AI Value Chain Actors and Roles
The content focuses on responsibilities distributed across different actors in the AI value chain. A dedicated topic for understanding the various actors, their roles, and how they interact would be valuable for comprehensive AI Act compliance.
value chain AI actors providers distributors importers deployers authorized representatives supply chain
Overview
26 sources · Feb 17, 2026Legal Framework
The AI Act establishes a complex value chain governed by Recital 83, which clarifies that providers, deployers, importers, and distributors may act simultaneously in multiple roles, triggering cumulative compliance obligations. Recital 20 imposes AI literacy requirements on providers and deployers to ensure informed decision-making regarding system development and output interpretation. When these actors process personal data, the GDPR applies concurrently. Article 22 GDPR prohibits automated decision-making—including profiling—unless based on explicit consent, contractual necessity, or legal authorization, requiring clear affirmative action from data subjects. Article 9 GDPR prohibits processing special categories of personal data unless narrow exceptions apply. For international transfers, Article 49 GDPR permits derogations only in specific circumstances where transfer under Articles 45 or 46 proves impossible, requiring documented evidence of serious attempts to utilize primary transfer mechanisms first.
Key Developments
Doctrinal analysis establishes that exceptions under Articles 9 and 22 GDPR receive strict construction; consent must be freely given, specific, informed, and unambiguous through explicit affirmative acts such as signed statements or electronic interface selections. For Article 49 derogations, the "impossibility" threshold requires controllers to demonstrate genuine efforts to implement adequacy decisions or appropriate safeguards before relying on residual exceptions. Digital Rights Ireland Ltd v. Ireland establishes that data retention and access constitute interferences with fundamental rights under Article 7 CFR, requiring strict necessity and proportionality assessments that inform how AI actors handle training data and system outputs. Bonnier Audio distinguishes between data retention for criminal investigations versus civil proceedings, limiting the scope of disclosure obligations and affecting how deployers justify data processing bases in commercial AI applications.
Practical Guidance
Map cumulative roles and obligations: Conduct legal assessments to determine whether your organization functions as provider, deployer, importer, or distributor under the AI Act, recognizing that simultaneous roles trigger cumulative compliance duties under both the AI Act and GDPR (Recital 83 AI Act).
Implement Article 22 safeguards for automated decision-making: For AI systems performing profiling or automated decision-making, establish explicit consent mechanisms requiring clear affirmative action, or ensure decisions fall within contractual necessity or legal authorization exceptions, maintaining documentation of the legal basis (Article 22 GDPR).
Document transfer mechanism attempts before using Article 49 derogations: Before transferring personal data internationally under Article 49 GDPR residual exceptions, maintain records demonstrating serious attempts to utilize Article 45 adequacy decisions or Article 46 appropriate safeguards, as derogations apply only where such transfers prove impossible.
Establish AI literacy programs for compliance personnel: Implement training programs ensuring staff involved in AI development and deployment possess sufficient literacy to interpret system outputs correctly and apply technical measures during development phases, satisfying Recital 20 requirements.
Audit for special category data processing: Review AI systems to identify processing of special categories of personal data under Article 9 GDPR, ensuring such processing rests on explicit consent, substantial public interest, or other narrow statutory exceptions, given the strict prohibition framework.
Laws (445)
View all 445Article 72
Monitoring door aanbieders na het in de handel brengen en plan voor monitoring na het in de handel brengen voor AI-systemen met een hoog risico
Article 88
Handhaving van de verplichtingen van aanbieders van AI-modellen voor algemene doeleinden
Article 94
Procedurele rechten van marktdeelnemers die het AI-model voor algemene doeleinden aanbieden
Article 101
Geldboeten voor aanbieders van AI-systemen voor algemene doeleinden
Recital 72
Recital 70
Recital 65
Recital 64
Recital 46
Recital 80
Recital 82
Recital 27
Recital 22
Recital 20
Recital 19
Recital 9
Recital 10
Recital 11
Recital 21
Case Law (79)
View all 79ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24
Rechtbank Limburg
Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.
