Privacy  

Hof Amsterdam 16 april 2026, IT 5228; ECLI:NL:GHAMS:2026:1003 (Openbaar Ministerie tegen [verdachte]). Het hof vernietigt het vonnis van de Rechtbank Noord-Holland, omdat het hof tot een deels andere bewijsconstructie, een op detail afwijkende bewezenverklaring en een andere strafoplegging komt, en verklaart vervolgens feit 1 primair en feit 2 bewezen. Het hof acht bewezen dat de verdachte, destijds tweedelijns helpdeskmedewerker bij [bedrijf], op 27 maart 2021 opzettelijk en wederrechtelijk is binnengedrongen in een server van [bedrijf] waarop medische gegevens van patiënten van [stichting] stonden, door onbevoegd gebruik te maken van een toegangscertificaat en wachtwoord waarover hij uit hoofde van zijn functie wel kon beschikken, maar die hij voor dit doel niet mocht gebruiken. Vervolgens heeft hij die gegevens overgenomen door ze te downloaden en op zijn privé-USB-stick op te slaan. Daarnaast acht het hof bewezen dat hij in de periode van 2 april 2021 tot en met 22 april 2021 heeft getracht [stichting] door bedreiging met openbaarmaking van die gegevens te dwingen tot afgifte van bitcoins. Het hof verwerpt zowel het verweer dat een derde de apparatuur van verdachte op afstand zou hebben gehackt als het juridische verweer dat geen sprake was van binnendringen met een “valse sleutel”. Uit de combinatie van het afwijkende IP-adres, de Postman-activiteit, de koppeling tussen desktop, Acer-laptop, Lumia-telefoon, Samsung-telefoon en hotspot, het aantreffen van de datasets, het certificaat en wachtwoord, en de op meerdere gegevensdragers gevonden concepten van de dreigberichten leidt het hof af dat de verdachte zelf de dader was. Het onbevoegd gebruiken van certificaat en wachtwoord levert volgens het hof, conform vaste rechtspraak, binnendringen met een vals gebruikte sleutel op. Het bewezenverklaarde kwalificeert het hof als computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, en als poging tot afdreiging.

Hof Amsterdam 14 april 2026, IEF23484, ECLI:NL:GHAMS:2026:961(X International Unlimited Company tegen [geïntimeerde]). In deze zaak staat de reikwijdte van het inzagerecht van artikel 15 AVG centraal in de context van interne moderatie- en logsysteemgegevens van X (voorheen Twitter). [geïntimeerde], een gebruiker van het platform X, werd in oktober 2023 geconfronteerd met een tijdelijke beperking van zijn account naar aanleiding van een tweet waarin het woord “kinderporno” voorkwam met een link naar een NOS-artikel. Deze beperking bleek achteraf onterecht en werd door X opgeheven zonder dat de verzoeker daarvan op de hoogte werd gesteld. Als reactie hierop heeft de [geïntimeerde] een inzageverzoek ingediend op grond van artikel 15 AVG. Daarbij vroeg hij onder meer om toegang tot interne registraties van het platform, waaronder het systeem dat binnen X bekend staat als [Y] (ook aangeduid als “Guano Notes”), waarin moderatiehandelingen, labels en andere account gerelateerde acties worden vastgelegd. De Rechtbank Amsterdam wees dit verzoek grotendeels toe en verplichtte X tot volledige inzage, op straffe van een doorlopende dwangsom. In hoger beroep lagen echter nog slechts twee geschilpunten voor: de vraag of ook inzage moest worden verleend in de [Y]/Guano Notes en de vraag of de opgelegde dwangsommen moesten worden gemaximeerd dan wel verhoogd. X kwam in dat kader op tegen het vonnis en beriep zich op de bescherming van bedrijfsgeheimen en de rechten en vrijheden van derden als grond om de inzage te beperken. Het gerechtshof stelt voorop dat gegevens die zijn opgenomen in interne systemen zoals [Y], voor zover zij betrekking hebben op handelingen rond het account van de betrokkene, moeten worden aangemerkt als persoonsgegevens in de zin van de AVG. Dit betekent dat zij in beginsel onder het bereik van het inzagerecht vallen. Daarmee sluit het hof aan bij de lijn van het C-487/21 (FF/CRIF), waarin is benadrukt dat het inzagerecht ertoe strekt de betrokkene in staat te stellen de rechtmatigheid van de verwerking daadwerkelijk te controleren. Tegelijkertijd onderkent het hof dat het inzagerecht niet absoluut is. Op grond van artikel 15 lid 4 AVG, gelezen in samenhang met artikel 23 AVG en artikel 41 UAVG, kan de verstrekking van gegevens worden beperkt ter bescherming van onder meer de rechten en vrijheden van anderen, waaronder bedrijfsgeheimen. In dat verband verwijst het hof mede naar de rechtspraak van het C-203/22 (Dun & Bradstreet Austria), waarin is benadrukt dat een dergelijke beperking steeds het resultaat moet zijn van een concrete en zorgvuldige belangenafweging.

Rb. Amsterdam 27 maart 2026, IEF 23465; IT 5201; ECLI:NL:RBAMS:2026:3130 ([eiser] tegen [gedaagde]). De voorzieningenrechter wijst alle vorderingen van een Australische singer-songwriter tegen een Nederlandse fan af. Partijen hebben gedurende ongeveer 2,5 jaar een persoonlijke relatie gehad, die in het najaar van 2025 definitief eindigde. Nadat de artiest op 30 oktober 2025 op Instagram had gereageerd op beschuldigingen van grensoverschrijdend gedrag jegens jonge vrouwelijke fans, plaatste de fan berichten op Instagram, TikTok en YouTube over haar ervaringen. De artiest vorderde in kort geding onder meer een verbod op uitlatingen waarin hij volgens hem werd beschuldigd van verkrachting, mishandeling, seksueel grensoverschrijdend gedrag en een narcistische persoonlijkheidsstoornis, alsmede verwijdering van berichten, een contactverbod, rectificatie en een auteursrechtelijk verbod met betrekking tot niet-uitgebrachte muziek. De voorzieningenrechter stelt voorop dat moet worden afgewogen tussen het recht van de fan op vrijheid van meningsuiting ex art. 10 EVRM en de belangen van de artiest bij bescherming van zijn eer, goede naam en privacy. Alleen als de uitingen onrechtmatig zijn in de zin van art. 6:162 BW, kan die vrijheid worden beperkt. Daarbij geldt dat ook uitingen die beledigen, choqueren of verontrusten onder de bescherming van art. 10 EVRM kunnen vallen.

Rb. Amsterdam 18 maart 2026, IT 5191; ECLI:NL:RBAMS:2026:2896 (Responders tegen [gedaagden]). [gedaagde] moet ruim €92.000 betalen aan Responders voor werkzaamheden na een ransomware-aanval. Volgens de rechtbank is geen sprake van ontbinding of tekortkoming en zijn de gefactureerde uren voldoende onderbouwd. Na een aanval door de Lockbit-groep schakelde [gedaagde] Responders in voor onder meer onderhandelingen met de hackers, begeleiding van een eventuele betaling en het veiligstellen van data. Partijen sloten een overeenkomst op basis van een uurtarief. Uiteindelijk werd het losgeld niet via Responders, maar via een derde partij betaald. [gedaagde] stelde dat de overeenkomst enkel zag op het betalen van $200.000 aan losgeld en dat deze was ontbonden toen Responders die betaling niet zelf uitvoerde. Daarnaast betwistte zij de omvang van de gefactureerde uren.

Hof van Justitie EU 20 november 2025, IT 5194; IEFbe 4185; ECLI:EU:C:2025:905 (JH tegen Policejní prezidium). Deze zaak draait om de vraag in hoeverre de politie biometrische en genetische gegevens, zoals foto’s, vingerafdrukken en DNA-profielen, mag verzamelen en bewaren van personen die worden verdacht of beschuldigd van een opzettelijk gepleegd strafbaar feit. Centraal staat richtlijn 2016/680, de politierichtlijn voor gegevensbescherming, die regels geeft voor de verwerking van persoonsgegevens door bevoegde autoriteiten in het kader van strafrechtelijke handhaving. In de onderliggende zaak was tegen JH een strafprocedure gestart. In dat kader heeft de Tsjechische politie, ondanks zijn verzet, identificatiehandelingen verricht: er zijn vingerafdrukken afgenomen, een wanguitstrijkje gemaakt voor DNA-analyse, foto’s genomen en uiterlijke kenmerken vastgelegd. Deze gegevens zijn vervolgens opgeslagen in politiedatabanken. JH verzette zich daartegen en stelde dat dit een onrechtmatige inmenging vormde in zijn recht op privéleven. Een lagere rechter gaf hem gelijk en oordeelde dat de maatregelen niet voldeden aan het evenredigheidsvereiste, mede omdat het ging om een relatief licht strafbaar feit, zonder sterke aanwijzingen voor recidive. De hoogste bestuursrechter in Tsjechië legde daarop prejudiciële vragen voor aan het Hof van Justitie. Die vragen gingen in essentie over drie punten: welke mate van differentiatie vereist is tussen categorieën betrokkenen bij het verzamelen van biometrische en genetische gegevens, of zulke gegevens zonder maximale bewaartermijn mogen worden opgeslagen, en wat precies moet worden verstaan onder “lidstatelijk recht” als grondslag voor zulke verwerkingen.

Rb. Amsterdam 11 maart 2026, IT 5190; ECLI:NL:RBAMS:2026:2543 (Stichting CUIC tegen de Avast-gedaagden). In deze tussenuitspraak staat de vraag centraal of de Nederlandse rechter bevoegd is in een collectieve actie (WAMCA) tegen verschillende Avast-entiteiten wegens vermeende privacyschendingen. Stichting CUIC treedt op namens Nederlandse gebruikers van Avast-software (tussen 2014 en 2020) en stelt dat Avast zonder toestemming persoonsgegevens heeft verzameld en via dochterbedrijf Jumpshot commercieel heeft geëxploiteerd. Volgens CUIC levert dit schendingen op van onder meer de AVG, de Wbp en de Telecommunicatiewet, alsmede onrechtmatig handelen en oneerlijke handelspraktijken.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 17 december 2025, IT 5185; IEFbe 4177; C-846/25 (Ligue des droits humains ASBL tegen Eerste Minister) via MinBuza. Ligue des droits humains (hierna: verzoeker) heeft in 2024 een beroep ingesteld bij het Grondwettelijke Hof tot vernietiging van een wet betreffende de oprichting en organisatie van de opdrachten van ETIAS Nationale Eenheid (hierna: E.N.E). De wet regelt onder meer de verwerking van persoonsgegevens in het kader van reisautorisaties binnen de EU, risicobeoordelingen, het gebruik van het ETIAS-informatiesysteem, en de procedures rond het intrekken en annuleren van reisautorisaties. Verzoeker stelt dat de combinatie van het beheren van veiligheidsrisico's en het beheer van de grenzen leidt tot een strafbaarstelling van migratie, wat een onevenredige inbreuk op de grondrechten (zoals het recht op privacy en gegevensbescherming) inhoudt. Volgens verzoeker zou artikel 3, lid 1, punt 6, van de ETIAS-verordening een te ruime en onvoldoende nauwkeurige definitie van "veiligheidsrisico" geven. De Ministerraad verdedigt de wet en stelt dat het kritiek gericht is tegen de bewoording van de ETIAS-verordening zelf, waarover het Grondwettelijk Hof niet bevoegd is te oordelen, en dat de wet voldoende waarborgen en regelingen bevat die in overeenstemming zijn met de Grondwet en internationale normen. In het kader van dit beroep rijst voor het Grondwettelijk Hof de vraag of de nationale wet, die uitvoering geeft aan de ETIAS-verordening, voldoende nauwkeurig is omschreven en verenigbaar is met het Unierecht.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 20 november 2026, IEF 23445; IT 5184; IEFbe 4176; C-741/25 (MR tegen TM) via MinBuza. In Polen is in november 2024 een regeling in werking getreden die telecommunicatieondernemingen verplicht om de gegevens van de gebruikers van hun netwerken te bewaren en op te slaan. De nationale regelgeving legt geen beperkingen op ten aanzien van de personen op wie deze maatregelen betrekking hebben. Op grond van het Unierecht mag alleen in bijzondere gevallen worden vastgesteld waarom de bescherming van persoonsgegevens speciaal moet worden beperkt. De verwijzende rechter vraagt zich daarom af of de nationale regeling in strijd is met richtlijn 2002/68 en met diverse bepalingen van het Handvest.

Rb. Amsterdam 5 maart 2026, IT 5188; ECLI:NL:RBAMS:2026:2165 ([verzoeker] tegen ING). In deze procedure op grond van artikel 35 van de UAVG heeft [verzoeker] zijn verzoek kort vóór de geplande mondelinge behandeling ingetrokken. Partijen waren het erover eens dat de zitting geen doorgang hoefde te vinden, maar discussie ontstond over de proceskosten. ING verzocht de rechtbank om alsnog bij beschikking te beslissen over de proceskosten, nu deze ondanks de intrekking niet waren voldaan.

Hof Arnhem-Leeuwarden 2 december 2025, IT 5186; ECLI:NL:GHARL:2025:7685 ([appellante] tegen ASR). Het gerechtshof Arnhem-Leeuwarden oordeelt dat een verzekeraar (ASR) persoonsgegevens mag opnemen in interne en externe frauderegisters bij opzettelijke misleiding door een verzekeringnemer, maar dat de duur van die registratie afzonderlijk moet worden getoetst aan het proportionaliteitsbeginsel van de AVG. De zaak betreft een arbeidsongeschiktheidsverzekering (AOV) die was aangevraagd in het kader van een financieringstraject. Bij de aanvraag had [appellante] in de gezondheidsverklaring relevante medische informatie niet gemeld, waaronder een recent verkeersongeval en langdurige klachten. Nadat de verzekeraar via externe bronnen kennis kreeg van deze informatie, werd een onderzoek ingesteld. Dit leidde tot registratie van [appellante] in het Interne Verwijzingsregister (IVR) en het Externe Verwijzingsregister (EVR) voor de maximale duur van acht jaar. Centraal stond de vraag of deze registratie in strijd was met de Algemene verordening gegevensbescherming en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).