Joint Controllers

Article 26

Verplichtingen van gebruiksverantwoordelijken van AI-systemen met een hoog risico

Article 26

Obligations of deployers of high-risk AI systems

Article 26

Jurisdictie en territorialiteit

Article 26

Jurisdiction and territoriality

Article 26

Reclame op onlineplatforms

Article 26

Advertising on online platforms

Artikel 20

In rechte optreden tegen inbreuken op verordening inzake doorgifte naar derde land

Artikel 26

Uitzonderingen inzake verwerking persoonsgegevens waaruit politieke opvattingen blijken voor vervulling openbare functies

Article 26

Gezamenlijke verwerkingsverantwoordelijken

Article 26

Joint controllers

ECLI:NL:GHARL:2026:1002 Gerechtshof Arnhem-Leeuwarden , 12-02-2026 / 25/210148

Gerechtshof Arnhem-Leeuwarden

In deze zaak heeft het hof in een procedure op grond van artikel 12 van het Wetboek van Strafvordering geoordeeld dat de officier van justitie een aangifte tegen onder meer twee journalisten ten onrechte heeft geseponeerd. Het hof heeft verder geoordeeld dat een van de journalisten zich alsnog voor de strafrechter moet verantwoorden voor het doen van uitlatingen in een in 2024 gepubliceerd krantenartikel.

ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)

Rechtbank Amsterdam

Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.

ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445

Rechtbank Limburg

Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

Strafbare doxing

Gerechtshof

Veroordeling voor doxing en smaadschrift. Het hof vernietigt van het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft met het handelen misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden. Veroordeling tot een taakstraf van 80 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 2 jaren. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00.

Tweemaal strafbare doxing

Gerechtshof

Veroordeling voor doxing en smaadschrift. Het hof vernietigt het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden om tegenover een breed publiek kwalijke uitlatingen te doen, waarmee verdachte op provocerende wijze reacties van lezers oproept. Veroordeling tot een taakstraf van 120 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 3 jaren. Oplegging van bijzondere voorwaarde: verdachte dient zich te onthouden van het doen van uitlatingen over benadeelde partij op sociale media en via klassieke media. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00

Hoist geeft geen gehoor, dus beroep op art. 21 AVG valt in voordeel betrokkene uit. BRK registratie moet worden verwijderd.

Rechtbank

Verzoek inzage de AVG

Rechtbank Amsterdam

Rechtbank Amsterdam

EAB België; overlevering toegestaan

ECLI:NL:GHDHA:2025:2871 Gerechtshof Den Haag , 17-12-2025 / BK-24/954

Gerechtshof Den Haag

Naheffingsaanslag bpm. De naheffingsaanslag is aan de juiste belastingplichtige opgelegd. Ex-rental niet aannemelijk gemaakt. Hoger aftrekpercentage wegens schade niet aannemelijk gemaakt. Het vooraf heffen van griffierecht is niet in strijd met het Unierecht. Geen recht op vergoeding van immateriële schade.

AVG wél, maar UAVG niet van toepassing in Risepoint geschil. Beroep op exhibitieplicht wordt niet uitgesloten door een mogelijkheid de eigen pgg te verkrijgen via de AVG. Verzoek strandt echter bij gebrekkige onderbouwing van het belang.

Rechtbank

Verzoek op grond van de AVG en 194 Rv. UAVG niet van toepassing op Maltese entiteiten, spoorwissel naar dagvaardingsprocedure. Inzageverzoek 194 Rv afgewezen.

