DOSSIERS
Alle dossiers

Persoonsgegevens  

IT 5362

Openbaar is niet vogelvrij: nieuwe EDPB-richtlijnen over webscraping voor generatieve AI onder de AVG


Voor de ontwikkeling van generatieve AI zijn grote hoeveelheden data nodig. Veel AI-ontwikkelaars verzamelen die data door middel van webscraping: het geautomatiseerd ophalen van informatie van het openbare internet. Gescrapete bronnen bevatten niet alleen teksten en afbeeldingen, maar vaak ook persoonsgegevens. Tegen die achtergrond heeft de European Data Protection Board (EDPB) richtlijnen vastgesteld. Deze geven een volledig beeld van de AVG-verplichtingen die gelden bij het verzamelen en gebruiken van online data voor het trainen en verfijnen van generatieve AI-modellen. Het betreft een ‘eerste versie’. De richtlijnen staan open voor publieke consultatie en kunnen naar aanleiding daarvan nog worden aangepast.

De richtlijnen beperken zich nadrukkelijk tot webscraping (i) door private partijen en (ii) van bronnen buiten de eigen organisatie. Zij zien zowel op situaties waarin een AI-ontwikkelaar zelf data scrapet of laat scrapen, als op situaties waarin een door een andere partij samengestelde dataset wordt hergebruikt. Dus niet op datahandelaren die datasets samenstellen en beschikbaar stellen, zonder zelf een AI-model te ontwikkelen.

IT 5361

Kantonrechter kondigt spoorwissel en verwijzing aan bij AVG-inzageverzoek

Rechtbank Gelderland 3 jul 2026,, IT 5361; ECLI:NL:RBGEL:2026:5268 ([de eiser] tegen Thuiswinkel), https://redactie-delex.cshark.nl/artikelen/kantonrechter-kondigt-spoorwissel-en-verwijzing-aan-bij-avg-inzageverzoek

Rb. Gelderland 3 juni 2026, IT 5361; ECLI:NL:RBGEL:2026:5268 ([de eiser] tegen Thuiswinkel). Een betrokkene vordert van Thuiswinkel.org volledige inzage in zijn persoonsgegevens op grond van artikel 15 AVG, op straffe van een dwangsom, en € 500 aan immateriële schadevergoeding, vermeerderd met rente en kosten. Hij stelt dat Thuiswinkel.org ondanks herhaalde verzoeken geen volledige inzage heeft verstrekt en dat hij daardoor onder meer onzekerheid, verlies van controle over zijn persoonsgegevens, stress en machteloosheid ervaart. Thuiswinkel.org voert aan dat de dagvaarding nietig is omdat niet alle voornamen van de eiser zijn vermeld en betwist onder meer zijn identiteit, de positie van zijn gemachtigde en de integriteit van zijn handelen. Ook stelt zij dat de eiser misbruik maakt van zijn inzagerecht en procesrecht. De kantonrechter passeert het beroep op nietigheid in dit stadium, omdat Thuiswinkel.org in de procedure is verschenen en niet aannemelijk is geworden dat zij door het ontbreken van de tweede voornaam onredelijk is benadeeld als bedoeld in artikel 66 Rv. Het griffierecht is weliswaar te laat betaald, maar uit de administratie blijkt dat de factuur naar een onjuist adres was verzonden. Omdat de te late betaling niet aan de eiser is te wijten, wordt Thuiswinkel.org niet op grond van artikel 127a lid 2 Rv van de instantie ontslagen.

