Rb. Amsterdam 18 maart 2026, IT 5191; ECLI:NL:RBAMS:2026:2896 (Responders tegen [gedaagden]). [gedaagde] moet ruim €92.000 betalen aan Responders voor werkzaamheden na een ransomware-aanval. Volgens de rechtbank is geen sprake van ontbinding of tekortkoming en zijn de gefactureerde uren voldoende onderbouwd. Na een aanval door de Lockbit-groep schakelde [gedaagde] Responders in voor onder meer onderhandelingen met de hackers, begeleiding van een eventuele betaling en het veiligstellen van data. Partijen sloten een overeenkomst op basis van een uurtarief. Uiteindelijk werd het losgeld niet via Responders, maar via een derde partij betaald. [gedaagde] stelde dat de overeenkomst enkel zag op het betalen van $200.000 aan losgeld en dat deze was ontbonden toen Responders die betaling niet zelf uitvoerde. Daarnaast betwistte zij de omvang van de gefactureerde uren.

Hof van Justitie EU 20 november 2025, IT 5194; IEFbe 4185; ECLI:EU:C:2025:905 (JH tegen Policejní prezidium). Deze zaak draait om de vraag in hoeverre de politie biometrische en genetische gegevens, zoals foto’s, vingerafdrukken en DNA-profielen, mag verzamelen en bewaren van personen die worden verdacht of beschuldigd van een opzettelijk gepleegd strafbaar feit. Centraal staat richtlijn 2016/680, de politierichtlijn voor gegevensbescherming, die regels geeft voor de verwerking van persoonsgegevens door bevoegde autoriteiten in het kader van strafrechtelijke handhaving. In de onderliggende zaak was tegen JH een strafprocedure gestart. In dat kader heeft de Tsjechische politie, ondanks zijn verzet, identificatiehandelingen verricht: er zijn vingerafdrukken afgenomen, een wanguitstrijkje gemaakt voor DNA-analyse, foto’s genomen en uiterlijke kenmerken vastgelegd. Deze gegevens zijn vervolgens opgeslagen in politiedatabanken. JH verzette zich daartegen en stelde dat dit een onrechtmatige inmenging vormde in zijn recht op privéleven. Een lagere rechter gaf hem gelijk en oordeelde dat de maatregelen niet voldeden aan het evenredigheidsvereiste, mede omdat het ging om een relatief licht strafbaar feit, zonder sterke aanwijzingen voor recidive. De hoogste bestuursrechter in Tsjechië legde daarop prejudiciële vragen voor aan het Hof van Justitie. Die vragen gingen in essentie over drie punten: welke mate van differentiatie vereist is tussen categorieën betrokkenen bij het verzamelen van biometrische en genetische gegevens, of zulke gegevens zonder maximale bewaartermijn mogen worden opgeslagen, en wat precies moet worden verstaan onder “lidstatelijk recht” als grondslag voor zulke verwerkingen.