Toepassing interstatelijk vertrouwensbeginsel en aanwezigheid voldoende waarborgen gebruik cryptoberichten via JIT gedeeld

Gerechtshof

Leider criminele organisatie die zich bezighield met uitvoer cocaïne, invoer hasjiesj, voorhanden hebben ketamine, voorbereidingshandelingen synthetische drugsproductie, waaronder Crystal Meth, en gewoontewitwassen. Crypto-verweren m.b.t. (onrechtmatigheid interceptie, verwerking onderschepte data, betrouwbaarheid data) EncroChat, SkyEcc en ANØM verworpen. Interceptie buiten JIT, overdracht data binnen JIT. (Interstatelijk/internationaal) vertrouwensbeginsel van toepassing. Notificatieplicht artikel 31 EOB-richtlijn niet van toepassing. Naast waarborgen soevereiniteit in kennis gestelde staat moet beschermingsniveau geïntercepteerde gebruiker worden geëerbiedigd. Verdachte komt hierop in individuele strafzaak geen beroep toe. Geen schending EVRM en Handvest van de Grondrechten van de Europese Unie. Geen gebrek aan rechtsbescherming. Gelegenheid geweest voor toetsen crypto-data en geven van effectief commentaar door mogelijke inzage in Hansken. Geen vormverzuim. Geen bewijsuitsluiting. Identificatie gebruikers crypto-data. Hoewel geen beslag volgt bewezenverklaring cocaïne en ketamine op basis van crypto-data en overig bewijs. Vonnis vernietigd. Gevangenisstraf 12 jaren.

Gerechtshof 's-Hertogenbosch

Gerechtshof 's-Hertogenbosch

Ten laste van de verdachte is bewezenverklaard dat hij zich schuldig heeft gemaakt aan beroepsmatige online handelsfraude en het medeplegen van gewoontewitwassen. Het hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 3 jaren met aftrek van het voorarrest. Tevens is beslist op de vorderingen van de benadeelde partijen.

Geen vormverzuimen of andere onrechtmatigheden bij de verwerking van de EncroChat- en SkyECC-data

Rechtbank

Onderzoek Otus. Bewezenverklaring van het medeplegen van voorbereidingshandelingen voor de invoer van harddrugs, betrokkenheid bij een criminele organisatie die zich bezighield met grootschalige hennephandel, wapenbezit en drugsbezit. Verwerping van EncroChat- en SkyECC-verweren. Verdachte is veroordeeld tot een gevangenisstraf voor de duur van 54 maanden met aftrek van voorarrest

Vormverzuim door zonder r-c toestemming afbeeldingen op telefoon van verdachte te bekijken.

Hoge Raad

Verdachte wordt veroordeeld voor het op een gruwelijke manier mishandelen, martelen en doden van dieren over een periode van ruim een jaar. Ook wordt zij veroordeeld voor het bezit van een vuurwapen en munitie. Aan verdachte wordt een gevangenisstraf opgelegd die gelijk is aan de duur van het voorarrest. Daarnaast wordt aan verdachte de TBS maatregel met voorwaarden opgelegd.

Geconstateerd vormverzuim door uitlezen telefoons van verdachte zonder voorafgaande toestemming van r-c.

Hoge Raad

Veroordeling medeplegen invoer en verkoop van harddrugs en voorbereidingshandelingen. GS 4 jaar. Voorwaardelijk verzoek m.b.t. SkyECC afgewezen o.v.n. ECLI:NL:GHAMS:2025:1472. Vrijspraak medeplegen poging moord/zware mishandeling, medeplegen van poging uitlokking moord/doodslag/zware mishandeling en voorbereidingshandelingen. Constatering vormverzuim inbeslaggenomen telefoons, nu toestemming van rechter-commissaris ontbrak.

ECLI:NL:RBGEL:2025:11803 Rechtbank Gelderland , 30-06-2025 / 05/329609-24

Rechtbank Gelderland

Veelvuldig en langdurig doxing, smaadschrift en belediging, omdat verdachte niet tevreden was met de jeugdhulpverlening die de slachtoffers zijn gezin en hem boden. Taakstraf 120 uur, subsidiair 60 dagen en een voorwaardelijke gevangenisstraf van 4 weken, met een proeftijd van 3 jaar. Afwijzing vordering benadeelde partij van de Raad voor de Kinderbescherming, omdat het causaal verband tussen de feiten en de gevorderde schade onvoldoende is onderbouwd. Overige vorderingen: € 500,- smartengeld wordt toegewezen, inclusief wettelijke rente en schadevergoedingsmaatregel, voor de rest worden zij niet ontvankelijk verklaard in hun vorderingen.

Vragen over interpretatie reikwijdte verzoek om inzage. Verwerkingsverantwoordelijkheid in samenwerkingsverband als RIEC.

Rechtbank

Beroep n.a.v. AVG-verzoek. De rechtbank komt in deze uitspraak tot het oordeel dat het college op een juiste manier heeft gereageerd op het AVG-verzoek van eiser. Het college heeft het AVG-verzoek van eiser niet ruimer op hoeven vatten dan hij heeft gedaan. Ook heeft eiser niet aannemelijk gemaakt dat er meer persoonsgegevens zijn dan het college in het AVG-besluit heeft overgelegd. Eiser krijgt dus geen gelijk en het beroep is ongegrond.

Misbruik identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens.

Rechtbank

Verdachte heeft gedurende een langere periode, vanuit verschillende bedrijven, een veelheid aan strafbare feiten gepleegd. Bewezenverklaring van het meermaals buiten noodzaak verrichten van medische handelingen waardoor de aanmerkelijke kans op benadeling van de gezondheid van anderen is ontstaan, het beïnvloeden van een getuige, het meermaals opzettelijk en wederrechtelijk misbruik maken van persoonsgegevens van een ander, verduistering uit dienstbetrekking (meermaals gepleegd) en het meermalen plegen van (het feitelijk leidinggeven aan) het plegen van valsheid in geschrifte en het opzettelijk gebruik maken van valse geschriften. Verweer partiële nietigheid dagvaarding verworpen. Overschrijding van de redelijke termijn. Verdachte wordt veroordeeld tot een gevangenisstraf van 22 maanden en een beroepsverbod voor het uitoefenen van enig beroep in de zorg gedurende 60 maanden. Vorderingen benadeelde partijen deels toegewezen.

Bedrijf 1 - Feitenvaststelling onderzoekswensen vertrouwensbeginsel

Rechtbank

Bedrijf 1 - Feitenvaststelling onderzoekswensen vertrouwensbeginsel

Artikel

Rechtbank

Klant van een webshop (inmiddels offline), aan wie de bij de webshop bestelde goederen niet zijn geleverd, wil de identiteit van de handelaar achter de webshop achterhalen en verzoekt daartoe de rechtbank om de bij de transactie betrokken betaaldienstverlener (primair) op grond van artikel 15 lid 1 onder c AVG te bevelen inzage te geven in de bij haar bekende gegevens over de identiteit van de handelaar achter de webshop. Verzoek niet toewijsbaar op grond van de AVG, omdat niet is komen vast te staan dat de betaaldienstverlener persoonsgegevens van verzoeker heeft verstrekt aan de handelaar. Het verzoek wordt wel toegewezen op de subsidiaire grondslag, artikel 843a Rv (oud).

Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker

guidelines bepalen leidende toezichthouder

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Guidelines on derogations of Article 49

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

Guidelines for identifying a controller or processor’s lead supervisory authority

Guidelines 03/2021 on the application of Article 65(1)(a) GDPR

Guidelines on the application of Article 60 GDPR

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

CRITEO: Insufficient fulfilment of data subjects rights

€40,000,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 40 million on CRITEO. The controller is specialized in 'retargeting advertising'. This involves the company tracking the surfing behavior of Internet users via so-called Criteo trackers (cookies) in order to show them personalized advertising. In the course of its investigation, the DPA found numerous deficiencies in data processing. First, the DPA found that the controller failed to prove that Internet users had given their consent to be tracked using th

Company: €16,600 fine

€16,600 fine - Data Protection Authority of Niedersachsen

The DPA of Niedersachsen has imposed a fine of EUR 16,600 on a company in the real estate industry for failing to conclude a joint controllership agreement. In addition, the controller had collected personal data without a legal basis and had not complied with a deletion request in good time.

Health data and use of cookies: DOCTISSIMO fined €380,000

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

What Happened to the Risk-Based Approach to Data Transfers?

The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security

DeFine is a calculator for GDPR fines based on method of the EDPB

> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).