingspercentage, klachtenvolume — had het onderwerp ruim voor de start van een onderzoek op bestuursniveau gebracht. Een duidelijke FG-goedkeuring van het privacystatement aan de hand van een checklist van de vereisten uit artikel 13/14 lid 1 onder c had de generieke formulering "toestemming, overeenkomst of gerechtvaardigd belang" onderschept. Elk van deze controles is standaardgovernancehygiëne in een volwassen AVG-programma.

Laag 4 — kosten versus boete: de rekensom maakt de zaak

De DPC heeft 310 miljoen euro aan administratieve boetes opgelegd; deze blijven onderwerp van het beroep van LinkedIn. Daarnaast moet LinkedIn ook de kosten dragen van de door de DPC opgelegde compliancevorming. De preventiekosten — een conforme CMP, een DPIA-proces, periodieke toestemmingsaudits, FG-tijd voor het privacystatement — zouden voor een organisatie ter grootte van LinkedIn tussen 500.000 € en 2 mln € hebben gelegen. De verhouding is ongeveer 150 tot 600 keer de preventiekosten. Voor een mkb-organisatie zijn de absolute bedragen anders, maar de logica is identiek: preventie ligt doorgaans tussen 5.000 € en 50.000 €; vergelijkbare boetes in de mkb-band (waar toezichthouders schalen naar ondernemingsomvang) liggen meestal tussen 100.000 € en 2 mln €. De rekensom is in elke schaal verpletterend. De vraag voor elke compliance-verantwoordelijke is niet of preventie de investering waard is, maar of de organisatie handelt vóór of nadat de toezichthouder verschijnt.

Wilt u weten of uw organisatie hetzelfde risico loopt als LinkedIn? Doe het gratis 10-minuten-assessment van Viktoria Compliance → Het zet uw huidige positie op het gebied van gedragsgerichte reclame en rechtsgrondslagen af tegen de AVG-artikelen die de Ierse DPC in dit besluit daadwerkelijk heeft gehandhaafd, en wijst de specifieke hiaten aan die een toezichthouder als eerste zou vinden.

Sectorale les: wie is vandaag blootgesteld

Het LinkedIn-besluit is een van de hoogste reclamegerelateerde AVG-boetes die de Ierse DPC heeft uitgevaardigd, maar staat niet op zichzelf. Het past in een duidelijk handhavingspatroon dat sinds 2022 is versneld, waarin de Ierse DPC en andere leidende toezichthouders de rechtsgrondslagclaims van platforms met gedragsgerichte reclame stelselmatig hebben afgebroken. De Meta-boetes van januari 2023 (210 mln € voor Facebook en 180 mln € voor Instagram voor vergelijkbare rechtsgrondslagfouten bij gepersonaliseerde reclame), de boete van 345 mln € voor TikTok in september 2023 (kindergegevens en transparantie) en de boete van 290 mln € voor Uber in augustus 2024 van de Nederlandse Autoriteit Persoonsgegevens (onrechtmatige doorgiften van chauffeursgegevens naar de Verenigde Staten op grond van hoofdstuk V AVG) liggen alle in dezelfde lijn. Het LinkedIn-besluit is het meest recente datapunt, niet het eerste.

De blootstelling beperkt zich niet tot socialemediaplatforms of Big Tech. Drie categorieën organisaties lopen het hoogste risico om de juridische positie van LinkedIn te reproduceren. Ten eerste B2B-SaaS-bedrijven die account-based-marketingplatforms, gedragsscoringsystemen of leadprioriteringsmodellen inzetten. De rechtsgrondslaganalyse is identiek: wie EU-natuurlijke personen profileert (beslissers binnen doelaccounts), heeft een schone artikel-6-grondslag nodig voor het profileren, niet alleen voor het onderliggende CRM-record. Ten tweede e-commercebedrijven die aanbevelingen, dynamische prijzen of retargeting personaliseren op basis van gedrag op de eigen site gecombineerd met data van derden. Ten derde uitgevers en mediaorganisaties die monetariseren via programmatische reclame — het besluit van de Belgische toezichthouder tegen IAB Europe (2 februari 2022) en het daaropvolgende HvJ-arrest in IAB Europe tegen Gegevensbeschermingsautoriteit (C-604/22, 7 maart 2024) hebben reeds vastgesteld dat het TCF-signaal persoonsgegevens omvat, dat IAB Europe gezamenlijk verwerkingsverantwoordelijke is en dat toestemming verkregen via een TCF-banner alleen mogelijk niet aan de AVG voldoet. Elke uitgever die TCF inzet, moet het LinkedIn-besluit lezen als een waarschuwing dat het geduld van de toezichthouder op is.

