Persoonsgegevens  

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Hof Den Haag 1 april 2025, IT 4931; ECLI:NL:GHDHA:2025:1243 (Verzoekster tegen Klaverblad). Verzoekster had bij Klaverblad een rechtsbijstandsverzekering. Naar aanleiding van vier claims registreerde Klaverblad persoonsgegevens, waaronder schadebedragen, in de databank van Stichting CIS. Verzoekster verzocht verwijdering van de opgenomen bedragen, stellende dat het ging om afkoop- en schikkingsbedragen, en dat opname strijdig was met de AVG, het CIS Privacyreglement en het CIS Gebruikersprotocol.De rechtbank wees het verzoek af. In hoger beroep oordeelt het hof dat het bedrag in claimmelding 1 (€ 3.762,40), dat Klaverblad betaalde ter afkoop van een verzekerde zaak, terecht is geregistreerd als feitelijk uitgekeerd schadebedrag. Het beroep faalt op dat punt. De bedragen in claimmeldingen 2, 3 en 4 (€ 10.000,- en tweemaal € 2.500,-) betroffen echter een schikking in het kader van een vaststellingsovereenkomst ter beëindiging van het conflict tussen partijen zelf, en niet een uitkering uit hoofde van de verzekering. Deze bedragen kwalificeren daarom niet als feitelijk uitgekeerd schadebedrag ex art. 4 CIS Privacyreglement. Nu Klaverblad geen zelfstandig belang bij de opname had, is de registratie onrechtmatig onder art. 6 lid 1 sub f AVG. Het hof gelast verwijdering van die drie bedragen uit de CIS-databank. De gevorderde dwangsom wordt afgewezen vanwege vrijwillige nakoming, evenals de gevraagde schadevergoeding wegens onvoldoende onderbouwing. Klaverblad wordt veroordeeld in de proceskosten in beide instanties.

Rb. Overijssel 16 juli 2025, IT 4930; ECLI:NL:RBOVE:2025:4820 (Eiser tegen Risepoint). [Eiser] had vóór 1 oktober 2021 deelgenomen aan online kansspelen bij Unibet, geëxploiteerd door Risepoint Limited, en verzocht in 2025 om inzage in zijn transactiegegevens. Risepoint weigerde deze gegevens te verstrekken, onder verwijzing naar een beperking in de Maltese wetgeving, ondanks eerdere toezending van andere persoonsgegevens. [Eiser] vorderde in kort geding dat Risepoint verplicht zou worden om binnen 14 dagen zijn volledige transactiegegevens te verstrekken, op straffe van een dwangsom, en vroeg tevens een verbod op vernietiging van deze gegevens. Risepoint voerde aan dat zij op grond van de Maltese Restriction Regulation niet verplicht was de transactiegegevens te verstrekken, mede vanwege haar verdedigingsbelang bij mogelijke juridische claims. De voorzieningenrechter oordeelde dat het inzagerecht uit de AVG rechtstreeks van toepassing is en dat de door Risepoint ingeroepen Maltese beperking niet gerechtvaardigd is, omdat deze niet noodzakelijk en evenredig is in de zin van artikel 23 AVG. Daarbij werd overwogen dat transactiegegevens persoonsgegevens zijn en dat het verdedigingsbelang van Risepoint niet zwaarder weegt dan het recht van [eiser] op inzage. De rechter achtte het spoedeisend belang van [eiser] voldoende onderbouwd, mede gezien de persoonlijke gevolgen van zijn gokverslaving en de veranderde houding van Risepoint ten aanzien van het verstrekken van gegevens. De vordering tot inzage werd toegewezen, met de verplichting voor Risepoint om de transactiegegevens in een gangbaar elektronisch formaat te verstrekken. De gevorderde dwangsom werd eveneens toegewezen, terwijl het verbod op vernietiging van gegevens werd afgewezen wegens gebrek aan belang. Risepoint werd veroordeeld in de proceskosten en het vonnis werd uitvoerbaar bij voorraad verklaard.

