Persoonsgegevens  

HvJ EU Conclusie A-G 1 augustus 2025, IT 5055; ECLI:EU:C:2025:623 (Integritetsskyddsmyndigheten tegen AB Storstockholms Lokaltrafik). AB Storstockholms Lokaltrafik (openbaar vervoer Stockholm) rust haar kaartcontroleurs uit met bodycams. Deze nemen continu beeld en geluid op en worden gebruikt bij het uitschrijven van boetes en ter voorkoming en documentatie van agressie. Opnames worden standaard na één minuut gewist, tenzij de controleur de wissing handmatig onderbreekt (bijvoorbeeld bij een boete of bedreiging). De Zweedse Autoriteit voor Gegevensbescherming (Integritetsskyddsmyndigheten) oordeelde dat SL tussen 2018 en 2021 de AVG had geschonden, onder meer doordat passagiers onvoldoende waren geïnformeerd over de gegevensverwerking. SL kreeg een boete van 16 miljoen SEK, waarvan 4 miljoen SEK specifiek wegens schending van de informatieplicht van artikel 13 AVG. De prejudiciële vraag die gesteld werd: "Is bij het verzamelen van persoonsgegevens met bodycams artikel 13 AVG (gegevens rechtstreeks van de betrokkene) of artikel 14 AVG (gegevens niet van de betrokkene verkregen) van toepassing?" 

Prejudiciële vragen gesteld aan HvJEU 2 oktober 2025, IEF 23180; IEFbe 4071; IT 5050; C-643/25 (Verbraucherzentrale Bundesverband) via MinBuza. Verweerder is Meta Platforms Ireland, beheerder van Facebook. Verzoekster is een vereniging van consumentenbeschermingsorganisaties, en bekritiseert de vermelding op Facebook waar staat: ‘Facebook is en blijft gratis’. Volgens verzoekster is dit oneerlijk en misleidend, omdat de gebruiker ‘betaalt’ met het beschikbaar stellen van zijn persoonsgegevens. Het is de vraag of het betalen met persoonsgegevens valt onder de oneerlijke handelspraktijk van punt 20 van bijlage I bij richtlijn 2005/29. 

Gegevens die worden verkregen uit of gegenereerd door een verbonden product of een gerelateerde dienst vallen sinds 21 november 2025 niet meer onder het sui generis databankrecht van de Databankenwet.

Het nieuwe artikel 8a Databankenwet luidt:

“Het recht, bedoeld in artikel 2, eerste lid, is niet van toepassing wanneer gegevens worden verkregen uit of gegenereerd door een verbonden product of gerelateerde dienst als bedoeld in artikel 43 van Verordening (EU) 2023/2854 (...).”

Dat blijkt uit de Uitvoeringswet dataverordening van 29 oktober 2025, ter uitvoering van Verordening (EU) 2023/2854 (Dataverordening) van het Europees Parlement en de Raad van 13 december 2023 betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data.

Rb. Rotterdam 29 oktober 2025, IT 5031; ECLI:NL:RBROT:2025:13090 (officier van justitie tegen [verdachte]). De Rechtbank Rotterdam veroordeelt verdachte voor grootschalige cyberfraude tegen klanten van vermogensbeheerder Robeco en voor het kopen en voorhanden hebben van zogenoemde “bots” via Genesis Market. In de Robeco-zaak (2019–2021) logden verdachte en mededaders met gestolen inloggegevens in op MijnRobeco-accounts, wijzigden contact- en rekeninggegevens, deden zich telefonisch en per e-mail voor als klanten, lieten beleggingen verkopen en saldo’s overboeken naar rekeningen van fraudeurs, waardoor circa € 230.000 verdween. De rechtbank acht daarmee computervredebreuk, oplichting en diefstal met valse sleutel bewezen. Op telefoons en laptops die aan verdachte worden toegerekend stonden inloggegevens, persoonsgegevens en chats over de fraude; verweren over een vormverzuim bij de doorzoeking en dat vooral de ex-partner verantwoordelijk zou zijn, worden verworpen. Eén tenlastegelegd feit (feit 3, art. 231b Sr) leidt echter tot ontslag van alle rechtsvervolging omdat de tenlastelegging niet alle wettelijke bestanddelen bevat. Daarnaast acht de rechtbank bewezen dat verdachte tussen 2018 en 2022 via drie Genesis-accounts in totaal 377 bots kocht en de daarop aanwezige inloggegevens en cookies van derden verwierf en voorhanden had met het oogmerk daarmee computervredebreuk en verwante cyberdelicten te plegen.

Prejudiciële vragen gesteld aan HvJEU 27 augustus 2025, IT 5021; IEFbe 4044; C-568/25 (Verein für Konsumenteninformation tegen Universal Versand) via Minbuza. Universal Versand is een postorderbedrijf en sluit voornamelijk digitaal koopovereenkomsten met consumenten. Bij de digitale aankopen doet het bedrijf een kredietwaardigheidscontrole wanneer de consument kiest voor een onveilige betaalmethode, zoals koop op rekening. Bij de controle wordt er een ‘rating’ gegeven over de kans op wanbetaling door de consument. Deze rating wordt gebaseerd op een combinatie van gegevens, zoals leeftijd en adresgegevens. Bij een slechte rating wordt de gekozen onveilige betaalmethode geweigerd. De Verein für Konsumenteninformation stelt dat Universal Versand hiermee stelselmatig artikel 22, lid 1 AVG schendt. In dat artikel staat dat een betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden. De Oostenrijkse rechter vraagt het Hof om uitleg van artikel 22 AVG.

Prejudiciële vragen gesteld aan het HvJEU 9 september 2025, IT 5020; IEFbe 4043; C-594/25 (KL tegen Vodafone) via Minbuza. KL heeft met Vodafone, een telecommunicatiebedrijf, in 2021 een contract afgesloten. Daarna bleek dat het bedrijf verschillende persoonsgegevens van KL heeft doorgegeven aan een kredietinformatiebureau, waaronder adresgegevens en informatie over het contract. Het bureau heeft deze gegevens gebruikt voor het opstellen van profielen voor het inschatten van frauderisico’s. KL vordert schadevergoeding op grond van artikel 82 AVG. De Duitse rechter heeft twijfels over de vraag of artikel 6, lid 1, onder f), AVG een voldoende nauwkeurige grondslag kan vormen voor de massale doorzending van de ‘positieve gegevens’ tussen particulieren in het kader van fraudevoorkoming. 

AG HvJ EU 23 oktober 2025, gevoegde zaken C-258/23, C-259/23 en C-260/23, IT 5016; ECLI:EU:C:2025:814; (IMI tegen AdC; Synlabhealth tegen AdC; SIBS e.a. tegen AdC). In deze gevoegde zaken onderzoekt de AG of een nationale mededingingsautoriteit tijdens een bedrijfsinspectie zakelijke e-mails mag doorzoeken en kopiëren zonder voorafgaande rechterlijke machtiging. De Portugese mededingingsautoriteit (AdC) nam tijdens onderzoeken naar mogelijke schendingen van artikel 101 en 102 VWEU e-mails uit de werkmail van ondernemingen in beslag op grond van de nationale mededingingswet, met toestemming van het Openbaar Ministerie maar zonder voorafgaande rechterlijke toetsing. De verwijzende rechter wil weten of dit verenigbaar is met artikel 7 en 8 van het EU-Handvest, met name gezien het arrest Landeck (2024), waarin het Hof oordeelde dat toegang tot alle gegevens op een mobiele telefoon een zeer ernstige inmenging vormt waarvoor steeds voorafgaande rechterlijke toetsing nodig is.

Rb. Zeeland-West-Brabant 4 november 2025, IEF 23094; IT 5011; ECLI:NL:RBZWB:2025:7551 ([verzoeker] tegen KNVvL). [verzoeker] heeft deelgenomen aan een opleidingstraject bij [bedrijf]. Op 14 mei 2025 is [verzoeker] tijdens een parachutesprong, die onderdeel uitmaakte van het opleidingstraject, ernstig gewond geraakt. [verzoeker] heeft in juni een verzoek ingediend bij de Koninklijke Nederlandse Vereniging voor Luchtvaart (hierna: KNVvL) tot inzage of verstrekking van het incidentenrapport. [verzoeker] wil het rapport controleren en een mening vormen over het ongeval, waar hij geen herinnering meer aan heeft. De KNVvL heeft dit verzoek afgewezen. De KNVvL stelt zich op het standpunt dat gegevens over het ongeval geen persoonsgegevens zijn. Daarnaast voert zij aan dat het voor het creëren van een veilige omgeving waarin personeel zonder angst voor represailles of straf fouten of gevaarlijke situaties kunnen melden, van belang is dat deze meldingen vertrouwelijk kunnen worden gedaan. 

Rb. Rotterdam 16 oktober 2025, IT 5010; ECLI:NL:RBROT:2025:12843 ([verzoeker] tegen Inforsa). De Rechtbank Rotterdam heeft het verzoek van een gedetineerde ([verzoeker]) afgewezen om GGZ Reclassering Inforsa (onderdeel van Stichting Arkin) te bevelen passages uit een reclasseringsadvies te rectificeren of te verwijderen. Het Openbaar Ministerie had op 15 april 2025 de beslissing over zijn voorwaardelijke invrijheidstelling met 150 dagen uitgesteld, mede op basis van dit advies. Volgens de rechtbank biedt artikel 16 AVG alleen een recht op correctie van objectief en eenvoudig vaststelbaar onjuiste persoonsgegevens; meningen, indrukken of conclusies vallen daarbuiten. Voor verwijdering geldt de uitzondering van artikel 17 lid 3(b) AVG, omdat Inforsa persoonsgegevens verwerkt uit wettelijke plicht en algemeen belang, namelijk advisering over strafrechtelijke beslissingen. De zorgvuldigheid van het advies zelf staat niet ter beoordeling.

Rb. Rotterdam 8 september 2025, IT 4996; ECLI:NL:RBROT:2025:10783 ([eiseres] tegen de minister van Financiën). De rechtbank heeft geoordeeld over een zaak waarin eiseres van de minister van Financiën (Belastingdienst) inzage wilde in haar persoonsgegevens in de Fraude Signalering Voorziening (FSV), op basis van artikel 15 AVG. De minister had haar een overzicht gegeven van de gegevens die over haar in de FSV stonden (zoals naam, adres, BSN en de aanleiding voor het signaal), en verklaard dat haar gegevens in 2019 in de FSV zijn opgenomen naar aanleiding van een analyse van haar aangifte inkomstenbelasting 2019. De minister stelde ook dat haar gegevens niet zijn gedeeld met derden, dat zij niet was gekoppeld aan “projectcode 1043”, en dat er geen andere vergelijkbare systemen meer bestaan waarin haar gegevens worden verwerkt. De rechtbank vindt dat de minister hiermee voldoende inzage heeft gegeven in de zin van de AVG. Dat eiseres vermoedt dat haar FSV-registratie heeft geleid tot onderzoeken door andere instanties en nadelige behandeling (zoals adrescontroles door de gemeente) is onvoldoende om te concluderen dat de Belastingdienst wél gegevens heeft gedeeld of nog meer gegevens achterhoudt. De rechtbank ziet dus geen reden om de minister te verplichten méér informatie of bewijsstukken te geven.