Persoonsgegevens  

Rb. Gelderland 15 september, IT 4968; ECLI:NL:RBGEL:2025:7812 ([eiser] tegen [gedaagde 1] en [gedaagde 2]). De voorzieningenrechter van de Rechtbank Gelderland oordeelt in dit kort geding over een vordering van een slachtoffer van boilerroomfraude. De eiseres heeft bijna één miljoen euro overgemaakt naar crypto-exchanges, waarna de aangekochte cryptovaluta via verschillende blockchainadressen zijn doorgesluisd en uiteindelijk terechtkwamen bij de instant-exchanges (swapdiensten) van gedaagden, die gevestigd zijn op de Seychellen en in Costa Rica. Zij vordert dat deze platforms de identificerende gegevens verstrekken van de gebruikers die betrokken waren bij de transacties. De rechtbank stelt vast dat zij rechtsmacht heeft op grond van art. 6 sub e Rv, omdat de schade in Nederland is ingetreden. Op grond van art. 10:159 BW is Nederlands recht van toepassing. Ondanks het internationale karakter wordt verstek verleend, omdat de dagvaarding de gedaagden aantoonbaar tijdig heeft bereikt. De rechtbank acht het niet voldoen aan de gevraagde informatieverstrekking in deze omstandigheden mogelijk onrechtmatig.

Gerecht EU 3 september 2025, IT 4963; ECLI:EU:T:2025:831 (Philippe Latombe tegen European Commission). Het Gerecht van de Europese Unie verwerpt het beroep van de Franse Europarlementariër Philippe Latombe tegen het besluit van de Europese Commissie over het EU–VS Data Privacy Framework (DPF). Latombe voert aan dat dit nieuwe stelsel, waarmee de Commissie in juli 2023 opnieuw een “adequaat beschermingsniveau” voor doorgifte van persoonsgegevens naar de Verenigde Staten vaststelt, niet wezenlijk verschilt van de eerder door het Hof van Justitie vernietigde regelingen Safe Harbour en Privacy Shield. Volgens hem biedt het DPF onvoldoende bescherming tegen grootschalige surveillance door Amerikaanse inlichtingendiensten, is het nieuwe Amerikaanse toezichtorgaan niet onafhankelijk genoeg, en biedt het onvoldoende waarborgen op het gebied van geautomatiseerde besluitvorming, beveiliging van persoonsgegevens en risicobeoordeling in vergelijking met de Algemene verordening gegevensbescherming (AVG). Ook stelt hij dat de Commissie haar beoordelingsplicht schendt door te weinig rekening te houden met recente rechtspraak en door de verplichtingen uit het EU-Handvest en artikel 8 EVRM te negeren.

Rb. Gelderland 5 september 2025, IT 4951; ECLI:NL:RBGEL:2025:7488 (Innova Energie B.V. tegen [gedaagde 1] en [gedaagde 2]). Innova exploiteert een onderneming die is gericht op de levering van gas en elektriciteit. [gedaagde 1], waarvan [gedaagde 2] enig bestuurder en aandeelhouder is, verricht activiteiten op de markt voor het telefonisch aanbieden van energiecontracten aan consumenten en neemt opdrachten aan om energiecontracten aan te bieden. In een samenwerkingsovereenkomst met CCTr, daarin aangeduid als “Partner”, is onder meer bepaald dat partner verantwoordelijk is voor zorgvuldige omgang met systemen en data, binnen de grenzen van de AVG en overige wetgeving. Gegevensverwerking moet voldoen aan de AVG, de Telecommunicatiewet en eventuele branchecodes, en op verzoek dient partner bewijs te overleggen van opt-in en databron. Bij brief van 20 juni 2025 schrijft Innova dat klanten van haar ongevraagd zijn benaderd. Daarbij is volgens Innova gesuggereerd dat Innova failliet zal gaan of leveringstarieven zal verhogen, en is onjuist meegedeeld dat namens Innova werd gebeld. Innova stelt dat ongevraagd telefonische communicatie voor commerciële doeleinden naar natuurlijke personen verboden is, tenzij voor elk ongevraagd telefoongesprek voorafgaande toestemming is verkregen, en heeft [gedaagde 1] gesommeerd om alle onrechtmatige activiteiten te staken.

Rb. Rotterdam 23 juli 2025; IT 4941; ECLI:NL:RBROT:2025:9088 (SDBN tegen Amazon). De Rechtbank Rotterdam heeft in een collectieve actie van de Stichting Data Bescherming Nederland (SDBN) tegen Amazon prejudiciële vragen gesteld aan het Hof van Justitie van de EU. SDBN stelt dat Amazon sinds 25 mei 2018 persoonsgegevens van circa vijf miljoen Nederlandse accounthouders in strijd met de AVG verwerkt en vordert dat Amazon dit onrechtmatig handelen staakt en schade vergoedt. De procedure valt onder de WAMCA (Wet afwikkeling massaschade in collectieve actie), die sinds 2020 ook schadevergoedingsvorderingen in collectieve acties mogelijk maakt. Kernpunt is of SDBN voldoet aan de ontvankelijkheidseisen van de WAMCA, waaronder de gelijksoortigheid van belangen en representativiteit van de achterban. Amazon betwist dat, onder meer vanwege het ontbreken van voldoende steun vanuit de achterban en de afhankelijkheid van procesfinanciering. De rechtbank oordeelde dat SDBN grotendeels voldoet aan de formele WAMCA-vereisten, maar hield de beoordeling van representativiteit en gelijksoortigheid aan in afwachting van uitleg door het HvJEU.

Rb. Amsterdam 4 februari 2020, IT 4940; ECLI:NL:RBAMS:2020:3786 (Eiseres tegen de korpschef van politie). Eiseres verzoekt de politie om inzage in alle over haar geregistreerde persoonsgegevens, gebaseerd op de AVG. Ze wil weten welke gegevens er zijn, het doel van gebruik, aan wie ze zijn verstrekt, hoe ze worden beveiligd, de herkomst, de opslagduur en of er automatische besluitvorming plaatsvindt. Ze vraagt ook om inzage in verslagstukken van gesprekken met de wijkagent. De korpschef interpreteert het verzoek echter als een inzageverzoek op grond van artikel 25 van de Wet politiegegevens (Wpg) en verstrekt een overzicht van alle registraties in het Bedrijfsprocessensysteem van de politie. Oudere gegevens zijn verwijderd of beperkt raadpleegbaar, en communicatie met derden zoals de GGD vindt plaats op basis van art. 20 Wpg en het convenant Zorg en Overlast. Er is geen sprake van automatische besluitvorming en er zijn passende beveiligingsmaatregelen getroffen.

RvS 30 juli 2025, IT 4939; ECLI:NL:RVS:2025:3561 (Appellant sub 1 tegen de burgemeester van Eindhoven). Appellant had de burgemeester van Eindhoven op grond van de Wet open overheid verzocht om informatie over een vermeend buurtonderzoek aan de Lorrainelaan. Zij wilde weten of er een buurtonderzoek aan de Lorrainelaan had plaatsgevonden en vroeg tevens om alle meldingen die over haar zouden zijn gedaan en wat daarmee was gebeurd. Naar aanleiding van dit verzoek verstrekte de gemeente een overzicht van meldingen van woonoverlast, waarin de gegevens van melders waren geanonimiseerd. In dat overzicht stond ook een adres vermeld dat betrekking had op een boom in de openbare ruimte. De appelant stelde dat de vermelding van dit adres in strijd was met de Algemene verordening gegevensbescherming, omdat het haar adres betrof en daarmee een persoonsgegeven vormde. De rechtbank oordeelde dat een adres in dit overzicht een persoonsgegeven kon zijn, omdat het in verband was gebracht met meldingen van woonoverlast en eenvoudig te herleiden viel tot de eigenaar van het pand. De rechtbank achtte dit in strijd met de AVG en droeg de burgemeester op een nieuw besluit te nemen. Het beroep werd gegrond verklaard en een verzoek om schadevergoeding werd afgewezen.

