Encryption
Encryption and cryptographic measures
encryption encrypt cryptography encrypted
Overview
17 sources · Feb 21, 2026Legal Framework
Article 32(1) GDPR mandates controllers and processors to implement appropriate technical measures to ensure a level of security commensurate with processing risks. Recital 83 clarifies that encryption functions as a fundamental risk-mitigation tool to maintain confidentiality and prevent infringement of the Regulation, requiring assessment of the state of the art, implementation costs, and the nature of personal data processed. Beyond the GDPR, Recital 69 of the AI Act identifies encryption as a core mechanism for achieving data protection by design and by default in artificial intelligence systems, alongside anonymisation and privacy-preserving technologies such as federated learning.
Key Developments
Enforcement patterns establish concrete thresholds for cryptographic compliance. The Spanish Data Protection Authority (AEPD) imposed a €10,000 fine on FREE TECHNOLOGIES EXCOM, S.L. for security failures related to password reset procedures, signaling that inadequate cryptographic protection of authentication mechanisms violates Article 32. The Slovenian Supervisory Authority (Informacijski pooblaščenec) fined a legal entity €1,300 after an employee stored personal data on a work laptop without security measures, establishing that unencrypted portable devices constitute a breach of technical security obligations. The Amsterdam Court of Appeal (Case 15/00036) upheld the lawfulness of automated license plate parking systems, implicitly recognizing that proper security measures, including encryption, can legitimize high-risk processing under data protection frameworks.
Practical Guidance
Encrypt data at rest and in transit: Implement strong cryptographic protocols for all personal data storage and transmission, particularly on portable devices such as laptops and removable media, to satisfy Article 32 GDPR and avoid penalties such as the Slovenian DPA’s €1,300 fine for unencrypted storage.
Secure authentication systems: Apply encryption and hashing to password databases and reset mechanisms, ensuring cryptographic protection of credentials aligns with the AEPD’s enforcement action against FREE TECHNOLOGIES EXCOM, S.L. for inadequate password security.
Integrate encryption into AI system design: When developing or deploying AI systems processing personal data, implement encryption as a default technical measure alongside anonymisation and federated learning approaches, as required by Recital 69 of the AI Act to achieve data protection by design.
Maintain encryption key management: Establish separate, secure storage and access controls for encryption keys distinct from encrypted data, documenting these measures as part of the technical and organizational security measures (TOMs) required under Article 32(1) GDPR for accountability purposes.
Laws (17)
Case Law (14)
Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn
Rechtbank
AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.
Marengo- proces. Vordering tot verwijdering van "Gedetineerden met een Vlucht- en/of Maatschappelijk risico" (GVM-lijst) en subsidiair het risicoprofiel te wijzigen van hoog naar verhoogd worden afgewezen.
Rechtbank
Kort geding. Vordering tot verwijdering van de GVM-lijst wordt afgewezen. Eiser heeft niet aannemelijk gemaakt dat de selectiefunctionaris in redelijkheid niet tot de beslissing heeft kunnen komen om zijn plaatsing op de lijst met risicoprofiel ‘verhoogd’ te handhaven.
Ontbreken voorafgaande rechterlijke machtiging verzoek aan Costa Rica levert inbreuk op, maar deze is niet onevenredig
Dutch Courts
Onderzoek Themis. Overwegingen met betrekking tot verweren inzake verkrijging en gebruik data cryptocommunicatie (PGP-Safe en Sky-ECC). Normschending datavergaring in Costa Rica zonder voorafgaande machtiging van de rechter-commissaris: Hof volstaat met constatering. Vrijspraak van witwassen. Veroordeling tot 13 jaar en 6 maanden gevangenisstraf wegens deelneming aan een criminele organisatie, medeplegen uitlokking moord, in-/uitvoer cocaïne en het voorbereiden daarvan.
Rechtmatigheid van door Frankrijk onderschepte en via JIT gedeelde cryptoberichten.
Gerechtshof
Rechtmatigheid en betrouwbaarheid van door Frankrijk onderschepte en via een Joint Investigation Team (JIT) gedeelde versleutelde berichten (cryptodata) en de mate waarin de Nederlandse rechter daaraan toetsing kan geven. Eén bericht wordt uitgesloten omdat Frankrijk al op 28 sept. 2020 had meege...
