Persoonsgegevens  

Rb. Amsterdam 24 december 2025, IT&R 5137; ECLI:NL:RBAMS:2025:11284 (Eisers tegen Risepoint). In dit kort geding bij de rechtbank Amsterdam vorderden negentien voormalige Unibet-spelers dat Risepoint Limited hun op grond van art. 15 AVG inzage zou geven in hun persoonsgegevens, in het bijzonder hun transactiegeschiedenis en transactieoverzichten, zodat zij konden nagaan welke stortingen en opnames zij hadden gedaan. Risepoint had Unibet tot 1 oktober 2021 zonder Nederlandse vergunning op de Nederlandse markt aangeboden. De eisers hadden tussen maart 2024 en januari 2025 inzageverzoeken gedaan, maar daarop was niet tijdig of niet inhoudelijk beslist. De voorzieningenrechter oordeelt eerst dat de Amsterdamse rechter bevoegd is op grond van art. 79 lid 2 AVG en dat ook de vorderingen van buiten Amsterdam wonende eisers gezamenlijk in Amsterdam konden worden behandeld wegens de nauwe samenhang tussen de zaken. Ook is sprake van spoedeisend belang, omdat Risepoint de verzoeken niet binnen de in art. 12 lid 3 AVG genoemde termijn heeft gehonoreerd en zich bovendien in deze procedure op het standpunt stelde daartoe niet verplicht te zijn. De zaak is volgens de rechter ook geschikt voor behandeling in kort geding.

Hof Amsterdam 10 maart 2026, IT&R 5136; ECLI:NL:GHAMS:2026:595 ([appellant] tegen OfficeGrip). In dit arrest van het Gerechtshof Amsterdam staat de vraag centraal of OfficeGrip, als nieuwe ICT-leverancier van [appellant], aansprakelijk is voor schade die zou zijn ontstaan door verlies van data na de overstap van de oude ICT-leverancier [bedrijf 2] naar OfficeGrip. Het hof bekrachtigt het vonnis van de rechtbank en oordeelt dat OfficeGrip niet aansprakelijk is. Doorslaggevend is dat datamigratie geen onderdeel van de opdracht was. Uit de op 11 juni 2019 ondertekende offerte volgt namelijk dat de datamigratietool op nul stond en dus geen deel uitmaakte van de overeenkomst; ook mailboxmigratie maakte bij het aangaan van de overeenkomst niet zonder meer deel uit van de opdracht. Dat in de offerte en latere correspondentie wel over “migratie” werd gesproken, maakt dat volgens het hof niet anders, omdat die term daar zag op migratie in algemene zin of op mailboxstructuren, en niet op het overzetten van alle bestaande data. Integendeel: uit de e-mails van 21, 25 en 26 juni 2019 blijkt juist dat [appellant] de data die “mee moest” zelf diende te kopiëren naar de tijdelijke SharePoint-back-upsite die OfficeGrip had ingericht. Daarmee faalt het kernverwijt dat OfficeGrip contractueel verantwoordelijk was voor het veiligstellen en migreren van alle data.

Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Hof Amsterdam 16 oktober 2025, IT&R 5128; ECLI:NL:GHAMS:2025:3771 (Openbaar Ministerie tegen [verdachte]). In deze strafzaak oordeelt het Gerechtshof Amsterdam dat de verdachte zich schuldig maakt aan een samenhangende phishingconstructie gericht op klanten van International Card Services (ICS). Het hof acht bewezen dat hij in de periode van 1 augustus 2023 tot en met 30 september 2023 meermalen twee slachtoffers door valse, als van ICS afkomstige e-mails en nagemaakte ICS-websites beweegt tot het prijsgeven van inlog-, bank- en klantgegevens en tweefactorauthenticatiecodes, zodat sprake is van oplichting. Daarnaast acht het hof bewezen dat de verdachte in de periode van 1 augustus 2023 tot en met 6 januari 2024 phishingwebsites en bijbehorende bestanden voorhanden heeft met het oogmerk computervredebreuk te plegen, en dat hij met de aldus verkregen gegevens via de ICS-app meermalen binnendringt in het geautomatiseerde werk van ICS door zich voor te doen als geautoriseerde klant. Het hof verbindt de verdachte aan deze feiten op basis van onder meer de hostinggegevens, de aan hem te koppelen cryptowallet, het bij de hosting gebruikte e-mailadres, het IP-adres van zijn woonadres, de op zijn telefoons aangetroffen Telegram-bots en de gephishte gegevens van in totaal 65 personen. Ook acht het hof bewezen dat hij een gasvuurwapen in de vorm van een revolver voorhanden heeft. Wel volgt partiële vrijspraak voor zover onder feit 1 ook oplichting van ICS is ten laste gelegd, omdat de tenlastelegging geen oplichtingshandelingen jegens ICS zelf bevat, en voor enkele onderdelen van de feiten 1 en 2 waarvoor het dossier onvoldoende grondslag biedt.

