DOSSIERS
Alle dossiers

Persoonsgegevens  

IT 5312

Rb. Amsterdam: klantenbestand kwalificeert als bedrijfsgeheim

Rechtbank Amsterdam 11 jun 2026,, IT 5312; ECLI:NL:RBAMS:2026:5976 ((TMU tegen [gedaagde])), https://redactie-delex.cshark.nl/artikelen/rb-amsterdam-klantenbestand-kwalificeert-als-bedrijfsgeheim

Rb. Amsterdam 11 juni 2026, IEF 23627; IT 5312; ECLI:NL:RBAMS:2026:5976 (TMU tegen [gedaagde]). In deze zaak tussen TMU en [gedaagde] staat de vraag centraal of [gedaagde] onrechtmatig heeft gehandeld door een klantenbestand van TMU te gebruiken voor eigen marketingactiviteiten. De voorzieningenrechter oordeelt dat het klantenbestand van TMU een bedrijfsgeheim vormt en dat [gedaagde] door het zonder toestemming gebruiken van dat bestand onrechtmatig heeft gehandeld op grond van onder meer artikel 6:162 BW en de Wet bescherming bedrijfsgeheimen (Wbb). [gedaagde] wordt bevolen ieder verder gebruik van het klantenbestand te staken en opgave te doen van de met het bestand verrichte marketingactiviteiten en de daarmee behaalde omzet en winst. TMU is actief op het gebied van handelseducatie en financiële markten en verkoopt cursussen over handelen op de financiële markt. [gedaagde] exploiteert een concurrerende onderneming. Partijen hadden sinds 2022 zowel een zakelijke als persoonlijke relatie. In april 2026 verstuurde [gedaagde] vanaf zijn eigen e-mailadres een commerciële e-mail aan een groot aantal adressen die onderdeel bleken te zijn van het klantenbestand van TMU. In die e-mail presenteerde hij zich als de "mentor van uw mentor" en maakte hij reclame voor zijn eigen diensten. Daarnaast plaatste hij een vergelijkbaar bericht op Telegram. Van de 66 adressen waarvan TMU meldingen ontving, kwamen er 64 voor in haar klantenbestand. Elf ontvangers verklaarden bovendien dat zij het betreffende e-mailadres uitsluitend gebruikten voor hun account bij TMU. Volgens TMU had een voormalig opdrachtnemer eind 2025 een grote hoeveelheid vertrouwelijke bedrijfsinformatie ontvreemd, waaronder het klantenbestand. TMU stelde dat [gedaagde] daarmee onrechtmatig handelde en tevens in strijd met de Wet bescherming bedrijfsgeheimen (Wbb) en de regels over vergelijkende reclame. [gedaagde] voerde aan dat hij het adressenbestand anoniem had ontvangen via een link, er niet voor had betaald en niet wist van wie het afkomstig was. Nadat hij de e-mails had verzonden, zou hij het bestand weer hebben verwijderd. De voorzieningenrechter overweegt dat [gedaagde] onder deze omstandigheden had moeten begrijpen dat een dergelijk klantenbestand economische waarde vertegenwoordigt. Als actief handelaar op een concurrerende markt ontving hij zonder tegenprestatie een omvangrijk adressenbestand. Door dat bestand zonder enige controle voor eigen commerciële doeleinden te gebruiken, heeft hij willens en wetens het risico aanvaard dat hij inbreuk maakte op rechten van derden. Dat handelen is voorshands onrechtmatig. Daarbij weegt mee dat [gedaagde] de e-mail zelf heeft opgesteld en daarin expliciet verwees naar [naam 1] van TMU, die hij persoonlijk kende. Verder acht de voorzieningenrechter voldoende aannemelijk dat TMU geen toestemming heeft gegeven voor verspreiding van haar klantenbestand, dat het bestand aanzienlijke economische waarde vertegenwoordigt en bovendien het voornaamste bedrijfsdebiet van TMU vormt. Daarom wordt het gevorderde verbod op verdere verkrijging, openbaarmaking en gebruik van het klantenbestand toegewezen, waaraan een dwangsom wordt verbonden van € 20.000 per dag met een maximum van € 500.000

IT 5311

Artikel door Gijs van Berkel, Holla Legal & Tax.

