Privacy  

Rb. Gelderland 22 januari 2026, IEF 23242; ECLI:NL:RBGEL:2026:490 (SAUNA DRÔME PUTTEN B.V. tegen ACT OF CRIME B.V.). De eiseres in deze zaak exploiteert een sauna in Putten. Gedaagde is Act of Crime BV, een producent die een nieuw SBS6-programma ontwikkelt met de titel “De Hygiënepolitie”. Rob Geus is de presentator van dit programma. Medewerkers van gedaagde hebben op meerdere dagen verborgen camera-infiltraties ingezet in de sauna. De beelden die zijn gemaakt wil het programma gebruiken in een aflevering over eiseres. In de sauna zijn ook monsters afgenomen die later zijn onderzocht. Eiseres heeft bezwaar gemaakt tegen onder meer het opnemen en uitzenden van de geheime camerabeelden. De voorzieningenrechter van de rechtbank Gelderland is het daarmee eens en oordeelt dat de verborgen camerabeelden niet mogen worden uitgezonden.

Hof Arnhem-Leeuwarden 23 december 2025, IT 5084; ECLI:NL:GHARL:2025:8556 ([appellant] tegen [geïntimeerde]). [appellant] heeft een auto van [geïntimeerde] gekocht. Na een betaalinstructie vanuit het e-mailadres van [geïntimeerde] heeft [appellant] het grootste deel van de koopprijs betaald op een Duitse bankrekening. Achteraf bleek dat een derde (hierna: de hacker) via het e-mailaccount van [geïntimeerde] een valse betaalinstructie had gestuurd. [geïntimeerde] heeft het bedrag niet ontvangen en heeft geweigerd de auto aan [appellant] te leveren. [appellant] stelt dat hij schade heeft geleden, omdat [geïntimeerde] in strijd met de AVG onvoldoende beveiligingsmaatregelen heeft getroffen om haar e-mailaccount te beschermen, waardoor hij het restantbedrag voor de auto op een verkeerde bankrekening heeft gestort. Hij wil dat [geïntimeerde] dat bedrag betaalt als schadevergoeding samen met een bedrag voor de door hem geleden immateriële schade. Het hof heeft in het tussenarrest [IT 4934] eerst geoordeeld dat [geïntimeerde] niet is geslaagd in haar bewijslevering dat zij de persoonsgegevens op haar e-mailaccount passend had beveiligd in de zin van de AVG. Vervolgens heeft het hof geoordeeld dat [appellant] de door hem gevorderde immateriële schade onvoldoende heeft onderbouwd. Tot slot heeft het hof partijen de mogelijkheid geboden om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [appellant].  

Hof Arnhem-Leeuwarden 31 december 2025, IT 5080; ECLI:NL:GHARL:2025:8679 ([appellant1] tegen KPMG). [appellant1] is ambtenaar geweest bij de gemeente [plaats1]. KPMG heeft in opdracht van die gemeente, onderzoek gedaan naar mogelijke onregelmatigheden in het handelen van [appellant1]. [appellant1] wil informatie ontvangen van KPMG over de rechtmatigheid van deze verwerking. Daarnaast wil [appellant1] rectificatie door KPMG van vijf persoonsgegevens in het onderzoeksrapport voor zover de verwerking van deze persoonsgegevens niet juist, actueel en rechtmatig is. Daarbij wil hij kennisgeving van deze rectificatie aan de ontvangers van het onderzoeksrapport. In hoger beroep wil [appellant1] ook een verklaring voor recht dat KPMG zijn strafrechtelijke persoonsgegevens onrechtmatig heeft verwerkt. De rechtbank heeft de verzoeken van [appellant1] afgewezen. [appellant1] wil dat deze beschikking vernietigd wordt en heeft zijn hoger beroep aangevuld. Zo verzoekt hij rectificatie van vijf persoonsgegevens uit het onderzoeksrapport, beantwoording van 49 vragen over de verwerking, een verklaring voor recht dat KPMG de strafrechtelijke persoonsgegevens onrechtmatig heeft verwerkt en een verplichting voor KPMG om bewijs te leveren over de juistheid en rechtmatigheid van de verwerkte gegevens.  

HvJ EU Conclusie A-G 25 september 2025, IT 5066; ECLI:EU:C:2025:733 (NADA Austria e.a.). Sportregelgeving bevindt zich op het snijvlak van verschillende rechtsbronnen. Dit wordt geïllustreerd door de antidopingregelgeving, die het resultaat is van een gezamenlijk normatief project van de private en de publieke sector. Het Hof biedt voor het eerst de gelegenheid om bepaalde aspecten van de antidopingregelgeving te onderzoeken in het licht van de vereisten in verband met de bescherming van persoonsgegevens. In het kader van antidopingprocedures zijn tegen sporters AR, YT, DI en RN (hierna: verzoekers) schorsingsbeslissingen genomen. Deze schorsingen worden bekend gemaakt via een lijst op de website van de Nationale Anti Doping Agentur Austria (hierna: NADA). Verzoekers hebben verzocht om de vermelding te verwijderen, NADA gaf hier geen gehoor aan. Verzoekers hebben daarna een klacht ingediend. De verwijzende rechter stelde daarna de volgende vragen: 

Hof Arnhem-Leeuwarden 17 november 2025, IT 5065; ECLI:NL:GHARL:2025:7218 ([appellant] tegen [geïntimeerde]). Graydon NL, Creditsafe NL en Graydon Holding (hierna: [appellant]) hebben hoger beroep ingesteld tegen een beschikking van de rechtbank Midden-Nederland. In deze beschikking werd [appellant] bevolen om binnen twee weken een volledige lijst van de ontvangers aan wie persoonsgegevens van [geïntimeerde] zijn verstrekt, op te maken. [appellant] is een bedrijfsinformatiespecialist die onder meer in Nederland actief is. Zij richt zich op het verzamelen, samenstellen en delen van (krediet)informatie over bedrijven. [appellant] verwerkt in dat verband ook persoonsgegevens, en is verwerkingsverantwoordelijke. Het handelsregister van de KvK is een van de bronnen die ze gebruikt voor haar eigen database. [appellant] heeft gegevens over de vennootschappen van [geïntimeerde] opgenomen in haar database. Hierbij zijn persoonsgegevens verwerkt, verkregen uit het handelsregister. [geïntimeerde] deed een verzoek tot inzage op grond van art. 15 AVG. Dit verzoek werd door de rechtbank gehonoreerd.  

Rb. Rotterdam 27 oktober 2025, IT 5062; ECLI:NL:RBROT:2025:13134 ([eiser] tegen het college van B&W Rotterdam). [eiser] verzocht de gemeente Rotterdam op grond van artikel 15 AVG om inzage in zijn persoonsgegevens, nadat hij via de Rijksdienst voor Identiteitsgegevens had vernomen dat zijn gegevens op 2 juni 2022 uit de BRP waren geraadpleegd. Het college stelde na onderzoek dat, met uitzondering van de gegevens die zijn verwerkt in verband met het inzageverzoek zelf, geen andere persoonsgegevens van eiser in de gemeentelijke systemen waren verwerkt. Bezwaar en beroep volgden. 

Rb. Den Haag 29 oktober 2025, IT 5061; ECLI:NL:RBDHA:2025:20030 ([eiseres] tegen het Rijksvastgoedbedrijf). [eiseres] had zich laten registreren als erfgename van haar overleden ex-echtgenoot in het boedelregister, op basis van een oud testament waarin zij was benoemd tot enig erfgenaam. Na deze registratie werd zij door een notaris erop gewezen dat de erfstelling volgens artikel 4:52 BW was vervallen, omdat zij vóór het overlijden van de erflater van hem was gescheiden. Ze wilde daarom de registratie van haar beneficiaire aanvaarding in het boedelregister laten verwijderen. De registratie in het boedelregister die in deze procedure aan de orde is, zou dan niet in overeenstemming zijn met de daadwerkelijke rechtstoestand. 

Rb. Noord-Holland 10 november 2025, IT 5060; ECLI:NL:RBNHO:2025:13692 (IptiQ tegen de politie). IptiQ is een verzekeraar en heeft in 2022 met wijlen [R.] en [D.] een overlijdensrisicoverzekering afgesloten. Een algemene uitsluitingsclausule bestaat wanneer het overlijden het gevolg is van zelfdoding of een poging daartoe. Dit geldt alleen als de (poging tot) zelfdoding heeft plaatsgevonden binnen twee jaar na de ingangsdatum van de verzekering. [R.] is op 20 januari 2023 overleden door een treinongeluk. De exacte toedracht was onduidelijk. Sedgwick, in opdracht van IptiQ, had geprobeerd informatie te verkrijgen bij de politie, maar kreeg te horen dat er geen wettelijke grondslag bestond voor verstrekking. De politie had aangegeven dat nabestaanden via een rouwverzoek eventueel inzage konden krijgen, maar de nabestaanden wilden dat niet. IptiQ verzocht daarom de rechtbank om afgifte van de processen-verbaal op grond van artikel 196 Rv (voorlopige bewijsverrichting). In deze verzoekschriftprocedure staat de vraag centraal of de politie gehouden is om de gegevens die naar aanleiding van het overlijden van een verzekerde van IptiQ zijn opgemaakt aan IptiQ als verzekeraar beschikbaar te stellen. IptiQ stelt recht en belang te hebben bij afgifte van deze gegevens om de oorzaak van het overlijden van haar verzekerde, welke oorzaak niet vaststaat, te achterhalen. Het is volgens haar de enige manier waarop objectief kan worden vastgesteld onder welke omstandigheden haar verzekerde is overleden. Zij vordert op grond van artikel 196 Rv afgifte van de door de politie opgemaakte gegevens. De politie verzet zich tegen dit verzoek.  

HvJ EU 13 november 2025, IT 5059; ECLI:EU:C:2025:871 (Inteligo Media tegen ANSPDCP). Inteligo Media is de uitgever van het onlinetijdschrift avocatnet.ro, dat bestemd is om een breed en niet juridisch gespecialiseerd publiek te informeren over de dagelijkse wetswijzigingen in Roemenië. In een geschil met de Roemeense toezichthouder (ANSPDCP) werden er vragen gesteld aan het Hof: 

1)      In het geval dat een uitgever van een onlinetijdschrift waarmee een breed en niet-gespecialiseerd publiek wordt geïnformeerd over de dagelijks in Roemenië doorgevoerde wetswijzigingen, het e-mailadres van een gebruiker verkrijgt wanneer deze een gratis gebruikersaccount aanmaakt, waarmee deze gebruiker i) gratis toegang krijgt tot aanvullende artikelen van het betrokken tijdschrift, ii) dagelijks per e-mail een nieuwsbrief ontvangt met een samenvatting van de nieuwe wetgeving die in de artikelen van het tijdschrift wordt behandeld, met hyperlinks naar die artikelen, en iii) tegen betaling toegang krijgt tot aanvullende en/of uitgebreidere artikelen en analysen van dit tijdschrift dan in de gratis dagelijkse nieuwsbrief, 

a)      is dat e-mailadres dan door die uitgever verkregen ‚in het kader van de verkoop van een product of een dienst’ in de zin van artikel 13, lid 2, van richtlijn [2002/58]? 

b)      is de verzending door die uitgever van een nieuwsbrief zoals beschreven in punt ii) dan ‚direct marketing van eigen gelijkaardige producten of diensten’ in de zin van artikel 13, lid 2, van richtlijn [2002/58]? 