ECLI:NL:RBDHA:2026:2626 Rechtbank Den Haag , 12-02-2026 / 09/042631-25 en 09/084601-25 (ttz. gev.)
Rechtbank Den Haag
Veroordeling voor voortgezette handeling van medeplegen poging tot moord en medeplegen voorbereidingshandelingen moord of zware mishandeling met voorbedachten rade en veroordeling voor medeplichtigheid aan voorbereidingshandelingen ontploffing teweegbrengen. Gevangenisstraf 12 jaar met aftrek.
ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24
Rechtbank Gelderland
Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.
ECLI:NL:RBLIM:2026:400 Rechtbank Limburg , 22-01-2026 / 11924727 \ AZ VERZ 25-112
Rechtbank Limburg
Ambtenaar. Belastingdienst. Verboden nevenwerkzaamheden. Onbevoegd raadplegen van systemen belastingdienst. Schending integriteitsnormen. Ernstig verwijtbaar handelen. Ontbinding arbeidsovereenkomst.
Vrijspraak Misbruik identificerende persoonsgegevens
Rechtbank
Vrijspraak voor bankhelpdeskfraude, computervredebreuk, diefstal valse sleutel en misbruik persoonsgegevens. Bewezenverklaring van opzetheling van een bankpas en een simkaart. Redelijke termijn overschreden met ruim 3 jaar. Taakstaf van 30 uur. Benadeelde partijen niet-ontvankelijk.
Belangenafweging openbaarmaking in het kader van de Gezondheidswet en Wet op de jeugdzorg
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Encrochat-gegevens
Gerechtshof
Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.
X v Russmedia Digital SRL, Inform Media Press SRL
CJEU
In deze zaak gaat het in essentie om de verhouding tussen de e-Commerce Richtlijn en de AVG in het bijzonder bij verwerking van bijzondere persoonsgegevens (gegevens over iemands seksueel gedrag, art. 9 AVG). Specifiek draaide het hier om een online advertentieplatform dat anonieme gebruikers de ...
Geen onrechtmatige uiting
Rechtbank
Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.
Bewezenverklaring misbruik identificerende persoonsgegevens.
Rechtbank
Bewezenverklaring medeplegen computervredebreuk, medeplegen diefstal valse sleutel en misbruik identificerende persoonsgegevens. Vrijspraak bankhelpdeskfraude. Toepassing ASR. Redelijke termijn overschreden met ruim 3 jaar. Jeugddetentie van 90 dagen. Benadeelde partijen deels toegewezen, deels niet ontvankelijk. Vorderingen tot tenuitvoerleggen afgewezen door het tijdsverloop.
Rechtbank Amsterdam
Rechtbank Amsterdam
Een 43-jarige verdachte wordt veroordeeld voor medeplichtigheid aan oplichting, door grootschalige hulpvraagfraude te faciliteren. Door het gebruik van de simboxen en simkaarten die verdachte ter beschikking stelde, hebben de gebruikers van de simkaarten (veelal) ouderen opgelicht via WhatsApp door zich voor te doen als een zoon of dochter in nood om hen over te halen om geld over te maken. De rechtbank spreekt verdachte vrij van het onder feit 1 ten laste gelegde, nu de aangetroffen simboxapparatuur naar haar oordeel niet naar de aard daarvan kennelijk was bestemd voor het plegen van oplichting. Aan verdachte wordt een taakstraf voor de duur van 240 uren en een voorwaardelijke gevangenisstraf voor de duur van drie maanden opgelegd. De vordering van de benadeelde partijen worden gelet op het aandeel van verdachte bij de gepleegde oplichtingen voor een derde toegewezen.