AI-verordening: nu al op de schop (de Digitale Omnibus inzake AI en de gevolgen voor fundamentele rechten en vrijheden)

Artikel door Gijs van Berkel. Oorspronkelijk verschenen in AI-Forum 2026-2.

De kogel is door de kerk. Terwijl de AI-verordening nog niet volledig in werking is getreden, stemde het Europees Parlement op 16 juni 2026 in met de aanpassingen aan de AI-verordening in het kader van de Digitale Omnibus. De AI-verordening zou volledig in werking treden op 2 augustus 2026, maar nog vóór die datum voert de Europese wetgever de wijzigingen door.

‘Orde in de chaos’; zo lijkt de Digitale Omnibus gepresenteerd te worden. Met dit pakket probeert de Europese Commissie de snel gegroeide hoeveelheid digitale regelgeving binnen de Europese Unie beter op elkaar af te stemmen. Het plan is helder: minder overlappingen, minder inconsistenties en meer ruimte voor innovatie.[1] Voor deze doeleinden liggen er maar liefst twee Omnibus-pakketten: de Digital Omnibus, die onder meer de Algemene Verordening Gegevensbescherming (‘AVG’)[2], de Dataverordening[3], de ePrivacy‑richtlijn[4] en de NIS2‑richtlijn[5] aanpast, en een aparte Digital Omnibus on AI, die de AI‑verordening[6] onder handen neemt.

Dit is een preview. Het volledige artikel is nu beschikbaar op www.AI-Forum.nl

IT 5309

Cryptobeurs moet KYC-gegevens en transactieoverzichten verstrekken na crypto-oplichting

Rechtbank Midden-Nederland 3 jun 2026,, IT 5309; ECLI:NL:RBMNE2026:3037 (([eisende partij] tegen Bitfinex)), https://redactie-delex.cshark.nl/artikelen/cryptobeurs-moet-kyc-gegevens-en-transactieoverzichten-verstrekken-na-crypto-oplichting

Rb. Midden-Nederland 3 juni 2026, IT 5309; ECLI:NL:RBMNE2026:3037 ([eisende partij] tegen Bitfinex). In deze zaak staat de vraag centraal of een slachtoffer van crypto-oplichting in kort geding kan afdwingen dat een buitenlandse cryptobeurs identificerende gegevens van accounthouders en transactiegegevens van betrokken wallet-adressen verstrekt. De voorzieningenrechter van de Rechtbank Midden-Nederland beantwoordt die vraag bevestigend en veroordeelt Bitfinex tot afgifte van zowel de Know Your Customer (KYC)-gegevens als de volledige transactieoverzichten van zeven wallet-adressen. [eisende partij] stelt slachtoffer te zijn geworden van oplichting waarbij hij cryptovaluta heeft overgemaakt naar verschillende wallet-adressen die volgens hem toebehoren aan de crypto-exchange Bitfinex. Om de identiteit van de oplichters te kunnen achterhalen en zijn schade te verhalen, vordert hij in kort geding afgifte van de KYC-gegevens van de accounthouders van deze adressen, alsmede de volledige transactiegeschiedenis van de betreffende accounts. Bitfinex, bestaande uit de vennootschappen IFINEX Inc., BFXNA Inc. en BFXWW Inc., verschijnt niet in de procedure. De voorzieningenrechter moet daarom eerst beoordelen of verstek kan worden verleend. De rechtbank stelt vast dat het exploot van de dagvaarding is uitgebracht met inachtneming van het Haags Betekeningsverdrag, de Uitvoeringswet van dat verdrag en artikel 55 Rv. Niet is gebleken dat de dagvaarding overeenkomstig artikel 15 lid 1 en 2 van het Haags Betekeningsverdrag daadwerkelijk is betekend of in persoon aan Bitfinex is afgegeven. In beginsel staat dat aan verstekverlening in de weg. De voorzieningenrechter oordeelt toch dat toepassing kan worden gegeven aan artikel 15 lid 3 van het Haags Betekeningsverdrag, dat in spoedeisende gevallen toestaat om verstek te verlenen zonder dat volledig aan de betekeningsvereisten is voldaan. Daarbij moet wel voldoende zijn gewaarborgd dat de dagvaarding de gedaagde daadwerkelijk heeft bereikt en dat deze voldoende gelegenheid heeft gehad om verweer te voeren. Volgens de rechtbank is aan die voorwaarden voldaan. [eisende partij] heeft toegelicht dat de gevraagde gegevens noodzakelijk zijn om de identiteit van de oplichters te achterhalen, voor een poging zijn schade te verhalen en voor het vervolg van de strafrechtelijke procedure.

