Access Controls
Access management and authentication
access control access management authentication authorization
Overview
20 sources · Feb 21, 2026Legal Framework
Access controls operate at the intersection of data security and processing authority. Article 29 GDPR mandates that any entity processing personal data—including authentication service providers—must act solely on documented instructions from the controller, unless Union or Member State law requires otherwise. This provision ensures that access management systems remain subordinate to the controller's authority and cannot unilaterally expand processing scope.
Where access control services are outsourced, Article 28(10) GDPR establishes a critical threshold: if the service provider independently determines the purposes and means of processing (for instance, by using authentication data for proprietary analytics or security research), it ceases to function as a processor and assumes controller status for that processing. This reclassification triggers full GDPR liability for the provider and requires direct accountability to data subjects.
Article 32(1) GDPR imposes the substantive security obligation, requiring controllers and processors to implement appropriate technical measures to ensure the confidentiality and integrity of processing systems. Where access controls process biometric or behavioral data for multiple purposes—such as authentication concurrent with fraud detection—Article 6 and Recital 32 require distinct legal bases for each processing operation, ensuring data subjects comprehend the full scope of monitoring. For biometric systems, Article 35 GDPR mandates Data Protection Impact Assessments where processing involves systematic monitoring or special category data. Additionally, AI Act Recital 15 defines biometric identification to include behavioral characteristics such as keystroke dynamics, gait analysis, and voice recognition, while Recital 17 specifically restricts "remote biometric identification systems" that operate without active user involvement, typically at a distance.
Key Developments
Enforcement practice has established concrete standards for access control adequacy. The Romanian DPA's €10,000 penalty against GENPACT ROMANIA SRL for insufficient technical measures enabling a successful cyber attack, and the French CNIL's €27,000,000 fine against FREE MOBILE for systemic failures in technical and organizational security, confirm that Article 32 requires state-of-the-art access controls that actually prevent unauthorized intrusion, not merely symbolic barriers or default configurations.
The Dutch DPA's 2025 assessment of authentication reliability levels provides specific technical benchmarks for electronic service access, requiring graduated security measures commensurate with data sensitivity. Meanwhile, Parliament v. Council (PNR) underscores that international transfers of authentication data require valid legal bases; agreements adopted ultra vires render such transfers void, affecting cross-border access management systems.
Practical Guidance
- Distinguish controller and processor roles: Ensure contracts with authentication providers explicitly prohibit independent purpose determination to avoid Article 28(10) controller reclassification and joint liability exposure.
- Conduct DPIAs for biometric systems: Before deploying fingerprint, facial recognition, or behavioral biometric access controls, complete an Article 35 Data Protection Impact Assessment addressing the systematic monitoring risks and special category data processing inherent in such technologies.
- Comply with AI Act biometric restrictions: Avoid deploying remote biometric identification systems in publicly accessible spaces unless strictly exempted, and ensure behavioral biometrics (keystrokes, gait) meet explicit consent requirements under Article 9 GDPR given their classification under AI Act Recital 15.
- Implement graduated authentication: Align access control reliability with the Dutch DPA's 2025 standards, requiring multi-factor authentication and encryption for high-risk processing environments involving sensitive personal data.
- Validate technical effectiveness: Conduct regular penetration testing, access right reviews, and security audits to demonstrate compliance with Article 32 and avoid the "insufficient technical measures" violations penalized in GENPACT and FREE MOBILE.
Laws (18)
Case Law (12)
Vrijspraak Misbruik identificerende persoonsgegevens
Rechtbank
Vrijspraak voor bankhelpdeskfraude, computervredebreuk, diefstal valse sleutel en misbruik persoonsgegevens. Bewezenverklaring van opzetheling van een bankpas en een simkaart. Redelijke termijn overschreden met ruim 3 jaar. Taakstaf van 30 uur. Benadeelde partijen niet-ontvankelijk.
Inzage in patiëntendossier van zoon aan vader na overlijden van kind.