2)      Indien op de eerste vraag onder a) en b) bevestigend wordt geantwoord: welke van de voorwaarden in artikel 6, lid 1, onder a) tot en met f), AVG zijn van toepassing wanneer de uitgever het e‑mailadres van de gebruiker aanwendt voor het verzenden van een dagelijkse nieuwsbrief als beschreven in de eerste vraag, onder ii), overeenkomstig de vereisten van artikel 13, lid 2, van richtlijn [2002/58]? 

3)      Moet artikel 13, leden 1 en 2, van richtlijn 2002/58 aldus worden uitgelegd dat het zich verzet tegen een nationale regeling waarin het begrip ‚commerciële communicatie’ zoals gedefinieerd in artikel 2, onder f), van richtlijn [2000/31] wordt gebruikt, in plaats van het begrip ‚direct marketing’ zoals gedefinieerd in richtlijn [2002/58]? Indien het antwoord ontkennend luidt: vormt de in de eerste vraag, onder ii), omschreven nieuwsbrief een ‚commerciële communicatie’ in de zin van artikel 2, onder f), van richtlijn [2000/31]? 

4)      Indien op de eerste vraag, onder a) en b), ontkennend wordt geantwoord: 

a)      vormt de verzending per e-mail van een dagelijkse nieuwsbrief zoals beschreven in de eerste vraag, onder ii), ‚gebruik van [...] e‑mail met het oog op direct marketing’ in de zin van artikel 13, lid 1, van richtlijn [2002/58], of 

b)      moet artikel 95 [AVG] juncto artikel 15, lid 2, van richtlijn [2002/58] aldus worden uitgelegd dat het niet voldoen aan de voorwaarde dat geldige toestemming van de gebruiker moet zijn verkregen in de zin van artikel 13, lid 1, van richtlijn [2002/58] wordt bestraft overeenkomstig artikel 83 [AVG], of dat dit feit wordt bestraft overeenkomstig de nationaalrechtelijke bepalingen van de regeling waarbij richtlijn [2002/58] is omgezet, die zelf ook specifieke toepasselijke sancties bevat? 

5)      Moet artikel 83, lid 2, [AVG] aldus worden uitgelegd dat een toezichthoudende autoriteit die beslist over het al of niet opleggen van een bestuurlijke geldboete en de hoogte daarvan, voor elk individueel geval in de sanctiebeslissing moet analyseren en motiveren welk gevolg elk van de criteria onder a) tot en met k) van die bepaling heeft gehad voor de beslissing om een geldboete op te leggen en, respectievelijk, voor de beslissing inzake de hoogte van die geldboete?” 

Gerechtshof Arnhem-Leeuwarden 9 december 2025, IT 5057; ECLI:NL:GHARL:2025:7900 (KvK tegen De Waarden Groep c.s.). De Waarden Groep is een kraamzorgorganisatie die kraamzorg levert in het westen van Nederland. Geboortezorg is een landelijke brancheorganisatie binnen de kraamzorgbranche die zich richt op landelijke belangenbehartiging en ondersteuning van zorgorganisaties die actief zijn in de geboortezorg. De Waarden Groep is een van de leden van Geboortezorg. De Waarden Groep c.s. heeft KvK gevraagd om de gegevens van de persoon of personen die uittreksels uit het handelsregister van onder meer De Waarden Groep en Geboortezorg hebben opgevraagd. KvK heeft geweigerd die gegevens te verstrekken. De Waarden Groep c.s. vindt dat KvK die gegevens wel moest verstrekken. De Waarden Groep c.s. heeft bij de rechtbank gevorderd dat KvK werd bevolen om accountgegevens, (e-mail)adresgegevens en bankgegevens te verstrekken van de personen die genoemde uittreksels uit het handelsregister hadden opgevraagd. De rechtbank heeft deze vorderingen deels toegewezen (IT 4647). De KvK beoogt met dit hoger beroep dat de vorderingen van De Waarden Groep c.s. alsnog volledig worden afgewezen.