Genetic Data

Artikel 22

Verwerkingsverbod bijzondere categorieën persoonsgegevens en algemene uitzonderingen uit verordening

Artikel 28

Uitzonderingen inzake genetische gegevens

Recital 75

Recital 35

Recital 75

Recital 53

Recital 34

Recital 34

Recital 35

Recital 53

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBZWB:2026:626 Rechtbank Zeeland-West-Brabant , 27-01-2026 / 02-440320 FA RK 25-5021

Rechtbank Zeeland-West-Brabant

Tussenbeschikking. DNA-onderzoek.

ECLI:NL:RBZWB:2026:627 Rechtbank Zeeland-West-Brabant , 27-01-2026 / 02-441522 FA RK 25-5651

Rechtbank Zeeland-West-Brabant

Vernietiging erkenning. Verzoeker meerderjarig. Verzoek buiten de wettelijke termijn ingediend. Geslaagd beroep artikel 8 EVRM. Verzoeker ontvankelijk. Verzoek toegewezen. Artikel 1:205 BW.

Rechtbank Amsterdam

Rechtbank Amsterdam

Collectieve actie Bureau Clara Wichman. Borstimplantaten. Vervolg op rechtbank Amsterdam 14 februari 2024, ECLI:NL:RBAMS:2024:745 en rechtbank Amsterdam 1 mei 2024, ECLI:NL:RBAMS:2024:2479. Productaansprakelijkheid. Richtlijn 85/374/EEG inzake productaansprakelijkheid. Richtlijn 93/42/EEG betreffende medische hulpmiddelen. Artikel 6:185 e.v. BW, artikel 6:162 BW, artikel 6:193b BW en 6:193d BW. Artikel 843a Rv (oud). Hoge Raad 30 juni 1989, NJ 1990/652 (Halcion). Eindvonnis. Geen gebrekkig product in de zin van artikel 6:186 BW. Producent niet aansprakelijk. De rechtbank wijst de vorderingen in de hoofdzaak en het incident af. Zie voor een samenvatting van het vonnis, het vonnis onder 1. ‘De zaak in het kort’.

Rechtbank Den Haag

Rechtbank Den Haag

Rijkswet op het Nederlanderschap. Ambtenaar burgerlijke stand Den Haag als belanghebbende aangemerkt m.b.t. inschrijfbaarheid buitenlandse geboorteakte dan wel vaststellen geboortegegevens. Overige verzoeken ingetrokken.

ECLI:NL:RVS:2025:4980 Raad van State , 22-10-2025 / 202306817/1/A3

Raad van State

Bij besluit van 9 december 2021 heeft het college van burgemeester en wethouders van Hilversum het verzoek van [appellante] om wijziging van haar persoonsgegevens in de basisregistratie personen afgewezen. De Afdeling behandelt regelmatig zaken waarin rectificatieverzoeken op grond van artikel 2.58 van de Wet brp zijn geweigerd. In deze zaken hebben personen verzocht om wijziging van bijvoorbeeld hun naam of geboortedatum in de brp. De Afdeling krijgt op basis van de dossiers van deze zaken onvoldoende zicht op de mogelijke gevolgen die toewijzing of afwijzing van een rectificatieverzoek hebben. Daarnaast ziet de Afdeling enkele terugkerende problemen bij het beoordelen van de buitenlandse (bron)documenten die ter onderbouwing van rectificatieverzoeken worden aangeleverd. De amicus-curiaeprocedure is toegepast om anderen dan partijen de gelegenheid te bieden om zaakoverstijgende inlichtingen te geven over zowel de mogelijke gevolgen van rectificatieverzoeken als de bewijstechnische problemen die buitenlandse (bron)documenten teweeg brengen. De brp heeft een belangrijke functie binnen ons rechtssysteem. Veel organisaties gebruiken de gegevens die daarin zijn opgenomen.

DNA afname hier geoorloofd. Wet DNA in relatie tot art. 8 EVRM

Rechtbank

Bezwaarschrift tegen het bepalen en verwerken van het DNA-profiel, ongegrond.

Handhavingsverzoek. Aantekening van verwijderverzoek door GGNet mag blijven bestaan. Uitzondering art. 9(2)(h) AVG van toepassing. Dossierplicht bestaat ook voor verpleegkundige bij een intakegesprek van deze aard.

