Persoonsgegevens  

Rb. Gelderland 5 september 2025, IT 4951; ECLI:NL:RBGEL:2025:7488 (Innova Energie B.V. tegen [gedaagde 1] en [gedaagde 2]). Innova exploiteert een onderneming die is gericht op de levering van gas en elektriciteit. [gedaagde 1], waarvan [gedaagde 2] enig bestuurder en aandeelhouder is, verricht activiteiten op de markt voor het telefonisch aanbieden van energiecontracten aan consumenten en neemt opdrachten aan om energiecontracten aan te bieden. In een samenwerkingsovereenkomst met CCTr, daarin aangeduid als “Partner”, is onder meer bepaald dat partner verantwoordelijk is voor zorgvuldige omgang met systemen en data, binnen de grenzen van de AVG en overige wetgeving. Gegevensverwerking moet voldoen aan de AVG, de Telecommunicatiewet en eventuele branchecodes, en op verzoek dient partner bewijs te overleggen van opt-in en databron. Bij brief van 20 juni 2025 schrijft Innova dat klanten van haar ongevraagd zijn benaderd. Daarbij is volgens Innova gesuggereerd dat Innova failliet zal gaan of leveringstarieven zal verhogen, en is onjuist meegedeeld dat namens Innova werd gebeld. Innova stelt dat ongevraagd telefonische communicatie voor commerciële doeleinden naar natuurlijke personen verboden is, tenzij voor elk ongevraagd telefoongesprek voorafgaande toestemming is verkregen, en heeft [gedaagde 1] gesommeerd om alle onrechtmatige activiteiten te staken.

Rb. Rotterdam 23 juli 2025; IT 4941; ECLI:NL:RBROT:2025:9088 (SDBN tegen Amazon). De Rechtbank Rotterdam heeft in een collectieve actie van de Stichting Data Bescherming Nederland (SDBN) tegen Amazon prejudiciële vragen gesteld aan het Hof van Justitie van de EU. SDBN stelt dat Amazon sinds 25 mei 2018 persoonsgegevens van circa vijf miljoen Nederlandse accounthouders in strijd met de AVG verwerkt en vordert dat Amazon dit onrechtmatig handelen staakt en schade vergoedt. De procedure valt onder de WAMCA (Wet afwikkeling massaschade in collectieve actie), die sinds 2020 ook schadevergoedingsvorderingen in collectieve acties mogelijk maakt. Kernpunt is of SDBN voldoet aan de ontvankelijkheidseisen van de WAMCA, waaronder de gelijksoortigheid van belangen en representativiteit van de achterban. Amazon betwist dat, onder meer vanwege het ontbreken van voldoende steun vanuit de achterban en de afhankelijkheid van procesfinanciering. De rechtbank oordeelde dat SDBN grotendeels voldoet aan de formele WAMCA-vereisten, maar hield de beoordeling van representativiteit en gelijksoortigheid aan in afwachting van uitleg door het HvJEU.

Rb. Amsterdam 4 februari 2020, IT 4940; ECLI:NL:RBAMS:2020:3786 (Eiseres tegen de korpschef van politie). Eiseres verzoekt de politie om inzage in alle over haar geregistreerde persoonsgegevens, gebaseerd op de AVG. Ze wil weten welke gegevens er zijn, het doel van gebruik, aan wie ze zijn verstrekt, hoe ze worden beveiligd, de herkomst, de opslagduur en of er automatische besluitvorming plaatsvindt. Ze vraagt ook om inzage in verslagstukken van gesprekken met de wijkagent. De korpschef interpreteert het verzoek echter als een inzageverzoek op grond van artikel 25 van de Wet politiegegevens (Wpg) en verstrekt een overzicht van alle registraties in het Bedrijfsprocessensysteem van de politie. Oudere gegevens zijn verwijderd of beperkt raadpleegbaar, en communicatie met derden zoals de GGD vindt plaats op basis van art. 20 Wpg en het convenant Zorg en Overlast. Er is geen sprake van automatische besluitvorming en er zijn passende beveiligingsmaatregelen getroffen.

RvS 30 juli 2025, IT 4939; ECLI:NL:RVS:2025:3561 (Appellant sub 1 tegen de burgemeester van Eindhoven). Appellant had de burgemeester van Eindhoven op grond van de Wet open overheid verzocht om informatie over een vermeend buurtonderzoek aan de Lorrainelaan. Zij wilde weten of er een buurtonderzoek aan de Lorrainelaan had plaatsgevonden en vroeg tevens om alle meldingen die over haar zouden zijn gedaan en wat daarmee was gebeurd. Naar aanleiding van dit verzoek verstrekte de gemeente een overzicht van meldingen van woonoverlast, waarin de gegevens van melders waren geanonimiseerd. In dat overzicht stond ook een adres vermeld dat betrekking had op een boom in de openbare ruimte. De appelant stelde dat de vermelding van dit adres in strijd was met de Algemene verordening gegevensbescherming, omdat het haar adres betrof en daarmee een persoonsgegeven vormde. De rechtbank oordeelde dat een adres in dit overzicht een persoonsgegeven kon zijn, omdat het in verband was gebracht met meldingen van woonoverlast en eenvoudig te herleiden viel tot de eigenaar van het pand. De rechtbank achtte dit in strijd met de AVG en droeg de burgemeester op een nieuw besluit te nemen. Het beroep werd gegrond verklaard en een verzoek om schadevergoeding werd afgewezen.

Raad van State 30 juli 2025, IT 4938; ECLI:NL:RVS:2025:3578 (Appellante tegen de minister voor Rechtsbescherming). De minister voor Rechtsbescherming heeft een verzoek van [appellante] op grond van de Wet justitiële en strafvorderlijke gegevens (Wjsg) toegewezen voor inzage in gegevens, maar het verzoek om schadevergoeding wegens een foutieve brief van het CJIB afgewezen. Die brief uit juli 2020 over een verlenging van een taakstraf was het gevolg van een onrechtmatige verwerking van persoonsgegevens, omdat een uitspraak waarin de taakstraf was vernietigd niet in de systemen was verwerkt. [appellante] voerde aan dat sprake was van een schending van de Algemene verordening gegevensbescherming (AVG) en dat zij daardoor recht had op schadevergoeding. De Afdeling bestuursrechtspraak oordeelde echter dat, hoewel de gegevens gedurende twee jaar onrechtmatig zijn verwerkt en dit voor [appellante] stress en ongemak heeft veroorzaakt, niet is gebleken van een aantasting in haar eer, goede naam of persoon. Daarom hoefde de minister geen immateriële schadevergoeding toe te kennen. Wel stelde de Afdeling vast dat de totale procedure vier jaar en vijf maanden heeft geduurd, waardoor de redelijke termijn met vijf maanden is overschreden. Hiervoor is een schadevergoeding van € 500,- toegekend, waarvan € 333,33 ten laste van de Staat en € 166,67 ten laste van de minister komt. Het hoger beroep is ongegrond en de uitspraak van de rechtbank is bevestigd.

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Hof Den Haag 1 april 2025, IT 4931; ECLI:NL:GHDHA:2025:1243 (Verzoekster tegen Klaverblad). Verzoekster had bij Klaverblad een rechtsbijstandsverzekering. Naar aanleiding van vier claims registreerde Klaverblad persoonsgegevens, waaronder schadebedragen, in de databank van Stichting CIS. Verzoekster verzocht verwijdering van de opgenomen bedragen, stellende dat het ging om afkoop- en schikkingsbedragen, en dat opname strijdig was met de AVG, het CIS Privacyreglement en het CIS Gebruikersprotocol.De rechtbank wees het verzoek af. In hoger beroep oordeelt het hof dat het bedrag in claimmelding 1 (€ 3.762,40), dat Klaverblad betaalde ter afkoop van een verzekerde zaak, terecht is geregistreerd als feitelijk uitgekeerd schadebedrag. Het beroep faalt op dat punt. De bedragen in claimmeldingen 2, 3 en 4 (€ 10.000,- en tweemaal € 2.500,-) betroffen echter een schikking in het kader van een vaststellingsovereenkomst ter beëindiging van het conflict tussen partijen zelf, en niet een uitkering uit hoofde van de verzekering. Deze bedragen kwalificeren daarom niet als feitelijk uitgekeerd schadebedrag ex art. 4 CIS Privacyreglement. Nu Klaverblad geen zelfstandig belang bij de opname had, is de registratie onrechtmatig onder art. 6 lid 1 sub f AVG. Het hof gelast verwijdering van die drie bedragen uit de CIS-databank. De gevorderde dwangsom wordt afgewezen vanwege vrijwillige nakoming, evenals de gevraagde schadevergoeding wegens onvoldoende onderbouwing. Klaverblad wordt veroordeeld in de proceskosten in beide instanties.

Rb. Overijssel 16 juli 2025, IT 4930; ECLI:NL:RBOVE:2025:4820 (Eiser tegen Risepoint). [Eiser] had vóór 1 oktober 2021 deelgenomen aan online kansspelen bij Unibet, geëxploiteerd door Risepoint Limited, en verzocht in 2025 om inzage in zijn transactiegegevens. Risepoint weigerde deze gegevens te verstrekken, onder verwijzing naar een beperking in de Maltese wetgeving, ondanks eerdere toezending van andere persoonsgegevens. [Eiser] vorderde in kort geding dat Risepoint verplicht zou worden om binnen 14 dagen zijn volledige transactiegegevens te verstrekken, op straffe van een dwangsom, en vroeg tevens een verbod op vernietiging van deze gegevens. Risepoint voerde aan dat zij op grond van de Maltese Restriction Regulation niet verplicht was de transactiegegevens te verstrekken, mede vanwege haar verdedigingsbelang bij mogelijke juridische claims. De voorzieningenrechter oordeelde dat het inzagerecht uit de AVG rechtstreeks van toepassing is en dat de door Risepoint ingeroepen Maltese beperking niet gerechtvaardigd is, omdat deze niet noodzakelijk en evenredig is in de zin van artikel 23 AVG. Daarbij werd overwogen dat transactiegegevens persoonsgegevens zijn en dat het verdedigingsbelang van Risepoint niet zwaarder weegt dan het recht van [eiser] op inzage. De rechter achtte het spoedeisend belang van [eiser] voldoende onderbouwd, mede gezien de persoonlijke gevolgen van zijn gokverslaving en de veranderde houding van Risepoint ten aanzien van het verstrekken van gegevens. De vordering tot inzage werd toegewezen, met de verplichting voor Risepoint om de transactiegegevens in een gangbaar elektronisch formaat te verstrekken. De gevorderde dwangsom werd eveneens toegewezen, terwijl het verbod op vernietiging van gegevens werd afgewezen wegens gebrek aan belang. Risepoint werd veroordeeld in de proceskosten en het vonnis werd uitvoerbaar bij voorraad verklaard.

Rb. Zeeland-West-Brabant 6 juni 2025, IT 4925; ECLI:NL:RBZWB:2025:4185 (Verzoeker). Deze zaak betreft een verzoeker die in het Fraude Signalering Voorziening (FSV)-systeem van de Belastingdienst was geregistreerd. De Belastingdienst heeft erkend dat het gebruik van het FSV-systeem niet voldeed aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Verzoeker stelde dat hij door deze onterechte registratie schade heeft geleden en diende een schadeverzoek in bij de Belastingdienst. Nadat zijn verzoek was afgewezen, stelde verzoeker beroep in bij de bestuursrechter en vorderde schadevergoeding. De rechtbank moet beoordelen of zij bevoegd was om over het schadeverzoek te oordelen. De rechter overweegt in dit kader dat de verwerking van persoonsgegevens in het FSV-systeem een feitelijke handeling is en geen besluit in de zin van artikel 1:3, eerste lid, Awb. Hierdoor valt het schadeverzoek niet onder het bestuursrecht, maar onder het civiele recht. De bestuursrechter kan daarom geen oordeel geven over de rechtmatigheid van het schadeverzoek. De rechtbank verklaart zich onbevoegd om het verzoek te behandelen. Verzoeker moet zich voor zijn schadeverzoek tot de burgerlijke rechter wenden.