DOSSIERS
Alle dossiers

Privacy  

IT 5331

Hoge Raad stelt prejudiciële vragen over bewaarplicht van pasfoto's, biometrische gegevens en de AVG

Hoge Raad 30 jun 2026,, IT 5331; ECLI:NL:HR:2026:921 ([de kaarthoudster] tegen ICS), https://redactie-delex.cshark.nl/artikelen/hoge-raad-stelt-prejudiciele-vragen-over-bewaarplicht-van-pasfoto-s-biometrische-gegevens-en-de-avg

HR 12 juni 2026, IT&Recht 5331; ECLI:NL:HR:2026:921 ([de kaarthoudster] tegen ICS). In deze zaak tussen [de kaarthoudster] en International Card Services B.V. (ICS) staat de vraag centraal of International Card Services (ICS) de creditcardovereenkomst met [de kaarthoudster] mocht opzeggen nadat zij had geweigerd mee te werken aan een nieuwe online-identificatie op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Voor deze identificatie diende zij een foto van haar identiteitsbewijs en een selfie aan te leveren. [de kaarthoudster] verzette zich tegen deze werkwijze omdat ICS de foto's zou opslaan. Volgens haar is sprake van verwerking van biometrische gegevens en ontbreekt een toereikende wettelijke grondslag voor het bewaren van deze foto's. Het hof oordeelde eerder dat ICS de overeenkomst mocht opzeggen. Volgens het hof was de online-identificatie noodzakelijk om te voldoen aan de verplichtingen uit de Wwft en vormt het enkele opslaan van een foto geen verwerking van biometrische gegevens in de zin van de AVG, omdat daarvoor specifieke technische verwerking nodig is waarmee een persoon uniek kan worden geïdentificeerd of geauthentiseerd. In cassatie ziet de Hoge Raad aanleiding om op meerdere punten prejudiciële vragen aan het Hof van Justitie te stellen. De Hoge Raad stelt voorop dat de zaak draait om de afweging tussen enerzijds de verplichtingen die voortvloeien uit de Europese anti-witwasregelgeving en anderzijds het recht op bescherming van persoonsgegevens en de persoonlijke levenssfeer zoals gewaarborgd door de AVG, het Handvest en het EVRM. Omdat deze afweging in belangrijke mate afhankelijk is van de uitleg van Unierecht, acht de Hoge Raad beantwoording door het Hof van Justitie noodzakelijk. Een eerste vraag betreft de kwalificatie van foto's als biometrische gegevens. De Hoge Raad overweegt dat uit de tekst van artikel 4, onder 14, AVG en overweging 51 van de AVG volgt dat een gewone foto niet zonder meer een biometrisch gegeven vormt. Daarvoor is vereist dat de foto wordt onderworpen aan een specifieke technische verwerking waarmee een persoon uniek kan worden geïdentificeerd of geauthentiseerd. De foto vormt dan de bron waaruit biometrische gegevens kunnen worden afgeleid, maar is niet zonder meer zelf een biometrisch gegeven. De Hoge Raad wijst er echter op dat een recent arrest van het Hof van Justitie aanleiding geeft om hierover alsnog prejudiciële vragen te stellen.

IT 5330

HvJ EU: AVG sluit gebruik van onrechtmatig verkregen persoonsgegevens als bewijs niet uit

HvJ EU 30 jun 2026,, IT 5330; ECLI:EU:C:2026:496 (NTH Haustechnik GmbH tegen EM), https://redactie-delex.cshark.nl/artikelen/hvj-eu-avg-sluit-gebruik-van-onrechtmatig-verkregen-persoonsgegevens-als-bewijs-niet-uit

