Persoonsgegevens  

Rb. Den Haag 19 december 2024, IT 4792; ECLI:NL:RBDHA:2024:23100 (Verzoekster tegen Stripe). In deze zaak wordt Stripe, een betaaldienstverlener, veroordeeld tot afgifte van gegevens van een webshop aan verzoekster. De feiten zijn als volgt. Verzoekster heeft op 2 december 2022 een bestelling geplaatst ter waarde van iets minder dan honderd euro bij een webshop. Het gekochte goed is niet geleverd. Bij de aankoop hiervan heeft verzoekster gebruikgemaakt van de betalingsdiensten van Stripe. In april 2024 heeft verzoekster op grond van artikel 15 lid 1 onder c AVG aan Stripe informatie over de webshop verzocht, zoals het handelsregisternummer, de handelsnaam en het vestigingsadres van de webshop. Stripe zag geen aanleiding om op grond van de AVG meer gegevens te verstrekken dan het e-mailadres en de website. Dit verzoekt verzoekster nu bij de rechtbank, aangezien zij een rechtsvordering wil instellen tegen de webshop. Stripe is bereid mee te werken, maar kan zich niet vinden in de door verzoekster gekozen wettelijke grondslag en stelt dat zij geen verwerkingsverantwoordelijke is in de zin van art. 15 AVG. Op grond van art. 843a Rv zou dit volgens Stripe wel kunnen. De rechtbank vult op grond van art. 25 Rv de rechtsgrond aan. Aan de voorwaarden van afgifte die volgen uit art. 843a Rv is voldaan en dus moet moet Stripe het handelsregisternummer, de handelsnaam, het vestigingsadres van de webshop en de volledige naam van de natuurlijk persoon die de eigenaar is van de webshop verstrekken.

Hof Arnhem-Leeuwarden 25 februari 2025, IT 4790; ECLI:NL:GHARL:2025:1046 (Hof van Twente tegen Switch) Gemeente Hof van Twente heeft systeembeheer en aanverwante ICT-beheerdienstverlening na een Europese aanbestedingsprocedure in 2018 uitbesteed aan Switch. Op 1 december 2020 heeft bij de gemeente een cyberaanval plaatsgevonden. Daarbij zijn de systemen van het netwerk van de gemeente en de back-up versleuteld en ontoegankelijk gemaakt en vele servers verwijderd. De gemeente houdt Switch daarvoor verantwoordelijk. De gemeente meent dat Switch tekortgeschoten is in de nakoming van haar verplichtingen uit de overeenkomst van partijen, althans haar zorgplicht als ICT-beheerder heeft geschonden, althans onrechtmatig heeft gehandeld. Op grond daarvan vordert de gemeente ontbinding van de overeenkomst, terugbetaling van wat zij op grond van de overeenkomst heeft betaald en schadevergoeding. De rechtbank heeft de vorderingen van de gemeente afgewezen, omdat zij van mening is dat Switch niet tekortgeschoten is in de nakoming van de verplichtingen uit de overeenkomst, noch haar zorgplicht heeft geschonden, en er evenmin sprake is van onrechtmatig handelen.

Rb. Midden-Nederland 8 januari 2025, IT 4787;ECLI:NL:RBMNE:2025:91 (Eisers tegen Minister van Financiën). Vijf eisers hebben op 14 februari 2023 een verwijderingsverzoek ingediend op grond van artikel 17 van de AVG. Dit verzoek ziet op verwijdering van de BSN-nummers van eisers uit de ambtenarentabel. Het verzoek werd door de minister afgewezen. De ambtenarentabel was een instrument om de fiscale integriteit te waarborgen door medewerkers van het ministerie van Financiën en de Belastingdienst te identificeren. De tabel bevatte BSN-nummers van ambtenaren, hun fiscale partners en hun kinderen. Inmiddels is de tabel niet meer operationeel, maar er wordt wel een kopie van 2020 bewaard in een digitale kluis. Eisers voeren aan dat hun BSN-nummers onterecht in deze tabel staan. De minister heeft geen gerechtvaardigd belang bij het bewaren van de persoonsgegevens en mocht het verzoek om de BSN-nummers te verwijderen dan ook niet afwijzen. 

