Persoonsgegevens  

HvJ EU Conclusie A-G 25 september 2025, IT 5066; ECLI:EU:C:2025:733 (NADA Austria e.a.). Sportregelgeving bevindt zich op het snijvlak van verschillende rechtsbronnen. Dit wordt geïllustreerd door de antidopingregelgeving, die het resultaat is van een gezamenlijk normatief project van de private en de publieke sector. Het Hof biedt voor het eerst de gelegenheid om bepaalde aspecten van de antidopingregelgeving te onderzoeken in het licht van de vereisten in verband met de bescherming van persoonsgegevens. In het kader van antidopingprocedures zijn tegen sporters AR, YT, DI en RN (hierna: verzoekers) schorsingsbeslissingen genomen. Deze schorsingen worden bekend gemaakt via een lijst op de website van de Nationale Anti Doping Agentur Austria (hierna: NADA). Verzoekers hebben verzocht om de vermelding te verwijderen, NADA gaf hier geen gehoor aan. Verzoekers hebben daarna een klacht ingediend. De verwijzende rechter stelde daarna de volgende vragen: 

Hof Arnhem-Leeuwarden 17 november 2025, IT 5065; ECLI:NL:GHARL:2025:7218 ([appellant] tegen [geïntimeerde]). Graydon NL, Creditsafe NL en Graydon Holding (hierna: [appellant]) hebben hoger beroep ingesteld tegen een beschikking van de rechtbank Midden-Nederland. In deze beschikking werd [appellant] bevolen om binnen twee weken een volledige lijst van de ontvangers aan wie persoonsgegevens van [geïntimeerde] zijn verstrekt, op te maken. [appellant] is een bedrijfsinformatiespecialist die onder meer in Nederland actief is. Zij richt zich op het verzamelen, samenstellen en delen van (krediet)informatie over bedrijven. [appellant] verwerkt in dat verband ook persoonsgegevens, en is verwerkingsverantwoordelijke. Het handelsregister van de KvK is een van de bronnen die ze gebruikt voor haar eigen database. [appellant] heeft gegevens over de vennootschappen van [geïntimeerde] opgenomen in haar database. Hierbij zijn persoonsgegevens verwerkt, verkregen uit het handelsregister. [geïntimeerde] deed een verzoek tot inzage op grond van art. 15 AVG. Dit verzoek werd door de rechtbank gehonoreerd.  

HvJ EU Conclusie A-G 1 augustus 2025, IT 5055; ECLI:EU:C:2025:623 (Integritetsskyddsmyndigheten tegen AB Storstockholms Lokaltrafik). AB Storstockholms Lokaltrafik (openbaar vervoer Stockholm) rust haar kaartcontroleurs uit met bodycams. Deze nemen continu beeld en geluid op en worden gebruikt bij het uitschrijven van boetes en ter voorkoming en documentatie van agressie. Opnames worden standaard na één minuut gewist, tenzij de controleur de wissing handmatig onderbreekt (bijvoorbeeld bij een boete of bedreiging). De Zweedse Autoriteit voor Gegevensbescherming (Integritetsskyddsmyndigheten) oordeelde dat SL tussen 2018 en 2021 de AVG had geschonden, onder meer doordat passagiers onvoldoende waren geïnformeerd over de gegevensverwerking. SL kreeg een boete van 16 miljoen SEK, waarvan 4 miljoen SEK specifiek wegens schending van de informatieplicht van artikel 13 AVG. De prejudiciële vraag die gesteld werd: "Is bij het verzamelen van persoonsgegevens met bodycams artikel 13 AVG (gegevens rechtstreeks van de betrokkene) of artikel 14 AVG (gegevens niet van de betrokkene verkregen) van toepassing?" 

Prejudiciële vragen gesteld aan HvJEU 2 oktober 2025, IEF 23180; IEFbe 4071; IT 5050; C-643/25 (Verbraucherzentrale Bundesverband) via MinBuza. Verweerder is Meta Platforms Ireland, beheerder van Facebook. Verzoekster is een vereniging van consumentenbeschermingsorganisaties, en bekritiseert de vermelding op Facebook waar staat: ‘Facebook is en blijft gratis’. Volgens verzoekster is dit oneerlijk en misleidend, omdat de gebruiker ‘betaalt’ met het beschikbaar stellen van zijn persoonsgegevens. Het is de vraag of het betalen met persoonsgegevens valt onder de oneerlijke handelspraktijk van punt 20 van bijlage I bij richtlijn 2005/29. 

Gegevens die worden verkregen uit of gegenereerd door een verbonden product of een gerelateerde dienst vallen sinds 21 november 2025 niet meer onder het sui generis databankrecht van de Databankenwet.

Het nieuwe artikel 8a Databankenwet luidt:

“Het recht, bedoeld in artikel 2, eerste lid, is niet van toepassing wanneer gegevens worden verkregen uit of gegenereerd door een verbonden product of gerelateerde dienst als bedoeld in artikel 43 van Verordening (EU) 2023/2854 (...).”

Dat blijkt uit de Uitvoeringswet dataverordening van 29 oktober 2025, ter uitvoering van Verordening (EU) 2023/2854 (Dataverordening) van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data.

