Persoonsgegevens  

Hof Amsterdam 16 april 2026, IT 5228; ECLI:NL:GHAMS:2026:1003 (Openbaar Ministerie tegen [verdachte]). Het hof vernietigt het vonnis van de Rechtbank Noord-Holland, omdat het hof tot een deels andere bewijsconstructie, een op detail afwijkende bewezenverklaring en een andere strafoplegging komt, en verklaart vervolgens feit 1 primair en feit 2 bewezen. Het hof acht bewezen dat de verdachte, destijds tweedelijns helpdeskmedewerker bij [bedrijf], op 27 maart 2021 opzettelijk en wederrechtelijk is binnengedrongen in een server van [bedrijf] waarop medische gegevens van patiënten van [stichting] stonden, door onbevoegd gebruik te maken van een toegangscertificaat en wachtwoord waarover hij uit hoofde van zijn functie wel kon beschikken, maar die hij voor dit doel niet mocht gebruiken. Vervolgens heeft hij die gegevens overgenomen door ze te downloaden en op zijn privé-USB-stick op te slaan. Daarnaast acht het hof bewezen dat hij in de periode van 2 april 2021 tot en met 22 april 2021 heeft getracht [stichting] door bedreiging met openbaarmaking van die gegevens te dwingen tot afgifte van bitcoins. Het hof verwerpt zowel het verweer dat een derde de apparatuur van verdachte op afstand zou hebben gehackt als het juridische verweer dat geen sprake was van binnendringen met een “valse sleutel”. Uit de combinatie van het afwijkende IP-adres, de Postman-activiteit, de koppeling tussen desktop, Acer-laptop, Lumia-telefoon, Samsung-telefoon en hotspot, het aantreffen van de datasets, het certificaat en wachtwoord, en de op meerdere gegevensdragers gevonden concepten van de dreigberichten leidt het hof af dat de verdachte zelf de dader was. Het onbevoegd gebruiken van certificaat en wachtwoord levert volgens het hof, conform vaste rechtspraak, binnendringen met een vals gebruikte sleutel op. Het bewezenverklaarde kwalificeert het hof als computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, en als poging tot afdreiging.

Hof Den Haag 7 april 2026, IT 5225; ECLI:NL:GHDHA:2026:561 ([eiser]) tegen de Staat). Het hof Den Haag heeft in een arrest van 7 april 2026 geoordeeld dat het OM onrechtmatig heeft gehandeld door strafrechtelijke gegevens van een verdachte te delen met Veilig Thuis en door haar te laat te informeren over de intrekking van het hoger beroep.De zaak betreft een vrouw die herhaaldelijk meldingen deed bij Veilig Thuis over haar ex-partner. In het kader van een strafrechtelijk onderzoek deelde de officier van justitie met Veilig Thuis dat zij werd verdacht van onder meer belaging en smaad. Ook werd privacygevoelige informatie verstrekt, waaronder gegevens over de wijze van conceptie van haar kind. Hoewel het hof erkent dat er in redelijkheid een verdenking kon bestaan, oordeelt het dat de wijze waarop deze informatie is gedeeld niet voldoet aan de eisen van proportionaliteit en subsidiariteit zoals neergelegd in artikel 39f Wet justitiële en strafvorderlijke gegevens. Het voorzienbare effect van de mededelingen, namelijk dat de vrouw zou afzien van het doen van meldingen, werd als te verstrekkend en onvoldoende gerechtvaardigd aangemerkt. Ook het delen van zeer gevoelige persoonsgegevens werd onrechtmatig geacht wegens het ontbreken van een voldoende rechtvaardiging.

Conclusie A-G Hof van Justitie EU 26 februari 2026, IT 5223; IEFbe 4194; ECLI:EU:C:2026:117 (Meta tegen Europese Commissie). In deze hogere voorziening vecht Meta arresten van het Gerecht aan over besluiten van de Europese Commissie om grote hoeveelheden interne documenten op te vragen voor mededingingsonderzoeken naar Facebook Marketplace en data-gebruik. De Commissie gebruikte hiervoor brede zoektermen, wat volgens Meta leidde tot het verzamelen van talloze irrelevante en privé-documenten. Meta stelt dat het 'noodzakelijkheidsbeginsel' is geschonden en dat de Commissie onvoldoende waarborgen biedt voor persoonsgegevens in zogenoemde 'gemengde documenten' (documenten met zowel zakelijke als persoonlijke informatie). De kern van de juridische discussie is of de Commissie redelijkerwijs mag aannemen dat dergelijke brede zoekopdrachten nodig zijn om inbreuken op het mededingingsrecht op te sporen, zelfs als er veel 'bijvangst' is.