Toepassing interstatelijk vertrouwensbeginsel en aanwezigheid voldoende waarborgen gebruik cryptoberichten via JIT gedeeld
Gerechtshof
Leider criminele organisatie die zich bezighield met uitvoer cocaïne, invoer hasjiesj, voorhanden hebben ketamine, voorbereidingshandelingen synthetische drugsproductie, waaronder Crystal Meth, en gewoontewitwassen. Crypto-verweren m.b.t. (onrechtmatigheid interceptie, verwerking onderschepte data, betrouwbaarheid data) EncroChat, SkyEcc en ANØM verworpen. Interceptie buiten JIT, overdracht data binnen JIT. (Interstatelijk/internationaal) vertrouwensbeginsel van toepassing. Notificatieplicht artikel 31 EOB-richtlijn niet van toepassing. Naast waarborgen soevereiniteit in kennis gestelde staat moet beschermingsniveau geïntercepteerde gebruiker worden geëerbiedigd. Verdachte komt hierop in individuele strafzaak geen beroep toe. Geen schending EVRM en Handvest van de Grondrechten van de Europese Unie. Geen gebrek aan rechtsbescherming. Gelegenheid geweest voor toetsen crypto-data en geven van effectief commentaar door mogelijke inzage in Hansken. Geen vormverzuim. Geen bewijsuitsluiting. Identificatie gebruikers crypto-data. Hoewel geen beslag volgt bewezenverklaring cocaïne en ketamine op basis van crypto-data en overig bewijs. Vonnis vernietigd. Gevangenisstraf 12 jaren.
Geen vormverzuimen of andere onrechtmatigheden bij de verwerking van de EncroChat- en SkyECC-data
Rechtbank
Onderzoek Otus. Bewezenverklaring van het medeplegen van voorbereidingshandelingen voor de invoer van harddrugs, betrokkenheid bij een criminele organisatie die zich bezighield met grootschalige hennephandel, wapenbezit en drugsbezit. Verwerping van EncroChat- en SkyECC-verweren. Verdachte is veroordeeld tot een gevangenisstraf voor de duur van 54 maanden met aftrek van voorarrest
WAMCA-zaak. De Nederlandse Zorgautoriteit mocht in 2023 HoNOS+-gegevens over cliënten in de GGZ opvragen bij...
Rechtbank
WAMCA-zaak. De Nederlandse Zorgautoriteit mocht in 2023 HoNOS+-gegevens over cliënten in de GGZ opvragen bij zorgaanbieders en deze verwerken ten behoeve van het zorgprestatiemodel. De Rb overweegt dat het geen direct herleidbare gegevens zijn (r.o. 3.6) met de wat ongelukkige formulering : "De r...
Rechtbank Rotterdam
Rechtbank Rotterdam
Kort geding. Overtreden beperkende bedingen in arbeidsovereenkomst? Onrechtmatige concurrentie en onrechtmatig profiteren van wanprestatie werknemers? In deze zaak heeft eiseres conservatoir bewijsbeslag doen leggen. In conventie wordt o.a. kopie van, althans inzage in de beslagen bescheiden gevorderd. Gebrek aan spoedeisend belang. Materieel bezien heeft eiseres niet voldaan aan haar stel- en adstructieplicht. De vorderingen in conventie zijn bovendien te onbepaald, vaag en disproportioneel. In onvoorwaardelijke reconventie wordt het bewijsbeslag beperkt.
Toetsing kentekenparkeersysteem gemeente Den Haag aan 8 EVRM; geen schending
Hoge Raad
Kentekenparkeersysteem gemeente Den Haag is geen ongeoorloofde inmenging in het recht van belanghebbende op respect voor haar privéleven als bedoeld in artikel 8 EVRM.