Rb. Rotterdam 29 oktober 2025, IT 5031; ECLI:NL:RBROT:2025:13090 (officier van justitie tegen [verdachte]). De Rechtbank Rotterdam veroordeelt verdachte voor grootschalige cyberfraude tegen klanten van vermogensbeheerder Robeco en voor het kopen en voorhanden hebben van zogenoemde “bots” via Genesis Market. In de Robeco-zaak (2019–2021) logden verdachte en mededaders met gestolen inloggegevens in op MijnRobeco-accounts, wijzigden contact- en rekeninggegevens, deden zich telefonisch en per e-mail voor als klanten, lieten beleggingen verkopen en saldo’s overboeken naar rekeningen van fraudeurs, waardoor circa € 230.000 verdween. De rechtbank acht daarmee computervredebreuk, oplichting en diefstal met valse sleutel bewezen. Op telefoons en laptops die aan verdachte worden toegerekend stonden inloggegevens, persoonsgegevens en chats over de fraude; verweren over een vormverzuim bij de doorzoeking en dat vooral de ex-partner verantwoordelijk zou zijn, worden verworpen. Eén tenlastegelegd feit (feit 3, art. 231b Sr) leidt echter tot ontslag van alle rechtsvervolging omdat de tenlastelegging niet alle wettelijke bestanddelen bevat. Daarnaast acht de rechtbank bewezen dat verdachte tussen 2018 en 2022 via drie Genesis-accounts in totaal 377 bots kocht en de daarop aanwezige inloggegevens en cookies van derden verwierf en voorhanden had met het oogmerk daarmee computervredebreuk en verwante cyberdelicten te plegen.

Prejudiciële vragen gesteld aan HvJEU 27 augustus 2025, IT 5021; IEFbe 4044; C-568/25 (Verein für Konsumenteninformation tegen Universal Versand) via Minbuza. Universal Versand is een postorderbedrijf en sluit voornamelijk digitaal koopovereenkomsten met consumenten. Bij de digitale aankopen doet het bedrijf een kredietwaardigheidscontrole wanneer de consument kiest voor een onveilige betaalmethode, zoals koop op rekening. Bij de controle wordt er een ‘rating’ gegeven over de kans op wanbetaling door de consument. Deze rating wordt gebaseerd op een combinatie van gegevens, zoals leeftijd en adresgegevens. Bij een slechte rating wordt de gekozen onveilige betaalmethode geweigerd. De Verein für Konsumenteninformation stelt dat Universal Versand hiermee stelselmatig artikel 22, lid 1 AVG schendt. In dat artikel staat dat een betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden. De Oostenrijkse rechter vraagt het Hof om uitleg van artikel 22 AVG.

Prejudiciële vragen gesteld aan het HvJEU 9 september 2025, IT 5020; IEFbe 4043; C-594/25 (KL tegen Vodafone) via Minbuza. KL heeft met Vodafone, een telecommunicatiebedrijf, in 2021 een contract afgesloten. Daarna bleek dat het bedrijf verschillende persoonsgegevens van KL heeft doorgegeven aan een kredietinformatiebureau, waaronder adresgegevens en informatie over het contract. Het bureau heeft deze gegevens gebruikt voor het opstellen van profielen voor het inschatten van frauderisico’s. KL vordert schadevergoeding op grond van artikel 82 AVG. De Duitse rechter heeft twijfels over de vraag of artikel 6, lid 1, onder f), AVG een voldoende nauwkeurige grondslag kan vormen voor de massale doorzending van de ‘positieve gegevens’ tussen particulieren in het kader van fraudevoorkoming. 

AG HvJ EU 23 oktober 2025, gevoegde zaken C-258/23, C-259/23 en C-260/23, IT 5016; ECLI:EU:C:2025:814; (IMI tegen AdC; Synlabhealth tegen AdC; SIBS e.a. tegen AdC). In deze gevoegde zaken onderzoekt de AG of een nationale mededingingsautoriteit tijdens een bedrijfsinspectie zakelijke e-mails mag doorzoeken en kopiëren zonder voorafgaande rechterlijke machtiging. De Portugese mededingingsautoriteit (AdC) nam tijdens onderzoeken naar mogelijke schendingen van artikel 101 en 102 VWEU e-mails uit de werkmail van ondernemingen in beslag op grond van de nationale mededingingswet, met toestemming van het Openbaar Ministerie maar zonder voorafgaande rechterlijke toetsing. De verwijzende rechter wil weten of dit verenigbaar is met artikel 7 en 8 van het EU-Handvest, met name gezien het arrest Landeck (2024), waarin het Hof oordeelde dat toegang tot alle gegevens op een mobiele telefoon een zeer ernstige inmenging vormt waarvoor steeds voorafgaande rechterlijke toetsing nodig is.

Rb. Zeeland-West-Brabant 4 november 2025, IEF 23094; IT 5011; ECLI:NL:RBZWB:2025:7551 ([verzoeker] tegen KNVvL). [verzoeker] heeft deelgenomen aan een opleidingstraject bij [bedrijf]. Op 14 mei 2025 is [verzoeker] tijdens een parachutesprong, die onderdeel uitmaakte van het opleidingstraject, ernstig gewond geraakt. [verzoeker] heeft in juni een verzoek ingediend bij de Koninklijke Nederlandse Vereniging voor Luchtvaart (hierna: KNVvL) tot inzage of verstrekking van het incidentenrapport. [verzoeker] wil het rapport controleren en een mening vormen over het ongeval, waar hij geen herinnering meer aan heeft. De KNVvL heeft dit verzoek afgewezen. De KNVvL stelt zich op het standpunt dat gegevens over het ongeval geen persoonsgegevens zijn. Daarnaast voert zij aan dat het voor het creëren van een veilige omgeving waarin personeel zonder angst voor represailles of straf fouten of gevaarlijke situaties kunnen melden, van belang is dat deze meldingen vertrouwelijk kunnen worden gedaan.