Privacy  

Rb. Amsterdam 18 maart 2026, IT 5191; ECLI:NL:RBAMS:2026:2896 (Responders tegen [gedaagden]). [gedaagde] moet ruim €92.000 betalen aan Responders voor werkzaamheden na een ransomware-aanval. Volgens de rechtbank is geen sprake van ontbinding of tekortkoming en zijn de gefactureerde uren voldoende onderbouwd. Na een aanval door de Lockbit-groep schakelde [gedaagde] Responders in voor onder meer onderhandelingen met de hackers, begeleiding van een eventuele betaling en het veiligstellen van data. Partijen sloten een overeenkomst op basis van een uurtarief. Uiteindelijk werd het losgeld niet via Responders, maar via een derde partij betaald. [gedaagde] stelde dat de overeenkomst enkel zag op het betalen van $200.000 aan losgeld en dat deze was ontbonden toen Responders die betaling niet zelf uitvoerde. Daarnaast betwistte zij de omvang van de gefactureerde uren.

Hof van Justitie EU 20 november 2025, IT 5194; IEFbe 4185; ECLI:EU:C:2025:905 (JH tegen Policejní prezidium). Deze zaak draait om de vraag in hoeverre de politie biometrische en genetische gegevens, zoals foto’s, vingerafdrukken en DNA-profielen, mag verzamelen en bewaren van personen die worden verdacht of beschuldigd van een opzettelijk gepleegd strafbaar feit. Centraal staat richtlijn 2016/680, de politierichtlijn voor gegevensbescherming, die regels geeft voor de verwerking van persoonsgegevens door bevoegde autoriteiten in het kader van strafrechtelijke handhaving. In de onderliggende zaak was tegen JH een strafprocedure gestart. In dat kader heeft de Tsjechische politie, ondanks zijn verzet, identificatiehandelingen verricht: er zijn vingerafdrukken afgenomen, een wanguitstrijkje gemaakt voor DNA-analyse, foto’s genomen en uiterlijke kenmerken vastgelegd. Deze gegevens zijn vervolgens opgeslagen in politiedatabanken. JH verzette zich daartegen en stelde dat dit een onrechtmatige inmenging vormde in zijn recht op privéleven. Een lagere rechter gaf hem gelijk en oordeelde dat de maatregelen niet voldeden aan het evenredigheidsvereiste, mede omdat het ging om een relatief licht strafbaar feit, zonder sterke aanwijzingen voor recidive. De hoogste bestuursrechter in Tsjechië legde daarop prejudiciële vragen voor aan het Hof van Justitie. Die vragen gingen in essentie over drie punten: welke mate van differentiatie vereist is tussen categorieën betrokkenen bij het verzamelen van biometrische en genetische gegevens, of zulke gegevens zonder maximale bewaartermijn mogen worden opgeslagen, en wat precies moet worden verstaan onder “lidstatelijk recht” als grondslag voor zulke verwerkingen.

