Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Veel van ons leven en werk speelt zich inmiddels af in de digitale wereld. Tegelijkertijd nemen cyberdreigingen toe, denk aan grote datalekken. Daarmee groeit het belang van goede digitale beveiliging voor bedrijven en publieke instellingen. Om het niveau van cyberbeveiliging binnen de Europese Unie te versterken is de NIS2-richtlijn opgesteld, de opvolger van de eerdere NIS1-richtlijn.

In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert strengere verplichtingen voor organisaties in sectoren met een belangrijk maatschappelijk of economisch gewicht. De wet bevat onder meer regels over risicobeheer, meldplichten bij incidenten, bestuurlijke verantwoordelijkheid en toezicht. Daarnaast speelt de samenwerking met zogeheten Computer Security Incident Response Teams (CSIRT’s) een belangrijke rol bij het detecteren en afhandelen van cyberincidenten.

Tegelijkertijd wordt ook de Critical Entities Resilience Directive (CER-richtlijn) in Nederland geïmplementeerd, via de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten zullen naar verwachting gelijktijdig in werking treden en markeren een belangrijke stap in het versterken van de digitale weerbaarheid van vitale sectoren.

Rb. Rotterdam 6 maart 2026, IT&R 5131; ECLI:NL:RBROT:2026:2165 (TicketSwap tegen de ACM). De Rechtbank Rotterdam beoordeelt in deze zaak het beroep van TicketSwap tegen het besluit van de ACM om toezeggingen van Ticketmaster bindend te verklaren op grond van artikel 12h Instellingswet ACM. Aanleiding was een klacht en later een handhavingsverzoek van TicketSwap over de doorverkoop van door Ticketmaster uitgegeven mobile-only tickets. De ACM heeft in haar onderzoek geen overtreding vastgesteld, maar wel drie mededingingsrisico’s geïdentificeerd: een gebrek aan concurrentie op de secundaire ticketmarkt, het ontbreken van de mogelijkheid om mobile-only tickets op Ticketmasters eigen doorverkoopplatform onder de oorspronkelijke prijs aan te bieden, en het risico dat effectieve concurrentie in de praktijk wordt bemoeilijkt door deactivering van de transferfunctionaliteit en gebrekkige informatievoorziening. Vervolgens heeft Ticketmaster toezeggingen gedaan, onder meer over het gebruik van de transferfunctionaliteit, verkoop onder de originele prijs en informatieverstrekking; die toezeggingen heeft de ACM op 20 december 2024 bindend verklaard. De rechtbank stelt voorop dat deze bevoegdheid van de ACM discretionair is en daarom terughoudend moet worden getoetst: beslissend is of de ACM zich in redelijkheid op het standpunt heeft kunnen stellen dat de toezeggingen de door haar vastgestelde mededingingsrisico’s adequaat wegnemen.

Conclusie A-G 26 februari 2026, IT&R 5130; ECLI:EU:C:2026:115 (Sky Österreich Fernsehen GmbH tegen Verein für Konsumenteninformation). De zaak C‑234/25 betreft een geschil tussen een Oostenrijkse aanbieder van een streamingdienst (Sky Österreich Fernsehen) en een consument over de vraag of een abonnement op een video‑on‑demand‑/streamingdienst moet worden gekwalificeerd als “digitale inhoud” of als een “dienst” in de zin van de Richtlijn consumentenrechten 2011/83/EU, en wat daarvan de gevolgen zijn voor het herroepingsrecht en de eventuele vergoeding bij uitoefening daarvan. Feitelijk gaat het om een consument die een streamingabonnement heeft afgesloten voor toegang tot audiovisuele content, waarbij hij binnen de herroepingstermijn gebruik heeft gemaakt van zijn herroepingsrecht, terwijl de dienst al (volledig en doorlopend) beschikbaar was gesteld; de handelaar stelde zich op het standpunt dat sprake was van “digitale inhoud” en dat, gelet op de aanvang en (nagenoeg) volledige uitvoering van de prestatie, het herroepingsrecht was komen te vervallen en/of dat de consument een vergoeding verschuldigd was voor de reeds genoten toegang. Het Oberste Gerichtshof heeft de behandeling geschorst en een prejudiciële vraag aan het Hof van Justitie gesteld over de kwalificatie van een dergelijke streamingdienst en over de wijze waarop artikel 14, lid 3, en artikel 16, onder m), van Richtlijn 2011/83 moeten worden uitgelegd in dit soort situaties. In de kern is de vordering van de consument erop gericht om kosteloze ontbinding (herroeping) en terugbetaling van de gedane betalingen te verkrijgen, terwijl de handelaar juist vergoeding voor de reeds verleende prestatie en/of bevestiging van het verval van het herroepingsrecht nastreeft.

Hof Amsterdam 16 oktober 2025, IT&R 5128; ECLI:NL:GHAMS:2025:3771 (Openbaar Ministerie tegen [verdachte]). In deze strafzaak oordeelt het Gerechtshof Amsterdam dat de verdachte zich schuldig maakt aan een samenhangende phishingconstructie gericht op klanten van International Card Services (ICS). Het hof acht bewezen dat hij in de periode van 1 augustus 2023 tot en met 30 september 2023 meermalen twee slachtoffers door valse, als van ICS afkomstige e-mails en nagemaakte ICS-websites beweegt tot het prijsgeven van inlog-, bank- en klantgegevens en tweefactorauthenticatiecodes, zodat sprake is van oplichting. Daarnaast acht het hof bewezen dat de verdachte in de periode van 1 augustus 2023 tot en met 6 januari 2024 phishingwebsites en bijbehorende bestanden voorhanden heeft met het oogmerk computervredebreuk te plegen, en dat hij met de aldus verkregen gegevens via de ICS-app meermalen binnendringt in het geautomatiseerde werk van ICS door zich voor te doen als geautoriseerde klant. Het hof verbindt de verdachte aan deze feiten op basis van onder meer de hostinggegevens, de aan hem te koppelen cryptowallet, het bij de hosting gebruikte e-mailadres, het IP-adres van zijn woonadres, de op zijn telefoons aangetroffen Telegram-bots en de gephishte gegevens van in totaal 65 personen. Ook acht het hof bewezen dat hij een gasvuurwapen in de vorm van een revolver voorhanden heeft. Wel volgt partiële vrijspraak voor zover onder feit 1 ook oplichting van ICS is ten laste gelegd, omdat de tenlastelegging geen oplichtingshandelingen jegens ICS zelf bevat, en voor enkele onderdelen van de feiten 1 en 2 waarvoor het dossier onvoldoende grondslag biedt.

Rb. Overijssel 25 februari 2026, IT&R 5127; ECLI:NL:RBOVE:2026:1222 ([eiser] tegen [gedaagden]). In dit kort geding beoordeelt de voorzieningenrechter of vier door gedaagden geplaatste camera’s een onrechtmatige inbreuk maken op de persoonlijke levenssfeer van hun buurvrouw. Daarbij stelt de rechter voorop dat een eigenaar in beginsel camera’s mag plaatsen ter beveiliging van de eigen woning en het eigen perceel, maar dat dit recht wordt begrensd zodra ook de achtertuin van een ander of een groot deel van de openbare weg in beeld komt. Per camera moet daarom worden beoordeeld of sprake is van een privacy-inbreuk en, zo ja, of daarvoor een rechtvaardigingsgrond bestaat. De camera aan de achterzijde van de woning hoeft niet te worden verwijderd, omdat vaststaat dat deze door de verhoogde schutting de tuin van eiseres niet langer filmt en onvoldoende aannemelijk is dat zij alsnog het openbare achterpad registreert. De beveiligingscamera aan de voorzijde mag blijven hangen, maar moet wel aantoonbaar zo worden gepositioneerd dat uitsluitend het eigen perceel wordt gefilmd, omdat voldoende aannemelijk is dat deze anders ook de openbare weg in beeld brengt. De deurbelcamera aan de voorzijde moet worden verwijderd, omdat voldoende aannemelijk is dat deze een deel van de openbare stoep filmt, terwijl gedaagden onvoldoende onderbouwen dat die inbreuk noodzakelijk is of niet op een minder ingrijpende wijze kan worden voorkomen. Aan beide veroordelingen verbindt de voorzieningenrechter een gematigde dwangsom.

HvJ EU 26 februari 2026, IT&R 5129; ECLI:EU:C:2026:108 (Europese Commissie tegen Hongarije). In deze niet-nakomingsprocedure oordeelt het Hof van Justitie dat Hongarije het Unierecht heeft geschonden door Klubrádió op onevenredige wijze de voortzetting van uitzendingen op de FM-frequentie 92.9 MHz te beletten. Het Hof stelt eerst vast dat de betrokken Hongaarse regeling en besluiten weliswaar raken aan media-inhoud, maar tegelijk rechtstreeks betrekking hebben op de toewijzing en verlenging van gebruiksrechten voor radiospectrum, zodat het Unierechtelijke kader voor elektronische communicatie van toepassing is. Tegen die achtergrond acht het Hof § 48, lid 7, van de Hongaarse mediawet onverenigbaar met de eisen van evenredigheid, omdat die bepaling de verlenging van gebruiksrechten automatisch uitsluit zodra sprake is van een herhaalde inbreuk, ook als die inbreuk louter formeel en gering is en al met een geldboete is bestraft. Daardoor is ook het besluit van de mediaraad van 8 september 2020 onrechtmatig, waarbij de verlenging van Klubrádió’s rechten wordt geweigerd wegens herhaalde tekortkomingen bij het aanleveren van gegevens over uitzendquota. Daarnaast stelt het Hof vast dat dit weigeringsbesluit veel te laat is genomen, namelijk niet binnen de in de machtigingsrichtlijn voorgeschreven termijn van zes weken, zodat ook artikel 5, lid 3, van die richtlijn en het beginsel van behoorlijk bestuur zijn geschonden.

Rb. Amsterdam 4 februari 2026, IEF 23327; IEFbe 5126; ECLI:NL:RBAMS:2026:1555 (SDBN tegen X Corp c.s.). De Rechtbank Amsterdam oordeelt in deze tussenuitspraak dat Stichting Data Bescherming Nederland (SDBN) op basis van de huidige stand van de procedure niet ontvankelijk zou moeten worden verklaard in haar collectieve vorderingen tegen X Corp c.s. over het gebruik van persoonsgegevens via MoPub-apps. Volgens de rechtbank is niet voldaan aan het representativiteitsvereiste van artikel 3:305a BW. Daarbij weegt mee dat SDBN zegt op te komen voor een zeer omvangrijke groep, die volgens de rechtbank in de praktijk ongeveer overeenkomt met vrijwel alle Nederlandse smartphonegebruikers in de relevante periode, terwijl zich slechts circa 11.000 personen via de website hebben aangemeld. Dat aantal acht de rechtbank, afgezet tegen een potentiële groep van ongeveer 11 miljoen personen, te gering om te kunnen aannemen dat sprake is van een voldoende echte en niet te verwaarlozen achterban. Ook acht de rechtbank van belang dat de website van SDBN geen volledig juist beeld gaf van de ingestelde procedure, omdat daar onvoldoende duidelijk werd gemaakt dat de zaak in wezen betrekking heeft op schadevergoeding wegens gegevensverwerkingen uit het verleden, uitsluitend tegen X Corp c.s., en niet op het afdwingen van toekomstig gedrag van “Twitter en andere bedrijven”.

Vanaf 2026 krijgt de wereld van het intellectuele eigendomsrecht er een nieuw en onderscheidend kantoor bij: Rightlane Legal, IP & Licensing. Laurens Kamp, voor velen een bekende naam als oud-advocaat bij Simmons & Simmons en Bingh, voormalig redactie-lid van IE-forum en het BMM-bulletin én oud-docent bij de BBMM-opleiding voor merken- en modellengemachtigden, keert terug naar vertrouwde grond. In de afgelopen jaren heeft Laurens zijn expertise verder verdiept als bedrijfsjurist en Head of Licensing, waar hij onder andere intensief samenwerkte met grote namen als Disney, WarnerBros. Discovery en Paramount Skydance. Deze brede en unieke ervaring vormt nu de basis van Rightlane Legal, IP & Licensing.

Rightlane specialiseert zich volledig in het intellectuele eigendomsrecht, met een sterke nadruk op (entertainment)licentiecontracten. Of het nu gaat om het beschermen van creatieve concepten, het ontwikkelen van licentieprogramma' s, assistentie bij royalty audits of om ondersteuning bij een geschil op het gebied van IE of licenties: Rightlane biedt praktisch en helder advies, precies afgestemd op de wensen van business owners en licentiemanagers. Korte lijnen, duidelijke taal, direct toepasbaar.

Meer weten? Neem een kijkje op www.rightlane.nl, bezoek de LinkedIn-pagina van Rightlane (www.linkedin.com/company/rightlane) of neem direct contact op met Laurens Kamp (Laurens.kamp@rightlane.nl en +31(0)6 2978 9976).

Artikel geschreven door Pieter Ballings.

De NIS2‑richtlijn vormt een belangrijke nieuwe stap in de Europese aanpak van cybersecurity. Waar de eerdere NIS‑richtlijn zich vooral richtte op essentiële diensten, breidt NIS2 het toepassingsbereik aanzienlijk uit en legt zij strengere normen op voor de beveiliging van netwerk- en informatiesystemen. 

Impact op toeleveringsketen
Hoewel IT‑leveranciers doorgaans niet rechtstreeks onder deze verplichtingen vallen, heeft de richtlijn wel grote impact op hun rol binnen de toeleveringsketen. Niet alleen worden hun klanten verplicht om risico’s in die keten te beheersen, ook wordt van leveranciers verwacht dat zij aantoonbaar bijdragen aan een veilig digitaal ecosysteem. 

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit (Cbb) en de Ministeriële Regeling (MR), met een verwachte inwerkingtreding in het tweede kwartaal van 2026. Dat lijkt ver weg, maar voor leveranciers is dit precies het moment om zich goed voor te bereiden.

NIS2 in vogelvlucht: waarom IT leveranciers nu centraal staan
De reikwijdte van NIS2 strekt zich uit over sectoren als energie, zorg, digitale infrastructuur, transport en financiële diensten. Alleen IT-leveranciers die zelf als essentiële of belangrijke entiteit kwalificeren – bijvoorbeeld managed service providers (MSP’s) of cloudproviders – vallen rechtstreeks onder de wet.

Toch heeft NIS2 ook voor alle andere IT-leveranciers directe gevolgen. Hun klanten (die wél onder NIS2 vallen) zijn namelijk verplicht de beveiliging van hun leveranciers kritisch te beoordelen en risico’s in de keten te beheersen. Daardoor wordt cybersecurity-compliance een belangrijke commerciële en contractuele factor. Een leverancier die zijn beveiligingsprocessen aantoonbaar op orde heeft, scoort beter in aanbestedingen en onderhandelingen. Omgekeerd kan het ontbreken daarvan leiden tot uitsluiting, reputatieschade of non-compliance bij de klant – met mogelijke aansprakelijkheidsrisico’s tot gevolg.