Bedrijf 1 - Feitenvaststelling onderzoekswensen vertrouwensbeginsel
Rechtbank
Bedrijf 1 - Feitenvaststelling onderzoekswensen vertrouwensbeginsel
Onderwerp :
Raad van State
Bij besluit van 12 juli 2022 heeft de minister van Justitie en Veiligheid een verzoek van [wederpartij] om openbaarmaking van gegevens op grond van de Wet open overheid afgewezen. [wederpartij] was en is verdachte in een strafrechtelijk onderzoek met de codenaam ‘Peen’. [wederpartij] heeft op 15 april 2022 op grond van de Woo verzocht om openbaarmaking van documenten. [wederpartij] heeft twee lijsten, bestaande uit een deel 1 en een deel 2 overgelegd, waarop hij heeft gespecificeerd waarover hij allemaal informatie wil verkrijgen. Het gaat [wederpartij] om informatie die hij niet in zijn strafzaak kan krijgen. Voor zover relevant in deze procedure bij de voorzieningenrechter, heeft het openbaarmakingsverzoek betrekking op documenten die zien op de totstandkoming van en besluitvorming binnen de onderzoeken met de codenamen 13Yucca, 26Werl en het daaruit voortgevloeide onderzoek 26Argus. Uit deze onderzoeken zijn gegevens verkregen die zijn gebruikt in het onderzoek Peen, dat op [wederpartij] betrekking heeft. [wederpartij] heeft ook verzocht om openbaarmaking van documenten die zien op de totstandkoming en besluitvorming binnen het Joint Investigation Team.
Rechtbank Noord-Nederland
Rechtbank Noord-Nederland
Verdachte heeft zich schuldig gemaakt aan het medeplegen van een drugstransport. Er is methamfetamine (ice) getransporteerd. Door het handelen van verdachte wordt de handel in verdovende middelen in stand gehouden en kan hij mede verantwoordelijk worden gehouden voor de nadelige effecten die door de handel in en het gebruik van verdovende middelen worden veroorzaakt. Daarbij is van belang dat methamfetamine zeer verslavend is en schadelijk voor de volksgezondheid van de gebruikers van deze drugs. De handel in verdovende middelen heeft een bijzonder ontwrichtende invloed op de samenleving. Er gaat veel geld in om, waardoor de financiële belangen van daders vaak groot zijn. Om die belangen te beschermen wordt (extreem) geweld niet geschuwd. Van de georganiseerde drugshandel gaat bovendien in toenemende mate een ondermijnend en corrumperend effect uit. Deze vormen van corruptie tasten het onderlinge vertrouwen binnen de samenleving in hoge mate aan en ondermijnen daarmee onze democratische rechtsstaat. De rechtbank acht een gevangenisstraf voor de duur van 12 maanden passend en geboden.
VB v Natsionalna agentsia za prihodite
C-340/21 (VB v Natsionalna agentsia)
Data breach alone does not establish inadequate security measures. Burden on controller to prove adequacy.
Gerechtshof Amsterdam - persoonsgegevens - 15/00036
Gerechtshof Amsterdam - Belastingrecht
Parkeerbelasting: kentekenparkeren is niet in strijd met het EVRM dan wel met de Wet bescherming persoonsgegevens.
Guidance (26)
View all 26Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Richtsnoeren 01/2021
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications
Guidelines on processing of personal data through video devices
Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
guidelines certificering
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Version history
Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Guidelines 01/2022 on data subject rights - Right of access
Guidelines on data subject rights - Right of access
The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679
Guidelines on derogations of Article 49
Guidelines 07/2022 on certification as a tool for transfers
Guidelines on certification and identifying certification criteria
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Enforcement (62)
View all 62FREE TECHNOLOGIES EXCOM, S.L.: Insufficient technical and organisational measures to ensure information security
€10,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 10,000 on FREE TECHNOLOGIES EXCOM, S.L. The controller had reset user passwords and communicated the new passwords to the clients via email. However, the email was not encrypted and did not implement any other appropriate security measures.
Legal Entity: Insufficient technical and organisational measures to ensure information security
€1,300 fine - Slovenian Supervisory Authority (Informacijski pooblaščenec)
The Slovenian DPA has imposed a fine of EUR 1,300 on a legal entity. An employee of the controller stored personal data on her work laptop without securing it, for example by encrypting it, and took the laptop outside of the secured workspace, thereby allowing third parties to gain access to the data. The entity was fined EUR 1,000, and the person responsible was fined EUR 300.
Powiatowego Inspektora Sanitarnego w Policach: Insufficient technical and organisational measures to ensure information security
€4,750 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 4750 on the Powiatowego Inspektora Sanitarnego w Policach. The controller failed to implement adequate technical and organisational measures to ensure data security, which resulted in a data breach due to an employee loosing an unencrypted usb flash drive with personal health data and data regarding administrative proceedings.
De districtsinspecteur voor volksgezondheid in Police: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.
Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).
De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.
Eigenaar van een apotheek: Niet-naleving van algemene principes voor gegevensverwerking.
Boete van 6.600 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan de eigenaar van een apotheek. De verantwoordelijke partij heeft gegevens van bewoners van twee verzorgingstehuizen verwerkt zonder een voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet geïnformeerd over het feit dat hun gegevens werden verwerkt en dat deze gegevens van een derde partij afkomstig waren. Ten slotte heeft de verantwoordelijke partij geen gebruik gemaakt van versleutelde e-mailservices. De oorspronkelijke boete van 11.000 euro is verlaagd tot 6.600 euro vanwege de directe betaling en de erkenning van schuld.
Owner of a Pharmacy Office: Non-compliance with general data processing principles
€6,600 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine on the owner of a pharmacy office. The controller processed data of residents of two geriatric centers without a sufficient legal basis. The controller also failed to inform the data subjects about the fact, that the controller processed their data and that they obtained the data from a third party. Lastly, the controller failed to use encrypted email services. The original fine of EUR 11,000 was reduced to EUR 6,600 due to immediate payment and admission of re
Eigenaar van een apotheek: Overtreding van de algemene principes van gegevensverwerking.
Een boete van 6.600 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).
De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete opgelegd aan de eigenaar van een apotheek. De verantwoordelijke partij heeft gegevens van bewoners van verzorgingstehuizen verwerkt zonder een voldoende wettelijke basis. Bovendien heeft de verantwoordelijke partij de betrokkenen niet geïnformeerd over het feit dat hun gegevens werden verwerkt en dat de gegevens van een derde partij waren verkregen. Ten slotte heeft de verantwoordelijke partij geen gebruik gemaakt van versleutelde e-mailservices. Door erkenning en onmiddellijke betaling is de boete verlaagd naar 6.600 euro. De oorspronkelijke boete was...
Owner of a Pharmacy Office: Non-compliance with general data processing principles
€6,600 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine on the owner of a pharmacy office. The controller processed data of residents of geriatric centers without a sufficient legal basis. The controller also failed to inform the data subjects about the fact, that the controller processed their data and that they obtained the data from a third party. Lastly, the controller failed to use encrypted email services. Due to acknowledgment and immediate payment, the fine had been reduced to EUR 6,600. The original fine of
POLAND DPA: Insufficient technical and organisational measures to ensure information security
€4,700 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 4,700 on a subcontractor that was contracted to redesign the website of another company. This fine is linked to ETid-2491. Due to an error by an employee of the subcontractor, customer data (including first name, last name, email address, address, and encrypted passwords) was accidentally published on the website during the redesign process. The incident affected approximately 20,000 data subjects. During its investigation, the DPA found that the subcontr
POLAND DPA: Insufficient technical and organisational measures to ensure information security
€358,000 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 358,000 on a company. The company had inadvertently published customer data (first name, last name, email address, home address, encrypted passwords) in the process of redesigning its website. The incident affected approximately 20,000 data subjects. The DPA found that the controller had not sufficiently ensured the security of personal data during the process, for example, by conducting regular tests and risk assessments. Instead, it relied on informatio
Meta Platforms Ireland Limited: Insufficient technical and organisational measures to ensure information security
€91,000,000 fine - Data Protection Authority of Ireland
The Irish DPA (DPC) has imposed a fine of EUR 91 million on Meta Platforms Ireland Limited (MPIL). The DPC had initiated an investigation after MPIL reported that user passwords had been stored unencrypted on internal systems; however, external parties did not have access to these passwords. During the investigation, the DPC found that MPIL had not implemented appropriate technical and organizational measures to protect personal data, as the passwords should have been stored in encrypted form. T
Municipality of Vejen: Insufficient technical and organisational measures to ensure information security
€26,800 fine - Danish Data Protection Authority (Datatilsynet)
The Danish DPA has imposed a fine of EUR 26,800 on the municipality of Vejen. The municipality had suffered a security incident involving the theft of three unencrypted computers containing information about children. During its investigation, the DPA found that 300 other computers were not encrypted either.