De cookiebanner-verbinding: TCF, IAB Europe en handhaving tegen dark patterns

De toestemmingsarchitectuur van LinkedIn maakt deel uit van een groter probleem dat de EU stelselmatig afbouwt. Het besluit van de Belgische Gegevensbeschermingsautoriteit van februari 2022 tegen IAB Europe — de branchevereniging achter het Transparency and Consent Framework (TCF), de technische infrastructuur die door de meeste Europese uitgevers en adtech-aanbieders wordt gebruikt — stelde vast dat het TCF-signaal zelf persoonsgegevens zijn, dat IAB Europe gezamenlijk verwerkingsverantwoordelijke is voor de via TCF-banners gegenereerde toestemmingsreeks, en dat de via TCF-mechanismen in hun toenmalige vorm verkregen toestemming niet aan de AVG voldeed. Het HvJ bevestigde en verfijnde deze positie in IAB Europe tegen Gegevensbeschermingsautoriteit (C-604/22, 7 maart 2024).

De EDPB-richtsnoeren 3/2022 over "misleidende ontwerpschema's in interfaces van sociale-mediaplatforms" (aangenomen in maart 2022, definitieve versie gepubliceerd in februari 2023) beschrijven, met uitgewerkte voorbeelden, de ontwerpkeuzes die als door de AVG verboden dark patterns worden aangemerkt. Toestemmingsstromen die de weigeroptie visueel onder de aandacht houden, extra klikken voor weigering vereisen, weigering in negatieve bewoordingen kaderen of vakjes vooraangevinkt laten staan, worden allen aangemerkt. Het EDPB-advies 08/2024 over "consent-or-pay"-modellen voegt een nieuw datapunt toe en benadrukt dat gebruikers een echte keuze moet worden geboden in plaats van feitelijk in gedragstracking te worden gedwongen. De trend is consistent: toezichthouders accepteren geen toestemmingsstromen meer waarvan het hoofddoel is opt-ins af te dwingen. De norm is: echte, granulaire, vrijelijk gegeven toestemming — of geen verwerking.

Voor organisaties die cookiebanners of in-product-toestemmingsstromen exploiteren, moet het LinkedIn-besluit worden gelezen naast het rapport van de EDPB-cookiebannerwerkgroep (januari 2023, over toestemmingspraktijken bij cookies) en de EDPB-richtsnoeren 3/2022 over misleidende ontwerpschema's (aangenomen maart 2022). De gecombineerde boodschap is operationeel: wie zijn toestemmingsarchitectuur niet heeft herzien aan de hand van dit corpus richtsnoeren is blootgesteld aan handhaving, en de toezichthouders hebben aangetoond dat de boetes voor de grootste overtreders in de honderden miljoenen euro lopen en voor middelgrote organisaties in de honderdduizenden euro.

De vooruitblik: het tweede compliance-regime — de AI Act — geldt vanaf 2 augustus 2026

Gedragsgerichte reclame is technisch gezien geautomatiseerde profilering. Vanaf 2 augustus 2026 is de Europese AI-verordening van toepassing op een gedefinieerde categorie AI-systemen en legt aanvullende verplichtingen bovenop de AVG. Wanneer een in reclame ingezet systeem onder bijlage III van de AI-verordening valt — in het bijzonder de categorieën rond inzet in werkgelegenheidsbesluiten of toegang tot essentiële diensten — legt artikel 14 AI-verordening de aanbieder een ontwerpverplichting tot menselijk toezicht op, verplicht artikel 26 lid 7 de gebruiker tot informatieverstrekking aan natuurlijke personen, en creëert artikel 86 een recht op een duidelijke uitleg van de rol die het AI-systeem in het besluit speelde. Organisaties die de AVG-laag van toestemming en rechtsgrondslag niet vóór 2 augustus 2026 op orde hebben, stappen een tweede regime binnen met andere verplichtingen, andere actoren en een parallel plafond van 15 mln € of 3 % van de wereldwijde omzet voor non-conformiteit met hoog risico. De praktische implicatie: de AVG-laag nu herstellen is tegelijk voorbereiding op de AI-verordening. De twee regimes overlappen precies op de werkstromen die het LinkedIn-besluit beoordeelde.