IT 5360

Voorlopig deskundigenonderzoek naar mogelijk datalek en ongeoorloofde inzage in Bitvavo-accounts toegestaan

Rechtbank Amsterdam 21 mei 2026,, IT 5360; ECLI:NL:RBAMS:2026:6951 ([verzoeker 1] en [verzoeker 2] tegen Bitvavo), https://redactie-delex.cshark.nl/artikelen/voorlopig-deskundigenonderzoek-naar-mogelijk-datalek-en-ongeoorloofde-inzage-in-bitvavo-accounts-toegestaan

Rb. Amsterdam 21 mei 2026, IEF 5360; ECLI:NL:RBAMS:2026:6951 ([verzoeker 1] en [verzoeker 2] tegen Bitvavo). Twee klanten van Bitvavo zijn slachtoffer geworden van helpdeskfraude waarbij gezamenlijk ruim € 2,7 miljoen aan cryptovaluta is buitgemaakt. De fraudeurs beschikten volgens hen over specifieke informatie, waaronder het type hardwarewallet, het actuele cryptotegoed, de soorten cryptovaluta en gegevens over de wijze waarop toegang tot de accounts werd verkregen. Omdat in mei 2024 bij Bitvavo een datalek had plaatsgevonden, vermoeden de slachtoffers dat de gebruikte informatie van Bitvavo afkomstig was en overwegen zij het cryptoplatform aansprakelijk te stellen. Zij verzoeken om een voorlopig getuigenverhoor van de voormalige en huidige head of legal van Bitvavo over onder meer het beleid rond datalekken, toegang tot klantgegevens en logging. Daarnaast verzoeken zij om een voorlopig deskundigenbericht naar de ICT-systemen van Bitvavo, het datalek en de vraag of hun persoonsgegevens daarbij betrokken waren. De rechtbank wijst het voorlopig getuigenverhoor af en wijst ook het deskundigenonderzoek af voor zover dit ziet op een algemeen onderzoek naar de ICT-systemen, het datalek in brede zin en eventuele andere datalekken. Deze verzoeken zijn zeer algemeen geformuleerd, onvoldoende op de verzoekers toegespitst en hun concrete belang daarbij is onvoldoende toegelicht. Zij hebben daarom het karakter van een zoektocht naar mogelijke verwijten, oftewel een ongeoorloofde fishing expedition, en leveren in zoverre misbruik van recht op.

IT 5354

Rb. Noord-Holland voegt samenhangende AVG-zaken en wijst inzageverzoek bij gebrek aan belang af

Rechtbank Noord-Holland 3 jul 2026,, IT 5354; ECLI:NL:RBNHO:2026:8057 ([verzoeker] tegen ICS), https://redactie-delex.cshark.nl/artikelen/rb-noord-holland-voegt-samenhangende-avg-zaken-en-wijst-inzageverzoek-bij-gebrek-aan-belang-af

Rb. Noord-Holland 3 juli 2026, IT 5354; ECLI:NL:RBNHO:2026:8057 ([verzoeker] tegen ICS). In een tussenbeschikking beoordeelt de Rechtbank Noord-Holland twee incidentele verzoeken in een procedure tussen een verzoeker en International Card Services B.V. (ICS). ICS verzocht de zaak op grond van artikel 285 lid 2 Rv te voegen met een andere, eveneens tussen dezelfde partijen aanhangige procedure. De verzoeker verzette zich daartegen en stelde dat de procedures verschillende rechtsvragen betroffen: enerzijds de naleving van onder meer de artikelen 12 en 15 AVG en anderzijds de rechtmatigheid van een CAAML-registratie. De rechtbank oordeelt dat voor voeging voldoende is dat tussen de onderwerpen een zodanige samenhang bestaat dat gezamenlijke behandeling uit doelmatigheidsoverwegingen gerechtvaardigd is. Beide procedures spelen tussen dezelfde partijen, lopen in de tijd gelijk en zijn volgens de inleidende processtukken gebaseerd op de gestelde onrechtmatige verwerking van persoonsgegevens door ICS. De rechtbank wijst het verzoek tot voeging daarom toe.

IT 5353

Rechtbank Amsterdam beveelt verstrekking van klant- en transactiegegevens in verband met gestelde cryptofraude

Rechtbank Amsterdam 18 jun 2026,, IT 5353; ECLI:NL:RBAMS:2026:6092 ([eiser] tegen Kyrrex Ltd en Rex Ltd), https://redactie-delex.cshark.nl/artikelen/rechtbank-amsterdam-beveelt-verstrekking-van-klant-en-transactiegegevens-in-verband-met-gestelde-cryptofraude

Rb. Amsterdam 18 juni 2026, IT 5353; ECLI:NL:RBAMS:2026:6092 ([eiser] tegen Kyrrex Ltd en Rex Ltd). Een belegger stelde dat hij tussen juni en augustus 2025 slachtoffer was geworden van online beleggingsfraude via het platform Horizons28. Personen die zich voordeden als medewerkers van dat platform zouden hem ertoe hebben bewogen meer dan € 650.000 over te maken voor de aankoop van cryptovaluta, die vervolgens naar door hen opgegeven blockchainadressen werden verzonden. Toen de belegger zijn vermeende belegging wilde opnemen, bleek dit niet mogelijk en deed hij aangifte van fraude. Volgens door hem verricht blockchainonderzoek was een aanzienlijk deel van de cryptovaluta via een zogenoemde nested-serviceconstructie terechtgekomen op depositadressen die konden worden herleid tot het Kyrrex-platform, dat volgens hem door Kyrrex Ltd en Rex Ltd werd geëxploiteerd. De belegger verzocht daarom op grond van artikel 196 Rv om verstrekking van de bij deze ondernemingen bekende identificerende gegevens van de aan de depositadressen en transactiecodes gekoppelde accounthouder(s), waaronder naam, geboortedatum, adres, identiteitsbewijs, foto of gezichtsscan, IP-adres, telefoonnummer en e-mailadres. Daarnaast verzocht hij om de mutatieoverzichten vanaf 26 juni 2025, zodat hij zijn rechtspositie kon bepalen en kon beoordelen of hij een vordering uit onrechtmatige daad kon instellen tegen de ontvangers van de cryptovaluta of tegen Kyrrex Ltd en Rex Ltd zelf.

IT 5352

Rb. Den Haag: Kindred en Risepoint moeten spelers inzage geven in Unibet-transactiegegevens

Rechtbank Den Haag 13 jul 2026,, IT 5352; ECLI:NL:RBDHA:2026:15919 (eisers tegen KINDRED GROUP PLC en RISEPOINT LIMITED), https://redactie-delex.cshark.nl/artikelen/rb-den-haag-kindred-en-risepoint-moeten-spelers-inzage-geven-in-unibet-transactiegegevens

Rb. Den Haag 27 mei 2026, IT 5352; ECLI:NL:RBDHA:2026:15919 (eisers tegen KINDRED GROUP PLC en RISEPOINT LIMITED). Elf spelers vorderden op grond van artikel 15 AVG inzage in de persoonsgegevens die waren verwerkt bij hun deelname aan online kansspelen via Unibet vóór 1 oktober 2021. De Nederlandse rechter is op grond van artikel 79 lid 2 AVG bevoegd. Niet in geschil was dat de gevraagde transactiegegevens persoonsgegevens zijn en dat Risepoint, voorheen Trannel, verwerkingsverantwoordelijke is. De rechtbank oordeelt dat ook Kindred als verwerkingsverantwoordelijke gold voor de inzageverzoeken die tussen mei en eind oktober 2024 waren ingediend. Kindred oefende toen via het centrale privacybeleid, het OneTrust-platform en het Kindred Privacy Team mede beslissende invloed uit op het doel en de wezenlijke middelen van de verwerking. De hoedanigheid van verwerkingsverantwoordelijke moet worden beoordeeld naar de feitelijke situatie op het moment waarop het inzageverzoek wordt gedaan. Na het vertrek van Risepoint uit de Kindred-groep eind oktober 2024 bepaalde Risepoint zelfstandig het doel en de middelen van de verwerking. Daarom hoefde Kindred niet te voldoen aan de pas daarna ingediende verzoeken van eisers 5 en 9, terwijl Risepoint tegenover alle eisers verantwoordelijk bleef.

IT 5351

Rb. Noord-Nederland wijst inzageverzoek Chipsoft gedeeltelijk toe en beveelt voorlopig getuigenverhoor over gezamenlijk EPD

Rechtbank Noord-Nederland 22 jun 2026,, IT 5351; ECLI:NL:RBNNE:2026:2437 (Chipsoft tegen UMCG), https://redactie-delex.cshark.nl/artikelen/rb-noord-nederland-wijst-inzageverzoek-chipsoft-gedeeltelijk-toe-en-beveelt-voorlopig-getuigenverhoor-over-gezamenlijk-epd

Rb. Noord-Nederland 22 juni 2026, IT 5351; ECLI:NL:RBNNE:2026:2437 (Chipsoft tegen UMCG). Chipsoft verzocht om voorlopige bewijsverrichtingen ter onderbouwing van haar stelling dat de voorgenomen aansluiting van Treant en het Ommelander Ziekenhuis Groningen (OZG) op het Epic-EPD van het UMCG in strijd is met aanbestedingsrechtelijke en mogelijk staatssteunrechtelijke regels. Chipsoft is ontvankelijk, hoewel inmiddels een bodemprocedure liep, omdat zij het verzoek had ingediend voordat die zaak op de rol was ingeschreven. Voor inzage op grond van de artikelen 194 en 196 Rv hoeft de gestelde rechtsbetrekking nog niet vast te staan, maar moeten wel concrete aanknopingspunten voor het mogelijke bestaan daarvan worden gegeven. Die aanknopingspunten zijn er volgens de rechtbank ten aanzien van het UMCG, omdat de overeenkomsten ten tijde van de behandeling nog niet waren aangepast aan de voorwaarden waaronder volgens het gerechtshof geen sprake zou zijn van een wezenlijke wijziging van de in 2015 aanbestede opdracht. Daarmee is niet vastgesteld dat het UMCG onrechtmatig heeft gehandeld, maar heeft Chipsoft voldoende belang bij beperkte inzage. Voor een rechtsbetrekking met OZG en Treant heeft Chipsoft onvoldoende aanknopingspunten aangevoerd: de rechtbank sluit voor OZG aan bij het voorlopige oordeel dat zij geen aanbestedende dienst is en de gestelde betrokkenheid van Treant bij omzeiling van aanbestedings- of staatssteunregels is onvoldoende concreet onderbouwd.

IT 5350

Rb. Rotterdam beveelt KPN gedeeltelijk identificerende gegevens achter anonieme reviews te verstrekken

Rechtbank Rotterdam 24 jun 2026,, IT 5350; ECLI:NL:RBROT:2026:7699 (HBL tegen KPN), https://redactie-delex.cshark.nl/artikelen/rb-rotterdam-beveelt-kpn-gedeeltelijk-identificerende-gegevens-achter-anonieme-reviews-te-verstrekken

Rb. Rotterdam 24 juni 2026, IT 5359; ECLI:NL:RBROT:2026:7699 (HBL tegen KPN). Helder bij Letselschade B.V. (HBL) verzocht bij wijze van voorlopige bewijsverrichting om inzage in gegevens van de KPN-klant aan wie op 21 april 2022 een bepaald IP-adres was toegewezen. HBL stelde dat sinds 2025 via verschillende nepaccounts ongeveer honderd lasterlijke en smadelijke reviews over haar waren geplaatst en dat zij de gebruiker van het IP-adres moest kunnen identificeren om deze in rechte aan te spreken. KPN verzette zich niet tegen verstrekking op grond van een rechterlijk bevel, maar vroeg het bevel te beperken tot de noodzakelijke identificerende gegevens. De rechtbank toetst het verzoek aan de artikelen 197, 196 en 194 Rv. De door HBL gestelde onrechtmatige daad kan als rechtsbetrekking in de zin van artikel 194 Rv gelden. Voor toewijzing is niet vereist dat de onrechtmatigheid al in rechte vaststaat of dat HBL haar vordering in deze fase al voldoende aannemelijk maakt.

IT 5349

Rb. Rotterdam: AP onderzocht AVG-klacht over contactloos betalen door ING in passende mate

Rechtbank Rotterdam 24 jun 2026,, IT 5349; ECLI:NL:RBROT:2026:7263 (eisers tegen de AP), https://redactie-delex.cshark.nl/artikelen/rb-rotterdam-ap-onderzocht-avg-klacht-over-contactloos-betalen-door-ing-in-passende-mate

Rb. Rotterdam 24 juni 2026, IT 5349; ECLI:NL:RBROT:2026:7263 (eisers tegen de AP). Twee rekeninghouders van ING dienden bij de Autoriteit Persoonsgegevens een klacht in over de verwerking van hun persoonsgegevens bij contactloos betalen. Volgens hen bleef de NFC-chip in hun betaalpassen ook werken als een pas was geblokkeerd of verlopen, of als contactloos betalen was uitgeschakeld. Dit zou veiligheidsrisico’s opleveren en leiden tot verwerking zonder geldige grondslag. Nadat een eerdere beslissing op bezwaar wegens schending van de hoorplicht was vernietigd, hoorde de AP de rekeninghouders en nam zij een nieuwe beslissing. De AP concludeerde dat zij de klacht in passende mate had onderzocht en dat op basis van het dossier geen overtreding van de AVG door ING kon worden vastgesteld. De rekeninghouders stelden in beroep dat de AP nader technisch onderzoek had moeten doen en zo nodig andere toezichthouders had moeten inschakelen.

IT 5340

Procesmotief blokkeert AVG-inzage niet: Unibet moet goktransacties verstrekken

Rechtbank Den Haag 27 mei 2026,, IT 5340; ECLI:NL:RBDHA:2026:15919 (([eisers] tegen [gedaagden])), https://redactie-delex.cshark.nl/artikelen/procesmotief-blokkeert-avg-inzage-niet-unibet-moet-goktransacties-verstrekken

Rb. Den Haag 27 mei 2026, IT 5340; ECLI:NL:RBDHA:2026:15919 ([eisers] tegen [gedaagden]). In deze zaak oordeelt de rechtbank Den Haag over AVG‑inzageverzoeken van elf voormalige spelers van online kansspelen via Unibet. Eisers namen vóór 1 oktober 2021 deel aan online kansspelen via de websites unibet.com en unibet.eu, in een periode waarin het in Nederland nog niet was toegestaan om zonder vergunning online kansspelen aan te bieden. In deze civiele procedure vorderen zij op grond van de AVG – in het bijzonder het inzagerecht op basis van Artikel 15 AVG – dat Kindred Group en Risepoint (voorheen Trannel International Limited) inzage geven in hun persoonsgegevens. Eisers vragen met name om transactiegegevens (stortingen, inzetten, uitbetalingen) en gegevens over de soorten spellen waaraan zij hebben deelgenomen en verlangen dat deze gegevens elektronisch worden verstrekt in een gangbaar bestandsformaat (zoals XLS(X) of CSV) of via een API, op een wijze die hen in staat stelt zowel de juistheid van de gegevens als de rechtmatigheid van de verwerking te controleren. In de dagvaarding wordt daarnaast een beroep gedaan op gegevensoverdraagbaarheid ex Artikel 20 AVG, maar de vorderingen zijn primair gebaseerd op het inzagerecht. Kindred en Risepoint weigeren de gevraagde gegevens te verstrekken. Zij voeren aan dat eisers het inzagerecht gebruiken om informatie te verzamelen voor mogelijke civiele procedures over terugbetaling van gokverliezen en dat daarmee misbruik van recht wordt gemaakt in de zin van Artikel 12 lid 5 AVG. Daarnaast beroepen zij zich op uitzonderingen op het inzagerecht, waaronder Artikel 15 lid 4 AVG en Artikel 23 AVG, mede onder verwijzing naar de Maltese uitvoeringsregeling.