AI Enforcement Actions

Recital 168

Article 32

Toezichts- en handhavingsmaatregelen met betrekking tot essentiële entiteiten

Article 33

Toezichts- en handhavingsmaatregelen met betrekking tot belangrijke entiteiten

Recital 126

Recital 5

Recital 113

Recital 126

Recital 127

Recital 133

Recital 135

Recital 134

Recital 128

Recital 138

Recital 140

Recital 132

Recital 85

Recital 128

Recital 85

Recital 114

Recital 123

ECLI:NL:RBLIM:2026:1287 Rechtbank Limburg , 28-01-2026 / C/03/335020 / HA ZA 24-445

Rechtbank Limburg

Incidenteel vonnis in kartelzaak (follow-on-procedure) omtrent de volgende geschilpunten: 1) moet de zaak worden aangehouden totdat het College van Beroep voor het bedrijfsleven een eindoordeel heeft gegeven in een zaak tussen de ACM en de beweerde overtreders (gedaagden in deze zaak) van een kartelverbod; 2) het verzoek om inzage van eiseres in stukken van gedaagden; en 3) is eiseres (een Stichting waaraan beweerde slachtoffers van een kartel hun beweerde vorderingen op gedaagden stil hebben gecedeerd) bevoegd de haar stil gecedeerde vorderingen op gedaagden te innen, voordat de cessie aan gedaagden is medegedeeld en welke vereisten moeten in het kader van een stille cessie aan de mededeling worden gesteld?

Woo zaak. Art. 5.1(7) Woo vereist geen belangenafweging eerbiediging privéleven maar dat levert geen schending op art. 8 EVRM.

Raad van State

Bij besluiten van 4 mei 2023 heeft de minister van Landbouw, Visserij, Voedselzekerheid en Natuur naar aanleiding van een verzoek van journalisten van NRC, Follow the Money en Omroep Gelderland besloten tot openbaarmaking van informatie over - kortgezegd - boerenbedrijven. De journalisten hebben in drie afzonderlijke verzoeken uit december 2022 en januari 2023 de minister - verkort weergegeven - verzocht om openbaarmaking van gegevens uit de Basiskaart Agrarische Bedrijfssituatie 2021, de Gecombineerde Opgaven van alle agrarische ondernemingen in Nederland op 1 april 2010, 2015, 2020, 2021 en 2022 en een overzicht van alle agrarische ondernemingen in de provincie Gelderland waar onder andere rundvee, varkens, kippen, geiten en schapen worden gehouden. FDF en anderen, NMV, LTO en een aantal individuele veehouders hebben bezwaar gemaakt tegen de besluiten van de minister. Volgens hen mag de minister de gegevens niet zomaar openbaar maken, omdat de gegevens geen emissiegegevens zijn. Er had daarom een belangenafweging moeten plaatsvinden.

Openbaarmaking handhavingsbesluit waarnaar wordt verwezen in een uitspraak van de rechtbank Den Haag

Rechtbank

Openbaarmaking handhavingsbesluit waarnaar wordt verwezen in een uitspraak van de rechtbank Den Haag (ECLI:NL:RBDHA:2024:17249).

Brief aan verkeerde persoon gestuurd aan eiser, maar dat levert geen onrechtmatige bestuurswijze van gemeente op.

Rechtbank

Schadevordering tegen gemeente. Gemeente hanteert volgens eiser een onrechtmatige bestuurspraktijk, door jarenlang handhavend op te treden tegen overtredingen die eiser volgens de gemeente beging. Gemeente had volgens eiser eerder en geclusterd moeten handhaven, omdat zij al eerder op de hoogte was van die overtredingen. Formele rechtskracht. Onvoldoende onderbouwd dat gemeente onzorgvuldig en daarmee onrechtmatig jegens eiser heeft gehandeld.

Woo-zaak. Weigering delen namen ACM-medewerkers die geen publieke functies bekleden gerechtvaardigd.

