Snel en volledig op de hoogte van de nieuwste privacyrechtspraak?
Tijdens de middag Actualiteiten Privacyrecht nemen Quinten Kroes (Brinkhof) en Vita Zwaan (Rubicon Impact & Litigation) u mee in de ontwikkelingen en rechtspraak op het gebied van privacyrecht. In slechts twee uur tijd krijgt u een helder en actueel overzicht van relevante rechtspraak.
1. Basisbegrippen AVG
Definitie persoonsgegevens
HvJ EU 4 september 2025, ECLI:EU:C:2025:645, EDPS/GAR
Het Hof bevestigt dat het begrip persoonsgegevens ruim wordt uitgelegd. Ook persoonlijke meningen en standpunten kunnen persoonsgegevens zijn. Gepseudonimiseerde gegevens zijn niet automatisch voor iedere partij persoonsgegevens; beslissend is of de betrokkene vanuit het perspectief van de relevante verwerkingsverantwoordelijke identificeerbaar is.
HR 19 december 2025, ECLI:NL:HR:2025:1980, nieuwsbericht rechtspraak.nl
Voor persoonsgegevens is niet vereist dat iemands naam wordt genoemd. Ook een combinatie van gegevens kan iemand identificeerbaar maken. In deze zaak maakten onder meer plaatsnaam, leeftijd, gezinssituatie en inhoudelijke details verzoekster en haar dochter herkenbaar voor hun omgeving.
(Gezamenlijke) verwerkingsverantwoordelijkheid
HvJ EU 2 december 2025, ECLI:EU:C:2025:935, Russmedia
Een platform kan verwerkingsverantwoordelijke zijn voor persoonsgegevens in advertenties van gebruikers wanneer het voor eigen commerciële doeleinden invloed heeft op publicatie en verspreiding. Dat de gebruiker de advertentie zelf plaatst, sluit gezamenlijke verwerkingsverantwoordelijkheid niet uit.
HvJ EU 30 april 2025, ECLI:EU:C:2025:303, Inspektorat kam Visshia sadeben savet
Een rechterlijke instantie die alleen machtiging verleent voor gegevensverstrekking is geen verwerkingsverantwoordelijke. Zij bepaalt niet zelf het doel en de middelen van de verwerking. Die verantwoordelijkheid ligt bij het orgaan dat om toegang tot de gegevens verzoekt.
2. Bestuurlijke handhaving en AP-besluiten
AP, AS Watson/Kruidvat
De AP legt een boete op wegens verwerking van persoonsgegevens via tracking cookies zonder rechtmatige grondslag. De boete wordt in bezwaar gematigd tot € 50.000, onder meer vanwege de lange duur van de procedure, erkenning van de overtreding en de geringe ernst.
AP, Yango/MLU B.V. als rechtsopvolger van Ridetech
De AP legt een boete van € 100 miljoen en een verwerkingsverbod op wegens doorgifte van persoonsgegevens van Finse en Noorse Yango-gebruikers naar Rusland zonder passende waarborgen. Volgens de AP zijn art. 44 en 46 AVG, gelezen met art. 5 lid 1 onder a en lid 2 AVG, overtreden.
Concept-handhavingsbeleid AP
Dit is geen jurisprudentie, maar conceptbeleid. De AP beschrijft daarin dat zij effectgericht handhaaft en per geval het passende instrument kiest, zoals een berisping, last, last onder dwangsom, verwerkingsbeperking, verwerkingsverbod of bestuurlijke boete.
3. Schadevergoeding: Europees kader
HvJ EU 4 september 2025, ECLI:EU:C:2025:655, Quirin Privatbank
Voor schadevergoeding op grond van art. 82 AVG zijn drie voorwaarden vereist: een AVG-inbreuk, daadwerkelijk geleden schade en causaal verband. Negatieve gevoelens zoals vrees of ergernis kunnen immateriële schade zijn, maar moeten voldoende worden aangetoond.
Gerecht EU 1 oktober 2025, ECLI:EU:T:2025:925, OLAF
Het Gerecht kent € 50.000 schadevergoeding toe. OLAF had persoonsgegevens onrechtmatig verwerkt, het vermoeden van onschuld geschonden en onvoldoende zorgvuldig gehandeld bij een persbericht. De gevorderde € 1,1 miljoen wordt niet toegewezen.
HvJ EU 19 maart 2026, ECLI:EU:C:2026:216, Brillen Rottler
Ook een eerste inzageverzoek kan buitensporig zijn als sprake is van misbruik. Schending van het inzagerecht kan schadevergoeding opleveren, maar alleen als daadwerkelijke schade en causaal verband worden aangetoond. Eigen gedrag van de betrokkene kan de schadeclaim doorbreken.
4. Schadevergoeding: nationaal civiel recht
Rb. Rotterdam 19 november 2025, ECLI:NL:RBROT:2025:14138, Criteo
Criteo handelt onrechtmatig door zonder toestemming third party cookies te plaatsen. De schadeclaim wordt afgewezen, omdat de betrokkene onvoldoende concreet heeft onderbouwd dat hij daadwerkelijk immateriële schade heeft geleden. Algemene gevoelens van zorg, narigheid en ongemak zijn onvoldoende.
Hof Arnhem-Leeuwarden 22 juli 2025, ECLI:NL:GHARL:2025:4556, Koper/Autobedrijf
Het autobedrijf heeft niet bewezen dat zijn e-mailaccount passend was beveiligd. Daardoor staat een toerekenbare AVG-inbreuk vast en bestaat causaal verband met de materiële schade van de koper. Immateriële schade wordt niet aangenomen, omdat stress, angstklachten en vrees voor identiteitsfraude onvoldoende concreet zijn onderbouwd. De zaak loopt nog door over mogelijke eigen schuld van de koper.
5. Schadevergoeding: nationaal bestuursrecht
ABRvS 16 juli 2025, ECLI:NL:RVS:2025:3260, Verwey-Jonker Instituut
Individuele medewerkers die onder gezag en instructie van het ministerie persoonsgegevens verwerken, zijn geen “ontvangers” in de zin van art. 15 AVG. Voor een mogelijke schadeclaim is hun identiteit niet nodig; voldoende is dat bekend is wie de verwerkingsverantwoordelijke is en hoeveel medewerkers gegevens hebben verwerkt.
ABRvS 22 oktober 2025, ECLI:NL:RVS:2025:5066, Regio Gooi en Vechtstreek
De Regio is verwerkingsverantwoordelijke voor het RMC-dossier. De verwerking van gegevens van de zoon is rechtmatig vanwege een wettelijke verplichting. Wel was er een inzage-inbreuk, maar schadevergoeding wordt afgewezen omdat schade en causaal verband onvoldoende zijn onderbouwd.
ABRvS 12 november 2025, ECLI:NL:RVS:2025:5497, Burgemeester van Leusden
De Afdeling bevestigt de afwijzing van schadevergoeding bij opname in de persoonsgerichte aanpak. Ook als bepaalde gegevensverwerking onrechtmatig zou zijn, moeten schade en causaal verband concreet worden aangetoond. Dat is niet gelukt voor gestelde stress, reputatieschade en vervoerskosten.
6. Collectieve acties onder de AVG en WAMCA
Hof Amsterdam 7 oktober 2025, ECLI:NL:GHAMS:2025:2666, SMC, SOMI en STBYP/TikTok
Het hof houdt de collectieve AVG-vorderingen aan in afwachting van prejudiciële vragen over art. 80 AVG. Het gaat onder meer om de vraag of stichtingen zonder opdracht van betrokkenen schadevergoeding op grond van art. 82 AVG kunnen vorderen. De niet-AVG-vorderingen, zoals consumentenrecht, Telecommunicatiewet, Mediawet, onrechtmatige daad en DSA, kunnen wel verder worden behandeld. Het hof maakt ook duidelijk dat immateriële schadevorderingen niet al in de ontvankelijkheidsfase mogen stranden enkel omdat schade per gebruiker kan verschillen.
Concl. A-G R.H. de Bock 30 januari 2026, ECLI:NL:PHR:2026:129, The Privacy Collective/Oracle & Salesforce
Dit is een conclusie, geen arrest. De A-G vindt dat de WAMCA-ontvankelijkheidseisen, zoals representativiteit, governance, transparantie en gelijksoortigheid, niet zo streng mogen worden toegepast dat collectieve acties door ad hoc-stichtingen feitelijk onmogelijk worden. Volgens de A-G hoeft in de ontvankelijkheidsfase nog niet definitief te worden beoordeeld of aan art. 80 AVG is voldaan. De verhouding tussen collectieve AVG-schadeacties en art. 80 AVG is dus nog niet definitief uitgekristalliseerd.
Praktische informatie
Datum: woensdag 24 juni 2026
Tijd: 15.00 - 17.15 uur
Accreditatie: 2 PO-punten
Locatie: Brinkhof, Grote Bickersstraat 74-78, 1013 KS Amsterdam
Verdere informatie
- € 445,00
- € 395,00
- € 345,00