Persoonsgegevens  

Rb. Den Haag 19 februari 2026, IT 5265; ECLI:NL:RBDHA:2026:5199 ([eiseres] tegen de inspecteur van de Belastingdienst). De rechtbank heeft geoordeeld dat de Belastingdienst het risicoselectiemodel “OB Negatief” rechtmatig mocht gebruiken bij de selectie van een onderneming voor een boekenonderzoek naar omzetbelasting. De onderneming stelde dat sprake was van verboden geautomatiseerde besluitvorming in strijd met de AVG en verwees daarbij onder meer naar het Schufa-arrest van het Hof van Justitie van de EU [IT 3789].

Rb. Midden-Nederland 15 april 2026, IT 5264; ECLI:NL:RBMNE:2026:2121 ([verzoekende partij] tegen Kucoin). De Rechtbank Midden-Nederland heeft cryptobeurs KuCoin verplicht om identificerende gegevens en transactieoverzichten te verstrekken van gebruikersaccounts die gekoppeld zijn aan blockchainadressen die betrokken zouden zijn bij boilerroomfraude. Een slachtoffer van crypto-oplichting stelde via een nepadvertentie ruim € 166.000 aan cryptovaluta te hebben verloren. Uit blockchainonderzoek van DataExpert bleek dat een deel van de gelden terechtkwam op een exchangeplatform van KuCoin.

Hof Amsterdam 14 april 2026, IT 5255; ECLI:NL:GHAMS:2026:1138 ([appellante] tegen [geïntimeerde]). In deze zaak oordeelt het Hof Amsterdam over een verzoek van een schoolleider tot verwijdering van haar persoonsgegevens uit het Schoolleidersregister Primair Onderwijs. Zij stelde dat de registratie onrechtmatig was en beriep zich onder meer op haar recht op gegevenswissing onder de AVG. Het hof bekrachtigt het oordeel van de rechtbank (ECLI:NL:RBNHO:2025:1087), dat het verzoek moet worden afgewezen. De verwerking van persoonsgegevens door de beheerder van het register is rechtmatig op grond van artikel 6 lid 1 onder f AVG. Volgens het hof bestaat een gerechtvaardigd belang bij het registreren van schoolleiders, gelegen in het bewaken, stimuleren en borgen van de kwaliteit van schoolleiders en de professionalisering binnen het primair onderwijs. Deze registratie vloeit voort uit afspraken tussen sociale partners en voorwaarden die door de overheid zijn gesteld aan financiering van professionalisering.

Rb. Rotterdam 13 maart 2026, IT 5253; ECLI:NL:RBROT:2026:2765 ([verzoeker] tegen het Gerechtsbestuur). In deze zaak verzoekt [verzoeker] om op grond van de AVG inzage in alle interne communicatie en documenten van de rechtbank Den Haag waarin zijn persoonsgegevens voorkomen, waaronder interne e-mails, notities en analyses rond zijn eerdere procedures en klachten. De rechtbank wijst het verzoek grotendeels af. Hoewel artikel 15 AVG recht geeft op inzage in persoonsgegevens, strekt dit recht niet zo ver dat ook volledige toegang moet worden verleend tot interne correspondentie en documenten. Het doel van het inzagerecht is dat betrokkene de verwerking van zijn persoonsgegevens kan controleren, en daaraan was in dit geval al voldaan doordat een overzicht van de verwerkte gegevens en relevante stukken was verstrekt.

Parket bij de Hoge Raad 24 april 2026, IEF 23518; IT 5249; ECLI:NL:PHR:2026:435 ([eiser] tegen ING). Deze conclusie van A-G Drijber (zitting 24 april 2026) betreft een geschil tussen een ondernemer (eiser) en ING over de verwerking van zijn persoonsgegevens in de Gebeurtenissenadministratie en het Intern Verwijzingsregister (IVR) van ING. ING had de zakelijke bankrelatie beëindigd omdat zij onvoldoende kon uitsluiten dat eisers cashgelden betrokken waren bij heling, witwassen en andere criminele activiteiten, mede vanwege het ontbreken van een adequate inkoopadministratie en schending van de registratieplicht ex art. 437 Sr. Eiser vorderde verwijdering van zijn persoonsgegevens uit het IVR en de Gebeurtenissenadministratie. Zowel de rechtbank als het hof wezen de vorderingen af. Het hof oordeelde dat de geregistreerde gegevens geen strafrechtelijke persoonsgegevens zijn in de zin van art. 10 AVG, de vastgelegde feiten en omstandigheden (grote cashuitgaven zonder verantwoording, het ontbreken van een adequate boekhouding en onvoldoende maatregelen om betrokkenheid bij strafbare feiten uit te sluiten) kunnen geen bewezenverklaring in de zin van art. 350 Sv dragen, en dat de verwerking een gerechtvaardigd doel dient op grond van art. 6 lid 1 onder f AVG (waarborging van de veiligheid en integriteit van de financiële sector, mede gelet op de Wwft-verplichtingen van ING), dat de persoonsgegevens uitsluitend intern toegankelijk zijn, dat eiser niet in zijn toegang tot financiële diensten elders is belemmerd, en dat de aantekening een correcte weergave vormt van de redenen voor de beëindiging van de bankrelatie.

Hof Amsterdam 16 april 2026, IT 5228; ECLI:NL:GHAMS:2026:1003 (Openbaar Ministerie tegen [verdachte]). Het hof vernietigt het vonnis van de Rechtbank Noord-Holland, omdat het hof tot een deels andere bewijsconstructie, een op detail afwijkende bewezenverklaring en een andere strafoplegging komt, en verklaart vervolgens feit 1 primair en feit 2 bewezen. Het hof acht bewezen dat de verdachte, destijds tweedelijns helpdeskmedewerker bij [bedrijf], op 27 maart 2021 opzettelijk en wederrechtelijk is binnengedrongen in een server van [bedrijf] waarop medische gegevens van patiënten van [stichting] stonden, door onbevoegd gebruik te maken van een toegangscertificaat en wachtwoord waarover hij uit hoofde van zijn functie wel kon beschikken, maar die hij voor dit doel niet mocht gebruiken. Vervolgens heeft hij die gegevens overgenomen door ze te downloaden en op zijn privé-USB-stick op te slaan. Daarnaast acht het hof bewezen dat hij in de periode van 2 april 2021 tot en met 22 april 2021 heeft getracht [stichting] door bedreiging met openbaarmaking van die gegevens te dwingen tot afgifte van bitcoins. Het hof verwerpt zowel het verweer dat een derde de apparatuur van verdachte op afstand zou hebben gehackt als het juridische verweer dat geen sprake was van binnendringen met een “valse sleutel”. Uit de combinatie van het afwijkende IP-adres, de Postman-activiteit, de koppeling tussen desktop, Acer-laptop, Lumia-telefoon, Samsung-telefoon en hotspot, het aantreffen van de datasets, het certificaat en wachtwoord, en de op meerdere gegevensdragers gevonden concepten van de dreigberichten leidt het hof af dat de verdachte zelf de dader was. Het onbevoegd gebruiken van certificaat en wachtwoord levert volgens het hof, conform vaste rechtspraak, binnendringen met een vals gebruikte sleutel op. Het bewezenverklaarde kwalificeert het hof als computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, en als poging tot afdreiging.

Hof Den Haag 7 april 2026, IT 5225; ECLI:NL:GHDHA:2026:561 ([eiser]) tegen de Staat). Het hof Den Haag heeft in een arrest van 7 april 2026 geoordeeld dat het OM onrechtmatig heeft gehandeld door strafrechtelijke gegevens van een verdachte te delen met Veilig Thuis en door haar te laat te informeren over de intrekking van het hoger beroep.De zaak betreft een vrouw die herhaaldelijk meldingen deed bij Veilig Thuis over haar ex-partner. In het kader van een strafrechtelijk onderzoek deelde de officier van justitie met Veilig Thuis dat zij werd verdacht van onder meer belaging en smaad. Ook werd privacygevoelige informatie verstrekt, waaronder gegevens over de wijze van conceptie van haar kind. Hoewel het hof erkent dat er in redelijkheid een verdenking kon bestaan, oordeelt het dat de wijze waarop deze informatie is gedeeld niet voldoet aan de eisen van proportionaliteit en subsidiariteit zoals neergelegd in artikel 39f Wet justitiële en strafvorderlijke gegevens. Het voorzienbare effect van de mededelingen, namelijk dat de vrouw zou afzien van het doen van meldingen, werd als te verstrekkend en onvoldoende gerechtvaardigd aangemerkt. Ook het delen van zeer gevoelige persoonsgegevens werd onrechtmatig geacht wegens het ontbreken van een voldoende rechtvaardiging.

Conclusie A-G Hof van Justitie EU 26 februari 2026, IT 5223; IEFbe 4194; ECLI:EU:C:2026:117 (Meta tegen Europese Commissie). In deze hogere voorziening vecht Meta arresten van het Gerecht aan over besluiten van de Europese Commissie om grote hoeveelheden interne documenten op te vragen voor mededingingsonderzoeken naar Facebook Marketplace en data-gebruik. De Commissie gebruikte hiervoor brede zoektermen, wat volgens Meta leidde tot het verzamelen van talloze irrelevante en privé-documenten. Meta stelt dat het 'noodzakelijkheidsbeginsel' is geschonden en dat de Commissie onvoldoende waarborgen biedt voor persoonsgegevens in zogenoemde 'gemengde documenten' (documenten met zowel zakelijke als persoonlijke informatie). De kern van de juridische discussie is of de Commissie redelijkerwijs mag aannemen dat dergelijke brede zoekopdrachten nodig zijn om inbreuken op het mededingingsrecht op te sporen, zelfs als er veel 'bijvangst' is.

Hof Amsterdam 14 april 2026, IEF23484, ECLI:NL:GHAMS:2026:961(X International Unlimited Company tegen [geïntimeerde]). In deze zaak staat de reikwijdte van het inzagerecht van artikel 15 AVG centraal in de context van interne moderatie- en logsysteemgegevens van X (voorheen Twitter). [geïntimeerde], een gebruiker van het platform X, werd in oktober 2023 geconfronteerd met een tijdelijke beperking van zijn account naar aanleiding van een tweet waarin het woord “kinderporno” voorkwam met een link naar een NOS-artikel. Deze beperking bleek achteraf onterecht en werd door X opgeheven zonder dat de verzoeker daarvan op de hoogte werd gesteld. Als reactie hierop heeft de [geïntimeerde] een inzageverzoek ingediend op grond van artikel 15 AVG. Daarbij vroeg hij onder meer om toegang tot interne registraties van het platform, waaronder het systeem dat binnen X bekend staat als [Y] (ook aangeduid als “Guano Notes”), waarin moderatiehandelingen, labels en andere account gerelateerde acties worden vastgelegd. De Rechtbank Amsterdam wees dit verzoek grotendeels toe en verplichtte X tot volledige inzage, op straffe van een doorlopende dwangsom. In hoger beroep lagen echter nog slechts twee geschilpunten voor: de vraag of ook inzage moest worden verleend in de [Y]/Guano Notes en de vraag of de opgelegde dwangsommen moesten worden gemaximeerd dan wel verhoogd. X kwam in dat kader op tegen het vonnis en beriep zich op de bescherming van bedrijfsgeheimen en de rechten en vrijheden van derden als grond om de inzage te beperken. Het gerechtshof stelt voorop dat gegevens die zijn opgenomen in interne systemen zoals [Y], voor zover zij betrekking hebben op handelingen rond het account van de betrokkene, moeten worden aangemerkt als persoonsgegevens in de zin van de AVG. Dit betekent dat zij in beginsel onder het bereik van het inzagerecht vallen. Daarmee sluit het hof aan bij de lijn van het C-487/21 (FF/CRIF), waarin is benadrukt dat het inzagerecht ertoe strekt de betrokkene in staat te stellen de rechtmatigheid van de verwerking daadwerkelijk te controleren. Tegelijkertijd onderkent het hof dat het inzagerecht niet absoluut is. Op grond van artikel 15 lid 4 AVG, gelezen in samenhang met artikel 23 AVG en artikel 41 UAVG, kan de verstrekking van gegevens worden beperkt ter bescherming van onder meer de rechten en vrijheden van anderen, waaronder bedrijfsgeheimen. In dat verband verwijst het hof mede naar de rechtspraak van het C-203/22 (Dun & Bradstreet Austria), waarin is benadrukt dat een dergelijke beperking steeds het resultaat moet zijn van een concrete en zorgvuldige belangenafweging.

Rb. Amsterdam 1 april 2026, IT5215; ECLI:NL:RBAMS:2026:3245 ([eiser 1] tegen de [verweerders en gedaagden]). In deze zaak heeft [eiser] in een lopende bodemprocedure een incidentele vordering ex artikel 223 Rv ingesteld tegen een dorpsraad/vereniging en haar voorzitter. [eiser] verkreeg in 2020 een bouwkavel binnen het dorpsraad-gebied, waarop in 2022–2025 een woning is gerealiseerd. De dorpsraad volgde de bouw kritisch, correspondeerde daarover met de gemeente en publiceerde berichten op haar website. In de hoofdzaak vordert [eiser] onder meer rectificatie, verwijdering van zijn adres uit online publicaties, het verwijderen van kwalificaties als “illegaal/illegale” en immateriële schadevergoeding in het incident vordert [eiser] primair verwijdering van zijn naam en adres uit online gepubliceerde notulen van een vergadering van 12 januari 2026, en subsidiair verwijdering van alleen zijn naam. Volgens hem is de verwerking van deze persoonsgegevens in strijd met artikel 6 AVG en daarmee onrechtmatig.