Rb. Amsterdam 24 december 2025, IT&R 5137; ECLI:NL:RBAMS:2025:11284 (Eisers tegen Risepoint). In dit kort geding bij de rechtbank Amsterdam vorderden negentien voormalige Unibet-spelers dat Risepoint Limited hun op grond van art. 15 AVG inzage zou geven in hun persoonsgegevens, in het bijzonder hun transactiegeschiedenis en transactieoverzichten, zodat zij konden nagaan welke stortingen en opnames zij hadden gedaan. Risepoint had Unibet tot 1 oktober 2021 zonder Nederlandse vergunning op de Nederlandse markt aangeboden. De eisers hadden tussen maart 2024 en januari 2025 inzageverzoeken gedaan, maar daarop was niet tijdig of niet inhoudelijk beslist. De voorzieningenrechter oordeelt eerst dat de Amsterdamse rechter bevoegd is op grond van art. 79 lid 2 AVG en dat ook de vorderingen van buiten Amsterdam wonende eisers gezamenlijk in Amsterdam konden worden behandeld wegens de nauwe samenhang tussen de zaken. Ook is sprake van spoedeisend belang, omdat Risepoint de verzoeken niet binnen de in art. 12 lid 3 AVG genoemde termijn heeft gehonoreerd en zich bovendien in deze procedure op het standpunt stelde daartoe niet verplicht te zijn. De zaak is volgens de rechter ook geschikt voor behandeling in kort geding.

Hof Amsterdam 10 maart 2026, IT&R 5136; ECLI:NL:GHAMS:2026:595 ([appellant] tegen OfficeGrip). In dit arrest van het Gerechtshof Amsterdam staat de vraag centraal of OfficeGrip, als nieuwe ICT-leverancier van [appellant], aansprakelijk is voor schade die zou zijn ontstaan door verlies van data na de overstap van de oude ICT-leverancier [bedrijf 2] naar OfficeGrip. Het hof bekrachtigt het vonnis van de rechtbank en oordeelt dat OfficeGrip niet aansprakelijk is. Doorslaggevend is dat datamigratie geen onderdeel van de opdracht was. Uit de op 11 juni 2019 ondertekende offerte volgt namelijk dat de datamigratietool op nul stond en dus geen deel uitmaakte van de overeenkomst; ook mailboxmigratie maakte bij het aangaan van de overeenkomst niet zonder meer deel uit van de opdracht. Dat in de offerte en latere correspondentie wel over “migratie” werd gesproken, maakt dat volgens het hof niet anders, omdat die term daar zag op migratie in algemene zin of op mailboxstructuren, en niet op het overzetten van alle bestaande data. Integendeel: uit de e-mails van 21, 25 en 26 juni 2019 blijkt juist dat [appellant] de data die “mee moest” zelf diende te kopiëren naar de tijdelijke SharePoint-back-upsite die OfficeGrip had ingericht. Daarmee faalt het kernverwijt dat OfficeGrip contractueel verantwoordelijk was voor het veiligstellen en migreren van alle data.

Rb. Gelderland 7 november 2025, IT&R 5135; ECLI:NL:RBGEL:2025:11897 (de officier van justitie tegen Jasper [naam]). De rechtbank veroordeelt verdachte wegens het primair tenlastegelegde feit: hij heeft in de periode van 5 juni 2022 tot en met 9 februari 2024 een gewoonte gemaakt van het via een geautomatiseerd werk verkopen van goederen of diensten met het oogmerk om zonder volledige levering zich van de betaling daarvan te verzekeren. Bewezen is dat hij via Facebook Marketplace, Marktplaats.nl en 2dehands.net in 29 gevallen kopers tot betaling heeft bewogen voor onder meer afkortzagen, Makita-accu’s, Festool-gereedschap, een Reximex-luchtbuks, Zwarte Cross-tickets, een golfkar, een Garmin-horloge en Milwaukee-accu’s, terwijl levering uitbleef. De rechtbank verwerpt het verweer dat onvoldoende vaststond dat de gebruikte bankrekeningen aan verdachte toebehoorden: zij acht de processen-verbaal over de tenaamstelling betrouwbaar en betrekt daarbij ook de verklaring van verdachte dat hij “allemaal rekeningnummers” moest openen. Voor 25 aangiften staat rechtstreeks vast dat betalingen zijn gedaan op rekeningen op naam van verdachte; voor vier andere aangiften leidt de rechtbank zijn betrokkenheid af uit schakelbewijs, zoals hetzelfde telefoonnummer, terugkerende namen, overeenkomende rekeningnummers en een consistente modus operandi. De rechtbank acht bovendien bewezen dat het nooit de bedoeling is geweest de goederen of diensten te leveren, onder meer omdat verdachte niet meer reageerde op berichten over uitblijvende levering of terugbetaling en uit het dossier niet blijkt van enig begin van daadwerkelijke levering. Medeplegen acht de rechtbank niet bewezen, zodat vrijspraak volgt van dat onderdeel, maar voor het overige wordt het primaire feit bewezen verklaard.

EFTA Court 11 maart 2026, IT 5134; IEFbe 4127; E-20/25 (EFTA Surveillance Authority tegen Noorwegen). Het EFTA Surveillance Authority (ESA) stelde bij het EFTA Court een beroep in wegens niet-nakoming tegen Noorwegen op grond van artikel 31 van de Surveillance and Court Agreement (SCA). ESA verzocht het Hof vast te stellen dat Noorwegen zijn verplichtingen uit artikel 7 van de EER-Overeenkomst niet was nagekomen doordat het Commission Implementing Regulation (EU) 2018/151 niet tijdig in zijn nationale rechtsorde had opgenomen. Deze uitvoeringsverordening, die nadere regels bevat voor het risicobeheer en incidentmelding door digitale dienstverleners in het kader van de NIS-richtlijn (Directive (EU) 2016/1148), werd via Besluit van het Gemengd Comité van de EER nr. 21/2023 toegevoegd aan bijlage XI van de EER-Overeenkomst. Het besluit trad op 1 augustus 2024 in werking, waarna de betrokken EFTA-staten de verplichting hadden de verordening in hun interne rechtsorde op te nemen. Omdat ESA geen kennisgeving had ontvangen van nationale implementatiemaatregelen, werd op 4 november 2024 een formele aanmaning aan Noorwegen gestuurd. Noorwegen erkende in zijn reactie dat de noodzakelijke maatregelen nog niet waren vastgesteld. Vervolgens bracht ESA op 26 maart 2025 een met redenen omkleed advies uit, waarbij Noorwegen tot 26 mei 2025 de tijd kreeg om aan zijn verplichtingen te voldoen. Noorwegen gaf aan dat de implementatiemaatregelen naar verwachting pas in de tweede helft van 2025 in werking zouden treden.  

In deze gratis nieuwsbrief vindt u de jurisprudentie van IT & Recht. Handig voor jurisprudentielunches en als u zelf besprekingen voorbereidt.

Schrijf u hier in voor de gratis wekelijkse nieuwsbrief van IT & Recht

EOB werkt samen met een toonaangevende Europese AI-startup om het octrooiproces te verbeteren en de digitale soevereiniteit te versterken

·        Het EOB zet een geavanceerd optisch tekenherkenningsmodel (OCR) in dat is ontwikkeld door Mistral AI, een leider op het gebied van grensverleggende AI 

·        Dit initiatief maakt de digitale infrastructuur en operationele veerkracht van het EOB sterker, en sluit helemaal aan bij hun AI-beleid en strategisch plan voor 2028 

München, 11 maart 2026 - Het Europees Octrooibureau (EOB) heeft vandaag een belangrijke stap gezet in het gebruik van de nieuwste kunstmatige intelligentie (AI) om de kwaliteit en efficiëntie van het octrooiverleningsproces nog verder te verbeteren. De experts van het EOB en de technische teams van Mistral AI hebben samen een nieuwe oplossing bedacht met de nieuwste optische tekenherkenningstechnologie (OCR). De oplossing is inmiddels naadloos geïntegreerd in de systemen van het EOB om niet-machinaal leesbare octrooidocumenten om te zetten in gestructureerde octrooigegevens voor een betere doorzoekbaarheid en analyse ervan.  

"Deze samenwerking helpt bij de digitale transformatie van het EOB en versterkt het innovatievermogen van Europa, terwijl we ervoor zorgen dat belangrijke AI-infrastructuur onder Europese controle blijft", zei EOB-voorzitter António Campinos. "Ons gezamenlijke plan laat zien hoe Europese samenwerkingsverbanden op een verantwoorde en effectieve manier AI kunnen gebruiken om openbare diensten te verbeteren, het concurrentievermogen te vergroten en een sterk innovatie-ecosysteem te ondersteunen." 