Waarom deze zaak voor elke verwerkingsverantwoordelijke een precedent is

De verleiding bij het lezen van een besluit tegen een wereldwijde Microsoft-dochter is om het onder "Big Tech-problemen" te plaatsen en aan te nemen dat de analyse een organisatie van 200 medewerkers in Berlijn of 50 medewerkers in Ljubljana niet raakt. Die aanname is onjuist, en de structuur van de DPC-redenering maakt haar bewust onjuist. De DPC baseerde het besluit niet op LinkedIn's omvang, mondiale bereik, moederbedrijf of het aantal getroffen gebruikers. Zij baseerde het besluit op de juridische architectuur van toestemming en rechtsgrondslag in de AVG — een architectuur die uniform geldt voor een verwerkingsverantwoordelijke die persoonsgegevens van één EU-betrokkene verwerkt of honderd miljoen. Elke stap in de DPC-analyse — de vier-criteria-toets voor toestemming uit artikel 4 punt 11, de strikte uitleg van noodzaak voor uitvoering van een overeenkomst, de drie-stappen-belangenafweging, de granulaire informatieverplichting uit artikel 13/14 lid 1 onder c — geldt voor een CRM-systeem in een regionaal B2B-SaaS-bedrijf op precies dezelfde manier als voor LinkedIn's wereldwijde reclamelijn.

Wat het schaalverschil verandert is de hoogte van de boete, niet het bestaan van de overtreding. Artikel 83 lid 2 AVG somt de factoren op waarmee de toezichthouder bij het bepalen van de boete rekening moet houden — waaronder aard, ernst en duur van de inbreuk, de categorieën van betrokken gegevens, de mate van medewerking van de verwerkingsverantwoordelijke en "elke andere verzwarende of verzachtende omstandigheid die op de zaak van toepassing is". Voor een mkb-organisatie zou dezelfde overtreding die voor LinkedIn 310 miljoen euro opleverde, doorgaans tot een boete tussen 50.000 € en 500.000 € leiden — nog steeds significant, vaak existentieel, altijd vermijdbaar. Voor een middelgrote organisatie met een jaaromzet tussen 50 mln € en 500 mln € ligt de equivalente boete gewoonlijk tussen 1 mln € en 10 mln €. De boetebedragen schalen; de juridische analyse niet. Het LinkedIn-besluit lezen als handleiding van wat niet te doen is, is voor elke schaal de juiste reactie.

Het 90-dagen-saneringsplan

Voor een organisatie die tot hier heeft gelezen en de blootstelling herkent, hier een 90-dagenplan, gekalibreerd voor een middelgrote verwerkingsverantwoordelijke met een bestaand AVG-programma maar beperkte investering in granulaire toestemmingsarchitectuur of DPIA's voor gedragsverwerking. Elke fase is afgebakend met een duidelijke deliverable en een goedkeurende eigenaar.

Dagen 1 tot 30 — inventarisatie en gap-analyse. Haal uit het verwerkingsregister (artikel 30) elke activiteit die profilering, gedragsinferentie, gepersonaliseerde marketing, lead scoring, dynamische content of analytics omvat die de grens van geaggregeerd naar individueel overschrijdt. Documenteer per activiteit: het concrete doel, de gegevenscategorieën, de aangevoerde artikel-6-grondslag, het bestaan van een DPIA, of het privacystatement de rechtsgrondslag per doel openbaar maakt, en of het toestemmingsmechanisme (indien gebruikt) werkelijk granulair is. De deliverable is een register met één regel per activiteit en een aparte kolom per hiaat. Goedkeurende eigenaar: de Functionaris voor Gegevensbescherming.

Dagen 31 tot 60 — architectuursanering. Vervang of herconfigureer het Consent Management Platform zodat elk verwerkingsdoel een afzonderlijke opt-in heeft, standaard op UIT staat en een doelspecifiek toestemmingslog produceert dat op verzoek van betrokkenen oproepbaar is. Voeg op elke toestemmingsinterface een even prominente "Alles weigeren"-route toe. Herschrijf het privacystatement zo dat het per doel de aangevoerde artikel-6-grondslag vermeldt — in begrijpelijke taal, niet in juridisch jargon. Voer DPIA's uit op grond van artikel 35 voor elke activiteit die in fase 1 als systematische profilering of grootschalige gedragsanalyse is gemarkeerd. Goedkeurende eigenaar: de CTO (voor de CMP) en de FG (voor DPIA en statement).

Dagen 61 tot 90 — operationalisering en audit. Train klantgerichte teams op de nieuwe toestemmingsstromen en op de afhandeling van rechten van betrokkenen die uit de nieuwe informatie voortvloeien. Zet een kwartaalaudit van toestemmingskwaliteit op met de kerncijfers opt-in-percentage per doel, weigeringspercentage, intrekkingspercentage, klachtenvolume en doorlooptijd voor rechten van betrokkenen. Documenteer het auditritme en de escalatieroute bij wezenlijke afwijkingen. Informeer het bestuur over de nieuwe positie, de in DPIA's vastgestelde restrisico's en het auditschema. Goedkeurende eigenaar: het bestuur, met de FG als secretaris van het overleg. De deliverable van deze fase is een duurzame governancegrondslag die personeelswisselingen en productveranderingen overleeft.

Zelftest: vijf vragen voordat de toezichthouder ze stelt

Gebruik deze korte zelftest op uw eigen verwerking. Een onzeker antwoord betekent een reëel hiaat.

• Kunt u per verwerkingsdoel de concrete rechtsgrondslag uit artikel 6 lid 1 (a, b, c, d, e of f) aanwijzen — en de gedocumenteerde beoordeling overleggen die haar onderbouwt?
• Als u zich op toestemming baseert: is uw inwinning werkelijk granulair (één schakelaar per doel), actief verkregen (standaard UIT, geen voortgezet gebruik), met een "Alles weigeren"-route met dezelfde visuele prominentie als "Alles accepteren", en een doelspecifiek log dat op verzoek oproepbaar is?
• Als u zich op gerechtvaardigd belang baseert: heeft u een drie-stappen-afwegingstoets (belang vaststellen, noodzaak beoordelen, afwegen tegen rechten van betrokkenen) uitgevoerd en gedocumenteerd — en houdt die stand tegen een "minder ingrijpende middelen"-tegenargument?
• Vermeldt uw privacystatement per betrokkene en per doel exact welke artikel-6-grondslag u voor dat doel inroept — in plaats van een generieke verzamelformule?
• Heeft u voor elke verwerking met systematische profilering of grootschalige gedragsanalyse van EU-natuurlijke personen een DPIA op grond van artikel 35 AVG uitgevoerd en gedocumenteerd?

Als een van deze vragen onzekerheid heeft opgeroepen: het gratis 10-minuten-assessment van Viktoria Compliance → brengt uw concrete blootstelling in kaart over alle AVG-modules heen — inclusief de modules rechtsgrondslag, transparantie, DPIA en verwerkers/doorgiften die in het LinkedIn-besluit het meest direct betrokken zijn — en levert een geprioriteerde saneringslijst voordat een toezichthouder dat doet.

Veelgestelde vragen

Hoe is het bedrag van 310 mln € berekend?

Het totaal van 310 mln € is gestructureerd als drie administratieve boetes, elk op grond van artikel 58 lid 2 onder i en artikel 83 AVG. De DPC heeft in haar publieke persbericht geen uitsplitsing per artikel gepubliceerd; de tekst van het besluit zelf bevat de detailuitsplitsing. Wat publiekelijk geverifieerd is, is dat het totaal van 310 mln € correspondeert met de onderzoeksvaststellingen van inbreuken op artikel 5 lid 1 onder a, artikel 6 lid 1, artikel 13 lid 1 onder c en artikel 14 lid 1 onder c. De boete valt onder de hogere band van artikel 83 lid 5 — plafond 20 mln € of 4 % van de wereldwijde jaaromzet, het hoogste bedrag geldt. De omzet van de LinkedIn-groep brengt 310 mln € ruim onder het wettelijke 4 %-plafond.

Heeft de EDPB een bindend besluit op grond van artikel 65 uitgevaardigd?

Nee. De samenwerkingsprocedure van artikel 60 verliep zonder bezwaren van de betrokken toezichthouders. Het ontwerpbesluit is ingediend in juli 2024; binnen de wettelijke termijn heeft geen enkele andere toezichthouder gemotiveerde bezwaren ingebracht. Daardoor werd geen geschilbeslechtingsprocedure op grond van artikel 65 voor het Europees Comité voor gegevensbescherming gestart. Het uitblijven van bezwaren betekent daarom alleen dat geen betrokken toezichthouder artikel 65 in werking heeft gezet; het mag niet worden uitgelegd als een formele goedkeuring van het bedrag of de ernst door de EDPB.

Is de boete definitief, of kan het hoger beroep haar verlagen?

De materiële vaststellingen van inbreuk op artikel 5 lid 1 onder a, artikel 6 lid 1, artikel 13 lid 1 onder c en artikel 14 lid 1 onder c AVG zijn via de statutaire beroepsroute van section 142 niet vatbaar voor beroep — de High Court heeft dit bevestigd in zijn voorlopige oordeel van 20 april 2026. De bredere procedure omvat nog constitutionele en judicial-review-argumenten; de meer voorzichtige formulering luidt dat de vaststellingen van kracht blijven zolang die procedures lopen. Het hoger beroep richt zich daarom op de hoogte van de boete en op de constitutionele en Handvest-argumenten. Een verlaging is juridisch mogelijk; een volledige vernietiging van de materiële analyse is hoogst onwaarschijnlijk. De opdracht tot compliancevorming op grond van artikel 58 lid 2 onder d blijft in elk geval van kracht.

Wat betekent dit voor B2B-bedrijven die geen reclameplatforms zijn?

Elke organisatie die EU-natuurlijke personen profileert voor marketing, leadprioritering, account scoring of gepersonaliseerde content valt onder dezelfde analyse die de DPC op LinkedIn toepaste. De juridische vragen zijn identiek: welke artikel-6-grondslag onderbouwt de profilering? Is toestemming (indien aangevoerd) vrij en granulair? Houdt gerechtvaardigd belang (indien aangevoerd) stand in de afweging? Vermeldt het privacystatement de rechtsgrondslag per doel? Een B2B-SaaS-bedrijf dat een account-based-marketingplatform exploiteert, moet dit besluit als direct precedent behandelen.

Geldt AVG-handhaving na Brexit nog voor Britse organisaties?

Ja — op twee manieren. De UK GDPR (de Britse nationale versie van de verordening) legt materieel identieke verplichtingen op, gehandhaafd door het Information Commissioner's Office. De EU-AVG blijft extraterritoriaal van toepassing op Britse organisaties die betrokkenen in de EU goederen of diensten aanbieden of die het gedrag van betrokkenen in de EU monitoren (artikel 3 lid 2 AVG). Een Britse onderneming met EU-gerichte gedragsgerichte reclame is aan beide regimes tegelijk blootgesteld.

Wat is een realistisch compliancetraject voor een middelgrote organisatie?

Voor een middelgrote organisatie (50–500 medewerkers) met een bestaand AVG-programma is een 90-dagenplan realistisch: 30 dagen om elke verwerkingsactiviteit met profilering of gedragsanalyse in kaart te brengen en de aangevoerde rechtsgrondslag per activiteit te beoordelen; 30 dagen om een granulair CMP in te voeren en de getroffen privacystatements zo te herschrijven dat zij voldoen aan artikel 13/14 lid 1 onder c; 30 dagen om een DPIA uit te voeren op de hoogste-risico-verwerking en de toestemmingsauditcyclus op te zetten. Voor een organisatie die vanuit een lage AVG-basis start, verdubbelt het tijdpad. Het Viktoria-Compliance-assessment levert een geprioriteerde versie van dit plan, toegesneden op de gesignaleerde hiaten.