Res-Gastro M. Gaweł Sp. k.: Insufficient technical and organisational measures to ensure information security
€56,000 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA (UODO) has imposed a fine of EUR 56,000 on Res-Gastro M. Gaweł Sp. k. The controller had reported a data breach involving the loss of an unencrypted USB stick by an employee. The data medium contained documents with data such as name, adress, gender, date of birth etc. of another employee. During its investigation, the DPA found that the controller had failed to implement appropriate technical and organizational measures to protect personal data in order to prevent such an inciden
Centrum Medyczne Ujastek Sp. z o.o.: Non-compliance with general data processing principles
€273,000 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed two fines on the medical facility “Centrum Medyczne Ujastek” totaling approximately EUR 273,000. The first fine of approximately EUR 163,000 was imposed for the unlawful installation of surveillance equipment in two neonatal rooms. These devices recorded images of newborns and their mothers during intimate acts such as breastfeeding or care without informing patients or staff, which constitutes a violation of data protection regulations. The second fine, of around EUR
Hotel: Insufficient legal basis for data processing
€15,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed of fine of EUR 15,000 to a hotel. The hotel was collecting personal data from guests in excess of what would have been necessary for the purpose of booking a hotel room and without a valid legal basis. Specifically, the hotel collected the CVC number of guests' credit cards and copies of their identification documents. The hotel also failed to provide clear and transparent information to guests on the collection and use of their data. The hotel claimed it coll
Company: Insufficient technical and organisational measures to ensure information security
€3,400 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 3,400 on a company. The controller had reported a data breach to the DPA. The company car of a senior employee had been broken into, resulting in the theft of a company laptop on which personal data of three persons were processed. During its investigation, the DPA determined that the controller had failed to implement appropriate technical and organizational measures to protect personal data. Among other things, the laptop had not been properly encrypted
Skåne region: Insufficient technical and organisational measures to ensure information security
€17,600 fine - Data Protection Authority of Sweden
The Swedish DPA has fined Skåne region EUR 17,600. An employee of the region had lost an unencrypted USB stick containing the social security numbers and sensitive personal data of nearly 2,000 people. The DPA found that the region had failed to implement adequate technical and organizational measures to protect personal data.
Disciplinary officer: Insufficient technical and organisational measures to ensure information security
€5,400 fine - Polish National Personal Data Protection Office (UODO)
The Polish DPA has imposed a fine of EUR 5,400 on a disciplinary officer of the Polish Bar Association after an unencrypted USB stick containing personal data was lost.
AFIANZA ASESORES S.L.: Non-compliance with general data processing principles
€145,000 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 145,000 on AFIANZA ASESORES S.L.. The controller had reported a data breach to the DPA, stating that a backpack containing a USB stick with personal data (including data relating to court proceedings) had been stolen. During its investigation, the DPA found that the USB stick was not encrypted and that the controller had failed to implement appropriate technical and organizational measures to protect personal data.
