Hof Amsterdam 16 oktober 2025, IT&R 5128; ECLI:NL:GHAMS:2025:3771 (Openbaar Ministerie tegen [verdachte]). In deze strafzaak oordeelt het Gerechtshof Amsterdam dat de verdachte zich schuldig maakt aan een samenhangende phishingconstructie gericht op klanten van International Card Services (ICS). Het hof acht bewezen dat hij in de periode van 1 augustus 2023 tot en met 30 september 2023 meermalen twee slachtoffers door valse, als van ICS afkomstige e-mails en nagemaakte ICS-websites beweegt tot het prijsgeven van inlog-, bank- en klantgegevens en tweefactorauthenticatiecodes, zodat sprake is van oplichting. Daarnaast acht het hof bewezen dat de verdachte in de periode van 1 augustus 2023 tot en met 6 januari 2024 phishingwebsites en bijbehorende bestanden voorhanden heeft met het oogmerk computervredebreuk te plegen, en dat hij met de aldus verkregen gegevens via de ICS-app meermalen binnendringt in het geautomatiseerde werk van ICS door zich voor te doen als geautoriseerde klant. Het hof verbindt de verdachte aan deze feiten op basis van onder meer de hostinggegevens, de aan hem te koppelen cryptowallet, het bij de hosting gebruikte e-mailadres, het IP-adres van zijn woonadres, de op zijn telefoons aangetroffen Telegram-bots en de gephishte gegevens van in totaal 65 personen. Ook acht het hof bewezen dat hij een gasvuurwapen in de vorm van een revolver voorhanden heeft. Wel volgt partiële vrijspraak voor zover onder feit 1 ook oplichting van ICS is ten laste gelegd, omdat de tenlastelegging geen oplichtingshandelingen jegens ICS zelf bevat, en voor enkele onderdelen van de feiten 1 en 2 waarvoor het dossier onvoldoende grondslag biedt.

Rb. Overijssel 25 februari 2026, IT&R 5127; ECLI:NL:RBOVE:2026:1222 ([eiser] tegen [gedaagden]). In dit kort geding beoordeelt de voorzieningenrechter of vier door gedaagden geplaatste camera’s een onrechtmatige inbreuk maken op de persoonlijke levenssfeer van hun buurvrouw. Daarbij stelt de rechter voorop dat een eigenaar in beginsel camera’s mag plaatsen ter beveiliging van de eigen woning en het eigen perceel, maar dat dit recht wordt begrensd zodra ook de achtertuin van een ander of een groot deel van de openbare weg in beeld komt. Per camera moet daarom worden beoordeeld of sprake is van een privacy-inbreuk en, zo ja, of daarvoor een rechtvaardigingsgrond bestaat. De camera aan de achterzijde van de woning hoeft niet te worden verwijderd, omdat vaststaat dat deze door de verhoogde schutting de tuin van eiseres niet langer filmt en onvoldoende aannemelijk is dat zij alsnog het openbare achterpad registreert. De beveiligingscamera aan de voorzijde mag blijven hangen, maar moet wel aantoonbaar zo worden gepositioneerd dat uitsluitend het eigen perceel wordt gefilmd, omdat voldoende aannemelijk is dat deze anders ook de openbare weg in beeld brengt. De deurbelcamera aan de voorzijde moet worden verwijderd, omdat voldoende aannemelijk is dat deze een deel van de openbare stoep filmt, terwijl gedaagden onvoldoende onderbouwen dat die inbreuk noodzakelijk is of niet op een minder ingrijpende wijze kan worden voorkomen. Aan beide veroordelingen verbindt de voorzieningenrechter een gematigde dwangsom.

HvJ EU 26 februari 2026, IT&R 5129; ECLI:EU:C:2026:108 (Europese Commissie tegen Hongarije). In deze niet-nakomingsprocedure oordeelt het Hof van Justitie dat Hongarije het Unierecht heeft geschonden door Klubrádió op onevenredige wijze de voortzetting van uitzendingen op de FM-frequentie 92.9 MHz te beletten. Het Hof stelt eerst vast dat de betrokken Hongaarse regeling en besluiten weliswaar raken aan media-inhoud, maar tegelijk rechtstreeks betrekking hebben op de toewijzing en verlenging van gebruiksrechten voor radiospectrum, zodat het Unierechtelijke kader voor elektronische communicatie van toepassing is. Tegen die achtergrond acht het Hof § 48, lid 7, van de Hongaarse mediawet onverenigbaar met de eisen van evenredigheid, omdat die bepaling de verlenging van gebruiksrechten automatisch uitsluit zodra sprake is van een herhaalde inbreuk, ook als die inbreuk louter formeel en gering is en al met een geldboete is bestraft. Daardoor is ook het besluit van de mediaraad van 8 september 2020 onrechtmatig, waarbij de verlenging van Klubrádió’s rechten wordt geweigerd wegens herhaalde tekortkomingen bij het aanleveren van gegevens over uitzendquota. Daarnaast stelt het Hof vast dat dit weigeringsbesluit veel te laat is genomen, namelijk niet binnen de in de machtigingsrichtlijn voorgeschreven termijn van zes weken, zodat ook artikel 5, lid 3, van die richtlijn en het beginsel van behoorlijk bestuur zijn geschonden.