Rb. Amsterdam 11 maart 2026, IT 5190; ECLI:NL:RBAMS:2026:2543 (Stichting CUIC tegen de Avast-gedaagden). In deze tussenuitspraak staat de vraag centraal of de Nederlandse rechter bevoegd is in een collectieve actie (WAMCA) tegen verschillende Avast-entiteiten wegens vermeende privacyschendingen. Stichting CUIC treedt op namens Nederlandse gebruikers van Avast-software (tussen 2014 en 2020) en stelt dat Avast zonder toestemming persoonsgegevens heeft verzameld en via dochterbedrijf Jumpshot commercieel heeft geëxploiteerd. Volgens CUIC levert dit schendingen op van onder meer de AVG, de Wbp en de Telecommunicatiewet, alsmede onrechtmatig handelen en oneerlijke handelspraktijken.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 17 december 2025, IT 5185; IEFbe 4177; C-846/25 (Ligue des droits humains ASBL tegen Eerste Minister) via MinBuza. Ligue des droits humains (hierna: verzoeker) heeft in 2024 een beroep ingesteld bij het Grondwettelijke Hof tot vernietiging van een wet betreffende de oprichting en organisatie van de opdrachten van ETIAS Nationale Eenheid (hierna: E.N.E). De wet regelt onder meer de verwerking van persoonsgegevens in het kader van reisautorisaties binnen de EU, risicobeoordelingen, het gebruik van het ETIAS-informatiesysteem, en de procedures rond het intrekken en annuleren van reisautorisaties. Verzoeker stelt dat de combinatie van het beheren van veiligheidsrisico's en het beheer van de grenzen leidt tot een strafbaarstelling van migratie, wat een onevenredige inbreuk op de grondrechten (zoals het recht op privacy en gegevensbescherming) inhoudt. Volgens verzoeker zou artikel 3, lid 1, punt 6, van de ETIAS-verordening een te ruime en onvoldoende nauwkeurige definitie van "veiligheidsrisico" geven. De Ministerraad verdedigt de wet en stelt dat het kritiek gericht is tegen de bewoording van de ETIAS-verordening zelf, waarover het Grondwettelijk Hof niet bevoegd is te oordelen, en dat de wet voldoende waarborgen en regelingen bevat die in overeenstemming zijn met de Grondwet en internationale normen. In het kader van dit beroep rijst voor het Grondwettelijk Hof de vraag of de nationale wet, die uitvoering geeft aan de ETIAS-verordening, voldoende nauwkeurig is omschreven en verenigbaar is met het Unierecht.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 20 november 2026, IEF 23445; IT 5184; IEFbe 4176; C-741/25 (MR tegen TM) via MinBuza. In Polen is in november 2024 een regeling in werking getreden die telecommunicatieondernemingen verplicht om de gegevens van de gebruikers van hun netwerken te bewaren en op te slaan. De nationale regelgeving legt geen beperkingen op ten aanzien van de personen op wie deze maatregelen betrekking hebben. Op grond van het Unierecht mag alleen in bijzondere gevallen worden vastgesteld waarom de bescherming van persoonsgegevens speciaal moet worden beperkt. De verwijzende rechter vraagt zich daarom af of de nationale regeling in strijd is met richtlijn 2002/68 en met diverse bepalingen van het Handvest.

Rb. Amsterdam 5 maart 2026, IT 5188; ECLI:NL:RBAMS:2026:2165 ([verzoeker] tegen ING). In deze procedure op grond van artikel 35 van de UAVG heeft [verzoeker] zijn verzoek kort vóór de geplande mondelinge behandeling ingetrokken. Partijen waren het erover eens dat de zitting geen doorgang hoefde te vinden, maar discussie ontstond over de proceskosten. ING verzocht de rechtbank om alsnog bij beschikking te beslissen over de proceskosten, nu deze ondanks de intrekking niet waren voldaan.

Hof Arnhem-Leeuwarden 2 december 2025, IT 5186; ECLI:NL:GHARL:2025:7685 ([appellante] tegen ASR). Het gerechtshof Arnhem-Leeuwarden oordeelt dat een verzekeraar (ASR) persoonsgegevens mag opnemen in interne en externe frauderegisters bij opzettelijke misleiding door een verzekeringnemer, maar dat de duur van die registratie afzonderlijk moet worden getoetst aan het proportionaliteitsbeginsel van de AVG. De zaak betreft een arbeidsongeschiktheidsverzekering (AOV) die was aangevraagd in het kader van een financieringstraject. Bij de aanvraag had [appellante] in de gezondheidsverklaring relevante medische informatie niet gemeld, waaronder een recent verkeersongeval en langdurige klachten. Nadat de verzekeraar via externe bronnen kennis kreeg van deze informatie, werd een onderzoek ingesteld. Dit leidde tot registratie van [appellante] in het Interne Verwijzingsregister (IVR) en het Externe Verwijzingsregister (EVR) voor de maximale duur van acht jaar. Centraal stond de vraag of deze registratie in strijd was met de Algemene verordening gegevensbescherming en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).

Rb. Midden-Nederland 11 maart 2026, IT 5178; ECLI:NL:RBMNE:2026:1115 ([verzoeker] tegen Mijndomein). In deze beschikking staat een geschil centraal tussen een particuliere gebruiker en webhostingprovider Mijndomein over een tweede account dat niet op naam van verzoeker zelf, maar op naam en met de NAW-gegevens van een derde, [B], was geregistreerd. Aan dat tweede account waren domeinnamen gekoppeld, waaronder een domeinnaam die eerder ook aan het eerste account van verzoeker gekoppeld was. Nadat verzoeker Mijndomein had gevraagd om dat tweede account op te heffen, heeft Mijndomein dat geweigerd, omdat volgens haar alleen de geregistreerde accounthouder een dergelijk verzoek kon doen. Nadat [B] had gemeld dat het account zonder haar toestemming met haar persoonsgegevens was aangemaakt en zij Mijndomein een kopie van haar aangifte had toegestuurd, heeft Mijndomein het tweede account met de daaraan gekoppelde domeinen op 26 mei 2025 opgeheven. In de procedure verzocht verzoeker vervolgens onder meer te bepalen dat Mijndomein zijn persoonsgegevens niet zonder rechtsgeldige grondslag mocht verwerken, voor recht te verklaren dat Mijndomein onrechtmatig jegens hem had gehandeld, opheffing en bevestiging van opheffing van het tweede account te bevelen, inzage in persoonsgegevens te geven op grond van de AVG, en Mijndomein te veroordelen tot betaling van € 160 materiële schade en € 2.000 immateriële schade. De rechtbank stelt eerst procesrechtelijk vast dat een deel van deze verzoeken materieel gezien thuishoort in een dagvaardingsprocedure, maar ziet af van verwijzing op de voet van art. 69 Rv, omdat de verzoeken nauw met elkaar samenhangen, het debat tussen partijen voldoende is uitgekristalliseerd en Mijndomein daardoor niet in haar belangen is geschaad.