HvJ EU 9 januari 2025, IT 4786; ECLI:EU:C:2025:3 (DSB tegen F R) F R heeft bij de Österreichische Datenschutzbehörde (DSB) een klacht ingediend wegens schending van artikel 15 AVG omdat een vennootschap niet tijdig op zijn verzoek om inzage van persoonsgegevens had geantwoord. DSB weigerde de klacht te behandelen omdat zij deze als buitensporig beschouwde, gezien het feit dat F R in een periode van twintig maanden 77 gelijksoortige klachten had ingediend. F R stelde beroep in tegen dit besluit, waarna de zaak uiteindelijk bij het Verwaltungsgerichtshof terechtkwam. De prejudiciële vragen aan het Hof van Justitie zijn of het begrip verzoek in artikel 57 lid 4 AVG ook klachten omvat wanneer een verzoek als buitensporig kan worden beschouwd en of de toezichthoudende autoriteit vrij is in de keuze om een vergoeding aan te rekenen of de behandeling te weigeren bij buitensporige verzoeken.

Rb. Amsterdam 17 januari 2025, IT 4781; ECLI:NL:RBAMS:2025:882 (Eiser tegen Hoist). In juli 2008 sloot eiser een doorlopend krediet van € 28.000 af bij DNV (later Hoist), maar vanaf januari 2010 ontstonden betalingsproblemen, wat leidde tot een achterstand. DNV registreerde in december 2014 een achterstandscode A in het BKR en in april 2015 een bijzonderheidscode 2, wat duidt op een opeisbare vordering. In januari 2016 diende eiser een klacht in bij het Kifid over het krediet, maar deze werd in augustus 2016 afgewezen. In maart 2021 trad eiser toe tot de WSNP, wat in maart 2024 succesvol werd afgerond, waarna Hoist de vordering grotendeels afschreef en een bijzonderheidscode 3 registreerde, die tot maart 2029 zichtbaar blijft. Op 17 april 2024 verzocht eiser Hoist om de registratie te verwijderen, maar dit verzoek werd afgewezen. Eiser vordert in deze procedure de doorhaling van de registratie bij het BKR te Tiel, alsmede een schadevergoeding ter hoogte van € 10.500 inclusief de wettelijke rente over het gevorderde bedrag vanaf 5 juli 2024 en veroordeling van Hoist in de proceskosten en nakosten.

Rb. Rotterdam 29 januari 2025, IT 4780; ECLI:NL:RBROT:2025:1497 (Blauw tegen Nebu) Blauw is een marktonderzoeksbureau. Nebu is een softwareontwikkelingsbedrijf gericht op het faciliteren van het doen van marktonderzoeken en data collection. Blauw maakt sinds 2013 gebruik van de diensten van Nebu. In 2018 hebben partijen een door Blauw opgestelde Data Processing Agreement ondertekend. In de periode van vrijdag 10 tot en met zaterdag 11 maart 2023 heeft zich bij Nebu een veiligheidsincident voorgedaan. Bij dat incident zijn mogelijk data van Blauw betrokken geraakt die zij bij Nebu had opgeslagen. Blauw stelt dat Nebu tekortgeschoten is in het treffen van voldoende beveiligingsmaatregelen, zoals Multi-Factor Authenticatie (MFA) en datascheiding, en dat Nebu na het incident niet adequaat heeft gecommuniceerd. Blauw vordert onder andere een verklaring voor recht dat Nebu aansprakelijk is voor de geleden schade en een schadevergoeding van € 505.803,15. Daarnaast vordert Blauw dat de overeenkomst met Nebu rechtsgeldig is ontbonden wegens wanprestatie. Nebu betwist de vorderingen en stelt dat zij adequaat heeft gehandeld en dat de beveiligingsmaatregelen ten tijde van het incident conform de gangbare normen waren.

