Skip to content
Case Law
NL

Rechtbank Rotterdam, 24-06-2026 (ROT 25/7371)

Rechtbank Rotterdam

Rechtbank Rotterdam
Summary

AVG-klacht van twee particulieren over de verwerking van persoonsgegevens door ING bij contactloos betalen. De AP heeft geconcludeerd dat geen overtreding door ING van de Algemene Verordening Gegevensbescherming (AVG) kan worden vastgesteld. De rechtbank komt in deze uitspraak tot het oordeel dat de AP de klacht van eisers in passende mate heeft onderzocht en geen nader onderzoek heeft hoeven doen.

Case Summary

RECHTBANK ROTTERDAM Bestuursrecht zaaknummer: ROT 25/7371 uitspraak van de meervoudige kamer van 24 juni 2026 in de zaak tussen [eiser] en [eiseres] , uit [plaats] , eisers en de Autoriteit Persoonsgegevens, de AP (gemachtigden: mr. A. Karimi en mr. J.M.A. Koster). Samenvatting 1. Deze uitspraak gaat over een klacht die eisers hebben ingediend bij de AP over de verwerking van persoonsgegevens door ING Bank N.V. (ING) bij contactloos betalen. De AP heeft, na vernietiging van een eerdere beslissing door de rechtbank, in een nieuwe beslissing op bezwaar geconcludeerd dat geen overtreding door ING van de Algemene Verordening Gegevensbescherming (AVG) kan worden vastgesteld. Eisers zijn het met die conclusie oneens en stellen zich op het standpunt dat de AP nader onderzoek had moeten doen, zo nodig samen met andere toezichthouders. 1.1. De rechtbank komt in deze uitspraak tot het oordeel dat de AP de klacht van eisers in passende mate heeft onderzocht en geen nader onderzoek heeft hoeven doen. Eisers krijgen geen gelijk en het beroep is dus ongegrond. Hierna legt de rechtbank uit hoe zij tot dit oordeel komt en welke gevolgen dit oordeel heeft. Procesverloop 2. Eisers hebben betaalrekeningen bij ING en zijn in het bezit van aan die rekeningen gekoppelde betaalpassen. In die betaalpassen zit een Near Field Communication-chip (NFC-chip) waardoor contactloos betalen mogelijk is. Eisers hebben ING verzocht om betaalpassen zonder NFC-chip te verstrekken, zodat ongeoorloofde betalingen en de uitwisseling van privacygevoelige gegevens kunnen worden tegengegaan. In een reactie heeft ING gesteld dat het verstrekken van betaalpassen zonder NFC-chip niet mogelijk is, maar dat de functie contactloos betalen op de betaalpassen van eisers is uitgeschakeld. 2.1. Eisers hebben in december 2022 een klacht ingediend bij de AP met betrekking tot de gegevensverwerking bij contactloos betalen door ING. Volgens eisers handelt ING in strijd met de AVG doordat NFC-chips in hun betaalpassen zitten die contactloos betalen mogelijk maken, ook als deze functie uitgeschakeld is. Eisers hebben hun klacht na indiening meerdere malen aangevuld, voor het laatst in december 2023. 2.2. De AP heeft bij besluit van 14 februari 2024 (primaire besluit) een beslissing genomen op de klacht van eisers. Daarin heeft de AP overwogen dat het verstrekken van betaalpassen met een NFC-chip door ING geen AVG-kwestie is. Ten aanzien van het standpunt van eisers dat ING met de gegevensverwerking bij het contactloos betalen in strijd handelt met de AVG, heeft de AP geconcludeerd dat op basis van de klacht nog geen overtreding kan worden vastgesteld of uitgesloten. Daarvoor is verder onderzoek nodig. De AP heeft als toezichthouder de taak om klachten te onderzoeken in de mate waarin dat gepast is. Als de AP niet direct kan vaststellen of een organisatie de AVG heeft overtreden, dan kijkt de AP aan de hand van bepaalde criteria of zij de klacht verder gaat onderzoeken. De AP heeft ervoor gekozen om dat niet te doen, omdat zij onvoldoende efficiënt en effectief kan optreden. De AP zou om een overtreding van de AVG te kunnen vaststellen of uitsluiten moeten onderzoeken of en welke persoonsgegevens worden verwerkt bij het contactloos betalen, de rechtmatigheid van de eventuele verwerking van persoonsgegevens moeten onderzoeken en hiervoor informatie moeten vorderen bij ING en mogelijk onderzoek ter plaatse moeten doen. Dit onderzoek vraagt veel van de beperkte capaciteit en middelen die de AP tot haar beschikking heeft. Daarom heeft de AP besloten om geen verder onderzoek te doen. Bij besluit van 29 augustus 2024 op het bezwaar van eisers is de AP bij deze afdoening van de klacht gebleven. 2.3. Bij uitspraak van 23 april 2025 heeft de rechtbank het besluit van 29 augustus 2024 vernietigd omdat de AP eisers ten onrechte niet heeft gehoord in de bezwaarfase. 2.4. Met het bestreden besluit van 2 september 2025 heeft de AP een nieuwe beslissing op het bezwaar van eisers genomen, na eisers eerst te hebben gehoord op de hoorzitting van 12 juni 2025. In het bestreden besluit komt de AP tot de conclusie dat zij de klacht in gepaste mate heeft onderzocht , maar dat op basis van het dossier geen overtreding door ING van de AVG kan worden vastgesteld. 2.5. Eisers hebben beroep ingesteld tegen het bestreden besluit. De AP heeft op het beroep gereageerd met een verweerschrift. 2.6. De rechtbank heeft het beroep op 1 april 2026 op zitting behandeld. Hieraan hebben deelgenomen: eisers en de gemachtigden van de AP. Standpunt eisers 3. Eisers stellen zich op het standpunt dat de AP hun AVG-klacht niet in gepaste mate heeft onderzocht. Op basis van wat eisers hebben aangevoerd blijkt al dat sprake is van overtreding van de AVG. De AP had nader onderzoek moeten doen op basis van de bewijzen en argumenten die eisers hebben aangevoerd en daarbij technische deskundigheid moeten betrekken. Eisers stellen daarnaast dat voor zover de klacht ziet op overtreding van wetten waarvoor de AP niet bevoegd is, zij verplicht was om afstemming te zoeken met andere toezichthouders of de zaak over te dragen. Relevante wet- en regelgeving 4. De voor de beoordeling van het beroep belangrijke wet- en regelgeving is te vinden in de bijlage bij deze uitspraak. Beoordeling door de rechtbank Heeft de AP de AVG-klacht van eisers in passende mate onderzocht? 5. Eisers dragen voor hun beroepsgrond dat de AP hun klacht niet in passende mate heeft onderzocht een aantal argumenten aan. 5.1. Eisers voeren in de eerste plaats aan dat zij hebben aangetoond, door middel van diverse tests, dat de NFC-chip niet veilig is. Zo kan er met geblokkeerde of verlopen passen worden betaald en bestaat er een risico van onbedoeld contactloos betalen. Volgens eisers heeft de AP die onveiligheid niet onderkend, waarbij eisers wijzen op onvoldoende technische deskundigheid bij de AP. Daarbij wijzen eisers erop dat de maatregelen, die ING neemt zoals autorisatie achteraf, niet altijd werken en dat ook blijkt uit daadwerkelijke afschrijvingen bij eisers. De informatie die ING daarover heeft gegeven is volgens eisers frauduleus, waarbij zij onder meer wijzen op onjuiste betaalkenmerken en pasnummers. Volgens eisers gaat de AP eraan voorbij dat het probleem zit bij de NFC-chip zelf. Het alternatief dat ING heeft geboden, namelijk kosteloos overstappen naar een andere bank, geeft eisers geen echte keuzevrijheid en neemt de onveiligheid daarmee niet weg. 5.2. Eisers voeren daarnaast aan dat er geen grondslag is voor de verwerking van hun persoonsgegevens en daarmee de verwerking in strijd is met artikel 6 van de AVG. Volgens eisers is bij een actieve betaalrelatie “uitvoering van een overeenkomst” de aangewezen grondslag. Zodra de pas echter is geblokkeerd, verlopen of de contactloosfunctie is uitgeschakeld, is de overeenkomst volgens eisers feitelijk geschorst of beëindigd. Evenmin geldt dan volgens eisers toestemming als grondslag. Daarmee vervalt volgens eisers de grondslag voor verwerking en is die verwerking onrechtmatig. 5.3. In het bestreden besluit heeft de AP toegelicht dat zij als toezichthouder de taak heeft de klacht van eisers te onderzoeken in de mate waarin dat gepast is. De AP wijst erop dat zij jaarlijks een groot aantal signalen en klachten ontvangt. Wat de beste aanpak is en hoeveel onderzoek er nodig is, verschilt per klacht. Kan de AP niet direct vaststellen of de organisatie de AVG heeft overtreden, dan kijkt de AP of zij de klacht verder gaat onderzoeken. De AP gebruikt daarvoor de hierboven genoemde criteria. Met het hanteren van deze werkwijze geeft de AP inzicht in de manier waarop bij klachten toezicht wordt gehouden op de naleving van voorschriften en op welke wijze zij de omvang van het onderzoek in gepaste mate bepaalt. De AP wijst er daarbij op dat haar werkwijze door de Afdeling bestuursrechtspraak van de Raad van State niet onredelijk is geacht . 5.4. Op basis van het bezwaarschrift van eisers, alle overgelegde stukken en wat is verhandeld tijdens de eerdere beroepsprocedure heeft de AP de zaak opnieuw beoordeeld en heeft zij het primaire besluit van 14 februari 2024 (opnieuw) heroverwogen. De AP concludeert in het bestreden besluit dat zij de AVG-klacht van eisers in gepaste mate heeft onderzocht en dat op basis van het dossier en de gevallen van gebruik van de betaalpas die eisers beschrijven geen overtreding van de AVG kan worden vastgesteld. 5.5. De rechtbank is van oordeel dat de AP de klacht in gepaste mate heeft onderzocht en dat zij zich in redelijkheid op het standpunt mocht stellen dat op basis van dat onderzoek geen overtreding door ING van de AVG kan worden vastgesteld. De rechtbank licht dit hierna toe. 5.6. Bij het gebruik van de betaalpassen worden de persoonsgegevens van eisers verwerkt door ING als verwerkingsverantwoordelijke. Artikel 32 AVG eist van verwerkingsverantwoordelijken om technische en organisatorische maatregelen af te stemmen op de risico’s met passende beveiligingsniveaus en daarbij rekening te houden met de beoordelingscriteria uit het eerste lid van die bepaling. De AP heeft de naleving van deze bepaling door ING getoetst aan de hand van de klacht en wat eisers naar voren hebben gebracht over gebruik van hun betaalpassen, afschrijvingen (bankafschriften en tijdlijnen) en de technische werking en risico’s van gebruik van NFC-chips. Daarnaast heeft de AP stukken en verklaringen van ING hierover beoordeeld en eisers in de gelegenheid gesteld om op de informatie van ING te reageren. Op basis van die informatie acht de AP niet onderbouwd dat sprake is geweest van per ongeluk contactloos betalen of een fout daaromtrent en leiden de gevallen van gebruik van hun betaalpassen die eisers hebben aangevoerd volgens de AP niet tot de conclusie dat ING artikel 32 van de AVG heeft overtreden. 5.7. De rechtbank overweegt dat eisers wel twijfels hebben geuit over de bevindingen van de AP en de onderliggende verklaringen en stukken van ING, maar zij hebben niet onderbouwd dat deze bevindingen van de AP of verklaringen van ING onjuist zijn, of zijn gebaseerd op valse informatie of onvoldoende technische kennis. Ten aanzien van de stelling van eisers dat de NFC-chip nog steeds werkt bij geblokkeerde of verlopen passen of waarvoor contactloos betalen is uitgezet en dit een risico is heeft de AP in het bestreden besluit toegelicht dat de AVG niet verlangt dat risico’s volledig worden weggenomen en risico’s ook met aanvullende maatregelen (zoals autorisatie achteraf, het verlangen van een pincode boven bepaalde bedragen en compensatie in geval van fraude) kunnen worden gemitigeerd. De AP merkt op dat haar ook in bredere zin geen signalen of klachten bekend zijn van problemen rondom betalingen met NFC-chips. Eisers hebben deze uitleg, die de rechtbank aannemelijk acht, niet gemotiveerd bestreden. De AP heeft zich gelet op het voorgaande in redelijkheid op het standpunt kunnen stellen dat op basis van het dossier geen overtreding door ING van artikel 32 AVG kan worden vastgesteld. 5.8. Uit artikel 6, eerste lid, van de AVG volgt dat de verwerking van persoonsgegevens alleen rechtmatig is indien en voor zover er een geldige grondslag voor verwerking is. De AP heeft op basis van de klacht van eisers en de verklaringen van ING mogelijke verwerkingsgrondslagen getoetst en geconcludeerd dat ING in algemene zin een grondslag heeft voor de verwerking van betalingsgegevens, namelijk een wettelijke verplichting. Daarnaast kunnen de verwerkingen mogelijk ook noodzakelijk zijn voor de uitvoering van de overeenkomst of noodzakelijk zijn voor de behartiging van de gerechtvaardigde belangen van ING of van een derde. Ook heeft de AP toegelicht dat uitdrukkelijke toestemming voor het uitvoeren van betalingen, al dan niet contactloos, niet vereist is en benadrukt dat klanten van ING zelf bepalen of zij een betaling wel of niet verrichten met gebruikmaking van een NFC-chip, namelijk door de bankpas bij het betaalapparaat te houden. Er zijn voldoende alternatieven en de AP is niet gebleken van de door eisers geschetste situatie van het tegen de wil contactloos betalen. De AP heeft vervolgens geconcludeerd dat zij op basis van de voorliggende feiten en omstandigheden dan ook niet heeft kunnen vaststellen dat ING zonder rechtsgeldige grondslag persoonsgegevens van eisers verwerkt. 5.9. Eisers hebben in beroep alleen de contractuele grondslag gemotiveerd betwist. De rechtbank kan daarover de uitleg van de AP volgen dat het uitzetten van contactloos betalen of het blokkeren van de pas primair betekenis heeft voor het contract tussen de bank en de rekeninghouder en de grondslag voor verwerking van persoonsgegevens niet wegneemt. De AP heeft zich gelet op het voorgaande in redelijkheid op het standpunt kunnen stellen dat op basis van het dossier geen overtreding door ING van artikel 6 AVG kan worden vastgesteld 5.10. Gelet op wat de rechtbank hiervoor heeft overwogen heeft AP zich in redelijkheid op het standpunt kunnen stellen dat op basis van het dossier geen overtreding van de AVG kan worden vastgesteld en heeft zij mogen afzien van nader onderzoek. Gestelde overtredingen van andere wetten en civielrechtelijke of consumentenrechtelijke kwesties 6. De rechtbank gaat niet inhoudelijk in op andere overtredingen die ING volgens eisers heeft begaan, zoals fraude en valsheid in geschrifte. De AP is de privacy-toezichthouder in Nederland. De AP heeft alleen onderzoek gedaan naar de naleving van de AVG. De AP heeft beslist op een AVG-klacht van eisers en dat is dan ook het besluit dat de rechtbank beoordeelt. Voor melding van overtredingen van andere wetten kunnen eisers bij de politie/het OM of andere toezichthouders zoals DNB en AFM terecht. De AP is anders dan eisers stellen niet gehouden om hierover afstemming te zoeken met andere toezichthouders, of om de klacht over te dragen aan andere toezichthouders. 6.1. Of ING eisers de keuze voor een betaalpas die niet geschikt is voor contactloos betalen moest bieden en of door dat niet te doen sprake is van koppelverkoop zijn, zoals de AP heeft aangegeven, geen AVG-kwesties. Ook daarop kan de rechtbank niet inhoudelijk ingaan. Conclusie en gevolgen 7. Het beroep is ongegrond. Dat betekent dat de AP de klacht van eisers in passende mate heeft onderzocht en de AP geen nader onderzoek hoefde te doen. Eisers krijgen daarom het griffierecht niet terug. Zij krijgen ook geen vergoeding van hun proceskosten. Beslissing De rechtbank verklaart het beroep ongegrond. Deze uitspraak is gedaan door mr. A.A. Kleinhout, voorzitter, en mr. J. Fransen en mr. S.M. Goossens, leden, in aanwezigheid van A. van Duijn, griffier. Uitgesproken in het openbaar op 24 juni 2026. De griffier is verhinderd de uitspraak te ondertekenen griffier voorzitter Een afschrift van deze uitspraak is verzonden aan partijen op: Informatie over hoger beroep Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden. Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State vragen om een voorlopige voorziening (een tijdelijke maatregel) te treffen. Bijlage: voor deze uitspraak belangrijke wet- en regelgeving Algemene verordening gegevensbescherming Artikel 5 Beginselen inzake verwerking van persoonsgegevens 1. Persoonsgegevens moeten: a. a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”); (…) Artikel 6 Rechtmatigheid van de verwerking 1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: (…) b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; (…) f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. (…) Artikel 32 Beveiliging van de verwerking 1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: a) de pseudonimisering en versleuteling van persoonsgegevens; b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. 2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. (…) Artikel 57 Taken 1. Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken: (…) f) zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is; (…) De AP heeft verwezen naar: https://www.autoriteitpersoonsgegevens.nl/behandeling-van-klachten-door-de-ap Rechtbank Rotterdam 23 april 2025, ECLI:NL:RBROT:2025:5290. Artikel 57, eerste lid onder f van de AVG. Afdeling bestuursrechtspraak van de Raad van State (ABRvS) 19 april 2023, ECLI:NL:RVS:2023:1535, r.o. 5.1 en 5.2. De AP wijst ook op Rechtbank Midden-Nederland 25 april 2024, ECLI:NL:RBMNE:2024:2531. Onder verwijzing naar Hof van Justitie van de Europese Unie 14 december 2023, C-340/21, ECLI:EU:C:2023:986.

Related across sources

Similar Content