Anonymization
Processing anonymized data that cannot be re-identified
anonymization anonymize anonymous data
Overview
Legal Framework
The concept of anonymization is primarily governed by the GDPR, which distinguishes it from pseudonymization and excludes anonymized information from its scope (Article 4(1) and Recital 26 GDPR). Data is considered anonymized only when it is irreversibly processed so that an individual can no longer be identified, directly or indirectly, by anyone using all means reasonably likely to be used. The related principles of data protection by design and by default (Article 25 GDPR) require technical measures, which include anonymization, to be implemented to ensure privacy compliance. The AI Act reinforces this link, stating in Recital 69 that compliance measures must include anonymization and encryption to safeguard data protection throughout an AI system's lifecycle.
Practical Application
Interpretation focuses on the high threshold for achieving true anonymization. Courts and authorities assess the "means reasonably likely to be used" for re-identification, which is a dynamic test considering available technology and resources. For instance, the Planet49 ruling by the CJEU illustrates that data linked to an identifier (like a user number connected to registration details) constitutes personal data, not anonymous data. The Dutch case regarding Stichting Benchmark GGZ similarly turned on whether the processed data could be linked back to individuals, highlighting that aggregation or coding alone often does not meet the legal standard for anonymization. True anonymization requires rendering re-identification impossible in practice, not merely difficult.
Key Considerations
- Favor Pseudonymization: Given the stringent test for anonymization, pseudonymization (which remains within the GDPR's scope) is often a more practical and legally secure risk-mitigation measure for processing operations.
- Conduct a Dynamic Risk Assessment: Anonymization is not a one-time action. Organizations must continuously evaluate the risk of re-identification by considering new technical methods, available auxiliary data, and the resources a potential adversary might employ.
- Document the Methodology: The rationale, techniques, and safeguards used to create the anonymized dataset must be thoroughly documented to demonstrate compliance with the principles of data protection by design and by default under Article 25 GDPR.
Laws (5)
Case Law (16)
Raad van State
Raad van State
Bij tussenuitspraak van 5 maart 2025, ECLI:NL:RVS:2025:894, heeft de Afdeling de uitspraak van de rechtbank bevestigd en bepaald dat het onderzoek in deze zaak wordt heropend voor zover het de beroepen tegen de besluiten van 21 juni 2023 en 26 juli 2023 betreft. In de tussenuitspraak heeft de Afdeling geoordeeld dat de rechtbank terecht heeft geoordeeld dat het bezwaar van Omroep Flevoland tegen het besluit van het college van 23 februari 2022 mede geacht wordt te zijn gericht tegen de besluiten van de raad van 13 september 2021 en 8 november 2021 op het verzoek om opheffing van geheimhouding. Verder heeft de Afdeling overwogen dat de besluiten van de raad van 13 september 2021 en 8 november 2021 geen motivering bevatten. De Afdeling heeft daarom geoordeeld dat de rechtbank deze besluiten terecht heeft vernietigd en terecht de raad heeft opgedragen nieuwe besluiten te nemen. Ten slotte heeft de Afdeling geoordeeld dat de rechtbank voor wat betreft de beoordeling van het verslag van de besloten raadvergadering niet uitdrukkelijk heeft aangegeven dat de raad daarbij ook een mogelijk belang als bedoeld in artikel 5.1, eerste en tweede lid, van de Wet open overheid mag betrekken. Uit rechtsoverweging 9.5 van de tussenuitspraak volgt dat de raad dat wel mag doen.
Rechtbank Den Haag
Rechtbank Den Haag
Woo-verzoek - eerbiediging persoonlijke levenssfeer - algemene motivering weigering - beroep ongegrond.
Weigering openbaar maken documenten met medische gegevens collega ambtenaar gerechtvaardigd
Dutch Courts
Verzoek om inzage in documenten die ten grondslag liggen aan het voornemen tot ontslag afgewezen. Het Gerecht vernietigt deze afwijzing, omdat de Regering onvoldoende heeft gemotiveerd waarom klaagster geen inzage kan krijgen in (een deel van) de gevraagde stukken.
