Data & Privacy Jurisprudentieblog | mei 2026

    - - / 1 juni 2026

    Hoeveel mag een organisatie weglakken bij een inzageverzoek? En wanneer weegt continuïteit zwaarder dan privacyrisico’s? In dit jurisprudentieblog behandelen we twee recente uitspraken die raken aan de actualiteit. Eerst een arrest van Gerechtshof Amsterdam, waarin X (voorheen Twitter) zich bij een inzageverzoek beriep op bedrijfsgeheimen om grote delen van interne moderatienotities af te schermen. Daarna de DigiD-zaak, waarin de voorzieningenrechter Den Haag oordeelde dat de Staat het contract met Solvinity mag verlengen ondanks zorgen over Amerikaanse toegang tot persoonsgegevens na overname door Kyndryl. Opvallend: kort daarna kwam er vanuit het kabinet vooralsnog een verbod op de overname.

    Bedrijfsgeheimen geen vrijbrief om AVG-inzage te weigeren

    Inzageverzoeken op grond van de AVG zijn voor veel organisaties inmiddels dagelijkse kost. Hoeveel moet er nu écht worden vrijgegeven, vooral als het gaat om informatie die liever niet naar buiten bekend wordt gemaakt? Een recente uitspraak van het Gerechtshof Amsterdam geeft daar belangrijke handvatten voor.

    De zaak in het kort

    Een gebruiker van X zag in oktober 2023 zijn account plotseling beperkt worden na een geplaatst bericht. Hij werd hierover niet door X zelf geïnformeerd, maar kwam er via anderen achter. Logisch dat hij wilde weten wat er precies was gebeurd. Hij deed daarom een beroep op artikel 15 AVG: het recht op inzage in zijn persoonsgegevens.

    Toen X in zijn ogen onvoldoende inzage gaf, stapte hij naar de rechtbank. Die stelde hem in het gelijk en beval X om aanvullende informatie te verstrekken over de verwerking van zijn gegevens, waaronder aantekeningen uit het interne moderatiesysteem Guano (Guano Notes). Aan dat bevel werd een dwangsom verbonden.

    X gaf deze notities vervolgens vrij, maar lakte grote delen zwart. De reden: volledige inzage zou bedrijfsgeheimen prijsgeven over contentmoderatie, spamfilters en het advertentiesysteem. De gebruiker nam daar geen genoegen mee. X ging in hoger beroep.

    Wat oordeelde het Hof?

    Het Hof besloot om zelf kennis te nemen van de ongeredigeerde Guano Notes. Daarmee kon het concreet beoordelen of het beroep op bedrijfsgeheimen per onderdeel terecht was.

    De juridische lijn is daarbij helder. Artikel 15 lid 4 AVG biedt ruimte om inzage te beperken ter bescherming van rechten en vrijheden van anderen, waaronder bedrijfsgeheimen. Overweging 63 van de AVG voegt daar echter meteen aan toe dat het er nooit toe mag leiden dat een betrokkene alle informatie wordt onthouden. Het is dus een belangenafweging, en die viel volgens het Hof grotendeels in het nadeel van X uit.

    Bij de contentmoderatielabels bijvoorbeeld kon X niet duidelijk maken waarom het tonen van NSFW-classificaties (Not Suitable For Work: labels voor content die ongeschikt is voor een professionele of openbare omgeving) juist aan deze gebruiker tot omzeiling van haar systemen zou leiden. Een algemeen risico volstond niet; concrete aanwijzingen ontbraken. Ook bij het advertentiesysteem vond het hof het commerciële belang op zichzelf onvoldoende zwaarwegend. De betreffende labels gaven slechts een betrouwbaarheidsniveau weer en lieten de onderliggende logica van het systeem ongemoeid: inzage daarin levert dus geen reëel risico op.

