Special Categories of Data

Article 93

Bevoegdheid voor het verzoeken om maatregelen

Recital 70

Article 91

Power to request documentation and information

Article 91

Bevoegdheid om documentatie en informatie op te vragen

Article 92

Bevoegdheid voor het verrichten van evaluaties

Article 90

Waarschuwingen voor systeemrisico’s door het wetenschappelijk panel

Article 9

Systeem voor risicobeheer

Article 99

Penalties

Article 98

Committee procedure

Recital 63

Article 9

Risk management system

Article 90

Alerts of systemic risks by the scientific panel

Article 94

Procedurele rechten van marktdeelnemers die het AI-model voor algemene doeleinden aanbieden

Article 95

Gedragscodes voor vrijwillige toepassing van specifieke voorschriften

Article 99

Sancties

Article 98

Comitéprocedure

Article 97

Uitoefening van de bevoegdheidsdelegatie

Article 97

Exercise of the delegation

Article 96

Guidelines from the Commission on the implementation of this Regulation

Article 95

Codes of conduct for voluntary application of specific requirements

ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3

Raad van State

Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.

ECLI:NL:RBGEL:2026:982 Rechtbank Gelderland , 10-02-2026 / 05/339596-24

Rechtbank Gelderland

Veroordeling tot 6 maanden voorwaardelijke gevangenisstraf en 240 uur taakstraf voor oplichting. Verdachte heeft zonder de vereiste erkenning een opslagdienst aangeboden, die eruit bestond lichaamsmateriaal (melktanden, navelstrengbloed en navelstrengweefsel) van pasgeborenen en jonge kinderen op te slaan, waarbij hij op websites en in de schriftelijke en mondelinge communicatie met de slachtoffers in strijd met de waarheid de indruk wekte dat de stamcellen uit dit materiaal later zouden kunnen worden gebruikt in een behandeling van diverse ernstige ziekten als kanker, bloed- en immuunziekten. De vorderingen van twintig benadeelde partijen zijn toegewezen met betrekking tot gevorderde materiële schade. De vorderingen zijn ten aanzien van de gevorderde immateriële schade niet-ontvankelijk verklaard.

ECLI:NL:RBMNE:2026:486 Rechtbank Midden-Nederland , 04-02-2026 / 11996046 \ AV EXPL 25-51 WMB/61313

Rechtbank Midden-Nederland

Vordering tot loondoorbetaling en verbod op verwerking gegevens. Vorderingen worden afgewezen, omdat het aannemelijk dat loonstop stand houdt.

ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445

Rechtbank Limburg

Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

College van Beroep voor het bedrijfsleven

College van Beroep voor het bedrijfsleven

Artikel 8:29 Awb-beslissing. De gevraagde beperking van de kennisneming van bepaalde gegevens is gerechtvaardigd.

EVR registratie mag blijven

Rechtbank

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Beroep op uitzondering bijzondere pgg, nationale identificatienummer, en eerbiediging persoonlijke levenssfeer in Woo-verzoek slaagt niet.

Rechtbank

r.o. 6.2. “Naar het oordeel van de rechtbank bevatten de openbaar te maken documenten geen bijzondere persoonsgegevens.” Uitzondering nationale identificatienummers ex art 46 UAVG jo 5.1(1)(e) Woo niet van toepassing. “De nummers die volgens eisers niet openbaar mogen worden gemaakt, zien op het ...

Weging vrijheid van meningsuiting en persoonlijke levenssfeer in het kader van een uitlatingsverbod. Algemeen uitlatingsverbod is onnodig en disproportioneel.

Gerechtshof

Arbeidsrecht. Kort geding. Geen post-contractuele zorgplicht van de werkgever voor gedrag van de ene ex-werknemer tegen de andere ex-werknemer. Artikel 10 EVRM, vrijheid van meningsuiting. Artikel 8 EVRM, respect voor het privéleven.

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

X v Russmedia Digital SRL, Inform Media Press SRL

CJEU

In deze zaak gaat het in essentie om de verhouding tussen de e-Commerce Richtlijn en de AVG in het bijzonder bij verwerking van bijzondere persoonsgegevens (gegevens over iemands seksueel gedrag, art. 9 AVG). Specifiek draaide het hier om een online advertentieplatform dat anonieme gebruikers de ...

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Tweemaal strafbare doxing

Gerechtshof

Veroordeling voor doxing en smaadschrift. Het hof vernietigt het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden om tegenover een breed publiek kwalijke uitlatingen te doen, waarmee verdachte op provocerende wijze reacties van lezers oproept. Veroordeling tot een taakstraf van 120 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 3 jaren. Oplegging van bijzondere voorwaarde: verdachte dient zich te onthouden van het doen van uitlatingen over benadeelde partij op sociale media en via klassieke media. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00

Strafbare doxing

Gerechtshof

Veroordeling voor doxing en smaadschrift. Het hof vernietigt van het vonnis van de politierechter. Het hof acht, anders dan de politierechter, het Openbaar Ministerie ontvankelijk in de vervolging, ondanks het ontbreken van een klacht. Op basis van het dossier kan de wens tot vervolging vast komen te staan. Verdachte heeft met het handelen misbruik gemaakt van de laagdrempelige mogelijkheid die het internet en sociale media bieden. Veroordeling tot een taakstraf van 80 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 2 jaren. Toewijzing vordering benadeelde partij ter zake van immateriële schade voor een bedrag van € 2.500,00.

Woo. Keuze familienaam als bedrijfsnaam komt voor rekening personen. Dat is geen reden om te lakken bij Woo-verzoek.

Rechtbank

Wet Open overheid, bedrijfs- en fabricagegegevens, persoonlijke levenssfeer, veiligheid, horen in bezwaar, 6:22 Awb

Geen onrechtmatige uiting

Rechtbank

Kort geding. Vorderingen tot gebod plaatsen rectificatie en verbod tot doen van uitlatingen worden afgewezen, omdat niet is vast komen te staan dat sprake is van onrechtmatige uitlatingen.

Rechtbank Den Haag

Rechtbank Den Haag

Aanvraag verblijfsdocument EU/EER. Beroep is ongegrond. Artikel 20 VWEU, geen zeer bijzondere afhankelijkheidsrelatie zoals bedoeld in arrest K.A., geen medische stukken, artikel 7 Handvest en artikel 8 van het EVRM, hoorplicht, zorgvuldige besluitvorming, artikel 31 van het Verdrag van Wenen inzake het Verdragenrecht, SIS-signalering.

Rechtbank Amsterdam

Rechtbank Amsterdam

EAB Duitsland; verweren m.b.t. de grondslag, de genoegzaamheid, artikel 13 OLW en de detentieomstandigheden verworpen; tussenuitspraak i.v.m. vragen over de effectieve rechtsbescherming en artikel 9, eerste lid, OLW

Rechtbank Amsterdam

Rechtbank Amsterdam

Executie-EAB Polen. Overlevering geweigerd op grond van artikel 9, eerste lid, aanhef en onder f, OLW. Artikel 12 OLW. Verzetsgarantie uit Polen is niet onvoorwaardelijk, maar afzien van toepassing weigeringsgrond. Artikel 7 OLW. Feiten zijn dubbel strafbaar. Artikel 9, eerste lid, aanhef en onder f, OLW. De rechtbank is van oordeel dat is voldaan aan de genoemde voorwaarden en ziet geen aanleiding om af te zien van toepassing van deze weigeringsgrond. Feiten dateren uit 2012 en 2013 en de verjaringstermijn is naar Nederlands recht in beide gevallen al geruime tijd verstreken. Bovendien heeft de opgeëiste persoon zijn leven hier in Nederland opgebouwd.

Rechtbank Amsterdam

Rechtbank Amsterdam

EAB Griekenland; gelijkstellingsverweer verworpen; tussenuitspraak vanwege nadere vragen over de grondslag, de effectieve rechtsbescherming, artikel 12 OLW en de detentieomstandigheden

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679

guidelines afwijkingen van artikel 49

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Burgemeester van de gemeente Calvi Risorta: Er is onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van €1.000 - Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan de burgemeester van de gemeente Calvi Risorta. De verantwoordelijke partij heeft tijdens de Covid-19-pandemie de gezondheidsgegevens van burgers gepubliceerd zonder een voldoende juridische basis.

Ministerie van Binnenlandse Zaken - Dienst Brandweer, Openbare Redding en Civiele Bescherming - Provinciale Commandostructuur van Florence: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van €12.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft het Ministerie van Binnenlandse Zaken een boete van 12.000 euro opgelegd. Tijdens de Covid-19-pandemie publiceerde de verantwoordelijke instantie een lijst met de namen en vaccinatiestatus van werknemers in een interne Telegram-groep met ongeveer 260 leden.