IT 5306

Alles over deepfakes: definities, rechten, plichten en meer. Dit leerde het IE Zomerforum 2026 ons


Deepfakes zijn in rap tempo uitgegroeid tot een van de meest besproken toepassingen van generatieve AI. Steeds gemakkelijker kunnen afbeeldingen, video's en audiobestanden worden gegenereerd waarin personen, stemmen en gebeurtenissen overtuigend worden nagebootst. Of deze ontwikkeling ook wenselijk is, blijkt een andere vraag.

Tijdens het IE Zomerforum 2026 stond dit onderwerp centraal. Aan de hand van bijdragen van Daniël de Weerd, Dirk Visser, Etienne Valk, Jet Hootsmans en Elles Masselink werd uitgebreid stilgestaan bij de juridische stand van zaken rond deepfakes. Daarbij kwamen zowel de Europese AI Act als het in Nederland geïnitieerde wetsvoorstel aan bod. Ook werd aandacht besteed aan de belangen van makers en andere betrokkenen.

IT 5296

AI-surveillance tijdens het WK 2026: hoe ver reiken de AI-verordening en de AVG?


Het FIFA WK 2026 wordt het grootste sporttoernooi ooit. Naar verwachting zullen miljoenen supporters de wedstrijden bezoeken in de Verenigde Staten, Canada en Mexico. Om de veiligheid van dergelijke evenementen te waarborgen wordt steeds vaker gekeken naar AI-systemen voor biometrische identificatie, waaronder gezichtsherkenning.

Dat roept een interessante juridische casus op. De Europese AI-verordening bevat enkele van de strengste regels ter wereld voor biometrische AI-systemen. Bovendien kunnen biometrische gegevens onder de AVG als bijzondere persoonsgegevens kwalificeren. Maar zijn deze kaders in dit geval wel van toepassing, gelet op de locatie van het toernooi? En zo ja, welke Europese waarborgen reizen met supporters mee naar het buitenland?

Interesse in dit onderwerp en andere juridische vraagstukken rond het WK? We verwelkomen u graag bij ons WK & Recht event op dinsdag 23 juni 2026 in Buro de Pijp, Amsterdam.

IT 5293

OM schond geheimhoudingsplicht Wpg door documentairemakers mee te laten lopen met FIOD-onderzoek

Gerechtshof Den Haag 28 apr 2026,, IT 5293; ECLI:NL:GHDHA:2026:664 (de Staat tegen [geïntimeerde 1] en [geïntimeerde 2]), https://redactie-delex.cshark.nl/artikelen/om-schond-geheimhoudingsplicht-wpg-door-documentairemakers-mee-te-laten-lopen-met-fiod-onderzoek

