Privacy  

Ilona Kuipers, 17 juni 2026.

In februari schreven we al in een blog over de hoofdlijnen van de implementatie van de European Health Data Space verordening (EHDS) met als doel het beter beschikbaar maken van gezondheidsgegevens. Sindsdien is er veel gebeurd en met de kamerbrief van 18 mei 2026 worden eerder aangekondigde keuzes geconcretiseerd. Daarnaast zijn de eerste conceptstukken van de bijbehorende uitvoeringswet inmiddels beschikbaar gemaakt: het wetsvoorstel Wet op het gezondheidsinformatiestelsel (Wet GIS) en de bijbehorende Memorie van Toelichting.[1]

Daarmee geeft de wetgever, na een lange tijd onduidelijkheid, een beeld van hoe Nederland de EHDS juridisch gaat inrichten. De uitvoering van de EHDS gaat in tranches plaatsvinden, waarbij de eerste tranche, de wet GIS, zich richt op het fundament van het stelsel, zoals het aanwijzen van de instanties die worden belast met taken op grond van de EHDS. De inhoudelijke bepalingen rond primair gebruik, secundair gebruik en EPD-systemen komen pas in de tweede tranche aan de orde. In dit blog lichten wij de huidige stand van zaken toe en gaan we in op de gemaakte keuzes in de wet GIS.

De wet GIS

De wetgever heeft ervoor gekozen om de nationale wetgeving in tranches te wijzigen met meerdere wetsvoorstellen die gezamenlijk de Stelselwet gegevensverwerking in de zorg gaan vormen. De wet GIS geeft als eerste tranche uitvoering aan de bepalingen uit de EHDS voor zover die per 26 maart 2027 van toepassing worden. Deze bepalingen zien op de aanwijzing van de instanties die belast zijn met uitvoeringstaken en het toezicht- en handhavingskader. Ook wordt in de Wet GIS een aanpassing van de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) voorgesteld, namelijk op het gebied van de conformiteitsbeoordeling.[2]

De internetconsultatie ter voorbereiding op de Wet GIS is gestart op 28 mei 2026 en sluit op 8 juli 2026. Of je nu zorgaanbieder, patiënt(organisatie), EPD-leverancier, onderzoeker of anderszins betrokken bent: dit is hét moment om van je te laten horen. Reageren kan via internetconsultatie.nl.

Rb. Amsterdam 6 juni 2026, IT&Recht 5318; ECLI:NL:RBAMS:2025:4025 (Knooppunt tegen Hands On). In deze zaak staat de vraag centraal of een IT-dienstverlener kosten in rekening heeft gebracht voor antivirus- en anti-ransomwarediensten die volgens de afnemer nooit zijn geleverd. Daarnaast is in geschil of de afnemer bij het aangaan van de beheersovereenkomst heeft gedwaald over de inhoud van deze diensten en of de IT-dienstverlener aansprakelijk kan worden gehouden voor mogelijke toekomstige schade als gevolg van een onvoldoende beveiligde IT-omgeving. Knooppunt exploiteert een fysiotherapiepraktijk en maakt deel uit van een groep praktijkvennootschappen. Hands On levert IT-diensten, waaronder advisering, beheer en ondersteuning. In 2021 sluiten partijen een consultancyovereenkomst, een licentieovereenkomst en een beheersovereenkomst. In de beheersovereenkomst is een zogenoemd SLA Comfort overeengekomen, dat onder meer ziet op monitoring, onderhoud, licentie- en contractmanagement, incidentafhandeling, back-updiensten en securitydiensten. Onder die securitydiensten vallen een antivirusdienst, een anti-ransomwaredienst en multi-factor authenticatie. De licentieovereenkomst eindigt in 2022. De beheersovereenkomst wordt door Knooppunt opgezegd tegen het einde van de looptijd en eindigt op 30 juni 2024. Daarna neemt een andere IT-dienstverlener, RoRo, het beheer van de IT-omgeving over. Knooppunt stelt zich op het standpunt dat Hands On gedurende de looptijd van de beheersovereenkomst uitsluitend gebruik heeft gemaakt van Microsoft Defender, terwijl daarvoor afzonderlijk antivirus- en anti-ransomwarediensten in rekening zijn gebracht. Volgens Knooppunt waren deze diensten onderdeel van de standaard Microsoft-licenties en heeft Hands On geen aanvullende werkzaamheden verricht. Daarnaast voert Knooppunt aan dat Microsoft Defender geen afdoende bescherming biedt tegen virussen en ransomware. Omdat Hands On volgens Knooppunt ten onrechte de indruk heeft gewekt dat zij onmisbare beveiligingsdiensten leverde, beroept Knooppunt zich op dwaling. Zij vordert wijziging van de beheersovereenkomst en terugbetaling van de bedragen die volgens haar ten onrechte voor antivirus- en anti-ransomwarediensten in rekening zijn gebracht. Daarnaast verzoekt zij een verklaring voor recht dat Hands On aansprakelijk is voor eventuele toekomstige schade als gevolg van een ondeugdelijke beveiliging van haar gegevens. De rechtbank overweegt dat eerst moet worden vastgesteld welke afspraken partijen precies hebben gemaakt over de antivirus- en anti-ransomwarediensten. Volgens Hands On maakten deze diensten onderdeel uit van een breder pakket aan beheers- en securitydiensten.

