ECLI:NL:GHAMS:2026:961

Gerechtshof Amsterdam 14 April 2026

Jurisprudentie – Uitspraken

ECLI	ECLI:NL:GHAMS:2026:961
Instantie	Gerechtshof Amsterdam
Datum uitspraak	14-04-2026
Datum publicatie	14-04-2026
Zaaknummer	200.346.613/01
Rechtsgebied	Civiel recht
Bijzondere kenmerken	Hoger beroep

ECLI:NL:GHAMS:2026:961 text/xml public 2026-04-14T11:00:01 2026-04-14 Raad voor de Rechtspraak nl Gerechtshof Amsterdam 2026-04-14 200.346.613/01 Uitspraak Hoger beroep NL Amsterdam Civiel recht Rechtspraak.nl http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHAMS:2026:961 text/html public 2026-04-14T09:29:40 2026-04-14 Raad voor de Rechtspraak nl ECLI:NL:GHAMS:2026:961 Gerechtshof Amsterdam , 14-04-2026 / 200.346.613/01
Inzageverzoek op grond van artikel 15 AVG. De rechtbank heeft X, voorheen Twitter, bevolen inzage te verschaffen in de persoonsgegevens van verzoeker. X maakt in hoger beroep bezwaar tegen het verstrekken van de zogenaamde Guano Notes. Deze zouden bedrijfsgeheimen bevatten. Het hof weegt de belangen van verzoeker en X tegen elkaar af en verwerp het bezwaar van X grotendeels. X moet de gegevens verstrekken behoudens de namen van haar medewerkers en de exacte tijdstippen van de acties.

GERECHTSHOF AMSTERDAM
afdeling civiel recht en belastingrecht

zaaknummer : 200.346.613/01

zaaknummer rechtbank : C/13/742407 / HA RK 23/366

beschikking van de meervoudige burgerlijke kamer van 14 april 2026

inzake

de rechtspersoon naar buitenlands recht

X INTERNATIONAL UNLIMITED COMPANY

(eerder Twitter International Unlimited Company),

gevestigd te Dublin (Ierland),

appellante,

advocaten: mr. R. van Saane te Amsterdam,

tegen

[geïntimeerde] ,

wonende te [woonplaats] ,

geïntimeerde,

procederend in persoon.

Partijen worden hierna X en [geïntimeerde] genoemd.

<nr>1</nr>De zaak in het kort
[geïntimeerde] heeft een account bij X. In oktober 2023 heeft X een tijdelijke beperking opgelegd aan het account van [geïntimeerde] vanwege een door [geïntimeerde] geplaatst bericht, waarin het woord ‘kinderporno’ voorkomt. Naar aanleiding van deze beperking heeft [geïntimeerde] aan X een inzageverzoek op grond van artikel 15 AVG gedaan. De rechtbank heeft geoordeeld dat X daar niet aan heeft voldaan en heeft X bevolen dat alsnog te doen. X moest specifieke informatie verschaffen, onder meer over het systeem [Y] ( [Y] ). X heeft een geredigeerde versie van deze [Y] aan [geïntimeerde] verstrekt. Volgens X zou volledige inzage bedrijfsgeheime informatie prijsgeven.

Op 7 oktober 2025 heeft het hof in een tussenbeschikking enkele processuele beslissingen genomen. Naar aanleiding daarvan heeft het hof kennisgenomen van de ongeredigeerde [Y] . Het hof is van oordeel dat X (nagenoeg) volledige inzage dient te geven in de [Y] .

<nr>2</nr>Het verdere geding in hoger beroep 2.1.
Voor het verloop van het geding verwijst het hof naar de tussenbeschikking.
2.2.
In de tussenbeschikking heeft het hof enkele procedurele beslissingen genomen. Het hof heeft onder meer X bevolen om:

een volledig ongeredigeerde versie van de [Y] aan het hof over te leggen, onder bepaling dat uitsluitend het hof daarvan kennis zal nemen conform artikel 22 lid 2 en 3 Rv;

een toelichting op de [Y] in het geding te brengen die inzicht geeft in de betekenis van de diverse in dat systeem gebruikte termen, van welke toelichting ook [geïntimeerde] kennis mag nemen.
2.3.
X heeft op 21 oktober 2025 een akte houdende overlegging producties ingediend, waarbij onder meer [Y] zijn overgelegd waarvan alleen het hof heeft kennisgenomen.
2.4.
[geïntimeerde] heeft op 27 november 2025 een stuk getiteld ‘Bezwaar tegen Zesde Akte Twitter d.d. 27 oktober 2025 [hof: bedoeld zal zijn 21 oktober 2025], Productie 13 en Productie 14’ ingediend.
2.5.
[geïntimeerde] heeft op 2 december 2025 een akte houdende overlegging producties met aanvullende producties (50 t/m 62) ingediend.
2.6.
De zaak is voortgezet tijdens de mondelinge behandeling van 11 december 2025. Daarbij hebben partijen hun standpunten toegelicht. X heeft haar standpunt laten toelichten door mr. Van Saane voornoemd en mr. Q.R. Kroes. Beide partijen hebben spreekaantekeningen aan het hof overgelegd.
2.7.
[geïntimeerde] heeft bewijs van zijn stellingen aangeboden.
2.8
Ten slotte is uitspraak bepaald.