Hof Amsterdam 10 maart 2026, IT&R 5132; ECLI:NL:GHAMS:2026:594 (META PLATFORMS IRELAND LTD. tegen STICHTING BITS OF FREEDOM). Deze zaak tussen Meta Platforms Ireland Ltd. en Stichting Bits of Freedom betreft een kort geding over de manier waarop Facebook en Instagram hun aanbevelingssystemen tonen aan gebruikers. Bits of Freedom stelde dat Meta in strijd handelde met de regels van de Digital Services Act (DSA), omdat gebruikers niet op een duidelijke en blijvende manier konden kiezen voor een niet-geprofileerde feed, zoals een chronologische tijdlijn. In eerste aanleg oordeelde de voorzieningenrechter van de rechtbank Amsterdam op 2 oktober 2025 dat Meta binnen twee weken maatregelen moest nemen om deze keuzeoptie duidelijk en permanent beschikbaar te maken op bepaalde onderdelen van Facebook en Instagram. Aan dit bevel werd een dwangsom verbonden van €100.000 per dag met een maximum van €5.000.000. Meta ging hiertegen in hoger beroep en voerde onder meer aan dat Bits of Freedom geen spoedeisend belang meer had en dat de interface van de platforms al voldoende mogelijkheden bood om naar een niet-geprofileerde feed te schakelen. Bits of Freedom stelde in incidenteel hoger beroep dat het maximum van de dwangsom te laag was en dat de keuzeopties voor gebruikers nog steeds niet voldoende toegankelijk waren.

Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Veel van ons leven en werk speelt zich inmiddels af in de digitale wereld. Tegelijkertijd nemen cyberdreigingen toe, denk aan grote datalekken. Daarmee groeit het belang van goede digitale beveiliging voor bedrijven en publieke instellingen. Om het niveau van cyberbeveiliging binnen de Europese Unie te versterken is de NIS2-richtlijn opgesteld, de opvolger van de eerdere NIS1-richtlijn.

In Nederland wordt deze richtlijn geïmplementeerd via de Cyberbeveiligingswet (Cbw), die naar verwachting in het tweede kwartaal van 2026 in werking treedt. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert strengere verplichtingen voor organisaties in sectoren met een belangrijk maatschappelijk of economisch gewicht. De wet bevat onder meer regels over risicobeheer, meldplichten bij incidenten, bestuurlijke verantwoordelijkheid en toezicht. Daarnaast speelt de samenwerking met zogeheten Computer Security Incident Response Teams (CSIRT’s) een belangrijke rol bij het detecteren en afhandelen van cyberincidenten.

Tegelijkertijd wordt ook de Critical Entities Resilience Directive (CER-richtlijn) in Nederland geïmplementeerd, via de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten zullen naar verwachting gelijktijdig in werking treden en markeren een belangrijke stap in het versterken van de digitale weerbaarheid van vitale sectoren.

Rb. Rotterdam 6 maart 2026, IT&R 5131; ECLI:NL:RBROT:2026:2165 (TicketSwap tegen de ACM). De Rechtbank Rotterdam beoordeelt in deze zaak het beroep van TicketSwap tegen het besluit van de ACM om toezeggingen van Ticketmaster bindend te verklaren op grond van artikel 12h Instellingswet ACM. Aanleiding was een klacht en later een handhavingsverzoek van TicketSwap over de doorverkoop van door Ticketmaster uitgegeven mobile-only tickets. De ACM heeft in haar onderzoek geen overtreding vastgesteld, maar wel drie mededingingsrisico’s geïdentificeerd: een gebrek aan concurrentie op de secundaire ticketmarkt, het ontbreken van de mogelijkheid om mobile-only tickets op Ticketmasters eigen doorverkoopplatform onder de oorspronkelijke prijs aan te bieden, en het risico dat effectieve concurrentie in de praktijk wordt bemoeilijkt door deactivering van de transferfunctionaliteit en gebrekkige informatievoorziening. Vervolgens heeft Ticketmaster toezeggingen gedaan, onder meer over het gebruik van de transferfunctionaliteit, verkoop onder de originele prijs en informatieverstrekking; die toezeggingen heeft de ACM op 20 december 2024 bindend verklaard. De rechtbank stelt voorop dat deze bevoegdheid van de ACM discretionair is en daarom terughoudend moet worden getoetst: beslissend is of de ACM zich in redelijkheid op het standpunt heeft kunnen stellen dat de toezeggingen de door haar vastgestelde mededingingsrisico’s adequaat wegnemen.