Privacy by Design & Default
This topic is essential as it specifically addresses Article 25 GDPR requirements for implementing data protection principles through design and default settings, covering both technical and organizational measures that must be embedded into processing systems from inception.
data protection by design data protection by default Article 25 GDPR privacy by design privacy by default protective measures design principles default settings
Overview
23 sources · Feb 17, 2026Legal Framework
Article 25 GDPR imposes two distinct proactive obligations on controllers that apply throughout the data lifecycle. First, paragraph 1 requires controllers to implement appropriate technical and organisational measures (TOMs) designed to embed data protection principles—such as data minimisation, purpose limitation and integrity—into the very architecture of processing systems at the design stage. Unlike the 1995 Directive, which merely referenced technical measures in a recital, the GDPR elevates Privacy by Design to a binding obligation applicable from the outset of development. Second, paragraph 2 mandates Privacy by Default: controllers must configure systems so that, by default, only personal data which is necessary for each specific purpose is processed, and that data is not made accessible to an indefinite number of persons. This encompasses both technical configurations (e.g., disabling non-essential software functionalities) and organisational measures (e.g., granular access rights and staff assignments). The provision intersects with the AI Act, where Recitals 54, 75 and 80 impose parallel requirements for high-risk AI systems, mandating technical robustness, accuracy and universal design principles, particularly for biometric processing. Furthermore, controllers must involve the Data Protection Officer (DPO) properly and in a timely manner—interpreted as the earliest possible stage of design—when applying these measures.
Key Developments
The Court of Justice has shaped the standard for these obligations through two landmark rulings. In Digital Rights Ireland, the Court established that any interference with fundamental rights via data processing requires strict necessity and proportionality, reinforcing the minimisation principle underlying Article 25. In Worten, the Court clarified that controllers (not Member States) bear the active duty to implement TOMs commensurate with the state of the art, implementation costs, and risk levels, ensuring access is restricted to duly authorized personnel. Enforcement practice confirms this strict liability approach: the Romanian DPA (ANSPDCP) fined Continental Automotive Products €15,000 and Premier Restaurants Romania €8,000 for failures to embed appropriate technical safeguards and default settings. The EDPB Guidelines 4/2019 operationalise these rulings by detailing how controllers must demonstrate compliance through lifecycle management, data protection engineering and strict default configurations.
Practical Guidance
- Architect protection at inception: Embed data protection principles into the technical specifications and business processes of new processing systems, services and products during the initial design phase, ensuring compliance is structurally integrated rather than retrofitted (Article 25(1)).
- Minimise data by default: Configure systems to process only strictly necessary data upon deployment; disable unnecessary functionalities in standard software and limit data fields to those essential for the specific processing purpose, ensuring data is not automatically accessible to all users (Article 25(2)).
- Restrict access through organisational measures: Implement granular access rights and clear staff assignments ensuring only specifically authorized personnel can handle personal data, supported by documented authorization matrices and regular access reviews (Article 25(2); Worten).
- Involve the DPO during development: Mandate DPO consultation during the conceptual, design and development phases of processing activities to ensure data protection requirements are translated into technical specifications from the outset (Article 25 read with Article 38).
- Ensure robustness for high-risk AI: When deploying AI systems involving biometric data or other high-risk categories, implement technical robustness measures, accuracy safeguards and universal design principles to prevent discriminatory outcomes and ensure accessibility for persons with disabilities (AI Act Recitals 54, 75, 80).
Laws (24)
View all 24Recital 91
Recital 69
Recital 54
Recital 69
Recital 75
Recital 98
Recital 121
Recital 51
Recital 51
Article 25
Data protection by design and by default
Recital 156
Article 25
Gegevensbescherming door ontwerp en door standaardinstellingen
Recital 88
Recital 78
Recital 108
Recital 81
Recital 78
Recital 66
Recital 108
Case Law (16)
ManpowerGroup
Raad van State
appellante] heeft hoger beroep ingesteld tegen de uitspraak van de rechtbank Amsterdam van 4 maart 2025 in zaak nr. 22/3746. In die uitspraak heeft de rechtbank het beroep van [appellante] tegen de afwijzing van haar klacht over de verwerking van haar persoonsgegevens door ManpowerGroup Netherlands B.V., ongegrond verklaard. De Autoriteit Persoonsgegevens heeft de vertrouwelijke versie van Antwoorden Vragenlijst Bijlage 1 en het hele document ManpowerGoup’s Information Security Policy overgelegd en met verwijzing naar artikel 8:29 van de Awb medegedeeld dat uitsluitend de Afdeling kennis zal mogen nemen van deze stukken.
X v Russmedia Digital SRL, Inform Media Press SRL
CJEU
In deze zaak gaat het in essentie om de verhouding tussen de e-Commerce Richtlijn en de AVG in het bijzonder bij verwerking van bijzondere persoonsgegevens (gegevens over iemands seksueel gedrag, art. 9 AVG). Specifiek draaide het hier om een online advertentieplatform dat anonieme gebruikers de ...
Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn
Rechtbank
AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.
AP legt boete op van EUR 310.
Rechtbank
AP legt boete op van EUR 310.000 deze wordt in bezwaar verlaagd naar EUR 148.750 en nu door de Rb. verder verlaagd naar EUR 58.125. Uit de boedel van een failliete zorginstelling waren enkele gegevensdragers bij de veiling van de boedel. Op deze, onder meer harde schijf, stonden bijzondere catego...
Autobedrijf is onvoldoende erin geslaagd te bewijzen dat het voldoet aan vereisten van 'passende beveiliging'. Les van het hof over verplichtingen artikelen 5(1)(f) jo. 24 jo 32 AVG.
Gerechtshof
Vervolg op ECLI:NL:GHARL:2024:6812. Autobedrijf ontvangt ook ongevraagd gevoelige informatie, dat is het niet aan te rekenen (r.o. 3.5). De inrichting en beheer van het e-mailaccount is uitbesteed aan Autosociaal (r.o. 3.6). Hof geeft aan dat het autobedrijf op zichzelf mag vertrouwen op een ISO ...
Inzage in breed perspectief (AVG, 8 EVRM, maar ook 29, 290, 811 en 843a Rv.
Hoge Raad
"Deze prejudiciële beslissing gaat over de vraag of een gerecht op verzoek inzage moet geven in of afschriften moet verstrekken van stukken uit het dossier van afgesloten civiele familie- en jeugdprocedures, in het bijzonder afgesloten procedures waarin ten aanzien van de verzoeker kinderbescherm...
Artikel
Rechtbank
Rechtbank Rotterdam 29 januari 2025, ECLI:NL:RBROT:2025:1497 (Blauw/Nebu vervolg, vragen aan deskundige). Artikel : 24 en 32 AVG Onderwerp: Een vervolg op Rechtbank Rotterdam 6 april 2023, ECLI:NL:RBROT:2023:2931 de Blauw/Nebu zaak. Deze zaak draait om de verplichtingen van Nebu als verwerker van...
WAMCA
Rechtbank
Collectieve actie (WAMCA). Twee stichtingen voeren elk een collectieve actie tegen Google over de wijze waarop Google persoonsgegevens van gebruikers verzamelt en verwerkt. De rechtbank oordeelt in dit tussenvonnis dat beide stichtingen ontvankelijk zijn in de zin van de WAMCA.
VB v Natsionalna agentsia za prihodite
C-340/21 (VB v Natsionalna agentsia)
Data breach alone does not establish inadequate security measures. Burden on controller to prove adequacy.
HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)
Het Hof van Justitie verklaart het Privacy Shield-akkoord ongeldig wegens onvoldoende waarborgen voor Europese burgers tegen toegang door Amerikaanse inlichtingendiensten.
Data Protection Commissioner v Facebook Ireland and Maximillian Schrems
C-311/18 (Schrems II)
Invalidated Privacy Shield adequacy decision and upheld validity of Standard Contractual Clauses with additional safeguards required.
