Persoonsgegevens  

Rb. Noord-Nederland 17 september 2025, IT 4977; ECLI:NL:RBNNE:2025:3761 ([eiser] tegen UMCG). De rechtbank behandelt de vorderingen van de vader ([eiser]) tegen het UMCG over inzage/afgifte van het volledige patiëntendossier en logging van zijn in 2021 overleden zoon. Hij vordert (i) een verklaring voor recht dat het UMCG onrechtmatig handelde door een externe deskundige zonder zijn (en de zoon’s) toestemming toegang te geven tot EPD en loggegevens, (ii) primair volledige inzage/afgifte via een door UMCG aan te maken beheerders-account voor zijn partijdeskundige met onbeperkte download/printmogelijkheden (subsidiair: verklaring voor recht dat UMCG tekortschiet/onrechtmatig handelt door geen volledig dossier/logging in te richten, te bewaren of te verstrekken), plus dwangsom en kosten. Het UMCG voert aan dat al (elektronisch) is verstrekt wat moet, dat logging/privacy van medewerkers grenst aan wat verstrekt kan worden, en dat “admin-toegang” geen wettelijke basis heeft. Een poging tot minnelijke regeling (gezamenlijke deskundige met inzage-account) strandt.

Rb. Den Haag 6 november 2025, IT 4974; ECLI:NL:RBDHA:2019:15161 (de AP tegen [gedaagde]). De voorzieningenrechter van de Rechtbank Den Haag oordeelt in kort geding over publicaties op de website van [gedaagde] waarin drie medewerkers van de Autoriteit Persoonsgegevens (AP) met naam (en deels ook foto, werkverleden en links naar social media) worden genoemd in artikelen over vermeende AVG-overtredingen rondom RIEC-samenwerking en de afhandeling van een klacht van de vader van [gedaagde]. De AP vordert (na eiswijziging) primair verwijdering en verwijderd houden van de namen van [naam 3], [naam 4] en [naam 2], de foto’s (m.n. van [naam 4]), en verwijzingen/hyperlinks naar hun social-media, plus verwijdering van specifieke passages in twee artikelen; voorts een verbod om (zonder toestemming) persoonsgegevens van AP-medewerkers zonder publieke functie opnieuw te publiceren; en een bevel aan Google om zoekresultaten/cache te verwijderen bij naamzoekopdrachten. Subsidiair vordert de AP een rectificatie. [gedaagde] voert aan dat hij maatschappelijke misstanden wil aankaarten en beroept zich op persvrijheid en het satirische karakter van de columns; de AP stelt daartegenover dat de betrokken medewerkers geen publieke personen zijn en dat de vermeldingen hen onnodig en onrechtmatig schaden. De rechter acht de AP ontvankelijk om de belangen van haar werknemers te beschermen en stelt een belangenafweging voorop tussen art. 10 EVRM (uitingsvrijheid) en art. 8 EVRM (eer en goede naam/privéleven).

Rb. Amsterdam 28 augustus 2025, IT 4970; Zaaknummer: 111606606 \ CV EXPL 25-4697 ([eiser] tegen Slee). In januari 2024 heeft [eiser] producten besteld en betaald bij MEDIAXXL. Deze producten zijn niet geleverd. Slee, de eigenaar van MEDIAXXL, deed in juni 2024 aangifte van identiteitsfraude. MEDIAXXL is in gebreke gesteld en later heeft [eiser] de overeenkomst ook ontbonden. Eiser vordert een vonnis dat Slee veroordeeld zal worden tot terugbetaling van de hoofdsom. Slee voert aan dat hij slachtoffer is van identiteitsfraude en dat derden misbruik hebben gemaakt van zijn KvK-nummer. De kantonrechter onderzoekt of er een overeenkomst is gesloten tussen [eiser] en Slee. De maatstaf hiervoor komt uit een arrest van de Hoge Raad: wanneer iemand zich valselijk als een ander voordoet en iets namens die ander verklaart, diegene zich erop kan beroepen dat de verklaring niet van hem afkomstig is. Ook wanneer de geadresseerde heeft aangenomen en redelijkerwijs mocht aannemen dat de verklaring wel van die ander afkomstig was. Dit kan onder omstandigheden anders zijn. 

Rb. Gelderland 15 september, IT 4968; ECLI:NL:RBGEL:2025:7812 ([eiser] tegen [gedaagde 1] en [gedaagde 2]). De voorzieningenrechter van de Rechtbank Gelderland oordeelt in dit kort geding over een vordering van een slachtoffer van boilerroomfraude. De eiseres heeft bijna één miljoen euro overgemaakt naar crypto-exchanges, waarna de aangekochte cryptovaluta via verschillende blockchainadressen zijn doorgesluisd en uiteindelijk terechtkwamen bij de instant-exchanges (swapdiensten) van gedaagden, die gevestigd zijn op de Seychellen en in Costa Rica. Zij vordert dat deze platforms de identificerende gegevens verstrekken van de gebruikers die betrokken waren bij de transacties. De rechtbank stelt vast dat zij rechtsmacht heeft op grond van art. 6 sub e Rv, omdat de schade in Nederland is ingetreden. Op grond van art. 10:159 BW is Nederlands recht van toepassing. Ondanks het internationale karakter wordt verstek verleend, omdat de dagvaarding de gedaagden aantoonbaar tijdig heeft bereikt. De rechtbank acht het niet voldoen aan de gevraagde informatieverstrekking in deze omstandigheden mogelijk onrechtmatig.

RvS 24 september 2025, IT 4969; ECLI:NL:RVS:2025:4557 (Minister van Landbouw, Visserij, Voedselzekerheid en Natuur / FDF e.a.). In deze hoger beroepszaak oordeelt de Afdeling bestuursrechtspraak van de Raad van State over de vraag of de minister van Landbouw terecht heeft besloten om gegevens over veehouderijen, zoals adressen, aantallen dieren en staltypen, openbaar te maken naar aanleiding van Woo-verzoeken van journalisten. Boerenorganisaties (FDF, NMV, LTO en individuele veehouders) verzetten zich hiertegen en stellen dat de gegevens geen emissiegegevens zijn, zodat een belangenafweging had moeten plaatsvinden vanwege privacy, veiligheid en bedrijfsbelangen. De minister verklaarde hun bezwaren ongegrond, maar trok die besluiten later in omdat zij vond dat de zienswijzeprocedure niet zorgvuldig genoeg was doorlopen. De rechtbank oordeelde dat dit onterecht was: de minister mocht niet intrekken, omdat al 3000 zienswijzen waren verzameld en een nieuwe procedure alleen zou leiden tot vertraging. Bovendien zijn de gegevens emissiegegevens, zodat openbaarmaking verplicht is op grond van artikel 5.1 lid 7 Woo, zonder ruimte voor een belangenafweging. De rechtbank vernietigde de intrekkingsbesluiten, verklaarde de beroepen van de boeren ongegrond en droeg de minister op tot openbaarmaking.

Gerecht EU 3 september 2025, IT 4963; ECLI:EU:T:2025:831 (Philippe Latombe tegen European Commission). Het Gerecht van de Europese Unie verwerpt het beroep van de Franse Europarlementariër Philippe Latombe tegen het besluit van de Europese Commissie over het EU–VS Data Privacy Framework (DPF). Latombe voert aan dat dit nieuwe stelsel, waarmee de Commissie in juli 2023 opnieuw een “adequaat beschermingsniveau” voor doorgifte van persoonsgegevens naar de Verenigde Staten vaststelt, niet wezenlijk verschilt van de eerder door het Hof van Justitie vernietigde regelingen Safe Harbour en Privacy Shield. Volgens hem biedt het DPF onvoldoende bescherming tegen grootschalige surveillance door Amerikaanse inlichtingendiensten, is het nieuwe Amerikaanse toezichtorgaan niet onafhankelijk genoeg, en biedt het onvoldoende waarborgen op het gebied van geautomatiseerde besluitvorming, beveiliging van persoonsgegevens en risicobeoordeling in vergelijking met de Algemene verordening gegevensbescherming (AVG). Ook stelt hij dat de Commissie haar beoordelingsplicht schendt door te weinig rekening te houden met recente rechtspraak en door de verplichtingen uit het EU-Handvest en artikel 8 EVRM te negeren.

Rb. Gelderland 5 september 2025, IT 4951; ECLI:NL:RBGEL:2025:7488 (Innova Energie B.V. tegen [gedaagde 1] en [gedaagde 2]). Innova exploiteert een onderneming die is gericht op de levering van gas en elektriciteit. [gedaagde 1], waarvan [gedaagde 2] enig bestuurder en aandeelhouder is, verricht activiteiten op de markt voor het telefonisch aanbieden van energiecontracten aan consumenten en neemt opdrachten aan om energiecontracten aan te bieden. In een samenwerkingsovereenkomst met CCTr, daarin aangeduid als “Partner”, is onder meer bepaald dat partner verantwoordelijk is voor zorgvuldige omgang met systemen en data, binnen de grenzen van de AVG en overige wetgeving. Gegevensverwerking moet voldoen aan de AVG, de Telecommunicatiewet en eventuele branchecodes, en op verzoek dient partner bewijs te overleggen van opt-in en databron. Bij brief van 20 juni 2025 schrijft Innova dat klanten van haar ongevraagd zijn benaderd. Daarbij is volgens Innova gesuggereerd dat Innova failliet zal gaan of leveringstarieven zal verhogen, en is onjuist meegedeeld dat namens Innova werd gebeld. Innova stelt dat ongevraagd telefonische communicatie voor commerciële doeleinden naar natuurlijke personen verboden is, tenzij voor elk ongevraagd telefoongesprek voorafgaande toestemming is verkregen, en heeft [gedaagde 1] gesommeerd om alle onrechtmatige activiteiten te staken.

Rb. Rotterdam 23 juli 2025; IT 4941; ECLI:NL:RBROT:2025:9088 (SDBN tegen Amazon). De Rechtbank Rotterdam heeft in een collectieve actie van de Stichting Data Bescherming Nederland (SDBN) tegen Amazon prejudiciële vragen gesteld aan het Hof van Justitie van de EU. SDBN stelt dat Amazon sinds 25 mei 2018 persoonsgegevens van circa vijf miljoen Nederlandse accounthouders in strijd met de AVG verwerkt en vordert dat Amazon dit onrechtmatig handelen staakt en schade vergoedt. De procedure valt onder de WAMCA (Wet afwikkeling massaschade in collectieve actie), die sinds 2020 ook schadevergoedingsvorderingen in collectieve acties mogelijk maakt. Kernpunt is of SDBN voldoet aan de ontvankelijkheidseisen van de WAMCA, waaronder de gelijksoortigheid van belangen en representativiteit van de achterban. Amazon betwist dat, onder meer vanwege het ontbreken van voldoende steun vanuit de achterban en de afhankelijkheid van procesfinanciering. De rechtbank oordeelde dat SDBN grotendeels voldoet aan de formele WAMCA-vereisten, maar hield de beoordeling van representativiteit en gelijksoortigheid aan in afwachting van uitleg door het HvJEU.

Rb. Amsterdam 4 februari 2020, IT 4940; ECLI:NL:RBAMS:2020:3786 (Eiseres tegen de korpschef van politie). Eiseres verzoekt de politie om inzage in alle over haar geregistreerde persoonsgegevens, gebaseerd op de AVG. Ze wil weten welke gegevens er zijn, het doel van gebruik, aan wie ze zijn verstrekt, hoe ze worden beveiligd, de herkomst, de opslagduur en of er automatische besluitvorming plaatsvindt. Ze vraagt ook om inzage in verslagstukken van gesprekken met de wijkagent. De korpschef interpreteert het verzoek echter als een inzageverzoek op grond van artikel 25 van de Wet politiegegevens (Wpg) en verstrekt een overzicht van alle registraties in het Bedrijfsprocessensysteem van de politie. Oudere gegevens zijn verwijderd of beperkt raadpleegbaar, en communicatie met derden zoals de GGD vindt plaats op basis van art. 20 Wpg en het convenant Zorg en Overlast. Er is geen sprake van automatische besluitvorming en er zijn passende beveiligingsmaatregelen getroffen.

RvS 30 juli 2025, IT 4939; ECLI:NL:RVS:2025:3561 (Appellant sub 1 tegen de burgemeester van Eindhoven). Appellant had de burgemeester van Eindhoven op grond van de Wet open overheid verzocht om informatie over een vermeend buurtonderzoek aan de Lorrainelaan. Zij wilde weten of er een buurtonderzoek aan de Lorrainelaan had plaatsgevonden en vroeg tevens om alle meldingen die over haar zouden zijn gedaan en wat daarmee was gebeurd. Naar aanleiding van dit verzoek verstrekte de gemeente een overzicht van meldingen van woonoverlast, waarin de gegevens van melders waren geanonimiseerd. In dat overzicht stond ook een adres vermeld dat betrekking had op een boom in de openbare ruimte. De appelant stelde dat de vermelding van dit adres in strijd was met de Algemene verordening gegevensbescherming, omdat het haar adres betrof en daarmee een persoonsgegeven vormde. De rechtbank oordeelde dat een adres in dit overzicht een persoonsgegeven kon zijn, omdat het in verband was gebracht met meldingen van woonoverlast en eenvoudig te herleiden viel tot de eigenaar van het pand. De rechtbank achtte dit in strijd met de AVG en droeg de burgemeester op een nieuw besluit te nemen. Het beroep werd gegrond verklaard en een verzoek om schadevergoeding werd afgewezen.