HvJ EU 18 juni 2026, IT&Recht 5330; ECLI:EU:C:2026:496 (NTH Haustechnik GmbH tegen EM). In deze zaak tussen NTH Haustechnik GmbH en haar voormalige werknemer EM tussen staat de vraag centraal in hoeverre een nationale rechter in een civiele procedure persoonsgegevens mag verwerken en gebruiken die mogelijk in strijd met de AVG zijn verkregen. De zaak ontstond nadat NTH Haustechnik haar voormalige werknemer aansprakelijk stelde voor de gestelde doorverkoop van bedrijfseigendommen via een privéaccount op eBay. De werkgever baseerde zich daarbij op gegevens die waren verkregen door toegang tot dat privéaccount. Volgens de verwijzende Duitse rechter kon niet worden uitgesloten dat deze gegevens op onrechtmatige wijze waren verzameld. Het Hof van Justitie kreeg daarom onder meer de vraag voorgelegd welke eisen de AVG stelt aan het gebruik van dergelijke persoonsgegevens als bewijsmiddel in een gerechtelijke procedure. Het Hof stelt voorop dat de AVG van toepassing kan zijn op de verwerking van persoonsgegevens door rechters wanneer deze gegevens worden opgenomen in een procesdossier of digitaal worden geraadpleegd, opgeslagen of gebruikt. Dat de beoordeling van de toelaatbaarheid van bewijs in beginsel een kwestie van nationaal procesrecht is, neemt niet weg dat een rechter bij de verwerking van persoonsgegevens de AVG moet naleven. Daarbij wijst het Hof erop dat het begrip "verwerking" ruim is en ook ziet op het toevoegen van stukken aan een dossier en het raadplegen daarvan door de rechter, en dat rechterlijke verwerkingen niet onder de uitzonderingen van artikel 2 AVG vallen. Vervolgens bepaalt het Hof welke rechtsgrond geldt voor de verwerking van persoonsgegevens door de rechter. De verwerking van persoonsgegevens door een rechter in het kader van de bewijsvoering is in beginsel gebaseerd op artikel 6 lid 1 onder c AVG. De rechter verwerkt de gegevens namelijk omdat hij op grond van het nationale procesrecht verplicht is de aangevoerde feiten en het aangeboden bewijs te beoordelen. Daarmee maakt het Hof duidelijk dat niet artikel 6 lid 1 onder e AVG (taak van algemeen belang), maar de wettelijke verplichting van de rechter om over de toelaatbaarheid en waardering van bewijs te beslissen de relevante grondslag vormt. In dat kader wijst het Hof erop dat artikel 6 lid 1 onder f AVG (gerechtvaardigd belang) niet de grondslag is voor deze rechterlijke verwerking; de rechter baseert zich in deze context op artikel 6 lid 1 onder c AVG. Artikel 17 lid 3 onder e AVG vormt daarentegen geen zelfstandige grondslag voor verwerking.

IT 5327

Artikel 196 Rv biedt Dynamiet toegang tot Google-gegevens over zoekresultaten

Rechtbank Amsterdam 30 jun 2026,, IT 5327; ECLI:NL:RBAMS:2026:6091 (Dynamiet tegen Google), https://redactie-delex.cshark.nl/artikelen/artikel-196-rv-biedt-dynamiet-toegang-tot-google-gegevens-over-zoekresultaten