<nr>3</nr>Feiten
De rechtbank heeft in 2.1 tot en met 2.8 van de bestreden beschikking de feiten vastgesteld die zij tot uitgangspunt heeft genomen. In hoger beroep is niet in geschil dat de feiten juist zijn weergegeven, zodat ook het hof van deze feiten uitgaat. De feiten komen neer op het volgende.
3.1.
[geïntimeerde] heeft een account bij X. Op 11 oktober 2023 heeft X een tijdelijke beperking opgelegd aan het account van [geïntimeerde] (hierna: de beperking) vanwege een door [geïntimeerde] geplaatst bericht, waarin het woord ‘kinderporno’ voorkomt. Dat bericht luidt als volgt:

“De chats van honderden miljoenen mensen worden straks gescand om een relatief klein aantal misdadigers op te sporen, hoe erg ook.” -[ @ […] /Veel kritiek op Europese plannen tegen kinderporno: ‘Niet proportioneel’ [ https://t.co/hNiViYM8AC/ ”

Het bericht van [geïntimeerde] linkt naar een artikel van de NOS. Het automatisch detectiesysteem van X signaleerde het bericht als mogelijk in strijd met het beleid van X ter bestrijding van kindermisbruik. Daarom is een beperking opgelegd aan het account van [geïntimeerde] . De beperking hield in dat zijn account en geplaatste berichten tijdelijk niet in reactie op zoekopdrachten verschenen.
3.2.
X heeft [geïntimeerde] niet op de hoogte gesteld van de beperking. [geïntimeerde] kwam erachter dat op zijn account een beperking rustte nadat andere gebruikers van X hem vertelden dat ze hem/zijn account niet konden vinden.
3.3.
Naar aanleiding van de beperking heeft [geïntimeerde] op 13 oktober 2023 een inzageverzoek ingediend bij X, onder meer om erachter te komen wat de omvang was van de beperking en waarom deze was opgelegd:

“This is a data access request. Specifically, I want to receive all personal data X/X is processing about me with relation to the “search ban and “search suggestion ban” you placed on my account, which I was not notified about by your company, but which I was notified about by other X-users.”
3.3.1.
Op 15 oktober 2023 heeft [geïntimeerde] een aanvulling opgestuurd die voor zover van belang als volgt luidt:

“Please use this message to supplement my access request.

With reference to the recent judgment of the EU Court of Justice, F.F. v.

Österreichische Datenschutzbehörde and CRIF GmbH, number C-487/21, I am

requesting you to supply me with the following information, in the context of the

restrictions on the functionality and/or reach and/or visibility of my account and posts, that I currently have on your platform,

(…)

- The origin and source of my personal data.

- A list of the recipients to whom my personal data have been or will be disclosed,

Including the safeguards put in place for this purpose.

- The identity of all (joint) controllers of my personal data.

- A full copy of the personal data that are or have been processed about me.

- Whether automated decisions (including profiling) are or have been made, and if so:

- which automated decisions have been made;

- the logic behind these decisions;

- the importance and expected (duration of the) consequences of these decisions tor

me;

- what measures have been taken to prevent errors, bias and discrimination; and

- explanation of how I can explain my position and challenge these decisions.

- Any other information necessary to ensure proper processing, as required under recital 60 GDPR.

In particular, I request you to provide me with, internal or external (for example to/from/with 'trusted flaggers' or other external persons or organisations) notes, documents or correspondence about placing restrictions, including but not limited to limiting the functionality and/or reach and/or visibility on/of my account @ […] on X.

Additionally, I am requesting a full disclosure of my account details from your internal system showing, among other things, whether and if so what 'blacklists' or restrictions my account has been placed on, by whom, for what reason and for what period of time.

The purpose of this access request is to establish whether my personal data have been

processed lawfully, and where necessary to exercise my legal rights, including the right to rectification, data erasure and/or restriction of processing. I stress that in order to exercise my rights, it is essential that the information provided, including the copy of the personal data requested, is complete, understandable and placed in context, and thus I request faithful reproductions.
3.4.
Op 16 oktober 2023 heeft X na een aanvullende review de beperking opgeheven omdat deze onterecht was. Het opheffen van de beperking is niet medegedeeld aan [geïntimeerde] .
3.5.
Op 14 november 2023 heeft X gereageerd op het inzageverzoek van [geïntimeerde] . Zij verwijst in haar bericht naar verschillende onderdelen van haar Privacy Policy ter beantwoording van het verzoek van [geïntimeerde] .
3.6.
Op 17 november 2023 heeft [geïntimeerde] bij de rechtbank een verzoekschriftprocedure aanhangig gemaakt omdat hij meent dat X onvoldoende heeft gereageerd op zijn inzageverzoek.
3.7.
Op 12 januari 2024 heeft [geïntimeerde] een brief ontvangen van X, waarin X informatie verstrekt over de opgelegde beperking aan [geïntimeerde] zijn account:

“X heeft op 14 november 2023 een eerste reactie gegeven op uw Inzageverzoek. X heeft daarnaast op 14 november ook bijgevoegde e-mail aan u verstuurd, waarin zij ingaat op de maatregelen die zij neemt om content met betrekking tot seksuele uitbuiting van kinderen op X tegen te gaan. Onderdeel van deze maatregelen is dat posts automatisch gescand worden en wanneer een post mogelijk geassocieerd is met de seksuele uitbuiting van kinderen, dit aanleiding kan geven voor een tijdelijke beperking op het account. In aanvulling daarop kan ik u namens X laten weten dat uw post van 11 oktober 2023 met de volgende tekst aanleiding is geweest voor het opleggen van tijdelijke beperkingen op uw account:

“De chats van honderden miljoenen mensen worden straks gescand om een relatief klein aantal misdadigers op te sporen, hoe erg ook.” - @ […] Veel kritiek op Europese plannen tegen kinderporno: ‘Niet proportioneel’ https://https://t. co/hNiViYM8AC https://https://t.co/hNiViYM8AC ”

Enkele dagen later heeft X na nader onderzoek vastgesteld dat deze post niet in strijd is met de X Rules en heeft zij de tijdelijke beperkingen van uw account opgeheven. Op dit moment gelden er geen beperkingen voor uw account. Daarnaast kan ik u berichten dat de hierboven genoemde beperking niet het gevolg was van een kennisgeving, notificatie of tip van een derde. X past haar beleid consistent en proportioneel toe op basis van haar Algemene voorwaarden en de wet en niet op verzoek van enige andere Organisatie.”
3.8.
Ter uitvoering van de bestreden beschikking heeft X op 14 september 2024 aanvullende inzage en informatie verstrekt aan [geïntimeerde] . Daarbij heeft X een gedeeltelijk geredigeerde uitdraai van het systeem [Y] (hierna ook: de [Y] ) verstrekt.