Rb. Zeeland-West-Brabant 6 juni 2025, IT 4925; ECLI:NL:RBZWB:2025:4185 (Verzoeker). Deze zaak betreft een verzoeker die in het Fraude Signalering Voorziening (FSV)-systeem van de Belastingdienst was geregistreerd. De Belastingdienst heeft erkend dat het gebruik van het FSV-systeem niet voldeed aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Verzoeker stelde dat hij door deze onterechte registratie schade heeft geleden en diende een schadeverzoek in bij de Belastingdienst. Nadat zijn verzoek was afgewezen, stelde verzoeker beroep in bij de bestuursrechter en vorderde schadevergoeding. De rechtbank moet beoordelen of zij bevoegd was om over het schadeverzoek te oordelen. De rechter overweegt in dit kader dat de verwerking van persoonsgegevens in het FSV-systeem een feitelijke handeling is en geen besluit in de zin van artikel 1:3, eerste lid, Awb. Hierdoor valt het schadeverzoek niet onder het bestuursrecht, maar onder het civiele recht. De bestuursrechter kan daarom geen oordeel geven over de rechtmatigheid van het schadeverzoek. De rechtbank verklaart zich onbevoegd om het verzoek te behandelen. Verzoeker moet zich voor zijn schadeverzoek tot de burgerlijke rechter wenden.

Rb. Gelderland 19 mei 2025, IT 4918; ECLI:NL:RBGEL:2025:5218 (Verzoekster tegen Leger Des Heils). De zaak betreft een verzoek van een moeder om inzage in haar persoonsgegevens die zijn verwerkt door het Leger des Heils in het kader van de ondertoezichtstelling van haar kinderen. Zij vordert onder meer een volledig overzicht van haar persoonsgegevens uit het dossier van haar kind, informatie over verstrekking aan derden, benoeming van een onafhankelijke deskundige en proceskostenveroordeling. De moeder stelt dat niet volledig aan haar inzageverzoek is voldaan, dat documenten zijn achtergehouden en dat er mogelijk een schaduwdossier bestaat. Het Leger des Heils voert aan dat vrijwel volledig aan het verzoek is voldaan, dat sommige gevraagde documenten niet bestaan of reeds zijn verstrekt, en dat geen sprake is van misbruik van het inzagerecht. De rechtbank overweegt dat het inzagerecht uit de AVG ruim is, maar dat de verzoeker moet onderbouwen dat bepaalde documenten bestaan als de verwerkingsverantwoordelijke betwist dat deze er zijn. De rechter oordeelt dat het Leger des Heils grotendeels aan het verzoek heeft voldaan en dat er geen aanwijzingen zijn voor het bestaan van achtergehouden documenten of schaduwdossiers. Wel moet het Leger des Heils nog het voorblad van een specifiek verzoek en het overgedragen dossier van de voorganger verstrekken, voor zover daar persoonsgegevens van verzoekster in staan. De overige verzoeken, waaronder het benoemen van een deskundige en het opleggen van een dwangsom, worden afgewezen. De rechtbank verklaart de moeder deels niet-ontvankelijk en wijst haar grotendeels in het ongelijk. Tot slot wordt de moeder veroordeeld in de proceskosten.

