Persoonsgegevens  

Rb. Rotterdam 29 oktober 2025, IT 5031; ECLI:NL:RBROT:2025:13090 (officier van justitie tegen [verdachte]). De Rechtbank Rotterdam veroordeelt verdachte voor grootschalige cyberfraude tegen klanten van vermogensbeheerder Robeco en voor het kopen en voorhanden hebben van zogenoemde “bots” via Genesis Market. In de Robeco-zaak (2019–2021) logden verdachte en mededaders met gestolen inloggegevens in op MijnRobeco-accounts, wijzigden contact- en rekeninggegevens, deden zich telefonisch en per e-mail voor als klanten, lieten beleggingen verkopen en saldo’s overboeken naar rekeningen van fraudeurs, waardoor circa € 230.000 verdween. De rechtbank acht daarmee computervredebreuk, oplichting en diefstal met valse sleutel bewezen. Op telefoons en laptops die aan verdachte worden toegerekend stonden inloggegevens, persoonsgegevens en chats over de fraude; verweren over een vormverzuim bij de doorzoeking en dat vooral de ex-partner verantwoordelijk zou zijn, worden verworpen. Eén tenlastegelegd feit (feit 3, art. 231b Sr) leidt echter tot ontslag van alle rechtsvervolging omdat de tenlastelegging niet alle wettelijke bestanddelen bevat. Daarnaast acht de rechtbank bewezen dat verdachte tussen 2018 en 2022 via drie Genesis-accounts in totaal 377 bots kocht en de daarop aanwezige inloggegevens en cookies van derden verwierf en voorhanden had met het oogmerk daarmee computervredebreuk en verwante cyberdelicten te plegen.

Prejudiciële vragen gesteld aan HvJEU 27 augustus 2025, IT 5021; IEFbe 4044; C-568/25 (Verein für Konsumenteninformation tegen Universal Versand) via Minbuza. Universal Versand is een postorderbedrijf en sluit voornamelijk digitaal koopovereenkomsten met consumenten. Bij de digitale aankopen doet het bedrijf een kredietwaardigheidscontrole wanneer de consument kiest voor een onveilige betaalmethode, zoals koop op rekening. Bij de controle wordt er een ‘rating’ gegeven over de kans op wanbetaling door de consument. Deze rating wordt gebaseerd op een combinatie van gegevens, zoals leeftijd en adresgegevens. Bij een slechte rating wordt de gekozen onveilige betaalmethode geweigerd. De Verein für Konsumenteninformation stelt dat Universal Versand hiermee stelselmatig artikel 22, lid 1 AVG schendt. In dat artikel staat dat een betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden. De Oostenrijkse rechter vraagt het Hof om uitleg van artikel 22 AVG.

Prejudiciële vragen gesteld aan het HvJEU 9 september 2025, IT 5020; IEFbe 4043; C-594/25 (KL tegen Vodafone) via Minbuza. KL heeft met Vodafone, een telecommunicatiebedrijf, in 2021 een contract afgesloten. Daarna bleek dat het bedrijf verschillende persoonsgegevens van KL heeft doorgegeven aan een kredietinformatiebureau, waaronder adresgegevens en informatie over het contract. Het bureau heeft deze gegevens gebruikt voor het opstellen van profielen voor het inschatten van frauderisico’s. KL vordert schadevergoeding op grond van artikel 82 AVG. De Duitse rechter heeft twijfels over de vraag of artikel 6, lid 1, onder f), AVG een voldoende nauwkeurige grondslag kan vormen voor de massale doorzending van de ‘positieve gegevens’ tussen particulieren in het kader van fraudevoorkoming. 