<nr>4</nr>Eerste aanleg 4.1.
In eerste aanleg heeft [geïntimeerde] verzocht dat de rechtbank, bij uitvoerbaar bij voorraad te verklaren beschikking, X - op straffe van een dwangsom - beveelt te reageren op zijn inzageverzoek in de zin van artikel 15 Algemene Verordening Gegevensbescherming (hierna: AVG) en het verzoek om informatie te krijgen over geautomatiseerde besluitvorming in de zin van artikel 22 AVG, met veroordeling van X in de proceskosten.
4.2.
De rechtbank heeft in rechtsoverweging 4.37 geconcludeerd dat X dient te reageren op het artikel 15 lid 1 AVG gebaseerde algemene informatieverzoek en in het bijzonder de geautomatiseerde besluitvorming. Daarnaast moet X specifieke informatie verstrekken over reputation scores, labels en het systeem [Y] . De rechtbank heeft X bevolen binnen één maand na betekening van de bestreden beschikking aan het voorgaande te voldoen op straffe van een dwangsom van € 4.000,- voor iedere dag dat X daar niet aan voldoet.

<nr>5</nr>Beoordeling 5.1.
X heeft in hoger beroep vijf grieven aangevoerd. X heeft, na wijziging van haar verzoek, samengevat, geconcludeerd dat het hof:

Een maximumbedrag zal verbinden aan de in de bestreden beschikking opgelegde dwangsommen; en

primair: de bestreden beschikking zal vernietigen voor zover daarin de verzoeken van [geïntimeerde] op inzage in persoonsgegevens in [Y] zijn toegewezen en X is bevolen de in rechtsoverweging 4.37 van de bestreden beschikking genoemde specifieke informatie te verstrekken; en

subsidiair: voor het geval het hof het bevel in stand laat, de bestreden beschikking zal vernietigen, voor zover het bevel is toegewezen en, opnieuw rechtdoende, zal bepalen dat daarvan zijn uitgezonderd gegevens waaruit de werking van de contentmoderatiesystemen, spamfilters en adverteerdersinstellingen van X kan worden afgeleid, zonder daarbij een dwangsom op te leggen, althans de dwangsommen te maximeren.
5.2.
[geïntimeerde] heeft – voor zover nog van belang – geconcludeerd dat het hof, bij uitvoerbaar bij voorraad te verklaren beschikking, de bestreden beschikking zal bekrachtigen, althans gedeeltelijk zal bekrachtigen, alsdan aangevuld met hetgeen in dit verweerschrift is aangevoerd en, voor zover het hof komt tot een herbeoordeling, de dwangsom zal verhogen tot €8.000 of een door het hof in goede justitie te bepalen dwangsom, voor iedere dag of deel daarvan dat X in gebreke blijft, althans deze te handhaven. Alles met veroordeling van X in de proceskosten, vermeerderd met nakosten en rente.
5.3.
Het hoger beroep van X ziet op de bevolen inzage in de [Y] en het ontbreken van een maximum van de dwangsommen. De vragen die het hof thans nog moet beantwoorden zijn dan ook of X aan [geïntimeerde] inzage moet geven in de [Y] en of de dwangsommen moeten worden gemaximeerd dan wel verhoogd. Immers, het verweerschrift van [geïntimeerde] moet zo worden begrepen dat daarin incidenteel beroep besloten ligt, waarbij om verhoging van dwangsommen is gevraagd. X heeft daarop kunnen reageren.

De [Y]
5.4.
De grieven van X komen er in de kern op neer dat de rechtbank X niet had mogen veroordelen om (volledige) inzage te geven in de [Y] . X heeft daartoe onder meer aangevoerd dat de informatie die is opgenomen in de [Y] mag worden uitgezonderd van het inzagerecht omdat deze bedrijfsgeheime informatie bevat in de zin van de Wet Bescherming Bedrijfsgeheimen, en deze informatie bovendien vertrouwelijk dient te blijven ter bescherming van de rechten en vrijheden van derden. Volledige inzage zou gevoelige informatie prijsgeven over de werking van de automatische contentmoderatie en andere systemen van X en de wijze waarop het Safety team signaleringen opvolgt. Als deze informatie in de verkeerde handen belandt, kan deze worden misbruikt om de (beveiligings)systemen van X te omzeilen, aldus X.