Hof Amsterdam 14 april 2026, IEF23484, ECLI:NL:GHAMS:2026:961(X International Unlimited Company tegen [geïntimeerde]). In deze zaak staat de reikwijdte van het inzagerecht van artikel 15 AVG centraal in de context van interne moderatie- en logsysteemgegevens van X (voorheen Twitter). [geïntimeerde], een gebruiker van het platform X, werd in oktober 2023 geconfronteerd met een tijdelijke beperking van zijn account naar aanleiding van een tweet waarin het woord “kinderporno” voorkwam met een link naar een NOS-artikel. Deze beperking bleek achteraf onterecht en werd door X opgeheven zonder dat de verzoeker daarvan op de hoogte werd gesteld. Als reactie hierop heeft de [geïntimeerde] een inzageverzoek ingediend op grond van artikel 15 AVG. Daarbij vroeg hij onder meer om toegang tot interne registraties van het platform, waaronder het systeem dat binnen X bekend staat als [Y] (ook aangeduid als “Guano Notes”), waarin moderatiehandelingen, labels en andere account gerelateerde acties worden vastgelegd. De Rechtbank Amsterdam wees dit verzoek grotendeels toe en verplichtte X tot volledige inzage, op straffe van een doorlopende dwangsom. In hoger beroep lagen echter nog slechts twee geschilpunten voor: de vraag of ook inzage moest worden verleend in de [Y]/Guano Notes en de vraag of de opgelegde dwangsommen moesten worden gemaximeerd dan wel verhoogd. X kwam in dat kader op tegen het vonnis en beriep zich op de bescherming van bedrijfsgeheimen en de rechten en vrijheden van derden als grond om de inzage te beperken. Het gerechtshof stelt voorop dat gegevens die zijn opgenomen in interne systemen zoals [Y], voor zover zij betrekking hebben op handelingen rond het account van de betrokkene, moeten worden aangemerkt als persoonsgegevens in de zin van de AVG. Dit betekent dat zij in beginsel onder het bereik van het inzagerecht vallen. Daarmee sluit het hof aan bij de lijn van het C-487/21 (FF/CRIF), waarin is benadrukt dat het inzagerecht ertoe strekt de betrokkene in staat te stellen de rechtmatigheid van de verwerking daadwerkelijk te controleren. Tegelijkertijd onderkent het hof dat het inzagerecht niet absoluut is. Op grond van artikel 15 lid 4 AVG, gelezen in samenhang met artikel 23 AVG en artikel 41 UAVG, kan de verstrekking van gegevens worden beperkt ter bescherming van onder meer de rechten en vrijheden van anderen, waaronder bedrijfsgeheimen. In dat verband verwijst het hof mede naar de rechtspraak van het C-203/22 (Dun & Bradstreet Austria), waarin is benadrukt dat een dergelijke beperking steeds het resultaat moet zijn van een concrete en zorgvuldige belangenafweging.

Rb. Amsterdam 1 april 2026, IT5215; ECLI:NL:RBAMS:2026:3245 ([eiser 1] tegen de [verweerders en gedaagden]). In deze zaak heeft [eiser] in een lopende bodemprocedure een incidentele vordering ex artikel 223 Rv ingesteld tegen een dorpsraad/vereniging en haar voorzitter. [eiser] verkreeg in 2020 een bouwkavel binnen het dorpsraad-gebied, waarop in 2022–2025 een woning is gerealiseerd. De dorpsraad volgde de bouw kritisch, correspondeerde daarover met de gemeente en publiceerde berichten op haar website. In de hoofdzaak vordert [eiser] onder meer rectificatie, verwijdering van zijn adres uit online publicaties, het verwijderen van kwalificaties als “illegaal/illegale” en immateriële schadevergoeding in het incident vordert [eiser] primair verwijdering van zijn naam en adres uit online gepubliceerde notulen van een vergadering van 12 januari 2026, en subsidiair verwijdering van alleen zijn naam. Volgens hem is de verwerking van deze persoonsgegevens in strijd met artikel 6 AVG en daarmee onrechtmatig.

Rb. Rotterdam 13 maart 2026, RB 3999; IT 5208; ECLI:NL:RBROT:2026:2641 (Innova tegen [gedaagde]). De kantonrechter van de Rechtbank Rotterdam heeft geoordeeld dat een via internet gesloten energieovereenkomst vernietigbaar is wegens een ondeugdelijke bestelknop, maar dat de energieleverancier wel recht heeft op een gedeeltelijke vergoeding voor de geleverde energie. De zaak draaide om een overeenkomst tussen Innova Energie en [gedaagde], een consument, die betwistte dat hij de overeenkomst had gesloten en stelde dat sprake was van identiteitsfraude. De kantonrechter verwerpt dit verweer. Voor zover sprake is van identiteitsfraude, komt deze onder de gegeven omstandigheden voor rekening van de consument, nu hij onvoldoende zorgvuldig met zijn persoonsgegevens en bankgegevens is omgegaan.

HR 13 maart 2025, IT 5192; ECLI:NL:HR:2026:392 ([de kaarthoudster] tegen ICS). De Hoge Raad oordeelt in een tussenarrest over de verhouding tussen de Wwft en de AVG bij het opslaan van pasfoto’s in het kader van cliëntenonderzoek door financiële instellingen. Daarnaast kondigt de Hoge Raad prejudiciële vragen aan aan het Hof van Justitie EU.De zaak draait om de vraag of International Card Services (hierna: ICS) de creditcardovereenkomst met [de kaarthoudster] mocht opzeggen nadat zij weigerde mee te werken aan online identificatie, waarbij een kopie van haar identiteitsbewijs en een selfie moesten worden aangeleverd en opgeslagen. De Hoge Raad bevestigt het oordeel van het hof dat het opslaan van een pasfoto of selfie op zichzelf geen verwerking van biometrische gegevens vormt in de zin van de AVG [IT 4806]. Daarvan is pas sprake als de foto wordt onderworpen aan specifieke technische verwerking (zoals gezichtsherkenning) met het oog op unieke identificatie. Het enkele opslaan van een foto valt daar niet onder. De Hoge Raad volgt hier ook de conclusie van de A-G [IT 4813]. 

Hof van Justitie EU 20 november 2025, IT 5194; IEFbe 4185; ECLI:EU:C:2025:905 (JH tegen Policejní prezidium). Deze zaak draait om de vraag in hoeverre de politie biometrische en genetische gegevens, zoals foto’s, vingerafdrukken en DNA-profielen, mag verzamelen en bewaren van personen die worden verdacht of beschuldigd van een opzettelijk gepleegd strafbaar feit. Centraal staat richtlijn 2016/680, de politierichtlijn voor gegevensbescherming, die regels geeft voor de verwerking van persoonsgegevens door bevoegde autoriteiten in het kader van strafrechtelijke handhaving. In de onderliggende zaak was tegen JH een strafprocedure gestart. In dat kader heeft de Tsjechische politie, ondanks zijn verzet, identificatiehandelingen verricht: er zijn vingerafdrukken afgenomen, een wanguitstrijkje gemaakt voor DNA-analyse, foto’s genomen en uiterlijke kenmerken vastgelegd. Deze gegevens zijn vervolgens opgeslagen in politiedatabanken. JH verzette zich daartegen en stelde dat dit een onrechtmatige inmenging vormde in zijn recht op privéleven. Een lagere rechter gaf hem gelijk en oordeelde dat de maatregelen niet voldeden aan het evenredigheidsvereiste, mede omdat het ging om een relatief licht strafbaar feit, zonder sterke aanwijzingen voor recidive. De hoogste bestuursrechter in Tsjechië legde daarop prejudiciële vragen voor aan het Hof van Justitie. Die vragen gingen in essentie over drie punten: welke mate van differentiatie vereist is tussen categorieën betrokkenen bij het verzamelen van biometrische en genetische gegevens, of zulke gegevens zonder maximale bewaartermijn mogen worden opgeslagen, en wat precies moet worden verstaan onder “lidstatelijk recht” als grondslag voor zulke verwerkingen.

Prejudiciële vragen gesteld aan Hof van Justitie EU 9 december 2025, IT 5184; IEFbe 4175; C-798/25 (MV-expo, s.r.o. tegen IMMIX spol. s r. o.) via MinBuza. Verzoeker transporteert goederen, en heeft bij de rechtbank betaling van openstaande facturen gevorderd van verwerende partij. Verwerende partij heeft in 2019 via e-mail het volledig verschuldigde bedrag erkend. Bij de rechtbank stelt zij nu dat de e-mail niet voldeed aan het vereiste in schriftelijke vorm, waardoor haar erkenning van de schuld nietig is. Hierdoor zijn de verjaringstermijnen niet gestuit en zijn de vorderingen verjaard, aldus verweerster. De Tsjechische rechter twijfelt of de vermelding van de naam van een persoon onderaan een e-mail voldoet aan de vereisten ten aanzien van elektronische handtekeningen, zoals vastgesteld in artikel 3, punt 10, van verordening 910/2014. 

Hof Arnhem-Leeuwarden 2 december 2025, IT 5186; ECLI:NL:GHARL:2025:7685 ([appellante] tegen ASR). Het gerechtshof Arnhem-Leeuwarden oordeelt dat een verzekeraar (ASR) persoonsgegevens mag opnemen in interne en externe frauderegisters bij opzettelijke misleiding door een verzekeringnemer, maar dat de duur van die registratie afzonderlijk moet worden getoetst aan het proportionaliteitsbeginsel van de AVG. De zaak betreft een arbeidsongeschiktheidsverzekering (AOV) die was aangevraagd in het kader van een financieringstraject. Bij de aanvraag had [appellante] in de gezondheidsverklaring relevante medische informatie niet gemeld, waaronder een recent verkeersongeval en langdurige klachten. Nadat de verzekeraar via externe bronnen kennis kreeg van deze informatie, werd een onderzoek ingesteld. Dit leidde tot registratie van [appellante] in het Interne Verwijzingsregister (IVR) en het Externe Verwijzingsregister (EVR) voor de maximale duur van acht jaar. Centraal stond de vraag of deze registratie in strijd was met de Algemene verordening gegevensbescherming en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).