Veel van ons leven en werk speelt zich inmiddels af in de digitale wereld. Tegelijkertijd nemen cyberdreigingen toe, denk aan grote datalekken. Daarmee groeit het belang van goede digitale beveiliging voor bedrijven en publieke instellingen. Om het niveau van cyberbeveiliging binnen de Europese Unie te versterken is de NIS2-richtlijn opgesteld, de opvolger van de eerdere NIS1-richtlijn.

In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert strengere verplichtingen voor organisaties in sectoren met een belangrijk maatschappelijk of economisch gewicht. De wet bevat onder meer regels over risicobeheer, meldplichten bij incidenten, bestuurlijke verantwoordelijkheid en toezicht. Daarnaast speelt de samenwerking met zogeheten Computer Security Incident Response Teams (CSIRT’s) een belangrijke rol bij het detecteren en afhandelen van cyberincidenten.

Tegelijkertijd wordt ook de Critical Entities Resilience Directive (CER-richtlijn) in Nederland geïmplementeerd, via de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten zullen naar verwachting gelijktijdig in werking treden en markeren een belangrijke stap in het versterken van de digitale weerbaarheid van vitale sectoren.

Rb. Rotterdam 26 februari 2026, IEF 23452; ECLI:NL:RBROT:2026:2593 ([eisers] tegen [gedaagde]). In dit kort geding staat een conflict centraal over het Instagram-account van een in 2021 door [eiser sub 1] en [gedaagde] opgezette tandartspraktijk. Eind december 2025 verschenen op dat openbare account foto’s en video’s van [eiser sub 2] en van de twee minderjarige dochters van [eiser sub 1] en [eiser sub 2], voorzien van ernstig diffamerende en seksueel getinte teksten; ook werden de gebruikersnaam en accountomschrijving gewijzigd. De voorzieningenrechter verklaart de minderjarige dochters niet-ontvankelijk, omdat zij als minderjarigen procesonbekwaam zijn en voor procederen namens hen een machtiging van de kantonrechter vereist was op grond van art. 1:253k BW jo. art. 1:349 lid 1 BW, welke ontbrak. Ten aanzien van [eiser sub 1] en [eiser sub 2] oordeelt de voorzieningenrechter dat voldoende aannemelijk is dat [gedaagde] feitelijke toegang heeft tot het Instagram-account. Dat oordeel baseert de rechter op de onweersproken inhoud van ontmoetingen en een telefoongesprek tussen [gedaagde] en de broer van [eiser sub 2], waaruit volgens de voorzieningenrechter volgt dat [gedaagde] de betreffende foto’s en video’s van het account heeft verwijderd en de accountnaam en accountomschrijving heeft gewijzigd. De primair gevorderde overdracht van het account aan [eiser sub 1] wordt afgewezen, omdat [eiser sub 1] en [gedaagde] het account gezamenlijk hebben aangemaakt en op dat moment nog gezamenlijk eigenaar zijn van de tandartspraktijk, zodat volledige uitsluiting van [gedaagde] van het account te ver gaat. Wel wordt de subsidiaire vordering toegewezen: [gedaagde] moet binnen 48 uur alle inloggegevens en toegangscodes van het Instagram-account aan [eiser sub 1] verstrekken, op straffe van een dwangsom van € 5.000 ineens en € 500 per dag, met een maximum van € 25.000.

Prejudiciële vragen gesteld aan het Hof van Justitie EU 20 november 2026, IEF 23445; IT 5184; IEFbe 4176; C-741/25 (MR tegen TM) via MinBuza. In Polen is in november 2024 een regeling in werking getreden die telecommunicatieondernemingen verplicht om de gegevens van de gebruikers van hun netwerken te bewaren en op te slaan. De nationale regelgeving legt geen beperkingen op ten aanzien van de personen op wie deze maatregelen betrekking hebben. Op grond van het Unierecht mag alleen in bijzondere gevallen worden vastgesteld waarom de bescherming van persoonsgegevens speciaal moet worden beperkt. De verwijzende rechter vraagt zich daarom af of de nationale regeling in strijd is met richtlijn 2002/68 en met diverse bepalingen van het Handvest.