GC and Others v CNIL
C-136/17 (GC and Others)
Conditions for delisting sensitive data from search results.
DIGITAL RIGHTS IRELAND LTD V. IRELAND,
Digital Rights Ireland
Article 7 CFR: The obligation on providers of publicly available electronic communications services or public communications networks to retain data relating to a person’s private life and his communications in itself constitutes an interference with Article 7. Access of competent national authorities to the data constitutes a further interference with that right. Any limitation on the exercise of rights and freedoms laid down by the CFR must be provided by law, respect their essence and, subjec
WORTEN-EQUIPAMENTOS PARA O LAR SA V. ACT (AUTHORITY FOR WORKING CONDITIONS), 30.5.2013 (“WORTEN”)
Worten
Security: Data protection law requires controllers (not Member States) to adopt technical and organizational measures which, having regard to the state of the art and cost of their implementation, are to ensure a level of security appropriate to the risks represented. Controller must ensure that only those persons duly authorized have access. (¶¶ 24–25, 28–29)
ECLI:NL:CRVB:2010:BM7235 Centrale Raad van Beroep , 03-06-2010 / 09-997 AW
CRVB
Dienstopdracht tot ondertekening geheimhoudingsverklaring. Bestreden besluit is door de rechtbank vernietigd. Gelet op de imperatieve voorschriften van art. 802, lid 2, ARA en art. 2 Besluit verklaring geheim-houding, was de DWI niet bevoegd om betrokkene op te dragen een geheim-houdingsverklaring te ondertekenen die afwijkt van de verklaring die is vastgesteld in het formulier bij het Besluit. Gegeven het imperatieve karakter kan een bevoegdheid daartoe evenmin worden gebaseerd op art. 204, ARA. De Wbp en het bepaalde in en krachtens de Wet Suwi, schrijven appellant voor om passende maatregelen te treffen ter bevordering van het juiste gebruik van de databanken en ter voorkoming van misbruik ervan. Ondertekening van een geheimhoudingsverklaring zoals thans in geding kan daaraan op zichzelf zeker dienstig zijn. De Raad is echter uit de overgelegde stukken niet gebleken dat appellant, met voorbijgaan aan bepalingen van de voor de ambtenaar van toepassing zijnde rechtspositieregeling, concreet wordt voorgeschreven de medewerkers te verplichten een daarop betrekking hebbende geheimhoudingsverklaring te ondertekenen.
ECLI:NL:HR:2003:AF0148 Hoge Raad , 24-01-2003 / C01/143HR
Hoge Raad
-
Guidance (47)
View all 47Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)
Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Versiegeschiedenis
guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679
Guidelines on codes of conduct and monitoring bodies
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
Versiegeschiedenis
guidelines recht op inzage
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Guidelines 07/2020 on the concepts of controller and processor in the GDPR
Guidelines on the concepts of controller and processor in the GDPR
The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Versiegeschiedenis
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
guidelines certificering
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Enforcement (421)
View all 421Continental Automotive Products SRL: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Boete van €15.000 - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense Autoriteit voor Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan Continental Automotive Products SRL. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.
PREMIER RESTAURANTS ROMANIA SRL: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
8.000 euro boete - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming heeft PREMIER RESTAURANTS ROMANIA SRL een boete van 8.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.
ONVOLDRAAGLIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.
FREE MOBILE: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).
Sociale verzekeringsinstantie: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 50.000 euro - van het Slowaakse databeschermingskantoor.
Aanvragen voor sociale uitkeringen van Slovakische burgers werden per post naar buitenlandse instanties verzonden. Deze post is onderweg verloren gegaan, waardoor de locatie van deze persoonlijke gegevens niet kon worden achterhaald.
SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.
Documenten die persoonlijke gegevens bevatten, zijn op het gebied van de gemeentelijke afvalverwerkingsplaats vernietigd.
Zelfstandig ondernemer - geen verdere details gepubliceerd: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Boete van €980 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).