    Iets vergelijkbaars gold voor het spamfilter: het ging om een beperkt aantal labels, deels verouderd, en X had niet aannemelijk gemaakt dat openbaarmaking tot een concreet systeemrisico zou leiden. Bij de gegevens over accountveiligheid speelde nog iets anders mee: de informatie week niet wezenlijk af van wat de gebruiker zelf al wist, waardoor het geheimhoudingsbelang verder afnam. En ook voor de technische gegevens kwam X niet verder dan algemeenheden, zonder een concreet belang bij geheimhouding te benoemen.

    Op twee punten kreeg X wel gelijk. De namen van medewerkers mochten worden weggelaten: dat zijn persoonsgegevens van derden, en de gebruiker had bovendien aangegeven daar geen belang bij te hebben. Datzelfde gold voor de exacte tijdstippen van geautomatiseerde acties. Het Hof zag in dat inzicht in de reactiesnelheid van de systemen in handen van kwaadwillenden tot misbruik door bots zou kunnen leiden. Vermelding van de dag waarop een handeling plaatsvond, achtte het hof voldoende om aan het inzagerecht tegemoet te komen.

    Voor de praktijk

    Vroeg of laat krijgt een verwerkingsverantwoordelijke met inzageverzoeken te maken. Deze uitspraak laat zien dat een werkwijze waarbij het weglakken van brede categorieën met een beroep op de vertrouwelijkheid wordt gehanteerd, niet (meer) volstaat. Wat wel standhield waren gerichte uitzonderingen voor specifieke gegevens waarvan X concreet kon toelichten waarom openbaarmaking schade zou opleveren. Denk aan exacte tijdstippen die inzicht geven in de reactiesnelheid van beveiligingssystemen, of namen van medewerkers als persoonsgegevens van derden.

    Ook is goede documentatie van belang: voor elk weggelakt gegeven moet helder zijn waarom openbaarmaking een concreet risico oplevert. Die onderbouwing hoort thuis in het dossier, niet pas in een verweerschrift. Daarnaast is het verstandig om kritisch te toetsen of de informatie eigenlijk wel als een bedrijfsgeheim in de zin van de Wet bescherming bedrijfsgeheimen (Wbb) kwalificeert: alleen informatie die geheim is, daardoor handelswaarde bezit en door de rechthebbende met redelijke maatregelen geheim wordt gehouden, valt onder die noemer.

    Digitale soevereiniteit vs. continuïteit: de voorzieningenrechter over de DigiD-zaak

    Onlangs heeft de voorzieningenrechter in Den Haag geoordeeld dat de Staat de overeenkomst met Solvinity mag verlengen, ondanks zorgen over Amerikaanse toegang tot persoonsgegevens na overname door het Amerikaanse Kyndryl. De AVG-risico's zijn reëel, maar continuïteit van de digitale overheid weegt zwaarder. Kort daarna verbood de staatssecretaris de overname alsnog.

    Digitale infrastructuur

    Picard is een digitaal platform waarop diverse overheidsapplicaties zoals DigiD en MijnOverheid draaien. Het technisch beheer ligt bij Solvinity, een oorspronkelijk Nederlands IT-bedrijf. Toen bekend werd dat het Amerikaanse Kyndryl Solvinity wilde overnemen, ontstond er onrust. Na overname zou Solvinity binnen bereik komen van Amerikaanse wetgeving met extraterritoriale werking, waaronder de CLOUD Act en FISA. Drie burgers spanden een kort geding aan tegen de Staat om het contract te ontbinden zodra de overname een feit is. De voorzieningenrechter wees alle vorderingen af.

    Het privacyrechtelijke spanningsveld

    De kern van de zaak raakt aan een belangrijk AVG-vraagstuk: wat gebeurt er met persoonsgegevens wanneer een verwerker onder de jurisdictie van een derde land komt te vallen? De CLOUD Act verplicht Amerikaanse bedrijven om data te verstrekken aan Amerikaanse autoriteiten, ook als die data zich op Europese servers bevinden.

    Dit staat op gespannen voet met artikel 48 AVG, dat bepaalt dat een rechterlijke uitspraak of besluit van een derde land dat verplicht tot doorgifte alleen mag worden erkend als er een internationale overeenkomst aan ten grondslag ligt. Die ontbreekt tussen de EU en de VS voor dit type verzoeken.