ECLI:NL:GHSHE:2026:55 Gerechtshof 's-Hertogenbosch , 14-01-2026 / 24/245 tot en met 24/250
Gerechtshof 's-Hertogenbosch
Het hof is van oordeel dat een onrechtmatigheid in het traject voorafgaand aan het artikel 55 AWR verzoek en die ook toerekenbaar is aan de inspecteur in beginsel niet de rechtmatigheid van het artikel 55 AWR verzoek aantast. Dat kan anders zijn indien het onrechtmatige voortraject jegens de belastingplichtige heeft geleid tot een schending van een grondrecht zoals een schending van het verbod op discriminatie naar afkomst, geaardheid of geloofsovertuiging. Indien zo’n uitzonderlijke situatie aan de orde is, is het niet uitgesloten dat de rechter daaraan de slotsom verbindt dat de onrechtmatige informatiedeling voorafgaand aan het artikel 55 AWR-verzoek heeft plaatsgevonden op een wijze die zozeer indruist tegen hetgeen van een behoorlijk handelende overheid mag worden verwacht, dat de informatie die is verkregen met het artikel 55 AWR-verzoek en die het directe gevolg is van het onrechtmatige voortraject als bewijs dient te worden uitgesloten. Een schending van het recht op privacy die is toe te rekenen aan de inspecteur kan echter niet tot zo’n uitzonderlijke situatie worden gerekend. Het hof is in dit geval dan ook van oordeel dat de ontnemingsrapportage niet als bewijsmiddel dient te worden uitgesloten. Verder is het hof van oordeel dat de (navorderings)aanslagen terecht en tot de juiste bedragen zijn opgelegd, de inspecteur het gelijkheidsbeginsel niet heeft geschonden en de vergrijpboeten terecht en tot de juiste bedragen zijn opgelegd.
Rechtbank Noord-Nederland
Rechtbank Noord-Nederland
Inzageverzoek in een register van een professionele gebruiker van gewasbeschermingsmiddelen. De rechtbank is van oordeel dat de minister bevoegd is de informatie uit het register op te vragen. Het beroep is gegrond.
Rechtbank Noord-Nederland
Rechtbank Noord-Nederland
Inzageverzoek in registers van twee professionele gebruikers van gewasbeschermingsmiddelen. De rechtbank is van oordeel dat de minister bevoegd is de informatie uit de registers op te vragen. Het beroep is gegrond.
Rechtbank Zeeland-West-Brabant
Rechtbank Zeeland-West-Brabant
Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.
Raad van State
Raad van State
Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.
Rechtbank Zeeland-West-Brabant
Rechtbank Zeeland-West-Brabant
Voorlopige voorzieningen. Uitsluitend gebruik. De rechtbank acht het belang van de kinderen van doorslaggevende betekenis
ECLI:NL:RBGEL:2025:11769 Rechtbank Gelderland , 12-12-2025 / 457727
Rechtbank Gelderland
Kort geding - inzageverzoek artikel 197 en 196 Rv.
ECLI:NL:GHAMS:2025:3008 Gerechtshof Amsterdam , 11-11-2025 / 200.346.007/01
Gerechtshof Amsterdam
Opzegging van bankrelatie wegens mogelijke schending van sanctieregelgeving in relatie tot Rusland en vermoeden van (poging tot) valsheid in geschrift. Geen herstel van bankrelatie. Geen schrapping van IVR- en EVR-registraties.
Rechtbank Rotterdam
Rechtbank Rotterdam
Jeugdzaak. De verdachte heeft zich op vijftienjarige leeftijd schuldig gemaakt aan het veroorzaken van twee explosies. Oplegging van een jeugddetentie voor de duur van 180 dagen, waarvan 111 dagen voorwaardelijk met een proeftijd van 2 jaren. Ook oplegging van een werkstraf van 60 uren.
Guidance (48)
View all 48Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Versiegeschiedenis
guidelines uitvoeren overeenkomst
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Versiegeschiedenis
guidelines meldplicht datalekken
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
VERSIEGESCHIEDENIS
binding corporate rules voor verwerkingsverantwoordelijken
Versiegeschiedenis
guidelines accreditatie
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)
Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)
Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media
guidelines targeting gebruikers sociale media
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Versiegeschiedenis
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...
Enforcement (20)
NEXPUBLICA FRANKRIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
1.700.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).