AG HvJ EU 23 oktober 2025, gevoegde zaken C-258/23, C-259/23 en C-260/23, IT 5016; ECLI:EU:C:2025:814; (IMI tegen AdC; Synlabhealth tegen AdC; SIBS e.a. tegen AdC). In deze gevoegde zaken onderzoekt de AG of een nationale mededingingsautoriteit tijdens een bedrijfsinspectie zakelijke e-mails mag doorzoeken en kopiëren zonder voorafgaande rechterlijke machtiging. De Portugese mededingingsautoriteit (AdC) nam tijdens onderzoeken naar mogelijke schendingen van artikel 101 en 102 VWEU e-mails uit de werkmail van ondernemingen in beslag op grond van de nationale mededingingswet, met toestemming van het Openbaar Ministerie maar zonder voorafgaande rechterlijke toetsing. De verwijzende rechter wil weten of dit verenigbaar is met artikel 7 en 8 van het EU-Handvest, met name gezien het arrest Landeck (2024), waarin het Hof oordeelde dat toegang tot alle gegevens op een mobiele telefoon een zeer ernstige inmenging vormt waarvoor steeds voorafgaande rechterlijke toetsing nodig is.

Rb. Zeeland-West-Brabant 4 november 2025, IEF 23094; IT 5011; ECLI:NL:RBZWB:2025:7551 ([verzoeker] tegen KNVvL). [verzoeker] heeft deelgenomen aan een opleidingstraject bij [bedrijf]. Op 14 mei 2025 is [verzoeker] tijdens een parachutesprong, die onderdeel uitmaakte van het opleidingstraject, ernstig gewond geraakt. [verzoeker] heeft in juni een verzoek ingediend bij de Koninklijke Nederlandse Vereniging voor Luchtvaart (hierna: KNVvL) tot inzage of verstrekking van het incidentenrapport. [verzoeker] wil het rapport controleren en een mening vormen over het ongeval, waar hij geen herinnering meer aan heeft. De KNVvL heeft dit verzoek afgewezen. De KNVvL stelt zich op het standpunt dat gegevens over het ongeval geen persoonsgegevens zijn. Daarnaast voert zij aan dat het voor het creëren van een veilige omgeving waarin personeel zonder angst voor represailles of straf fouten of gevaarlijke situaties kunnen melden, van belang is dat deze meldingen vertrouwelijk kunnen worden gedaan. 

Rb. Rotterdam 16 oktober 2025, IT 5010; ECLI:NL:RBROT:2025:12843 ([verzoeker] tegen Inforsa). De Rechtbank Rotterdam heeft het verzoek van een gedetineerde ([verzoeker]) afgewezen om GGZ Reclassering Inforsa (onderdeel van Stichting Arkin) te bevelen passages uit een reclasseringsadvies te rectificeren of te verwijderen. Het Openbaar Ministerie had op 15 april 2025 de beslissing over zijn voorwaardelijke invrijheidstelling met 150 dagen uitgesteld, mede op basis van dit advies. Volgens de rechtbank biedt artikel 16 AVG alleen een recht op correctie van objectief en eenvoudig vaststelbaar onjuiste persoonsgegevens; meningen, indrukken of conclusies vallen daarbuiten. Voor verwijdering geldt de uitzondering van artikel 17 lid 3(b) AVG, omdat Inforsa persoonsgegevens verwerkt uit wettelijke plicht en algemeen belang, namelijk advisering over strafrechtelijke beslissingen. De zorgvuldigheid van het advies zelf staat niet ter beoordeling.

Rb. Rotterdam 8 september 2025, IT 4996; ECLI:NL:RBROT:2025:10783 ([eiseres] tegen de minister van Financiën). De rechtbank heeft geoordeeld over een zaak waarin eiseres van de minister van Financiën (Belastingdienst) inzage wilde in haar persoonsgegevens in de Fraude Signalering Voorziening (FSV), op basis van artikel 15 AVG. De minister had haar een overzicht gegeven van de gegevens die over haar in de FSV stonden (zoals naam, adres, BSN en de aanleiding voor het signaal), en verklaard dat haar gegevens in 2019 in de FSV zijn opgenomen naar aanleiding van een analyse van haar aangifte inkomstenbelasting 2019. De minister stelde ook dat haar gegevens niet zijn gedeeld met derden, dat zij niet was gekoppeld aan “projectcode 1043”, en dat er geen andere vergelijkbare systemen meer bestaan waarin haar gegevens worden verwerkt. De rechtbank vindt dat de minister hiermee voldoende inzage heeft gegeven in de zin van de AVG. Dat eiseres vermoedt dat haar FSV-registratie heeft geleid tot onderzoeken door andere instanties en nadelige behandeling (zoals adrescontroles door de gemeente) is onvoldoende om te concluderen dat de Belastingdienst wél gegevens heeft gedeeld of nog meer gegevens achterhoudt. De rechtbank ziet dus geen reden om de minister te verplichten méér informatie of bewijsstukken te geven.