Rb. Gelderland 18 februari 2026, IEF 23442; IT 5180; ECLI:NL:RBGEL:2026:1252 ([eiser] tegen [gedaagde]). In deze bodemzaak tussen een voormalig onderbewindgestelde en zijn voormalige bewindvoerder vorderde eiser een verklaring voor recht dat de bewindvoerder in verzuim was wegens schending van de artikelen 12, 15 en 5 lid 1 AVG, artikel 843a Rv en artikel 6:82 BW, alsmede betaling van € 1.325 schadevergoeding en € 198,75 aan buitengerechtelijke incassokosten. Aan die vorderingen legde hij ten grondslag dat de bewindvoerder niet had gereageerd op zijn e-mail van 1 oktober 2024, waarin hij vroeg om alle correspondentie waarbij zijn oude e-mailadres was gebruikt en om correspondentie uit 2014 en 2015 over het CBR, het alcoholslotprogramma en termijnbetalingen. De bewindvoerder voerde daartegen aan dat over diezelfde correspondentie en over de daaraan gekoppelde schade al eerder tussen partijen was beslist in een eerdere procedure, die had geleid tot een beschikking van 31 januari 2025, welke inmiddels kracht van gewijsde had gekregen. De kantonrechter stelt voorop dat artikel 236 Rv ook ten aanzien van beschikkingen beslissende betekenis kan hebben en dat moet worden beoordeeld of een nieuw oordeel zich zou verdragen met de eerdere uitspraak. Daarbij komt het aan op de grondslag van de eerdere vordering, het processuele debat en de eerdere beslissing.

Rb. Amsterdam 19 maart 2026, IEF 23439; IEFbe 5175; ECLI:NL:RBAMS:2026:2855 ([eiser] tegen ING Bank). In dit kort geding verzette een voormalig rekeninghouder van ING zich tegen de blokkering en beëindiging van zijn particuliere betaalrekening, de registratie van zijn persoonsgegevens in het interne verwijzingsregister (IVR), het uitblijven van uitbetaling van het resterende saldo van € 1.900 en het ontbreken van inzage in interne stukken. Aanleiding was dat eiser ING had benaderd over een volgens hem bestaande ING-rekening, aangeduid als een aan zijn BSN gekoppelde “derdengeldenrekening”, van waaruit batchbetalingen van miljoenen euro’s zouden moeten worden uitgevoerd. ING stelde zich op het standpunt dat dit rekeningnummer niet bestond, startte een onderzoek wegens (pogingen tot) oplichting en misleiding van ING-klanten, blokkeerde de rekening onder verwijzing naar artikel 41.2 van de Voorwaarden Betaalrekening, beëindigde de bankrelatie onder verwijzing naar artikel 35 Algemene Bankvoorwaarden en handhaafde de IVR-registratie. Eiser vorderde vervolgens betaling van het restsaldo met rente, verwijdering van de IVR-registratie, inzage in alle interne stukken, schadevergoeding, dwangsommen en subsidiair vergoeding van werkelijke proceskosten. De kantonrechter verwerpt eerst het beroep van ING op nietigheid van de dagvaarding als obscuur libel. Hoewel de dagvaarding volgens de rechter geen concludent stuk was en eiser als juridisch professional zijn waarheidsplicht en substantiëringsplicht had geschonden door feiten en verweren van ING niet volledig en juist weer te geven, producties deels onleesbaar of niet aangehecht waren en artikel 21 Rv dus in beeld kwam, was ING niet onredelijk in haar belangen geschaad omdat zij zich inhoudelijk voldoende had kunnen verweren; daarom werd het beroep op nietigheid op grond van artikel 111 lid 2 onder d, artikel 120 en artikel 122 Rv verworpen.