Persoonsgegevens  

Rb. Rotterdam 5 maart 2025, IT 4818; ECLI:NL:RBROT:2025:2981 (Stichting Data Bescherming Nederland tegen Amazon en The Privacy Collective). Deze zaak gaat over een collectieve actie van Stichting Data Bescherming Nederland (SDBN), die opkomt voor de belangen van accounthouders van Amazon in Nederland. De vorderingen vallen onder de Wet afwikkeling massaschade in collectieve actie (WAMCA). SDBN stelt dat Amazon persoonsgegevens van accounthouders verwerkt in strijd met de Algemene Verordening Gegevensbescherming (AVG). In een tussenvonnis van 13 november 2024 oordeelt de rechtbank dat het nodig is prejudiciële vragen te stellen aan het Hof van Justitie van de Europese Unie (HvJEU), onder meer over de verhouding tussen de ontvankelijkheidseisen van de WAMCA en die van de AVG, en over de mogelijkheid voor een belangenorganisatie om schadevergoeding te vorderen op basis van de AVG. The Privacy Collective (TPC) vraagt in dit incident om zich te mogen voegen aan de zijde van SDBN, zodat zij zich kan uitlaten over de voorgenomen prejudiciële vragen. TPC voert aan dat zij zelf ook een vergelijkbare collectieve actie voert bij de rechtbank en het gerechtshof Amsterdam. De antwoorden van het HvJEU zouden volgens haar invloed kunnen hebben op haar ontvankelijkheid en de privacyrechten van haar achterban, met name als het gaat om het vorderen van schadevergoeding. Zowel Amazon als SDBN voeren gemotiveerd verweer en verzoeken de rechtbank de vordering af te wijzen.

Conclusie A-G HR 21 februari 2025, IT 4813, LSR 2282; ECLI:NL:PHR:2025:260 (Eiser tegen ICS). Deze zaak draait om een natuurlijk persoon om principiele redenen weigert om in te gaan op een verzoek op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wwft). Het verzoek kwam van creditcardmaatschappij International Card Services (hierna: ICS), die in het kader van hernieuwd cliëntenonderzoek eiser heeft gevraagd om een kopie van haar paspoort met foto. ICS bewaart ontvangen kopieën, maar eiser wil hier niet aan meewerken. ICS heeft de overeenkomst met eiser daarom opgezegd. Dit leidde tot een procedure waarin het hof uiteindelijk heeft geoordeeld dat ICS de creditcardovereenkomst mocht opzeggen [zie IT 4806]. In cassatie betoogt eiser dat het door ICS toegepaste (her)identificatieproces, een verwerking van biometrische gegevens is. Ook meent eiser dat artikel 33 van de Wwft aan financiële ondernemingen geen wettelijke grondslag biedt voor het bewaren van een kopie van een identiteitsbewijs met pasfoto. ICS voert verweer en stelt dat eiser geen belang heeft bij haar rechtsklachten. De A-G concludeert tot verwerping van het beroep en ziet geen aanleiding voor het stellen van prejudiciële vragen. 

Rb. Gelderland 24 februari 2025, IT 4810; ECLI:NL:RBGEL:2025:1815 (Verzoeker tegen STRIPE). Stripe is actief in Nederland als betaaldienstverlener en faciliteert elektronische betalingen. Op 5 februari 2024 heeft verzoeker via de webshop vanzetten-amsterdam.com goederen besteld en betaald via iDeal, een betaalmethode ondersteund door Stripe. De goederen zijn niet geleverd en de webshop is offline.Verzoeker heeft een verzoek ingediend bij Stripe op grond van de AVG om informatie over de webshop te ontvangen. Stripe heeft de gevraagde gegevens niet verstrekt. In deze procedure verzoekt verzoeker de rechtbank om Stripe te veroordelen tot het verstrekken van de identiteit van de webshop aan wie zijn persoonsgegevens zijn verstrekt, op grond van artikel 15 AVG. Subsidiair verzoekt hij de informatie te verkrijgen via artikel 843a Rv. Hij stelt dat de webshop zijn persoonsgegevens onrechtmatig heeft verwerkt door zijn identiteit verborgen te houden en dat Stripe als betaaldienstverlener deze identiteit kent en inzage moet geven. 

Hof Amsterdam 5 maart 2024, IT 4806, LSR 2281; ECLI:NL:GHAMS:2024:419 (Appellante tegen ICS). Partijen, appellante en International Card Services (hierna: ICS), hebben in 2008 een creditcardovereenkomst gesloten. In 2020 verzocht ICS appellante om zich online te identificeren, maar zij heeft hier niet op gereageerd. Uiteindelijk blokkeerde ICS de creditcard en kondigde aan de overeenkomst op te zeggen. Als reactie hierop startte appellante deze procedure en stelde zij een groot aantal vorderingen in. De kantonrechter verklaarde appellante voor een deel van haar vorderingen niet-ontvankelijk en wees de overige af. In hoger beroep legde appellante zich neer bij een deel van het vonnis, handhaafde zij enkele vorderingen en wijzigde zij haar eis gedeeltelijk. Zo vordert zij onder meer heractivatie van haar creditcard, een vergoeding voor de periode dat deze geblokkeerd was en een verbod voor ICS om de overeenkomst eenzijdig te beëindigen. De meeste grieven richten zich tegen het oordeel dat ICS de overeenkomst mocht opzeggen, omdat appellante niet meewerkte aan haar identiteitsvaststelling.

Vzr. Rb. Midden-Nederland 6 december 2025, IT 4796; ECLI:NL:RBMNE:2024:7507 (Eiser tegen de minister van Financiën). Eiser heeft om inzage in zijn persoonsgegevens die zijn geregistreerd in de Fraude Signalerings Voorziening (FSV) verzocht. De minister weigerde aanvankelijk om de redenen voor de registratie te verstrekken, op grond van artikel 23 van de AVG. De rechtbank oordeelt in dit kort geding dat de minister de noodzaak van deze beperking niet voldoende toelicht en dat het besluit onzorgvuldig is genomen. De rechtbank stelt hierbij dat het recht op inzage in persoonsgegevens, zoals vastgelegd in artikel 15 van de AVG, niet absoluut is, maar dat beperkingen strikt noodzakelijk moeten zijn en goed gemotiveerd moeten worden. De minister heeft onvoldoende onderbouwd dat de bescherming van een externe de reden is voor de beperking. De rechtbank oordeelt dat de belangen van de eiser, waaronder zijn professionele reputatie en de mogelijke impact op zijn cliënten, onvoldoende zijn meegewogen. Daarnaast stelt eiser dat de registratie mogelijk verband houdt met een melding van de maatschap waarin hij werkzaam is. De minister betoogt dat de AVG niet van toepassing is op de maatschap, maar de rechtbank wijst erop dat een maatschap geen rechtspersoon is en dat de verstrekte gegevens wel degelijk naar de eiser herleidbaar kunnen zijn. De rechtbank draagt de minister op om binnen zes weken een nieuw besluit te nemen, waarbij de belangen van de eiser en de noodzaak van eventuele beperkingen beter moeten worden gemotiveerd.

Rb. Den Haag 19 december 2024, IT 4792; ECLI:NL:RBDHA:2024:23100 (Verzoekster tegen Stripe). In deze zaak wordt Stripe, een betaaldienstverlener, veroordeeld tot afgifte van gegevens van een webshop aan verzoekster. De feiten zijn als volgt. Verzoekster heeft op 2 december 2022 een bestelling geplaatst ter waarde van iets minder dan honderd euro bij een webshop. Het gekochte goed is niet geleverd. Bij de aankoop hiervan heeft verzoekster gebruikgemaakt van de betalingsdiensten van Stripe. In april 2024 heeft verzoekster op grond van artikel 15 lid 1 onder c AVG aan Stripe informatie over de webshop verzocht, zoals het handelsregisternummer, de handelsnaam en het vestigingsadres van de webshop. Stripe zag geen aanleiding om op grond van de AVG meer gegevens te verstrekken dan het e-mailadres en de website. Dit verzoekt verzoekster nu bij de rechtbank, aangezien zij een rechtsvordering wil instellen tegen de webshop. Stripe is bereid mee te werken, maar kan zich niet vinden in de door verzoekster gekozen wettelijke grondslag en stelt dat zij geen verwerkingsverantwoordelijke is in de zin van art. 15 AVG. Op grond van art. 843a Rv zou dit volgens Stripe wel kunnen. De rechtbank vult op grond van art. 25 Rv de rechtsgrond aan. Aan de voorwaarden van afgifte die volgen uit art. 843a Rv is voldaan en dus moet moet Stripe het handelsregisternummer, de handelsnaam, het vestigingsadres van de webshop en de volledige naam van de natuurlijk persoon die de eigenaar is van de webshop verstrekken.