[geïntimeerde] betwist dat de [Y] bedrijfsgeheime informatie betreffen of bevatten. Volgens [geïntimeerde] bevatten de [Y] uitsluitend persoonsgegevens in de zin van de AVG die X niet mag uitzonderen van het inzagerecht. X is verplicht inzage te verschaffen in alle gegevens die onder de AVG vallen, aldus [geïntimeerde] .
5.5
[geïntimeerde] voert als meest ver strekkende stelling aan dat X, na haar schriftelijke weigering tot inzage, in de verzoekschriftprocedure geen nieuwe weigeringsgronden mag aanvoeren. Dit zou voortvloeien uit artikel 12 lid 4 AVG en artikel 35 lid 2 UAVG, althans een andere uitleg zou het nuttig effect van die artikelen ondermijnen. Het voert echter naar het oordeel van het hof te ver om zonder een uitdrukkelijk wettelijk of unierechtelijk verbod een dergelijke rechtsregel aan te nemen. Tegenover het nuttig effect van de genoemde AVG-artikelen staat immers het fundamentele recht van een ieder tot toegang tot de rechter om zijn rechten en belangen te verdedigen. Voorts wordt de verzoekschriftprocedure gekenmerkt door een zekere flexibiliteit, ten behoeve van een goede, effectieve en efficiënte rechtspleging.
5.6.
X heeft geen (kenbare) grieven gericht tegen de vaststellingen van de rechtbank dat X verwerkingsverantwoordelijke is, dat [geïntimeerde] als gebruiker van X een inzageverzoek kan doen op grond van de AVG en dat de [Y] een chronologisch overzicht zijn van alle acties die op een account zijn genomen, wat betekent dat dit een persoonsgegeven is. [geïntimeerde] heeft zijn verzoek gegrond op het in artikel 15 AVG neergelegde inzagerecht. Dit recht beoogt de betrokkene in staat te stellen zich ervan te vergewissen dat de hem betreffende persoonsgegevens juist zijn en rechtmatig worden verwerkt (zie onder meer HvJEU 4 mei 2023, C‑487/21, EU:C:2023:369 (Österreichische Datenschutzbehörde en CRIF), punt 34 en de aldaar aangehaalde rechtspraak).
5.7.
X kan weigeren een kopie van persoonsgegevens te verstrekken indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen (artikel 15 lid 4 AVG, zie ook artikel 41 lid 1 sub i UAVG). Hieronder kan mede de bescherming van bedrijfsgeheimen vallen. Deze materie, die kan worden gezien als een beperking op het recht van inzage als bedoeld in artikel 23 lid 1 onder i AVG, heeft de Uniewetgever uitgewerkt in de Richtlijn 2016/943 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan. X kan daarom haar eigen recht en belang op het beschermen van bedrijfsgeheimen mee laten wegen bij het al dan niet geven van inzage in de persoonsgegevens van [geïntimeerde] . In overweging 63 van de considerans van de AVG is wel vermeld dat een dergelijke overweging er niet toe mag leiden dat een betrokkene alle informatie wordt onthouden.
5.8.
Richtlijn 2016/943, die is geïmplementeerd in de Wet bescherming bedrijfsgeheimen (Wbb), beoogt harmonisatie van de regels inzake de bescherming van bedrijfsgeheimen. Artikel 1 Wbb omschrijft een bedrijfsgeheim als informatie die aan de volgende voorwaarden voldoet:

( a) zij is geheim in die zin dat zij, in haar geheel dan wel in de juiste samenstelling en ordening van haar bestanddelen, niet algemeen bekend is bij of gemakkelijk toegankelijk is voor degenen binnen de kringen die zich gewoonlijk bezighouden met dergelijke informatie;

( b) zij bezit handelswaarde omdat zij geheim is; en

( c) zij is door degene die daar rechtmatig over beschikt, onderworpen aan redelijke maatregelen gezien de omstandigheden, om deze geheim te houden.
5.9.
Deze definitie ziet op informatie ten aanzien waarvan zowel een legitiem belang is bij het vertrouwelijk houden ervan als een legitieme verwachting ten aanzien van het bewaren van deze vertrouwelijkheid. Die informatie moet bovendien feitelijke dan wel potentiële handelswaarde hebben. Dat wordt geacht het geval te zijn als bijvoorbeeld het onrechtmatig verkrijgen, gebruiken of openbaar maken daarvan schadelijk zou kunnen zijn voor de belangen van de persoon die rechtmatig over de informatie zeggenschap heeft, aangezien daardoor afbreuk wordt gedaan aan onder meer de zakelijke of financiële belangen, de strategische posities of het concurrentievermogen van die persoon. Alledaagse informatie valt niet onder de definitie van een bedrijfsgeheim, evenmin als de ervaring en vaardigheden die werknemers vergaren tijdens de normale uitoefening van hun functie noch informatie die algemeen bekend is bij of gemakkelijk toegankelijk is voor personen binnen de kringen die zich gewoonlijk bezighouden met de desbetreffende soort informatie. Zie de considerans van Richtlijn 2016/943 onder 14.
5.10.
In geval van strijdigheid tussen enerzijds onverkorte uitoefening van het recht van inzage in de persoonsgegevens en anderzijds de rechten of vrijheden van anderen, moeten de betrokken rechten tegen elkaar worden afgewogen. Voor zover mogelijk moet ervoor worden gekozen de persoonsgegevens te verstrekken op een wijze die geen afbreuk doet aan de rechten en vrijheden van anderen. Daarbij moet rekening worden gehouden met hetgeen is bepaald in de hiervoor genoemde overweging 63 in de considerans van de AVG.
5.11.
Zoals bepaald in de tussenbeschikking heeft uitsluitend het hof kennisgenomen van de ongeredigeerde versie van de [Y] . Het hof zal thans – met toepassing van de hiervoor uiteengezette afweging van rechten en belangen – beoordelen of, en in hoeverre, X gehouden is de ongeredigeerde versie van de [Y] (volledig) aan [geïntimeerde] te verstrekken. Die afweging leidt ertoe dat [geïntimeerde] , op enkele ondergeschikte onderdelen daarvan na, recht heeft op inzage in de ongeredigeerde [Y] zoals aan het hof verstrekt. In die zin faalt het hoger beroep van X.
5.12.
Het voorgaande betekent dat het hof niet meegaat in de stelling van [geïntimeerde] dat hij op grond van de AVG onverkort inzage heeft in al zijn persoonsgegevens, ongeacht de rechten en belangen van anderen waaronder het recht op het achterhouden van bedrijfsgeheimen. [geïntimeerde] heeft nog aangevoerd dat hij in het kader van zijn recht op inzage geen belang hoeft aan te voeren. Dat is op zichzelf juist, maar in het geval dat de gegevensverwerker, bij wijze van verweer tegen een verzoek tot inzage, een beroep doet op de rechten en belangen van zichzelf of van derden, zal de rechter ter beoordeling van dat verzoek en dat verweer moeten bezien hoe zwaar de wederzijdse belangen wegen. Dat doet het hof in het onderstaande.
5.13.
De uitdraai van de aan het hof verstrekte [Y] bevat ongeveer 2700 regels, welke regels zijn opgedeeld in zes kolommen (A tot en met F) die achtereenvolgens, naar de toelichting van X, het volgende inhouden:

A) Type: in deze kolom staat het type handeling dat er in algemene zin heeft plaatsgevonden;

B) Action/Reason: de specifieke actie of reden voor een handeling;

C) Details: deze kolom bevat – indien beschikbaar – meer gedetailleerde informatie over de geregistreerde aantekening;

D) User: de kolom laat zien wie verantwoordelijk is voor de geregistreerde aantekening;

E) Timestamp: deze kolom toont aan op welk precieze moment (jaar-maand-dag-uur-minuut-seconde) de aantekening is geregistreerd in [Y] ;

F) Actions: deze kolom bevat twee mogelijke acties:

1. “Pin [Y] ”. Door deze optie te selecteren, kan een X-teamlid de betreffende

aantekening in [Y] bovenaan het account “vastzetten” voor een betere

zichtbaarheid.

2. “View JSON”. Door deze optie te selecteren, kan een X-teamlid aanvullende details

bekijken met betrekking tot de geregistreerde actie.
5.14.
[geïntimeerde] heeft aangevoerd dat de door X aan het hof ter inzage aangeboden [Y] , op basis van de aan hem verstrekte informatie, niet volledig kunnen zijn. Hij wijst er in de eerste plaats op dat de details die zijn te zien door de optie “View JSON” te selecteren, ontbreken. X heeft ter zitting laten weten dat, als er in deze kolom niets is ingevuld, er ook geen details aanwezig zijn. Het hof overweegt dat, nu de kolom bij geen enkele regel is ingevuld, niet kan worden geconcludeerd dat de [Y] onvolledig zijn. Er is ook voor het overige onvoldoende aanleiding te concluderen dat de aan het hof overgelegde [Y] onvolledig zijn. Het hof gaat voorbij aan de klacht van [geïntimeerde] dat X in de [Y] kleuraccentueringen heeft aangebracht aangezien deze markeringen slechts een hulpmiddel zijn om de door X toegelichte categorieën in de [Y] van elkaar te onderscheiden en de teksten niet onleesbaar maken.
5.15.
In haar toelichting heeft X de in de aan [geïntimeerde] verstrekte [Y] geredigeerde (zwartgelakte) onderdelen onderverdeeld in categorieën. Elke categorie is, zoals gezegd, in de aan het hof verstrekte ongeredigeerde versie geaccentueerd met een kleur. Het hof zal hierna bij elke categorie ook de kleur noemen zodat het voor X duidelijk is welke gegevens zij wel en niet aan [geïntimeerde] dient te verstrekken. Het hof zal hierna per categorie beoordelen of de door X voorgestane beperking van het inzagerecht van [geïntimeerde] voldoende gerechtvaardigd is.

Contentmoderatie (roze)
5.16.
Deze labels worden door X geplaatst op content die ongepast is, of in strijd met de platformregels van X. In de context van dit geschil zijn de labels binnen deze categorie relevant, omdat enkele van deze labels op het account van [geïntimeerde] van toepassing zijn geweest. NSFW staat voor “Not suitable for work’’ en verwijst, aldus X, naar content die ongeschikt is om in een professionele of openbare omgeving te bekijken. Dit kan bijvoorbeeld gaan om beelden van naakte personen, seksueel suggestieve beelden of expliciete inhoud. Ook CSE (child sexual exploitation) content valt binnen deze categorie. Deze informatie mag volgens X worden uitgezonderd van het inzagerecht omdat openbaarmaking van die informatie het risico vergroot dat de mechanismen van X om ongewenste content te weren, worden omzeild door middel van reverse engineering. X wijst daarbij op het grote maatschappelijk belang van haar contentmoderatie, zoals het tegengaan van seksuele uitbuiting van kinderen, haatdragende inhoud en inbreuk op auteursrechten.
5.17.
Plaatsing van het NSFW label op content van [geïntimeerde] (de post van 11 oktober 2023) is de aanleiding geweest voor onderhavig geschil. Vaststaat dat het gevolg van plaatsing van het label was dat het account en de posts van [geïntimeerde] enkele dagen niet in zoekopdrachten verschenen. De maatregel heeft dus aanmerkelijke gevolgen gehad (en zal deze ook normaliter hebben) zowel voor de zichtbaarheid van de post als voor het account van de gebruiker zelf. X heeft niet inzichtelijk gemaakt waarom bedrijfsgeheimen worden geopenbaard als [geïntimeerde] inzage krijgt in welke NSFW labels op zijn content zijn geplaatst. Dat de post van 11 oktober 2023 is gemarkeerd omdat daarin het woord ‘kinderporno’ voorkwam, is al bekend. In juni 2023 is nog één andere post van [geïntimeerde] als NSFW gelabeld. Niet in te zien valt, zonder nadere uitleg, waarom inzage daarin zou leiden tot verwezenlijking van het door X geschetste risico van omzeiling van haar systemen door reverse engineering. Evenmin heeft X aannemelijk gemaakt dat er een groot risico bestaat dat het aan [geïntimeerde] verstrekken van deze gegevens op grote schaal zal leiden tot vele andere soortgelijke verzoeken. X kan bovendien elk verzoek op zijn eigen merites beoordelen. [geïntimeerde] kan niet worden gezien als een gebruiker die poogt het contentmoderatiesysteem te omzeilen. Gelet op een en ander dienen voor deze categorie van gegevens de rechten en belangen van [geïntimeerde] bij inzage te prevaleren boven de belangen van X bij geheimhouding. Het hof heeft ook geen andere aanknopingspunten gevonden om aan te nemen dat beperking van het inzagerecht in de NSFW-labels gerechtvaardigd is.

