Dossiers

Rb. Den Haag 4 maart 2026, IT 5124; ECLI:NL:RBDHA:2026:4248 (Reddit c.s. tegen de AP). De voorzieningenrechter van de rechtbank Den Haag heeft de vorderingen van Reddit tegen de Autoriteit Persoonsgegevens (AP) afgewezen. Reddit had in kort geding diverse maatregelen gevorderd vanwege vermeende schending van het verschoningsrecht van advocaten tijdens een AVG-onderzoek van de toezichthouder. De AP is een onderzoek gestart naar de rechtmatigheid van de verwerking van persoonsgegevens door Reddit, in het bijzonder het beschikbaar stellen van openbare gebruikerscontent via API’s aan partners die large language models (LLM’s) ontwikkelen. In het kader van dat onderzoek heeft de AP inspecties uitgevoerd en toegang gevorderd tot verschillende interne systemen van Reddit, waaronder Jira, Google Vault, Ironclad en zogeheten SWAT-tabellen. Reddit weigerde volledige toegang tot deze systemen te verlenen. Volgens het bedrijf bevatten zij grote hoeveelheden informatie die onder het verschoningsrecht van advocaten vallen of beschermd worden door Amerikaans recht, zoals de Stored Communications Act. Ook vreesde Reddit dat de AP mogelijk vertrouwelijke informatie had verkregen via een voormalige werknemer die interne gegevens onrechtmatig zou hebben gekopieerd. In het kort geding vorderde Reddit onder meer dat de AP zou bevestigen of zij over geheimhoudersinformatie beschikte, dat een forensische kopie van relevante documenten zou worden veiliggesteld en dat conservatoir bewijsbeslag kon worden gelegd. Daarnaast verlangde Reddit dat de AP het verschoningsrecht strikt zou waarborgen conform recente jurisprudentie van de Hoge Raad. 

Artikel geschreven door Pieter Ballings.

De NIS2‑richtlijn vormt een belangrijke nieuwe stap in de Europese aanpak van cybersecurity. Waar de eerdere NIS‑richtlijn zich vooral richtte op essentiële diensten, breidt NIS2 het toepassingsbereik aanzienlijk uit en legt zij strengere normen op voor de beveiliging van netwerk- en informatiesystemen. 

Impact op toeleveringsketen
Hoewel IT‑leveranciers doorgaans niet rechtstreeks onder deze verplichtingen vallen, heeft de richtlijn wel grote impact op hun rol binnen de toeleveringsketen. Niet alleen worden hun klanten verplicht om risico’s in die keten te beheersen, ook wordt van leveranciers verwacht dat zij aantoonbaar bijdragen aan een veilig digitaal ecosysteem. 

In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), het Cyberbeveiligingsbesluit (Cbb) en de Ministeriële Regeling (MR), met een verwachte inwerkingtreding in het tweede kwartaal van 2026. Dat lijkt ver weg, maar voor leveranciers is dit precies het moment om zich goed voor te bereiden.

NIS2 in vogelvlucht: waarom IT leveranciers nu centraal staan
De reikwijdte van NIS2 strekt zich uit over sectoren als energie, zorg, digitale infrastructuur, transport en financiële diensten. Alleen IT-leveranciers die zelf als essentiële of belangrijke entiteit kwalificeren – bijvoorbeeld managed service providers (MSP’s) of cloudproviders – vallen rechtstreeks onder de wet.

Toch heeft NIS2 ook voor alle andere IT-leveranciers directe gevolgen. Hun klanten (die wél onder NIS2 vallen) zijn namelijk verplicht de beveiliging van hun leveranciers kritisch te beoordelen en risico’s in de keten te beheersen. Daardoor wordt cybersecurity-compliance een belangrijke commerciële en contractuele factor. Een leverancier die zijn beveiligingsprocessen aantoonbaar op orde heeft, scoort beter in aanbestedingen en onderhandelingen. Omgekeerd kan het ontbreken daarvan leiden tot uitsluiting, reputatieschade of non-compliance bij de klant – met mogelijke aansprakelijkheidsrisico’s tot gevolg.

Rb. Overijssel 13 februari 2026, IT 5122; ECLI:NL:RBOVE:2026:715 ([eiser] tegen de burgemeester van Zwolle). [eiser] verzocht om inzage in zijn persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC), dat was opgesteld naar aanleiding van een vergunningaanvraag. De burgemeester weigerde inzage onder verwijzing naar de geheimhoudingsplicht van artikel 28 Wet Bibob. Volgens de burgemeester valt het RIEC-advies onder het gesloten verstrekkingenregime van de Wet Bibob en zou verstrekking afbreuk doen aan de rechten en vrijheden van anderen.

Parket bij de HR 30 januari 2026, IT 5118; ECLI:NL:PHR:2026:129 (Stichting the Privacy Collective tegen Oracle NL, Salesforce). In een collectieve WAMCA-procedure tegen Oracle en Salesforce staat de ontvankelijkheid van belangenorganisatie The Privacy Collective (TPC) centraal. TPC stelt dat beide bedrijven via cookies persoonsgegevens van miljoenen internetgebruikers verzamelen, deze combineren met offline gegevens en daarmee profielen opbouwen die voor gepersonaliseerde advertenties aan derden worden verkocht. De rechtbank Amsterdam verklaarde TPC niet-ontvankelijk wegens onvoldoende representativiteit en gebreken in governance en transparantie [IT 3762]. Het hof Amsterdam oordeelde in hoger beroep echter dat TPC wél aan de ontvankelijkheidseisen voldoet. Volgens het hof is voldoende dat een niet-te-verwaarlozen aantal personen achter de actie staat; een exact aantal of volledig inzicht in alle individuele gedupeerden is niet vereist.   

Parket bij de Hoge Raad 20 februari 2026, IEF 23312, IT&R 5121; ECLI:NL:PHR:2026:186 (Payingit B.V., Payingip B.V., NRD Holding B.V., CMC Holding B.V., [eiser 5], [eiser 6], eisers tot cassatie tegen Workrate Holding B.V.). In de conclusie van het Parket staat een geschil centraal tussen Payingit c.s. (kopers) en Workrate (verkoper) over de uitleg van een koop- en licentieovereenkomst uit 2016 betreffende software. Workrate had drie softwarepakketten ontwikkeld: Workstate (voor beveiligingsprocessen), Workmate (later Usemate) en Academy. Deze applicaties vertoonden gedeeltelijke overlap in broncode, onder meer via gedeelde modules en interfaces. In 2016 verkochten Workrate en haar mede-aandeelhouders de aandelen in Usemate (later PayingIT) en werd de Usemate-software geleverd aan PayingIP, met overdracht van auteursrechten en een gelijktijdige licentie aan Workrate voor gebruik van de software. In geschil is welke omvang de auteursrechtoverdracht had en of Workrate met haar verdere exploitatie van Workstate, waarin overlappende broncode voorkomt, inbreuk maakt op de overgedragen rechten dan wel tekortschiet in de nakoming van de overeenkomsten. Workrate vorderde in conventie onder meer verklaringen voor recht dat zij geen auteursrechtinbreuk pleegt en niet tekortschiet. Payingit c.s. vorderde in reconventie juist verklaringen voor recht dat het volledige auteursrecht op de in een specificatiedocument genoemde mappen was overgedragen, dat Workrate inbreuk maakte, boetes had verbeurd en schadeplichtig was. De rechtbank en het hof oordeelden, na uitleg volgens het Haviltex-criterium, dat de auteursrechten op de in het document gespecificeerde broncode weliswaar aan PayingIP zijn overgedragen, maar dat Workrate een impliciet contractueel gebruiksrecht behoudt voor zover die broncode ook deel uitmaakt van Workstate. Ook ten aanzien van het gebruik door een derde (KlasseStudent/KlasseNet) werd geoordeeld dat dit binnen de bedoeling van partijen viel. Het hof achtte nader deskundigenonderzoek naar de precieze mate van overlap niet beslissend en veroordeelde Payingit c.s. in de proceskosten op grond van art. 1019h Rv, gemaximeerd op het indicatietarief voor een complexe bodemzaak.

U kunt u nog maar enkele dagen aanmelden voor ons seminar Consumentenrecht in de digitale sector met vroegboekkorting. Op donderdag 2 april 2026 bespreken we samen met Jeroen Schouten en Michelle Seel (Pinsent Masons) de onderwerpen oneerlijke handelspraktijken en garantie bij Pinsent Masons, Amsterdam.

Tijdens deze middag kijkt Santiago Bustos Plass (Vinted) naar de regels omtrent oneerlijke handelspraktijken in de praktijk, bespreekt Tom Bouwman (Universiteit Leiden) de consequenties van oneerlijke handelspraktijken voor consumenten, retailers, e-tailers, platformen en influencers en gaat Martijn Poulus (The Data Lawyers) in op digital fairness.

Daarna spreekt Jeroen Schouten over garantie, de verschillende vormen en de grijze gebieden.

ABRvS 25 februari 2026, IT 5117; ECLI:NL:RVS:2026:1033 ([appellant] tegen de Minister van Financiën). De Afdeling bestuursrechtspraak van de Raad van State oordeelt dat de Minister van Financiën de naam van een derde die informatie over een betrokkene aan de Belastingdienst heeft verstrekt, niet hoeft te verstrekken op grond van het inzagerecht van art.15 AVG. [appellant] had om inzage in zijn persoonsgegevens verzocht omdat hij vermoedde dat de Belastingdienst hem ten onrechte als fraudeur had aangemerkt en daarbij ook medische informatie had gebruikt. De minister verstrekte aanvullende persoonsgegevens en informatie over de bron, maar weigerde de naam van de informant bekend te maken. Volgens de minister betrof de naam geen persoonsgegeven van appellant en zou verstrekking bovendien de persoonlijke levenssfeer van de derde aantasten.  

Denemarken werkt, als eerste in Europa, aan een wijziging van zijn Auteurswet om burgers en uitvoerende kunstenaars beter te beschermen tegen AI-gegenereerde deepfakes. Het wetsvoorstel introduceert een verbodsrecht voor natuurlijke personen tegen het online beschikbaar stellen van realistische digitale imitaties van persoonlijke kenmerken en uitvoeringen, zoals stem, uiterlijk of bewegingen. Hiermee poogt Denemarken de opkomst van ongewenste deepfakes te bestrijden via het intellectueel eigendomsrecht. In een recente reactie heeft de Europese Commissie forse kanttekeningen geplaatst bij deze benadering, die ook relevant zijn voor het vergelijkbare wetgevingsinitiatief in Nederland.

Rb. Amsterdam 4 februari 2026, IT 5116; ECLI:NL:RBAMS:2026:1555 (SDBN tegen X corp. c.s.). De rechtbank Amsterdam heeft in een collectieve privacyzaak tegen X Corp (voorheen Twitter) geoordeeld dat Stichting Data Bescherming Nederland (SDBN) vooralsnog niet voldoet aan de ontvankelijkheidseisen van de WAMCA. De procedure draait om het advertentieplatform MoPub, dat onderdeel was van Twitter. Volgens SDBN zijn via de software-ontwikkelingskit van MoPub gedurende een lange periode persoonsgegevens verzameld van gebruikers van gratis mobiele apps en vervolgens gedeeld met een groot aantal derden voor gepersonaliseerde advertenties. Dat zou zijn gebeurd via tienduizenden apps en betrekking hebben op miljoenen Nederlandse gebruikers. De stichting vordert onder meer verklaringen voor recht, vernietiging van gegevens, inzage in gedeelde data en collectieve vergoeding van materiële en immateriële schade. De rechtbank benadrukt dat in deze fase nog geen inhoudelijk oordeel wordt gegeven over de vraag of daadwerkelijk sprake is van een schending van privacywetgeving. Eerst moet worden beoordeeld of de belangenorganisatie bevoegd is om deze collectieve vorderingen in te stellen. Daarbij spelen met name de eisen van representativiteit en gelijksoortigheid van belangen een rol. Volgens de rechtbank ontbreekt een voldoende aantoonbare achterban. De groep waarvoor SDBN stelt op te komen omvat feitelijk vrijwel alle Nederlandse smartphonegebruikers in de relevante periode, naar schatting circa elf miljoen personen. Daartegenover staan ongeveer 11.000 aanmeldingen via de website van de stichting, wat neerkomt op circa 0,1% van de gestelde groep. Dat acht de rechtbank onvoldoende om te kunnen aannemen dat de stichting daadwerkelijk namens een wezenlijk deel van de gedupeerden optreedt. Bovendien blijkt uit de wijze van aanmelding niet zonder meer dat de betrokkenen de concrete ingestelde vorderingen daadwerkelijk ondersteunen. 

Artikel geschreven door Elgar Weijtmans.

Mustafa Suleyman, CEO of Microsoft AI, gave an interview to the Financial Times last week. Suleyman is no lightweight: he co-founded DeepMind, the AI lab Google acquired in 2014, and has been at the forefront of AI development for over fifteen years.

His message was, to put it mildly, not subtle. According to Suleyman, most tasks performed by knowledge workers will be fully automated by AI within twelve to eighteen months.

“White-collar work where you’re sitting down at a computer, either being a lawyer or an accountant or a project manager or a marketing person. Most of those tasks will be fully automated by an AI within the next twelve to eighteen months.”

Now, bold timeline predictions about A(G)I have a rich tradition of being spectacularly wrong. This one may well join that club. But whether it takes eighteen months or five years is not really the point.

What immediately struck me was that he mentioned lawyers first, before accountants and project managers. In last week’s Beyond Billable podcast episode, Sarah Wilson-Ward of Elevate described what could be seen as the practical version of Suleyman’s prediction: how lawyers are struggling with precisely that shift.