Persoonsgegevens  

Hof Arnhem-Leeuwarden 23 december 2025, IT 5084; ECLI:NL:GHARL:2025:8556 ([appellant] tegen [geïntimeerde]). [appellant] heeft een auto van [geïntimeerde] gekocht. Na een betaalinstructie vanuit het e-mailadres van [geïntimeerde] heeft [appellant] het grootste deel van de koopprijs betaald op een Duitse bankrekening. Achteraf bleek dat een derde (hierna: de hacker) via het e-mailaccount van [geïntimeerde] een valse betaalinstructie had gestuurd. [geïntimeerde] heeft het bedrag niet ontvangen en heeft geweigerd de auto aan [appellant] te leveren. [appellant] stelt dat hij schade heeft geleden, omdat [geïntimeerde] in strijd met de AVG onvoldoende beveiligingsmaatregelen heeft getroffen om haar e-mailaccount te beschermen, waardoor hij het restantbedrag voor de auto op een verkeerde bankrekening heeft gestort. Hij wil dat [geïntimeerde] dat bedrag betaalt als schadevergoeding samen met een bedrag voor de door hem geleden immateriële schade. Het hof heeft in het tussenarrest [IT 4934] eerst geoordeeld dat [geïntimeerde] niet is geslaagd in haar bewijslevering dat zij de persoonsgegevens op haar e-mailaccount passend had beveiligd in de zin van de AVG. Vervolgens heeft het hof geoordeeld dat [appellant] de door hem gevorderde immateriële schade onvoldoende heeft onderbouwd. Tot slot heeft het hof partijen de mogelijkheid geboden om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [appellant].  

Rb. Midden-Nederland 24 december 2025, IT 5083; ECLI:NL:RBMNE:2025:6857 ([verzoeker] tegen PFZW). [verzoeker] heeft pensioen opgebouwd bij Stichting Pensioenfonds Zorg en Welzijn (hierna: PFZW). Hij verzoekt de rechtbank PFZW te verplichten om al zijn persoonsgegevens toe te sturen en alle berekeningen die ten grondslag liggen aan de hoogte van zijn huidige pensioenuitkering voorzien van een uitleg. 

Rb. Zeeland-West-Brabant 15 december 2025, IT 5071; ECLI:NL:RBZWB:2025:8926 ([verzoeker] tegen Stichting Pensioenfonds Notariaat). [verzoeker] is deelnemer bij Stichting Pensioenfonds Notariaat en ontvangt pensioen. In verband met de overgang naar het nieuwe pensioenstelsel wilde hij zekerheid over de juistheid van de hoogte zijn pensioen. Omdat aan het Uniform Pensioenoverzicht (UPO) geen rechten kunnen worden ontleend, wilt hij inzage in en toelichting bij zijn pensioenopbouw plus een bevestiging dat de gegevens juist zijn. Dit wil hij vooral vanwege de overgang naar het nieuwe pensioenstelsel. Toen het pensioenfonds deze informatie weigerde, wendde hij zich tot de rechtbank met een beroep op art.15 AVG. 

HvJ EU Conclusie A-G 25 september 2025, IT 5066; ECLI:EU:C:2025:733 (NADA Austria e.a.). Sportregelgeving bevindt zich op het snijvlak van verschillende rechtsbronnen. Dit wordt geïllustreerd door de antidopingregelgeving, die het resultaat is van een gezamenlijk normatief project van de private en de publieke sector. Het Hof biedt voor het eerst de gelegenheid om bepaalde aspecten van de antidopingregelgeving te onderzoeken in het licht van de vereisten in verband met de bescherming van persoonsgegevens. In het kader van antidopingprocedures zijn tegen sporters AR, YT, DI en RN (hierna: verzoekers) schorsingsbeslissingen genomen. Deze schorsingen worden bekend gemaakt via een lijst op de website van de Nationale Anti Doping Agentur Austria (hierna: NADA). Verzoekers hebben verzocht om de vermelding te verwijderen, NADA gaf hier geen gehoor aan. Verzoekers hebben daarna een klacht ingediend. De verwijzende rechter stelde daarna de volgende vragen: 

Hof Arnhem-Leeuwarden 17 november 2025, IT 5065; ECLI:NL:GHARL:2025:7218 ([appellant] tegen [geïntimeerde]). Graydon NL, Creditsafe NL en Graydon Holding (hierna: [appellant]) hebben hoger beroep ingesteld tegen een beschikking van de rechtbank Midden-Nederland. In deze beschikking werd [appellant] bevolen om binnen twee weken een volledige lijst van de ontvangers aan wie persoonsgegevens van [geïntimeerde] zijn verstrekt, op te maken. [appellant] is een bedrijfsinformatiespecialist die onder meer in Nederland actief is. Zij richt zich op het verzamelen, samenstellen en delen van (krediet)informatie over bedrijven. [appellant] verwerkt in dat verband ook persoonsgegevens, en is verwerkingsverantwoordelijke. Het handelsregister van de KvK is een van de bronnen die ze gebruikt voor haar eigen database. [appellant] heeft gegevens over de vennootschappen van [geïntimeerde] opgenomen in haar database. Hierbij zijn persoonsgegevens verwerkt, verkregen uit het handelsregister. [geïntimeerde] deed een verzoek tot inzage op grond van art. 15 AVG. Dit verzoek werd door de rechtbank gehonoreerd.  

HvJ EU Conclusie A-G 1 augustus 2025, IT 5055; ECLI:EU:C:2025:623 (Integritetsskyddsmyndigheten tegen AB Storstockholms Lokaltrafik). AB Storstockholms Lokaltrafik (openbaar vervoer Stockholm) rust haar kaartcontroleurs uit met bodycams. Deze nemen continu beeld en geluid op en worden gebruikt bij het uitschrijven van boetes en ter voorkoming en documentatie van agressie. Opnames worden standaard na één minuut gewist, tenzij de controleur de wissing handmatig onderbreekt (bijvoorbeeld bij een boete of bedreiging). De Zweedse Autoriteit voor Gegevensbescherming (Integritetsskyddsmyndigheten) oordeelde dat SL tussen 2018 en 2021 de AVG had geschonden, onder meer doordat passagiers onvoldoende waren geïnformeerd over de gegevensverwerking. SL kreeg een boete van 16 miljoen SEK, waarvan 4 miljoen SEK specifiek wegens schending van de informatieplicht van artikel 13 AVG. De prejudiciële vraag die gesteld werd: "Is bij het verzamelen van persoonsgegevens met bodycams artikel 13 AVG (gegevens rechtstreeks van de betrokkene) of artikel 14 AVG (gegevens niet van de betrokkene verkregen) van toepassing?" 

Prejudiciële vragen gesteld aan HvJEU 2 oktober 2025, IEF 23180; IEFbe 4071; IT 5050; C-643/25 (Verbraucherzentrale Bundesverband) via MinBuza. Verweerder is Meta Platforms Ireland, beheerder van Facebook. Verzoekster is een vereniging van consumentenbeschermingsorganisaties, en bekritiseert de vermelding op Facebook waar staat: ‘Facebook is en blijft gratis’. Volgens verzoekster is dit oneerlijk en misleidend, omdat de gebruiker ‘betaalt’ met het beschikbaar stellen van zijn persoonsgegevens. Het is de vraag of het betalen met persoonsgegevens valt onder de oneerlijke handelspraktijk van punt 20 van bijlage I bij richtlijn 2005/29. 

Gegevens die worden verkregen uit of gegenereerd door een verbonden product of een gerelateerde dienst vallen sinds 21 november 2025 niet meer onder het sui generis databankrecht van de Databankenwet.

Het nieuwe artikel 8a Databankenwet luidt:

“Het recht, bedoeld in artikel 2, eerste lid, is niet van toepassing wanneer gegevens worden verkregen uit of gegenereerd door een verbonden product of gerelateerde dienst als bedoeld in artikel 43 van Verordening (EU) 2023/2854 (...).”

Dat blijkt uit de Uitvoeringswet dataverordening van 29 oktober 2025, ter uitvoering van Verordening (EU) 2023/2854 (Dataverordening) van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data.

Rb. Rotterdam 29 oktober 2025, IT 5031; ECLI:NL:RBROT:2025:13090 (officier van justitie tegen [verdachte]). De Rechtbank Rotterdam veroordeelt verdachte voor grootschalige cyberfraude tegen klanten van vermogensbeheerder Robeco en voor het kopen en voorhanden hebben van zogenoemde “bots” via Genesis Market. In de Robeco-zaak (2019–2021) logden verdachte en mededaders met gestolen inloggegevens in op MijnRobeco-accounts, wijzigden contact- en rekeninggegevens, deden zich telefonisch en per e-mail voor als klanten, lieten beleggingen verkopen en saldo’s overboeken naar rekeningen van fraudeurs, waardoor circa € 230.000 verdween. De rechtbank acht daarmee computervredebreuk, oplichting en diefstal met valse sleutel bewezen. Op telefoons en laptops die aan verdachte worden toegerekend stonden inloggegevens, persoonsgegevens en chats over de fraude; verweren over een vormverzuim bij de doorzoeking en dat vooral de ex-partner verantwoordelijk zou zijn, worden verworpen. Eén tenlastegelegd feit (feit 3, art. 231b Sr) leidt echter tot ontslag van alle rechtsvervolging omdat de tenlastelegging niet alle wettelijke bestanddelen bevat. Daarnaast acht de rechtbank bewezen dat verdachte tussen 2018 en 2022 via drie Genesis-accounts in totaal 377 bots kocht en de daarop aanwezige inloggegevens en cookies van derden verwierf en voorhanden had met het oogmerk daarmee computervredebreuk en verwante cyberdelicten te plegen.

Prejudiciële vragen gesteld aan HvJEU 27 augustus 2025, IT 5021; IEFbe 4044; C-568/25 (Verein für Konsumenteninformation tegen Universal Versand) via Minbuza. Universal Versand is een postorderbedrijf en sluit voornamelijk digitaal koopovereenkomsten met consumenten. Bij de digitale aankopen doet het bedrijf een kredietwaardigheidscontrole wanneer de consument kiest voor een onveilige betaalmethode, zoals koop op rekening. Bij de controle wordt er een ‘rating’ gegeven over de kans op wanbetaling door de consument. Deze rating wordt gebaseerd op een combinatie van gegevens, zoals leeftijd en adresgegevens. Bij een slechte rating wordt de gekozen onveilige betaalmethode geweigerd. De Verein für Konsumenteninformation stelt dat Universal Versand hiermee stelselmatig artikel 22, lid 1 AVG schendt. In dat artikel staat dat een betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden. De Oostenrijkse rechter vraagt het Hof om uitleg van artikel 22 AVG.