Rb. Rotterdam 13 juni 2025, IT 4916; ECLI:NL:RBROT:2025:6818 (Eiser tegen de korpschef). Eiser heeft op 27 november 2023 een inzageverzoek ingediend bij de politie op grond van de Wet politiegegevens (Wpg). Hij wenste een volledig overzicht van zijn door de korpschef verwerkte persoonsgegevens, inclusief informatie over het doel van de verwerking, eventuele verstrekking aan derden, bewaartermijnen, herkomst van de gegevens, geautomatiseerde besluitvorming en doorgifte aan andere landen of internationale organisaties. De korpschef heeft het verzoek deels toegewezen door een overzicht te verstrekken en eiser de mogelijkheid te bieden om bepaalde stukken op het politiebureau in te zien. Daarnaast is toegelicht aan wie gegevens zijn verstrekt en dat geen sprake is geweest van geautomatiseerde besluitvorming of doorgifte aan derde landen. Een deel van de gegevens is echter geweigerd, omdat inzage volgens de korpschef het opsporings- en strafvorderlijk belang zou kunnen schaden. Eiser vordert volledige inzage, stelt dat ten onrechte informatie is achtergehouden, en betwist dat er nog lopende zaken zijn bij het Openbaar Ministerie onder de genoemde parketnummers. Ook voert hij aan dat mogelijk gegevens zijn gedeeld met de Belastingdienst en FIOD, en dat onvoldoende is gemotiveerd dat geen sprake is van profilering.

Rb. Amsterdam 4 juli 2025, IT ; ECLI:NL:RBAMS:2025:4663 (Eiser tegen Risepoint). Eiser, een consument, had vóór 1 oktober 2021 deelgenomen aan online kansspelen bij Unibet, geëxploiteerd door Risepoint Limited, destijds onderdeel van Kindred Group. Unibet beschikte in die periode niet over een vergunning van de Nederlandse Kansspelautoriteit. Eiser wilde zijn netto-verlies terugvorderen, stellende dat de kansspelovereenkomsten nietig zijn wegens strijd met de Wet op de Kansspelen. Om zijn vordering te onderbouwen, verzocht eiser Risepoint om inzage in zijn transactiegegevens. Risepoint weigerde deze gegevens te verstrekken, onder meer met een beroep op juridische restricties volgens de Maltese wet en de AVG. Eiser vordert in dit kort geding dat Risepoint binnen 14 dagen zijn transactiegegevens zou verstrekken, op straffe van een dwangsom. Daarnaast vordert hij een verbod op vernietiging van de betreffende gegevens en vergoeding van proceskosten. Risepoint voert aan dat het verzoek prematuur was, dat Maltees recht van toepassing is en dat de gevraagde gegevens niet hoefden te worden verstrekt vanwege een beperking in de Maltese Uitvoeringswet.

Rb. Midden-Nederland 13 mei 2025, IT 4911; ECLI:NL:RBMNE:2025:3024 (eiseres tegen de Staatssecretaris van Justitie en Veiligheid). Eiseres heeft verzocht om meerdere onderdelen van een rapport van de Raad voor de Kinderbescherming aan te passen. De staatssecretaris heeft dit verzoek opgevat als een verzoek om rectificatie van gegevens als bedoeld in artikel 16 lid 1 AVG, en heeft het verzoek afgewezen omdat de door eiseres aangevoerde punten niet zijn te scharen onder persoonsgegevens zoals bedoeld in de AVG.

Vzr. Rb. Rotterdam 30 juni 2025, IT 4906; ECLI:NL:RBROT:2025:7729 (eiser tegen Google). Eiser runt een juridisch advieskantoor. Het kantoor staat vermeld op Google Maps, waar ingelogde gebruikers recensies kunnen achterlaten. Recensies (en andere Google-bijdragen) mogen van het Maps-contentbeleid geen verboden en beperkte content bevatten. Hieronder verstaat Google onder andere recensies op basis van “valse betrokkenheid” en recensies met “aanstootgevende content”. Eiser stelt dat er twee recensies zijn achtergelaten die onrechtmatig zijn en schadelijk voor de reputatie. Google heeft beide recensies op verzoek van eiser verwijderd. De eerste recensie is twee keer opnieuw geplaatst en beide keren opnieuw verwijderd. Eiser vordert in kort geding dat Google verplicht wordt om de persoonsgegevens te verstrekken van de twee gebruikers die de negatieve recensies hebben geplaatst, zodat eiser hen kan aanspreken voor schadevergoeding. Bovendien moeten de recensies verwijderd blijven, op straffe van een dwangsom. Google beargumenteert dat het belang van de gebruikers om anoniem te blijven in dit geval zwaarder weegt.