Rb. Rotterdam 5 september 2025, IT 4995; ECLI:NL:RBROT:2025:10973 ([eiser] tegen de Korpschef van politie). De Rechtbank Rotterdam beoordeelt een beroep van een burger tegen de korpschef van politie, omdat volgens hem niet op tijd is beslist op zijn AVG-verzoek om zijn persoonsgegevens te laten verwijderen. Het hof kijkt eerst of er sprake is van misbruik van procesrecht, omdat deze eiser bij veel overheidsinstanties vergelijkbare AVG-verzoeken indient en daarna dwangsommen eist wegens te laat beslissen. De rechtbank vindt in dit geval géén misbruik: de eiser heeft uitgelegd dat hij slechte ervaringen heeft met hoe overheidsinstanties met zijn persoonsgegevens omgaan en daarom bij allerlei instanties (waaronder de politie) heeft gevraagd om verwijdering. Hij mag dus inhoudelijk klagen over de te late beslissing. Wel waarschuwt de rechtbank hem dat als hij dit instrument puur gaat gebruiken om dwangsommen te incasseren, zonder inhoudelijke bezwaren, dat in de toekomst wél als misbruik kan worden gezien.

Hof Arnhem-Leeuwarden 16 september 2025, IT 4991; ECLI:NL:GHARL:2025:5678 ([appellant] tegen het RBV). Het hof doet uitspraak in een zaak tussen [appellant] en de Stichting Regiecentrum Bescherming en Veiligheid (RBV). [appellant] wil dat RBV zijn hele dossier uit de periode 2015-2018 vernietigt en dat RBV iedereen die zijn gegevens heeft gekregen informeert dat die gegevens zijn gewist. RBV zegt in november 2024 toe dat het dossier wordt vernietigd en doet dat op 7 januari 2025. [appellant] beroept zich op artikel 17 AVG en stelt dat RBV ook derden moet waarschuwen. Het hof zegt: artikel 17 lid 2 AVG verplicht zo’n actieve waarschuwing alleen als gegevens “openbaar zijn gemaakt”, bijvoorbeeld online openbaar voor iedereen. Dat is hier niet gebeurd, dus dat artikel helpt hem niet.

Rb. Midden-Nederland 24 september 2025, IT 4990; ECLI:NL:RBMNE:2025:5019 ([verzoeker] tegen [verweerster]). De rechtbank beslist dat een tbs-gestelde patiënt geen inzage krijgt in een intern SIRE-rapport van de kliniek. Het rapport is opgesteld na een ernstig incident tijdens onbegeleid verlof op 9 december 2016, waarvoor de patiënt wordt veroordeeld voor onder meer verkrachting en bedreiging. De patiënt beroept zich op artikel 15 AVG en zegt: dit rapport bevat mijn persoonsgegevens, dus ik heb recht om die te zien. De rechtbank erkent dat het rapport inderdaad (in zekere mate) persoonsgegevens over hem bevat en dat er in principe een inzagerecht bestaat. De kliniek weigert echter inzage met een beroep op artikel 41 UAVG, dat toestaat om inzage te beperken als dit risico’s oplevert voor de openbare veiligheid of voor de rechten en vrijheden van anderen. De Autoriteit Persoonsgegevens laat weten dat zij die weigering kan volgen.