Rb. Amsterdam 23 februari 2026, IEF 23430; IT 5172; ECLI:NL:RBAMS:2026:3000 (ONLINE TRADING CAMPUS LLC en [eiser] tegen [gedaagde]). In dit kort geding bij verstek staan Online Trading Campus LLC en [eiser] tegenover [gedaagde] naar aanleiding van op YouTube geplaatste video’s en andere uitlatingen over eisers. Gedaagde verschijnt niet op de mondelinge behandeling van 17 februari 2026, waarna de voorzieningenrechter vaststelt dat de formaliteiten zijn nageleefd en verstek verleent. De rechtbank overweegt vervolgens dat de vorderingen van eisers grotendeels niet onrechtmatig of ongegrond voorkomen en wijst deze daarom in hoofdzaak toe, zij het met aanpassing van enkele termijnen, beperking van de dwangsom en aanpassing van de tekst van de gevorderde rectificatie, juist omdat het om een verstekvonnis gaat. De voorzieningenrechter beveelt gedaagde om binnen 48 uur na betekening de drie in de dagvaarding genoemde video’s van internet en meer in het bijzonder van het YouTube-kanaal [naam kanaal] te verwijderen en verwijderd te houden. Daarnaast moet gedaagde binnen diezelfde termijn de inbreuk op de portretrechten van eiser sub 2 staken en gestaakt houden door diens portret niet langer openbaar te maken in de video’s en bijbehorende thumbnails. Ook moet hij binnen 48 uur de inbreuk op de auteursrechten van eisers staken en gestaakt houden door de in de dagvaarding omschreven beelden niet langer openbaar te maken of te verveelvoudigen. Verder verbiedt de voorzieningenrechter gedaagde om binnen 48 uur na betekening, online en offline, al dan niet met inschakeling van derden, nog langer onrechtmatige en diffamerende uitlatingen over eisers te doen.

Hof Arnhem-Leeuwarden 13 maart 2026, IT 5166; ECLI:NL:GHARL:2026:1544 (Verdachte tegen het vonnis van de politierechter). Het hof spreekt verdachte vrij van smaad naar aanleiding van berichten die op Instagram zijn geplaatst over een politieagent. Hoewel uit het dossier blijkt dat verdachte op enige wijze betrokken was bij het account waarop de berichten verschenen, kan niet met voldoende zekerheid worden vastgesteld dat zij de berichten zelf heeft geplaatst. Het hof acht daarmee niet bewezen dat sprake is van “plegen” van smaad, zoals ten laste gelegd. Omdat het bewijs onvoldoende is om directe daderschap aan te nemen, volgt vrijspraak. Het hof gelast daarnaast de teruggave van de in beslag genomen telefoon en verklaart de benadeelde partij niet-ontvankelijk in de schadevordering

Wat is de stand van zaken op het gebied van AI en auteursrecht? Hoe zit dat met aansprakelijkheid en cybersecurity? Wat is de wisselwerking tussen de AVG en de AI-verordening in de praktijk? En last but not least: zijn we te afhankelijk geworden van Big Tech?

In het nieuwe AI-Forum tijdschrift (2026-1) brengen wij deze actuele thema’s samen.

Met dank aan de bijdragen van:

Daniel Gervais (Vanderbilt University);
Roeland de Bruin (Kienhuis Legal);
Julie Petersen (Artes Law);
Thijs Kelder en Wouter Seinen (Pinsent Masons) ;
Fulco Blokhuis (Boekx);
Menno Weij (The Data Lawyers).

Nog geen abonnee? Het volledige tijdschrift is vrij toegankelijk via ons proefabonnement.

Prejudiciële vragen gesteld aan HvJEU 17 november 2025, IT 5166; C-730/25 (Vinted tegen Valstybinė duomenų apsaugos inspekcija) via MinBuza. Verzoekster is de vennootschap Vinted, exploitant van een online marktplaats. Na klachten van drie gebruikers over geblokkeerde accounts en geweigerde wissing van persoonsgegevens heeft de nationale toezichthoudende autoriteit voor gegevensbescherming (tevens verweerder), inbreuken van de AVG vastgesteld. De Litouwse rechter vraagt het Hof vervolgens om uitleg van diverse bepalingen van de AVG. 