Raad van State

Bij besluiten van 17 mei en 2 juni 2023 heeft de Autoriteit Consument en Markt beslist op een verzoek van de vennootschappen om verstrekking van informatie op grond van de Wet open overheid (hierna: de Woo). Bij brief van 30 januari 2023 hebben de vennootschappen aan de ACM verzocht om, voor zover hier van belang, verstrekking op grond van artikel 5.5 van de Woo van informatie over publicaties en presentaties van medewerkers van de ACM over een bestuurlijke boetezaak tussen de ACM en de vennootschappen.

Beperkte kennisname persoonsgegevens medewerkers ACM gerechtvaardigd

CBb

Beslissing op grond van artikel 8:29 van de Algemene wet bestuursrecht.

College van Beroep voor het bedrijfsleven

College van Beroep voor het bedrijfsleven

Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). DNB heeft een boete opgelegd aan een trustkantoor wegens het niet melden van een ongebruikelijke transactie. Het College verklaart het hoger beroep dat het trustkantoor tegen de boete heeft ingesteld ongegrond. Het College is van oordeel dat het trustkantoor op het moment van de transactie niet over voldoende informatie beschikte om aan te nemen dat het om een gebruikelijke transactie ging die zij niet hoefde te melden. Het hoger beroep van DNB tegen de door de rechtbank toegepaste matiging wegens overschrijding van de redelijke termijn slaagt. Het College vernietigt de uitspraak van de rechtbank voor zover de rechtbank de boete verder heeft gematigd dan € 72.500,-. Het hoger beroep van het trustkantoor tegen de publicatiebesluiten slaagt ook. Het College oordeelt dat DNB opnieuw moet beslissen op de bezwaren die het trustkantoor en de moedermaatschappij tegen de publicatiebesluiten hadden gemaakt.

FSV Inzage. Interne adviezen, juridische analyses die zijn bedoeld om intern te delen, notities die persoonlijke gedachten van medewerkers kunnen persoonsgegevens bevatten

Rechtbank

Verzoek om inzage op grond van artikel 15 AVG in persoonsgegevens op de FSV-lijst.

Woo-verzoek. Het gaat niet om strafrechtelijke persoonsgegevens, dus Woo blijft van toepassing

Rechtbank

Wet open overheid. Verzoek om openbaarmaking van toezichts- en handhavingsdocumenten. De bedrijven waarover de gevraagde informatie gaat verzetten zich tegen openbaarmaking op diverse gronden. Ook verzoeken zij om een voorlopige voorziening zodat de informatie tijdens de beroepsprocedure bij de rechtbank niet openbaar wordt gemaakt. De voorzieningenrechter oordeelt dat de door de bedrijven aangevoerde gronden tegen openbaarmaking niet slagen. Het beroep is daarom ongegrond. Omdat het beroep ongegrond is, is er geen reden om een voorlopige voorziening te treffen.

Wob-zaak uit 2019 alsnog gepubliceerd. Openbaarmaking boetebesluit kanspelautoriteit

Rechtbank

Zaak uit 2019 wordt nu alsnog gepubliceerd. Openbaarmaking van boetebesluit kansspelautoriteit. Beroep op AVG tegen openbaarmaking slaagt niet : "nu de gegevens waarop verzoekers doelen (gegevens die te herleiden zijn naar de directeur van [verzoekster 1]) openbaar gemaakt worden met een wettelij...

Internationale doorgifte naar Turkije?

Rechtbank

MK. Intrekking en terugvordering AIO-aanvulling. Schending inlichtingenplicht. Vermogen in het buitenland.

Autoriteit Persoonsgegevens mag boetebesluit publiceren.

Raad van State

OverigRechtbank Amsterdam 15 januari 2024, ECLI:NL:RBAMS:2024:1214 (Autoriteit Persoonsgegevens mag boetebesluit publiceren. Van bijzondere omstandigheden die een uitzondering rechtvaardigen is niet gebleken). Artikelen: Artikel 8 Wob Onderwerp: Recruitmentbedrijf Ambitious People Group overtrad ...

Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG

guidelines voor de toepassing van artikel 60 AVG

Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 06/2022 on the practical implementation of amicable settlements

Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

guidelines gedragscodes en toezichthoudende organen

Wob-besluit: Lopende handhavingsprocedures

AP

AP, Wob-besluit: Lopende handhavingsprocedures

Woo-besluit: Boetebesluit(en) curatoren

AP

Autoriteit Persoonsgegevens, Woo-besluit: Boetebesluit(en) curatoren, 2025 (afgewezen)

Coordinated Enforcement Action, implementation of the right of access by controllers

EDPB

EDPB 20 jan 2025, Coordinated Enforcement Action, implementation of the right of access by controllers.

herhaaldelijk

Enforcement

De AP heeft herhaaldelijk aangegeven dat het van mening is dat de wet zodanig zou moeten worden aangepast dat alle boetebesluiten standaard gepubliceerd worden.

Banca Comercială Română S.A.: Insufficient legal basis for data processing

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA (ANSPDCP) has fined Banca Comercială Română S.A. EUR 2,000. A data subject had initiated a complaint with the DPA because the controller had used his personal data in the context of an enforcement procedure for debts arising from a credit agreement of which he was unaware.

Ensuring human rights-based, global perspectives in the DSA enforcement: the DSA Human Rights Alliance’s guidelines

The DSA Human Rights Alliance has released 'Principles for a Human Rights-Centred Application of the Digital Services Act: A Global Perspective' to guide the European Commission, national policymakers, and regulators as the DSA moves from legislation to enforcement. The recommendations focus on the cross-border effects of DSA enforcement, empowering diverse groups to enforce users’ rights and providing input during enforcement actions. This will ensure that the law is applied in a way that respe

Coordinated Enforcement Framework: EDPB selects topic for 2026

Brussels, 14 October - During its October plenary, the European Data Protection Board (EDPB) picked the topic for its fifth coordinated enforcement action, which will concern compliance with the obligations of transparency and information under the General Data Protection Regulation (GDPR). The GDPR ensures that individuals are informed when their data is being processed (under Art. 12, 13 and 14). This right to be informed is a core element of transparency and ensures that individuals have more

Coordinated enforcement framework: The European Data Protection Board will select a topic for enforcement action in 2026.

Brussels, October 14th - During its plenary meeting in October, the European Data Protection Board (EDPB) selected the topic for its fifth coordinated enforcement action. This action will focus on compliance with the obligations regarding transparency and information provision under the General Data Protection Regulation (GDPR). The GDPR ensures that individuals are informed when their data is being processed (as stipulated in Articles 12, 13, and 14). This right to information is a crucial element of transparency and ensures that individuals have more...

De rechtbank heeft uitspraak gedaan in het beroep van Experian tegen de handhavingsmaatregel van de ICO (Information Commissioner's Office).

Het eerste beroepstribunaal heeft delen van een handhavingsbesluit uit 2020 van het Britse Information Commissioner's Office (ICO) tegen Experian vernietigd. Hierin werd bevestigd dat het bedrijf zich terecht baseert op legitieme belangen als juridische basis voor het verwerken van informatie van kredietreferentiebureaus voor direct marketingdoeleinden. Waarnemend commissaris Stephen Bonner, CIPP/E, CIPM, zei dat marketingprocessen "in overeenstemming met de wet en op een open en eerlijke manier moeten plaatsvinden", en het ICO heeft aangegeven dat het een app zal overwegen.

TikTok faces potential 27M GBP fine from ICO

> The U.K. Information Commissioner's Office announced a notice of intent to fine TikTok 27 million GBP for alleged U.K. data protection violations. The ICO's investigation found potential violations concerning nonconsensual processing of minors' data, unlawful processing of special category data and insufficient transparency.

TikTok staat mogelijk een boete van 27 miljoen Britse pond te wachten van de ICO (Information Commissioner's Office).

Het Britse Information Commissioner's Office heeft aangekondigd dat TikTok een boete van 27 miljoen pond zal krijgen vanwege vermeende schendingen van de Britse wetgeving inzake gegevensbescherming. Het onderzoek van de ICO heeft mogelijke overtredingen blootgelegd met betrekking tot de verwerking van gegevens van minderjarigen zonder toestemming, de onrechtmatige verwerking van speciale categorieën van gegevens en een ontoereikend niveau van transparantie.

Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.

De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.

EDPB adopts statement on European Police Cooperation Code & picks topic for next coordinated action

The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a Prüm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.

De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.

De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.

Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations

> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.

CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR

> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.

De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).

De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.