Prejudiciële vragen gesteld aan Hof van Justitie EU 6 oktober 2025, IT 5187; IEFbe 4178; C-654/25 (US en DR tegen KY) via MinBuza. Verzoeker exploiteert een website waarin hij Google Fonts heeft geïntegreerd. Hierdoor worden bij het bezoeken van de betreffende websites de lettertypen van Google Fonts via een Google-server gedownload en het betreffende IP-adres van de bezoeker naar Google in de VS verzonden. Een bezoeker van de site, die middels een webcrawler bewust de doorgiften uitlokte, vordert schadevergoeding wegens een vermeende inbreuk op zijn AVG-rechten. Verzoeker betaalde onder druk, maar vorderde terugbetaling. Verzoeker kreeg in hoger beroep gelijk omdat een dynamische IP-adres geen persoonsgegeven is, waardoor er geen schadevergoedingsrecht zou zijn ontstaan en de bezoeker daarmee rechtsmisbruik pleegde. De verwijzende rechter vraagt het Hof wanneer een dynamisch IP-adres volgens het Unierecht als persoonsgegeven geldt, of schadevergoeding mogelijk is wanneer de betrokkene de inbreuk bewust heeft uitgelokt, en in hoeverre een dergelijk geval tot rechtsmisbruik kan leiden. 

Prejudiciële vragen gesteld aan Hof van Justitie EU 9 december 2025, IT 5184; IEFbe 4175; C-798/25 (MV-expo, s.r.o. tegen IMMIX spol. s r. o.) via MinBuza. Verzoeker transporteert goederen, en heeft bij de rechtbank betaling van openstaande facturen gevorderd van verwerende partij. Verwerende partij heeft in 2019 via e-mail het volledig verschuldigde bedrag erkend. Bij de rechtbank stelt zij nu dat de e-mail niet voldeed aan het vereiste in schriftelijke vorm, waardoor haar erkenning van de schuld nietig is. Hierdoor zijn de verjaringstermijnen niet gestuit en zijn de vorderingen verjaard, aldus verweerster. De Tsjechische rechter twijfelt of de vermelding van de naam van een persoon onderaan een e-mail voldoet aan de vereisten ten aanzien van elektronische handtekeningen, zoals vastgesteld in artikel 3, punt 10, van verordening 910/2014. 

Rb. Amsterdam 5 maart 2026, IT 5188; ECLI:NL:RBAMS:2026:2165 ([verzoeker] tegen ING). In deze procedure op grond van artikel 35 van de UAVG heeft [verzoeker] zijn verzoek kort vóór de geplande mondelinge behandeling ingetrokken. Partijen waren het erover eens dat de zitting geen doorgang hoefde te vinden, maar discussie ontstond over de proceskosten. ING verzocht de rechtbank om alsnog bij beschikking te beslissen over de proceskosten, nu deze ondanks de intrekking niet waren voldaan.

Hof Arnhem-Leeuwarden 2 december 2025, IT 5186; ECLI:NL:GHARL:2025:7685 ([appellante] tegen ASR). Het gerechtshof Arnhem-Leeuwarden oordeelt dat een verzekeraar (ASR) persoonsgegevens mag opnemen in interne en externe frauderegisters bij opzettelijke misleiding door een verzekeringnemer, maar dat de duur van die registratie afzonderlijk moet worden getoetst aan het proportionaliteitsbeginsel van de AVG. De zaak betreft een arbeidsongeschiktheidsverzekering (AOV) die was aangevraagd in het kader van een financieringstraject. Bij de aanvraag had [appellante] in de gezondheidsverklaring relevante medische informatie niet gemeld, waaronder een recent verkeersongeval en langdurige klachten. Nadat de verzekeraar via externe bronnen kennis kreeg van deze informatie, werd een onderzoek ingesteld. Dit leidde tot registratie van [appellante] in het Interne Verwijzingsregister (IVR) en het Externe Verwijzingsregister (EVR) voor de maximale duur van acht jaar. Centraal stond de vraag of deze registratie in strijd was met de Algemene verordening gegevensbescherming en het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).

Prejudiciële vragen gesteld aan Hof van Justitie EU 12 november 2025, RB 3998; IT 5182; C-720/25 (IO, Associação Ius Omnibus tegen Contextlogic B.V.) via MinBuza. Verweerster is ‘Contextlogic B.V.’, een vennootschap met statutaire zetel in Nederland, ingeschreven in het Portugese handelsregister. Verzoekende partij is een gekwalificeerde betalingsinstelling die stelt dat verweerster niet voldoet aan de verplichting om Portugese consumenten een digitaal klachtenboek ter beschikking te stellen. Het is de vraag of de diensten die verweerster verleent vallen onder ‘diensten van een informatiemaatschappij’. Daarnaast is het de vraag of de Portugese regels, indien zij gelden voor dienstverleners die geen statutaire zetel of vestiging in Portugal hebben, verenigbaar zijn met richtlijn 2000/31 (beginsel van controle aan de bron van diensten van de informatiemaatschappij).  

Hof Den Haag 10 maart 2026, IEF 23440; IT 5179; ECLI:NL:GHDHA:2026:399 (appellanten tegen de Staat c.s.). In deze civiele hogerberoepszaak stonden appellanten, onder wie natuurlijke personen en vennootschappen die tussen 2007 en 2014 belangen hielden in vennootschappen die vanuit Malta online kansspelen aanboden, tegenover de Staat en de Kansspelautoriteit. Zij vorderden onder meer een verklaring voor recht dat het in de relevante periode geldende Nederlandse totaalverbod op het aanbieden van online kansspelen in strijd was met art. 56 VWEU, dat het daarop gebaseerde optreden van de Staat en de Kansspelautoriteit onrechtmatig was, schadevergoeding op te maken bij staat, een bevel om de gestelde Unierechtelijke inbreuk te staken en rectificatie van een OM-persbericht van 24 juni 2021. Het hof verwerpt eerst het ontvankelijkheidsverweer van de Staat c.s. en oordeelt dat in elk geval de appellanten die geen verdachten zijn voldoende belang hebben bij hun schadevorderingen, terwijl daarnaast ook voldoende belang bestaat bij de rectificatievordering. Inhoudelijk stelt het hof voorop dat het totaalverbod op online kansspelen weliswaar een beperking vormt van het vrij verkeer van diensten, maar dat die beperking gerechtvaardigd kan zijn door dwingende redenen van algemeen belang, zoals consumentenbescherming en fraudebestrijding. Onder verwijzing naar de rechtspraak van het Hof van Justitie benadrukt het hof dat lidstaten op het terrein van kansspelen, en in het bijzonder online kansspelen, over een ruime beoordelingsmarge beschikken. Een algemeen verbod op online kansspelen kan daarom in beginsel een geschikte maatregel zijn, juist gelet op de specifieke risico’s van online aanbod, zoals anonimiteit, permanente toegankelijkheid en verhoogde risico’s op fraude en gokverslaving. Het hof verwerpt vervolgens ook het betoog dat het verbod wegens beperkte effectiviteit, beperkte uitzonderingen binnen het gereguleerde aanbod of het latere vergunningstelsel van de Wet kansspelen op afstand zijn samenhang of geschiktheid had verloren. Volgens het hof verlangt het Unierecht niet dat steeds de meest effectieve of minst vergaande maatregel wordt gekozen, en evenmin dat de feitelijke effectiviteit van een verbod beslissend is voor de Unierechtelijke toelaatbaarheid ervan.

Rb. Midden-Nederland 11 maart 2026, IT 5178; ECLI:NL:RBMNE:2026:1115 ([verzoeker] tegen Mijndomein). In deze beschikking staat een geschil centraal tussen een particuliere gebruiker en webhostingprovider Mijndomein over een tweede account dat niet op naam van verzoeker zelf, maar op naam en met de NAW-gegevens van een derde, [B], was geregistreerd. Aan dat tweede account waren domeinnamen gekoppeld, waaronder een domeinnaam die eerder ook aan het eerste account van verzoeker gekoppeld was. Nadat verzoeker Mijndomein had gevraagd om dat tweede account op te heffen, heeft Mijndomein dat geweigerd, omdat volgens haar alleen de geregistreerde accounthouder een dergelijk verzoek kon doen. Nadat [B] had gemeld dat het account zonder haar toestemming met haar persoonsgegevens was aangemaakt en zij Mijndomein een kopie van haar aangifte had toegestuurd, heeft Mijndomein het tweede account met de daaraan gekoppelde domeinen op 26 mei 2025 opgeheven. In de procedure verzocht verzoeker vervolgens onder meer te bepalen dat Mijndomein zijn persoonsgegevens niet zonder rechtsgeldige grondslag mocht verwerken, voor recht te verklaren dat Mijndomein onrechtmatig jegens hem had gehandeld, opheffing en bevestiging van opheffing van het tweede account te bevelen, inzage in persoonsgegevens te geven op grond van de AVG, en Mijndomein te veroordelen tot betaling van € 160 materiële schade en € 2.000 immateriële schade. De rechtbank stelt eerst procesrechtelijk vast dat een deel van deze verzoeken materieel gezien thuishoort in een dagvaardingsprocedure, maar ziet af van verwijzing op de voet van art. 69 Rv, omdat de verzoeken nauw met elkaar samenhangen, het debat tussen partijen voldoende is uitgekristalliseerd en Mijndomein daardoor niet in haar belangen is geschaad.