Raad van State

Bij besluit van 12 juli 2019 heeft de Autoriteit Persoonsgegevens het handhavingsverzoek van [appellante] afgewezen. Bij besluit van 25 juni 2020 heeft de AP het door [appellante] daartegen gemaakte bezwaar ongegrond verklaard.

Geen vormverzuimen of andere onrechtmatigheden bij de verwerking van de EncroChat- en SkyECC-data

Rechtbank

Onderzoek Otus. Bewezenverklaring van het medeplegen van voorbereidingshandelingen voor de invoer van harddrugs, betrokkenheid bij een criminele organisatie die zich bezighield met grootschalige hennephandel, wapenbezit en drugsbezit. Verwerping van EncroChat- en SkyECC-verweren. Verdachte is veroordeeld tot een gevangenisstraf voor de duur van 54 maanden met aftrek van voorarrest

Kort:

Rechtbank

Jeugdstrafrecht. In korte tijd verschillende geweldsdelicten. Doxing. Oplegging van vrijheidsbeperkende maatregel.

Woo-zaak. Feit dat adres ook in KvK te vinden is maakt rechtmatigheid niet-openbaar maken niet anders. Context is anders.

Rechtbank

Woo-zaak. Verweerder heeft niet gemotiveerd waarom de gelakte passages persoonlijke beleidsopvattingen betreffen. Ook is gebleken dat verweerder de mogelijkheid heeft bezien om gebruik te maken van zijn discretionaire bevoegdheid om de informatie in niet tot personen herleidbare vorm openbaar te maken. Beroep gegrond. Verweerder moet een nieuwe beslissing op het bezwaar van eiser nemen met inachtneming van deze uitspraak.

OM-cassatie en cassatie verdachte.

Hoge Raad

OM-cassatie en cassatie verdachte. Phishing-fraude met behulp van valse betaalverzoeken. Medeplegen computervredebreuk, meermalen gepleegd (art. 138ab.1 Sr), medeplegen voorhanden hebben van toegangscodes (art. 139d.2.b Sr), medeplegen oplichting, meermalen gepleegd (art. 326.1 Sr) en medeplegen diefstal d.m.v. valse sleutels (art. 311.1 Sr). Onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. In dit arrest gaat de Hoge Raad in op de betekenis van recente rechtspraak van het Hof van Justitie van de Europese Unie – in het bijzonder de uitspraak in de zaak CG/Bezirkshauptmannschaft Landeck – voor de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones. Deze recente rechtspraak brengt mee dat dit onderzoek op een enigszins andere manier moet worden genormeerd dan uit een eerdere uitspraak van de Hoge Raad voortvloeit. Het is aan de wetgever om een wettelijke regeling op te stellen die in haar algemeenheid voldoet aan alle in de rechtspraak van het Hof van Justitie gestelde vereisten. In afwachting van zo’n regeling ziet de Hoge Raad aanleiding om zijn eerdere rechtspraak bij te stellen. In dit arrest wordt in rechtsoverweging 5 uiteengezet wat deze bijstelling inhoudt. Vervolgens worden de cassatiemiddelen van het openbaar ministerie en van de verdachte beoordeeld (rechtsoverweging 6 en 7). In rechtsoverweging 9 geeft de Hoge Raad een samenvatting van zijn oordeel in deze zaak. Volgt verwerping. Samenhang met 22/03872 en 22/03913.

JH, een Tsjechische burger, werd in 2015 beschuldigd van het niet nakomen van zijn verplichtingen bij het beheren van...

CJEU

JH, een Tsjechische burger, werd in 2015 beschuldigd van het niet nakomen van zijn verplichtingen bij het beheren van andermans vermogen. In het kader van deze strafprocedure heeft de Tsjechische politie JH’s biometrische en genetische gegevens verzameld, waaronder vingerafdrukken en een wanguits...

Het DNA-profiel van het Heulmeisje is een persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak en daarmee een Wpg gegeven, met als gevolg dat het buiten de Woo valt

Rechtbank

In geschil is of het DNA-profiel van het Heulmeisje is aan te merken als een persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak. Dan gaat het nl. om een politiegegeven waarop de Wpg en niet de Woo van toepassing is (r.o. 8.2). De rechtbank is van oordeel dat dit ...

Handpalmafdruk van verdachte had vernietigd moeten worden. Dit is een schending van de persoonlijke levenssfeer met strafvermindering als gevolg

Gerechtshof

Cold case-zaak. Het hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 30 maanden voor een verkrachting gepleegd in 2003. Handpalmafdrukken en DNA-sporen leidden naar de verdachte. Verdachte bekent in hoger beroep. Verder was sprake van een vormverzuim buiten het voorbereidend onderzoek die bepalend was voor de strafzaak.

Inzageverzoek op grond van de Wet politiegegevens (Wpg).

Rechtbank

Inzageverzoek op grond van de Wet politiegegevens (Wpg). Verweerder heeft onvoldoende gemotiveerd waarom de weigeringsgronden aan inzage in de weg staan. Verweerder heeft ook ten onrechte geen belangenafweging gemaakt. Beroep gegrond.

Artikel

Rechtbank

Inzageverzoek op grond van de Wet politiegegevens (Wpg). Het bestreden besluit is niet deugdelijk gemotiveerd. Het onderzoek is niet volledig geweest. Verweerder heeft de term ‘verwerken’ als bedoeld in artikel 25 van de Wpg te strikt opgevat. Beroep gegrond.

VB v Natsionalna agentsia za prihodite

C-340/21 (VB v Natsionalna agentsia)

Data breach alone does not establish inadequate security measures. Burden on controller to prove adequacy.

ECLI:NL:RBNNE:2023:821 Rechtbank Noord-Nederland , 24-02-2023 / LEE 22/2493

Rechtbank Noord-Nederland

Wet politiegegevens. Beroep gegrond, vernietiging bestreden besluit. Rechtsgevolgen blijven in stand. Omdat eiser de rechtbank geen toestemming heeft verleend om kennis te nemen van de registraties kan de rechtbank niet beoordelen welke informatie – meer dan in het verweerschrift gegeven - wel en niet verstrekt had moeten worden en of het (eventueel) gerechtvaardigd is dat eiser de registraties niet mag inzien. De gevolgen van het weigeren van toestemming als bedoeld in artikel 8:29, vijfde lid van de Awb komen volgens vaste jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State in beginsel voor rekening van de weigerende partij.

Meta Platforms v noyb

C-252/21 (Meta Platforms (noyb))

GDPR consent requirements and lead supervisory authority mechanism.

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Versiegeschiedenis

guidelines meldplicht datalekken

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

23andMe, Inc.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 2.700.000 euro - Informatiecommissaris (ICO).

De Britse Autoriteit voor Gegevensbescherming (DPA) heeft een boete van 2.310.000 pond (2.700.000 euro) opgelegd aan 23andMe, Inc. De verantwoordelijke, een bedrijf dat DNA-tests aanbiedt aan particulieren, heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, met name gezien de gevoeligheid van de verwerkte gegevens. Hierdoor vond een cyberaanval plaats, wat resulteerde in een datalek dat ten minste vijf maanden lang 155.592 gebruikers in het Verenigd Koninkrijk heeft getroffen. De DPA beschouwde het feit dat de verantwoordelijke de...

23andMe, Inc.: Insufficient technical and organisational measures to ensure information security

€2,700,000 fine - Information Commissioner (ICO)

The UK DPA imposed a fine of £ 2,310,000 (EUR 2,700,000) on 23andMe, Inc. The controller, a company offering DNA testing to private individuals, failed to implement sufficient technical and organizational measures to ensure data security, especially in regards to the sensitivity of the processed data. As a result, a cyberattack occurred, which led to a data breach affecting 155,592 UK-based users over the course of at least five months. The DPA considered the controller's failure to identify the

Asper Biogene OÜ: Insufficient technical and organisational measures to ensure information security

Estonian Data Protection Authority (AKI)

The Estonian DPA imposed a fine of EUR 85,000 on Asper Biogene OÜ. Asper Biogene OÜ suffered a data leak due to a lack of adequate security measures. The leak affected approximately 100,000 files containing personal, health and genetic data. Asper Biogene OÜ also appointed a member of the board of directors as DPO, resulting in a conflict of interest. A fine of EUR 80,000 was imposed for the inadequate security measures. The unlawful appointment of the DPO was fined EUR 5,000. ---UPDATE--- The T

THE HACK: Germany eyes social media age ban

In today's edition: Spain's AI 'pornification' ban push, MEP questions US biometrics talks, DNA priorities

Europe’s extreme caution on NGTs is deepening distrust, not rebuilding it

Excessive caution towards new genomic techniques reinforces the idea that biotechnology is fundamentally dangerous unless tightly contained. Instead of normalising innovation, the EU risks entrenching GM stigma

Wijziging van de Wet DNA-onderzoek bij veroordeelden en het Wetboek van Strafvordering in verband met de introductie van conservatoire afname van celmateriaal en enkele andere wijzigingen met betrekking tot DNA-onderzoek

Legislation

Wijziging van de Wet DNA-onderzoek bij veroordeelden en het Wetboek van Strafvordering in verband met de introductie van conservatoire afname van celmateriaal en enkele andere wijzigingen met betrekking tot DNA-onderzoek is ingediend. Kamerstukken 1 t/m 4 zijn gepubliceerd inclusief als bijlagen ...

Amendment of the Law on DNA testing for convicted individuals and the Code of Criminal Procedure, concerning the introduction of precautionary collection of cell samples and several other amendments related to DNA testing.

Legislation.

A bill has been submitted to amend the Law on DNA testing for convicted individuals and the Code of Criminal Procedure, concerning the introduction of precautionary collection of cell samples and several other changes related to DNA testing. Documents 1 through 4 have been published, including appendices.

Theorie versus praktijk: Hoe juridische en ethische kaders de professionals in de overheidssector in Nederland beïnvloeden op het gebied van data.

Er is een groot verschil tussen de wettelijke en ethische regels voor bestuur en de dagelijkse praktijk van professionals in de publieke sector die met data werken. Deze kaders worden vaak impliciet en subtiel toegepast, wat een invloed heeft op de besluitvorming. Volgens dit artikel is het bevorderen van algemene kennis en vaardigheden, in plaats van specialisatie, een noodzakelijk gevolg.

Paper vs. practice: How legal and ethical frameworks influence public sector data professionals in the Netherlands

There is a wide gap between legal and ethical governance rules and the everyday practices of public sector data professionals. Frameworks are integrated implicitly, subtly influencing decision making. According to this article, mainstreaming literacy, rather than specialization, is a necessary consequence.

AEPD publishes GDPR Risk Assessment

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.

De Autoriteit Persoonsgegevens publiceert een rapport over de risicoanalyse van de AVG (Algemene Verordening Gegevensbescherming).

De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.

Civil Rights Organisations Criticise automated data exchange for police cooperation (Prüm II Proposal)

The European Digital Rights (EDRi) network published a position paper on the proposed Regulation on automated data exchange for police cooperation, known as “Prüm II”. This currently primarily consists of a data-sharing network (interlinking national DNA, fingerprint and vehicle registration databases). It foresees the expansion of the data-sharing network to the interconnection of facial images and, on a voluntary basis, “police records”. The position paper raises several critical issues of t

Mensenrechtenorganisaties bekritiseren de geautomatiseerde gegevensuitwisseling voor de samenwerking tussen de politie (voorstel Prüm II).

Het netwerk European Digital Rights (EDRi) heeft een position paper gepubliceerd over het voorgestelde Europees regelgevend kader voor geautomatiseerde gegevensuitwisseling ter bevordering van de samenwerking tussen politie, bekend als "Prüm II". Dit omvat momenteel voornamelijk een netwerk voor gegevensuitwisseling (waarbij nationale DNA-databases, vingerafdrukken en voertuigregistraties met elkaar worden verbonden). Het voorziet in een uitbreiding van dit netwerk, waarbij gezichtsherkenningstechnologie wordt toegevoegd en, op vrijwillige basis, "politiedossiers". Het position paper werpt verschillende belangrijke vragen op over...

Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.

De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.

Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations

> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.

CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR

> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.

De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).

De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.