Advertentiesysteem (lichtgeel)
5.18.
X heeft toegelicht dat een groot deel van de geredigeerde informatie ziet op posts die zijn gelabeld in het kader van het Brand Safety programma van X. In het [Y] systeem wordt vastgelegd als bepaalde content in posts wordt gemarkeerd als gevoelig van aard of ongeschikt om advertenties naast te plaatsen van specifieke adverteerders. Adverteerders op X kunnen de instructie geven dat hun advertenties niet worden getoond naast posts met een bepaalde, mogelijk gevoelige inhoud. Dit kan bijvoorbeeld posts betreffen die gaan over natuurrampen, geweld of inhoud die alleen geschikt is voor volwassenen. Als een post mogelijk over een dergelijk onderwerp gaat of een door een adverteerder gekozen trefwoord bevat, wordt deze als zodanig gelabeld zodat er geen advertentie van die adverteerder wordt getoond naast de betreffende post. In [Y] is te zien of er is gesignaleerd op basis van een trefwoord of een geautomatiseerde classificatie. Het (Brand Safety) label wordt in [Y] vastgelegd en voorkomt dat er advertenties naast dergelijke posts worden weergegeven, in overeenstemming met de instructies van de adverteerder. Een dergelijke maatregel heeft volgens X geen gevolgen voor het account van een gebruiker. Het gaat slechts om de advertenties die andere gebruikers te zien krijgen naast de post. Het risico van verstrekking van deze gegevens is dat kan worden gereconstrueerd hoe het advertentiesysteem werkt zodat dit omzeild kan worden. Dit heeft mogelijke reputatieschade voor adverteerders tot gevolg, en financiële schade voor X als haar adverteerders weglopen. Bovendien zijn de door adverteerders gekozen trefwoorden concurrentiegevoelig en vertrouwelijk van aard, aldus X.
5.19.
Het hof overweegt als volgt. Het aanmerken van een post van [geïntimeerde] als gevoelig of ongeschikt voor advertenties treft hem in die zin dat het besluit om een dergelijk label toe te kennen tot gevolg heeft dat er naast die post geen advertenties komen te staan of alleen advertenties worden getoond van adverteerders die geen instructie hebben gegeven om een bepaalde gevoeligheid, ongeschiktheid of trefwoord te mijden. Dat kan tot gevolg hebben dat de reputatie van [geïntimeerde] wordt aangetast. Daar staat tegenover dat X de werking van haar advertentiesysteem wenst te beschermen. Dat zij daarbij een op zichzelf redelijk commercieel belang heeft is onvoldoende om de belangenafweging in haar voordeel te laten uitvallen. Het hof merkt op dat in de laatste anderhalf jaar maandelijks een tiental of enkele tientallen posts van [geïntimeerde] zijn gemarkeerd. Dat maakt dat bij inzage in de markeringen een zeker risico bestaat dat patronen in het advertentiesysteem kunnen worden herkend. X heeft echter niet overtuigend toegelicht dat daarmee haar advertentiesysteem kan worden omzeild. Dit te meer omdat de markeringen geen verdere informatie bevatten dan dat de ongeschiktheid met een hoge of met een lage zekerheid is vastgesteld; niet vermeld is de reden waarom. X heeft bovendien niet toegelicht met welke motieven gebruikers, en in het bijzonder [geïntimeerde] , het advertentiesysteem zouden willen omzeilen. X heeft alleen voorbeelden gegeven van (maatschappelijk ongewenste) omzeiling van haar contentmoderatie. Bovendien blijven de instructies van de individuele adverteerders buiten beeld. Een en ander brengt mee dat bij deze categorie van gegevens de rechten en belangen van [geïntimeerde] bij inzage zwaarder wegen dan de rechten en belangen van X bij geheimhouding.

Spamfilter (groen)
5.20.
Een deel van de geredigeerde informatie beslaat labels, aldus X, die zijn geregistreerd in de context van haar Authenticity beleid, dat onder meer ziet op het tegengaan van spam en nep-accounts. Het betreffen labels die te maken hebben met de lage kwaliteit van een post, of labels die te maken hebben met niet-authentiek gebruikersgedrag, zoals het in bulk delen of posten, of kunstmatig met meerdere accounts proberen het bereik van posts te vergroten. Een signalering heeft lang niet altijd gevolgen, maar soms wordt actie ondernomen door de gebruiker te vragen naar aanvullende informatie zoals een telefoonnummer, of om aan te tonen dat men geen bot is. Volgens X kan deze informatie van het inzagerecht worden vrijgesteld omdat openbaarmaking ook hier het risico vergroot dat de systemen – in dit geval spamfilters – van X door kwaadwillenden worden omzeild. Handelaren proberen bijvoorbeeld verboden middelen aan te bieden door op grote schaal posts te plaatsen met een link naar een externe site waarop deze worden aangeboden, aldus X.
5.21.
Het hof constateert dat een deel van de labels in deze categorie is gegeven naar aanleiding van de twee posts die ook door de geautomatiseerde contentmoderatie waren gesignaleerd. Verder is een twintigtal posts van [geïntimeerde] door de spamfilter gelabeld, waarvan een deel ouder is dan vijf jaar. X heeft niet uitgelegd waarom inzage in een dergelijk gering aantal, deels verouderde labels tot een systeemrisico zou leiden in de zin dat de precieze werking van de spamfilters wordt achterhaald. Dat er op spam wordt gecontroleerd, en dat het daarbij onder meer om het detecteren van niet-authentiek gebruikersgedrag gaat, ligt voor de hand en wordt door X kennelijk niet als bedrijfsgeheim beschouwd. Slechts de precieze werking van een en ander verdient dan ook bescherming. X heeft aangevoerd dat die precieze werking bekend wordt als kwaadwillenden op grote schaal inzageverzoeken gaan doen. X heeft [geïntimeerde] echter niet als een kwaadwillende aangemerkt. Gelet op het geringe aantal labels ligt dat ook niet voor de hand. Er is dan ook onvoldoende aanleiding om [geïntimeerde] zijn recht op inzage in deze categorie gegevens te ontzeggen. X’ belang legt minder gewicht in de schaal dan het belang van [geïntimeerde] bij inzage in deze gegevens. Het hof tekent hierbij aan dat X inzageverzoeken van anderen, zoals eerder opgemerkt, op hun eigen merites kan beoordelen.