Rb. Amsterdam 2 februari 2025, IT 4778; ECLI:NL:RBAMS:2025:700 (LinkedIn c.s. tegen gedaagde) Bij vonnis van 7 juni 2024 heeft de voorzieningenrechter LinkedIn c.s. het plaatsen dan wel uitlezen, op de apparaten van gedaagde, van tracking cookies te staken. Gedaagde heeft aan elk van eiseressen de verbeurte van € 25.000,00 aangezegd wegens het overtreden van het door de voorzieningenrechter uitgesproken gebod, vervolgens heeft gedaagde executoriaal beslag gelegd. LinkedIn c.s. vorderen gedaagde te bevelen de beslagen op te heffen. In reconventie vordert gedaagde het bedrag van de verbeurde dwangsommen vast te stellen op € 100.000,00, waarbij elk van eiseressen € 25.000,00 heeft verbeurd.

Rb. Den Haag 2 februari 2025, IT 4777; ECLI:NL:RBDHA:2025:1113 (eiseres tegen de Staat) Het Presidium van de Tweede Kamer heeft samen met de Griffier opdracht gegeven aan Hoffmann Bedrijfsrecherche om een extern feitenonderzoek uit te voeren naar aanleiding van twee anonieme brieven. Deze brieven beschuldigden een voormalig Kamervoorzitter van ongewenst gedrag jegens ambtenaren. De opdracht en de reden voor het onderzoek lekten uit naar de pers voordat de voormalig Kamervoorzitter op de hoogte was gesteld, wat leidde tot politieke onrust en media-aandacht. De voormalig Kamervoorzitter, eiseres in deze zaak, vordert schadevergoeding en vernietiging van haar persoonsgegevens, stellende dat het onderzoek onrechtmatig was en dat de samenvatting van de onderzoeksresultaten niet gepubliceerd had mogen worden. Zij betoogt dat het Presidium en de Griffier niet bevoegd waren om de opdracht te geven en dat het onderzoek onzorgvuldig was vormgegeven en uitgevoerd.

Conclusie A-G 6 februari 2025, IT 4774; ECLI:EU:C:2025:68 (Russmedia) Een vrouw eiste schadevergoeding van Russmedia en Inform Media. De vrouw stelt dat er zonder haar toestemming een advertentie op een online marktplaats is gepubliceerd waarin zij seksuele diensten aanbiedt, wat inbreuk maakt op haar rechten. De prejudiciële vragen aan het Hof van Justitie zijn gericht op de vraag of de exploitant van de online marktplaats, Russmedia, zich kan beroepen op de vrijstelling van aansprakelijkheid zoals bedoeld in Richtlijn 2000/31, en of Russmedia haar verplichtingen krachtens de AVG heeft nageleefd. De vragen omvatten ook de vraag of Russmedia verplicht was om voorafgaand aan de publicatie van een advertentie te controleren of de adverteerder de eigenaar is van de persoonsgegevens en of de inhoud van de advertentie onwettig is. Daarnaast wordt gevraagd of Russmedia passende beveiligingsmaatregelen had moeten treffen om te voorkomen dat de inhoud van de advertenties gekopieerd en herverspreid zou worden.

Rb. Noord-Nederland 21 september 2022, IT 4773; ECLI:NL:RBNNE:2022:5577 (Enviem tegen I-Beheer) Enviem, een groep bedrijven in de olie- en brandstofsector, had een overeenkomst met I-Beheer voor het beheer van hun ICT-netwerk. In 2019 werd Enviem getroffen door een ransomware-aanval waardoor hun data versleuteld raakte, en zij vorderen een schadevergoeding van I-Beheer wegens tekortkomingen in de beveiliging. Daarbij claimen zij ook dat I-Beheer onrechtmatig heeft gehandeld door hen bloot te stellen aan grote ICT-risico's. I-Beheer daarentegen stelt dat zij haar verplichtingen is nagekomen en dat de ransomware aanval te wijten is aan een virus via een besmette e-mail. I-Beheer vordert in reconventie betaling van openstaande facturen, ontbinding van de overeenkomst per 21 februari 2020, en een schadevergoeding als gevolg van deze ontbinding.