Rb. Amsterdam 4 februari 2026, IEF 23327; IEFbe 5126; ECLI:NL:RBAMS:2026:1555 (SDBN tegen X Corp c.s.). De Rechtbank Amsterdam oordeelt in deze tussenuitspraak dat Stichting Data Bescherming Nederland (SDBN) op basis van de huidige stand van de procedure niet ontvankelijk zou moeten worden verklaard in haar collectieve vorderingen tegen X Corp c.s. over het gebruik van persoonsgegevens via MoPub-apps. Volgens de rechtbank is niet voldaan aan het representativiteitsvereiste van artikel 3:305a BW. Daarbij weegt mee dat SDBN zegt op te komen voor een zeer omvangrijke groep, die volgens de rechtbank in de praktijk ongeveer overeenkomt met vrijwel alle Nederlandse smartphonegebruikers in de relevante periode, terwijl zich slechts circa 11.000 personen via de website hebben aangemeld. Dat aantal acht de rechtbank, afgezet tegen een potentiële groep van ongeveer 11 miljoen personen, te gering om te kunnen aannemen dat sprake is van een voldoende echte en niet te verwaarlozen achterban. Ook acht de rechtbank van belang dat de website van SDBN geen volledig juist beeld gaf van de ingestelde procedure, omdat daar onvoldoende duidelijk werd gemaakt dat de zaak in wezen betrekking heeft op schadevergoeding wegens gegevensverwerkingen uit het verleden, uitsluitend tegen X Corp c.s., en niet op het afdwingen van toekomstig gedrag van “Twitter en andere bedrijven”.

Vanaf 2026 krijgt de wereld van het intellectuele eigendomsrecht er een nieuw en onderscheidend kantoor bij: Rightlane Legal, IP & Licensing. Laurens Kamp, voor velen een bekende naam als oud-advocaat bij Simmons & Simmons en Bingh, voormalig redactie-lid van IE-forum en het BMM-bulletin én oud-docent bij de BBMM-opleiding voor merken- en modellengemachtigden, keert terug naar vertrouwde grond. In de afgelopen jaren heeft Laurens zijn expertise verder verdiept als bedrijfsjurist en Head of Licensing, waar hij onder andere intensief samenwerkte met grote namen als Disney, WarnerBros. Discovery en Paramount Skydance. Deze brede en unieke ervaring vormt nu de basis van Rightlane Legal, IP & Licensing.

Rightlane specialiseert zich volledig in het intellectuele eigendomsrecht, met een sterke nadruk op (entertainment)licentiecontracten. Of het nu gaat om het beschermen van creatieve concepten, het ontwikkelen van licentieprogramma' s, assistentie bij royalty audits of om ondersteuning bij een geschil op het gebied van IE of licenties: Rightlane biedt praktisch en helder advies, precies afgestemd op de wensen van business owners en licentiemanagers. Korte lijnen, duidelijke taal, direct toepasbaar.

Meer weten? Neem een kijkje op www.rightlane.nl, bezoek de LinkedIn-pagina van Rightlane (www.linkedin.com/company/rightlane) of neem direct contact op met Laurens Kamp (Laurens.kamp@rightlane.nl en +31(0)6 2978 9976).

Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Artikel geschreven door Pieter Ballings.

De NIS2‑richtlijn vormt een belangrijke nieuwe stap in de Europese aanpak van cybersecurity. Waar de eerdere NIS‑richtlijn zich vooral richtte op essentiële diensten, breidt NIS2 het toepassingsbereik aanzienlijk uit en legt zij strengere normen op voor de beveiliging van netwerk- en informatiesystemen. 

Impact op toeleveringsketen
Hoewel IT‑leveranciers doorgaans niet rechtstreeks onder deze verplichtingen vallen, heeft de richtlijn wel grote impact op hun rol binnen de toeleveringsketen. Niet alleen worden hun klanten verplicht om risico’s in die keten te beheersen, ook wordt van leveranciers verwacht dat zij aantoonbaar bijdragen aan een veilig digitaal ecosysteem. 

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit (Cbb) en de Ministeriële Regeling (MR), met een verwachte inwerkingtreding in het tweede kwartaal van 2026. Dat lijkt ver weg, maar voor leveranciers is dit precies het moment om zich goed voor te bereiden.

NIS2 in vogelvlucht: waarom IT leveranciers nu centraal staan
De reikwijdte van NIS2 strekt zich uit over sectoren als energie, zorg, digitale infrastructuur, transport en financiële diensten. Alleen IT-leveranciers die zelf als essentiële of belangrijke entiteit kwalificeren – bijvoorbeeld managed service providers (MSP’s) of cloudproviders – vallen rechtstreeks onder de wet.