Rechtbank
Zonder toestemming van de patiënt mag een ziekhuis aan een externe deskundige geen toegang geven tot een patiëntendossier. Bepalend voor de beantwoording van de vraag of bepaalde gegevens of stukken tot het medische dossier behoren is de aard van de gegevens, in het bijzonder of de gegevens de goede hulpverlening dienen. Daarbij geldt dat de dossierplicht van art. 7:454 lid 1 BW niet meebrengt dat dezelfde gegevens meerdere malen in het medisch dossier moeten worden opgenomen. Vanwege de ‘veilig melden’-regeling van art. 9 lid 6 Wkkgz maakt een calamiteitenrapport geen deel uit van het patiëntendossier. Een DIM-melding behoort wel tot het medisch dossier, voor zover het betreft de aantekeningen over de aard en toedracht van het gemelde incident, het tijdstip waarop het incident heeft plaatsgevonden en de namen van de betrokkenen bij het incident. Omdat de patiënt aan zijn vader toestemming heeft gegeven om zijn medisch dossier in te zien en daarvan een afschrift te ontvangen kan de vader ingevolge het bepaalde in art. 7:458a lid 1 aanhef en onder a BW pro se tegenover het ziekenhuis aanspraak maken op inzage in en afschrift van gegevens uit dat dossier. Uit dat recht volgt niet dat het ziekenhuis aan een partijdeskundige van de vader toegang moet verlenen tot het elektronisch systeem van het ziekenhuis.
FSV
Rechtbank
Beroep ongegrond, passeren motiveringsgebrek met artikel 6:22 Awb, proceskostenveroordeling. Overschrijding redelijke termijn artikel 6 EVRM, schadevergoeding
AVG-verzoek. Het college heeft nu inzichtelijk gemaakt hoe de zoekslag naar eisers persoonsgegevens is gedaan en welke...
Rechtbank
AVG-verzoek. Het college heeft nu inzichtelijk gemaakt hoe de zoekslag naar eisers persoonsgegevens is gedaan en welke gegevens daarbij zijn aangetroffen. Eiser is met het besluit in staat gesteld om kennis te nemen van zijn gegevens en deze te controleren. Het beroep is ongegrond.
Inzage bij de AIVD over aanwezige gegevens over eiser. Zoekslag is voldoende geweest.
Rechtbank
Beroep. Eiser heeft een aanvraag gedaan tot kennisneming van eventueel over hem bij de AIVD aanwezige gegevens. Verweerder heeft de aanvraag gedeeltelijk afgewezen. Beroep ziet op de vraag of verweerder de zoekslag voldoende heeft gemotiveerd en juist heeft uitgevoerd, en of verweerder de weigeringsgronden goed heeft toegepast. Beroep ongegrond.
Woo- verzoek. De omstandigheid dat een document politiegegevens bevat, brengt niet met zich dat het document als zodanig onder de werking van de Wpg valt, ook voor zover dit document andere gegevens dan politiegegevens in voormelde zin bevat. Er bestaa...
Rechtbank
Woo. Zoekslag. Beroep gegrond. Het bestreden besluit is in strijd met het motiverings- en zorgvuldigheidsbeginsel. De zoekslag is in het verweerschrift voldoende gemotiveerd.
Fysieke inzage gehad in politiegegevens. Verweerder kiest vorm van inzage mits voldaan aan art. 25 Wpg. Overzicht van geregistreerde gegevens hoefde niet te worden opgemaakt en verstrekt.
Rechtbank
verzoek om inzage in persoonsgegevens ogv art 25 Wpg; verzoek ingewilligd; fysieke inzage gekregen; dit voldoet aan de Wpg, vwr hoefde geen overzicht te verstrekken; beroep ongegrond
Voorstel van wet
Raad van State
Wijziging van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de Jeugdwet in verband met digitale identificatie en authenticatie in de zorgVoorstel van wet, Memorie van toelichting, Advies Afdeling advisering, Raad van State en Nader rapport
WPG. Zoekslag in het bestreden besluiten onvoldoende inzichtelijk; daarnaast niet volledig op het verzoek om...
Rechtbank
WPG. Zoekslag in het bestreden besluiten onvoldoende inzichtelijk; daarnaast niet volledig op het verzoek om kennisneming beslist. Gebreken hangende het beroep hersteld. Weigeringsgronden goed gemotiveerd met een behoorlijke belangenafweging. Algemene zorgen om de kwaliteit van het informatiebeheer zijn onvoldoende om toelichting op de zoekslag niet geloofwaardig te oordelen. Gegrond, instandhouding rechtsgevolgen.