Raad van State 30 juli 2025, IT 4938; ECLI:NL:RVS:2025:3578 (Appellante tegen de minister voor Rechtsbescherming). De minister voor Rechtsbescherming heeft een verzoek van [appellante] op grond van de Wet justitiële en strafvorderlijke gegevens (Wjsg) toegewezen voor inzage in gegevens, maar het verzoek om schadevergoeding wegens een foutieve brief van het CJIB afgewezen. Die brief uit juli 2020 over een verlenging van een taakstraf was het gevolg van een onrechtmatige verwerking van persoonsgegevens, omdat een uitspraak waarin de taakstraf was vernietigd niet in de systemen was verwerkt. [appellante] voerde aan dat sprake was van een schending van de Algemene verordening gegevensbescherming (AVG) en dat zij daardoor recht had op schadevergoeding. De Afdeling bestuursrechtspraak oordeelde echter dat, hoewel de gegevens gedurende twee jaar onrechtmatig zijn verwerkt en dit voor [appellante] stress en ongemak heeft veroorzaakt, niet is gebleken van een aantasting in haar eer, goede naam of persoon. Daarom hoefde de minister geen immateriële schadevergoeding toe te kennen. Wel stelde de Afdeling vast dat de totale procedure vier jaar en vijf maanden heeft geduurd, waardoor de redelijke termijn met vijf maanden is overschreden. Hiervoor is een schadevergoeding van € 500,- toegekend, waarvan € 333,33 ten laste van de Staat en € 166,67 ten laste van de minister komt. Het hoger beroep is ongegrond en de uitspraak van de rechtbank is bevestigd.

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Rb. Gelderland 15 juli, IT 4933; ECLI:NL:RBGEL:2025:5834 (Openbaar Ministerie tegen [verdachte]). De rechtbank Gelderland veroordeelt op 15 juli 2025 een man voor het vervaardigen, beheren en aanbieden van betaalfraude-, phishing- en tikkiepanelsoftware. Deze software is ontworpen om inloggegevens van onder andere de Belastingdienst en diverse banken te verkrijgen, waarmee bank- en betaalfraude kan worden gepleegd. Daarnaast had hij 10.000 combinaties van gebruikersnamen en wachtwoorden van Netflix- en VPN-gebruikers in bezit, wetende dat deze bestemd waren voor identiteitsfraude of oplichting. De zaak wordt afgedaan op basis van procesafspraken tussen het Openbaar Ministerie, de verdachte en zijn raadsman. Daarbij wordt onder meer overeengekomen dat de verdachte geen onderzoekswensen zou indienen, de feiten niet zou ontkennen, geen inhoudelijk verweer zou voeren, afstand zou doen van in beslag genomen goederen en af zou zien van hoger beroep.

Hof Den Haag 1 april 2025, IT 4931; ECLI:NL:GHDHA:2025:1243 (Verzoekster tegen Klaverblad). Verzoekster had bij Klaverblad een rechtsbijstandsverzekering. Naar aanleiding van vier claims registreerde Klaverblad persoonsgegevens, waaronder schadebedragen, in de databank van Stichting CIS. Verzoekster verzocht verwijdering van de opgenomen bedragen, stellende dat het ging om afkoop- en schikkingsbedragen, en dat opname strijdig was met de AVG, het CIS Privacyreglement en het CIS Gebruikersprotocol.De rechtbank wees het verzoek af. In hoger beroep oordeelt het hof dat het bedrag in claimmelding 1 (€ 3.762,40), dat Klaverblad betaalde ter afkoop van een verzekerde zaak, terecht is geregistreerd als feitelijk uitgekeerd schadebedrag. Het beroep faalt op dat punt. De bedragen in claimmeldingen 2, 3 en 4 (€ 10.000,- en tweemaal € 2.500,-) betroffen echter een schikking in het kader van een vaststellingsovereenkomst ter beëindiging van het conflict tussen partijen zelf, en niet een uitkering uit hoofde van de verzekering. Deze bedragen kwalificeren daarom niet als feitelijk uitgekeerd schadebedrag ex art. 4 CIS Privacyreglement. Nu Klaverblad geen zelfstandig belang bij de opname had, is de registratie onrechtmatig onder art. 6 lid 1 sub f AVG. Het hof gelast verwijdering van die drie bedragen uit de CIS-databank. De gevorderde dwangsom wordt afgewezen vanwege vrijwillige nakoming, evenals de gevraagde schadevergoeding wegens onvoldoende onderbouwing. Klaverblad wordt veroordeeld in de proceskosten in beide instanties.