Partidul Uniunea Salvați România: Insufficient technical and organisational measures to ensure information security
€4,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)
The Romanian DPA has fined the Partidul Uniunea Salvați România party EUR 4,000. The controller had suffered a phishing attack in which the attackers gained unauthorized access to personal data such as first name, last name, email, phone number, as well as data on the political affiliation of the data subjects. The DPA found that the controller had failed to implement adequate technical and organizational measures such as data encryption to protect personal data, which facilitated such an attack
News (24)
View all 24🗣 Homeland Security Wants Names | EFFector 38.3
Criticize the government online? The Department of Homeland Security (DHS) might ask Google to cough up your name. By abusing an investigative tool called "administrative subpoenas," DHS has been demanding that tech companies hand over users' names, locations, and more. We're explaining how companies can stand up for users—and covering the latest news in the fight for privacy and free speech online—with our EFFector newsletter. For over 35 years, EFFector has been your guide to underst
Introducing Encrypt It Already
Today, we’re launching Encrypt It Already, our push to get companies to offer stronger privacy protections to our data and communications by implementing end-to-end encryption. If that name sounds a little familiar, it’s because this is a spiritual successor to our 2019 campaign, Fix It Already, a campaign where we pushed companies to fix longstanding issues. End-to-end encryption is the best way we have to protect our conversations and data. It ensures the company that provides a service cannot
Surveillance Self-Defense: 2025 Year in Review
Our Surveillance Self-Defense (SSD) guides, which provide practical advice and explainers for how to deal with government and corporate surveillance, had a big year. We published several large updates to existing guides and released three all new guides. And with frequent massive protests across the U.S., our guide to attending a protest remained one of the most popular guides of the year, so we made sure our translations were up to date. (Re)learn All You Need to Know About Encryption We starte
Surveillance en zelfverdediging: Terugblik op het jaar 2025.
Onze handleidingen over privacybescherming en zelfverdediging (Surveillance Self-Defense, SSD), die praktische tips en uitleg bieden over hoe u om moet gaan met overheids- en bedrijfsbewaking, hebben een succesvol jaar gehad. We hebben verschillende belangrijke updates gepubliceerd voor bestaande handleidingen en drie volledig nieuwe handleidingen uitgebracht. Gezien de frequente en grootschalige protesten in de Verenigde Staten, bleef onze handleiding over het deelnemen aan een protest een van de populairste van het jaar, dus we hebben ervoor gezorgd dat onze vertalingen up-to-date waren. (Her)leer alles wat u moet weten over encryptie. We zijn begonnen...
Surveillance and self-defense: A review of the year 2025.
Our guides on privacy protection and self-defense (Surveillance Self-Defense, SSD), which offer practical tips and explanations on how to deal with government and corporate surveillance, have had a successful year. We have published several important updates to existing guides and released three completely new guides. Given the frequent and large-scale protests in the United States, our guide on participating in a protest remained one of the most popular of the year, so we made sure our translations were up-to-date. (Re)learn everything you need to know about encryption. We've started...
From "chat monitoring" to solutions that truly protect children and their privacy.
This article highlights alternatives that are evidence-based and strengthen the safety of children, while simultaneously protecting encryption and fundamental rights. It advocates for better enforcement, more targeted tools, and meaningful support for services that focus on child protection, rather than broad surveillance measures. The article "Beyond 'Chat Control': Towards solutions that truly protect children and privacy" originally appeared on European Digital Rights (EDRi).
Van "chatcontrole" naar oplossingen die kinderen en hun privacy daadwerkelijk beschermen.
Dit artikel belicht alternatieven die gebaseerd zijn op bewijs en die de veiligheid van kinderen versterken, terwijl tegelijkertijd de versleuteling en fundamentele rechten worden beschermd. Het pleit voor een betere handhaving, gerichtere instrumenten en zinvolle ondersteuning voor diensten die zich richten op de bescherming van kinderen, in plaats van brede surveillancemaatregelen. Het artikel "Voorbij 'Chatcontrole': naar oplossingen die kinderen en privacy echt beschermen" verscheen oorspronkelijk op European Digital Rights (EDRi).
Moving past ‘Chat Control’ to solutions that truly protect kids and privacy
This article highlights evidence-based alternatives that strengthen child safety while safeguarding encryption and fundamental rights. It calls for better enforcement, more targeted tools, and meaningful support for child protection services rather than broad surveillance measures. The post Moving past ‘Chat Control’ to solutions that truly protect kids and privacy appeared first on European Digital Rights (EDRi).
Support the work of the EDPB as an expert.
Brussels, November 28th - The European Data Protection Board (EDPB) has published a call for expressions of interest for the creation of a new reserve pool for the "Support Pool of Experts" (SPE) program. The objective is to assemble a reserve pool of legal and technical experts. The legal expertise sought covers a wide range of areas, including data protection, policy monitoring, technology, cybersecurity, competition law, healthcare, online intermediary services, and content moderation. Regarding technical expertise, relevant areas include IT.