Artikel
Rechtbank
Rechtbank Rotterdam 29 januari 2025, ECLI:NL:RBROT:2025:1497 (Blauw/Nebu vervolg, vragen aan deskundige). Artikel : 24 en 32 AVG Onderwerp: Een vervolg op Rechtbank Rotterdam 6 april 2023, ECLI:NL:RBROT:2023:2931 de Blauw/Nebu zaak. Deze zaak draait om de verplichtingen van Nebu als verwerker van...
Meta Platforms v noyb
C-252/21 (Meta Platforms (noyb))
GDPR consent requirements and lead supervisory authority mechanism.
PARLIAMENT V. COUNCIL (PNR)
PNR
Transfers: Where the transfers of personal data are authorized under an agreement that was adopted ultra vires, the authorization is void.
Guidance (33)
View all 33Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Version history
Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
Guidelines 05/2020 on consent under Regulation 2016/679
Guidelines on consent
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
Guidelines on technical scope of art. 5(3) of ePrivacy Directive
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Versiegeschiedenis
guidelines accreditatie
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Richtsnoeren 01/2021
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Enforcement (85)
View all 85GENPACT ROMANIA SRL: Insufficient technical and organisational measures to ensure information security
€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 10,000 on GENPACT ROMANIA SRL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures. The attacker was able to exploit vulnerabilities in some passwords and in the way user accounts' authentication could be reset.
FREE MOBILE: Insufficient technical and organisational measures to ensure information security
€27,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona
ONVOLDRAAGLIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.
FREE MOBILE: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).
FREE: Insufficient technical and organisational measures to ensure information security
€15,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.
Aktia Pankki Oyj: Insufficient technical and organisational measures to ensure information security
€865,000 fine - Deputy Data Protection Ombudsman
The Finish DPA has imposed a fine of EUR 865,000 on Aktia Pankki Oyj. The controller changed its strong authentication process in such a way that it no longer guaranteed adequate data security, resulting in a data breach.
Aktia Pankki Oyj: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
865.000 euro boete - Waarnemend ombudsman gegevensbescherming.
De Finse toezichthouder DPA heeft Aktia Pankki Oyj een boete van 865.000 euro opgelegd. Het bedrijf heeft een wijziging doorgevoerd in zijn proces voor sterke authenticatie, waardoor de adequate gegevensbeveiliging niet langer werd gegarandeerd, wat resulteerde in een datalek.
SENDING TRANSPORTE Y COMUNICACIÓN, S.A.: Onvoldoende overeenkomst met betrekking tot gegevensverwerking.
Een boete van 80.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 80.000 euro opgelegd aan SENDING TRANSPORTE Y COMUNICACIÓN, S.A. Het bedrijf dat beboet is, is een verwerker voor de verantwoordelijke partij. Het heeft een andere onderaannemer ingehuurd zonder daarvoor toestemming te hebben, en daarbij een ongeschikte DPA (gegevensbeschermingsautoriteit) gebruikt.
CREMA GAMES, S.L.: Insufficient fulfilment of information obligations
€4,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA imposed a fine on CREMA GAMES, S.L. The controller failed to fulfill an information request from an online customer. The controller asked the data subject for an identity document, but the data subject did not provide one. As a result, the controller refused to fulfill the information request. According to the DPA, the controller should have used a digital authentication method. The original fine of EUR 5,000 was reduced to EUR 4,000 due to immediate payment without admission of
CREMA GAMES, S.L.: Onvoldoende nakoming van de informatieverplichtingen.
Een boete van 4.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan CREMA GAMES, S.L. De verantwoordelijke partij heeft een verzoek om informatie van een online klant niet inwilligend gemaakt. De verantwoordelijke partij had de betrokkene om een identiteitsbewijs gevraagd, maar de betrokkene had dit niet verstrekt. Hierdoor weigerde de verantwoordelijke partij het verzoek om informatie te behandelen. Volgens de DPA had de verantwoordelijke partij een digitale authenticatiemethode moeten gebruiken. De oorspronkelijke boete van 5.000 euro is verlaagd naar 4.000 euro vanwege een onmiddellijke betaling zonder erkenning van schuld.