Toch heeft NIS2 ook voor alle andere IT-leveranciers directe gevolgen. Hun klanten (die wél onder NIS2 vallen) zijn namelijk verplicht de beveiliging van hun leveranciers kritisch te beoordelen en risico’s in de keten te beheersen. Daardoor wordt cybersecurity-compliance een belangrijke commerciële en contractuele factor. Een leverancier die zijn beveiligingsprocessen aantoonbaar op orde heeft, scoort beter in aanbestedingen en onderhandelingen. Omgekeerd kan het ontbreken daarvan leiden tot uitsluiting, reputatieschade of non-compliance bij de klant – met mogelijke aansprakelijkheidsrisico’s tot gevolg.

Rb. Overijssel 13 februari 2026, IT 5122; ECLI:NL:RBOVE:2026:715 ([eiser] tegen de burgemeester van Zwolle). [eiser] verzocht om inzage in zijn persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC), dat was opgesteld naar aanleiding van een vergunningaanvraag. De burgemeester weigerde inzage onder verwijzing naar de geheimhoudingsplicht van artikel 28 Wet Bibob. Volgens de burgemeester valt het RIEC-advies onder het gesloten verstrekkingenregime van de Wet Bibob en zou verstrekking afbreuk doen aan de rechten en vrijheden van anderen.

Parket bij de HR 30 januari 2026, IT 5118; ECLI:NL:PHR:2026:129 (Stichting the Privacy Collective tegen Oracle NL, Salesforce). In een collectieve WAMCA-procedure tegen Oracle en Salesforce staat de ontvankelijkheid van belangenorganisatie The Privacy Collective (TPC) centraal. TPC stelt dat beide bedrijven via cookies persoonsgegevens van miljoenen internetgebruikers verzamelen, deze combineren met offline gegevens en daarmee profielen opbouwen die voor gepersonaliseerde advertenties aan derden worden verkocht. De rechtbank Amsterdam verklaarde TPC niet-ontvankelijk wegens onvoldoende representativiteit en gebreken in governance en transparantie [IT 3762]. Het hof Amsterdam oordeelde in hoger beroep echter dat TPC wél aan de ontvankelijkheidseisen voldoet. Volgens het hof is voldoende dat een niet-te-verwaarlozen aantal personen achter de actie staat; een exact aantal of volledig inzicht in alle individuele gedupeerden is niet vereist.   

Parket bij de Hoge Raad 20 februari 2026, IEF 23312, IT&R 5121; ECLI:NL:PHR:2026:186 (Payingit B.V., Payingip B.V., NRD Holding B.V., CMC Holding B.V., [eiser 5], [eiser 6], eisers tot cassatie tegen Workrate Holding B.V.). In de conclusie van het Parket staat een geschil centraal tussen Payingit c.s. (kopers) en Workrate (verkoper) over de uitleg van een koop- en licentieovereenkomst uit 2016 betreffende software. Workrate had drie softwarepakketten ontwikkeld: Workstate (voor beveiligingsprocessen), Workmate (later Usemate) en Academy. Deze applicaties vertoonden gedeeltelijke overlap in broncode, onder meer via gedeelde modules en interfaces. In 2016 verkochten Workrate en haar mede-aandeelhouders de aandelen in Usemate (later PayingIT) en werd de Usemate-software geleverd aan PayingIP, met overdracht van auteursrechten en een gelijktijdige licentie aan Workrate voor gebruik van de software. In geschil is welke omvang de auteursrechtoverdracht had en of Workrate met haar verdere exploitatie van Workstate, waarin overlappende broncode voorkomt, inbreuk maakt op de overgedragen rechten dan wel tekortschiet in de nakoming van de overeenkomsten. Workrate vorderde in conventie onder meer verklaringen voor recht dat zij geen auteursrechtinbreuk pleegt en niet tekortschiet. Payingit c.s. vorderde in reconventie juist verklaringen voor recht dat het volledige auteursrecht op de in een specificatiedocument genoemde mappen was overgedragen, dat Workrate inbreuk maakte, boetes had verbeurd en schadeplichtig was. De rechtbank en het hof oordeelden, na uitleg volgens het Haviltex-criterium, dat de auteursrechten op de in het document gespecificeerde broncode weliswaar aan PayingIP zijn overgedragen, maar dat Workrate een impliciet contractueel gebruiksrecht behoudt voor zover die broncode ook deel uitmaakt van Workstate. Ook ten aanzien van het gebruik door een derde (KlasseStudent/KlasseNet) werd geoordeeld dat dit binnen de bedoeling van partijen viel. Het hof achtte nader deskundigenonderzoek naar de precieze mate van overlap niet beslissend en veroordeelde Payingit c.s. in de proceskosten op grond van art. 1019h Rv, gemaximeerd op het indicatietarief voor een complexe bodemzaak.