De Franse autoriteit voor gegevensbescherming (CNIL) heeft NEXPUBLICA FRANCE een boete van 1.700.000 euro opgelegd. De verantwoordelijke, die een softwareontwikkelaar was, heeft een softwarepakket ontwikkeld en aangeboden dat bedoeld is om de relaties met gebruikers te beheren in de sector van maatschappelijke activiteiten. Onvoldoende technische en organisatorische maatregelen hebben geleid tot een cyberincident dat de software heeft getroffen.
Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.
Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).
Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.
Casa di Cura Città di Roma: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 12.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 12.000 euro opgelegd aan Casa di Cura Città di Roma. De verantwoordelijke partij gebruikte software voor patiëntbeheer die gebruikers toegang gaf tot een buitensporige hoeveelheid patiëntgegevens.
Gemeente Kristiansand: Onvoldoende juridische basis voor gegevensverwerking.
22.000 euro boete - Noorse Toezichtsautoriteit (Datatilsynet).
De Noorse Autoriteit Persoonsgegevens heeft de gemeente Kristiansand een boete van 22.000 euro opgelegd. De instantie biedt een hulplijn voor kinderen die slachtoffer zijn geworden van geweld, misbruik of verwaarlozing. De website van de hulplijn maakt gebruik van trackingpixels, waardoor de aanbieders van die pixels toegang krijgen tot persoonlijke gegevens van de betrokkenen zonder voldoende wettelijke basis.
Kristiansand municipality: Insufficient legal basis for data processing
€22,000 fine - Norwegian Supervisory Authority (Datatilsynet)
The Norwegian DPA imposed a fine of EUR 22,000 on Kristiansand municipality. The controller offers a helpline for childreen, which had become victims of violence, abuse or neglect. The webiste of the helpline uses tracking pixels resulting in the providers of those pixels gaining acces to personal data of the data subjects without sufficient legal basis.
23andMe, Inc.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 2.700.000 euro - Informatiecommissaris (ICO).
De Britse Autoriteit voor Gegevensbescherming (DPA) heeft een boete van 2.310.000 pond (2.700.000 euro) opgelegd aan 23andMe, Inc. De verantwoordelijke, een bedrijf dat DNA-tests aanbiedt aan particulieren, heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, met name gezien de gevoeligheid van de verwerkte gegevens. Hierdoor vond een cyberaanval plaats, wat resulteerde in een datalek dat ten minste vijf maanden lang 155.592 gebruikers in het Verenigd Koninkrijk heeft getroffen. De DPA beschouwde het feit dat de verantwoordelijke de...
Yliopiston Apteekin: Non-compliance with general data processing principles
€1,100,000 fine - Deputy Data Protection Ombudsman
The Finish DPA has imposed a fine of EUR 1,100,000 on Yliopiston Apteekin. The controller, who runs an online pharmacy, used various web analytics and monitoring tools. These tools were implemented in a way that allowed the providers, who are based outside the EU, to access personal data. The controller also failed to ensure that the tools complied with the principle of data minimization.
Universiteitsapotheek: Niet-naleving van algemene principes voor gegevensverwerking.
1.100.000 euro boete - Waarnemend ombudsman gegevensbescherming.
De Finse beschermingsautoriteit (DPA) heeft Yliopiston Apteekin een boete van 1.100.000 euro opgelegd. De verantwoordelijke, die een online apotheek runt, gebruikte verschillende webanalyse- en monitoringtools. Deze tools werden op een manier geïmplementeerd waardoor aanbieders, die gevestigd zijn buiten de EU, toegang kregen tot persoonlijke gegevens. De verantwoordelijke heeft er ook niet voor gezorgd dat de tools voldeden aan het principe van dataminimalisatie.
TikTok Technology Limited: Onvoldoende juridische basis voor de verwerking van gegevens.
530.000.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.
De Ierse Autoriteit Persoonsgegevens (DPA) heeft TikTok een boete van 530 miljoen euro opgelegd. In haar beslissing stelde de DPA vast dat TikTok artikel 13 (1) f) en artikel 46 (1) van de AVG heeft overtreden, vanwege de onrechtmatige overdracht en opslag van persoonlijke gegevens van gebruikers in de EER op servers in China. TikTok kon niet aantonen, garanderen of bewijzen dat de aanvullende maatregelen en de standaardcontractuele clausules effectief waren om ervoor te zorgen dat de gegevens een beschermingsniveau boden dat gelijkwaardig is aan het beschermingsniveau dat is gegarandeerd.
STICHTING VOOR DIENSTVERLENING AAN GEBRUIKERS VAN SOCIALE HUURWONINGEN IN CATALONIË: Onvoldoende wettelijke basis voor de verwerking van persoonsgegevens.
1.200 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming heeft een boete opgelegd aan de organisatie FUNDACIÓ PRIVADA DE SERVEIS PER ALS USUARIS DEL HABITATGE SOCIAL DE CATALUNYA. De verantwoordelijke partij heeft persoonsgegevens verwerkt zonder een voldoende wettelijke basis, wat heeft geleid tot een onjuiste banktransactie ten nadele van de betrokkene. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.200 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
Luka Inc.: Niet-naleving van de algemene principes voor gegevensverwerking.
Een boete van 5.000.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).
De Italiaanse gegevensbeschermingsautoriteit heeft Luka Inc. een boete van 5.000.000 euro opgelegd. Het bedrijf heeft een chatbot genaamd Replika ontwikkeld, met een tekst- en spraakinterface. Deze chatbot is gebaseerd op een generatief AI-systeem, specifiek een LLM-model, dat voortdurend wordt aangevuld en verbeterd door interacties met gebruikers. Replika is bedoeld als een "virtuele metgezel" die de stemming en het emotionele welzijn van gebruikers verbetert door hen te helpen hun eigen psyche te begrijpen. Replika kan worden ingesteld als een vriend, therapeut, romantische partner of mentor. De controle...
Ziekenhuis: Niet-naleving van de algemene principes voor gegevensverwerking.
4.000 euro boete - Kroatische Autoriteit voor Gegevensbescherming (AZOP).
De Kroatische beschermingsautoriteit (AZOP) heeft een ziekenhuis een boete van 4.000 euro opgelegd. De AZOP heeft vastgesteld dat het ziekenhuis een bedrijf gebruikte dat automatisch persoonlijke gegevens van autobezitters ophaalde via de webdienst van het Ministerie van Binnenlandse Zaken, zonder daar een wettelijke basis voor te hebben, om parkeerboetes aan autobezitters te sturen. Bovendien heeft het ziekenhuis parkeergebruikers niet op een transparante en in overeenstemming met de wettelijke vereisten geïnformeerd over de verwerking van hun persoonlijke gegevens met betrekking tot parkeerkosten. Verder...
Illumia Spa: Insufficient technical and organisational measures to ensure information security
€678,897 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 678,897 on the energy company Illumia Spa for unlawfully processing personal data for marketing purposes. The fine follows complaints from users who received unwanted advertising calls from call centers working on behalf of Illumia. The DPA found that the company had not carried out sufficient controls along the entire telemarketing supply chain. Among other things, advertising calls were made without a legal basis, and necessary technical and organizati
Sky Italia S.r.l.: Insufficient legal basis for data processing
€842,062 fine - Italian Data Protection Authority (Garante)
The Italian DPA has fined Sky Italia EUR 842,062 for unlawful telemarketing. The investigation revealed that Sky contacted individuals without proper consent, including those registered in advertising opt-out lists and those who had given consent before the GDPR came into force—without reassesing its validity under the updated legal framework. Additionally, the documentation of consents obtained from data providers was deemed inadequate, as Sky stored consent details in modifiable Excel files, f
Facile.Energy S.r.l.: Non-compliance with general data processing principles
€100,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 100,000 on Facile.Energy S.r.l.. During its investigation, the DPA found that data subjects had received advertising calls on behalf of the controller without their consent or despite being registered in objection registers. The DPA concluded that the controller had failed to take appropriate technical and organisational measures to ensure that the processing of data subjects' personal is carried out in accordance with data protection regulations through
Olimpia S.r.l.: Non-compliance with general data processing principles
€100,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 100,000 on Olimpia S.r.l.. During its investigation, the DPA found that data subjects had received advertising calls on behalf of the controller without their consent or despite being entered in objection registers. The DPA concluded that the controller had failed to take appropriate technical and organisational measures to ensure that the processing of data subjects' personal is carried out in accordance with data protection regulations throughout the s
Aimon Srl: Insufficient legal basis for data processing
€200,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 200,000 on Aimon Srl. Two data subjects had complained about unsolicited SMS advertising from B&T S.p.A. to the DPA. In the course of the investigation, Garante discovered that B&T had contracted Aimon to send promotional SMS messages to potential customers. Aimon then contracted other providers, which in turn had purchased their databases from third parties. As it turned out, the other providers had obtained the data of the contacted individuals from un
B&T S.p.A.: Insufficient legal basis for data processing
€400,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 400,000 on B&T S.p.A. Two data subjects had complained to the DPA about unsolicited SMS advertising. In addition, they stated that it was not possible for them to make use of their right to information and right to object. During the course of the investigation, Garante discovered that B&T had contracted a marketing company to send promotional SMS messages to potential customers. The marketing company had then engaged other providers, which in turn had a
Vodafone Italia S.p.A.: Non-compliance with general data processing principles
€12,251,601 fine - Italian Data Protection Authority (Garante)
The company was fined EUR 12,251,601 for unlawfully processing personal data of millions of customers for telemarketing purposes. The proceedings were preceded by hundreds of complaints from data subjects about unsolicited telephone calls, which led to an investigation by the data protection authority. This investigation revealed several violations of the data protection law, including the violation of consent requirements and the violation of general data protection obligations such as accounta
Eni Gas e Luce: Insufficient legal basis for data processing
€8,500,000 fine - Italian Data Protection Authority (Garante)
The Italian supervisory authority imposed two fines totalling EUR 11,5 million on Eni Gas and Luce (Egl) for unlawful processing of personal data in the context of advertising activities and activation of unsolicited contracts. The first fine of EUR 8.5 million relates to the unlawful processing in connection with telemarketing and telesales activities. Amongst others, promotional calls were made without the consent of the person contacted or despite that person's refusal to receive promotional
News (57)
View all 57AP waarschuwt voor grote beveiligingsrisico’s bij AI-agents zoals OpenClaw
De Autoriteit Persoonsgegevens (AP) waarschuwt gebruikers en organisaties voor het gebruik van OpenClaw en soortgelijke experimentele systemen. De aanleiding is de hoge snelheid waarmee OpenClaw populair is geworden. Dit soort open source-systemen voldoen al snel niet aan basisveiligheidseisen. Het gebruik van dergelijke experimentele AI-agents brengt grote risico’s met zich mee, zoals datalekken en accountovernames.
A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act
We, the undersigned organisations and individuals, urge you in the strongest possible terms to reject the deletion of the Article 49(2) transparency safeguard for high-risk AI systems that is proposed in the AI Omnibus. This transparency safeguard ensures that providers of AI systems cannot circumvent the core obligations of the AI Act. The post A call to EU legislators: protect rights and reject the call to delete transparency safeguard in AI Act appeared first on Access Now.
EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights
Brussels, 21 January - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the European Commission’s Proposal for the ‘Digital Omnibus on AI’. The Proposal seeks to simplify the implementation of certain harmonised rules under the AI Act to ensure their effective application.The EDPB and the EDPS support the objective of addressing practical challenges relating to the implementation of the AI Act. Administrative simplificat
CNIL (Frankrijk) - SAN-2025-014
}}}} De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1 miljoen euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit (DPA) heeft een verwerker een boete van 1.000.000 euro opgelegd vanwege het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van die gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een registratie van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == Tot slot heeft de DPA geconstateerd dat...