Advanced Computer Software Group Ltd: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 3.500.000 euro - Informatiecommissaris (ICO).
De Britse gegevensbeschermingsautoriteit (ICO) heeft Advanced Computer Software Group Ltd een boete van 3,07 miljoen pond (3,5 miljoen euro) opgelegd vanwege ontoereikende IT-beveiliging (schending van artikel 32(1) van de Britse AVG). De verantwoordelijke partij heeft nagelaten om passende technische en organisatorische maatregelen te implementeren ter bescherming van persoonsgegevens. Een ransomware-aanval in augustus 2022 stelde hackers in staat om toegang te krijgen tot de systemen van een dochteronderneming in de gezondheidszorg via een klantaccount dat geen multi-factor authenticatie had. Hierdoor waren de persoonsgegevens van 79.404 personen in gevaar.
Advanced Computer Software Group Ltd: Insufficient technical and organisational measures to ensure information security
€3,500,000 fine - Information Commissioner (ICO)
The UK DPA (ICO) has fined Advanced Computer Software Group Ltd £3.07 million (EUR 3.5 million) for insufficient IT security (infringiment of Art. 32 (1) UK GDPR). The controller failed to implement appropriate technical and organisational measures to protect personal data. A ransomware attack in August 2022 allowed hackers to access systems of a health subsidiary via a customer account that lacked multi-factor authentication. As a result, the personal data of 79,404 individuals was put at risk.
Vodafone GmbH: Non-compliance with general data processing principles
€45,000,000 fine - The Federal Commissioner for Data Protection and Freedom of Information (BfDI)
The Federal Commissioner for Data Protection and Freedom of Information (BfDI) has imposed a fine of EUR 45,000,000 on Vodafone GmbH. The controller failed to properly supervise a third agency, which the controller used as a data processor. This resulted in employees of the third agency defrauding the controller's customers. The controller also failed to implement sufficient technical and organizational measures during an authentication process, which created the risk of third parties gaining ac
LIGA NACIONAL DE FÚTBOL PROFESIONAL: Insufficient technical and organisational measures to ensure information security
€1,000,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 1 million on LIGA NACIONAL DE FÚTBOL PROFESIONAL. The controller had introduced access controls for visitors to football stadiums using biometric systems without first carrying out the necessary data protection impact assessment.
Azienda ospedale università di Padova: Non-compliance with general data processing principles
€75,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 75,000 on Azienda ospedale università di Padova. During its investigation, the DPA found that employees had accessed patient files without authorization and that the controller did not have appropriate access restrictions in place. This allowed employees to access patient files that were not necessary for their work, e.g. because they were not treating the patients in question.
CENTRUL MEDICAL UNIREA SRL: Insufficient technical and organisational measures to ensure information security
€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 5,000 on CENTRUL MEDICAL UNIREA SRL. The controller had suffered a data breach in which personal data of patients and employees were disclosed on the internet without authorization. The DPA found that the controller had failed to implement appropriate technical and organizational measures to protect personal data.
Bar: Non-compliance with general data processing principles
€2,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined the owner of a bar EUR 2,000. The controller had operated video surveillance cameras in one of their premises without the required authorization. Furthermore, the DPA found that the controller failed to properly inform about the CCTV and the processing of personal data by the cameras.
EURO MINI STORAGE ROMANIA SRL: Insufficient technical and organisational measures to ensure information security
€5,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of 5,000 euros on EURO MINI STORAGE ROMANIA SRL. The controller had suffered a data breach in which customer data was accessed without authorization. During its investigation, the DPA found that the controller had failed to take appropriate technical and organizational measures to prevent such an incident.