Accountveiligheid en beveiliging (blauw)
5.22.
Dit deel van de geredigeerde informatie in de [Y] ziet op interne processen rondom accountveiligheid. Informatie in deze categorie omvat onder meer interne processen rondom wachtwoordresets en hoe de systemen van X omgaan met signalen die wijzen op impersonisatie.
5.23.
De inhoud van de [Y] die zijn gemerkt als behorend tot deze categorie bevatten niet wezenlijk andere informatie dan in de - al bij [geïntimeerde] bekende - toelichting van het Safety team is gegeven. Twee regels gaan volgens die toelichting erover dat er een ‘impersonation assessment’ heeft plaatsgevonden als gevolg van een ‘premium subscription’. De enige toevoeging in de [Y] is dat er geen ‘impersonation target’ gevonden is. De andere regels melden volgens de toelichting een ‘authentication challenge’ als gevolg van ‘multiple password reset attempts from different IPs’. Bij die meldingen wordt telkens het aantal password resets genoemd en het aantal gebruikers. Welk risico van bekendheid die aantallen opleveren voor de veiligheid van de systemen valt niet in te zien en heeft X niet duidelijk gemaakt. Uit de toelichting blijkt al dat er extra controles zijn ingebouwd bij meerdere pogingen een password te wijzigen. Bovendien ligt dit voor de hand. Er is dan ook geen aanleiding om inzage in deze gegevens te beperken.

Diverse technische gegevens (paars)
5.24.
Volgens X gaat het hierbij om grotendeels technische gegevens die niet duidelijk binnen de andere categorieën passen maar wel verband houden met de hiervoor genoemde systemen. Omdat sommige vastleggingen bijna tien jaar oud zijn, valt niet altijd te zeggen wat deze precies inhouden, aldus X. X heeft niet toegelicht wat haar belang is bij het achterhouden van deze gegevens. Het enkele verband met eerder genoemde systemen is daarvoor onvoldoende. Voor zover de gegevens verouderd zijn valt in het geheel niet in te zien wat het belang van X is bij het achterhouden daarvan. Ook de toelichting van het Safety team draagt niet bij aan enig belang van X bij geheimhouding. [geïntimeerde] dient dan ook inzage te krijgen in deze aan zijn persoon gerelateerde gegevens.

Personen, teams en tijdstippen (geel)
5.25.
Deze categorie gegevens betreft, volgens de toelichting van X, de verantwoordelijke medewerker, het betrokken team of het specifieke tijdstip waarop een actie is vastgelegd. In de geredigeerde [Y] zijn slechts de maand en het jaartal van de acties zichtbaar. X heeft toegelicht dat door post ID’s, tijdstippen en labels te combineren, externe partijen kunnen achterhalen welke content precies gelabeld is (en eventueel een handhavingsactie heeft ondervonden). Dit maakt het mogelijk om het effect van verschillende posts en gedrag te testen en de drempelwaarden van het handhavingssysteem op die manier bloot te leggen. Het combineren van tijdstippen en labels maakt het mogelijk om te analyseren wanneer automatische detectie plaatsvindt en wanneer juist een menselijke review optreedt, en of handhaving in real-time gebeurt of op een later moment. Deze kennis stelt derden in staat om hun gedrag zodanig te timen dat zij buiten de reikwijdte van bepaalde maatregelen of een bepaalde beoordeling vallen, aldus nog steeds X.
5.26.
[geïntimeerde] heeft ter zitting verklaard dat hij de namen van medewerkers van X niet nodig heeft om zijn rechten te kunnen uitoefenen. Gelet daarop, en omdat het hierbij gaat om persoonsgegevens van derden en de belangen van die derden bescherming verdienen, zal X de namen van medewerkers niet hoeven te verstrekken. Onduidelijk is echter welk belang X heeft bij het achterhouden van de afdeling die aan de diverse regels is gekoppeld. In de [Y] wordt slechts verwezen naar het Safety team, terwijl de betrokkenheid van die afdeling bij de diverse systemen al uit de toelichting van X blijkt.
5.27.
X heeft, zoals reeds vermeld, gesteld dat inzage in tijdstippen het mogelijk maakt te analyseren wanneer automatische detectie plaatsvindt en wanneer juist een menselijke review optreedt, en of handhaving in real-time gebeurt of op een later moment. Ter zitting heeft X daaraan toegevoegd dat de tijdstippen inzicht geven in de snelheid waarmee de systemen van X actie ondernemen op posts en dat geheimhouding daarvan van groot belang is om misbruik door bots tegen te gaan. Het hof volgt X daarin. Het is niet nodig dat [geïntimeerde] inzicht krijgt in de snelheid waarmee de systemen van X werken terwijl het prijsgeven daarvan wel het belang van X schaadt. Met het vrijgeven van de dag waarop X al dan niet geautomatiseerd heeft gereageerd op zijn posts, moet [geïntimeerde] voldoende in staat worden geacht de reacties van X aan zijn eigen posts te koppelen. Daarmee is het belang van [geïntimeerde] voldoende gediend en het belang van X voldoende beschermd. X dient [geïntimeerde] daarom wel inzage te geven in de dag van de acties maar niet in de tijdstippen.