Rb. Noord-Holland 12 mei 2026, IT&Recht 5313; ECLI:N:RBNHO:2026:5128 ([verzoeker] tegen Saints & Stars). In deze zaak verzoekt [verzoeker] de Rechtbank Noord-Holland om Saints & Stars te veroordelen tot betaling van € 750 aan immateriële schadevergoeding op grond van artikel 82 AVG. Nadat [verzoeker] zijn lidmaatschap had opgezegd en Saints & Stars had verzocht zijn persoonsgegevens te verwijderen, ontving [verzoeker] alsnog twee algemene marketingmails van de sportschool. Aanvankelijk verzoekt [verzoeker] daarnaast om een bevel tot definitieve verwijdering van zijn persoonsgegevens op grond van artikel 17 AVG. De rechtbank stelt eerst vast dat [verzoeker] in zijn verzoek kan worden ontvangen. De zeswekentermijn van artikel 35 lid 2 UAVG geldt uitsluitend voor verzoeken die zijn gebaseerd op de rechten uit artikel 15 tot en met 22 AVG en niet voor een verzoek om schadevergoeding op grond van artikel 82 AVG. [Verzoeker] heeft zijn verzoek tot verwijdering van persoonsgegevens tijdens de mondelinge behandeling uitdrukkelijk ingetrokken, zodat alleen het verzoek om immateriële schadevergoeding ter beoordeling voorligt. Ten aanzien van de verwerking van de persoonsgegevens oordeelt de rechtbank dat Saints & Stars de gegevens van [verzoeker] weliswaar rechtmatig mocht bewaren voor de afwikkeling van de overeenkomst en om te voldoen aan haar fiscale bewaarplicht, maar dat deze gegevens niet mochten worden gebruikt voor marketingdoeleinden. Niet in geschil is dat [verzoeker] daarvoor geen toestemming had gegeven en dat de persoonsgegevens na de opzegging niet voor dat doel bewaard mochten blijven. Voor de twee marketingmails van 9 en 28 september 2025 ontbreekt dan ook een geldige verwerkingsgrondslag als bedoeld in artikel 6 AVG. De verzending van deze marketingmails is daarom in strijd met artikel 6 AVG en daarmee onrechtmatig.

Rb. Amsterdam 11 juni 2026, IEF 23627; IT 5312; ECLI:NL:RBAMS:2026:5976 (TMU tegen [gedaagde]). In deze zaak tussen TMU en [gedaagde] staat de vraag centraal of [gedaagde] onrechtmatig heeft gehandeld door een klantenbestand van TMU te gebruiken voor eigen marketingactiviteiten. De voorzieningenrechter oordeelt dat het klantenbestand van TMU een bedrijfsgeheim vormt en dat [gedaagde] door het zonder toestemming gebruiken van dat bestand onrechtmatig heeft gehandeld op grond van onder meer artikel 6:162 BW en de Wet bescherming bedrijfsgeheimen (Wbb). [gedaagde] wordt bevolen ieder verder gebruik van het klantenbestand te staken en opgave te doen van de met het bestand verrichte marketingactiviteiten en de daarmee behaalde omzet en winst. TMU is actief op het gebied van handelseducatie en financiële markten en verkoopt cursussen over handelen op de financiële markt. [gedaagde] exploiteert een concurrerende onderneming. Partijen hadden sinds 2022 zowel een zakelijke als persoonlijke relatie. In april 2026 verstuurde [gedaagde] vanaf zijn eigen e-mailadres een commerciële e-mail aan een groot aantal adressen die onderdeel bleken te zijn van het klantenbestand van TMU. In die e-mail presenteerde hij zich als de "mentor van uw mentor" en maakte hij reclame voor zijn eigen diensten. Daarnaast plaatste hij een vergelijkbaar bericht op Telegram. Van de 66 adressen waarvan TMU meldingen ontving, kwamen er 64 voor in haar klantenbestand. Elf ontvangers verklaarden bovendien dat zij het betreffende e-mailadres uitsluitend gebruikten voor hun account bij TMU. Volgens TMU had een voormalig opdrachtnemer eind 2025 een grote hoeveelheid vertrouwelijke bedrijfsinformatie ontvreemd, waaronder het klantenbestand. TMU stelde dat [gedaagde] daarmee onrechtmatig handelde en tevens in strijd met de Wet bescherming bedrijfsgeheimen (Wbb) en de regels over vergelijkende reclame. [gedaagde] voerde aan dat hij het adressenbestand anoniem had ontvangen via een link, er niet voor had betaald en niet wist van wie het afkomstig was. Nadat hij de e-mails had verzonden, zou hij het bestand weer hebben verwijderd. De voorzieningenrechter overweegt dat [gedaagde] onder deze omstandigheden had moeten begrijpen dat een dergelijk klantenbestand economische waarde vertegenwoordigt. Als actief handelaar op een concurrerende markt ontving hij zonder tegenprestatie een omvangrijk adressenbestand. Door dat bestand zonder enige controle voor eigen commerciële doeleinden te gebruiken, heeft hij willens en wetens het risico aanvaard dat hij inbreuk maakte op rechten van derden. Dat handelen is voorshands onrechtmatig. Daarbij weegt mee dat [gedaagde] de e-mail zelf heeft opgesteld en daarin expliciet verwees naar [naam 1] van TMU, die hij persoonlijk kende. Verder acht de voorzieningenrechter voldoende aannemelijk dat TMU geen toestemming heeft gegeven voor verspreiding van haar klantenbestand, dat het bestand aanzienlijke economische waarde vertegenwoordigt en bovendien het voornaamste bedrijfsdebiet van TMU vormt. Daarom wordt het gevorderde verbod op verdere verkrijging, openbaarmaking en gebruik van het klantenbestand toegewezen, waaraan een dwangsom wordt verbonden van € 20.000 per dag met een maximum van € 500.000

Artikel door Gijs van Berkel. Oorspronkelijk verschenen in AI-Forum 2026-2.

De kogel is door de kerk. Terwijl de AI-verordening nog niet volledig in werking is getreden, stemde het Europees Parlement op 16 juni 2026 in met de aanpassingen aan de AI-verordening in het kader van de Digitale Omnibus. De AI-verordening zou volledig in werking treden op 2 augustus 2026, maar nog vóór die datum voert de Europese wetgever de wijzigingen door.

‘Orde in de chaos’; zo lijkt de Digitale Omnibus gepresenteerd te worden. Met dit pakket probeert de Europese Commissie de snel gegroeide hoeveelheid digitale regelgeving binnen de Europese Unie beter op elkaar af te stemmen. Het plan is helder: minder overlappingen, minder inconsistenties en meer ruimte voor innovatie.[1] Voor deze doeleinden liggen er maar liefst twee Omnibus-pakketten: de Digital Omnibus, die onder meer de Algemene Verordening Gegevensbescherming (‘AVG’)[2], de Dataverordening[3], de ePrivacy‑richtlijn[4] en de NIS2‑richtlijn[5] aanpast, en een aparte Digital Omnibus on AI, die de AI‑verordening[6] onder handen neemt.

Dit is een preview. Het volledige artikel is nu beschikbaar op www.AI-Forum.nl

Rb. Midden-Nederland 3 juni 2026, IT&Recht 5309; ECLI:NL:RBMNE2026:3037 ([eisende partij] tegen Bitfinex). In deze zaak staat de vraag centraal of een slachtoffer van crypto-oplichting in kort geding kan afdwingen dat een buitenlandse cryptobeurs identificerende gegevens van accounthouders en transactiegegevens van betrokken wallet-adressen verstrekt. De voorzieningenrechter van de Rechtbank Midden-Nederland beantwoordt die vraag bevestigend en veroordeelt Bitfinex tot afgifte van zowel de Know Your Customer (KYC)-gegevens als de volledige transactieoverzichten van zeven wallet-adressen. [eisende partij] stelt slachtoffer te zijn geworden van oplichting waarbij hij cryptovaluta heeft overgemaakt naar verschillende wallet-adressen die volgens hem toebehoren aan de crypto-exchange Bitfinex. Om de identiteit van de oplichters te kunnen achterhalen en zijn schade te verhalen, vordert hij in kort geding afgifte van de KYC-gegevens van de accounthouders van deze adressen, alsmede de volledige transactiegeschiedenis van de betreffende accounts. Bitfinex, bestaande uit de vennootschappen IFINEX Inc., BFXNA Inc. en BFXWW Inc., verschijnt niet in de procedure. De voorzieningenrechter moet daarom eerst beoordelen of verstek kan worden verleend. De rechtbank stelt vast dat het exploot van de dagvaarding is uitgebracht met inachtneming van het Haags Betekeningsverdrag, de Uitvoeringswet van dat verdrag en artikel 55 Rv. Niet is gebleken dat de dagvaarding overeenkomstig artikel 15 lid 1 en 2 van het Haags Betekeningsverdrag daadwerkelijk is betekend of in persoon aan Bitfinex is afgegeven. In beginsel staat dat aan verstekverlening in de weg. De voorzieningenrechter oordeelt toch dat toepassing kan worden gegeven aan artikel 15 lid 3 van het Haags Betekeningsverdrag, dat in spoedeisende gevallen toestaat om verstek te verlenen zonder dat volledig aan de betekeningsvereisten is voldaan. Daarbij moet wel voldoende zijn gewaarborgd dat de dagvaarding de gedaagde daadwerkelijk heeft bereikt en dat deze voldoende gelegenheid heeft gehad om verweer te voeren. Volgens de rechtbank is aan die voorwaarden voldaan. [eisende partij] heeft toegelicht dat de gevraagde gegevens noodzakelijk zijn om de identiteit van de oplichters te achterhalen, voor een poging zijn schade te verhalen en voor het vervolg van de strafrechtelijke procedure.

Rb. Amsterdam 20 augustus 2025, IT&Recht 5308; ECLI:NLRBAMS:2025:11465 (CF Holdings tegen Frontyrion en [gedaagde 2]). De Rechtbank Amsterdam heeft geoordeeld dat betalingsbemiddelaar Frontyrion niet aansprakelijk is voor de schade die CF Holdings heeft geleden als gevolg van factuurfraude via een gehackt e-mailaccount. Volgens de rechtbank trad Frontyrion uitsluitend op als tussenpersoon tussen CF Holdings en betaaldienstverlener Currencycloud en rustte op haar geen verplichting om betaalopdrachten inhoudelijk te controleren of frauduleuze transacties te detecteren. Ook de bestuurder van Frontyrion kan geen persoonlijk ernstig verwijt worden gemaakt. Alle vorderingen van CF Holdings worden afgewezen. CF Holdings, een dochtermaatschappij van een Indiase producent van verpakkings- en industriële folies, maakte sinds 2021 gebruik van de diensten van Frontyrion voor betalingen aan haar Duitse logistieke partner Soli-Trans. Frontyrion hield zich volgens het handelsregister bezig met het aanbieden van online platformen en aanverwante diensten en werkte daarbij samen met betaaldienstverlener Currencycloud, die het daadwerkelijke betaalplatform exploiteerde. In augustus en september 2023 werd een e-mailaccount van een medewerker van administratiekantoor Valuecent gehackt. Vanuit dat account werden aan CF Holdings meerdere valse betaalinstructies gestuurd. Eerst werd een Pools bankrekeningnummer doorgegeven dat zogenaamd aan Soli-Trans toebehoorde. Nadat twee betalingen naar dat rekeningnummer door de Poolse bank waren teruggestort, volgde een nieuw bericht met een Portugees bankrekeningnummer. Vervolgens voerde CF Holdings meerdere betalingen uit op basis van deels bestaande en deels verzonnen facturen. Uiteindelijk werd in totaal € 1.063.762,91 overgemaakt naar een rekening van een onbekende derde. De fraude kwam pas op 28 september 2023 aan het licht. Nadat de fraude was ontdekt, verzocht CF Holdings Frontyrion om de betalingen terug te halen en de ontvangende bank te laten overgaan tot bevriezing van de rekening. Frontyrion schakelde daarop Currencycloud in, die via het SWIFT-netwerk zogenoemde recall-verzoeken deed. Deze pogingen om de gelden terug te halen hadden echter geen succes. CF Holdings stelde daarop Frontyrion en een van haar bestuurders aansprakelijk. Primair werd schadevergoeding gevorderd op grond van onrechtmatige daad en subsidiair wegens wanprestatie. Volgens CF Holdings was Frontyrion feitelijk een betaaldienstverlener die haar werkzaamheden had uitbesteed aan Currencycloud. Frontyrion zou verschillende waarschuwingssignalen hebben gemist, onvoldoende onderzoek hebben verricht naar mislukte betalingen en zich na ontdekking van de fraude onvoldoende hebben ingespannen om de gelden terug te halen. Daarnaast vorderde CF Holdings vergoeding van de kosten van een forensisch onderzoek. De rechtbank stelt voorop dat voor de beoordeling bepalend is welke taken Frontyrion op grond van de tussen partijen gesloten overeenkomst had en welke rol zij daadwerkelijk vervulde. Daarbij gaat de rechtbank uit van de zogenoemde Frontyrion Service Agreement. Dat deze overeenkomst niet was ondertekend, doet daar volgens de rechtbank niet aan af, omdat CF Holdings niet heeft toegelicht welke andere afspraken partijen zouden hebben gemaakt. Uit die overeenkomst volgt volgens de rechtbank dat Frontyrion uitsluitend optrad als business introducer voor betaaldienstverleners. Cliënten moesten afzonderlijk een overeenkomst sluiten met de betaaldienstverlener zelf. Frontyrion verrichtte geen betaaldiensten in eigen naam, maar hield zich bezig met onboarding, eerstelijns klantenservice en ondersteuning van de dienstverlening door de betaaldienstverlener. Vaststaat dat Currencycloud de betaaldiensten uitvoerde en over de vereiste vergunning beschikte. De stelling van CF Holdings dat Frontyrion zelf als betaaldienstverlener moet worden aangemerkt, wordt daarom verworpen. Ook het beroep op verplichtingen uit de Wet op het financieel toezicht en de Wet ter voorkoming van witwassen en financieren van terrorisme slaagt niet. Volgens de rechtbank strekken deze toezichtsnormen niet tot bescherming van een individuele rekeninghouder tegen schade als gevolg van factuurfraude zoals hier aan de orde. Verder overweegt de rechtbank dat de dienstverlening van Frontyrion zich beperkte tot onboarding en communicatie tussen CF Holdings en Currencycloud.

Deepfakes zijn in rap tempo uitgegroeid tot een van de meest besproken toepassingen van generatieve AI. Steeds gemakkelijker kunnen afbeeldingen, video's en audiobestanden worden gegenereerd waarin personen, stemmen en gebeurtenissen overtuigend worden nagebootst. Of deze ontwikkeling ook wenselijk is, blijkt een andere vraag.

Tijdens het IE Zomerforum 2026 stond dit onderwerp centraal. Aan de hand van bijdragen van Daniël de Weerd, Dirk Visser, Etienne Valk, Jet Hootsmans en Elles Masselink werd uitgebreid stilgestaan bij de juridische stand van zaken rond deepfakes. Daarbij kwamen zowel de Europese AI Act als het in Nederland geïnitieerde wetsvoorstel aan bod. Ook werd aandacht besteed aan de belangen van makers en andere betrokkenen.

Het FIFA WK 2026 wordt het grootste sporttoernooi ooit. Naar verwachting zullen miljoenen supporters de wedstrijden bezoeken in de Verenigde Staten, Canada en Mexico. Om de veiligheid van dergelijke evenementen te waarborgen wordt steeds vaker gekeken naar AI-systemen voor biometrische identificatie, waaronder gezichtsherkenning.

Dat roept een interessante juridische casus op. De Europese AI-verordening bevat enkele van de strengste regels ter wereld voor biometrische AI-systemen. Bovendien kunnen biometrische gegevens onder de AVG als bijzondere persoonsgegevens kwalificeren. Maar zijn deze kaders in dit geval wel van toepassing, gelet op de locatie van het toernooi? En zo ja, welke Europese waarborgen reizen met supporters mee naar het buitenland?

Interesse in dit onderwerp en andere juridische vraagstukken rond het WK? We verwelkomen u graag bij ons WK & Recht event op dinsdag 23 juni 2026 in Buro de Pijp, Amsterdam.

Hof 's-Hertogenbosch 26 februari 2026, IT 5295; ECLI:NL:GHSHE:2026:523 (Veilig Thuis tegen [verweerders] c.s.). In deze zaak stond de vraag centraal of Stichting Veilig Thuis verplicht was een dossier over een gezin te vernietigen na een verzoek van de ouders op grond van de AVG en de Wet maatschappelijke ondersteuning 2015 (Wmo). Het dossier bevatte drie zorgmeldingen uit 2019 en 2020 over de opvoed- en leefsituatie van drie minderjarige kinderen. De rechtbank Limburg had het verzoek tot vernietiging toegewezen, maar het hof komt tot een andere uitkomst. De meldingen waren afkomstig van het Centrum voor Jeugd en Gezin, de gemeente en een kraamcentrum. Daarbij werden onder meer zorgen geuit over verwaarlozing, onvoldoende structuur in het gezin, gebrek aan voedsel en psychische problematiek bij de ouders. Naar aanleiding van deze meldingen verrichtte de Raad voor de Kinderbescherming onderzoek. Hoewel de Raad in 2020 concludeerde dat een kinderbeschermingsmaatregel niet nodig was, werd daarbij wel vastgesteld dat er zorgen bestonden over de draagkracht van de ouders en de opvoedsituatie. De benodigde hulpverlening was volgens de Raad op dat moment voldoende aanwezig. De ouders verzochten in 2024 om vernietiging van het dossier. Zij stelden dat de meldingen door het rapport van de Raad waren weerlegd en dat de aanwezigheid van het dossier ertoe leidde dat eerdere meldingen telkens werden betrokken bij nieuwe zorgmeldingen. Veilig Thuis wees het verzoek af omdat bewaring van het dossier volgens haar van aanmerkelijk belang bleef.