Casa di Cura Città di Roma: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 12.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 12.000 euro opgelegd aan Casa di Cura Città di Roma. De verantwoordelijke partij gebruikte software voor patiëntbeheer die gebruikers toegang gaf tot een buitensporige hoeveelheid patiëntgegevens.

Ospedaliero-Universitaria Careggi: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 80.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 80.000 euro opgelegd aan het universitaire ziekenhuis Careggi. De verantwoordelijke, een universitair ziekenhuis, gebruikte software waarmee medisch personeel de medische dossiers van patiënten kon doorzoeken, zelfs als deze informatie niet relevant was voor de specifieke medische behandeling.

SATI S.p.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van €10.000 - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit (DPA) heeft SATI S.p.A. een boete van 10.000 euro opgelegd. Informatie over de redenen van afwezigheid van werknemers werd weergegeven op borden en in e-mails, die alleen toegankelijk waren voor de werknemers van de verantwoordelijke partij.

Istituto Comprensivo 2 C.D. “G. Modugno” S.M. “G. Galilei” in Monopoli: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 4.000 euro - opgelegd door de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 4.000 euro opgelegd aan de onderwijsinstelling Istituto Comprensivo 2 C.D. “G. Modugno” S.M. “G. Galilei” in Monopoli. De verantwoordelijke instantie heeft een lijst met de namen van leerlingen met een beperking op haar website gepubliceerd zonder voldoende juridische basis.

Waxholms Ångfartygs AB: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

6.800 euro boete - De Zweedse Autoriteit voor Gegevensbescherming (Integritetsskyddsmyndigheten).

De Zweedse gegevensbeschermingsautoriteit heeft Waxholms Ångfartygs AB een boete van 6.800 euro opgelegd. De verantwoordelijke, een bedrijf voor openbaar vervoer, vereist dat medewerkers die een veerboot besturen, een alcoholtest ondergaan vóór elke afvaart. De resultaten van deze test worden vervolgens opgeslagen. De gegevensbeschermingsautoriteit heeft geconstateerd dat er geen wettelijke basis is voor deze gegevensverwerking.

AB Storstockholms Lokaltrafik: Onvoldoende juridische basis voor de verwerking van gegevens.

6.800 euro boete - De Zweedse Autoriteit voor Gegevensbescherming (Integritetsskyddsmyndigheten).

De Zweedse autoriteit voor gegevensbescherming (DPA) heeft AB Storstockholms Lokaltrafik een boete van 6.800 euro opgelegd. Dit bedrijf, dat actief is in het openbaar vervoer, vereist dat medewerkers die een veerboot besturen, een alcoholtest ondergaan voor elke afvaart. De resultaten van deze test worden vervolgens opgeslagen. De DPA heeft geconstateerd dat er geen wettelijke basis is voor deze gegevensverwerking.

Gezondheidsbeschermingsagentschap van de Metropool van Milaan, Dienst Preventie en Veiligheid op de Werkplek, Noord-Milaan: Onvoldoende juridische basis voor de verwerking van gegevens.

Een boete van 7.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 7.000 euro opgelegd aan de "Health Protection Agency" van de metropoolregio Milaan, afdeling "Workplace Prevention and Safety Service" in Noord-Milaan. De verantwoordelijke partij heeft medische gegevens van een betrokkene doorgegeven aan diens werkgever zonder een voldoende juridische basis.

ULPIA TRAJANA ALAMEDA S.L.: Niet-naleving van de algemene principes voor gegevensverwerking.

1.500 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan ULPIA TRAJANA ALAMEDA S.L. Tijdens het boekingsproces heeft de verantwoordelijke partij gegevens verwerkt die niet noodzakelijk waren voor het doel, wat een schending is van het beginsel van dataminimalisatie. De verwerkte gegevens omvatten ook biometrische gegevens (artikel 9 AVG), waarvoor de verantwoordelijke partij geen voldoende juridische basis had. De oorspronkelijke boete van 2.500 euro is verlaagd tot 1.500 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Discriminatiecommissarissen: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

9.200 euro boete - De Zweedse Autoriteit voor Gegevensbescherming (Integritetsskyddsmyndigheten).

De Zweedse gegevensbeschermingsautoriteit heeft een boete van 9.200 euro opgelegd aan de Zweedse Ombudsman voor Discriminatie. De verantwoordelijke partij was niet in staat om voldoende maatregelen voor gegevensbeveiliging te implementeren, wat resulteerde in de ongeautoriseerde openbaarmaking van gevoelige gegevens.

National Prosecutor's Office: Insufficient legal basis for data processing

€19,800 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 19,800 on the National Prosecutor's Office. During a press conference, the public prosecutor's office disclosed an individual's personal data, such as their first and last name and special categories of data, without a valid legal basis. The DPA also found that the controller failed to report the data breach to the DPA and the data subject.

GSMA LTD.: Insufficient technical and organisational measures to ensure information security

€200,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 200,000 against GSMA LTD.. An individual had filed a complaint with the DPA because they had to transfer special categories of personal data (e.g., ID card data) to the controller in order to register for an event. In the course of its investigation, the DPA found that the controller had failed to conduct a data protection impact assessment for these processing operations.

MALTA DPA: Non-compliance with general data processing principles

€65,000 fine - Data Protection Commissioner of Malta

The controller has violated numerous GDPR regulations, involving special categories of personal data of numerous individuals.

Company: Insufficient legal basis for data processing

Data Protection Authority of Bremen

The DPA of Bremen has imposed a five-digit fine on a company. The company had sent an unredacted social plan to all affected employees in the context of dismissals due to operational reasons, resulting in the disclosure of personal data contained therein, such as date of birth, age, marital status, number of dependent children, function in the company, severe disability, etc., to all employees. The DPA found that such extensive disclosure of personal data was unlawful due to the lack of a legal

Nacionaliniam visuomenės sveikatos centrui (NVSC): Non-compliance with general data processing principles

€12,000 fine - Lithuanian Data Protection Authority (VDAI)

The Lithuanian DPA (VDAI) imposed a fine of EUR 12,000 on the Lithuanian National Health Service (NVSC). The DPA had opened an investigation regarding a quarantine app introduced in Lithuania during the COVID-19 pandemic in spring 2020. The IT company 'IT sprendimai sėkmei' had developed the app, which was then used by the NVSC. In the course of the investigation, the DPA found that during the app's period of use, the data of a total of 677 individuals had been processed in varying degrees. The

IT sprendimai sėkmei: Non-compliance with general data processing principles

€3,000 fine - Lithuanian Data Protection Authority (VDAI)

The Lithuanian DPA (VDAI) imposed a fine of EUR 3,000 on the company 'IT sprendimai sėkmei'. The DPA had opened an investigation regarding a quarantine app introduced in Lithuania during the COVID-19 pandemic in spring 2020. The controller had developed the app, which was then used by the Lithuanian National Health Service. In the course of the investigation, the DPA found that during the app's period of use, the data of a total of 677 individuals had been processed in varying degrees. The app w

LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing

€2,000 fine - Cypriot Data Protection Commissioner

The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.

LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing

€10,000 fine - Cypriot Data Protection Commissioner

The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.

LGS Handling Ltd, Louis Travel Ltd, and Louis Aviation Ltd: Insufficient legal basis for data processing

€70,000 fine - Cypriot Data Protection Commissioner

The decision found that the use of the Bradford factor for profiling and monitoring sick leave constituted unlawful processing of personal data in breach of Article 6 and Article 9 of the GDPR. Three fines of EUR 70,000, EUR 10,000 and EUR 2,000 were imposed for this infringement. The decision was announced on 2020/10/13.

DSB (Austria) - 2024-0.199.724

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

Fiche

Government

“Het kabinet onderschrijft het belang van de bescherming van grondrechten en waardeert dat de Commissie hieraan eveneens aandacht schenkt. Niettemin plaatst het kabinet kanttekeningen bij het voorstel, gezien het feit dat de regeling voorziet in een grootschalige beschikbaarstelling van gevoelige...

KHO - KHO:2025:86

Facts }}}} A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data concerning an application for voluntary personal insurance in accordance with Article 9(2)(g) GDPR and national insurance law. The court found that such processing is necessary for

KHO - KHO:2025:86

Feiten: Een rechtbank heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Dit vernietigde een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens. Een rechtbank heeft ook geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens mag verwerken met betrekking tot een aanvraag voor een vrijwillige persoonlijke verzekering, in overeenstemming met artikel 9(2)(g) AVG en de nationale verzekeringswetgeving. De rechtbank heeft vastgesteld dat dergelijke verwerking noodzakelijk is voor...

OGH - 6Ob189/24y

|Initiële bijdrager=|Initiële bijdrager= || }}}} Het Hooggerechtshof heeft geoordeeld dat Meta zijn gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden; een eenvoudige lijst is onvoldoende. Bovendien heeft het hof bepaald dat gepersonaliseerde advertenties en de verwerking van (gevoelige) persoonlijke gegevens van websites van derden de toestemming van de betrokkene vereisen. Het Oostenrijkse Hooggerechtshof heeft geoordeeld dat Meta gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen.

