Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Rb. Amsterdam 3 juli 2025, IEF 22856; IT&R 4932; ECLI:NL:RBAMS:2025:4994 (eisers tegen DTT Multimedia B.V.). Eisers, exploitanten van een sporttrainingsapp, hebben met DTT een ontwikkelovereenkomst gesloten voor het bouwen van een nieuwe app in twee fasen. Het totale projectbedrag bedroeg €192.532, met 10% korting onder de voorwaarde dat beide fasen zouden worden afgenomen en fase 2 uiterlijk 31 december 2025 volledig zou zijn betaald. Fase 1 is inmiddels voltooid en betaald, waarna de app in september 2024 live ging. Eisers vorderen in kort geding afgifte van de broncode en bijbehorende documentatie, zodat zij de app door een derde kunnen laten aanpassen. DTT weigert en beroept zich op een contractuele bepaling dat overdracht pas plaatsvindt nadat alle opeisbare vorderingen zijn voldaan. Volgens DTT geldt dit ook voor de nog te betalen fase 2 en heeft zij recht op opschorting. De voorzieningenrechter oordeelt dat eisers bij het sluiten van de overeenkomst opdracht hebben gegeven voor beide fasen. De betaling voor fase 2 is echter pas eind 2025 verschuldigd en dus nog niet opeisbaar. Omdat fase 1 volledig is betaald, is er op dit moment geen openstaande betalingsverplichting die de levering van de broncode in de weg staat. Ook het beroep op opschorting wordt afgewezen, omdat daarvoor eveneens een opeisbare tegenvordering nodig is.

Hof Den Haag 1 april 2025, IT 4931; ECLI:NL:GHDHA:2025:1243 (Verzoekster tegen Klaverblad). Verzoekster had bij Klaverblad een rechtsbijstandsverzekering. Naar aanleiding van vier claims registreerde Klaverblad persoonsgegevens, waaronder schadebedragen, in de databank van Stichting CIS. Verzoekster verzocht verwijdering van de opgenomen bedragen, stellende dat het ging om afkoop- en schikkingsbedragen, en dat opname strijdig was met de AVG, het CIS Privacyreglement en het CIS Gebruikersprotocol.De rechtbank wees het verzoek af. In hoger beroep oordeelt het hof dat het bedrag in claimmelding 1 (€ 3.762,40), dat Klaverblad betaalde ter afkoop van een verzekerde zaak, terecht is geregistreerd als feitelijk uitgekeerd schadebedrag. Het beroep faalt op dat punt. De bedragen in claimmeldingen 2, 3 en 4 (€ 10.000,- en tweemaal € 2.500,-) betroffen echter een schikking in het kader van een vaststellingsovereenkomst ter beëindiging van het conflict tussen partijen zelf, en niet een uitkering uit hoofde van de verzekering. Deze bedragen kwalificeren daarom niet als feitelijk uitgekeerd schadebedrag ex art. 4 CIS Privacyreglement. Nu Klaverblad geen zelfstandig belang bij de opname had, is de registratie onrechtmatig onder art. 6 lid 1 sub f AVG. Het hof gelast verwijdering van die drie bedragen uit de CIS-databank. De gevorderde dwangsom wordt afgewezen vanwege vrijwillige nakoming, evenals de gevraagde schadevergoeding wegens onvoldoende onderbouwing. Klaverblad wordt veroordeeld in de proceskosten in beide instanties.

Rb. Overijssel 16 juli 2025, IT 4930; ECLI:NL:RBOVE:2025:4820 (Eiser tegen Risepoint). [Eiser] had vóór 1 oktober 2021 deelgenomen aan online kansspelen bij Unibet, geëxploiteerd door Risepoint Limited, en verzocht in 2025 om inzage in zijn transactiegegevens. Risepoint weigerde deze gegevens te verstrekken, onder verwijzing naar een beperking in de Maltese wetgeving, ondanks eerdere toezending van andere persoonsgegevens. [Eiser] vorderde in kort geding dat Risepoint verplicht zou worden om binnen 14 dagen zijn volledige transactiegegevens te verstrekken, op straffe van een dwangsom, en vroeg tevens een verbod op vernietiging van deze gegevens. Risepoint voerde aan dat zij op grond van de Maltese Restriction Regulation niet verplicht was de transactiegegevens te verstrekken, mede vanwege haar verdedigingsbelang bij mogelijke juridische claims. De voorzieningenrechter oordeelde dat het inzagerecht uit de AVG rechtstreeks van toepassing is en dat de door Risepoint ingeroepen Maltese beperking niet gerechtvaardigd is, omdat deze niet noodzakelijk en evenredig is in de zin van artikel 23 AVG. Daarbij werd overwogen dat transactiegegevens persoonsgegevens zijn en dat het verdedigingsbelang van Risepoint niet zwaarder weegt dan het recht van [eiser] op inzage. De rechter achtte het spoedeisend belang van [eiser] voldoende onderbouwd, mede gezien de persoonlijke gevolgen van zijn gokverslaving en de veranderde houding van Risepoint ten aanzien van het verstrekken van gegevens. De vordering tot inzage werd toegewezen, met de verplichting voor Risepoint om de transactiegegevens in een gangbaar elektronisch formaat te verstrekken. De gevorderde dwangsom werd eveneens toegewezen, terwijl het verbod op vernietiging van gegevens werd afgewezen wegens gebrek aan belang. Risepoint werd veroordeeld in de proceskosten en het vonnis werd uitvoerbaar bij voorraad verklaard.

Rb. Amsterdam 30 mei 2025, IEF 22833, IT 4929; ECLI:NL:RBAMS:2025:4462 (eiseres tegen gedaagde). Sinds 2018 presenteert eiseres een kinderprogramma voor AVROTROS. In 2023 krijgt ze de hoofdrol in de theaterversie van het programma, geproduceerd door gedaagde 1, waarvan gedaagde 2 bestuurder is. In augustus 2024 beëindigt gedaagde 2, namens gedaagde 1, de samenwerking met eiseres per e-mail aan AVROTROS. In die e-mail beschuldigt hij haar van grensoverschrijdend gedrag, het niet nakomen van afspraken, intimidatie, onprofessioneel gedrag en het creëren van een angstcultuur. Deze uitlatingen zijn volgens gedaagden gebaseerd op meldingen van medewerkers, klachten van theaters en eigen ervaringen van de producent. AVROTROS confronteert eiseres vervolgens met de inhoud van de e-mail, waarna haar contract wordt aangepast en onzekerheid ontstaat over verdere samenwerking. Eiseres stelt dat de beschuldigingen feitelijk onjuist zijn, dat haar reputatie is geschaad en dat zij vooraf niet is gehoord. Zij vordert onder meer een rectificatie aan AVROTROS en andere (eventuele) ontvangers van de e-mail, alsook inzage in wie de mail heeft ontvangen en afgifte van soortgelijke communicatie. Ook dagvaardt zij gedaagde 2 persoonlijk.

Annotatie bij <lostmarydirect.com>, 3 juni 2025, IEF 22827; CAC-UDRP-107605 (Dashing Joys en Imiracle tegen Zafar)[1] door Willem Leppink [2].

De recent gewezen beslissing over de domeinnaam <lostmarydirect.com> is een opmerkelijke uitspraak. In deze beslissing gewezen (en ingezonden) door mr. Marieke Westgeest, domeinnaamgeschillenbeslechter [3] bij het Tsjechisch Arbitragehof, wijzigt [4] zij de sinds 2001 bestaande en internationaal gehanteerde Oki Data-criteria [5], die zij vervolgens omdoopt tot de Lost Mary- criteria.

Kort en goed wijst zij de klacht af omdat de klagers, fabrikanten van e- sigaretten, niet hebben kunnen bewijzen dat de verweerder, Mohammad Zafar, een wederverkoper (reseller) van deze producten, geen recht of legitiem belang had bij de domeinnaam. Onder de Uniform Domain Name Dispute Resolution Policy (UDRP), de geschillenregeling die van toepassing is op onder meer .com-domeinnamen, is het ontbreken van een recht of legitiem belang het zogeheten tweede element dat bewezen moet worden, naast dat de klagers moeten bewijzen dat de domeinnaam gelijk is aan of verwarringwekkend overeenstemt met het merk van de klagers (eerste element) en dat de verweerder te kwader trouw was bij de registratie en het gebruik (derde element) [6].

Vzr. Rb. Amsterdam 28 mei 2025, IT 4927; ECLI:NL:RBAMS:2025:4460 (Dynamiet tegen Google c.s.). Dynamiet Nederland B.V. merkte op dat haar website sinds februari 2025 aanzienlijk lager scoorde in de zoekresultaten van Google, met name op voor haar relevante zoektermen. Zij vermoedde dat Google haar website had gedeïndexeerd of op andere wijze had benadeeld, mogelijk door een foutieve classificatie als illegaal casino. Dynamiet vordert in dit kort geding dat Google haar website opnieuw in de reguliere zoekresultaten zou opnemen, informatie zou verschaffen over de vermeende de-indexatie en een bezwaar- of herstelmechanisme zou bieden. Google voert verweer en stelt dat er geen sprake was van de-indexatie of een andere gerichte maatregel tegen Dynamiet; de website was nog steeds geïndexeerd en zichtbaar. 

UDRP Arbitrage 3 juni 2025, IEF 22827, IT 4926; CAC-UDRP-107605 (Dashing Joys en Imiracle tegen Zafar). In deze UDRP-zaak staat het domein lostmarydirect.com centraal. Deze website wordt sinds 2024 door Zafar (hierna: verweerder) geëxploiteerd. Hierop verkoopt hij authentieke producten van het populaire vape-merk LOST MARY. Dashing Joys en Imiracle (hierna: klagers) zijn de merkhouders van LOST MARY en klagen verweerder aan. Na de eerste klacht heeft verweerder een disclaimer aan zijn website toegevoegd. In deze zaak vorderen klagers overdracht van de domeinnaam en stellen zij dat het gebruik van de domeinnaam verwarring wekt, geen legitiem belang dient en te kwader trouw is. Volgens klagers handelt verweerder als een niet‑geautoriseerde wederverkoper die de indruk wekt verbonden te zijn met de merkhouder. Het Panel oordeelt dat het domein verwarringwekkend overeenstemt met het merk LOST MARY, maar dat verweerder een legitiem belang heeft. De reseller voldoet aan de belangrijkste criteria: hij biedt daadwerkelijk de originele producten aan, verkoopt geen andere merken en zijn website is voor de gemiddelde internetgebruiker duidelijk te onderscheiden van die van de merkhouder. Op dit laatste punt worden de OkiData-criteria verruimd.

Rb. Zeeland-West-Brabant 6 juni 2025, IT 4925; ECLI:NL:RBZWB:2025:4185 (Verzoeker). Deze zaak betreft een verzoeker die in het Fraude Signalering Voorziening (FSV)-systeem van de Belastingdienst was geregistreerd. De Belastingdienst heeft erkend dat het gebruik van het FSV-systeem niet voldeed aan de eisen van de Algemene Verordening Gegevensbescherming (AVG). Verzoeker stelde dat hij door deze onterechte registratie schade heeft geleden en diende een schadeverzoek in bij de Belastingdienst. Nadat zijn verzoek was afgewezen, stelde verzoeker beroep in bij de bestuursrechter en vorderde schadevergoeding. De rechtbank moet beoordelen of zij bevoegd was om over het schadeverzoek te oordelen. De rechter overweegt in dit kader dat de verwerking van persoonsgegevens in het FSV-systeem een feitelijke handeling is en geen besluit in de zin van artikel 1:3, eerste lid, Awb. Hierdoor valt het schadeverzoek niet onder het bestuursrecht, maar onder het civiele recht. De bestuursrechter kan daarom geen oordeel geven over de rechtmatigheid van het schadeverzoek. De rechtbank verklaart zich onbevoegd om het verzoek te behandelen. Verzoeker moet zich voor zijn schadeverzoek tot de burgerlijke rechter wenden.