Persoonsgegevens  

Rb. Rotterdam 23 juli 2025; IT 4941; ECLI:NL:RBROT:2025:9088 (SDBN tegen Amazon). De Rechtbank Rotterdam heeft in een collectieve actie van de Stichting Data Bescherming Nederland (SDBN) tegen Amazon prejudiciële vragen gesteld aan het Hof van Justitie van de EU. SDBN stelt dat Amazon sinds 25 mei 2018 persoonsgegevens van circa vijf miljoen Nederlandse accounthouders in strijd met de AVG verwerkt en vordert dat Amazon dit onrechtmatig handelen staakt en schade vergoedt. De procedure valt onder de WAMCA (Wet afwikkeling massaschade in collectieve actie), die sinds 2020 ook schadevergoedingsvorderingen in collectieve acties mogelijk maakt. Kernpunt is of SDBN voldoet aan de ontvankelijkheidseisen van de WAMCA, waaronder de gelijksoortigheid van belangen en representativiteit van de achterban. Amazon betwist dat, onder meer vanwege het ontbreken van voldoende steun vanuit de achterban en de afhankelijkheid van procesfinanciering. De rechtbank oordeelde dat SDBN grotendeels voldoet aan de formele WAMCA-vereisten, maar hield de beoordeling van representativiteit en gelijksoortigheid aan in afwachting van uitleg door het HvJEU.

Rb. Amsterdam 4 februari 2020, IT 4940; ECLI:NL:RBAMS:2020:3786 (Eiseres tegen de korpschef van politie). Eiseres verzoekt de politie om inzage in alle over haar geregistreerde persoonsgegevens, gebaseerd op de AVG. Ze wil weten welke gegevens er zijn, het doel van gebruik, aan wie ze zijn verstrekt, hoe ze worden beveiligd, de herkomst, de opslagduur en of er automatische besluitvorming plaatsvindt. Ze vraagt ook om inzage in verslagstukken van gesprekken met de wijkagent. De korpschef interpreteert het verzoek echter als een inzageverzoek op grond van artikel 25 van de Wet politiegegevens (Wpg) en verstrekt een overzicht van alle registraties in het Bedrijfsprocessensysteem van de politie. Oudere gegevens zijn verwijderd of beperkt raadpleegbaar, en communicatie met derden zoals de GGD vindt plaats op basis van art. 20 Wpg en het convenant Zorg en Overlast. Er is geen sprake van automatische besluitvorming en er zijn passende beveiligingsmaatregelen getroffen.

RvS 30 juli 2025, IT 4939; ECLI:NL:RVS:2025:3561 (Appellant sub 1 tegen de burgemeester van Eindhoven). Appellant had de burgemeester van Eindhoven op grond van de Wet open overheid verzocht om informatie over een vermeend buurtonderzoek aan de Lorrainelaan. Zij wilde weten of er een buurtonderzoek aan de Lorrainelaan had plaatsgevonden en vroeg tevens om alle meldingen die over haar zouden zijn gedaan en wat daarmee was gebeurd. Naar aanleiding van dit verzoek verstrekte de gemeente een overzicht van meldingen van woonoverlast, waarin de gegevens van melders waren geanonimiseerd. In dat overzicht stond ook een adres vermeld dat betrekking had op een boom in de openbare ruimte. De appelant stelde dat de vermelding van dit adres in strijd was met de Algemene verordening gegevensbescherming, omdat het haar adres betrof en daarmee een persoonsgegeven vormde. De rechtbank oordeelde dat een adres in dit overzicht een persoonsgegeven kon zijn, omdat het in verband was gebracht met meldingen van woonoverlast en eenvoudig te herleiden viel tot de eigenaar van het pand. De rechtbank achtte dit in strijd met de AVG en droeg de burgemeester op een nieuw besluit te nemen. Het beroep werd gegrond verklaard en een verzoek om schadevergoeding werd afgewezen.

Raad van State 30 juli 2025, IT 4938; ECLI:NL:RVS:2025:3578 (Appellante tegen de minister voor Rechtsbescherming). De minister voor Rechtsbescherming heeft een verzoek van [appellante] op grond van de Wet justitiële en strafvorderlijke gegevens (Wjsg) toegewezen voor inzage in gegevens, maar het verzoek om schadevergoeding wegens een foutieve brief van het CJIB afgewezen. Die brief uit juli 2020 over een verlenging van een taakstraf was het gevolg van een onrechtmatige verwerking van persoonsgegevens, omdat een uitspraak waarin de taakstraf was vernietigd niet in de systemen was verwerkt. [appellante] voerde aan dat sprake was van een schending van de Algemene verordening gegevensbescherming (AVG) en dat zij daardoor recht had op schadevergoeding. De Afdeling bestuursrechtspraak oordeelde echter dat, hoewel de gegevens gedurende twee jaar onrechtmatig zijn verwerkt en dit voor [appellante] stress en ongemak heeft veroorzaakt, niet is gebleken van een aantasting in haar eer, goede naam of persoon. Daarom hoefde de minister geen immateriële schadevergoeding toe te kennen. Wel stelde de Afdeling vast dat de totale procedure vier jaar en vijf maanden heeft geduurd, waardoor de redelijke termijn met vijf maanden is overschreden. Hiervoor is een schadevergoeding van € 500,- toegekend, waarvan € 333,33 ten laste van de Staat en € 166,67 ten laste van de minister komt. Het hoger beroep is ongegrond en de uitspraak van de rechtbank is bevestigd.

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Hof Den Haag 1 april 2025, IT 4931; ECLI:NL:GHDHA:2025:1243 (Verzoekster tegen Klaverblad). Verzoekster had bij Klaverblad een rechtsbijstandsverzekering. Naar aanleiding van vier claims registreerde Klaverblad persoonsgegevens, waaronder schadebedragen, in de databank van Stichting CIS. Verzoekster verzocht verwijdering van de opgenomen bedragen, stellende dat het ging om afkoop- en schikkingsbedragen, en dat opname strijdig was met de AVG, het CIS Privacyreglement en het CIS Gebruikersprotocol.De rechtbank wees het verzoek af. In hoger beroep oordeelt het hof dat het bedrag in claimmelding 1 (€ 3.762,40), dat Klaverblad betaalde ter afkoop van een verzekerde zaak, terecht is geregistreerd als feitelijk uitgekeerd schadebedrag. Het beroep faalt op dat punt. De bedragen in claimmeldingen 2, 3 en 4 (€ 10.000,- en tweemaal € 2.500,-) betroffen echter een schikking in het kader van een vaststellingsovereenkomst ter beëindiging van het conflict tussen partijen zelf, en niet een uitkering uit hoofde van de verzekering. Deze bedragen kwalificeren daarom niet als feitelijk uitgekeerd schadebedrag ex art. 4 CIS Privacyreglement. Nu Klaverblad geen zelfstandig belang bij de opname had, is de registratie onrechtmatig onder art. 6 lid 1 sub f AVG. Het hof gelast verwijdering van die drie bedragen uit de CIS-databank. De gevorderde dwangsom wordt afgewezen vanwege vrijwillige nakoming, evenals de gevraagde schadevergoeding wegens onvoldoende onderbouwing. Klaverblad wordt veroordeeld in de proceskosten in beide instanties.

Rb. Overijssel 16 juli 2025, IT 4930; ECLI:NL:RBOVE:2025:4820 (Eiser tegen Risepoint). [Eiser] had vóór 1 oktober 2021 deelgenomen aan online kansspelen bij Unibet, geëxploiteerd door Risepoint Limited, en verzocht in 2025 om inzage in zijn transactiegegevens. Risepoint weigerde deze gegevens te verstrekken, onder verwijzing naar een beperking in de Maltese wetgeving, ondanks eerdere toezending van andere persoonsgegevens. [Eiser] vorderde in kort geding dat Risepoint verplicht zou worden om binnen 14 dagen zijn volledige transactiegegevens te verstrekken, op straffe van een dwangsom, en vroeg tevens een verbod op vernietiging van deze gegevens. Risepoint voerde aan dat zij op grond van de Maltese Restriction Regulation niet verplicht was de transactiegegevens te verstrekken, mede vanwege haar verdedigingsbelang bij mogelijke juridische claims. De voorzieningenrechter oordeelde dat het inzagerecht uit de AVG rechtstreeks van toepassing is en dat de door Risepoint ingeroepen Maltese beperking niet gerechtvaardigd is, omdat deze niet noodzakelijk en evenredig is in de zin van artikel 23 AVG. Daarbij werd overwogen dat transactiegegevens persoonsgegevens zijn en dat het verdedigingsbelang van Risepoint niet zwaarder weegt dan het recht van [eiser] op inzage. De rechter achtte het spoedeisend belang van [eiser] voldoende onderbouwd, mede gezien de persoonlijke gevolgen van zijn gokverslaving en de veranderde houding van Risepoint ten aanzien van het verstrekken van gegevens. De vordering tot inzage werd toegewezen, met de verplichting voor Risepoint om de transactiegegevens in een gangbaar elektronisch formaat te verstrekken. De gevorderde dwangsom werd eveneens toegewezen, terwijl het verbod op vernietiging van gegevens werd afgewezen wegens gebrek aan belang. Risepoint werd veroordeeld in de proceskosten en het vonnis werd uitvoerbaar bij voorraad verklaard.

Rb. Zeeland-West-Brabant 6 juni 2025, IT 4925; ECLI:NL:RBZWB:2025:4185 (Verzoeker). Deze zaak betreft een verzoeker die in het Fraude Signalering Voorziening (FSV)-systeem van de Belastingdienst was geregistreerd. De Belastingdienst heeft erkend dat het gebruik van het FSV-systeem niet voldeed aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Verzoeker stelde dat hij door deze onterechte registratie schade heeft geleden en diende een schadeverzoek in bij de Belastingdienst. Nadat zijn verzoek was afgewezen, stelde verzoeker beroep in bij de bestuursrechter en vorderde schadevergoeding. De rechtbank moet beoordelen of zij bevoegd was om over het schadeverzoek te oordelen. De rechter overweegt in dit kader dat de verwerking van persoonsgegevens in het FSV-systeem een feitelijke handeling is en geen besluit in de zin van artikel 1:3, eerste lid, Awb. Hierdoor valt het schadeverzoek niet onder het bestuursrecht, maar onder het civiele recht. De bestuursrechter kan daarom geen oordeel geven over de rechtmatigheid van het schadeverzoek. De rechtbank verklaart zich onbevoegd om het verzoek te behandelen. Verzoeker moet zich voor zijn schadeverzoek tot de burgerlijke rechter wenden.

Rb. Gelderland 19 mei 2025, IT 4918; ECLI:NL:RBGEL:2025:5218 (Verzoekster tegen Leger Des Heils). De zaak betreft een verzoek van een moeder om inzage in haar persoonsgegevens die zijn verwerkt door het Leger des Heils in het kader van de ondertoezichtstelling van haar kinderen. Zij vordert onder meer een volledig overzicht van haar persoonsgegevens uit het dossier van haar kind, informatie over verstrekking aan derden, benoeming van een onafhankelijke deskundige en proceskostenveroordeling. De moeder stelt dat niet volledig aan haar inzageverzoek is voldaan, dat documenten zijn achtergehouden en dat er mogelijk een schaduwdossier bestaat. Het Leger des Heils voert aan dat vrijwel volledig aan het verzoek is voldaan, dat sommige gevraagde documenten niet bestaan of reeds zijn verstrekt, en dat geen sprake is van misbruik van het inzagerecht. De rechtbank overweegt dat het inzagerecht uit de AVG ruim is, maar dat de verzoeker moet onderbouwen dat bepaalde documenten bestaan als de verwerkingsverantwoordelijke betwist dat deze er zijn. De rechter oordeelt dat het Leger des Heils grotendeels aan het verzoek heeft voldaan en dat er geen aanwijzingen zijn voor het bestaan van achtergehouden documenten of schaduwdossiers. Wel moet het Leger des Heils nog het voorblad van een specifiek verzoek en het overgedragen dossier van de voorganger verstrekken, voor zover daar persoonsgegevens van verzoekster in staan. De overige verzoeken, waaronder het benoemen van een deskundige en het opleggen van een dwangsom, worden afgewezen. De rechtbank verklaart de moeder deels niet-ontvankelijk en wijst haar grotendeels in het ongelijk. Tot slot wordt de moeder veroordeeld in de proceskosten.