Rb. Amsterdam 11 maart 2026, IT 5190; ECLI:NL:RBAMS:2026:2543 (Stichting CUIC tegen de Avast-gedaagden). In deze tussenuitspraak staat de vraag centraal of de Nederlandse rechter bevoegd is in een collectieve actie (WAMCA) tegen verschillende Avast-entiteiten wegens vermeende privacyschendingen. Stichting CUIC treedt op namens Nederlandse gebruikers van Avast-software (tussen 2014 en 2020) en stelt dat Avast zonder toestemming persoonsgegevens heeft verzameld en via dochterbedrijf Jumpshot commercieel heeft geëxploiteerd. Volgens CUIC levert dit schendingen op van onder meer de AVG, de Wbp en de Telecommunicatiewet, alsmede onrechtmatig handelen en oneerlijke handelspraktijken.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 17 december 2025, IT 5185; IEFbe 4177; C-846/25 (Ligue des droits humains ASBL tegen Eerste Minister) via MinBuza. Ligue des droits humains (hierna: verzoeker) heeft in 2024 een beroep ingesteld bij het Grondwettelijke Hof tot vernietiging van een wet betreffende de oprichting en organisatie van de opdrachten van ETIAS Nationale Eenheid (hierna: E.N.E). De wet regelt onder meer de verwerking van persoonsgegevens in het kader van reisautorisaties binnen de EU, risicobeoordelingen, het gebruik van het ETIAS-informatiesysteem, en de procedures rond het intrekken en annuleren van reisautorisaties. Verzoeker stelt dat de combinatie van het beheren van veiligheidsrisico's en het beheer van de grenzen leidt tot een strafbaarstelling van migratie, wat een onevenredige inbreuk op de grondrechten (zoals het recht op privacy en gegevensbescherming) inhoudt. Volgens verzoeker zou artikel 3, lid 1, punt 6, van de ETIAS-verordening een te ruime en onvoldoende nauwkeurige definitie van "veiligheidsrisico" geven. De Ministerraad verdedigt de wet en stelt dat het kritiek gericht is tegen de bewoording van de ETIAS-verordening zelf, waarover het Grondwettelijk Hof niet bevoegd is te oordelen, en dat de wet voldoende waarborgen en regelingen bevat die in overeenstemming zijn met de Grondwet en internationale normen. In het kader van dit beroep rijst voor het Grondwettelijk Hof de vraag of de nationale wet, die uitvoering geeft aan de ETIAS-verordening, voldoende nauwkeurig is omschreven en verenigbaar is met het Unierecht.

Veel van ons leven en werk speelt zich inmiddels af in de digitale wereld. Tegelijkertijd nemen cyberdreigingen toe, denk aan grote datalekken. Daarmee groeit het belang van goede digitale beveiliging voor bedrijven en publieke instellingen. Om het niveau van cyberbeveiliging binnen de Europese Unie te versterken is de NIS2-richtlijn opgesteld, de opvolger van de eerdere NIS1-richtlijn.

In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert strengere verplichtingen voor organisaties in sectoren met een belangrijk maatschappelijk of economisch gewicht. De wet bevat onder meer regels over risicobeheer, meldplichten bij incidenten, bestuurlijke verantwoordelijkheid en toezicht. Daarnaast speelt de samenwerking met zogeheten Computer Security Incident Response Teams (CSIRT’s) een belangrijke rol bij het detecteren en afhandelen van cyberincidenten.

Tegelijkertijd wordt ook de Critical Entities Resilience Directive (CER-richtlijn) in Nederland geïmplementeerd, via de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten zullen naar verwachting gelijktijdig in werking treden en markeren een belangrijke stap in het versterken van de digitale weerbaarheid van vitale sectoren.

Rb. Rotterdam 26 februari 2026, IEF 23452; ECLI:NL:RBROT:2026:2593 ([eisers] tegen [gedaagde]). In dit kort geding staat een conflict centraal over het Instagram-account van een in 2021 door [eiser sub 1] en [gedaagde] opgezette tandartspraktijk. Eind december 2025 verschenen op dat openbare account foto’s en video’s van [eiser sub 2] en van de twee minderjarige dochters van [eiser sub 1] en [eiser sub 2], voorzien van ernstig diffamerende en seksueel getinte teksten; ook werden de gebruikersnaam en accountomschrijving gewijzigd. De voorzieningenrechter verklaart de minderjarige dochters niet-ontvankelijk, omdat zij als minderjarigen procesonbekwaam zijn en voor procederen namens hen een machtiging van de kantonrechter vereist was op grond van art. 1:253k BW jo. art. 1:349 lid 1 BW, welke ontbrak. Ten aanzien van [eiser sub 1] en [eiser sub 2] oordeelt de voorzieningenrechter dat voldoende aannemelijk is dat [gedaagde] feitelijke toegang heeft tot het Instagram-account. Dat oordeel baseert de rechter op de onweersproken inhoud van ontmoetingen en een telefoongesprek tussen [gedaagde] en de broer van [eiser sub 2], waaruit volgens de voorzieningenrechter volgt dat [gedaagde] de betreffende foto’s en video’s van het account heeft verwijderd en de accountnaam en accountomschrijving heeft gewijzigd. De primair gevorderde overdracht van het account aan [eiser sub 1] wordt afgewezen, omdat [eiser sub 1] en [gedaagde] het account gezamenlijk hebben aangemaakt en op dat moment nog gezamenlijk eigenaar zijn van de tandartspraktijk, zodat volledige uitsluiting van [gedaagde] van het account te ver gaat. Wel wordt de subsidiaire vordering toegewezen: [gedaagde] moet binnen 48 uur alle inloggegevens en toegangscodes van het Instagram-account aan [eiser sub 1] verstrekken, op straffe van een dwangsom van € 5.000 ineens en € 500 per dag, met een maximum van € 25.000.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 20 november 2026, IEF 23445; IT 5184; IEFbe 4176; C-741/25 (MR tegen TM) via MinBuza. In Polen is in november 2024 een regeling in werking getreden die telecommunicatieondernemingen verplicht om de gegevens van de gebruikers van hun netwerken te bewaren en op te slaan. De nationale regelgeving legt geen beperkingen op ten aanzien van de personen op wie deze maatregelen betrekking hebben. Op grond van het Unierecht mag alleen in bijzondere gevallen worden vastgesteld waarom de bescherming van persoonsgegevens speciaal moet worden beperkt. De verwijzende rechter vraagt zich daarom af of de nationale regeling in strijd is met richtlijn 2002/68 en met diverse bepalingen van het Handvest.