    Eisers betoogden dat de Staat een DPIA had moeten uitvoeren en, als de risico's niet konden worden beperkt, voorafgaand overleg had moeten voeren met de Autoriteit Persoonsgegevens. De rechter komt aan deze inhoudelijke AVG-toets echter niet toe. De vordering om verlenging uit te stellen strandt op praktische gronden: uitstel zou betekenen dat de verlengingsdeadline wordt gemist, met alle continuïteitsrisico's van dien.

    Schrems II op de achtergrond

    Hoewel de rechter er niet expliciet naar verwijst, resoneert de Schrems II-doctrine door de hele zaak. Het Hof van Justitie oordeelde in 2020 dat doorgiftes naar de VS onvoldoende bescherming bieden vanwege de verstrekkende bevoegdheden van de Amerikaanse inlichtingendiensten. De situatie is hier weliswaar anders, want er is geen sprake van expliciete doorgifte, maar het onderliggende risico is vergelijkbaar: toegang door een overheid die geen gelijkwaardig beschermingsniveau biedt.

    De Staat erkent dit risico en betwist niet dat Solvinity technisch bij privacygevoelige gegevens zou kunnen komen. De verwerkingsverantwoordelijke blijft immers verantwoordelijk voor het waarborgen van een passend beschermingsniveau, ook wanneer de verwerker van eigenaar wisselt.

    Continuïteit prevaleert

    De rechter benadrukt dat de Staat een ruime beleidsvrijheid toekomt. Alleen bij evident onrechtmatig handelen is rechterlijk ingrijpen gerechtvaardigd. Die drempel wordt niet gehaald.

    Doorslaggevend is dat stopzetting van de dienstverlening door Solvinity tot ontwrichting van de digitale overheid zou leiden. De Staat heeft onderzocht of een snelle overstap naar een andere leverancier mogelijk is, maar concludeert dat dit zonder onaanvaardbare risico's niet haalbaar is. Een verantwoorde transitie vergt zes tot acht maanden. Eisers hebben onvoldoende concreet gemaakt dat het anders kan.

    Ook de subsidiaire vordering (ontbinding op grond van artikel 30.3 ARBIT bij een change of control) strandt. Die bepaling biedt weliswaar een ontbindingsgrond, maar eisers verlangen dat de Staat ontbindt en tegelijkertijd de dienstverlening laat doorlopen. Die constructie vereist medewerking van Solvinity, en of die bereidheid er is, is onzeker.

    De rechter weegt ten slotte mee dat de Staat actief werkt aan risicobeheersing: investeringstoetsing door het Bureau Toetsing Investeringen (BTI), integrale risicoweging door de Taskforce Economische Veiligheid, en gesprekken met Solvinity en Kyndryl over mitigerende maatregelen. Zolang die processen lopen, kan niet worden vastgesteld dat de Staat onrechtmatig handelt.

    Kabinet grijpt alsnog in

    Kort na de uitspraak verbood staatssecretaris Aerdts van Economische Zaken de overname van Solvinity door Kyndryl op grond van de Wet veiligheidstoets investeringen, fusies en overnames. In een eerdere blog wordt dit Solvinity-verbod uitgebreid behandeld.

    De uitspraak van de rechter en het besluit van het kabinet lijken op het eerste gezicht misschien wat tegenstrijdig, maar in feite vullen ze elkaar aan. De rechter gaf de Staat ruimte om de lopende toetsingsprocedures af te ronden; de staatssecretaris heeft die ruimte benut. Het resultaat: de contractverlenging blijft in stand, maar de overname gaat niet door. Het acute risico dat eisers vreesden is daarmee langs bestuursrechtelijke weg afgewend.

    Vond je dit blog waardevol?

    Lees dan ook onze andere jurisprudentieblogs. Heb je vragen of wil je hierover doorpraten? Neem gerust contact met ons op. We praten je graag bij.

    JurisprudentieblogsNeem contact op
    Terug naar overzicht

    Isabelle Gelderman

    Legal Counsel
    Lees meer
    data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram