Persoonsgegevens  

Hof Arnhem-Leeuwarden 2 december 2025, IT 5186; ECLI:NL:GHARL:2025:7685 ([appellante] tegen ASR). Het gerechtshof Arnhem-Leeuwarden oordeelt dat een verzekeraar (ASR) persoonsgegevens mag opnemen in interne en externe frauderegisters bij opzettelijke misleiding door een verzekeringnemer, maar dat de duur van die registratie afzonderlijk moet worden getoetst aan het proportionaliteitsbeginsel van de AVG. De zaak betreft een arbeidsongeschiktheidsverzekering (AOV) die was aangevraagd in het kader van een financieringstraject. Bij de aanvraag had [appellante] in de gezondheidsverklaring relevante medische informatie niet gemeld, waaronder een recent verkeersongeval en langdurige klachten. Nadat de verzekeraar via externe bronnen kennis kreeg van deze informatie, werd een onderzoek ingesteld. Dit leidde tot registratie van [appellante] in het Interne Verwijzingsregister (IVR) en het Externe Verwijzingsregister (EVR) voor de maximale duur van acht jaar. Centraal stond de vraag of deze registratie in strijd was met de Algemene verordening gegevensbescherming en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).

Rb. Midden-Nederland 11 maart 2026, IT 5178; ECLI:NL:RBMNE:2026:1115 ([verzoeker] tegen Mijndomein). In deze beschikking staat een geschil centraal tussen een particuliere gebruiker en webhostingprovider Mijndomein over een tweede account dat niet op naam van verzoeker zelf, maar op naam en met de NAW-gegevens van een derde, [B], was geregistreerd. Aan dat tweede account waren domeinnamen gekoppeld, waaronder een domeinnaam die eerder ook aan het eerste account van verzoeker gekoppeld was. Nadat verzoeker Mijndomein had gevraagd om dat tweede account op te heffen, heeft Mijndomein dat geweigerd, omdat volgens haar alleen de geregistreerde accounthouder een dergelijk verzoek kon doen. Nadat [B] had gemeld dat het account zonder haar toestemming met haar persoonsgegevens was aangemaakt en zij Mijndomein een kopie van haar aangifte had toegestuurd, heeft Mijndomein het tweede account met de daaraan gekoppelde domeinen op 26 mei 2025 opgeheven. In de procedure verzocht verzoeker vervolgens onder meer te bepalen dat Mijndomein zijn persoonsgegevens niet zonder rechtsgeldige grondslag mocht verwerken, voor recht te verklaren dat Mijndomein onrechtmatig jegens hem had gehandeld, opheffing en bevestiging van opheffing van het tweede account te bevelen, inzage in persoonsgegevens te geven op grond van de AVG, en Mijndomein te veroordelen tot betaling van € 160 materiële schade en € 2.000 immateriële schade. De rechtbank stelt eerst procesrechtelijk vast dat een deel van deze verzoeken materieel gezien thuishoort in een dagvaardingsprocedure, maar ziet af van verwijzing op de voet van art. 69 Rv, omdat de verzoeken nauw met elkaar samenhangen, het debat tussen partijen voldoende is uitgekristalliseerd en Mijndomein daardoor niet in haar belangen is geschaad.

Rb. Gelderland 18 februari 2026, IEF 23442; IT 5180; ECLI:NL:RBGEL:2026:1252 ([eiser] tegen [gedaagde]). In deze bodemzaak tussen een voormalig onderbewindgestelde en zijn voormalige bewindvoerder vorderde eiser een verklaring voor recht dat de bewindvoerder in verzuim was wegens schending van de artikelen 12, 15 en 5 lid 1 AVG, artikel 843a Rv en artikel 6:82 BW, alsmede betaling van € 1.325 schadevergoeding en € 198,75 aan buitengerechtelijke incassokosten. Aan die vorderingen legde hij ten grondslag dat de bewindvoerder niet had gereageerd op zijn e-mail van 1 oktober 2024, waarin hij vroeg om alle correspondentie waarbij zijn oude e-mailadres was gebruikt en om correspondentie uit 2014 en 2015 over het CBR, het alcoholslotprogramma en termijnbetalingen. De bewindvoerder voerde daartegen aan dat over diezelfde correspondentie en over de daaraan gekoppelde schade al eerder tussen partijen was beslist in een eerdere procedure, die had geleid tot een beschikking van 31 januari 2025, welke inmiddels kracht van gewijsde had gekregen. De kantonrechter stelt voorop dat artikel 236 Rv ook ten aanzien van beschikkingen beslissende betekenis kan hebben en dat moet worden beoordeeld of een nieuw oordeel zich zou verdragen met de eerdere uitspraak. Daarbij komt het aan op de grondslag van de eerdere vordering, het processuele debat en de eerdere beslissing.

Rb. Amsterdam 19 maart 2026, IEF 23439; IEFbe 5175; ECLI:NL:RBAMS:2026:2855 ([eiser] tegen ING Bank). In dit kort geding verzette een voormalig rekeninghouder van ING zich tegen de blokkering en beëindiging van zijn particuliere betaalrekening, de registratie van zijn persoonsgegevens in het interne verwijzingsregister (IVR), het uitblijven van uitbetaling van het resterende saldo van € 1.900 en het ontbreken van inzage in interne stukken. Aanleiding was dat eiser ING had benaderd over een volgens hem bestaande ING-rekening, aangeduid als een aan zijn BSN gekoppelde “derdengeldenrekening”, van waaruit batchbetalingen van miljoenen euro’s zouden moeten worden uitgevoerd. ING stelde zich op het standpunt dat dit rekeningnummer niet bestond, startte een onderzoek wegens (pogingen tot) oplichting en misleiding van ING-klanten, blokkeerde de rekening onder verwijzing naar artikel 41.2 van de Voorwaarden Betaalrekening, beëindigde de bankrelatie onder verwijzing naar artikel 35 Algemene Bankvoorwaarden en handhaafde de IVR-registratie. Eiser vorderde vervolgens betaling van het restsaldo met rente, verwijdering van de IVR-registratie, inzage in alle interne stukken, schadevergoeding, dwangsommen en subsidiair vergoeding van werkelijke proceskosten. De kantonrechter verwerpt eerst het beroep van ING op nietigheid van de dagvaarding als obscuur libel. Hoewel de dagvaarding volgens de rechter geen concludent stuk was en eiser als juridisch professional zijn waarheidsplicht en substantiëringsplicht had geschonden door feiten en verweren van ING niet volledig en juist weer te geven, producties deels onleesbaar of niet aangehecht waren en artikel 21 Rv dus in beeld kwam, was ING niet onredelijk in haar belangen geschaad omdat zij zich inhoudelijk voldoende had kunnen verweren; daarom werd het beroep op nietigheid op grond van artikel 111 lid 2 onder d, artikel 120 en artikel 122 Rv verworpen.

Rb. Gelderland 25 februari 2026, IEF 23432; IT 5173; ECLI:NL:RBGEL:2026:1384 ([eiser] tegen De Staat). In dit kort geding vordert [eiser], exploitant van een supermarkt, dat de Staat wordt bevolen om door de Arbeidsinspectie gemaakte kopieën van camerabeelden definitief te verwijderen. Aanleiding is een controle van de Arbeidsinspectie op 5 december 2025 in de supermarkt van eiseres op grond van de Wet minimumloon en minimumvakantiebijslag, de Wet arbeid vreemdelingen en de Arbeidstijdenwet. Tijdens die controle neemt de Arbeidsinspectie meerdere harde schijven mee waarop onder meer camerabeelden van de supermarkt zijn opgeslagen. Eiseres verzoekt vervolgens om teruggave van de harde schijven en verwijdering van eventuele kopieën. Nadat de Staat kopieën van de camerabeelden heeft gemaakt, worden de harde schijven op 19 december 2025 aan eiseres teruggegeven. Daarna verzoeken ook een aantal medewerkers zowel eiseres als de Staat op grond van de AVG om vernietiging van de camerabeelden. In dit kort geding vordert eiseres daarop dat de Staat de camerabeelden onmiddellijk en definitief verwijdert. Een tijdens de procedure gedaan aanvullend verzoek om ook eventuele “vervolgacties” op basis van die beelden te laten verwijderen, wijst de voorzieningenrechter af, omdat niet duidelijk is wat daarmee wordt bedoeld en omdat dit niet in het petitum is gevorderd.