CNIL (Frankrijk) - SAN-2025-014
}}}} De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een verwerker een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels ==
CNIL (Frankrijk) - SAN-2025-014
=== Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers heeft getroffen, waarvan 9.849.354 gebruikers zich in Frankrijk bevonden. DEEZER heeft Mobius Solutions Ltd (de verwerker) geïdentificeerd als de waarschijnlijke bron van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat ongeveer 46.900.000 gebruikers wereldwijd heeft getroffen, waarvan 21.574.775 gebruikers zich in Frankrijk bevonden.
CNIL (Frankrijk) - SAN-2025-015
Links naar de artikelen === Feiten ====== Feiten === Een softwareadviesbureau (de verwerker) heeft een overheidsinstantie (de verantwoordelijke) software geleverd voor de verwerking van bestanden met betrekking tot personen met een handicap. Deze software stelde gebruikers (betrokkenen) in staat om hun bestanden te uploaden en hun voortgang te volgen via een online portaal. Nextpublica, een softwareadviesbureau (de verwerker), heeft de Maison Départementale pour les Personnes Handicapées (MDPH), een organisatie met een maatschappelijke doelstelling (de verantwoordelijke), voorzien van...
CNIL (Frankrijk) - SAN-2025-015
}}}} De gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. De DPA heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === Een softwarebedrijf...
CNIL (Frankrijk) - SAN-2025-014
Feiten === Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. DEEZER (de verantwoordelijke) heeft geïdentificeerd dat Mobius Solutions Ltd (de verwerker) waarschijnlijk de bron is van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. De verantwoorde...
CNIL (Frankrijk) - SAN-2025-014
=== Verwerking ====== Verwerking === Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, heeft de DPA als een schending van artikel 28(3)(g) van de AVG beschouwd. Ten eerste heeft de gegevensbeschermingsautoriteit (DPA) geconstateerd dat de verwerker de gegevens van de gebruikers had moeten verwijderen aan het einde van de overeenkomst met de verantwoordelijke. Het niet doen van dit alles, zelfs als de gegevens bewaard bleven als gevolg van een ongeautoriseerde samenwerking, ...
CNIL (Frankrijk) - SAN-2025-014
}}}} De gegevensbeschermingsautoriteit heeft een bedrijf een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor dezelfde overtredingen: het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === DE
DSB (Oostenrijk) - 2025-0.276.820
Uitspraak === Uitspraak ====== Uitspraak === De Autoriteit Persoonsgegevens (AP) heeft geoordeeld dat de verantwoordelijke partij artikel 58(2)(d) van de AVG heeft overtreden. Dit artikel geeft toezichthoudende autoriteiten de bevoegdheid om bindende instructies te geven aan verantwoordelijken om ervoor te zorgen dat de AVG wordt nageleefd. De overtreding ontstond doordat de verantwoordelijke partij er niet voor zorgde dat de bindende instructie werd uitgevoerd, namelijk het aanpassen van de cookiebanner op de website, zodat gebruikers toestemming net zo gemakkelijk kunnen weigeren als geven. De AP heeft geoordeeld dat de verantwoordelijke partij artikel [[A...
OGH - 6Ob189/24y
|Initiële bijdrager=|Initiële bijdrager= || }}}} Het Hooggerechtshof heeft geoordeeld dat Meta zijn gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden; een eenvoudige lijst is onvoldoende. Bovendien heeft het hof bepaald dat gepersonaliseerde advertenties en de verwerking van (gevoelige) persoonlijke gegevens van websites van derden de toestemming van de betrokkene vereisen. Het Oostenrijkse Hooggerechtshof heeft geoordeeld dat Meta gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen.
DSB (Oostenrijk) - 2025-0.276.820
Een Oostenrijks mediabedrijf (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatiecodes om bezoekers te volgen. In augustus 2021.
DSB (Oostenrijk) - 2025-0.276.820
}}}} Een Oostenrijks mediabedrijf is door de Autoriteit voor Gegevensbescherming een boete van 6.820 euro opgelegd, omdat het nalatig was bij het implementeren van een bindende aanwijzing om het cookiebanner op zijn website te wijzigen. Hierdoor werden de opties voor toestemming van gebruikers vertraagd, ondanks dat alle bezwaren werden afgewezen. De Autoriteit voor Gegevensbescherming heeft een mediabedrijf een boete van 6.820 euro opgelegd omdat het cookiebanner niet was aangepast om te voldoen aan de wetgeving, en er geen visueel gelijkwaardige optie was om cookies te weigeren. De Autoriteit had eerder aan het bedrijf opgedragen dit te doen, in overeenstemming met artikel 58(2)(d) van de AVG.
De uitgaven van het Ministerie van Binnenlandse Veiligheid: Hoe u de geldstromen kunt volgen via Amerikaanse overheidsdatabases.
Deze handleiding is geschreven door Andrew Zuker, met ondersteuning van de Heinrich Boell Foundation. De Amerikaanse overheid publiceert grote hoeveelheden gedetailleerde gegevens over de uitgaven, maar het doorzoeken van deze gegevens en het vinden van informatie kan een uitdaging zijn. Complexe zoekfuncties en slechte gebruikersinterfaces op overheidswebsites kunnen een onderzoek bemoeilijken, net als inconsistente bedrijfsprofielen en complexe bedrijfsstructuren. Deze week hebben EFF en de Heinrich Boell Foundation een bijgewerkte versie uitgebracht van...
DSB (Oostenrijk) - 2025-0.276.820
Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. Een mediabedrijf in Oostenrijk (de verantwoordelijke) dat lokaal nieuws publiceerde, beheerde een website die persoonlijke gegevens van bezoekers verzamelde met behulp van cookies en een banner voor toestemming voor het gebruik van cookies. De cookies bevatten unieke identificatienummers om bezoekers te volgen. In augustus 2021.
Het jaar waarin staten surveillance boven veiligheid stelden: een terugblik op 2025.
2025 was het jaar waarin leeftijdsverificatie een niche-experiment werd en uitgroeide tot een wijdverspreide realiteit in de Verenigde Staten. Momenteel vereist de helft van de Amerikaanse staten leeftijdsverificatie voor toegang tot content voor volwassenen of sociale mediaplatforms. In negen staten traden dit jaar alleen al wetten in werking, en er komen er meer in 2026. Het goede nieuws is dat rechtbanken veel van de wetten hebben geblokkeerd die bedoeld zijn om leeftijdsverificatie te verplichten bij sociale media, voornamelijk om dezelfde redenen als waarmee de EFF (Electronic Frontier Foundation) deze inspanningen tegenwerkt. Leeftijdsverificatie...
Resistance to new attempts to make internet providers responsible for copyright compliance: A look back at 2025.
You may not be aware, given the numerous reports highlighting new questions about copyright and generative AI, but the biggest copyright case of the year revolves around a long-standing question in internet law: should internet service providers act as enforcers of copyright? After years of legal battles, this question is now before the Supreme Court. And if the Supreme Court upholds a previous ruling by a lower court, internet service providers could be forced to block internet access for individuals based solely on accusations of copyright infringement.
Verzet tegen nieuwe pogingen om internetproviders tot auteursrechtelijk toezichthouders te maken: Terugblik op 2025.
U wellicht niet, gezien de vele berichten die de aandacht vestigen op nieuwe vragen over auteursrecht en generatieve AI, maar de grootste auteursrechtzaak van het jaar ging over een aloude vraag voor internetbegrippen: moeten internetproviders optreden als handhavers van het auteursrecht? Na jaren van rechtszaken staat die vraag nu voor het Hooggerechtshof. En als het Hooggerechtshof een eerdere uitspraak van een lagere rechtbank niet herroept, zouden internetproviders gedwongen kunnen worden om de internettoegang van mensen te blokkeren op basis van niets meer dan loutere beschuldigingen van auteursrechtinbreuk.