VESTA CEU ROMÂNIA SRL.: Insufficient technical and organisational measures to ensure information security
€3,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has imposed a fine of EUR 3,000 on VESTA CEU ROMÂNIA SRL. The controller had reported a data breach to the DPA pursuant to Art. 33 GDPR. The controller had disclosed personal data such as name, place of residence, salary, CV and copies of passports to employees without authorization, who then accessed the data internally and illegally passed it on to third parties. According to the DPA, the controller had failed to implement adequate technical and organizational measures to prot
NTT Data Italia S.P.A: Insufficient fulfilment of data breach notification obligations
€800,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 800,000 on NTT Data Italia S.P.A. The fine is related to the fine imposed on UniCredit (ETid-2227). UniCredit had contracted NTT to carry out vulnerability analyses and penetration tests. During its investigation, the DPA found that NTT had not notified UniCredit of a data breach in a timely manner. In addition, NTT had contracted another company to carry out vulnerability assessments and penetration tests without prior authorization from the bank as the
News (7)
AEPD (Spain) - PS-00456-2025
Holding === Holding ====== Holding === The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The Authority clarified that the necessity for the performance of a contract must be interpreted strictly and covers only processing that is objectively necessary, not merely useful or convenient.The DPA upheld the complaint and found an infringement of [[Article 6 GDPR#1|Article 6(1) GDPR]]. The DPA clarified that the necessity for the performance of a contrac
De Deense toezichthouder (SA) heeft een boete van ongeveer 67.000 euro opgelegd aan een advocatenkantoor dat getroffen was door ransomware, vanwege ontoereikende beveiligingsmaatregelen.
De Deense autoriteit voor gegevensbescherming (DPA) heeft geconstateerd dat het advocatenkantoor niet beschikte over de noodzakelijke beveiligingsmaatregelen, vooral gezien het feit dat het bedrijf te maken had met bijzondere categorieën van persoonsgegevens. De DPA benadrukte dat een datalek in dergelijke gevallen vrijwel zeker een aanzienlijk risico zou vormen voor de rechten van de betrokken personen. Daarom moet de verantwoordelijke partij zeer strenge beveiligingsmaatregelen implementeren om ongeautoriseerde toegang te voorkomen. Daarom kan de verantwoordelijke partij, bijvoorbeeld bij het creëren van toegang op afstand tot dergelijke IT-systemen, gebruikmaken van...
Danish SA: fine of of approx. EUR 67k for a law firm hit by ransomware for its insufficient security safeguards
> The Danish DPA held that the law firm lacked basic security measures, especially considering the fact that its processing involved special categories of personal data. The DPA emphasized that in such cases a data breach would almost certainly entail a high risk to the data subjects' rights. Therefore, the controller must have especially strict security measures in place to avoid unauthorised accesses. Hence, when creating remote access to such IT systems, the controller could, for instance, im
AEPD publishes GDPR Risk Assessment
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
De Autoriteit Persoonsgegevens publiceert een rapport over de risicoanalyse van de AVG (Algemene Verordening Gegevensbescherming).
De GDPR-risicoanalyse is bedoeld om controllers en verwerkers te helpen bij het identificeren van de risicofactoren voor de rechten en vrijheden van de betrokkenen, wiens gegevens worden verwerkt. Het doel is om een eerste inschatting te maken van het inherente risico, inclusief de noodzaak om een Privacy Impact Assessment (DIA) uit te voeren, en om het resterende risico te schatten als maatregelen en beveiligingsmechanismen worden gebruikt om specifieke risicofactoren te verminderen.
Gezamenlijk document van de AEPD en de EDPS: 10 misverstanden over machine learning.
De Europese Unie heeft kunstmatige intelligentie (AI) aangemerkt als een van de meest relevante technologieën van de 21e eeuw en benadrukt 1 het belang ervan in de strategie voor de digitale transformatie van de EU. AI heeft een breed scala aan toepassingen en kan bijdragen aan uiteenlopende gebieden, zoals het behandelen van chronische ziekten, het bestrijden van klimaatverandering of het anticiperen op cyberbeveiligingsrisico's.
Het EDPB en het EDPS: Het voorstel om online seksueel misbruik van kinderen te bestrijden, brengt serieuze risico's met zich mee voor fundamentele rechten.
De Europese Autoriteit voor gegevensbescherming (EDPB) en de Europese Toezichthouder op het gebied van gegevensbescherming (EDPS) hebben een gezamenlijk advies aangenomen over het voorstel voor een verordening ter bestrijding van seksueel misbruik van kinderen.