Rb. Amsterdam 4 februari 2026, IEF 23327; IEFbe 5126; ECLI:NL:RBAMS:2026:1555 (SDBN tegen X Corp c.s.). De Rechtbank Amsterdam oordeelt in deze tussenuitspraak dat Stichting Data Bescherming Nederland (SDBN) op basis van de huidige stand van de procedure niet ontvankelijk zou moeten worden verklaard in haar collectieve vorderingen tegen X Corp c.s. over het gebruik van persoonsgegevens via MoPub-apps. Volgens de rechtbank is niet voldaan aan het representativiteitsvereiste van artikel 3:305a BW. Daarbij weegt mee dat SDBN zegt op te komen voor een zeer omvangrijke groep, die volgens de rechtbank in de praktijk ongeveer overeenkomt met vrijwel alle Nederlandse smartphonegebruikers in de relevante periode, terwijl zich slechts circa 11.000 personen via de website hebben aangemeld. Dat aantal acht de rechtbank, afgezet tegen een potentiële groep van ongeveer 11 miljoen personen, te gering om te kunnen aannemen dat sprake is van een voldoende echte en niet te verwaarlozen achterban. Ook acht de rechtbank van belang dat de website van SDBN geen volledig juist beeld gaf van de ingestelde procedure, omdat daar onvoldoende duidelijk werd gemaakt dat de zaak in wezen betrekking heeft op schadevergoeding wegens gegevensverwerkingen uit het verleden, uitsluitend tegen X Corp c.s., en niet op het afdwingen van toekomstig gedrag van “Twitter en andere bedrijven”.

Rb. Overijssel 13 februari 2026, IT 5122; ECLI:NL:RBOVE:2026:715 ([eiser] tegen de burgemeester van Zwolle). [eiser] verzocht om inzage in zijn persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC), dat was opgesteld naar aanleiding van een vergunningaanvraag. De burgemeester weigerde inzage onder verwijzing naar de geheimhoudingsplicht van artikel 28 Wet Bibob. Volgens de burgemeester valt het RIEC-advies onder het gesloten verstrekkingenregime van de Wet Bibob en zou verstrekking afbreuk doen aan de rechten en vrijheden van anderen.

ABRvS 25 februari 2026, IT 5117; ECLI:NL:RVS:2026:1033 ([appellant] tegen de Minister van Financiën). De Afdeling bestuursrechtspraak van de Raad van State oordeelt dat de Minister van Financiën de naam van een derde die informatie over een betrokkene aan de Belastingdienst heeft verstrekt, niet hoeft te verstrekken op grond van het inzagerecht van art.15 AVG. [appellant] had om inzage in zijn persoonsgegevens verzocht omdat hij vermoedde dat de Belastingdienst hem ten onrechte als fraudeur had aangemerkt en daarbij ook medische informatie had gebruikt. De minister verstrekte aanvullende persoonsgegevens en informatie over de bron, maar weigerde de naam van de informant bekend te maken. Volgens de minister betrof de naam geen persoonsgegeven van appellant en zou verstrekking bovendien de persoonlijke levenssfeer van de derde aantasten.  

Rb. Overijssel 20 januari 2026, IT 5110; ECLI:NL:RBOVE:2026:283 ([verzoeker] tegen de Pensioenfondsen). Een pensioendeelnemer verzocht twee pensioenfondsen (PMT en PME) op grond van het inzagerecht van art. 15 AVG om alle persoonsgegevens te verstrekken die ten grondslag liggen aan de berekening van zijn pensioen. Aanleiding was de aanstaande overgang naar het nieuwe pensioenstelsel; hij wilde de juistheid van zijn huidige pensioenpositie kunnen controleren. Nadat de fondsen weigerden berekeningen en prognoses te verstrekken, stapte hij naar de rechtbank.  

Raad van State 11 februari 2026, IT 5109; ECLI:NL:RVS:2026:746 ([appellant] tegen de AP). Filmtheater Focus accepteert sinds 2018 uitsluitend pin-, creditcard- of online betalingen. Een bezoeker verzocht de AP handhavend op te treden, omdat [appellant] alleen contant wil betalen om verwerking van zijn persoonsgegevens te voorkomen. Volgens hem schendt het pin-only beleid zijn privacy. De AP wees het verzoek af, waarna na een ongegrond beroep bij de rechtbank hoger beroep werd ingesteld. Centraal stond of het verplicht stellen van elektronische betaling leidt tot een onrechtmatige verwerking van persoonsgegevens onder de AVG, en of de AP mocht afzien van handhaving. 

Rb. 28 januari 2026, IT 5101; ECLI:NL:RBNHO:2026:810 ([eiseres] tegen de korpschef van de politie, de politiechef van eenheid Noord-Holland) [eiseres] verzocht om verwijdering van haar politiegegevens op grond van artikel 28 lid 2 Wpg, nadat haar strafzaak was geseponeerd en zij als “onterecht verdachte” was aangemerkt. Volgens haar moest de registratie volledig worden gewist.