Toegang tot persoonsgegevens bij doorstart na faillissement: curatoren handelden conform APA en AVG, en CVGI frustreerde zelf toegang door het door de privacy-advocaten onderhandelde Protocol niet te ondertekenen.
Rechtbank
Doorstart na faillissement. CVGI nam per 1 maart 2023 activa en personeel van het failliete Crown van Gelder B.V. over, nadat curatoren op 23 januari 2023 een volledige digitale back-up van de administratie hadden laten maken. Om te voldoen aan de AVG maakten zij persoonlijke mailboxen en schijve...
College van Beroep voor het bedrijfsleven
College van Beroep voor het bedrijfsleven
Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). DNB heeft een boete opgelegd aan een trustkantoor wegens het niet melden van een ongebruikelijke transactie. Het College verklaart het hoger beroep dat het trustkantoor tegen de boete heeft ingesteld ongegrond. Het College is van oordeel dat het trustkantoor op het moment van de transactie niet over voldoende informatie beschikte om aan te nemen dat het om een gebruikelijke transactie ging die zij niet hoefde te melden. Het hoger beroep van DNB tegen de door de rechtbank toegepaste matiging wegens overschrijding van de redelijke termijn slaagt. Het College vernietigt de uitspraak van de rechtbank voor zover de rechtbank de boete verder heeft gematigd dan € 72.500,-. Het hoger beroep van het trustkantoor tegen de publicatiebesluiten slaagt ook. Het College oordeelt dat DNB opnieuw moet beslissen op de bezwaren die het trustkantoor en de moedermaatschappij tegen de publicatiebesluiten hadden gemaakt.
Toetsing kentekenparkeersysteem gemeente Den Haag aan 8 EVRM; geen schending
Hoge Raad
Kentekenparkeersysteem gemeente Den Haag is geen ongeoorloofde inmenging in het recht van belanghebbende op respect voor haar privéleven als bedoeld in artikel 8 EVRM.
Een 18-jarige man is veroordeeld tot 120 uur werkstraf een 1 maand jeugddetentie voorwaardelijk voor zijn rol in de...
Rechtbank
Een 18-jarige man is veroordeeld tot 120 uur werkstraf een 1 maand jeugddetentie voorwaardelijk voor zijn rol in de openlijke geweldpleging op 11 november 2024 op en rond Plein ’40-’45 in Amsterdam Nieuw-West.
Heimelijke observatie Stichting door Gemeente Delft
Rechtbank
Overheidsaansprakelijkheid. Vordering o.g.v. artikel 843a Rv. Gemeente moet onderzoeksrapport naar Stichting en moskee in Delft overleggen.”
Woo-verzoek
Rechtbank
Verzoekster heeft verzocht haar persoonsgegevens niet openbaar te maken omdat deze zijn te herleiden naar haar adres waar zij ook privé wonen. Het komt voor dat dierenactivisten veebedrijven bezetten en hierbij schade berokkenen aan de dieren en het bedrijf en de confrontatie aangaan met de veehouders of hun familie. Verzoekster heeft geen concrete aanknopingspunten naar voren gebracht waaruit blijkt dat bij openbaar making van de documenten er daadwerkelijk vergaande of buitensporige acties van (dierenrechten)activisten. Ook overigens is daarvan niet gebleken. Naar (voorlopig) oordeel van de voorzieningenrechter is het bezwaar van verzoekster ongegrond. Er is daarom geen aanleiding het bestreden besluit (deels) te schorsen.
Kort
Rechtbank
WOZ, 8:25 Awb. Afwijzing van verzoek gemachtigde te weigeren.
Gerechtshof 's-Hertogenbosch
Gerechtshof 's-Hertogenbosch
Tussenuitspraak. Accijns. In deze procedure rijst een vraag van uitlegging van het Unierecht. Het hof wendt zich daarom tot het Hof van Justitie van de Europese Unie met een prejudiciële vraag. De vraag ziet op de situatie dat de onder de accijnsschorsingsregeling overgebrachte goederen niet of niet geheel op de plaats van bestemming (Nederland) zijn aangekomen en dat tekort niet eerder is geconstateerd dan bij het uitladen van het transportmiddel. De vraag is dan of de constatering van het tekort de onregelmatigheid vormt en de lidstaat van aankomst (Nederland) derhalve heffingsbevoegd is, of dat de onbekend gebleven eerdere gebeurtenis welke heeft geleid tot het tekort dient te worden aangemerkt als de onregelmatigheid, zodat de lidstaat van verzending (België) heffingsbevoegd is.
ECLI:NL:RBDHA:2024:14404 Rechtbank Den Haag , 13-08-2024 / SGR 23/1869 en SGR 23/1817
Rechtbank Den Haag
Inzage persoonsgegevens AIVD - beroepen ongegrond.
BUNDESVERBAND DER VERBRAUCHERZENTRALEN UND VERBRAUCHERVERBANDE —BERBRAUCHERZENTRALE BUNDESVERBAND V. PLANET49 GmbH (“PLANET49”)
Planet49
Cookie data is personal data where the cookies likely to be placed on the terminal equipment of a user participating in the promotional lottery contained a number assigned to the registration data of that user (who must enter his/her name+address in the registration form.) By linking that number with that data, a connection between a person and the data stored by the cookies arises. Therefore, the data is not anonymous data. (¶45)
Bundesverband der Verbraucherzentralen v Planet49 GmbH
C-673/17 (Planet49)
Pre-ticked checkboxes do not constitute valid consent. Consent must be active.
Rechtbank Midden-Nederland - persoonsgegevens - C/16/440836 / KG ZA 17-439
Rechtbank Midden-Nederland - Civiel recht
Twee belangenorganisaties in de geestelijke gezondheidszorg en twee zorgcliënten spanden een kort geding aan omdat zij willen dat de Stichting Benchmark GGZ stopt met de huidige vorm van gegevensregistratie. Die stichting registreert gegevens van zorgtrajecten om de kwaliteit in de branche te verhogen. De eisende partijen vinden dat niet wordt voldaan aan de Wet Bescherming Persoonsgegevens. Stichting Benchmark GGZ vindt dat de gegevens die zij verwerkt (waar geen namen in staan) niet onder die
ECLI:NL:GHSHE:2014:248 Gerechtshof 's-Hertogenbosch , 07-02-2014 / 13-00040
Gerechtshof 's-Hertogenbosch
Prejudiciële vragen HvJ EU. Belanghebbende is rijnvarende in de zin van het Rijnvarendenverdrag. Belanghebbende beroept zich op een door Luxemburg afgegeven E101-verklaring. Luxemburg bericht dat de E101-verklaring niet een E101-verklaring is en ook niet als zodanig is bedoeld, maar dat om administratieve redenen een E101-formulier is gebruikt. Prejudiciële vragen: Is Nederland aan de E101-verklaring gebonden, ook als deze inhoudelijk onjuist is? Maakt het uit dat Luxemburg niet beoogde een E101-verklaring af te geven, maar belanghebbende meende en ook redelijkerwijs mocht menen een E101-verklaring te hebben ontvangen?
Guidance (15)
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)
Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
hier
EDPB
EDPB 17 jan 2025, Guidelines 01/2025 on Pseudonymisation ➡️ Geef uw mening over deze concept richtsnoeren hier. Deadline : 28 februari 2025. De EDPB werkt ook nog aan Richtsnoeren inzake anonimiseringstechnieken.
Enforcement (10)
Avast Software s.r.o.: €13,900,000 fine
€13,900,000 fine - Czech Data Protection Auhtority (UOOU)
The Czech DPA has fined Avast Software s.r.o. EUR 13.9 million. The company had disclosed the personal data of around 100 million users of its antivirus software to the US company Jumpshot. Avast had transferred this data, including the users' pseudonymized Internet browsing history in connection with a unique ID, to Jumpshot, but falsely declared it to be anonymized. Users were incorrectly informed about the transfer of anonymized data, although partial identification of the data subjects was p
Cluster S.r.l.: Non-compliance with general data processing principles
€18,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA imposed a fine of EUR 18,000 on Cluster S-r.l. A data subject had complained to the DPA because their son's health-related data and their own personal data had been published on the internet. The controller had organized a medical training event at which documents containing personal data of the data subject and their deceased son were forwarded to the participants without sufficient anonymization. Some documents were later published on the internet by a third party.