Een cyberincident kan een zorgorganisatie binnen enkele uren ontwrichten: patiëntgegevens zijn niet toegankelijk en/of buitgemaakt door hackers, afspraken moeten worden afgezegd en zorgprocessen komen stil te liggen. Digitale verstoringen raken daarmee direct de continuïteit en kwaliteit van de zorg. Met de komst van de Cyberbeveiligingswet wordt cyberveiligheid nadrukkelijk een bestuurlijke verantwoordelijkheid. Bestuurders moeten aantonen dat hun organisatie cyberrisico’s beheerst en dat zij daarop actief toezicht houden. De Cyberbeveiligingswet treedt naar verwachting al in het tweede kwartaal van 2026 in werking. De overheid adviseert organisaties om nu stappen te zetten om voorbereid te zijn en wij van Nysingh onderschrijven dit advies.

Waarom deze wet er komt
De Cyberbeveiligingswet vormt de Nederlandse implementatie van de Europese NIS2- richtlijn. Deze richtlijn heeft als doel het niveau van cyberbeveiliging binnen de Europese Unie te verhogen, met name in sectoren die van groot maatschappelijk belang zijn, waaronder de zorg. De wet bevat onder meer een zorgplicht voor organisaties om passende maatregelen te nemen om hun netwerk- en informatiesystemen veilig en beheersbaar te houden. Daarnaast geldt een meldplicht bij cyberbeveiligingsincidenten en moeten organisaties zich registreren bij de toezichthouder.

Rb. Rotterdam 3 maart 2026, IT 5165; ECLI:NL:RBROT:2026:1941 ([eiseres] tegen het college van B&W Rotterdam). De Rechtbank Rotterdam oordeelt over een inzageverzoek op grond van artikel 15 AVG met betrekking tot persoonsgegevens van de zoon van [eiseres]. Het college had het verzoek aanvankelijk afgewezen, maar dit later alsnog toegewezen en tijdens de beroepsprocedure aanvullende informatie verstrekt. De rechtbank stelt vast dat de oorspronkelijke besluiten gebrekkig waren gemotiveerd en onvoldoende zorgvuldig tot stand waren gekomen, omdat pas in beroep een nadere zoekslag is verricht en aanvullende stukken zijn overgelegd. Om die reden worden de besluiten vernietigd wegens strijd met de artikelen 3:2 en 3:46 Awb.

Veel van ons leven en werk speelt zich inmiddels af in de digitale wereld. Tegelijkertijd nemen cyberdreigingen toe, denk aan grote datalekken. Daarmee groeit het belang van goede digitale beveiliging voor bedrijven en publieke instellingen. Om het niveau van cyberbeveiliging binnen de Europese Unie te versterken is de NIS2-richtlijn opgesteld, de opvolger van de eerdere NIS1-richtlijn.

In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert strengere verplichtingen voor organisaties in sectoren met een belangrijk maatschappelijk of economisch gewicht. De wet bevat onder meer regels over risicobeheer, meldplichten bij incidenten, bestuurlijke verantwoordelijkheid en toezicht. Daarnaast speelt de samenwerking met zogeheten Computer Security Incident Response Teams (CSIRT’s) een belangrijke rol bij het detecteren en afhandelen van cyberincidenten.

Tegelijkertijd wordt ook de Critical Entities Resilience Directive (CER-richtlijn) in Nederland geïmplementeerd, via de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten zullen naar verwachting gelijktijdig in werking treden en markeren een belangrijke stap in het versterken van de digitale weerbaarheid van vitale sectoren.