Prejudiciële vragen gesteld aan Hof van Justitie EU 6 oktober 2025, IT 5187; IEFbe 4178; C-654/25 (US en DR tegen KY) via MinBuza. Verzoeker exploiteert een website waarin hij Google Fonts heeft geïntegreerd. Hierdoor worden bij het bezoeken van de betreffende websites de lettertypen van Google Fonts via een Google-server gedownload en het betreffende IP-adres van de bezoeker naar Google in de VS verzonden. Een bezoeker van de site, die middels een webcrawler bewust de doorgiften uitlokte, vordert schadevergoeding wegens een vermeende inbreuk op zijn AVG-rechten. Verzoeker betaalde onder druk, maar vorderde terugbetaling. Verzoeker kreeg in hoger beroep gelijk omdat een dynamische IP-adres geen persoonsgegeven is, waardoor er geen schadevergoedingsrecht zou zijn ontstaan en de bezoeker daarmee rechtsmisbruik pleegde. De verwijzende rechter vraagt het Hof wanneer een dynamisch IP-adres volgens het Unierecht als persoonsgegeven geldt, of schadevergoeding mogelijk is wanneer de betrokkene de inbreuk bewust heeft uitgelokt, en in hoeverre een dergelijk geval tot rechtsmisbruik kan leiden. 

Prejudiciële vragen gesteld aan Hof van Justitie EU 9 december 2025, IT 5184; IEFbe 4175; C-798/25 (MV-expo, s.r.o. tegen IMMIX spol. s r. o.) via MinBuza. Verzoeker transporteert goederen, en heeft bij de rechtbank betaling van openstaande facturen gevorderd van verwerende partij. Verwerende partij heeft in 2019 via e-mail het volledig verschuldigde bedrag erkend. Bij de rechtbank stelt zij nu dat de e-mail niet voldeed aan het vereiste in schriftelijke vorm, waardoor haar erkenning van de schuld nietig is. Hierdoor zijn de verjaringstermijnen niet gestuit en zijn de vorderingen verjaard, aldus verweerster. De Tsjechische rechter twijfelt of de vermelding van de naam van een persoon onderaan een e-mail voldoet aan de vereisten ten aanzien van elektronische handtekeningen, zoals vastgesteld in artikel 3, punt 10, van verordening 910/2014. 

Rb. Amsterdam 5 maart 2026, IT 5188; ECLI:NL:RBAMS:2026:2165 ([verzoeker] tegen ING). In deze procedure op grond van artikel 35 van de UAVG heeft [verzoeker] zijn verzoek kort vóór de geplande mondelinge behandeling ingetrokken. Partijen waren het erover eens dat de zitting geen doorgang hoefde te vinden, maar discussie ontstond over de proceskosten. ING verzocht de rechtbank om alsnog bij beschikking te beslissen over de proceskosten, nu deze ondanks de intrekking niet waren voldaan.