Hof Den Haag 28 april 2026, IT 5293; ECLI:NL:GHDHA:2026:664 (de Staat tegen [geïntimeerde 1] en [geïntimeerde 2]). Het Hof Den Haag oordeelt in dit tussenarrest dat de Staat onrechtmatig heeft gehandeld jegens twee voormalig leidinggevenden van de SUMO-restaurantketen door documentairemakers van Selfmade Films mee te laten lopen tijdens het FIOD-opsporingsonderzoek naar belastingfraude binnen het SUMO-concern. Op grond van een Mediacontract mochten de documentairemakers aanwezig zijn bij onder meer voorbereidingen, doorzoekingen, overleggen en andere onderzoekshandelingen voor een documentaire over het werk van de FIOD. Het hof acht aannemelijk dat zij daarbij op meerdere momenten kennis hebben genomen van politiegegevens die tot de betrokkenen herleidbaar waren, waaronder namen, adressen, verdenkingen, herkenbare beelden, locaties en andere details. Dat deze gegevens in de uiteindelijk uitgezonden documentaire zijn geblurd of weggepiept, is niet beslissend: de schending vond al plaats doordat de documentairemakers in de opsporingsfase kennis kregen van gegevens die onder de geheimhoudingsplicht van artikel 7 lid 1 Wet politiegegevens vielen. Het hof verwerpt het betoog van de Staat dat nog geen sprake was van “verwerkte” politiegegevens, omdat verwerking in de zin van artikel 1 Wpg ook het verzamelen van gegevens omvat. Ook het beroep op de strafrechtelijke beoordeling van artikel 272 Sr slaagt niet, omdat de civielrechtelijke toets aan de Wpg een andere is dan de vraag of sprake is van strafbare schending van een ambtsgeheim.

IT 5292

AVG-verzoek tot verwijdering BKR-, IVR- en EVR-registraties strandt na bindend Kifid-advies

Rechtbank Midden-Nederland 28 apr 2026,, IT 5292; ECLI:NL:RBMNE:2026:2289 ([verzoekster] tegen WUB), https://redactie-delex.cshark.nl/artikelen/avg-verzoek-tot-verwijdering-bkr-ivr-en-evr-registraties-strandt-na-bindend-kifid-advies

Rb. Midden-Nederland 28 april 2026, IT 5292; ECLI:NL:RBMNE:2026:2289 ([verzoekster] tegen WUB). De Rechtbank Midden-Nederland verklaart verzoekster deels niet-ontvankelijk en wijst haar overige verzoeken af in een procedure op grond van artikel 35 UAVG tegen ING Bank N.V., handelend onder de naam West Utrecht Bank. Verzoekster stelde dat WUB haar persoonsgegevens onrechtmatig had verwerkt door haar te registreren in het BKR-register, het Intern Verwijzingsregister (IVR), het Extern Verwijzingsregister (EVR) en eventuele interne zwarte lijsten. Ook stelde zij dat WUB haar persoonsgegevens onrechtmatig met derden had gedeeld. Zij verzocht onder meer om een verklaring voor recht dat WUB haar persoonsgegevens onrechtmatig had verwerkt en gedeeld, verwijdering van alle registraties, een verbod op verdere verwerking of verspreiding, een overzicht van de verwerkte persoonsgegevens en een bevel aan WUB om melding te doen bij de Autoriteit Persoonsgegevens. WUB voerde aan dat over de rechtmatigheid van de registraties al was beslist in een procedure bij de Geschillencommissie van het Kifid. Die commissie had op 7 februari 2025 bij bindend advies geoordeeld dat WUB de BKR-registratie niet hoefde te verwijderen en dat de duur van de IVR- en EVR-registraties werd teruggebracht tot zes jaar. Verzoekster had geen vernietiging van dat bindend advies gevorderd en bracht in deze procedure geen nieuwe relevante feiten of stukken naar voren.

IT 5291

Staat mag overeenkomst met Solvinity verlengen ondanks risico’s rond Amerikaanse overname

Rechtbank Den Haag 6 mei 2026,, IT 5291; ECLI:NL:RBDHA:2026:12862 (eisers en de Staat), https://redactie-delex.cshark.nl/artikelen/staat-mag-overeenkomst-met-solvinity-verlengen-ondanks-risico-s-rond-amerikaanse-overname

