Data Breaches
Security incidents involving unauthorized access to personal data
data breach datalek datalekken inbreuk beveiligingsincident
Overview
17 sources · Feb 17, 2026Legal Framework
Recital 172 establishes that whistleblowers reporting breaches of Union law merit protection under Directive (EU) 2019/1937, extending safeguards to persons disclosing violations of regulatory obligations. Recital 155 mandates that providers of high-risk AI systems maintain post-market monitoring mechanisms capable of analyzing system interactions and detecting incidents that may compromise data integrity. Recital 169 establishes penalty frameworks ensuring enforcement through proportionate fines for non-compliance. Under general data protection law, controllers must implement technical and organizational measures sufficient to prevent unauthorized access (Article 32 GDPR), notify supervisory authorities of personal data breaches within 72 hours (Article 33 GDPR), and communicate to affected individuals when high risks materialize (Article 34 GDPR). The Autoriteit Persoonsgegevens guidance clarifies that breach documentation must facilitate communication with judicial authorities, while rejected notifications from general practitioners demonstrate the precise evidentiary thresholds for valid disclosure.
Key Developments
The Rechtbank Midden-Nederland ruled in UTR 20/2315 (VoetbalTV) that broadcasting amateur football matches involving minors without valid legal basis constituted unlawful processing warranting fines, establishing that surveillance in semi-public spaces requires explicit justification and robust privacy safeguards. The French CNIL imposed €27,000,000 and €15,000,000 penalties on FREE MOBILE and FREE respectively for data breaches stemming from insufficient technical and organizational security measures, setting strict expectations for telecommunications infrastructure protection. These enforcement actions confirm that reactive security protocols attract heavier sanctions than preventive failures, particularly where subscriber data is concerned. The Dutch AP's Woo decisions regarding general practitioner data leaks further establish that medical data controllers face heightened documentation requirements when communicating breaches to supervisory authorities and courts, rejecting notifications that lack sufficient technical detail or risk assessment documentation. Recent EDPB initiatives for 2026-2027 emphasize streamlining compliance frameworks, while enforcement against facial recognition technologies demonstrates expanding scrutiny of biometric data breaches.
Practical Guidance
- Deploy post-market monitoring systems capable of detecting unauthorized data access across AI system interactions, ensuring continuous surveillance of high-risk processing environments as required by ongoing oversight obligations.
- Establish confidential whistleblower channels protected under Directive (EU) 2019/1937 to facilitate internal reporting of data protection failures without retaliation, documenting all disclosures for regulatory review.
- Verify legal bases before capturing personal data in public or sporting contexts involving minors, following VoetbalTV's requirement that broadcast surveillance requires explicit consent or legitimate interest assessments that account for children's privacy rights.
- Implement encryption and access controls proportionate to telecommunications industry standards, avoiding the technical deficiencies that resulted in multi-million euro CNIL penalties for insufficient organizational safeguards.
- Prepare breach notification documentation that satisfies judicial scrutiny before submitting to supervisory authorities, ensuring rejected notification patterns—particularly in sensitive health sectors—are avoided through complete risk assessment records.
Laws (80)
View all 80Recital 170
Recital 60
Recital 168
Recital 172
Recital 155
Recital 164
Article 85
Recht om een klacht in te dienen bij een markttoezichtautoriteit
Article 87
Melding van inbreuken en bescherming van melders
Recital 58
Recital 59
Recital 169
Recital 162
Recital 136
Recital 71
Recital 127
Recital 94
Article 35
Inbreuken die een inbreuk in verband met persoonsgegevens inhouden
Recital 128
Recital 123
Case Law (185)
View all 185ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24
Rechtbank Limburg
Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.
ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3
Raad van State
Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.
ECLI:NL:RBNHO:2026:1171 Rechtbank Noord-Holland , 09-02-2026 / HAA 25/1285
Rechtbank Noord-Holland
AVG. Leerplichtwet 1969. Verzoek om wissen verklaring ex artikel 8 Leerplichtwet 1969. De rechtbank is van oordeel dat het belang van (de zoon van) eiseres niet zwaarder weegt dan het belang van het registreren van zijn gegevens. Het bewaren van gegevens is, in het licht van vorengaande overwegingen, proportioneel en evenwichtig.
ECLI:NL:RBAMS:2026:94 Rechtbank Amsterdam , 28-01-2026 / 777961 HA ZA 25-1657
Rechtbank Amsterdam
Burenzaak, erfgrens onder haag/heg of elders? 5:36, tegenbewijs geleverd met kadaster grensreconstructie - erfgrens ligt niet onder haag. Eigendomsverkrijging door verjaring? Slaagt niet, geen ondubbelzinnig bezit. Vordering toegewezen.
ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445
Rechtbank Limburg
Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?
Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk
Rechtbank
Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?
Burenruzie. Camera's moeten weg, van beide partijen.
Rechtbank
Partijen zijn buren en wonen schuin tegenover elkaar in dezelfde straat. Eiser wil dat gedaagde zijn camera’s verwijdert of aanpast, omdat deze haar privacy schenden. Als geoordeeld wordt dat gedaagde zijn camera’s moet verwijderen, dan wil gedaagde dat eiser ook wordt veroordeeld om haar camera’s te verwijderen. Geoordeeld wordt dat beide partijen hun camera’s moeten verwijderen, omdat deze een onrechtmatige inbreuk maken op elkaars privacy.
Buren. Cameras moeten weg.
Rechtbank
Burengeschil over uitleg en uitvoering erfdienstbaarheden en het gebruik van camera's
Schending eer en goede naam en bescherming werknemers weegt zwaarder.
Rechtbank
Kort geding. Verbod op het doen van onrechtmatige uitlatingen en het benaderen van bestuurders, medewerkers, organen en locaties van de Stichting. Gebod tot het verwijderen van alle gedane openbare uitlatingen.
Inlichtingen opvragen in kader van Pw mag, ook in dit geval gerelateerd aan het kind van de betrokkene
Rechtbank
Opschorting en intrekking op grond van de PW. Niet gemelde Bitvavo en crypto accounts. Geen schending van privacy ten aanzien van kinderen eiseres. Het college mag immers inlichtingen opvragen omtrent rekeningen en gegevens die op naam van eiseres staan. Zie artikel 6, eerste lid, sub c van de algemene verordening gegevensbescherming voor een grondslag voor verstrekking van de gegevens door eiseres.
Bevoegdheid verzoeken informatie over de reden van contante geldopnames
Dutch Courts
Afwijzing aanvraag om bijstand. Onvoldoende duidelijkheid over financiële situatie. Contante geldopnames. Inschrijving KvK. Stichting. Geen schending privacy. Vaststaat dat het dagelijks bestuur appellant niet heeft verzocht om uitleg te geven over het feit dat vanaf de opgeheven ABN AMRO-rekening twee bedragen zijn overgeschreven naar zijn ING-rekening. Daarom kan het dagelijks bestuur niet aan besluitvorming ten grondslag leggen dat appellant daarover geen duidelijkheid heeft gegeven. Dit leidt echter niet tot vernietiging van de aangevallen uitspraak. Het dagelijks bestuur hoeft niet te bewijzen dat appellant eigenaar is van de stichting. Ervan uitgaande dat de stichting in de te beoordelen periode op het woonadres van appellant was gevestigd, is het aan appellant, ter beoordeling van zijn bijstandbehoevendheid, om inzicht te geven in zijn betrokkenheid bij de stichting. Appellant heeft dat niet gedaan.
Geen voorlopige voorziening tot verwijdering cameratoezicht t.b.v. jaarwisseling problemen
Rechtbank
De voorlopige voorziening die inhoudt dat het besluit tot aanwijzing van een gebied in Veen waar rond de jaarwisseling cameratoezicht plaats zal vinden, is afgewezen. De reden daarvoor is dat de burgemeester vrije beleidsruimte heeft om te bepalen welke maatregelen hij neemt om de openbare orde te handhaven. Gelet op de problemen rond het kruispunt in Veen acht de voorzieningenrechter cameratoezicht niet onredelijk. Eventuele andere onzorgvuldigheden kunnen in de beslissing op bezwaar nog hersteld worden, zodat dit ook geen aanleiding geeft om de gevraagde voorlopige voorziening toe te kennen.
Woo-verzoek.
Rechtbank
“Verweerder geeft aan dat openbaarmaking van correspondentie van een specifieke medewerkster een directe inbreuk zou betekenen op de veilige werkomgeving die verweerder verplicht is te bieden aan zijn werknemers, in het bijzonder van die medewerkster. De rechtbank kan verweerder in zijn stelling ...
Geheimhouding
Gerechtshof
Geheimhouding
Weging vrijheid van meningsuiting en persoonlijke levenssfeer in het kader van een uitlatingsverbod. Algemeen uitlatingsverbod is onnodig en disproportioneel.
Gerechtshof
Arbeidsrecht. Kort geding. Geen post-contractuele zorgplicht van de werkgever voor gedrag van de ene ex-werknemer tegen de andere ex-werknemer. Artikel 10 EVRM, vrijheid van meningsuiting. Artikel 8 EVRM, respect voor het privéleven.
Publicatie bepaalde gegevens over COA-medewerkers van sociale media verwijderd worden
Rechtbank
Het COA vordert dat gedaagde de bestaande berichten over COA-medewerkers op sociale media verwijdert en verwijderd houdt, en dat hem wordt verboden in de toekomst vergelijkbare uitlatingen te doen. De voorzieningenrechter oordeelt dat de berichten onrechtmatig zijn en wijst deze vorderingen toe.
Schending eer en goede naam gevorderd van VvE bestuur.
Rechtbank
Vordering tot rectificatie door VvE bestuur. Na verwijzing naar dagvaardingsprocedure, is de kantonrechter niet bevoegd kennis te nemen van de vordering. Eiser heeft geen duidelijke aanwijzingen aangevoerd dat de vordering geen hogere waarde dan € 25.000,00 vertegenwoordigt.
Rectificatie in kader eer en goede naam afgewezen
Rechtbank
Vorderingen tot rectificatie uitlatingen en schorsing royement afgewezen.
Sluitstuk(?) van de zaak Autobedrijf met onvoldoende beveiliging e-mailaccount.
Gerechtshof
Hoger beroep. Eindarrest. Schade door betaling restant kooprijs auto aan hacker die zich toegang had verschaft tot e-mailaccount van het autobedrijf. Schending AVG, want niet bewezen dat e-mailaccount passend was beveiligd. Deels eigen schuld en met toepassing billijkheidscorrectie moet autobedrijf 50% van de materiële schade betalen. Art. 5, 24, 32 en 82 AVG, art. 6:101 BW
Deurbelcamera moet weg.
Rechtbank
Deurbelcamera moet verwijderd worden omdat deze o.a. achterkant van woning en achtertuin met uitrit in het zicht van deurbelcamara bevinden (r.o. 4.4). Rb. over privacy-mask en feit dat camera begint met opnemen op het moment dat iemand de voortuin van de eigenaar betreedt. “Verder weegt de voorz...
Guidance (65)
View all 65Woo-besluit: Onderzoek datalek AddComm
AP
Woo-verzoekenWoo-besluit: Onderzoek datalek AddComm
Artikelen
AP
Na een datalek melding op 1 sept 2021 is de Autoriteit Persoonsgegevens onderzoek gaan doen en heeft uiteindelijk 15 dec 2025 een boete opgelegd van EUR 175.000 aan de HAN. De overtredingen zijn (1) Onvoldoende maatregelen tegen SQL-injectie genomen ; (2) Het niet beperken van toegangsrechten van...
Woo-besluit: Datalekmeldingen specifieke gemeente
AP
Woo-besluit: Datalekmeldingen specifieke gemeente
Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
guidelines bepalen leidende toezichthouder
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)
Guidelines on the territorial scope of the GDPR
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG
guidelines voor de toepassing van artikel 60 AVG
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Version history
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...
Versiegeschiedenis
guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER
Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media
guidelines targeting gebruikers sociale media
Versiegeschiedenis
guidelines recht op inzage
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Enforcement (327)
View all 327ONVOLDRAAGLIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.
FREE: Insufficient technical and organisational measures to ensure information security
€15,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 15,000,000 on FREE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email.
FREE MOBILE: Insufficient technical and organisational measures to ensure information security
€27,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 27,000,000 on FREE MOBILE. The controller suffered a data breach due to insufficient technical and organisational measures. This was caused by using an inadequate authentication procedure to connect to their VPN for remote working. Additionally, the controller failed to adequately inform the affected data subjects due to necessary information being missing from the information email. Lastly, the controller failed to adequately sort data and retain persona
FREE MOBILE: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).
Arnhem and Nijmegen University of Applied Sciences: Insufficient technical and organisational measures to ensure information security
€175,000 fine - Dutch Supervisory Authority for Data Protection (AP)
The Dutch DPA has imposed a fine of EUR 175,000 on Arnhem and Nijmegen University of Applied Sciences. The controller suffered a data breach due to insufficient technical and organisational measures.
De Hogeschool Arnhem en Nijmegen: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
175.000 euro boete - Nederlandse Autoriteit Persoonsgegevens (AP).
De Nederlandse Autoriteit Persoonsgegevens heeft een boete van 175.000 euro opgelegd aan de Hogeschool Arnhem en Nijmegen. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen.
MOBIUS SOLUTIONS LTD: Niet-naleving van de algemene principes voor gegevensverwerking.
1.000.000 euro boete - Franse Autoriteit voor Gegevensbescherming (CNIL).
De Franse autoriteit voor gegevensbescherming (CNIL) heeft MOBIUS SOLUTIONS LTD. een boete van 1.000.000 euro opgelegd. Het bedrijf was voorheen verantwoordelijk voor de gegevensverwerking voor Deezer, dat in 2022 een datalek heeft ervaren. Het bedrijf is tekortgeschoten in de nakoming van haar verplichtingen als gegevensverwerker, wat heeft geleid tot een datalek.
MOBIUS SOLUTIONS LTD: Non-compliance with general data processing principles
€1,000,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 1,000,000 on MOBIUS SOLUTIONS LTD. The fined entity had been the former data processor for Deezer, which suffered a data breach in 2022. The processor failed to fulfil its duties as a data processor, which resulted in a data breach.
SPRINTER MEGACENTROS DEL DEPORTE, S.L.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
1.560.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SPRINTER MEGACENTROS DEL DEPORTE, S.L. een boete van 1.560.000 euro opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. Bovendien heeft de verantwoordelijke partij de betrokken personen die door de inbreuk zijn getroffen, niet voldoende geïnformeerd. De oorspronkelijke boete van 2.600.000 euro is verlaagd tot 1.560.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
STRATESYS TECHNOLOGY SOLUTIONS, S.L.: Insufficient technical and organisational measures to ensure information security
€60,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 60,000 on STRATESYS TECHNOLOGY SOLUTIONS, S.L. The controller failed to implement adequate technical and organisational measures, resulting in a data breach. The original fine of EUR 100,000 was reduced to EUR 60,000 due to immediate payment and admission of responsibility by the controller.
STRATESYS TECHNOLOGY SOLUTIONS, S.L.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 60.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft STRATESYS TECHNOLOGY SOLUTIONS, S.L. een boete van 60.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een datalek. De oorspronkelijke boete van 100.000 euro is verlaagd tot 60.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.
Powiatowego Inspektora Sanitarnego w Policach: Insufficient technical and organisational measures to ensure information security
€4,750 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 4750 on the Powiatowego Inspektora Sanitarnego w Policach. The controller failed to implement adequate technical and organisational measures to ensure data security, which resulted in a data breach due to an employee loosing an unencrypted usb flash drive with personal health data and data regarding administrative proceedings.
De districtsinspecteur voor volksgezondheid in Police: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.
SIA 'ZZ Dats': Insufficient technical and organisational measures to ensure information security
€300,000 fine - Data State Inspectorate (DSI)
The Latvian DPA has imposed a fine of EUR 300,000 on SIA 'ZZ Dats'. The entity that was fined was the data processor for almost all local governments in Latvia. It failed to implement adequate technical and organisational measures to ensure data security, resulting in a data breach. The entity appealed the decision to the Riga City Court.
SIA 'ZZ Dats': Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 300.000 euro - Inspectie gegevensbescherming (DSI).
De Letse Autoriteit Persoonsgegevens heeft een boete van 300.000 euro opgelegd aan het bedrijf SIA 'ZZ Dats'. Dit bedrijf was de verwerker van persoonsgegevens voor bijna alle lokale overheden in Letland. Het heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Het bedrijf heeft tegen deze beslissing beroep aangetekend bij het stadsbestuur van Riga.
Gynecological Center: Insufficient fulfilment of data breach notification obligations
€9,450 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 9,450 on a Gynecological Center. The controller sufferd a data breach and failed to report this to the DPO.
Gynaecologisch centrum: Onvoldoende naleving van de verplichtingen om datalekken te melden.
Boete van €9.450 - Pools Nationaal Bureau voor de Bescherming van Persoonsgegevens (UODO).
De Poolse autoriteit voor gegevensbescherming heeft een boete van 9.450 euro opgelegd aan een gynaecologisch centrum. Het bedrijf heeft een datalek gehad en heeft dit niet gemeld aan de functionaris voor gegevensbescherming.
Aktia Pankki Oyj: Insufficient technical and organisational measures to ensure information security
€865,000 fine - Deputy Data Protection Ombudsman
The Finish DPA has imposed a fine of EUR 865,000 on Aktia Pankki Oyj. The controller changed its strong authentication process in such a way that it no longer guaranteed adequate data security, resulting in a data breach.
Court Bailiff: Insufficient fulfilment of data breach notification obligations
€5,000 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 5,000 on a court bailiff. The controller forwarded a letter containing personal data to the wrong person, failing to inform either the affected data subjects or the DPA.
Aktia Pankki Oyj: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
865.000 euro boete - Waarnemend ombudsman gegevensbescherming.
De Finse toezichthouder DPA heeft Aktia Pankki Oyj een boete van 865.000 euro opgelegd. Het bedrijf heeft een wijziging doorgevoerd in zijn proces voor sterke authenticatie, waardoor de adequate gegevensbeveiliging niet langer werd gegarandeerd, wat resulteerde in een datalek.
News (63)
View all 63Seven Billion Reasons for Facebook to Abandon its Face Recognition Plans
The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the
Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027
Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of
Discord Voluntarily Pushes Mandatory Age Verification Despite Recent Data Breach
Discord has begun rolling out mandatory age verification and the internet is, understandably, freaking out. At EFF, we’ve been raising the alarm about age verification mandates for years. In December, we launched our Age Verification Resource Hub to push back against laws and platform policies that require users to hand over sensitive personal information just to access basic online services. At the time, age gates were largely enforced in polities where it was mandated by law. Now they’re landi
AP waarschuwt voor grote beveiligingsrisico’s bij AI-agents zoals OpenClaw
De Autoriteit Persoonsgegevens (AP) waarschuwt gebruikers en organisaties voor het gebruik van OpenClaw en soortgelijke experimentele systemen. De aanleiding is de hoge snelheid waarmee OpenClaw populair is geworden. Dit soort open source-systemen voldoen al snel niet aan basisveiligheidseisen. Het gebruik van dergelijke experimentele AI-agents brengt grote risico’s met zich mee, zoals datalekken en accountovernames.
AP: datalekken door misbruik persoonsgegevens bij gemeenten blijven vaak onder de radar
Gemeenten vinden het lastig om misbruik van persoonsgegevens door eigen ambtenaren te signaleren. Het gaat dan bijvoorbeeld om ambtenaren die onder druk informatie verstrekken aan criminelen. Dit soort datalekken komt meestal pas aan het licht als de Rijksrecherche of een inwoner de gemeente erop wijst. Gemeenten die het misbruik wel ontdekken, melden zo’n datalek regelmatig niet aan de Autoriteit Persoonsgegevens (AP), terwijl dat wel zou moeten.
💾 The Worst Data Breaches of 2025—And What You Can Do | EFFector 38.1
So many data breaches happen throughout the year that it can be pretty easy to gloss over not just if, but how many different breaches compromised your data. We're diving into these data breaches and more with our latest EFFector newsletter. Since 1990, EFFector has been your guide to understanding the intersection of technology, civil liberties, and the law. This latest issue tracks U.S. Immigration and Customs Enforcement's (ICE) surveillance spending spree, explains how hackers are
CNIL (France) - SAN-2025-014
=== Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected 21,574,775 users, of whom 9,849,354 were located in France. DEEZER has identified Mobius Solutions Ltd (the data processor) as the likely source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected approximately 46,900,000 users worldwide, of whom 21,574,775 were located in France.
Hof van Beroep van Braunschweig - Zaaknummer: 2 U 71/24
}}}} Het gerecht heeft €100 aan immateriële schade toegekend naar aanleiding van een grootschalig datalek dat een sociaal netwerk trof. Hoewel de schade als gering werd beschouwd, oordeelde het gerecht dat de ongeautoriseerde koppeling en openbare verspreiding van het telefoonnummer van de betrokkene met andere profielgegevens resulteerde in een verlies van controle over persoonlijke gegevens, wat op zichzelf al een vergoeding waardige immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend naar aanleiding van een grootschalig datalek.
CNIL (Frankrijk) - SAN-2025-014
=== Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers heeft getroffen, waarvan 9.849.354 gebruikers zich in Frankrijk bevonden. DEEZER heeft Mobius Solutions Ltd (de verwerker) geïdentificeerd als de waarschijnlijke bron van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat ongeveer 46.900.000 gebruikers wereldwijd heeft getroffen, waarvan 21.574.775 gebruikers zich in Frankrijk bevonden.
CNIL (France) - SAN-2025-014
=== Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting approximately 46,900,000 users worldwide, out if which 21,574,775 users located i
Court of Appeal of Braunschweig - Case Number: 2 U 71/24
}}}} The court has awarded €100 in non-pecuniary damages following a large-scale data breach that affected a social network. While the damage was considered minor, the court ruled that the unauthorized linking and public dissemination of the individual's phone number with other profile data resulted in a loss of control over personal data, which in itself constituted non-pecuniary damage worthy of compensation. The court has awarded €100 in non-pecuniary damages following a large-scale data breach.
CNIL (Frankrijk) - SAN-2025-014
}}}} De gegevensbeschermingsautoriteit heeft een bedrijf een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor dezelfde overtredingen: het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === DE
CNIL (France) - SAN-2025-014
}}}} The DPA fined a company €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary == === Facts ====== Facts === DE
CNIL (Frankrijk) - SAN-2025-014
Feiten === Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. DEEZER (de verantwoordelijke) heeft geïdentificeerd dat Mobius Solutions Ltd (de verwerker) waarschijnlijk de bron is van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. De verantwoorde...
CNIL (France) - SAN-2025-015
On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). The data breach was caused by a configuration error.
CNIL (France) - SAN-2025-014
Facts === Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. DEEZER (the data controller) has identified that Mobius Solutions Ltd (the data processor) is likely the source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. The responsible...
CNIL (France) - SAN-2025-015
The data protection authority (DPA) has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. The DPA has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. == Summary in English == == Summary in English == === Facts === A software company...
CNIL (France) - SAN-2025-014
The data protection authority has fined a company €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. The data protection authority has also fined a subcontractor €1 million for the same violations: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. == Summary in English == == Summary in English == === Facts ====== Facts ===
CNIL (France) - SAN-2025-015
On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 22 November 2022, the controller notified the data breach to the DPA. On 22 November 2022, the controller notified the data breach to the DPA. The breach was found to be due to a conf
CNIL (Frankrijk) - SAN-2025-015
Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. De datalek werd veroorzaakt door een configuratiefout.