Rb. Amsterdam 11 juni 2026, IT&Recht 5327; ECLI:NL:RBAMS:2026:6091 (Dynamiet tegen Google). In deze zaak tussen Dynamiet en Google (Google Netherlands en Google Ireland) staat de vraag centraal of Dynamiet op grond van artikel 196 Rv inzage kan verkrijgen in gegevens waarover Google beschikt met betrekking tot maatregelen die de zichtbaarheid van haar website in Google Search tussen februari en april 2025 hebben beïnvloed. Dynamiet wil deze informatie gebruiken om haar rechtspositie te bepalen en te beoordelen of aanleiding bestaat een civielrechtelijke procedure tegen Google te starten. De rechtbank wijst het verzoek grotendeels toe. De rechtbank stelt haar internationale bevoegdheid vast op grond van Brussel I-bis en oordeelt dat Nederlands recht van toepassing is. Dynamiet exploiteert een website waarop consumenten informatie kunnen vinden over het terugvorderen van verliezen bij aanbieders van online kansspelen en verleent daarnaast juridische dienstverlening aan consumenten die dergelijke vorderingen willen instellen. Volgens Dynamiet is de vindbaarheid van haar website en een aantal specifieke webpagina's begin 2025 aanzienlijk afgenomen. Nadat een eerder kort geding waarin herstel van de zichtbaarheid werd gevorderd was afgewezen, verzocht Dynamiet Google om gegevens te verstrekken over eventuele technische of inhoudelijke maatregelen die de ranking, filtering, blokkering of verwijdering van haar webpagina's uit de zoekresultaten hadden beïnvloed. Google liet weten geen nadere informatie te verstrekken, voor zover zij daartoe al gehouden zou zijn. Dynamiet verzoekt vervolgens de rechtbank Google te bevelen inzage te geven in gegevens over de betrokken URL's en zoektermen, waaronder informatie over eventuele delisting, demotion, filtering of blokkering, de redenen en triggers voor dergelijke maatregelen, de vraag of deze handmatig of algoritmisch zijn toegepast, de duur daarvan en de interne communicatie, logbestanden en technische documentatie waarin deze maatregelen zijn vastgelegd. Daarnaast vraagt zij dat de gegevens in een digitaal en doorzoekbaar formaat worden verstrekt, voorzien van een leesbare toelichting op de logbestanden, en dat aan niet-nakoming een dwangsom wordt verbonden. Google verschijnt niet in de procedure en reageert evenmin op het verzoek van de rechtbank om zich uit te laten over een mondelinge behandeling.

IT 5326

Rb. Amsterdam: Telegraaf hoeft citaat over vermeende betrokkenheid dierenactivist niet te verwijderen

Rechtbank Amsterdam 29 jun 2026,, IT 5326; ECLI:NL:RBAMS:2025:9184 (([eiser] tegen De Telegraaf)), https://redactie-delex.cshark.nl/artikelen/rb-amsterdam-telegraaf-hoeft-citaat-over-vermeende-betrokkenheid-dierenactivist-niet-te-verwijderen

Rb. Amsterdam 27 november 2025, IEF 23655; IT&Recht 5326; ECLI:NL:RBAMS:2025:9184 ([eiser] tegen De Telegraaf). In deze zaak tussen [eiser] en De Telegraaf staat de vraag centraal of De Telegraaf onrechtmatig heeft gehandeld door in een online artikel een citaat op te nemen waarin een derde [eiser] in verband brengt met een grote brand bij een pluimveebedrijf. [eiser], een dierenrechtenactivist die bekendstaat als de "[alias 1]", vordert – onder meer op straffe van een dwangsom – verwijdering van de passage en plaatsing van een rectificatie. Aanvankelijk was ook Mediahuis Nederland B.V. als gedaagde partij betrokken, maar de vordering tegen Mediahuis is ter zitting ingetrokken, zodat alleen de online publicatie op de website van De Telegraaf aan de orde is. De voorzieningenrechter wijst alle vorderingen af. De publicatie is niet onrechtmatig in de zin van artikel 6:162 BW, omdat De Telegraaf de uitlating slechts als boodschapper heeft weergegeven en voldoende journalistieke zorgvuldigheid heeft betracht. De voorzieningenrechter verklaart de proceskostenveroordeling uitvoerbaar bij voorraad. De gewraakte passage maakt deel uit van een artikel over de arrestatie van een activist die had gedreigd met brandstichting bij het kantoor van BBB. In dat artikel staat dat volgens deze activist een cel van het Animal Liberation Front onder leiding van [eiser] verantwoordelijk zou zijn voor een eerdere miljoenenbrand bij een pluimveebedrijf. Nadat [eiser] De Telegraaf had verzocht de passage te rectificeren, voegde de krant een reactie van hem aan het artikel toe waarin hij iedere betrokkenheid bij de brand en iedere band met de betreffende bron ontkent. De passage zelf werd niet verwijderd. De procedure bestond uit een kort geding met mondelinge behandeling op 24 november 2025, waarin [eiser] na debat zijn vordering tegen Mediahuis Nederland B.V. introk en uitsluitend de online publicatie op de website van De Telegraaf van [datum 1] 2025 aan de orde stelde. De voorzieningenrechter stelt voorop dat toewijzing van de gevorderde maatregelen een beperking zou vormen van de vrijheid van meningsuiting als bedoeld in artikel 10 EVRM en dat die beperking alleen gerechtvaardigd kan zijn indien sprake is van onrechtmatigheid in de zin van artikel 6:162 BW. Daarom moet een afweging plaatsvinden tussen enerzijds het belang van De Telegraaf om verslag te doen van nieuwswaardige gebeurtenissen en anderzijds het belang van [eiser] om niet lichtvaardig te worden blootgesteld aan beschuldigingen die zijn eer en goede naam aantasten.

IT 5323

HvJ EU: lidstaten mogen buitenlandse pornowebsites niet algemeen verplichten tot leeftijdsverificatie

HvJ EU 16 jun 2026,, IT 5323; ECLI:EU:C:2026:492 ((WebGroup Czech Republic en NKL Associates tegen Franse Staat / Coyote System tegen Franse Staat)), https://redactie-delex.cshark.nl/artikelen/hvj-eu-lidstaten-mogen-buitenlandse-pornowebsites-niet-algemeen-verplichten-tot-leeftijdsverificatie

HvJ EU 16 juni 2026, IEF 23643; IT 5323; ECLI:EU:C:2026:492 (WebGroup Czech Republic en NKL Associates tegen Franse Staat / Coyote System tegen Franse Staat). In deze gevoegde zaken staat de vraag centraal in hoeverre lidstaten regels mogen opleggen aan online diensten die in een andere lidstaat zijn gevestigd. Het Hof van Justitie buigt zich over de Franse regels die pornografische websites verplichten een leeftijdsverificatiesysteem in te voeren om minderjarigen de toegang te ontzeggen, en over regels die aanbieders van navigatie- en verkeersapps verbieden informatie over bepaalde politiecontroles door te geven. Het Hof schetst daarbij uitvoerig de reikwijdte van het begrip “gecoördineerd gebied” in de Richtlijn elektronische handel, de verhouding tussen dat gecoördineerde gebied en de (beperkte) harmonisatie in hoofdstuk II en III, en de ruimte die lidstaten behouden om op te treden ter bescherming van fundamentele belangen zoals de waardigheid van minderjarigen, de openbare orde en de openbare veiligheid. De eerste zaak betreft twee Tsjechische ondernemingen die pornografische websites exploiteren. Op grond van Franse wetgeving mogen minderjarigen geen toegang hebben tot pornografische inhoud. Een eenvoudige verklaring van de gebruiker dat hij of zij meerderjarig is, volstaat daarvoor niet. De Franse strafbepaling verbiedt in algemene en abstracte bewoordingen het aanbieden van bepaalde content die door minderjarigen kan worden gezien, en wordt uitgewerkt in een regeling die de toezichthouder (ARCOM) in staat stelt concrete aanbieders individueel aan te schrijven en hen te verplichten technische maatregelen te nemen die de leeftijd van gebruikers daadwerkelijk controleren. De ondernemingen voeren aan dat Frankrijk hiermee de Richtlijn elektronische handel schendt, omdat aanbieders van informatiemaatschappijdiensten in beginsel uitsluitend onder het recht van hun lidstaat van vestiging vallen. De tweede zaak draait om de Franse navigatie-app van Coyote. De Franse wetgever heeft bepaald dat aanbieders van elektronische rijhulpen en navigatiediensten gedurende een beperkte periode en binnen een geografisch beperkt gebied geen meldingen mogen verspreiden over bepaalde alcohol- en drugscontroles of politieacties tegen personen die worden gezocht voor ernstige misdrijven of een ernstige bedreiging vormen voor de openbare orde. Volgens Coyote vormt dit een ontoelaatbare beperking van de vrije dienstverrichting en legt deze regeling in feite een verboden algemene toezichtverplichting op. Het Hof begint met een principiële uitleg van de Richtlijn elektronische handel. Volgens het Hof is het zogenoemde “gecoördineerde gebied” niet beperkt tot de onderwerpen die uitdrukkelijk zijn geharmoniseerd in hoofdstuk II en III van de richtlijn. Ook nationale regels die niet zijn geharmoniseerd vallen daaronder, mits zij betrekking hebben op de toegang tot of de uitoefening van een activiteit van een informatiemaatschappijdienst en niet vallen onder de expliciete uitzonderingen in de richtlijn (zoals belasting, gegevensbescherming, kansspelen e.d.). Dat geldt eveneens voor regels van strafrechtelijke aard en voor regels die de openbare orde, openbare veiligheid of de bescherming van minderjarigen dienen. De richtlijn sluit dergelijke terreinen niet categorisch uit en de in de bijlage genoemde derogaties vormen een uitputtende lijst van materies waarvoor het art. 3‑mechanisme niet geldt. Daaruit volgt volgens het Hof dat zowel een verplichting om de leeftijd van gebruikers van pornografische websites te controleren als een verbod om bepaalde verkeersinformatie door te geven, kwalificeren als eisen die betrekking hebben op de uitoefening van een informatiemaatschappijdienst (toegangsvoorwaarden, inhoud/functionaliteit van de dienst). Deze nationale regels vallen daarom binnen het gecoördineerde gebied van de richtlijn en moeten worden getoetst aan het stelsel van artikel 3 daarvan, waarin het uitgangspunt geldt dat een dienst in beginsel wordt gereguleerd door de lidstaat waar de aanbieder is gevestigd en andere lidstaten de vrije dienstverrichting niet mogen beperken, behoudens een beroep op de derogatie van artikel 3, lid 4. Het Hof maakt vervolgens een onderscheid tussen algemene wetgeving en individuele maatregelen.