Thin Srl: Non-compliance with general data processing principles
€15,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 15,000 on Thin Srl. The authority took action following a complaint from a GP who alleged that the company had breached data protection regulations. The company was running an international project to improve patient care by collecting and analyzing health data. To participate in the project, GPs were required to add an additional function to their existing management software. The additional function was supposed to automatically anonymize patient data
Private individual: Insufficient legal basis for data processing
€1,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 1,000 on a private individual. Two individuals had filed a complaint with the DPA due to the fact that the controller had published personal data of them and their families in their dissertation. The individuals had participated in treatments conducted by the controller, but they had not consented to the publication of their data in the dissertation in an unanonymized form.
Researcher: Non-compliance with general data processing principles
€1,200 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has fined a researcher EUR 1,200. The fine was issued in connection with another fine against the NGO EU DisinfoLab. The researcher was employed at the NGO. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw d
Cosmote Mobile Telecommunications S.A.: Insufficient technical and organisational measures to ensure information security
€6,000,000 fine - Hellenic Data Protection Authority (HDPA)
The Hellenic DPA has imposed a fine of EUR 6 million on Cosmote Mobile Telecommunications S.A.. Cosmote had reported a data breach to the DPA pursuant to Art. 33 GDPR. A hacker had penetrated the controller's systems and obtained and subsequently leaked data from Cosmote customers. The stolen data included sensitive information, from Cosmote subscribers such as age, gender and contract information. Nearly 10 million people were affected by the incident. For this reason, the DPA found that Cosmot
EU DisinfoLab: Non-compliance with general data processing principles
€2,800 fine - Belgian Data Protection Authority (APD)
The Belgian DPA has fined the NGO EU DisinfoLab EUR 2,700. In 2018, the NGO published an analysis to identify the possible political origin of tweets circulating on a particularly heated controversy in France, the 'Benalla affair.' For the analysis, the organization had processed the data of 55,000 Twitter accounts, of which more than 3,300 had been classified as political. The raw data obtained from this was then published without taking minimal security precautions, such as pseudonymizing the
Property Owner Community: Non-compliance with general data processing principles
€1,200 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has fined a property owners' community EUR 1,200. A property manager had sent a copy of the general meeting minutes to the director of the security company 'CMM Seguridad'. The document the said document contains the names and addresses of residents, a list of defaulters and the accounts with all income and expenses of the community. According to the controller, the purpose of sending the minutes in question to the security company was to inform them about the members of t
KEPIDES: Insufficient technical and organisational measures to ensure information security
€6,000 fine - Cypriot Data Protection Commissioner
The Cypriot DPA imposed a fine of EUR 6,000 against KEPIDES (real estate company). The controller had submitted a list of buyers of the properties it manages to a parliamentary committee. However, the controller had failed to anonymize the list, as a result of which the names of the data subjects were transmitted.
Private individual: Insufficient legal basis for data processing
Data Protection Authority of Brandenburg
The DPA of Brandenburg has imposed a three-digit fine on a company employee. The employee had forwarded application documents received by his employer from his work e-mail address to his private e-mail address without authorization in order to get suggestions for the design of his own applications. He had not previously anonymized the resumes, so they continued to include all of the applicants' personal and professional data. Since sending the application documents to his private e-mail address
News (16)
Frankfurt am Main Court of Appeal - Case No. 6 U 81/23.
| Court_Original_Name = Higher Regional Court Frankfurt am Main | Court_Original_Name = Higher Regional Court Frankfurt am Main | Court_English_Name = Higher Regional Court Frankfurt am Main | Court_English_Name = Higher Regional Court Frankfurt am Main | Court_Country = OLG Frankfurt am Main (Germany) | Court_Country = OLG Frankfurt (Germany) | Case_Number = 6 U 81/23 | Case_Number = 6 U 81/23 | Party_Link_2 = | Party_Link_2 = | Appeal_From_Court = Regional Court Frankfurt am Main (Germany) | Appeal_From_Court = Regional Court Frankfurt (Germany)
Support the work of the EDPB as an expert.
Brussels, November 28th - The European Data Protection Board (EDPB) has published a call for expressions of interest for the creation of a new reserve pool for the "Support Pool of Experts" (SPE) program. The objective is to assemble a reserve pool of legal and technical experts. The legal expertise sought covers a wide range of areas, including data protection, policy monitoring, technology, cybersecurity, competition law, healthcare, online intermediary services, and content moderation. Regarding technical expertise, relevant areas include IT.
Steun het werk van het EDPB als expert.
Brussel, 28 november - Het EDPB heeft een oproep gepubliceerd om interesse te tonen voor het opstellen van een nieuwe reservepool voor het programma "Support Pool of Experts" (SPE). Het doel is het samenstellen van een reservepool van juridische en technische experts. De gezochte juridische expertise omvat een breed scala aan gebieden, zoals gegevensbescherming, beleidsmonitoring, technologie, cyberveiligheid, concurrentierecht, gezondheidszorg, online intermediaire diensten en contentmoderatie. Met betrekking tot de technische expertise omvatten de relevante gebieden onder meer IT.
Evenement voor stakeholders over anonimisering en pseudonimisering: geef uw interesse aan.
Brussel, 17 november - Het EDPB organiseert een online evenement om input van belanghebbenden te verzamelen over anonimisering en pseudonimisering, en over de implicaties van het vonnis van het Gerechtshof van de Europese Unie (HvEU) in de zaak EDPS tegen het Single Resolution Board (SRB). Het evenement zal plaatsvinden op 12 december 2025 (tijdstip volgt). Dit biedt een gelegenheid om het EDPB te informeren en te ondersteunen bij zijn lopende werk op deze onderwerpen, zoals uiteengezet in het werkprogramma 2024-2025, en het weerspiegelt de toewijding van het EDPB aan de betrokkenheid van belanghebbenden.
Event for stakeholders on anonymization and pseudonymization: Please indicate your interest.
Brussels, November 17th - The European Data Protection Board (EDPB) is organizing an online event to gather input from stakeholders on the topics of anonymization and pseudonymization, and on the implications of the judgment of the General Court of the European Union (GC EU) in the case of EDPS vs. the Single Resolution Board (SRB). The event will take place on December 12, 2025 (time to be confirmed). This provides an opportunity to inform and support the EDPB in its ongoing work on these topics, as outlined in the 2024-2025 work program, and reflects the EDPB's commitment to stakeholder engagement.
Health data and use of cookies: DOCTISSIMO fined €380,000
Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco
AEPD issues guidance for anonymization
> Spain’s data protection authority, the Agencia Española de Protección de Datos, published guidance for anonymizing data. The guidance called for a trained professional to handle the anonymization of a personal data set who also has experience in reidentification attacks. Even though “residual probability” of reidentification will always exist, a data controller must apply accountability to the anonymization process “with appropriate measures to ensure compliance taking i
De Autoriteit Persoonsgegevens publiceert richtlijnen voor anonimisering.
De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft richtlijnen gepubliceerd over het anonimiseren van gegevens. Deze richtlijnen stellen dat een getrainde professional de anonimisering van een dataset met persoonlijke gegevens moet uitvoeren, en dat deze professional ook ervaring moet hebben met pogingen tot heridentificatie. Hoewel er altijd een "resterend risico" bestaat dat gegevens opnieuw geïdentificeerd kunnen worden, moet de verantwoordelijke voor de gegevensverwerking verantwoordelijkheid nemen voor het anonimiseringsproces en "geschikte maatregelen treffen om te zorgen voor naleving, rekening houdend met..."
De impact van het anonimiseren van namen van verdachten in rechterlijke uitspraken: privacy, de Algemene Verordening Gegevensbescherming (AVG) en schadevergoeding voor psychisch leed.
Het anonimiseren van de naam van de beklaagde in een vonnis, AVG (Algemene Verordening Gegevensbescherming), schending van de privacy, immateriële schade.
De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.
De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.
Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures
The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.
Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations
> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.
De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.
De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.
CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR
> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.
De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).
De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.
Who Is Collecting Data from Your Car?Who Is Collecting Data from Your Car?
> A firehose of sensitive data from your vehicle is flowing to a group of companies you’ve probably never heard of