"Overijssel court rejects municipality's claim in cyber attack case"
> On December 1, 2020, a cyber attack took place at the municipality, encrypting and making inaccessible the municipality's network and backup systems and deleting many virtual servers. The municipality holds company responsible for this. The court rejected the municipality's claim. There is no evidence that company failed to meet contractual obligations ni... (Machine translated)
"De rechtbank van Overijssel wijst het beroep van de gemeente af in de zaak rond de cyberaanval."
Op 1 december 2020 vond er een cyberaanval plaats bij de gemeente, waarbij het netwerk en de back-upsystemen van de gemeente werden versleuteld en ontoegankelijk gemaakt, en veel virtuele servers werden verwijderd. De gemeente acht een bepaald bedrijf verantwoordelijk voor deze aanval. De rechtbank heeft de claim van de gemeente afgewezen. Er is geen bewijs dat het betreffende bedrijf zijn contractuele verplichtingen niet is nagekomen... (Machinevertaling)
Unprecedented appearance by European Commissioner for Home Affairs, innovating on quicksand, and the cabinet vs. online confidentiality
> Read through the most interesting developments at the intersection of human rights and technology from the Netherlands. This is the second update in this series.
Hunton geeft een samenvatting van twee artikelen uit de nieuwe SCC-richtlijnen: het onderdeel over "lokale wetgeving en toegang tot overheidsinstanties".
Volgens artikel 14 van de Standaard Contractuele Bepalingen (SCC's) voor gegevensuitwisseling, moet de partij die de gegevens importeert een risicoanalyse uitvoeren om te verifiëren of de wet- en regelgeving en praktijken van het ontvangende derde land de mogelijkheid van de gegevensimporteur om te voldoen aan de SCC's voor gegevensuitwisseling, kunnen belemmeren. Indien de risicoanalyse aantoont dat de SCC's voor gegevensuitwisseling op zichzelf niet voldoende zijn om een in wezen gelijkwaardig beschermingsniveau te garanderen voor de persoonsgegevens in het ontvangende derde land, moeten aanvullende waarborgen worden geïmplementeerd, zoals end-to-end-versleuteling.
Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures
The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.
De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.
De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.
UN report details threats to global digital privacy, human rights
> The United Nations Office for the High Commissioner of Human Rights issued a report detailing how “modern networked digital technologies” threaten individuals’ privacy. The report examined three areas: * spyware abuse by world governments, * the role of encryption in protecting human rights online and * the impacts of digital surveillance of public spaces. > According to the report, “urgent steps” are required to rein in the use of spyware “until adequate safeguards to protect human rights
Rapport van de VN beschrijft bedreigingen voor de digitale privacy en mensenrechten wereldwijd.
Het VN-kantoor voor de Hoge Commissaris voor de Rechten van de Mens heeft een rapport gepubliceerd waarin wordt beschreven hoe "moderne, onderling verbonden digitale technologieën" de privacy van individuen bedreigen. Het rapport onderzocht drie gebieden: * het misbruik van spionagesoftware door wereldregeringen, * de rol van encryptie bij de bescherming van mensenrechten online, en * de gevolgen van digitale surveillance in openbare ruimtes. Volgens het rapport zijn "dringende maatregelen" nodig om het gebruik van spionagesoftware te beperken "totdat er voldoende waarborgen zijn om mensenrechten te beschermen."
Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations
> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.
De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.
De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.
Hervorming van de privacywetgeving in het Verenigd Koninkrijk: Hoe de GDPR van het VK mogelijk zal veranderen.
De huidige versie van het wetsvoorstel streeft ernaar om de meeste belangrijke principes te behouden die ten grondslag liggen aan het Britse kader voor gegevensbescherming, terwijl tegelijkertijd bepaalde belangrijke bepalingen worden aangepast met betrekking tot onder meer verantwoordelijkheid, de wettelijke gronden voor gegevensverwerking, verzoeken van betrokkenen en cookies. Een [geconsolideerde versie met wijzigingen van de Britse GDPR, opgesteld door Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH)