Privacy  

Het FIFA WK 2026 wordt het grootste sporttoernooi ooit. Naar verwachting zullen miljoenen supporters de wedstrijden bezoeken in de Verenigde Staten, Canada en Mexico. Om de veiligheid van dergelijke evenementen te waarborgen wordt steeds vaker gekeken naar AI-systemen voor biometrische identificatie, waaronder gezichtsherkenning.

Dat roept een interessante juridische casus op. De Europese AI-verordening bevat enkele van de strengste regels ter wereld voor biometrische AI-systemen. Bovendien kunnen biometrische gegevens onder de AVG als bijzondere persoonsgegevens kwalificeren. Maar zijn deze kaders in dit geval wel van toepassing, gelet op de locatie van het toernooi? En zo ja, welke Europese waarborgen reizen met supporters mee naar het buitenland?

Interesse in dit onderwerp en andere juridische vraagstukken rond het WK? We verwelkomen u graag bij ons WK & Recht event op dinsdag 23 juni 2026 in Buro de Pijp, Amsterdam.

Hof 's-Hertogenbosch 26 februari 2026, IT 5295; ECLI:NL:GHSHE:2026:523 (Veilig Thuis tegen [verweerders] c.s.). In deze zaak stond de vraag centraal of Stichting Veilig Thuis verplicht was een dossier over een gezin te vernietigen na een verzoek van de ouders op grond van de AVG en de Wet maatschappelijke ondersteuning 2015 (Wmo). Het dossier bevatte drie zorgmeldingen uit 2019 en 2020 over de opvoed- en leefsituatie van drie minderjarige kinderen. De rechtbank Limburg had het verzoek tot vernietiging toegewezen, maar het hof komt tot een andere uitkomst. De meldingen waren afkomstig van het Centrum voor Jeugd en Gezin, de gemeente en een kraamcentrum. Daarbij werden onder meer zorgen geuit over verwaarlozing, onvoldoende structuur in het gezin, gebrek aan voedsel en psychische problematiek bij de ouders. Naar aanleiding van deze meldingen verrichtte de Raad voor de Kinderbescherming onderzoek. Hoewel de Raad in 2020 concludeerde dat een kinderbeschermingsmaatregel niet nodig was, werd daarbij wel vastgesteld dat er zorgen bestonden over de draagkracht van de ouders en de opvoedsituatie. De benodigde hulpverlening was volgens de Raad op dat moment voldoende aanwezig. De ouders verzochten in 2024 om vernietiging van het dossier. Zij stelden dat de meldingen door het rapport van de Raad waren weerlegd en dat de aanwezigheid van het dossier ertoe leidde dat eerdere meldingen telkens werden betrokken bij nieuwe zorgmeldingen. Veilig Thuis wees het verzoek af omdat bewaring van het dossier volgens haar van aanmerkelijk belang bleef. 

Hof Den Haag 28 april 2026, IT&R 5293; ECLI:NL:GHDHA:2026:664 (de Staat tegen [geïntimeerde 1] en [geïntimeerde 2]). Het Hof Den Haag oordeelt in dit tussenarrest dat de Staat onrechtmatig heeft gehandeld jegens twee voormalig leidinggevenden van de SUMO-restaurantketen door documentairemakers van Selfmade Films mee te laten lopen tijdens het FIOD-opsporingsonderzoek naar belastingfraude binnen het SUMO-concern. Op grond van een Mediacontract mochten de documentairemakers aanwezig zijn bij onder meer voorbereidingen, doorzoekingen, overleggen en andere onderzoekshandelingen voor een documentaire over het werk van de FIOD. Het hof acht aannemelijk dat zij daarbij op meerdere momenten kennis hebben genomen van politiegegevens die tot de betrokkenen herleidbaar waren, waaronder namen, adressen, verdenkingen, herkenbare beelden, locaties en andere details. Dat deze gegevens in de uiteindelijk uitgezonden documentaire zijn geblurd of weggepiept, is niet beslissend: de schending vond al plaats doordat de documentairemakers in de opsporingsfase kennis kregen van gegevens die onder de geheimhoudingsplicht van artikel 7 lid 1 Wet politiegegevens vielen. Het hof verwerpt het betoog van de Staat dat nog geen sprake was van “verwerkte” politiegegevens, omdat verwerking in de zin van artikel 1 Wpg ook het verzamelen van gegevens omvat. Ook het beroep op de strafrechtelijke beoordeling van artikel 272 Sr slaagt niet, omdat de civielrechtelijke toets aan de Wpg een andere is dan de vraag of sprake is van strafbare schending van een ambtsgeheim.

Rb. Den Haag 6 mei 2026, IT&R 5291; ECLI:NL:RBDHA:2026:12862 (eisers tegen de Staat). De voorzieningenrechter van de Rechtbank Den Haag wijst de vorderingen af van drie Nederlandse burgers die wilden voorkomen dat de Staat de overeenkomst met Solvinity verlengt. Solvinity verzorgt het technische beheer van het Picard-platform, waarop diverse overheidsapplicaties van Logius draaien, waaronder DigiD en MijnOverheid. Eisers vreesden dat de voorgenomen overname van Solvinity door het Amerikaanse Kyndryl ertoe zou leiden dat persoonsgegevens van Nederlandse burgers onder het bereik komen van Amerikaanse wetgeving met extraterritoriale werking, zoals de CLOUD Act, FISA en Executive Order 12333. Volgens eisers zou de Staat daarom onrechtmatig handelen door de overeenkomst met Solvinity te verlengen, dan wel door dat te doen zonder nadere voorwaarden, zoals een gegevensbeschermingseffectbeoordeling op grond van artikel 35 AVG, advisering door de Functionaris Gegevensbescherming en, indien nodig, voorafgaande raadpleging van de Autoriteit Persoonsgegevens op grond van artikel 36 AVG. De voorzieningenrechter stelt voorop dat de Staat bij de uitvoering van zijn publieke taak, en in het bijzonder bij de beslissing of een overeenkomst voor kritieke ICT-dienstverlening wordt verlengd, een ruime beleidsvrijheid heeft. De rechter moet zich daarom terughoudend opstellen; ingrijpen is alleen aan de orde als evident sprake is van dreigend onrechtmatig handelen. Daarbij geldt bovendien dat ook zwaarwegende maatschappelijke belangen aan het opleggen van een verbod in de weg kunnen staan.

