Persoonsgegevens  

Prejudiciële vragen gesteld aan HvJEU 22 oktober 2025, IT 5159; IEFbe 4160; C-676/25 (I. N. R. tegen "Viva Credit” AD) via MinBuza. In september 2023 hebben ‘I.N.R.’ en verwerende partij ‘Viva Credit’ een leningsovereenkomst gesloten. In april 2025, na beëindiging van de overeenkomst, heeft I.N.R. op basis van artikel 15 AVG een verzoek ingediend bij verweerder en verzocht om alle informatie omtrent het gebruik van zijn persoonsgegevens met hem te delen. Viva Credit heeft een uittreksel van de leningsovereenkomst met daarin de verwerkte persoonsgegevens met hem gedeeld. Viva Credit weigert vervolgens het nieuwe verzoek van I.N.R. om een kopie van de volledige overeenkomsten met hem te delen (en niet alleen de uittreksels), waarna I.N.R. in beroep gaat. De Bulgaarse rechter vraagt het Hof naar de reikwijdte van artikel 15 AVG. 

Prejudiciële vragen gesteld aan HvJEU 6 oktober 2025, IT 5158; IEFbe 4158 (US en DR tegen KY) via MinBuza. Verzoeker exploiteert een website waarin hij Google Fonts heeft geïntegreerd. Hierdoor worden bij het bezoeken van de betreffende websites de lettertypen van Google Fonts via een Google-server gedownload en het betreffende IP-adres van de bezoeker naar Google in de VS verzonden. Een bezoeker van de site, die middels een webcrawler bewust de doorgiften uitlokte, vordert schadevergoeding wegens een vermeende inbreuk op zijn AVG-rechten. Verzoeker betaalde onder druk, maar vorderde terugbetaling. Verzoeker kreeg in hoger beroep gelijk omdat een dynamische IP-adres geen persoonsgegeven is, waardoor er geen schadevergoedingsrecht zou zijn ontstaan en de bezoeker daarmee rechtsmisbruik pleegde. De verwijzende rechter vraagt het Hof wanneer een dynamisch IP-adres volgens het Unierecht als persoonsgegeven geldt, of schadevergoeding mogelijk is wanneer de betrokkene de inbreuk bewust heeft uitgelokt, en in hoeverre een dergelijk geval tot rechtsmisbruik kan leiden. 

Hof Den Haag 24 februari 2026, IT 5156; ECLI:NL:GHARL:2026:1050 ([verzoeker] tegen Divosa). Het hof oordeelt dat een verzoek tot rectificatie van persoonsgegevens op grond van artikel 16 AVG wordt afgewezen, omdat geen sprake is van “onjuiste” gegevens in de zin van de AVG. De betwiste persoonsgegevens waren opgenomen in processtukken en een strafrechtelijke aangifte en dienden het doel om juridische standpunten te onderbouwen respectievelijk aangifte te doen. Het hof benadrukt dat de juistheid van persoonsgegevens moet worden beoordeeld in het licht van het doel van de verwerking. Stellingen in processtukken gelden daarbij niet als onjuist, ook niet als zij later feitelijk onjuist blijken, omdat zij onderdeel zijn van het procesrechtelijke debat.

Rb. Amsterdam 24 december 2025, IT&R 5137; ECLI:NL:RBAMS:2025:11284 (Eisers tegen Risepoint). In dit kort geding bij de rechtbank Amsterdam vorderden negentien voormalige Unibet-spelers dat Risepoint Limited hun op grond van art. 15 AVG inzage zou geven in hun persoonsgegevens, in het bijzonder hun transactiegeschiedenis en transactieoverzichten, zodat zij konden nagaan welke stortingen en opnames zij hadden gedaan. Risepoint had Unibet tot 1 oktober 2021 zonder Nederlandse vergunning op de Nederlandse markt aangeboden. De eisers hadden tussen maart 2024 en januari 2025 inzageverzoeken gedaan, maar daarop was niet tijdig of niet inhoudelijk beslist. De voorzieningenrechter oordeelt eerst dat de Amsterdamse rechter bevoegd is op grond van art. 79 lid 2 AVG en dat ook de vorderingen van buiten Amsterdam wonende eisers gezamenlijk in Amsterdam konden worden behandeld wegens de nauwe samenhang tussen de zaken. Ook is sprake van spoedeisend belang, omdat Risepoint de verzoeken niet binnen de in art. 12 lid 3 AVG genoemde termijn heeft gehonoreerd en zich bovendien in deze procedure op het standpunt stelde daartoe niet verplicht te zijn. De zaak is volgens de rechter ook geschikt voor behandeling in kort geding.

Hof Amsterdam 10 maart 2026, IT&R 5136; ECLI:NL:GHAMS:2026:595 ([appellant] tegen OfficeGrip). In dit arrest van het Gerechtshof Amsterdam staat de vraag centraal of OfficeGrip, als nieuwe ICT-leverancier van [appellant], aansprakelijk is voor schade die zou zijn ontstaan door verlies van data na de overstap van de oude ICT-leverancier [bedrijf 2] naar OfficeGrip. Het hof bekrachtigt het vonnis van de rechtbank en oordeelt dat OfficeGrip niet aansprakelijk is. Doorslaggevend is dat datamigratie geen onderdeel van de opdracht was. Uit de op 11 juni 2019 ondertekende offerte volgt namelijk dat de datamigratietool op nul stond en dus geen deel uitmaakte van de overeenkomst; ook mailboxmigratie maakte bij het aangaan van de overeenkomst niet zonder meer deel uit van de opdracht. Dat in de offerte en latere correspondentie wel over “migratie” werd gesproken, maakt dat volgens het hof niet anders, omdat die term daar zag op migratie in algemene zin of op mailboxstructuren, en niet op het overzetten van alle bestaande data. Integendeel: uit de e-mails van 21, 25 en 26 juni 2019 blijkt juist dat [appellant] de data die “mee moest” zelf diende te kopiëren naar de tijdelijke SharePoint-back-upsite die OfficeGrip had ingericht. Daarmee faalt het kernverwijt dat OfficeGrip contractueel verantwoordelijk was voor het veiligstellen en migreren van alle data.

Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Hof Amsterdam 16 oktober 2025, IT&R 5128; ECLI:NL:GHAMS:2025:3771 (Openbaar Ministerie tegen [verdachte]). In deze strafzaak oordeelt het Gerechtshof Amsterdam dat de verdachte zich schuldig maakt aan een samenhangende phishingconstructie gericht op klanten van International Card Services (ICS). Het hof acht bewezen dat hij in de periode van 1 augustus 2023 tot en met 30 september 2023 meermalen twee slachtoffers door valse, als van ICS afkomstige e-mails en nagemaakte ICS-websites beweegt tot het prijsgeven van inlog-, bank- en klantgegevens en tweefactorauthenticatiecodes, zodat sprake is van oplichting. Daarnaast acht het hof bewezen dat de verdachte in de periode van 1 augustus 2023 tot en met 6 januari 2024 phishingwebsites en bijbehorende bestanden voorhanden heeft met het oogmerk computervredebreuk te plegen, en dat hij met de aldus verkregen gegevens via de ICS-app meermalen binnendringt in het geautomatiseerde werk van ICS door zich voor te doen als geautoriseerde klant. Het hof verbindt de verdachte aan deze feiten op basis van onder meer de hostinggegevens, de aan hem te koppelen cryptowallet, het bij de hosting gebruikte e-mailadres, het IP-adres van zijn woonadres, de op zijn telefoons aangetroffen Telegram-bots en de gephishte gegevens van in totaal 65 personen. Ook acht het hof bewezen dat hij een gasvuurwapen in de vorm van een revolver voorhanden heeft. Wel volgt partiële vrijspraak voor zover onder feit 1 ook oplichting van ICS is ten laste gelegd, omdat de tenlastelegging geen oplichtingshandelingen jegens ICS zelf bevat, en voor enkele onderdelen van de feiten 1 en 2 waarvoor het dossier onvoldoende grondslag biedt.

Rb. Amsterdam 4 februari 2026, IEF 23327; IEFbe 5126; ECLI:NL:RBAMS:2026:1555 (SDBN tegen X Corp c.s.). De Rechtbank Amsterdam oordeelt in deze tussenuitspraak dat Stichting Data Bescherming Nederland (SDBN) op basis van de huidige stand van de procedure niet ontvankelijk zou moeten worden verklaard in haar collectieve vorderingen tegen X Corp c.s. over het gebruik van persoonsgegevens via MoPub-apps. Volgens de rechtbank is niet voldaan aan het representativiteitsvereiste van artikel 3:305a BW. Daarbij weegt mee dat SDBN zegt op te komen voor een zeer omvangrijke groep, die volgens de rechtbank in de praktijk ongeveer overeenkomt met vrijwel alle Nederlandse smartphonegebruikers in de relevante periode, terwijl zich slechts circa 11.000 personen via de website hebben aangemeld. Dat aantal acht de rechtbank, afgezet tegen een potentiële groep van ongeveer 11 miljoen personen, te gering om te kunnen aannemen dat sprake is van een voldoende echte en niet te verwaarlozen achterban. Ook acht de rechtbank van belang dat de website van SDBN geen volledig juist beeld gaf van de ingestelde procedure, omdat daar onvoldoende duidelijk werd gemaakt dat de zaak in wezen betrekking heeft op schadevergoeding wegens gegevensverwerkingen uit het verleden, uitsluitend tegen X Corp c.s., en niet op het afdwingen van toekomstig gedrag van “Twitter en andere bedrijven”.

Rb. Overijssel 13 februari 2026, IT 5122; ECLI:NL:RBOVE:2026:715 ([eiser] tegen de burgemeester van Zwolle). [eiser] verzocht om inzage in zijn persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC), dat was opgesteld naar aanleiding van een vergunningaanvraag. De burgemeester weigerde inzage onder verwijzing naar de geheimhoudingsplicht van artikel 28 Wet Bibob. Volgens de burgemeester valt het RIEC-advies onder het gesloten verstrekkingenregime van de Wet Bibob en zou verstrekking afbreuk doen aan de rechten en vrijheden van anderen.

ABRvS 25 februari 2026, IT 5117; ECLI:NL:RVS:2026:1033 ([appellant] tegen de Minister van Financiën). De Afdeling bestuursrechtspraak van de Raad van State oordeelt dat de Minister van Financiën de naam van een derde die informatie over een betrokkene aan de Belastingdienst heeft verstrekt, niet hoeft te verstrekken op grond van het inzagerecht van art.15 AVG. [appellant] had om inzage in zijn persoonsgegevens verzocht omdat hij vermoedde dat de Belastingdienst hem ten onrechte als fraudeur had aangemerkt en daarbij ook medische informatie had gebruikt. De minister verstrekte aanvullende persoonsgegevens en informatie over de bron, maar weigerde de naam van de informant bekend te maken. Volgens de minister betrof de naam geen persoonsgegeven van appellant en zou verstrekking bovendien de persoonlijke levenssfeer van de derde aantasten.