Privacy  

Rb. Gelderland, 23 juli 2025, IT 4935; ECLI:NL:RBGEL:2025:5881 (eiser 1, eiseres, eiser 2 tegen de Minister van Financiën). Deze uitspraak gaat over de afwijzing van de verzoeken van eisers op grond van de AVG. Eisers hebben de Amerikaanse nationaliteit . verkregen doordat zij in de Verenigde Staten van Amerika (VS) geboren zijn. Zij hebben bij de minister verzoeken ingediend tot beperking van de verwerking van hun financiële gegevens die de minister verstrekt aan de Amerikaanse Belastingdienst. Eisers zijn het er niet mee eens dat de minister hun verzoeken heeft afgewezen. Zij voeren daartoe een aantal beroepsgronden aan. Volgens eisers is er geen wettelijke grondslag om persoonsgegevens te verwerken, is de verwerking in strijd met de AVG en het Europese Handvest en is het besluit van de minister onvoldoende gemotiveerd, omdat niet wordt ingegaan op alle argumenten in de bezwaarschriften. De rechtbank komt in deze uitspraak tot het oordeel dat de beroepen ongegrond zijn.

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Rb. Rotterdam 28 mei 2025, IT 4876; ECLI:NL:RBROT:2025:6254 (SDBN tegen Adobe). De Stichting Data Bescherming Nederland (SDBN) heeft een collectieve actie ingesteld tegen Adobe Systems Software Ireland Limited en Adobe Inc. wegens vermeende schendingen van de AVG door het verwerken van persoonsgegevens van Nederlandse internetgebruikers. SDBN vordert onder meer een verklaring voor recht dat Adobe onrechtmatig heeft gehandeld, een verbod op verdere schendingen, en schadevergoeding voor de betrokkenen. De rechtbank beoordeelt in deze fase niet de inhoudelijke vorderingen, maar richt zich op de rechtsmacht, het toepasselijk recht en de ontvankelijkheid van SDBN als belangenorganisatie. De rechtbank oordeelt dat zij bevoegd is om van de vorderingen kennis te nemen en dat Nederlands recht van toepassing is op de ontvankelijkheidsvraag. Voor de ontvankelijkheid toetst de rechtbank of SDBN voldoet aan de eisen van de WAMCA, waaronder de representativiteitseis, en aan de eisen van de AVG. De rechtbank stelt vast dat SDBN op dit moment niet voldoet aan de representativiteitseis van de WAMCA, omdat het aantal daadwerkelijk aangesloten of steunende personen te gering is in verhouding tot de omvang van de gestelde groep gedupeerden. Wel voldoet SDBN aan de overige waarborgvereisten van de WAMCA en aan de ontvankelijkheidseisen van de AVG. Omdat er onduidelijkheid bestaat over de verhouding tussen de ontvankelijkheidseisen van de WAMCA en de AVG, en over de mogelijkheid om zonder opdracht schadevergoeding te vorderen, wordt de procedure aangehouden in afwachting van prejudiciële vragen aan het Hof van Justitie van de EU. De rechtbank houdt iedere verdere beslissing aan en verwijst de zaak naar de parkeerrol.

Rb. Den Haag 1 mei 2025, IT 4864; ECLI:NL:RBDHA:2025:7175 (Eiser tegen de minister van Buitenlandse Zaken). Eiser verbleef onvrijwillig in Gaza en kon niet terugkeren naar Nederland. Zijn gemachtigde heeft de minister van Buitenlandse Zaken per brief verzocht om informatie over de inspanningen die zijn verricht om eiser te repatriëren. De minister heeft hierop gereageerd met een informatieve brief. Eiser stelt dat zijn verzoek een inzageverzoek op grond van de AVG was en dat de minister had moeten voldoen aan de eisen van artikel 15 AVG. In bezwaar en beroep voert eiser aan dat de minister zijn verzoek ten onrechte niet als AVG-verzoek heeft behandeld en dat de reactie van de minister een besluit is waartegen bezwaar openstaat. De rechtbank overweegt dat de brief van eiser niet expliciet een verzoek om inzage in persoonsgegevens op grond van de AVG bevatte. Hoewel de AVG in de brief werd genoemd, was het verzoek gericht op informatie over de repatriëringsinspanningen en niet op inzage in de verwerking van persoonsgegevens. De rechtbank stelt dat het doel van artikel 15 AVG is dat betrokkene de verwerking van zijn persoonsgegevens kan controleren, wat uit het verzoek niet blijkt. Er is dus geen AVG-verzoek gedaan en de reactie van de minister is geen besluit in de zin van de Awb. Het bezwaar is daarom terecht niet-ontvankelijk verklaard en het beroep wordt ongegrond verklaard.

Rb. Den Haag 16 april 2025, IT 4862; ECLI:NL:RBDHA:2025:6424 (Eiser tegen de minister van Financiën). Eiser heeft op 30 augustus 2023 een verzoek ingediend bij de minister van Financiën om inzage te krijgen in zijn persoonsgegevens die in de Fraude Signalering Voorziening (FSV) zijn opgenomen. Dit verzoek volgde op eerdere inzageverzoeken uit 2021, die destijds ook waren afgewezen. De FSV is sinds 27 februari 2020 buiten gebruik gesteld en sindsdien zijn er geen wijzigingen meer geweest in de daarin opgenomen persoonsgegevens van eiser. Eiser vordert inzage in alle persoonsgegevens die over hem in de FSV zijn verwerkt, inclusief informatie over het ‘signaal’ dat tot zijn registratie leidde, de reden voor het ingestelde boekenonderzoek in 2019, en het behandelverslag van 3 april 2019. Hij stelt dat de tot nu toe verstrekte informatie onvoldoende is en dat hij recht heeft op volledige inzage op grond van de AVG.

Rb. Overijssel 2 mei 2025, IT 4859; ECLI:NL:RBOVE:2025:2742 (eiser tegen het college). Eiser heeft op 13 januari 2023 op grond van de Algemene Verordening Gegevensbescherming (AVG) het college van burgemeester en wethouders van Enschede (hierna: het college) verzocht om inzage in de verwerking van zijn persoonsgegevens binnen het Regionale Informatie- en Expertisecentrum (hierna: RIEC). Eiser heeft gevraagd welke persoonsgegevens van hem zijn gebruikt, in welke context, wat de herkomst daarvan is, met wie deze zijn gedeeld en welke feiten eraan ten grondslag liggen om hem en/of zijn bedrijf Stichting Humaan Overijssel als RIEC-casus aan te merken. Op 12 mei 2023 heeft het college de persoonsgegevens verstrekt die in het kader van het RIEC zijn gedeeld. Eiser heeft vervolgens bezwaar gemaakt tegen dit besluit. Tijdens deze procedure heeft het college, naar aanleiding van een Woo-verzoek van eiser, 42 documenten openbaar gemaakt. Het college verklaarde het bezwaar ongegrond. Eiser heeft daarop 20 juni 2024 beroep ingesteld en dit aangevuld bij brieven van 9 en 13 maart 2025. Het college heeft op 17 maart 2025 een verweerschrift ingediend. De rechtbank heeft het beroep op 27 maart 2025 ter zitting behandeld.

Rb. Amsterdam 28 januari 2025, IT 4861; ECLI:NL:RBAMS:2025:494 (Eiser 1 tegen het college van burgemeester en wethouders van de gemeente Amsterdam). Eiser heeft bij het college van burgemeester en wethouders van Amsterdam een verzoek ingediend om inzage in alle persoonsgegevens die het Inlichtingenbureau over hem verwerkt op grond van de AVG. Na een aanvankelijk besluit en intrekking daarvan, heeft verweerder het verzoek op 7 september 2022 toegewezen en drie tabbladen met informatie verstrekt. In bezwaar is het verzoek van eiser gegrond verklaard en is aanvullende informatie verstrekt namens zowel het Inlichtingenbureau als het gemeentelijk loket persoonsgegevens. Eiser stelt in beroep dat het bestreden besluit onvoldoende is gemotiveerd, omdat niet is ingegaan op zijn gewijzigde bezwaargronden. Daarnaast voert hij aan dat ook na het verweerschrift en de overgelegde tabbladen niet duidelijk is welke persoonsgegevens precies zijn verwerkt en of dit alle gegevens betreft.

Vzr. Rb. Amsterdam 2 mei 2025, IT 4856; ECLI:NL:RBAMS:2025:2936 (Eiseres tegen Salesforce). Eiseres voert een collectieve actie op grond van de Wet afwikkeling massaschade in collectieve actie (WAMCA) tegen onder meer Salesforce wegens vermeend onrechtmatige verwerking van persoonsgegevens via haar softwareproduct Audience Studio. Volgens eiseres heeft Salesforce in strijd met de Algemene Verordening Gegevensbescherming en Telecommunicatiewet third-party cookies (“_kuid_”) geplaatst op randapparatuur van internetgebruikers en zo persoonsgegevens verwerkt. De rechtbank verklaarde eiseres eerst niet-ontvankelijk, maar het hof vernietigde dit oordeel bij het tussenarrest van 24 september 2024. Salesforce stelde daarop cassatie in, eiseres volgde met een incidenteel cassatieberoep. De bodemprocedure is aangehouden in afwachting van de uitkomst bij de Hoge Raad, met schriftelijke toelichtingen gepland op 27 juni 2025. Eiseres vreest dat bewijs verloren gaat nu Audience Studio per februari 2024 is beëindigd. In dit kort geding vordert zij daarom dat Salesforce relevante gegevens, zoals cookie ID’s en daaraan gekoppelde informatie, bewaart en opgave doet van mogelijk gemigreerde data naar andere diensten. Subsidiair vordert zij de benoeming van een deskundige om de Salesforce’s handelwijze te onderzoeken en een opgave van (voormalige) Nederlandse klanten die gebruikmaakten van Audience Studio.

Rb. Noord-Holland 3 april 2025, IT 4850; ECLI:NL:RBNHO:2025:3908 (Eiseres tegen het college van burgemeester en wethouders van de gemeente Castricum). Eiseres heeft op 6 januari 2023 bij het college van burgemeester en wethouders van de gemeente Castricum een verzoek ingediend op grond van artikel 15 AVG om inzage in haar persoonsgegevens. De gemeente heeft op 7 juni 2023 een overzicht van verwerkingen en kopieën van persoonsgegevens verstrekt. Eiseres heeft bezwaar gemaakt, stellende dat de verstrekte gegevens onvolledig zijn. Vervolgens heeft de gemeente niet tijdig op het bezwaar beslist, ondanks meerdere ingebrekestellingen door eiseres. Uiteindelijk is op 7 maart 2024 alsnog op het bezwaar beslist, waarbij aanvullende informatie is verstrekt en het bezwaar gegrond is verklaard. Eiseres vordert vernietiging van het besluit op bezwaar, omdat volgens haar het inzageverzoek onvolledig is behandeld, haar gronden in bezwaar zijn genegeerd, en ten onrechte geen hoorzitting heeft plaatsgevonden. Daarnaast vordert zij een dwangsom wegens het niet tijdig beslissen en vergoeding van proceskosten.