Privacy  

Hof Amsterdam 10 maart 2026, IT&R 5136; ECLI:NL:GHAMS:2026:595 ([appellant] tegen OfficeGrip). In dit arrest van het Gerechtshof Amsterdam staat de vraag centraal of OfficeGrip, als nieuwe ICT-leverancier van [appellant], aansprakelijk is voor schade die zou zijn ontstaan door verlies van data na de overstap van de oude ICT-leverancier [bedrijf 2] naar OfficeGrip. Het hof bekrachtigt het vonnis van de rechtbank en oordeelt dat OfficeGrip niet aansprakelijk is. Doorslaggevend is dat datamigratie geen onderdeel van de opdracht was. Uit de op 11 juni 2019 ondertekende offerte volgt namelijk dat de datamigratietool op nul stond en dus geen deel uitmaakte van de overeenkomst; ook mailboxmigratie maakte bij het aangaan van de overeenkomst niet zonder meer deel uit van de opdracht. Dat in de offerte en latere correspondentie wel over “migratie” werd gesproken, maakt dat volgens het hof niet anders, omdat die term daar zag op migratie in algemene zin of op mailboxstructuren, en niet op het overzetten van alle bestaande data. Integendeel: uit de e-mails van 21, 25 en 26 juni 2019 blijkt juist dat [appellant] de data die “mee moest” zelf diende te kopiëren naar de tijdelijke SharePoint-back-upsite die OfficeGrip had ingericht. Daarmee faalt het kernverwijt dat OfficeGrip contractueel verantwoordelijk was voor het veiligstellen en migreren van alle data.

Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Hof Amsterdam 16 oktober 2025, IT&R 5128; ECLI:NL:GHAMS:2025:3771 (Openbaar Ministerie tegen [verdachte]). In deze strafzaak oordeelt het Gerechtshof Amsterdam dat de verdachte zich schuldig maakt aan een samenhangende phishingconstructie gericht op klanten van International Card Services (ICS). Het hof acht bewezen dat hij in de periode van 1 augustus 2023 tot en met 30 september 2023 meermalen twee slachtoffers door valse, als van ICS afkomstige e-mails en nagemaakte ICS-websites beweegt tot het prijsgeven van inlog-, bank- en klantgegevens en tweefactorauthenticatiecodes, zodat sprake is van oplichting. Daarnaast acht het hof bewezen dat de verdachte in de periode van 1 augustus 2023 tot en met 6 januari 2024 phishingwebsites en bijbehorende bestanden voorhanden heeft met het oogmerk computervredebreuk te plegen, en dat hij met de aldus verkregen gegevens via de ICS-app meermalen binnendringt in het geautomatiseerde werk van ICS door zich voor te doen als geautoriseerde klant. Het hof verbindt de verdachte aan deze feiten op basis van onder meer de hostinggegevens, de aan hem te koppelen cryptowallet, het bij de hosting gebruikte e-mailadres, het IP-adres van zijn woonadres, de op zijn telefoons aangetroffen Telegram-bots en de gephishte gegevens van in totaal 65 personen. Ook acht het hof bewezen dat hij een gasvuurwapen in de vorm van een revolver voorhanden heeft. Wel volgt partiële vrijspraak voor zover onder feit 1 ook oplichting van ICS is ten laste gelegd, omdat de tenlastelegging geen oplichtingshandelingen jegens ICS zelf bevat, en voor enkele onderdelen van de feiten 1 en 2 waarvoor het dossier onvoldoende grondslag biedt.

Rb. Overijssel 25 februari 2026, IT&R 5127; ECLI:NL:RBOVE:2026:1222 ([eiser] tegen [gedaagden]). In dit kort geding beoordeelt de voorzieningenrechter of vier door gedaagden geplaatste camera’s een onrechtmatige inbreuk maken op de persoonlijke levenssfeer van hun buurvrouw. Daarbij stelt de rechter voorop dat een eigenaar in beginsel camera’s mag plaatsen ter beveiliging van de eigen woning en het eigen perceel, maar dat dit recht wordt begrensd zodra ook de achtertuin van een ander of een groot deel van de openbare weg in beeld komt. Per camera moet daarom worden beoordeeld of sprake is van een privacy-inbreuk en, zo ja, of daarvoor een rechtvaardigingsgrond bestaat. De camera aan de achterzijde van de woning hoeft niet te worden verwijderd, omdat vaststaat dat deze door de verhoogde schutting de tuin van eiseres niet langer filmt en onvoldoende aannemelijk is dat zij alsnog het openbare achterpad registreert. De beveiligingscamera aan de voorzijde mag blijven hangen, maar moet wel aantoonbaar zo worden gepositioneerd dat uitsluitend het eigen perceel wordt gefilmd, omdat voldoende aannemelijk is dat deze anders ook de openbare weg in beeld brengt. De deurbelcamera aan de voorzijde moet worden verwijderd, omdat voldoende aannemelijk is dat deze een deel van de openbare stoep filmt, terwijl gedaagden onvoldoende onderbouwen dat die inbreuk noodzakelijk is of niet op een minder ingrijpende wijze kan worden voorkomen. Aan beide veroordelingen verbindt de voorzieningenrechter een gematigde dwangsom.

Rb. Overijssel 13 februari 2026, IT 5122; ECLI:NL:RBOVE:2026:715 ([eiser] tegen de burgemeester van Zwolle). [eiser] verzocht om inzage in zijn persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC), dat was opgesteld naar aanleiding van een vergunningaanvraag. De burgemeester weigerde inzage onder verwijzing naar de geheimhoudingsplicht van artikel 28 Wet Bibob. Volgens de burgemeester valt het RIEC-advies onder het gesloten verstrekkingenregime van de Wet Bibob en zou verstrekking afbreuk doen aan de rechten en vrijheden van anderen.

Parket bij de HR 30 januari 2026, IT 5118; ECLI:NL:PHR:2026:129 (Stichting the Privacy Collective tegen Oracle NL, Salesforce). In een collectieve WAMCA-procedure tegen Oracle en Salesforce staat de ontvankelijkheid van belangenorganisatie The Privacy Collective (TPC) centraal. TPC stelt dat beide bedrijven via cookies persoonsgegevens van miljoenen internetgebruikers verzamelen, deze combineren met offline gegevens en daarmee profielen opbouwen die voor gepersonaliseerde advertenties aan derden worden verkocht. De rechtbank Amsterdam verklaarde TPC niet-ontvankelijk wegens onvoldoende representativiteit en gebreken in governance en transparantie [IT 3762]. Het hof Amsterdam oordeelde in hoger beroep echter dat TPC wél aan de ontvankelijkheidseisen voldoet. Volgens het hof is voldoende dat een niet-te-verwaarlozen aantal personen achter de actie staat; een exact aantal of volledig inzicht in alle individuele gedupeerden is niet vereist.   

ABRvS 25 februari 2026, IT 5117; ECLI:NL:RVS:2026:1033 ([appellant] tegen de Minister van Financiën). De Afdeling bestuursrechtspraak van de Raad van State oordeelt dat de Minister van Financiën de naam van een derde die informatie over een betrokkene aan de Belastingdienst heeft verstrekt, niet hoeft te verstrekken op grond van het inzagerecht van art.15 AVG. [appellant] had om inzage in zijn persoonsgegevens verzocht omdat hij vermoedde dat de Belastingdienst hem ten onrechte als fraudeur had aangemerkt en daarbij ook medische informatie had gebruikt. De minister verstrekte aanvullende persoonsgegevens en informatie over de bron, maar weigerde de naam van de informant bekend te maken. Volgens de minister betrof de naam geen persoonsgegeven van appellant en zou verstrekking bovendien de persoonlijke levenssfeer van de derde aantasten.  

Rb. Amsterdam 4 februari 2026, IT 5116; ECLI:NL:RBAMS:2026:1555 (SDBN tegen X corp. c.s.). De rechtbank Amsterdam heeft in een collectieve privacyzaak tegen X Corp (voorheen Twitter) geoordeeld dat Stichting Data Bescherming Nederland (SDBN) vooralsnog niet voldoet aan de ontvankelijkheidseisen van de WAMCA. De procedure draait om het advertentieplatform MoPub, dat onderdeel was van Twitter. Volgens SDBN zijn via de software-ontwikkelingskit van MoPub gedurende een lange periode persoonsgegevens verzameld van gebruikers van gratis mobiele apps en vervolgens gedeeld met een groot aantal derden voor gepersonaliseerde advertenties. Dat zou zijn gebeurd via tienduizenden apps en betrekking hebben op miljoenen Nederlandse gebruikers. De stichting vordert onder meer verklaringen voor recht, vernietiging van gegevens, inzage in gedeelde data en collectieve vergoeding van materiële en immateriële schade. De rechtbank benadrukt dat in deze fase nog geen inhoudelijk oordeel wordt gegeven over de vraag of daadwerkelijk sprake is van een schending van privacywetgeving. Eerst moet worden beoordeeld of de belangenorganisatie bevoegd is om deze collectieve vorderingen in te stellen. Daarbij spelen met name de eisen van representativiteit en gelijksoortigheid van belangen een rol. Volgens de rechtbank ontbreekt een voldoende aantoonbare achterban. De groep waarvoor SDBN stelt op te komen omvat feitelijk vrijwel alle Nederlandse smartphonegebruikers in de relevante periode, naar schatting circa elf miljoen personen. Daartegenover staan ongeveer 11.000 aanmeldingen via de website van de stichting, wat neerkomt op circa 0,1% van de gestelde groep. Dat acht de rechtbank onvoldoende om te kunnen aannemen dat de stichting daadwerkelijk namens een wezenlijk deel van de gedupeerden optreedt. Bovendien blijkt uit de wijze van aanmelding niet zonder meer dat de betrokkenen de concrete ingestelde vorderingen daadwerkelijk ondersteunen. 

Rb. Midden-Nederland 21 januari, IT 5115; ECLI:NL:RBMNE:2026:85 ([partij 1] tegen [partij 2]). In een pachtgeschil vordert verpachter ontbinding van de pachtovereenkomst, omdat pachter het gepachte (circa 13 ha landbouwgrond) niet langer bedrijfsmatig voor de landbouw zou gebruiken. In incident verzoekt verpachter op grond van art. 195 jo. 194 Rv overlegging van de Gecombineerde Opgaven en jaarrekeningen over 2022, 2023 en 2024.

Rb. Overijssel 20 januari 2026, IT 5110; ECLI:NL:RBOVE:2026:283 ([verzoeker] tegen de Pensioenfondsen). Een pensioendeelnemer verzocht twee pensioenfondsen (PMT en PME) op grond van het inzagerecht van art. 15 AVG om alle persoonsgegevens te verstrekken die ten grondslag liggen aan de berekening van zijn pensioen. Aanleiding was de aanstaande overgang naar het nieuwe pensioenstelsel; hij wilde de juistheid van zijn huidige pensioenpositie kunnen controleren. Nadat de fondsen weigerden berekeningen en prognoses te verstrekken, stapte hij naar de rechtbank.