KHO - KHO:2025:86

Facts: A court has ruled that an insurance company is legally permitted to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This overturned a previous injunction issued by the Data Protection Authority. A court has also ruled that an insurance company is legally permitted to process health data related to an application for a voluntary personal insurance policy, in accordance with Article 9(2)(g) of the GDPR and national insurance legislation. The court found that such processing is necessary for...

Verandering bewerkstelligen: De menselijke kosten van online leeftijdsverificatie.

De verplichtingen voor leeftijdsverificatie verspreiden zich snel en brengen een nieuw tijdperk van online toezicht, censuur en uitsluiting met zich mee, niet alleen voor jongeren, maar voor iedereen. Wetten die leeftijdscontrole vereisen, verplichten websites en apps doorgaans om gevoelige gegevens van elke gebruiker te verzamelen, vaak via ingrijpende methoden zoals identiteitscontroles, biometrische scans of andere twijfelachtige "schattingstechnieken", voordat ze toegang verlenen tot bepaalde inhoud of diensten. Wetgevers prijzen deze wetten als de ultieme oplossing voor de "online veiligheid van kinderen."

AP gaat databeveiliging in de zorg controleren

De komende maanden gaat de Autoriteit Persoonsgegevens (AP) steekproefsgewijs zorgaanbieders bezoeken, zoals ziekenhuizen of huisartsenposten. De AP wil controleren hoe zij omgaan met informatie over patiënten en cliënten, waaronder gevoelige gegevens over hun gezondheid. Ook geeft de AP voorlichting over de regels en hoe zorgaanbieders daaraan moeten voldoen.

Tweede nader gewijzigd amendement van de leden Claassen en De Korte ter vervanging van nr. 34 over een opt-out voor de verwerking van medische gegevens van patiënten

Legislation

Kamerstukken II 36278, nr. 37, (Wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken (Wet kwaliteitsregistr...

Wet kwaliteitsregistraties zorg

Legislation

Wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken (Wet kwaliteitsregistraties zorg), nr. 13

Health data and use of cookies: DOCTISSIMO fined €380,000

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

CJEU: processing personal data liable to disclose indirectly sexual orientation constitutes processing of special categories of personal data

In 'Vyriausioji Tarnybinės Etikos Komisija' the CJEU held that the name of civil servants' spouse, cohabitant or partner and of the subject of their transactions (indirectly sexual orientation) are special categories of personal data. The Court relies on the broad definition of "data concerning health" in article [4(15) GDPR](https://docs.legal.digital/gdpr/#article-4) & the guidance in [Recital 35](https://docs.legal.digital/gdpr/#rec35) to highlight that context must be taken into account when

Danish SA: fine of of approx. EUR 67k for a law firm hit by ransomware for its insufficient security safeguards

> The Danish DPA held that the law firm lacked basic security measures, especially considering the fact that its processing involved special categories of personal data. The DPA emphasized that in such cases a data breach would almost certainly entail a high risk to the data subjects' rights. Therefore, the controller must have especially strict security measures in place to avoid unauthorised accesses. Hence, when creating remote access to such IT systems, the controller could, for instance, im

Greek SA fines Clearview AI for EUR 20M

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

De Griekse toezichthouder heeft Clearview AI een boete van 20 miljoen euro opgelegd.

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

AEPD publishes GDPR Risk Assessment

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.

Dirkzwager: ABRvS geeft uitleg aan het AVG-begrip "de instelling, uitoefening of onderbouwing van een rechtsvordering"

> Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State

EDPB adopts statement on European Police Cooperation Code & picks topic for next coordinated action

The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a Prüm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.

Het verzamelen en opslaan door de Franse bloeddonordienst (EFS) van persoonlijke gegevens die de vermeende seksuele geaardheid van de aanvrager weergeven, zonder dat er een bewezen feitelijke basis voor is: een schending van artikel 8 van het verdrag.

EU-Hof: gegevens waaruit indirect de seksuele geaardheid van een persoon kan worden afgeleid vormen gevoelige gegevens in de zin van de AVG

The processing of personal data that may indirectly reveal sensitive information about an individual, such as information about their sexual orientation, may qualify as processing of "special categories of personal data" within the meaning of the AVG. The processing of such sensitive data is prohibited in principle. This is the EU Court's answer to questions from a Lithuanian judge.