Prejudiciële vragen gesteld aan HvJEU 17 november 2025, IT 5166; C-730/25 (Vinted tegen Valstybinė duomenų apsaugos inspekcija) via MinBuza. Verzoekster is de vennootschap Vinted, exploitant van een online marktplaats. Na klachten van drie gebruikers over geblokkeerde accounts en geweigerde wissing van persoonsgegevens heeft de nationale toezichthoudende autoriteit voor gegevensbescherming (tevens verweerder), inbreuken van de AVG vastgesteld. De Litouwse rechter vraagt het Hof vervolgens om uitleg van diverse bepalingen van de AVG. 

Rb. Rotterdam 3 maart 2026, IT 5165; ECLI:NL:RBROT:2026:1941 ([eiseres] tegen het college van B&W Rotterdam). De Rechtbank Rotterdam oordeelt over een inzageverzoek op grond van artikel 15 AVG met betrekking tot persoonsgegevens van de zoon van [eiseres]. Het college had het verzoek aanvankelijk afgewezen, maar dit later alsnog toegewezen en tijdens de beroepsprocedure aanvullende informatie verstrekt. De rechtbank stelt vast dat de oorspronkelijke besluiten gebrekkig waren gemotiveerd en onvoldoende zorgvuldig tot stand waren gekomen, omdat pas in beroep een nadere zoekslag is verricht en aanvullende stukken zijn overgelegd. Om die reden worden de besluiten vernietigd wegens strijd met de artikelen 3:2 en 3:46 Awb.

Rb. Amsterdam 19 maart 2026, IT 5162; ECLI:NL:RBAMS:2026:2855 ([eiser] tegen ING Bank). In dit kort geding staat de vraag centraal of ING Bank gerechtigd was de bankrelatie met [eiser] te beëindigen en diens persoonsgegevens te registreren in het interne verwijzingsregister (IVR). [eiser] verzette zich tegen de blokkering van zijn rekening, de beëindiging van de bankrelatie en de IVR-registratie. Aanleiding voor het optreden van de bank was dat [eiser] derden trachtte te overtuigen van het bestaan van niet-bestaande bankrekeningen gekoppeld aan burgerservicenummers en betalingsopdrachten initieerde vanaf dergelijke fictieve rekeningen. ING kwalificeerde dit als (pogingen tot) misleiding en stelde dat het vertrouwen in [eiser] daardoor was geschaad.

Prejudiciële vragen gesteld aan HvJEU 22 oktober 2025, IT 5159; IEFbe 4160; C-676/25 (I. N. R. tegen "Viva Credit” AD) via MinBuza. In september 2023 hebben ‘I.N.R.’ en verwerende partij ‘Viva Credit’ een leningsovereenkomst gesloten. In april 2025, na beëindiging van de overeenkomst, heeft I.N.R. op basis van artikel 15 AVG een verzoek ingediend bij verweerder en verzocht om alle informatie omtrent het gebruik van zijn persoonsgegevens met hem te delen. Viva Credit heeft een uittreksel van de leningsovereenkomst met daarin de verwerkte persoonsgegevens met hem gedeeld. Viva Credit weigert vervolgens het nieuwe verzoek van I.N.R. om een kopie van de volledige overeenkomsten met hem te delen (en niet alleen de uittreksels), waarna I.N.R. in beroep gaat. De Bulgaarse rechter vraagt het Hof naar de reikwijdte van artikel 15 AVG. 

Prejudiciële vragen gesteld aan HvJEU 6 oktober 2025, IT 5158; IEFbe 4158 (US en DR tegen KY) via MinBuza. Verzoeker exploiteert een website waarin hij Google Fonts heeft geïntegreerd. Hierdoor worden bij het bezoeken van de betreffende websites de lettertypen van Google Fonts via een Google-server gedownload en het betreffende IP-adres van de bezoeker naar Google in de VS verzonden. Een bezoeker van de site, die middels een webcrawler bewust de doorgiften uitlokte, vordert schadevergoeding wegens een vermeende inbreuk op zijn AVG-rechten. Verzoeker betaalde onder druk, maar vorderde terugbetaling. Verzoeker kreeg in hoger beroep gelijk omdat een dynamische IP-adres geen persoonsgegeven is, waardoor er geen schadevergoedingsrecht zou zijn ontstaan en de bezoeker daarmee rechtsmisbruik pleegde. De verwijzende rechter vraagt het Hof wanneer een dynamisch IP-adres volgens het Unierecht als persoonsgegeven geldt, of schadevergoeding mogelijk is wanneer de betrokkene de inbreuk bewust heeft uitgelokt, en in hoeverre een dergelijk geval tot rechtsmisbruik kan leiden.