IT 5321

Artikel geschreven door Ilona Kuipers, ICTRecht.

Van Wegiz tot Wet GIS: de Nederlandse invulling van de EHDS

Ilona Kuipers, 17 juni 2026.

In februari schreven we al in een blog over de hoofdlijnen van de implementatie van de European Health Data Space verordening (EHDS) met als doel het beter beschikbaar maken van gezondheidsgegevens. Sindsdien is er veel gebeurd en met de kamerbrief van 18 mei 2026 worden eerder aangekondigde keuzes geconcretiseerd. Daarnaast zijn de eerste conceptstukken van de bijbehorende uitvoeringswet inmiddels beschikbaar gemaakt: het wetsvoorstel Wet op het gezondheidsinformatiestelsel (Wet GIS) en de bijbehorende Memorie van Toelichting.[1]

Daarmee geeft de wetgever, na een lange tijd onduidelijkheid, een beeld van hoe Nederland de EHDS juridisch gaat inrichten. De uitvoering van de EHDS gaat in tranches plaatsvinden, waarbij de eerste tranche, de wet GIS, zich richt op het fundament van het stelsel, zoals het aanwijzen van de instanties die worden belast met taken op grond van de EHDS. De inhoudelijke bepalingen rond primair gebruik, secundair gebruik en EPD-systemen komen pas in de tweede tranche aan de orde. In dit blog lichten wij de huidige stand van zaken toe en gaan we in op de gemaakte keuzes in de wet GIS.

De wet GIS

De wetgever heeft ervoor gekozen om de nationale wetgeving in tranches te wijzigen met meerdere wetsvoorstellen die gezamenlijk de Stelselwet gegevensverwerking in de zorg gaan vormen. De wet GIS geeft als eerste tranche uitvoering aan de bepalingen uit de EHDS voor zover die per 26 maart 2027 van toepassing worden. Deze bepalingen zien op de aanwijzing van de instanties die belast zijn met uitvoeringstaken en het toezicht- en handhavingskader. Ook wordt in de Wet GIS een aanpassing van de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) voorgesteld, namelijk op het gebied van de conformiteitsbeoordeling.[2]

De internetconsultatie ter voorbereiding op de Wet GIS is gestart op 28 mei 2026 en sluit op 8 juli 2026. Of je nu zorgaanbieder, patiënt(organisatie), EPD-leverancier, onderzoeker of anderszins betrokken bent: dit is hét moment om van je te laten horen. Reageren kan via internetconsultatie.nl.

