Data & Privacy jurisprudentieblog | April 2026

    - - / 20 april 2026

    In dit blog wordt een uitspraak van het Hof van Justitie van de Europese Unie (Hierna: ‘Het Hof’) van 19 maart besproken, waarin de grenzen van het inzagerecht centraal staan. Aan de hand van enkele prejudiciële vragen heeft het Hof verduidelijkt onder welke omstandigheden een verwerkingsverantwoordelijke een eerste inzageverzoek in de zin van artikel 15 AVG mag weigeren wegens buitensporigheid, en wanneer een schending van het inzagerecht aanleiding kan geven tot schadevergoeding op grond van artikel 82 AVG.

    De zaak Brillen Rottler

    De prejudiciële vragen kwamen aan de orde in de zaak Brillen Rottler GmbH & Co. KG tegen TC, een natuurlijk persoon. Centraal staat de vraag in hoeverre een verwerkingsverantwoordelijke een inzageverzoek in de zin van artikel 15 AVG mag weigeren. De AVG biedt mogelijkheden om een inzageverzoek te weigeren wanneer de verzoeken kennelijk ongegrond of buitensporig zijn.

    Context achter de prejudiciële vragen

    Brillen Rottler is een Duits familiebedrijf voor opticiensdiensten dat op haar website een mogelijkheid bood om je in te schrijven voor een nieuwsbrief. TC heeft zich in maart 2023 ingeschreven voor deze nieuwsbrief, daarbij relevante persoonsgegevens aangeleverd en toestemming gegeven voor de verwerking van zijn persoonsgegevens. Dertien dagen na inschrijving heeft TC een inzageverzoek ingediend bij Brillen Rottler. Binnen een maand heeft Brillen Rottler gereageerd op dit inzageverzoek en dit afgewezen omdat dit verzoek volgens Brillen Rottler buitensporig was in de zin van artikel 12 lid 5 AVG. Na de afwijzing van het verzoek vorderde TC een schadevergoeding van 1000 euro van Brillen Rottler. Brillen Rottler stapte daarop naar de rechter.

    In eerste aanleg voerde Brillen Rottler aan dat uit verschillende berichten, blogs en advocatenbulletins bleek dat TC stelselmatig inzageverzoeken indient om vervolgens een schadevergoeding te eisen vanwege een vermeende inbreuk van zijn AVG-rechten. De rechter heeft vervolgens prejudiciële vragen gesteld aan het Hof van Justitie die het Hof heeft gegroepeerd in drie clusters:

    1. Kan een eerste inzageverzoek ‘buitensporig’ zijn en zo ja, wanneer?

    2. Geeft een schending van het inzagerecht een recht op schadevergoeding in de zin van artikel 82 AVG?

    3. Omvat immateriële schade ook ‘verlies van controle’ over persoonsgegevens?

    Een eerste inzageverzoek kan buitensporig zijn

    Artikel 12 lid 5 AVG biedt ruimte om inzageverzoeken van betrokkenen te weigeren wanneer deze kennelijk ongegrond of buitensporig zijn. Voor de invulling van het begrip ‘buitensporig’ wordt in de praktijk voornamelijk gekeken naar het repetitieve karakter van de verzoeken. Als een betrokkene vaak hetzelfde inzageverzoek indient, kan dit een reden zijn voor de verwerkingsverantwoordelijke om het inzageverzoek af te wijzen. In de uitspraak is het Hof van mening dat het begrip buitensporig verwijst naar iets dat de “gewone of redelijke maat overschrijdt, of dat de wenselijke of toegestane maat overschrijdt”. Dit betekent dat buitensporig zowel kwalitatieve als kwantitatieve kenmerken heeft. Op basis van deze vaststelling oordeelt het Hof dat niet uitgesloten kan worden dat een eerste inzageverzoek buitensporig is.

    Het Hof benadrukt wel dat artikel 12 lid 5 AVG een uitzondering vormt op de verplichting om het inzagerecht te faciliteren. Deze uitzondering moet restrictief worden uitgelegd. Voordat een eerste inzageverzoek als buitensporig gekwalificeerd kan worden, moet er voldaan worden aan twee cumulatieve criteria, waarbij de bewijslast volledig op de verwerkingsverantwoordelijke rust. Deze elementen zijn:

    • Het objectief element: Het moet objectief vastgesteld worden dat de verzoeker gebruikmaakt van het inzagerecht zonder kennis te willen nemen van de verwerking of de rechtmatigheid ervan te willen controleren.

    • Het subjectief element: Het moet blijken dat de verzoeker opzettelijk een voordeel wil verkrijgen door kunstmatig de voorwaarden te creëren waardoor een voordeel ontstaat. Zoals bijvoorbeeld het zelf aanleveren van persoonsgegevens om vervolgens een inzageverzoek in te dienen.

    Volgens het Hof zal er bij de beoordeling van deze elementen rekening gehouden moeten worden met alle omstandigheden van het geval. Hierbij zijn onder meer relevant of de verzoeker de persoonsgegevens heeft verstrekt zonder daartoe verplicht te zijn, het doel van die verstrekking, de tijd die is verstreken tussen die verstrekking en het verzoek tot inzage, en het gedrag van de verzoeker. Om de intentie van de verzoeker te bewijzen, kan de verwerkingsverantwoordelijke gebruik maken van openbaar toegankelijke informatie, waaruit blijkt dat de verzoeker misbruik maakt van zijn recht. De voorwaarde voor vaststelling van het misbruik is dat de openbare informatie wordt bevestigd door andere relevante gegevens.

    Schending van het inzagerecht geeft een recht op schadevergoeding

    In de tweede prejudiciële vraag stond centraal of artikel 82, lid 1, schadevergoeding en aansprakelijkheid, zo moet worden uitgelegd dat de verzoeker recht heeft op schadevergoeding bij schending van het inzagerecht van artikel 15, lid 1. Het Hof bevestigt deze uitleg. Artikel 82 lid 1 spreekt van een ‘inbreuk op deze verordening’ in plaats van een inbreuk op een verwerking. Daarnaast bestaan schendingen van hoofdstuk 3 van de AVG uit een weigering om gevolg te geven aan een verzoek en niet uit het schenden van een verwerkingshandeling. Als artikel 82 AVG beperkt blijft tot enkel verwerkingsschade, zou een inbreuk op hoofdstuk 3 AVG nooit kunnen leiden tot een verplichting tot schadevergoeding. Dit zou de werking van de bepaling ondermijnen waardoor de rechten van betrokkenen uit de AVG aanzienlijk worden verzwakt.

    Omvat immateriële schade ook “verlies van controle” over persoonsgegevens?

    Ter beantwoording van de derde vraag oordeelt het Hof dat immateriële schade het verlies van controle over persoonsgegevens en over de verwerking van persoonsgegevens kan omvatten. Hieraan zijn echter voorwaarden gebonden:

    De betrokkene moet daadwerkelijk schade hebben geleden. Het eisen van schadevergoeding enkel omdat er mogelijk in de toekomst misbruik wordt gemaakt van de persoonsgegevens is dus onvoldoende. De rechter zal in dat geval nagaan of de vrees in dat specifieke geval gegrond kan worden geacht. Het Hof voegt hier een nuance aan toe: het verband tussen de schending en schade kan worden verbroken door het gedrag van de verzoeker. Als het verlies van controle over de persoonsgegevens is veroorzaakt door een eigen beslissing van de verzoeker om gegevens te verstrekken met het doel om kunstmatig voorwaarden voor een schadevergoeding te creëren, dan komt die schade niet voor vergoeding in aanmerking.

    Wat betekent deze uitspraak voor de praktijk?

    Het Hof bevestigt dat één enkel inzageverzoek buitensporig kan zijn. In de praktijk houdt dit in dat de verwerkingsverantwoordelijke, bij de beoordeling van een inzageverzoek, mag kijken naar het gedragspatroon van de verzoeker. De verwerkingsverantwoordelijke kan op basis van het gedrag van de verzoeker beoordelen of het verzoek wordt ingediend om geïnformeerd te worden over een verwerking van persoonsgegevens, of dat het wordt ingediend om een schadevergoeding af te dwingen. De volgende gedragspatronen kunnen hierbij helpen:

    • De verzoeker levert persoonsgegevens vrijwillig aan.

    • De tijd tussen het aanleveren van persoonsgegevens en het indienen van een inzageverzoek is zeer kort.

    • De verzoeker doet soortgelijke verzoeken bij andere verwerkingsverantwoordelijken.

    In de praktijk zal deze uitzondering niet snel toepasselijk zijn. De bewijsdrempel ligt erg hoog, waardoor het onwaarschijnlijk is dat een verwerkingsverantwoordelijke hieraan kan voldoen. Daarnaast zal een verwerkingsverantwoordelijke in weinig gevallen informatie over de verzoeker verkrijgen, waaruit duidelijk blijkt dat de verzoeker bij veel andere verwerkingsverantwoordelijken een soortgelijk inzageverzoek heeft ingediend, of dat deze de intentie heeft om zijn AVG-rechten te misbruiken voor eigen gewin. Toch bevestigt deze uitspraak dat de verwerkingsverantwoordelijke niet machteloos hoeft te staan wanneer het duidelijk is dat inzageverzoeken worden ingediend met de bedoeling misbruik te maken van AVG-rechten.

    Meer jurisprudentie lezen? Bekijk ons Data & Privacy jurisprudentieblog van de vorige maand.

    Data & Privacy jurisprudentieblog | maart 2026

     
    Terug naar overzicht

    Paul Bex

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram