DPIA

Recital 34

Article 35

Identificatienummers en lijsten van aangemelde instanties

Article 35

Identification numbers and lists of notified bodies

Recital 3

Recital 116

Recital 58

Recital 42

Article 27

Fundamental rights impact assessment for high-risk AI systems

Recital 96

Recital 77

Article 35

Inbreuken die een inbreuk in verband met persoonsgegevens inhouden

Recital 15

Article 35

Infringements entailing a personal data breach

Article 22

Op Unieniveau gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens

Recital 91

Recital 90

Recital 91

Recital 84

Recital 85

Recital 86

ECLI:NL:RBDHA:2026:2772 Rechtbank Den Haag , 13-02-2026 / NL25.20256

Rechtbank Den Haag

hersteluitspraak

ECLI:NL:RBDHA:2026:2640 Rechtbank Den Haag , 12-02-2026 / N25.20256

Rechtbank Den Haag

Asiel Nigeria. Problemen als gevolg van juju-initiatie onvoldoende zwaarwegend. Eiseres ten onrechte niet als alleenstaande vrouw aangemerkt. Onvoldoende gemotiveerd waarom eiseres bij terugkeer naar Nigeria geen reëel risico loopt op ernstige schade vanwege represailles van de mensenhandelaar. Onvoldoende gemotiveerd dat eiseres bij een terugkeer naar Nigeria niet te vrezen heeft dat haar dochters worden besneden. Beroep gegrond.

ECLI:NL:RBMNE:2026:429 Rechtbank Midden-Nederland , 21-01-2026 / C/16/597768 / HL RK 25-30

Rechtbank Midden-Nederland

AVG verzoek niet ontvankelijk. Veilig Thuis Gooi en Vechtstreek is een bestuursorgaan. Verzoek moet bij de bestuursrechter worden ingediend en niet bij de civiele rechter

EVR registratie mag blijven

Rechtbank

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Schending eer en goede naam gevorderd van VvE bestuur.

Rechtbank

Vordering tot rectificatie door VvE bestuur. Na verwijzing naar dagvaardingsprocedure, is de kantonrechter niet bevoegd kennis te nemen van de vordering. Eiser heeft geen duidelijke aanwijzingen aangevoerd dat de vordering geen hogere waarde dan € 25.000,00 vertegenwoordigt.

Pensioensberekeningen zijn geen persoonsgegevens

Rechtbank

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk

Rechtbank

Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?

Gerechtshof Amsterdam

Gerechtshof Amsterdam

Kort geding vanwege opzegging van bankrekening naar aanleiding van de ontvangst van fraudegelden op die rekening. Rekeninghouder heeft vervolgens in strijd met de waarheid over die transacties verklaard en ook anderszins geen opheldering verschaft over de herkomst en bestemming van de ontvangen gelden. Opname in het interne en het externe verwijzingsregister naar aanleiding van deze gang van zaken. Vordering tot herstel van bankrelatie en tot verwijdering uit het interne en het externe verwijzingsregister en (voorschot op) schadevergoeding door voorzieningenrechter afgewezen. Het hof bekrachtigt het vonnis van de voorzieningenrechter en wijst voorts de in hoger beroep gewijzigde eis af

Gerechtshof Den Haag

Gerechtshof Den Haag

Cyberkamer. Bankhelpdeskfraude. Medeplegen van oplichting en diefstal met valse sleutel, al dan niet in combinatie, alsmede witwassen. Partiële vrijspraken in gevallen waarin verdachte wel in de omgeving van woningen aangevers is geweest maar niet valt uit te sluiten dat een onbekend ander lid van het criminele samenwerkingsverband bij aangevers aan de deur is geweest, en in een geval waarin de camerabeelden niet toelaten vast te stellen dat verdachte geldopname heeft gedaan. Het hof acht het extra kwalijk dat juist oudere mensen doelbewust tot slachtoffer zijn gemaakt, vanwege hun grote kwetsbaarheid en afhankelijkheid. Feiten gepleegd tijdens proeftijd wegens medeplegen poging tot oplichting. Verbeurdverklaring personenauto en telefoons. Beslissingen over vorderingen benadeelde partijen. Oplegging schadevergoedingsmaatregel. Tenuitvoerlegging geldboete. Gevangenisstraf voor de duur van 32 maanden, met aftrek.

Rechtbank Noord-Holland

Rechtbank Noord-Holland

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Rechtbank Limburg

Rechtbank Limburg

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Gerechtshof Amsterdam

Gerechtshof Amsterdam

De rechtbank heeft de schuldsaneringsregeling van schuldenares beëindigd zonder schone lei omdat schuldenares de bewindvoerder niet heeft geïnformeerd over een bankrekening bij Revolut die op haar naam staat en waarop aanzienlijke bedragen zijn gestort. Het hoger beroep van schuldenares hiertegen dat in de kern erop neerkomt dat zij met de bedoelde bankrekening niets te maken heeft en dat deze bankrekening buiten haar medeweten is geopend door een derde, mogelijk haar ex-partner, en dus sprake is van identiteitsfraude, slaagt niet. Schuldenares heeft onvoldoende feiten en omstandigheden aangevoerd om te komen tot het oordeel dat zij alles binnen haar macht heeft gedaan om aannemelijk te maken dat zij niets met de bankrekening van doen heeft en dat zij dus niet betrokken is geweest bij het openen en het gebruik van de op haar naam gestelde bankrekening. Bij deze stand van zaken moet het ervoor worden gehouden dat schuldenares betrokkenheid heeft gehad bij de genoemde stortingen en daarmee heeft getracht gelden buiten het zicht van de bewindvoerder te houden. Volgt bekrachtiging van het vonnis.

Rechtbank Rotterdam

Rechtbank Rotterdam

Deze uitspraak gaat over de terugwijzing van een viertal zaken door de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling). In twee van de in de uitspraak van de Afdeling genoemde zaken had de rechtbank verzuimd uitspraak te doen en in twee andere zaken kwam de Afdeling tot een ander oordeel dan de rechtbank. Daarom doet de rechtbank deels alsnog en deels opnieuw uitspraak in vier zaken. Deze zaken hadden oorspronkelijk de zaaknummers ROT 18/6136, ROT 18/6137, ROT 19/3464 en ROT 20/1173 en hebben na terugwijzing respectievelijk de volgende zaaknummers gekregen: ROT 22/5719, ROT 22/5717, ROT 22/5718 en ROT 22/5720. De rechtbank komt in deze uitspraak tot het oordeel dat zij in één zaak onbevoegd is, omdat eiseres niet duidelijk heeft gemaakt op welk te nemen besluit het beroep wegens niet tijdig beslissen ziet. In een andere zaak is het beroep ongegrond, omdat het bezwaar terecht niet-ontvankelijk is verklaard bij gebrek aan een primair besluit. De derde en vierde zaak horen bij elkaar. Volgens de rechtbank moet het beroep in de derde zaak worden geconverteerd in een beroep wegens niet tijdig beslissen en vormt de beslissing van het college van 6 augustus 2019 (de vervolmaking van) de beslissing op bezwaar. Dit besluit kan standhouden en het beroep wegens niet tijdig beslissen is niet-ontvankelijk wegens het ontvallen van procesbelang. Wel krijgt eiseres een schadevergoeding wegens overschrijding van de redelijke termijn door de rechtbank. Verder bevat de uitspraak beslissingen omtrent terugstorting en vergoeding van griffierecht.

Rechtbank Amsterdam

Rechtbank Amsterdam

Opzegging bankrelatie. Bank moet bankrelatie voortzetten. Geen opzegplicht op grond van artikel 5 lid 3 Wwft en gebruik contractuele opzeggingsbevoegdheid in dit geval naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.

ECLI:NL:GHAMS:2025:3008 Gerechtshof Amsterdam , 11-11-2025 / 200.346.007/01

Gerechtshof Amsterdam

Opzegging van bankrelatie wegens mogelijke schending van sanctieregelgeving in relatie tot Rusland en vermoeden van (poging tot) valsheid in geschrift. Geen herstel van bankrelatie. Geen schrapping van IVR- en EVR-registraties.

Rechtbank Rotterdam

Rechtbank Rotterdam

Jeugdzaak. De verdachte heeft zich op vijftienjarige leeftijd schuldig gemaakt aan het veroorzaken van twee explosies. Oplegging van een jeugddetentie voor de duur van 180 dagen, waarvan 111 dagen voorwaardelijk met een proeftijd van 2 jaren. Ook oplegging van een werkstraf van 60 uren.

Oogmerk van identiteitsfraude bij verkrijgen persoonsgegevens van vele anderen.

Gerechtshof

Cyberkamer. De verdachte heeft gedurende een periode van meer dan twee jaar zogeheten bots gekocht van Genesis Market. Daardoor kon hij beschikken over inloggegevens van andere personen, zoals gebruikersnamen en wachtwoorden. Deze inloggegevens heeft verdachte gebruikt door bij verschillende webshops op de accounts van anderen in te loggen en producten te bestellen onder hun naam en op hun kosten. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte ten tijde van de verwerving en het voorhanden krijgen van deze gegevens redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen, (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr). Gelet op onder meer het aantal bots en slachtoffers, het leed en de onzekerheid die de verdachte met zijn handelen heeft veroorzaakt bij de slachtoffers die bekend zijn geraakt met het feit dat hun (inlog-)gegevens in verkeerde handen waren gevallen en het strafblad van de verdachte, is het hof van oordeel dat een hogere straf dient te worden opgelegd dan de rechtbank had opgelegd. Toewijzing van vordering benadeelde partij tot vergoeding van immateriële schade (art. 6:106 BW) als gevolg van identiteitsfraude. Teruggave van laptops nu enige relatie tot de bewezenverklaarde strafbare feiten niet vastgesteld kan worden.

Weg naar rechter staat nog niet open aangezien betrokkene zich niet eerst tot verwerkingsverantwoordelijke heeft gewend.

Rechtbank

Beschikking. Afwijzing verzoek verwijderen BKR-registratie. Artikel 79 AVG en 35 UAVG. Verzoeker niet-ontvankelijk.

Gerechtshof

Gerechtshof

Cyberkamer. Medeplegen van misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 17 personen bankrekeningen te openen en met gebruik daarvan geld wit te wassen (art. 231b Sr en art. 420bis/420ter Sr). Computervredebreuk door zich steeds voor te doen als rechtmatige rekeninghouder (art. 138ab Sr). De rol van de verdachte betrof voornamelijk het werven van de katvangers en al hetgeen verder samenhing met het regelen en beheer van rekeningen waarop van fraude afkomstig geld kon worden gestort. Verdachte moest er rekening mee houden dat hij binnen een professioneel verband opereerde. Tegen die achtergrond en gelet op de impact die online fraude en de daarmee samenhangende criminaliteit heeft op de slachtoffers daarvan en de samenleving als geheel dient streng te worden opgetreden tegen diegenen die zich daarmee bezighouden. Geen aansluiting bij LOVS oriëntatiepunten voor fraude. Oplegging gevangenisstraf van 28 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 2 jaar. Reclasseringstoezicht. Gedeeltelijke toewijzing vordering bank tot vergoeding van onderzoekskosten. Teruggave van telefoons die niet ‘gekraakt’ konden worden nu enige relatie is tot het bewezenverklaarde strafbare feit niet vastgesteld kan worden

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Guidelines 01/2021

Guidelines on Examples regarding Personal Data Breach Notification

Versiegeschiedenis

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679

Guidelines on relevant and reasoned objection under Regulation 2016/679

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Richtsnoeren 01/2021

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Company: Non-compliance with general data processing principles

€3,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as

Comune di Nave: Insufficient legal basis for data processing

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on the Commune di Nave. The controller has installed an automatic licence plate recognition system which processes data on when a car passes a specific control point. This data is stored for seven days, after which it is automatically deleted. The system is also connected to the Motor Vehicle Registry and automatically verifies the passing vehicle's insurance coverage, periodic inspection and environmental class. This data processing occurred witho

Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.

Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).

Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.

Gemeente Orte: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Orte een boete van 6.000 euro opgelegd. De gemeente heeft videobewaking geïnstalleerd op haar grondgebied op een manier die niet in overeenstemming is met de basisprincipes van gegevensverwerking.

Aena, S.M.E., S.A.: Non-compliance with general data processing principles

€10,043,002 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,043,002 on Aena, S.M.E., S.A. The controller conducted a pilot project involving multiple airports, including the use of facial recognition systems. However, the controller failed to carry out a data protection impact assessment prior to doing so.

Aena, een klein en middelgroot bedrijf (KMO), S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

10.043.002 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.043.002 euro opgelegd aan Aena, S.M.E., S.A. De verantwoordelijke partij voerde een proefproject uit dat meerdere luchthavens omvatte, waaronder het gebruik van gezichtsherkenningssystemen. Echter, de verantwoordelijke partij heeft geen beoordeling van de impact op de privacy uitgevoerd voordat dit werd gedaan.

Gemeente Curtarolo: Onvoldoende wettelijke basis voor de verwerking van gegevens.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Curtarolo een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft beelden van bewakingscamera's gebruikt in een tuchtprocedure tegen een werknemer, en heeft ook andere werknemers opgedragen om deze werknemer te bespioneren, foto's en video's van hem te maken.

Geen zorginstelling: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van €7.700 - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een boete van 7.700 euro opgelegd aan een particuliere zorginstelling. Deze instelling bood huisbezoeken van artsen aan als onderdeel van haar diensten. Om deze bezoeken te realiseren, gebruikten de artsen hun privéauto's en vervoerden patiëntendossiers in deze auto's. Echter, bij de risicoanalyse heeft de verantwoordelijke partij de mogelijkheid van autodiefstal niet meegenomen, wat resulteerde in de oplegging van een boete.

SIDECU, S.A.: Non-compliance with general data processing principles

€96,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 96,000 on SIDECU, S.A. The controller introduced facial recognistion system as the only access method to their facilities, without offering alternative access methodes. The controller did not have a sufficient legal basis for processing the data, failed to adequately inform the data subjects about the processing, and failed to carry out a data protection impact assessment. The original fine of EUR 160,000 was reduced to EUR 96,000 due to immediate payment an

Departement of Social Security: Insufficient legal basis for data processing

€550,000 fine - Data Protection Authority of Ireland

The Irish DPA imposed a fine of EUR 550,000 on the Departement of Social Security. The controller uses the so called SAFE 2 registration process for anyone applying for a Public Services Card. The SAFE 2 registration, which is mandatory, processes biometric data without a sufficient legal basis. The controller also failed to adequately inform data subjects in regards to the processing and to conduct a data protection impact assessment.

Regio Lombardije: Onvoldoende juridische basis voor gegevensverwerking.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de regio Lombardije een boete van 50.000 euro opgelegd. De verantwoordelijke partij heeft de internetactiviteiten van haar werknemers, inclusief privéactiviteiten, gevolgd zonder een voldoende juridische basis.

ULPIA TRAJANA ALAMEDA S.L.: Non-compliance with general data processing principles

€1,500 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on ULPIA TRAJANA ALAMEDA S.L. During the booking process, the controller processed data that was unnecessary for the purpose, infringing on the principle of data minimization. The data processed also included biometric data (Art. 9 GDPR) for which the controller lacked a sufficient legal basis. The original fine of EUR 2,500 was reduced to EUR 1,500 due to immediate payment and admission of responsibility by the controller.

ULPIA TRAJANA ALAMEDA S.L.: Niet-naleving van de algemene principes voor gegevensverwerking.

1.500 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan ULPIA TRAJANA ALAMEDA S.L. Tijdens het boekingsproces heeft de verantwoordelijke partij gegevens verwerkt die niet noodzakelijk waren voor het doel, wat een schending is van het beginsel van dataminimalisatie. De verwerkte gegevens omvatten ook biometrische gegevens (artikel 9 AVG), waarvoor de verantwoordelijke partij geen voldoende juridische basis had. De oorspronkelijke boete van 2.500 euro is verlaagd tot 1.500 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Uitvaartonderneming: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van €7.800 - van het Poolse Nationaal Bureau voor de Bescherming van Persoonlijke Gegevens (UODO).

De Poolse autoriteit voor gegevensbescherming heeft een uitvaartonderneming een boete van 7.800 euro opgelegd. De uitvaartonderneming heeft onvoldoende technische en organisatorische maatregelen genomen om een datalek te voorkomen. De onderneming had documenten met persoonlijke gegevens opgeslagen in onvergrendelde dozen. Bovendien heeft het bedrijf die dozen vervoerd in een open vrachtwagen, waardoor 10 dozen uit de vrachtwagen vielen en op de berm van een weg terechtkwamen. De dozen werden daar door de politie gevonden. De chauffeur merkte het verlies niet op, omdat...

Real estate company: Non-compliance with general data processing principles

€40,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 40,000 on a real estate company for inappropriately monitoring its employees. A software program recorded “periods of inactivity” and regularly took screenshots of the computers of employees working from home. The program automatically detected when an employee made no keyboard or mouse movements for a period of 3 to 15 minutes. In addition, the employees in the offices were continuously filmed. These measures were deemed disproportionate and were considered

LIGA NACIONAL DE FÚTBOL PROFESIONAL: Insufficient technical and organisational measures to ensure information security

€1,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1 million on LIGA NACIONAL DE FÚTBOL PROFESIONAL. The controller had introduced access controls for visitors to football stadiums using biometric systems without first carrying out the necessary data protection impact assessment.

Company: Insufficient technical and organisational measures to ensure information security

€135,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA fined a company in the banking sector EUR 135,600. The DPA inspected the fined company and found several violations of the GDPR. First, the company failed to ensure that the DPO could report directly to top management and that the DPO did not receive instructions on the performance of the tasks given to the DPO. Second, the company failed to include profiling in the list of data processing operations. Third, the company failed to conduct a privacy impact assessment regarding the u

Hospital: Insufficient technical and organisational measures to ensure information security

€200,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has fined a hospital EUR 200,000. The hospital had suffered a ransomware attack through a vulnerability in the server, which paralyzed parts of the computer system and affected about 300,000 individuals. During its investigation, the DPA found that the hospital had failed to carry out a data protection impact assessment. In addition, the DPA found that it did not have an adequate information security policy in place and failed to implement appropriate technical and organizational

CARTONAJES BAÑERES, S.A: Insufficient technical and organisational measures to ensure information security

€220,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined CARTONAJES BAÑERES, S.A. EUR 220,000. During its investigation, the DPA found that the controller had failed to grant a former employee access to their personal data. The DPA also found that the controller had failed to carry out a data protection impact assessment regarding the operation of a biometric facial recognition system installed to track working hours.

Olimpia S.r.l.: Non-compliance with general data processing principles

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Olimpia S.r.l.. During its investigation, the DPA found that data subjects had received advertising calls on behalf of the controller without their consent or despite being entered in objection registers. The DPA concluded that the controller had failed to take appropriate technical and organisational measures to ensure that the processing of data subjects' personal is carried out in accordance with data protection regulations throughout the s

Terrible storms turn Spain into electricity price utopia

Renewables-centric Iberian Peninsula reaps record-low prices – but pays price for lack of EU cables

Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027

Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of

Statutory Damages: The Fuel of Copyright-based Censorship

We're taking part in Copyright Week, a series of actions and discussions supporting key principles that should guide copyright policy. Every day this week, various groups are taking on different elements of copyright law and policy, and addressing what's at stake, and what we need to do to make sure that copyright promotes creativity and innovation. Imagine every post online came with a bounty of up to $150,000 paid to anyone who finds it violates opaque government rules—all out of the

Fiche.

Government.

"The government recognizes the importance of protecting fundamental rights and appreciates that the Commission also gives attention to this issue. Nevertheless, the government has reservations about the proposal, given that the regulation provides for the large-scale availability of sensitive..."

Fiche

Government

“Het kabinet onderschrijft het belang van de bescherming van grondrechten en waardeert dat de Commissie hieraan eveneens aandacht schenkt. Niettemin plaatst het kabinet kanttekeningen bij het voorstel, gezien het feit dat de regeling voorziet in een grootschalige beschikbaarstelling van gevoelige...

Trainingen in operationele veiligheid (OPSEC): Terugblik op 2025.

Het is geen geheim dat digitale surveillance en andere vormen van onderdrukking met behulp van technologie ernstige gevaren vormen voor mensen die actief zijn in bevrijdingsbewegingen. De toenemende trends van technologisch gedreven autoritarisme en hyper-surveillance zijn terugkerende thema's in de verschillende risicobeoordelingen die we uitvoeren. Het project "Surveillance Self-Defense" van de EFF is een belangrijk tegengif voor deze bedreigingen, maar het is niet alles wat we doen om anderen te helpen bij het aanpakken van deze problemen. Ons team ontvangt regelmatig vragen en verzoeken voor beveiligingstrainingen en presentaties.

Migrant smuggling laws: European Commission found in breach of transparency rules

The European Ombudsman has found that the Commission disregarded important transparency rules while preparing the Europol Regulation, which is a part of the legislation to "counter migrant smuggling". The inquiry concluded that the Commission didn't provide enough evidence to justify the claims of "urgency" to bypass their own 'Better Regulation' rules, and skipping public consultations, thorough impact assessments and evidence gathering. The post Migrant smuggling laws: European Commission foun

Laws regarding the smuggling of migrants: The European Commission has violated rules regarding transparency.

The European Ombudsman has found that the European Commission disregarded important transparency laws during the preparation of the Europol regulation, which is part of the legislation aimed at combating "human smuggling of migrants." The investigation concluded that the Commission did not provide sufficient evidence to justify its claims of "urgency," thereby circumventing its own rules for "better regulation," as well as public consultations, thorough impact assessments, and the gathering of evidence. Article: Legislation against human smuggling of migrants: The European Commission...

ICO: How can Privacy Enhancing Technologies help with data protection compliance?

> How can PETs help with data protection compliance? At a glance • PETs can help you demonstrate a ‘data protection by design and by default’ approach to your processing. • PETs can help you to comply with the data minimisation principle by ensuring you only process the data you need for your purposes, and provide an appropriate level of security for your processing. • You can use PETs to give access to datasets which would otherwise be too sensitive to share, while ensuring individuals’ data is

ICO: Hoe kunnen technologieën die de privacy beschermen bijdragen aan de naleving van de wetgeving inzake gegevensbescherming?

Hoe kunnen Privacy-Enhancing Technologies (PET's) bijdragen aan de naleving van de privacywetgeving? In het kort: • PET's kunnen u helpen om een benadering te demonstreren waarbij privacybescherming "van nature" en "als standaard" wordt ingebouwd in uw processen. • PET's kunnen u helpen om te voldoen aan het principe van dataminimalisatie, door ervoor te zorgen dat u alleen de gegevens verwerkt die u nodig heeft voor uw doeleinden, en dat u een passend beveiligingsniveau biedt voor uw verwerking. • U kunt PET's gebruiken om toegang te geven tot datasets die anders te gevoelig zouden zijn om te delen, terwijl u tegelijkertijd ervoor zorgt dat de persoonlijke gegevens van individuen beschermd blijven.

ICO: How can privacy-enhancing technologies contribute to compliance with data protection legislation?

How can Privacy-Enhancing Technologies (PETs) contribute to compliance with privacy regulations? In short: • PETs can help you demonstrate an approach where privacy protection is "naturally" and "by default" integrated into your processes. • PETs can help you comply with the principle of data minimization by ensuring that you only process the data you need for your purposes, and that you provide an appropriate level of security for your processing. • You can use PETs to provide access to datasets that would otherwise be too sensitive to share, while simultaneously ensuring that the personal data of individuals remains protected.

Help organizations comply with GDPR regulations: what templates would be useful to you? Please provide your feedback.

Brussels, November 5th - The European Data Protection Board (EDPB) is taking a significant step to help organizations comply with the General Data Protection Regulation (GDPR) by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Declaration on greater clarity, support, and engagement, aims to provide practical tools that organizations can easily implement to fulfill their data protection obligations. To ensure that these templates meet the needs of organizations, the EDPB...

Help make GDPR compliance easy for organisations: what templates would be helpful for you? Provide your feedback

Brussels, 5 November - The European Data Protection Board (EDPB) is taking an important step towards facilitating GDPR compliance for organisations by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Statement on enhanced clarity, support, and engagement, aims to provide practical tools that organisations can readily implement to meet their data protection obligations. To ensure these templates address the needs of organisations, the EDPB has launc

Help organisaties om te voldoen aan de GDPR-regelgeving: welke templates zouden voor u nuttig zijn? Geef uw feedback.

Brussel, 5 november - Het Europees Comité voor gegevensbescherming (EDPB) neemt een belangrijke stap om organisaties te helpen bij het naleven van de AVG (Algemene Verordening Gegevensbescherming) door een reeks kant-en-klare templates te ontwikkelen. Dit initiatief, aangekondigd na de verklaring van Helsinki over meer duidelijkheid, ondersteuning en betrokkenheid, heeft als doel praktische hulpmiddelen te bieden die organisaties gemakkelijk kunnen implementeren om aan hun verplichtingen op het gebied van gegevensbescherming te voldoen. Om ervoor te zorgen dat deze templates aan de behoeften van organisaties voldoen, heeft het EDPB...

Kinderrechten Impact Assessment op Snapchat

Government

Kinderrechten Impact Assessment op Snapchat

Kinderrechten Impact Assessment op TikTok

Government

Kinderrechten Impact Assessment op TikTok

Kinderrechten Impact Assessment op Instagram

Government

Kinderrechten Impact Assessment op Instagram

The competitive compass.

News from the European Union.

As previously announced in the "Competitive Compass" (page 12), it appears that, similar to another section of Omnibus III, the rules of the GDPR (General Data Protection Regulation) for SMEs (small and medium-sized enterprises) may be simplified. There seems to be a focus on Article 30 of the GDPR (the registration requirement), and according to reports in Politico, there may also be changes to...

het Competitive Compass

EU News

Zoals al aangekondigd in het Competitive Compass (blz. 12), lijkt het nu op dat onderdeel van Omnibus III, ook de AVG-regels voor het MKB wat versimpeld zullen worden. Er lijkt te worden gekeken naar artikel 30 AVG (de registerverplichting), en in Politico wordt bericht dat er wellicht ook gekeke...

De competitieve kompas.

Nieuws uit de Europese Unie.

Zoals eerder aangekondigd in het "Competitive Compass" (pagina 12), lijkt het erop dat, net als in een ander onderdeel van Omnibus III, de regels van de AVG (Algemene Verordening Gegevensbescherming) voor het MKB (middelgrote en kleine bedrijven) mogelijk vereenvoudigd zullen worden. Er lijkt gekeken te worden naar artikel 30 van de AVG (de registratieplicht), en volgens berichten in Politico zou er mogelijk ook...