Prejudiciële vragen gesteld aan HvJEU 7 november 2025, RB 3988; IT 5161; IEFbe 4162; C/2026/295 (Ryanair DAC en Ryanair Holdings Plc tegen Autorità Garante della Concorrenza e del Mercato (AGCM)) via MinBuza. De Italiaanse mededingingsautoriteit AGCM doet onderzoek naar Ryanair vanwege vermoeden van gedrag dat misbruik van een machtspositie kan opleveren (onder artikel 102 VWEU). De Ierse autoriteit heeft bijstand verleend aan het mededingingsonderzoek, en zij hebben een ‘search warrant’ verkregen voor onderzoek op de kantoren van Ryanair. Ryanair is tegen die beslissing in beroep gegaan, en heeft in februari 2024 bij de AGCM verzocht om inzage in het dossier. Ter discussie staat of artikel 27, lid 2 van verordening 1/2003, dat stelt dat partijen ‘recht hebben tot inzage van het dossier van de Commissie’ ook geldt voor verzoeken die door nationale mededingingsautoriteiten worden ingediend bij andere nationale autoriteiten, krachtens art. 22, lid 1.

Rb Amsterdam 26 maart 2026, IEF 23420, IT 5164; C/13/783613 / KG ZA 26-120 EAM/JD (Offlimits tegen X.AI, X en XIUC). In deze zaak start Stichting Offlimits, die zich richt op het voorkomen en bestrijden van online (seksueel) grensoverschrijdend gedrag en (kinder)misbruik, een kort geding tegen X.AI (ontwikkelaar van de generatieve AI‑chatbot Grok), X Corp (de Amerikaanse X‑entiteit) en XIUC (de Ierse exploitant van X in de EER). Grok is een large language model dat via grok.com, een standalone‑app en de “Grok‑in‑X”‑functie op X beschikbaar is. Gebruikers kunnen er niet alleen tekst mee genereren, maar ook afbeeldingen bewerken en genereren. Aanleiding zijn onder andere een CCDH‑rapport en een artikel in The Guardian waaruit blijkt dat na introductie van de beeldfunctie grote hoeveelheden geseksualiseerde afbeeldingen, inclusief beelden die kinderen lijken te tonen, met Grok zijn gegenereerd en op X geplaatst, waarna de Europese Commissie een DSA‑onderzoek naar X aankondigt. Offlimits stelt dat Grok ondanks door X.AI/X aangekondigde technische maatregelen in januari 2026 nog steeds (1) niet‑consensuele “uitkleedbeelden” van echte personen genereert (deepfake‑stripbeelden) zonder controle op toestemming of leeftijd en (2) kinderpornografisch materiaal of daarop lijkende beelden kan genereren, en vordert daarom verboden en geboden (met hoge dwangsommen) die er in de kern op neerkomen dat Grok en X geen functionaliteit meer mogen aanbieden waarmee deze beelden kunnen worden gegenereerd en verspreid. De voorzieningenrechter acht zich op grond van art. 79 AVG, art. 7 lid 2 Brussel I‑bis en art. 7 Rv internationaal bevoegd, past AVG en Nederlands recht toe (via Rome II, art. 14), en verklaart Offlimits als 3:305a‑stichting ontvankelijk onder het “lichte regime” vanwege het ideële karakter en het ontbreken van schadevorderingen.

Rb. Amsterdam 19 maart 2026, IT 5162; ECLI:NL:RBAMS:2026:2855 ([eiser] tegen ING Bank). In dit kort geding staat de vraag centraal of ING Bank gerechtigd was de bankrelatie met [eiser] te beëindigen en diens persoonsgegevens te registreren in het interne verwijzingsregister (IVR). [eiser] verzette zich tegen de blokkering van zijn rekening, de beëindiging van de bankrelatie en de IVR-registratie. Aanleiding voor het optreden van de bank was dat [eiser] derden trachtte te overtuigen van het bestaan van niet-bestaande bankrekeningen gekoppeld aan burgerservicenummers en betalingsopdrachten initieerde vanaf dergelijke fictieve rekeningen. ING kwalificeerde dit als (pogingen tot) misleiding en stelde dat het vertrouwen in [eiser] daardoor was geschaad.