Hof Arnhem-Leeuwarden 25 februari 2025, IT 4790; ECLI:NL:GHARL:2025:1046 (Hof van Twente tegen Switch) Gemeente Hof van Twente heeft systeembeheer en aanverwante ICT-beheerdienstverlening na een Europese aanbestedingsprocedure in 2018 uitbesteed aan Switch. Op 1 december 2020 heeft bij de gemeente een cyberaanval plaatsgevonden. Daarbij zijn de systemen van het netwerk van de gemeente en de back-up versleuteld en ontoegankelijk gemaakt en vele servers verwijderd. De gemeente houdt Switch daarvoor verantwoordelijk. De gemeente meent dat Switch tekortgeschoten is in de nakoming van haar verplichtingen uit de overeenkomst van partijen, althans haar zorgplicht als ICT-beheerder heeft geschonden, althans onrechtmatig heeft gehandeld. Op grond daarvan vordert de gemeente ontbinding van de overeenkomst, terugbetaling van wat zij op grond van de overeenkomst heeft betaald en schadevergoeding. De rechtbank heeft de vorderingen van de gemeente afgewezen, omdat zij van mening is dat Switch niet tekortgeschoten is in de nakoming van de verplichtingen uit de overeenkomst, noch haar zorgplicht heeft geschonden, en er evenmin sprake is van onrechtmatig handelen.

Rb. Midden-Nederland 8 januari 2025, IT 4787;ECLI:NL:RBMNE:2025:91 (Eisers tegen Minister van Financiën). Vijf eisers hebben op 14 februari 2023 een verwijderingsverzoek ingediend op grond van artikel 17 van de AVG. Dit verzoek ziet op verwijdering van de BSN-nummers van eisers uit de ambtenarentabel. Het verzoek werd door de minister afgewezen. De ambtenarentabel was een instrument om de fiscale integriteit te waarborgen door medewerkers van het ministerie van Financiën en de Belastingdienst te identificeren. De tabel bevatte BSN-nummers van ambtenaren, hun fiscale partners en hun kinderen. Inmiddels is de tabel niet meer operationeel, maar er wordt wel een kopie van 2020 bewaard in een digitale kluis. Eisers voeren aan dat hun BSN-nummers onterecht in deze tabel staan. De minister heeft geen gerechtvaardigd belang bij het bewaren van de persoonsgegevens en mocht het verzoek om de BSN-nummers te verwijderen dan ook niet afwijzen. 

HvJ EU 9 januari 2025, IT 4786; ECLI:EU:C:2025:3 (DSB tegen F R) F R heeft bij de Österreichische Datenschutzbehörde (DSB) een klacht ingediend wegens schending van artikel 15 AVG omdat een vennootschap niet tijdig op zijn verzoek om inzage van persoonsgegevens had geantwoord. DSB weigerde de klacht te behandelen omdat zij deze als buitensporig beschouwde, gezien het feit dat F R in een periode van twintig maanden 77 gelijksoortige klachten had ingediend. F R stelde beroep in tegen dit besluit, waarna de zaak uiteindelijk bij het Verwaltungsgerichtshof terechtkwam. De prejudiciële vragen aan het Hof van Justitie zijn of het begrip verzoek in artikel 57 lid 4 AVG ook klachten omvat wanneer een verzoek als buitensporig kan worden beschouwd en of de toezichthoudende autoriteit vrij is in de keuze om een vergoeding aan te rekenen of de behandeling te weigeren bij buitensporige verzoeken.

Rb. Amsterdam 17 januari 2025, IT 4781; ECLI:NL:RBAMS:2025:882 (Eiser tegen Hoist). In juli 2008 sloot eiser een doorlopend krediet van € 28.000 af bij DNV (later Hoist), maar vanaf januari 2010 ontstonden betalingsproblemen, wat leidde tot een achterstand. DNV registreerde in december 2014 een achterstandscode A in het BKR en in april 2015 een bijzonderheidscode 2, wat duidt op een opeisbare vordering. In januari 2016 diende eiser een klacht in bij het Kifid over het krediet, maar deze werd in augustus 2016 afgewezen. In maart 2021 trad eiser toe tot de WSNP, wat in maart 2024 succesvol werd afgerond, waarna Hoist de vordering grotendeels afschreef en een bijzonderheidscode 3 registreerde, die tot maart 2029 zichtbaar blijft. Op 17 april 2024 verzocht eiser Hoist om de registratie te verwijderen, maar dit verzoek werd afgewezen. Eiser vordert in deze procedure de doorhaling van de registratie bij het BKR te Tiel, alsmede een schadevergoeding ter hoogte van € 10.500 inclusief de wettelijke rente over het gevorderde bedrag vanaf 5 juli 2024 en veroordeling van Hoist in de proceskosten en nakosten.