De beheerder van een online spel is het slachtoffer geworden van meerdere DDoS-aanvallen, wat resulteerde in storingen van de servers. De aanvaller chanteerde de beheerder en dreigde dat de aanvallen niet zouden stoppen tenzij er geld werd betaald. Als onderdeel van de chantage bood de aanvaller aan om een verbeterde en betere firewallbescherming voor de servers van de beheerder te implementeren. De beheerder stemde ermee in en betaalde de aanvaller. De beheerder implementeerde de nieuwe code van de aanvaller, wat bleek beter te zijn dan de oude.
Slovak Telekom: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 40.000 euro - van het Slowaakse databeschermingskantoor.
De verantwoordelijke partij heeft onvoldoende beveiligingsmaatregelen genomen bij de verwerking van persoonsgegevens, waardoor de verplichting om de verwerkte persoonsgegevens te beschermen is geschonden.
Madrileña Red de Gas: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
12.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
Het gasbedrijf had geen passende maatregelen getroffen om de identiteit van de betrokkene te verifiëren. De persoon die de klacht heeft ingediend, beweert dat het bedrijf zijn gegevens per e-mail naar een derde partij heeft gestuurd als reactie op een verzoek.
Roumasport S.R.L: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van €10.000 - De Roemeense nationale toezichthouder op de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.000 euro opgelegd aan Roumasport S.R.L. Het bedrijf heeft nagelaten voldoende technische en organisatorische maatregelen te implementeren, wat heeft geleid tot meerdere cyberincidenten.
SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Slovaakse Autoriteit voor Gegevensbescherming.
Overtreding van maatregelen ter bescherming van de informatiebeveiliging (op dit moment zijn er geen verdere details beschikbaar).
NEXPUBLICA FRANKRIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
1.700.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).
De Franse autoriteit voor gegevensbescherming (CNIL) heeft NEXPUBLICA FRANCE een boete van 1.700.000 euro opgelegd. De verantwoordelijke, die een softwareontwikkelaar was, heeft een softwarepakket ontwikkeld en aangeboden dat bedoeld is om de relaties met gebruikers te beheren in de sector van maatschappelijke activiteiten. Onvoldoende technische en organisatorische maatregelen hebben geleid tot een cyberincident dat de software heeft getroffen.
CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 500.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse gegevensbeschermingsautoriteit heeft CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U. een boete van 500.000 euro opgelegd. De verantwoordelijke partij heeft een communicatietool gebruikt die niet was ontworpen in overeenstemming met het "privacy by design"-principe. Hierdoor zijn berichten met persoonlijke gegevens, die bestemd waren voor een andere klant, in handen gekomen van een onafhankelijke derde partij.
EXCEL HOTELS & RESORTS, S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft EXCEL HOTELS & RESORTS, S.A. een boete van 32.000 euro opgelegd. Het bedrijf gebruikte beveiligingspersoneel om de toegang tot haar faciliteit te controleren. Dit beveiligingspersoneel liet regelmatig documenten met persoonlijke gegevens achter op hun post, waardoor deze toegankelijk werden voor derden. De oorspronkelijke boete van 40.000 euro is verlaagd naar 32.000 euro vanwege de onmiddellijke betaling.
De Hogeschool Arnhem en Nijmegen: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
175.000 euro boete - Nederlandse Autoriteit Persoonsgegevens (AP).
De Nederlandse Autoriteit Persoonsgegevens heeft een boete van 175.000 euro opgelegd aan de Hogeschool Arnhem en Nijmegen. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen.
Compania de Apa Oltenia S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van €1.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan Compania de Apa Oltenia S.A. De verantwoordelijke partij heeft nagelaten om adequate technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geresulteerd in het uitlekken van persoonlijke gegevens op sociale media.
SPRINTER MEGACENTROS DEL DEPORTE, S.L.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
1.560.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SPRINTER MEGACENTROS DEL DEPORTE, S.L. een boete van 1.560.000 euro opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. Bovendien heeft de verantwoordelijke partij de betrokken personen die door de inbreuk zijn getroffen, niet voldoende geïnformeerd. De oorspronkelijke boete van 2.600.000 euro is verlaagd tot 1.560.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
Nițu A. Cleopatra – Expert Accountant: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).
De Roemeense Autoriteit Persoonsgegevens (DPA) heeft een boete van 2.000 euro opgelegd aan Nițu A. Cleopatra – Expert Accountant. Deze organisatie was het doelwit van een succesvolle cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen.
Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.
Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).
Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.
LastPass UK Ltd: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
1.400.000 euro boete - Informatiecommissaris (ICO)
De Britse gegevensbeschermingsautoriteit (DPA) heeft LastPass UK Ltd. een boete van 1.228.283 pond (1.400.000 euro) opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een succesvolle cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen.
News (17)
Europa ondermijnt haar eigen digitale rechten van binnenuit.
De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).
Waarom de "Digital Omnibus" de privacyregels (AVG en ePrivacy) in gevaar brengt.
Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.
De AI-wet is niet voldoende: we moeten de gevaarlijke hiaten dichten die misbruik mogelijk maken en de rechten van mensen schenden.
Hoewel de AI-wetgeving van de EU tot doel heeft om AI-systemen met een hoog risico te reguleren, wordt deze ondermijnd door belangrijke uitzonderingen die hun ongecontroleerde toepassing mogelijk maken in de context van nationale veiligheid en handhaving van de wet. Deze uitzonderingen riskeren onder meer het mogelijk maken van grootschalige surveillance van protesten en discriminerende migratiepraktijken. Om dit te voorkomen, heeft de EDRi-partner Danes je nov dan aanbevelingen gepubliceerd voor Slovenië om strengere nationale beschermingsmaatregelen en transparante toezichtsmechanismen in te voeren. De post "De AI-wetgeving is niet..."
ICO: How can Privacy Enhancing Technologies help with data protection compliance?
> How can PETs help with data protection compliance? At a glance • PETs can help you demonstrate a ‘data protection by design and by default’ approach to your processing. • PETs can help you to comply with the data minimisation principle by ensuring you only process the data you need for your purposes, and provide an appropriate level of security for your processing. • You can use PETs to give access to datasets which would otherwise be too sensitive to share, while ensuring individuals’ data is
Deelrapport BZK
Government
Rijksbreed AVG-onderzoek 2024. Deelrapporten van de Auditdienst Rijk (ADR) over het rijksbrede AVG-onderzoek naar de inrichting en implementatie van privacy by design & default en de opvolging en monitoring van de resultaten uit Data Protection Impact Assessment (DPIA's).Deelrapport BZK
The 2022 annual report of the CNIL
The publication of its activity report enables the CNIL to report on its actions with regard to its four major missions: inform and protect the general public, accompany and advise professionals and public authorities, anticipate and innovate to build the digital of tomorrow, and finally monitor and sanction breaches of the General Data Protection Regulation (GDPR) and the French law. Download the 2022 annual report (in French) Informing and protecting The actions carried out this year
An analysis of Dutch case law: what factors play a role in awarding (or not) and determining the extent of damages under the GDPR?
Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th
What Happened to the Risk-Based Approach to Data Transfers?
The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security
Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures
The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.
De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.
De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.
Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations
> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.
De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.
De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.
CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR
> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.
De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).
De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.
EU-wetgeving inzake datagovernance definitief vastgesteld
The new data governance regulation sets out the conditions for the reuse of certain government data. In addition, the regulation provides a notification and oversight framework for the provision of data mediation services. Furthermore, the regulation contains a framework for the voluntary registration of entities that collect and process data made available for altruistic purposes. The rules will apply from September 2023.
A-G: rechtmatig verzamelde en opgeslagen persoonsgegevens mogen onder voorwaarden tijdelijk in een extra interne databank worden bewaard
Lawfully collected and stored personal data may be retained in an additional internal database, to the extent that it pursues the same data processing purposes as the original data collection. That is the opinion of Advocate General Pikamäe to the EU Court in response to questions from a Hungarian judge.
DeFine is a calculator for GDPR fines based on method of the EDPB
> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).