Conclusie: handhaving is geen hypothese meer

Het LinkedIn-besluit sluit een zesjarige boog af, geopend door een klacht van een kleine Franse organisatie voor digitale rechten en afgesloten met een van de hoogste reclameboetes die de Ierse DPC heeft uitgevaardigd. De door de DPC toegepaste juridische analyse is inmiddels stevig verankerd in de rechtspraak van het HvJ en de toezichtspraktijk. De technische en organisatorische controles die de inbreuk hadden voorkomen, zijn goed gedocumenteerd, breed beschikbaar en bescheiden in kosten gemeten aan de sanctie. De toezichthouders die voorheen als toegeeflijk te boek stonden, hebben met dit en andere recente besluiten getoond dat het toegeeflijke tijdperk voorbij is. De vraag voor elke verwerkingsverantwoordelijke die gedragsprofilering, gepersonaliseerde marketing, lead scoring of welke andere systematische verwerking van EU-gegevens dan ook uitvoert, is niet meer of de toezichthouder ooit kijkt. De vraag is of de sanering voltooid is voordat — of nadat — de toezichthouder kijkt.

Bronnen (primaire documenten)

• Ierse Data Protection Commission, persbericht van 24 oktober 2024 — "Irish Data Protection Commission fines LinkedIn Ireland €310 million" — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Ierse Data Protection Commission, besluitenpagina — "Inquiry into LinkedIn Ireland Unlimited Company - October 2024" — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Ierse Data Protection Commission, eindbesluit (PDF), 22 oktober 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Ierse Data Protection Commission, boeteregister met beroepsstatus — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, officiële reactie van 24 oktober 2024 — "Our Response to the Irish Data Protection Commission's Decision" — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, "Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission", 24 oktober 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, "LinkedIn claims data watchdog's €310m fine is 'penal' sanction", 16 december 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, "High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision" — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• Ierse High Court, LinkedIn Ireland Unlimited Company tegen Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Verordening (EU) 2016/679 (AVG) — artikel 5, 6, 13, 14, 35, 58, 60, 83 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• HvJ, zaak C-604/22, IAB Europe tegen Gegevensbeschermingsautoriteit, arrest van 7 maart 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• HvJ, zaak C-252/21, Meta Platforms Inc. e.a. tegen Bundeskartellamt, arrest van 4 juli 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — campagnepagina "Personnal Data" — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — aankondiging van de oorspronkelijke GAFAM-klachten (28 mei 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Europees Comité voor gegevensbescherming, Advies 08/2024 over geldige toestemming in de context van "consent-or-pay"-modellen (aangenomen op 17 april 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en

Verder lezen

Het LinkedIn-besluit is één knooppunt in een nauw verbonden cluster van EU-regulatorische ontwikkelingen. De volgende artikelen behandelen de verwante onderwerpen — begin met het stuk dat het dichtst aansluit bij uw huidige zorg.

• Dark patterns en cookietoestemming in 2026 — de UX-fout van LinkedIn berust op dezelfde architectuur die tot handhaving van cookiebanners leidt. De diepteanalyse van conforme toestemmingsstromen. (/blog/dark-patterns-cookies-2026)
• AVG-artikel 22 ontmoet de AI Act: geautomatiseerde besluiten in 2026 — gedragsgerichte reclame is geautomatiseerde profilering, en vanaf 2 augustus 2026 legt de AI-verordening een tweede compliance-regime daaroverheen. Hier vormt zich de volgende grote handhavingsgolf. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• De AI-inventarisdeadline 2 augustus 2026 — wie targeting, scoring of personalisatie uitvoert, heeft een AI-inventaris nodig vóór de toepassing van de AI-verordening. Zo bouwt u die op. (/blog/ai-inventory-deadline-august-2026)
• Status van NIS2-omzetting in de hele EU in 2026 — handhaving tegen Big Tech haalt de krantenkoppen; NIS2 is de volgende handhavingsgolf die middelgrote en mkb-organisaties in alle 27 lidstaten treft. (/blog/nis2-transposition-status-eu-2026)
• AVG + NIS2 + AI Act: de geïntegreerde compliance-stack — drie geïsoleerde programma's draaien is duurder dan één geïntegreerd programma. De strategische architectuur staat hier. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)