IT 5318

Geen dwaling over antivirus- en anti-ransomwarediensten: IT-dienstverlener leverde overeengekomen securitydiensten

Rechtbank Amsterdam 6 jun 2026,, IT 5318; ECLI:NL:RBAMS:2025:4025 ((Knooppunt tegen Hands On)), https://redactie-delex.cshark.nl/artikelen/geen-dwaling-over-antivirus-en-anti-ransomwarediensten-it-dienstverlener-leverde-overeengekomen-securitydiensten

Rb. Amsterdam 6 juni 2026, IT&Recht 5318; ECLI:NL:RBAMS:2025:4025 (Knooppunt tegen Hands On). In deze zaak staat de vraag centraal of een IT-dienstverlener kosten in rekening heeft gebracht voor antivirus- en anti-ransomwarediensten die volgens de afnemer nooit zijn geleverd. Daarnaast is in geschil of de afnemer bij het aangaan van de beheersovereenkomst heeft gedwaald over de inhoud van deze diensten en of de IT-dienstverlener aansprakelijk kan worden gehouden voor mogelijke toekomstige schade als gevolg van een onvoldoende beveiligde IT-omgeving. Knooppunt exploiteert een fysiotherapiepraktijk en maakt deel uit van een groep praktijkvennootschappen. Hands On levert IT-diensten, waaronder advisering, beheer en ondersteuning. In 2021 sluiten partijen een consultancyovereenkomst, een licentieovereenkomst en een beheersovereenkomst. In de beheersovereenkomst is een zogenoemd SLA Comfort overeengekomen, dat onder meer ziet op monitoring, onderhoud, licentie- en contractmanagement, incidentafhandeling, back-updiensten en securitydiensten. Onder die securitydiensten vallen een antivirusdienst, een anti-ransomwaredienst en multi-factor authenticatie. De licentieovereenkomst eindigt in 2022. De beheersovereenkomst wordt door Knooppunt opgezegd tegen het einde van de looptijd en eindigt op 30 juni 2024. Daarna neemt een andere IT-dienstverlener, RoRo, het beheer van de IT-omgeving over. Knooppunt stelt zich op het standpunt dat Hands On gedurende de looptijd van de beheersovereenkomst uitsluitend gebruik heeft gemaakt van Microsoft Defender, terwijl daarvoor afzonderlijk antivirus- en anti-ransomwarediensten in rekening zijn gebracht. Volgens Knooppunt waren deze diensten onderdeel van de standaard Microsoft-licenties en heeft Hands On geen aanvullende werkzaamheden verricht. Daarnaast voert Knooppunt aan dat Microsoft Defender geen afdoende bescherming biedt tegen virussen en ransomware. Omdat Hands On volgens Knooppunt ten onrechte de indruk heeft gewekt dat zij onmisbare beveiligingsdiensten leverde, beroept Knooppunt zich op dwaling. Zij vordert wijziging van de beheersovereenkomst en terugbetaling van de bedragen die volgens haar ten onrechte voor antivirus- en anti-ransomwarediensten in rekening zijn gebracht. Daarnaast verzoekt zij een verklaring voor recht dat Hands On aansprakelijk is voor eventuele toekomstige schade als gevolg van een ondeugdelijke beveiliging van haar gegevens. De rechtbank overweegt dat eerst moet worden vastgesteld welke afspraken partijen precies hebben gemaakt over de antivirus- en anti-ransomwarediensten. Volgens Hands On maakten deze diensten onderdeel uit van een breder pakket aan beheers- en securitydiensten.

IT 5313

Geen immateriële schadevergoeding na twee onrechtmatige marketingmails sportschool

Rechtbank Noord-Nederland 12 mei 2026,, IT 5313; ECLI:N:RBNHO:2026:5128 ([verzoeker] tegen Saints & Stars), https://redactie-delex.cshark.nl/artikelen/geen-immateriele-schadevergoeding-na-twee-onrechtmatige-marketingmails-sportschool

Rb. Noord-Holland 12 mei 2026, IT&Recht 5313; ECLI:N:RBNHO:2026:5128 ([verzoeker] tegen Saints & Stars). In deze zaak verzoekt [verzoeker] de Rechtbank Noord-Holland om Saints & Stars te veroordelen tot betaling van € 750 aan immateriële schadevergoeding op grond van artikel 82 AVG. Nadat [verzoeker] zijn lidmaatschap had opgezegd en Saints & Stars had verzocht zijn persoonsgegevens te verwijderen, ontving [verzoeker] alsnog twee algemene marketingmails van de sportschool. Aanvankelijk verzoekt [verzoeker] daarnaast om een bevel tot definitieve verwijdering van zijn persoonsgegevens op grond van artikel 17 AVG. De rechtbank stelt eerst vast dat [verzoeker] in zijn verzoek kan worden ontvangen. De zeswekentermijn van artikel 35 lid 2 UAVG geldt uitsluitend voor verzoeken die zijn gebaseerd op de rechten uit artikel 15 tot en met 22 AVG en niet voor een verzoek om schadevergoeding op grond van artikel 82 AVG. [Verzoeker] heeft zijn verzoek tot verwijdering van persoonsgegevens tijdens de mondelinge behandeling uitdrukkelijk ingetrokken, zodat alleen het verzoek om immateriële schadevergoeding ter beoordeling voorligt. Ten aanzien van de verwerking van de persoonsgegevens oordeelt de rechtbank dat Saints & Stars de gegevens van [verzoeker] weliswaar rechtmatig mocht bewaren voor de afwikkeling van de overeenkomst en om te voldoen aan haar fiscale bewaarplicht, maar dat deze gegevens niet mochten worden gebruikt voor marketingdoeleinden. Niet in geschil is dat [verzoeker] daarvoor geen toestemming had gegeven en dat de persoonsgegevens na de opzegging niet voor dat doel bewaard mochten blijven. Voor de twee marketingmails van 9 en 28 september 2025 ontbreekt dan ook een geldige verwerkingsgrondslag als bedoeld in artikel 6 AVG. De verzending van deze marketingmails is daarom in strijd met artikel 6 AVG en daarmee onrechtmatig.

IT 5312

Rb. Amsterdam: klantenbestand kwalificeert als bedrijfsgeheim

Rechtbank Amsterdam 11 jun 2026,, IT 5312; ECLI:NL:RBAMS:2026:5976 ((TMU tegen [gedaagde])), https://redactie-delex.cshark.nl/artikelen/rb-amsterdam-klantenbestand-kwalificeert-als-bedrijfsgeheim

Rb. Amsterdam 11 juni 2026, IEF 23627; IT 5312; ECLI:NL:RBAMS:2026:5976 (TMU tegen [gedaagde]). In deze zaak tussen TMU en [gedaagde] staat de vraag centraal of [gedaagde] onrechtmatig heeft gehandeld door een klantenbestand van TMU te gebruiken voor eigen marketingactiviteiten. De voorzieningenrechter oordeelt dat het klantenbestand van TMU een bedrijfsgeheim vormt en dat [gedaagde] door het zonder toestemming gebruiken van dat bestand onrechtmatig heeft gehandeld op grond van onder meer artikel 6:162 BW en de Wet bescherming bedrijfsgeheimen (Wbb). [gedaagde] wordt bevolen ieder verder gebruik van het klantenbestand te staken en opgave te doen van de met het bestand verrichte marketingactiviteiten en de daarmee behaalde omzet en winst. TMU is actief op het gebied van handelseducatie en financiële markten en verkoopt cursussen over handelen op de financiële markt. [gedaagde] exploiteert een concurrerende onderneming. Partijen hadden sinds 2022 zowel een zakelijke als persoonlijke relatie. In april 2026 verstuurde [gedaagde] vanaf zijn eigen e-mailadres een commerciële e-mail aan een groot aantal adressen die onderdeel bleken te zijn van het klantenbestand van TMU. In die e-mail presenteerde hij zich als de "mentor van uw mentor" en maakte hij reclame voor zijn eigen diensten. Daarnaast plaatste hij een vergelijkbaar bericht op Telegram. Van de 66 adressen waarvan TMU meldingen ontving, kwamen er 64 voor in haar klantenbestand. Elf ontvangers verklaarden bovendien dat zij het betreffende e-mailadres uitsluitend gebruikten voor hun account bij TMU. Volgens TMU had een voormalig opdrachtnemer eind 2025 een grote hoeveelheid vertrouwelijke bedrijfsinformatie ontvreemd, waaronder het klantenbestand. TMU stelde dat [gedaagde] daarmee onrechtmatig handelde en tevens in strijd met de Wet bescherming bedrijfsgeheimen (Wbb) en de regels over vergelijkende reclame. [gedaagde] voerde aan dat hij het adressenbestand anoniem had ontvangen via een link, er niet voor had betaald en niet wist van wie het afkomstig was. Nadat hij de e-mails had verzonden, zou hij het bestand weer hebben verwijderd. De voorzieningenrechter overweegt dat [gedaagde] onder deze omstandigheden had moeten begrijpen dat een dergelijk klantenbestand economische waarde vertegenwoordigt. Als actief handelaar op een concurrerende markt ontving hij zonder tegenprestatie een omvangrijk adressenbestand. Door dat bestand zonder enige controle voor eigen commerciële doeleinden te gebruiken, heeft hij willens en wetens het risico aanvaard dat hij inbreuk maakte op rechten van derden. Dat handelen is voorshands onrechtmatig. Daarbij weegt mee dat [gedaagde] de e-mail zelf heeft opgesteld en daarin expliciet verwees naar [naam 1] van TMU, die hij persoonlijk kende. Verder acht de voorzieningenrechter voldoende aannemelijk dat TMU geen toestemming heeft gegeven voor verspreiding van haar klantenbestand, dat het bestand aanzienlijke economische waarde vertegenwoordigt en bovendien het voornaamste bedrijfsdebiet van TMU vormt. Daarom wordt het gevorderde verbod op verdere verkrijging, openbaarmaking en gebruik van het klantenbestand toegewezen, waaraan een dwangsom wordt verbonden van € 20.000 per dag met een maximum van € 500.000

IT 5311

Artikel door Gijs van Berkel, Holla Legal & Tax.

AI-verordening: nu al op de schop (de Digitale Omnibus inzake AI en de gevolgen voor fundamentele rechten en vrijheden)

Artikel door Gijs van Berkel. Oorspronkelijk verschenen in AI-Forum 2026-2.

De kogel is door de kerk. Terwijl de AI-verordening nog niet volledig in werking is getreden, stemde het Europees Parlement op 16 juni 2026 in met de aanpassingen aan de AI-verordening in het kader van de Digitale Omnibus. De AI-verordening zou volledig in werking treden op 2 augustus 2026, maar nog vóór die datum voert de Europese wetgever de wijzigingen door.

‘Orde in de chaos’; zo lijkt de Digitale Omnibus gepresenteerd te worden. Met dit pakket probeert de Europese Commissie de snel gegroeide hoeveelheid digitale regelgeving binnen de Europese Unie beter op elkaar af te stemmen. Het plan is helder: minder overlappingen, minder inconsistenties en meer ruimte voor innovatie.[1] Voor deze doeleinden liggen er maar liefst twee Omnibus-pakketten: de Digital Omnibus, die onder meer de Algemene Verordening Gegevensbescherming (‘AVG’)[2], de Dataverordening[3], de ePrivacy‑richtlijn[4] en de NIS2‑richtlijn[5] aanpast, en een aparte Digital Omnibus on AI, die de AI‑verordening[6] onder handen neemt.

Dit is een preview. Het volledige artikel is nu beschikbaar op www.AI-Forum.nl