Identificatienummers (oranje)
5.28.
X voert aan dat deze informatie is zwartgelakt omdat op basis daarvan exact kan worden achterhaald welke post aanleiding was voor de acties die in de [Y] zijn vastgelegd. Waarom dit ook voor [geïntimeerde] , als plaatser van de posts, geheim zou moeten blijven is niet nader duidelijk gemaakt. Het hof is van oordeel dat [geïntimeerde] juist recht op en belang heeft bij het koppelen van een actie aan een specifieke post. Inzage in de [Y] zou zonder die koppeling voor hem zinledig zijn. Er is dan ook geen grond voor het achterhouden van deze gegevens.

Dwangsommen
5.29.
De laatste grief van X (grond 5) strekt er kennelijk toe om aan eventueel door het hof te handhaven/op te leggen geboden geen dwangsommen te verbinden. Het hof begrijpt het in hoger beroep geformuleerde (en veranderde) verzoek van X aldus dat het ook strekt tot maximering van de dwangsommen. Volgens X is een niet-gemaximeerde dwangsom in deze zaak niet passend omdat niet eenvoudig is vast te stellen wanneer aan een inzageverzoek in de zin van artikel 15 AVG is voldaan. Daarnaast heeft X zich, naar eigen zeggen, ingespannen om [geïntimeerde] van informatie te voorzien.
5.30.
Het hof overweegt dat een dwangsom een prikkel tot naleving moet bieden en daarnaast proportioneel moet zijn. Kennelijk is in dit geval daadwerkelijk een prikkelende werking van de opgelegde dwangsom uitgegaan, omdat X na de veroordeling in eerste aanleg telkens met nadere informatie over de brug is gekomen. Gelet op de uitkomst van dit hoger beroep is nog steeds een prikkel nodig. Daarnaast kan, gelet op de aard en omvang van de onderneming van X, niet worden geoordeeld dat de opgelegde dwangsom of het ontbreken van een maximum disproportioneel is. De grief faalt dan ook. Er is bovendien geen aanleiding een voorziening te treffen zodat een cassatieberoep mogelijk is zonder doorlopende dwangsommen, zoals X kennelijk beoogt met haar verzoek om deze beslissing niet uitvoerbaar bij voorraad te verklaren. Voor toewijzing van het door [geïntimeerde] kennelijk als incidenteel appel gedane verzoek om de dwangsommen te verhogen is evenmin aanleiding, nu het ontbreken van een maximum een adequate prikkel vormt.
5.31.
Het beroep van X op artikel 7 en 16 van het Handvest EU, respectievelijk betreffende het recht op bescherming van privacy en de ondernemingsvrijheid, artikel 1 eerste protocol bij het EVRM betreffende het recht op eigendom, en het beroep op artikel 42 lid 5 DSA betreffende de vertrouwelijkheid van contentmoderatie, leidt niet tot andere oordelen dan hiervoor gegeven.
5.32.
[geïntimeerde] heeft in zijn verweerschrift nog verzocht om X op grond van artikel 22 Rv te bevelen twee door hem genoemde stukken in het geding te brengen. Dit verzoek wordt afgewezen, omdat de stukken niet relevant zijn voor de te nemen beslissing. Om diezelfde reden wordt niet toegekomen aan het verzoek ex art. 843a Rv en wordt [geïntimeerde] niet toegestaan nadere bewijsstukken in het geding te brengen.
5.33.
[geïntimeerde] heeft nog betoogd dat artikel 41 UAVG ongeldig is omdat weigeringsgronden duidelijk en nauwkeurig moeten zijn en genoemd wetsartikel volgens [geïntimeerde] slechts ‘knip- en plakwerk’ is. [geïntimeerde] verzoekt het hof zo nodig prejudiciële vragen te stellen over artikel 41 UAVG. [geïntimeerde] ziet daarbij over het hoofd dat de door X ingeroepen rechten voortvloeien uit de Unierechtelijke en nationale bepalingen over bedrijfsgeheimen en niet uit artikel 41 UAVG. Het HvJ EU heeft bovendien recent nog uitgelegd hoe een beroep op bedrijfsgeheimen dient te worden beoordeeld in het licht van de AVG (HvJ EU 27 februari 2025 C-203/22, Dun & Bradstreet). Er is dan ook geen aanleiding tot het stellen van prejudiciële vragen aan het HvJ EU.

Slotsom en kosten
5.34.
Uit het voorgaande volgt dat X uitsluitend de namen van medewerkers en de tijdstippen mag uitsluiten van het inzagerecht. De grieven slagen in zoverre, maar falen voor het overige. Bij verdere bespreking daarvan bestaat geen belang. De [Y] dienen aan [geïntimeerde] te worden verstrekt, afgezien van de hiervoor genoemde informatie. De bestreden beschikking zal in zoverre worden vernietigd. X is in het hoger beroep in overwegende mate in het ongelijk gesteld en zal daarom worden veroordeeld in de proceskosten in hoger beroep.

<nr>6</nr>Beslissing
Het hof:

bekrachtigt de bestreden beschikking, met dien verstande dat in de [geïntimeerde] betreffende [Y] , de namen van medewerkers van X en de uren, minuten en seconden als bedoeld in rechtsoverweging 5.26 en 5.27 zwart gemaakt mogen worden, en vernietigt de bestreden beschikking in zoverre;

veroordeelt X in de kosten van het geding in hoger beroep, tot op heden aan de zijde van [geïntimeerde] vastgesteld op € 362,00 aan griffierecht en op € 178,00 voor nasalaris, te vermeerderen met € 92,00 voor nasalaris en de kosten van het betekeningsexploot ingeval betekening van deze beschikking plaatsvindt, te vermeerderen met de wettelijke rente, indien niet binnen veertien dagen na deze beschikking dan wel het verschuldigd worden van de nakosten aan de kostenveroordeling is voldaan;

verklaart deze veroordelingen uitvoerbaar bij voorraad;

wijst af het meer of anders verzochte.

Deze beschikking is gegeven door mrs. D. Kingma, L. Alwin en P.F.G.T. Hofmeijer-Rutten en door de rolraadsheer in het openbaar uitgesproken op 14 april 2026.