Privacy  

Rb. Den Haag 30 juni 2025, IT4947, ECLI:NL:RBDHA:2025:15486 (Eiser tegen Bybit). Het geschil tussen eiser en Bybit gaat over boilerroomfraude. Eiser stelt dat hij in de dagvaarding dat hij door oplichting ertoe is bewogen om te investeren in cryptovaluta. Daarna is eiser slachtoffer geworden van vervolgfraude ('recovery fraude'). Eiser heeft met een blockchain tracing-onderzoek achterhaald dat de gestolen cryptovaluta van ETH Recovery scam zijn ontvangen op een deposit adres dat onderdeel is van exchangeplatform Bybit. Het bij dit adres behorende gebruikersaccount staat op naam van een persoon. De vorderingen van eiser in dit kort geding strekken ertoe de naam- en adresgegevens van de bij het gebruikersaccount behorende persoon van Bybit te verkrijgen, zodat eiser een bodemprocedure tegen die persoon kan beginnen. Daarnaast wil eiser het gebruikersaccount laten bevriezen, zodat hij zich later bij een toewijzend bodemvonnis op de activa in dit account kan verhalen. 

Rb. Rotterdam 23 juli 2025; IT 4941; ECLI:NL:RBROT:2025:9088 (SDBN tegen Amazon). De Rechtbank Rotterdam heeft in een collectieve actie van de Stichting Data Bescherming Nederland (SDBN) tegen Amazon prejudiciële vragen gesteld aan het Hof van Justitie van de EU. SDBN stelt dat Amazon sinds 25 mei 2018 persoonsgegevens van circa vijf miljoen Nederlandse accounthouders in strijd met de AVG verwerkt en vordert dat Amazon dit onrechtmatig handelen staakt en schade vergoedt. De procedure valt onder de WAMCA (Wet afwikkeling massaschade in collectieve actie), die sinds 2020 ook schadevergoedingsvorderingen in collectieve acties mogelijk maakt. Kernpunt is of SDBN voldoet aan de ontvankelijkheidseisen van de WAMCA, waaronder de gelijksoortigheid van belangen en representativiteit van de achterban. Amazon betwist dat, onder meer vanwege het ontbreken van voldoende steun vanuit de achterban en de afhankelijkheid van procesfinanciering. De rechtbank oordeelde dat SDBN grotendeels voldoet aan de formele WAMCA-vereisten, maar hield de beoordeling van representativiteit en gelijksoortigheid aan in afwachting van uitleg door het HvJEU.

Rb. Amsterdam 4 februari 2020, IT 4940; ECLI:NL:RBAMS:2020:3786 (Eiseres tegen de korpschef van politie). Eiseres verzoekt de politie om inzage in alle over haar geregistreerde persoonsgegevens, gebaseerd op de AVG. Ze wil weten welke gegevens er zijn, het doel van gebruik, aan wie ze zijn verstrekt, hoe ze worden beveiligd, de herkomst, de opslagduur en of er automatische besluitvorming plaatsvindt. Ze vraagt ook om inzage in verslagstukken van gesprekken met de wijkagent. De korpschef interpreteert het verzoek echter als een inzageverzoek op grond van artikel 25 van de Wet politiegegevens (Wpg) en verstrekt een overzicht van alle registraties in het Bedrijfsprocessensysteem van de politie. Oudere gegevens zijn verwijderd of beperkt raadpleegbaar, en communicatie met derden zoals de GGD vindt plaats op basis van art. 20 Wpg en het convenant Zorg en Overlast. Er is geen sprake van automatische besluitvorming en er zijn passende beveiligingsmaatregelen getroffen.

Hof Arnhem-Leeuwarden 1 juli 2025; IT 4943; ECLI:NL:GHARL:2025:4776 ([appellanten] tegen [geïntimeerden]). Het Gerechtshof Arnhem-Leeuwarden heeft in hoger beroep geoordeeld over een burenconflict. De voorzieningenrechter had eerder beslist dat [appellanten] hun beveiligingscamera’s moesten afplakken zodat geen beelden meer konden worden gemaakt van het perceel en de woning van [geïntimeerden]. Het hof bekrachtigt die beslissing: hoewel [appellanten] stellen dat een privacy-mask voldoende bescherming biedt, kunnen zij dat zelf op elk moment uitschakelen. Gezien de ernstig verstoorde verhoudingen en het gebrek aan vertrouwen mocht de voorzieningenrechter daarom een afplakplicht opleggen. De termijn van een week en de dwangsom van €100 per dag (maximaal €10.000) zijn volgens het hof redelijk.

RvS 30 juli 2025, IT 4939; ECLI:NL:RVS:2025:3561 (Appellant sub 1 tegen de burgemeester van Eindhoven). Appellant had de burgemeester van Eindhoven op grond van de Wet open overheid verzocht om informatie over een vermeend buurtonderzoek aan de Lorrainelaan. Zij wilde weten of er een buurtonderzoek aan de Lorrainelaan had plaatsgevonden en vroeg tevens om alle meldingen die over haar zouden zijn gedaan en wat daarmee was gebeurd. Naar aanleiding van dit verzoek verstrekte de gemeente een overzicht van meldingen van woonoverlast, waarin de gegevens van melders waren geanonimiseerd. In dat overzicht stond ook een adres vermeld dat betrekking had op een boom in de openbare ruimte. De appelant stelde dat de vermelding van dit adres in strijd was met de Algemene verordening gegevensbescherming, omdat het haar adres betrof en daarmee een persoonsgegeven vormde. De rechtbank oordeelde dat een adres in dit overzicht een persoonsgegeven kon zijn, omdat het in verband was gebracht met meldingen van woonoverlast en eenvoudig te herleiden viel tot de eigenaar van het pand. De rechtbank achtte dit in strijd met de AVG en droeg de burgemeester op een nieuw besluit te nemen. Het beroep werd gegrond verklaard en een verzoek om schadevergoeding werd afgewezen.

Rb. Den Haag 31 juli 2025, IT 4936; ECLI:NL:RBDHA:2025:14322 (Verzoekers 1 t/m 11 tegen Kindred Group PLC en Risepoint Limited). In deze zaak tussen elf verzoekers en de Maltese entiteiten Kindred Group PLC en Risepoint Limited heeft de rechtbank geoordeeld over verzoeken tot inzage in persoonsgegevens, gebaseerd op de AVG en artikel 194 Rv. Verzoekers zijn voormalige deelnemers aan online kansspelen op websites van Unibet, die vóór 1 oktober 2021 in Nederland zonder vergunning door deze aanbieders werden geëxploiteerd. Verzoekers stelden recht te hebben op een volledig overzicht van hun transactiegegevens en dienden hun verzoeken in via een verzoekschrift. De rechtbank stelt vast dat het geschil valt onder de materiële werkingssfeer van de AVG. Hoewel artikel 79 AVG een grondslag biedt voor de internationale bevoegdheid van de Nederlandse rechter, is de Uitvoeringswet AVG (UAVG) niet van toepassing omdat Kindred en Risepoint geen vestiging in Nederland hebben. Daarmee ontbreekt een expliciete wettelijke basis voor indiening van het verzoek per verzoekschrift. Volgens artikel 261 Rv moet een verzoekschriftprocedure wettelijk zijn voorgeschreven, wat hier niet het geval is. De rechtbank past daarom een zogenoemde ‘spoorwissel’ toe: de zaak wordt verwezen naar de civiele kamer en zal worden voortgezet volgens de regels van de dagvaardingsprocedure. Het verzoekschrift wordt als dagvaarding aangemerkt, en verzoekers mogen hun stellingen via akte aanpassen aan de dagvaardingsregels. Een nieuwe oproeping is niet vereist omdat beide verweersters al bij advocaat zijn verschenen.

Rb. Gelderland, 23 juli 2025, IT 4935; ECLI:NL:RBGEL:2025:5881 (eiser 1, eiseres, eiser 2 tegen de Minister van Financiën). Deze uitspraak gaat over de afwijzing van de verzoeken van eisers op grond van de AVG. Eisers hebben de Amerikaanse nationaliteit . verkregen doordat zij in de Verenigde Staten van Amerika (VS) geboren zijn. Zij hebben bij de minister verzoeken ingediend tot beperking van de verwerking van hun financiële gegevens die de minister verstrekt aan de Amerikaanse Belastingdienst. Eisers zijn het er niet mee eens dat de minister hun verzoeken heeft afgewezen. Zij voeren daartoe een aantal beroepsgronden aan. Volgens eisers is er geen wettelijke grondslag om persoonsgegevens te verwerken, is de verwerking in strijd met de AVG en het Europese Handvest en is het besluit van de minister onvoldoende gemotiveerd, omdat niet wordt ingegaan op alle argumenten in de bezwaarschriften. De rechtbank komt in deze uitspraak tot het oordeel dat de beroepen ongegrond zijn.

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Rb. Rotterdam 28 mei 2025, IT 4876; ECLI:NL:RBROT:2025:6254 (SDBN tegen Adobe). De Stichting Data Bescherming Nederland (SDBN) heeft een collectieve actie ingesteld tegen Adobe Systems Software Ireland Limited en Adobe Inc. wegens vermeende schendingen van de AVG door het verwerken van persoonsgegevens van Nederlandse internetgebruikers. SDBN vordert onder meer een verklaring voor recht dat Adobe onrechtmatig heeft gehandeld, een verbod op verdere schendingen, en schadevergoeding voor de betrokkenen. De rechtbank beoordeelt in deze fase niet de inhoudelijke vorderingen, maar richt zich op de rechtsmacht, het toepasselijk recht en de ontvankelijkheid van SDBN als belangenorganisatie. De rechtbank oordeelt dat zij bevoegd is om van de vorderingen kennis te nemen en dat Nederlands recht van toepassing is op de ontvankelijkheidsvraag. Voor de ontvankelijkheid toetst de rechtbank of SDBN voldoet aan de eisen van de WAMCA, waaronder de representativiteitseis, en aan de eisen van de AVG. De rechtbank stelt vast dat SDBN op dit moment niet voldoet aan de representativiteitseis van de WAMCA, omdat het aantal daadwerkelijk aangesloten of steunende personen te gering is in verhouding tot de omvang van de gestelde groep gedupeerden. Wel voldoet SDBN aan de overige waarborgvereisten van de WAMCA en aan de ontvankelijkheidseisen van de AVG. Omdat er onduidelijkheid bestaat over de verhouding tussen de ontvankelijkheidseisen van de WAMCA en de AVG, en over de mogelijkheid om zonder opdracht schadevergoeding te vorderen, wordt de procedure aangehouden in afwachting van prejudiciële vragen aan het Hof van Justitie van de EU. De rechtbank houdt iedere verdere beslissing aan en verwijst de zaak naar de parkeerrol.