Rb. Den Haag 6 mei 2026, IT&R 5291; ECLI:NL:RBDHA:2026:12862 (eisers tegen de Staat). De voorzieningenrechter van de Rechtbank Den Haag wijst de vorderingen af van drie Nederlandse burgers die wilden voorkomen dat de Staat de overeenkomst met Solvinity verlengt. Solvinity verzorgt het technische beheer van het Picard-platform, waarop diverse overheidsapplicaties van Logius draaien, waaronder DigiD en MijnOverheid. Eisers vreesden dat de voorgenomen overname van Solvinity door het Amerikaanse Kyndryl ertoe zou leiden dat persoonsgegevens van Nederlandse burgers onder het bereik komen van Amerikaanse wetgeving met extraterritoriale werking, zoals de CLOUD Act, FISA en Executive Order 12333. Volgens eisers zou de Staat daarom onrechtmatig handelen door de overeenkomst met Solvinity te verlengen, dan wel door dat te doen zonder nadere voorwaarden, zoals een gegevensbeschermingseffectbeoordeling op grond van artikel 35 AVG, advisering door de Functionaris Gegevensbescherming en, indien nodig, voorafgaande raadpleging van de Autoriteit Persoonsgegevens op grond van artikel 36 AVG. De voorzieningenrechter stelt voorop dat de Staat bij de uitvoering van zijn publieke taak, en in het bijzonder bij de beslissing of een overeenkomst voor kritieke ICT-dienstverlening wordt verlengd, een ruime beleidsvrijheid heeft. De rechter moet zich daarom terughoudend opstellen; ingrijpen is alleen aan de orde als evident sprake is van dreigend onrechtmatig handelen. Daarbij geldt bovendien dat ook zwaarwegende maatschappelijke belangen aan het opleggen van een verbod in de weg kunnen staan.

IT 5289

Geen volledige inzage in FSV-registratie ondanks AVG-verzoek

Rechtbank Limburg 1 mei 2026,, IT 5289; ECLI:NL:RBLIM:2026:4259 ([eiseres] tegen de Minister van Financiën), https://redactie-delex.cshark.nl/artikelen/geen-volledige-inzage-in-fsv-registratie-ondanks-avg-verzoek

Rb. Limburg 1 mei 2026, IT 5289; ECLI:NL:RBLIM:2026:4259 ([eiseres] tegen de Minister van Financiën). In deze zaak tussen [eiseres] en de minister van Financiën stonden twee bestuursrechtelijke procedures centraal over de Fraude Signalering Voorziening (FSV) van de Belastingdienst. De eerste procedure zag op een AVG-inzageverzoek met betrekking tot persoonsgegevens die van eiseres in de FSV waren opgenomen. De tweede procedure betrof een verzoek om schadevergoeding wegens de registratie van eiseres in de FSV. [eiseres] had de Belastingdienst verzocht om volledige inzage in haar FSV-registratie, waaronder de zogeheten “screenprints” van de registratie, en stelde daarnaast schade te hebben geleden door opname in de FSV. De minister verstrekte een overzicht van persoonsgegevens uit de FSV, maar weigerde inzage in bepaalde gegevens met een beroep op artikel 23 AVG en artikel 41 Uitvoeringswet AVG. Volgens de minister was beperking van inzage noodzakelijk ter bescherming van toezicht-, opsporings- en privacybelangen van derden. Daarnaast stelde de minister dat uit beschikbare systemen niet bleek dat persoonsgegevens van eiseres met andere instanties waren gedeeld.

IT 5290

Rechtbank: Booking moet meewerken aan terughalen data uit back-ups

Rechtbank Overijssel 6 mei 2026,, IT 5290; ECLI:NL:RBOVE:2026:2581 (Booking tegen Groepen), https://redactie-delex.cshark.nl/artikelen/rechtbank-booking-moet-meewerken-aan-terughalen-data-uit-back-ups

Rb. Overijssel 6 mei 2026, IT 5290; ECLI:NL:RBOVE:2026:2581 (Booking tegen Groepen). In deze zaak tussen Booking en Groepen, stond een geschil centraal over het terughalen van gegevens uit back-ups van een online reserveringssysteem. Groepen wil toegang krijgen tot gegevens die eerder aanwezig waren in het online reserveringssysteem BEX/CMS van Booking. Volgens Groepen heeft zij groot belang bij deze data in verband met fiscale verplichtingen, waaronder verplichtingen die voortvloeien uit DAC7. Het gaat onder meer om gegevens over facturen, boekingen, afrekeningen en commissies met betrekking tot huiseigenaren en consumenten. Booking stelde zich op het standpunt dat eerst duidelijk moest worden welke gegevens precies moesten worden teruggehaald en dat daarvoor kosten verschuldigd zijn.