Rb. Limburg 21 april 2026, IT 5279; ECLI:NL:RBLIM:2026:3722 (Kroonstaete tegen [gedaagde]). In dit kort geding tussen De Kroonstaete Vastgoed B.V. en [gedaagde] staat een burengeschil centraal over erfgrenzen, cameratoezicht en het gebruik van elkaars perceel. Kroonstaete vordert onder meer verwijdering van camera’s die volgens haar gericht zijn op haar perceel en daarmee inbreuk maken op haar eigendomsrecht en de privacy van personen op haar terrein. Daarnaast verlangt zij dat [gedaagde] zich onthoudt van het betreden van haar grond en het plaatsen van goederen daarop. Na een grensreconstructie door het Kadaster staat de erfgrens tussen partijen vast.

De Europese Commissie heeft de langverwachte (concept-)richtlijnen gepubliceerd over de classificatie van hoog-risico AI-systemen onder artikel 6 AI-verordening. De richtlijnen zijn formeel niet bindend, maar helpen bedrijven in de praktijk bij de verplichte beoordeling van hun systemen. Centraal staan onder andere de rol van het ‘beoogde doel’, de afbakening van veiligheidscomponenten, de reikwijdte van Annex III en het filtermechanisme van artikel 6 lid 3 AI-verordening. Een week eerder publiceerde de Commissie nog afzonderlijke concept-richtlijnen over de transparantieverplichtingen van artikel 50. Deze bepaling bevat verplichtingen voor aanbieders en gebruikers van bepaalde systemen, waaronder chatbots.

In dit overzichtsartikel volgt een heldere samenvatting van de eerstgenoemde richtlijn, waar nodig aangevuld met commentaar. Tussen haakjes wordt regelmatig verwezen naar de relevante vindplaatsen in de richtlijnen zelf.

Voor het gemak wordt vanaf nu volstaan met de Engelse termen high risk en AI Act.

Rb. Rotterdam 17 april 2026, IT 5273; ECLI:NL:RBROT:2026:4682 ([eiseres] tegen MPG). [eiseres] heeft in 2021 deelgenomen aan een door MPG georganiseerde spelshow, waarvan een video op YouTube is geplaatst. In die video is zij herkenbaar in beeld, wordt zij bij haar voornaam genoemd en is haar stem hoorbaar. [eiseres] vordert verwijdering van de video, omdat zij niet heeft ingestemd met de wijze waarop haar persoonsgegevens zijn verwerkt, in het bijzonder vanwege de seksueel getinte opdrachten en vragen in het spel.

Rb. Rotterdam 9 maart 2026, IT 5263; ECLI:NL:RBROT:2026:2915 ([verzoeker] tegen het College van B&W van Rotterdam). De voorzieningenrechter heeft een verzoek om voorlopige voorziening afgewezen in een zaak over inzage in persoonsgegevens en een Wmo-dossier. [verzoeker] stelde dat hij met een informatieachterstand procedeerde in een hogerberoepsprocedure over zijn Ziektewet-uitkering en daarom spoedeisend belang had bij onmiddellijke verstrekking van aanvullende gegevens. 

Hof Amsterdam 14 april 2026, IT 5255; ECLI:NL:GHAMS:2026:1138 ([appellante] tegen [geïntimeerde]). In deze zaak oordeelt het Hof Amsterdam over een verzoek van een schoolleider tot verwijdering van haar persoonsgegevens uit het Schoolleidersregister Primair Onderwijs. Zij stelde dat de registratie onrechtmatig was en beriep zich onder meer op haar recht op gegevenswissing onder de AVG. Het hof bekrachtigt het oordeel van de rechtbank (ECLI:NL:RBNHO:2025:1087), dat het verzoek moet worden afgewezen. De verwerking van persoonsgegevens door de beheerder van het register is rechtmatig op grond van artikel 6 lid 1 onder f AVG. Volgens het hof bestaat een gerechtvaardigd belang bij het registreren van schoolleiders, gelegen in het bewaken, stimuleren en borgen van de kwaliteit van schoolleiders en de professionalisering binnen het primair onderwijs. Deze registratie vloeit voort uit afspraken tussen sociale partners en voorwaarden die door de overheid zijn gesteld aan financiering van professionalisering.

Rb. Rotterdam 13 maart 2026, IT 5253; ECLI:NL:RBROT:2026:2765 ([verzoeker] tegen het Gerechtsbestuur). In deze zaak verzoekt [verzoeker] om op grond van de AVG inzage in alle interne communicatie en documenten van de rechtbank Den Haag waarin zijn persoonsgegevens voorkomen, waaronder interne e-mails, notities en analyses rond zijn eerdere procedures en klachten. De rechtbank wijst het verzoek grotendeels af. Hoewel artikel 15 AVG recht geeft op inzage in persoonsgegevens, strekt dit recht niet zo ver dat ook volledige toegang moet worden verleend tot interne correspondentie en documenten. Het doel van het inzagerecht is dat betrokkene de verwerking van zijn persoonsgegevens kan controleren, en daaraan was in dit geval al voldaan doordat een overzicht van de verwerkte gegevens en relevante stukken was verstrekt.