Insurance

Recital 96

Recital 158

Recital 96

Recital 158

Recital 58

Recital 58

Recital 54

Recital 54

Recital 162

Recital 52

Recital 52

ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24

Rechtbank Limburg

Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.

ECLI:NL:RBMNE:2026:392 Rechtbank Midden-Nederland , 28-01-2026 / 11762230 \ UC EXPL 25-5389

Rechtbank Midden-Nederland

VvAA mocht de verzekering met een derde niet zomaar beëindigen op grond van haar algemene voorwaarden na het overschrijven van de auto op een andere naam wegens gebrek aan belang

ECLI:NL:GHARL:2026:557 Gerechtshof Arnhem-Leeuwarden , 27-01-2026 / 22/1113 tm 22/1118 en 22/1119, 22/1121 en 22/1122

Gerechtshof Arnhem-Leeuwarden

Verzoek beperkte kennisneming.

Gerechtshof Arnhem-Leeuwarden

Gerechtshof Arnhem-Leeuwarden

Soevereinen, verzoek anoniem procederen inspecteur, 8:29 Awb

ECLI:NL:CRVB:2026:68 Centrale Raad van Beroep , 20-01-2026 / 22/3981 BBZ

CRVB

Afwijzing aanvraag om bedrijfskapitaal. Bbz 2004. Geen zelfstandige. Vroegtijdige beëindiging van zitting bij rechtbank vanwege geluidsopnamen. Geen schending hoorplicht. Verzending naar BRP-adres in plaats van correspondentieadres. Goede procesorde. Schadevergoeding redelijke termijn. Vaststaat dat de uitnodiging voor de hoorzitting in bezwaar is verzonden naar het in de BRP opgenomen woonadres van appellant. Dit is in overeenstemming met art. 1.7 lid 1 Wet BRP. Bestuursorganen zijn op grond van die bepaling verplicht de gegevens die in de BRP zijn opgenomen te gebruiken, tenzij sprake is van een in het tweede lid van dat artikel genoemde uitzondering. Gesteld noch gebleken is dat één van die uitzonderingen zich voordoen. Dit betekent dat het dagelijks bestuur verplicht was de uitnodiging voor de hoorzitting bezwaar te versturen naar het adres dat in de BRP was opgenomen.

Deurbelcamera die gemeenschappelijke ruimte registreert of die van appartementeigenaren filmt moet weg.

Rechtbank

De zaak gaat over een geschil tussen een VvE en een lid van de VvE over de nakoming van bepalingen uit onder andere het modelreglement en de vraag of de VvE rechtsgeldig boetes voor de overtredingen heeft opgelegd. Alleen voor de hondenkar in de gemeenschappelijke ruimte en de cameradeurbel is vastgesteld dat dit overtredingen zijn die nog steeds voortduren. De gevorderde boete wordt afgewezen, omdat uit de waarschuwingsbrief niet kan worden afgeleid voor welke overtreding een boete zal worden opgelegd bij voortduring daarvan en hoe hoog de boete is.

Bevoegdheid verzoeken informatie over de reden van contante geldopnames

Dutch Courts

Afwijzing aanvraag om bijstand. Onvoldoende duidelijkheid over financiële situatie. Contante geldopnames. Inschrijving KvK. Stichting. Geen schending privacy. Vaststaat dat het dagelijks bestuur appellant niet heeft verzocht om uitleg te geven over het feit dat vanaf de opgeheven ABN AMRO-rekening twee bedragen zijn overgeschreven naar zijn ING-rekening. Daarom kan het dagelijks bestuur niet aan besluitvorming ten grondslag leggen dat appellant daarover geen duidelijkheid heeft gegeven. Dit leidt echter niet tot vernietiging van de aangevallen uitspraak. Het dagelijks bestuur hoeft niet te bewijzen dat appellant eigenaar is van de stichting. Ervan uitgaande dat de stichting in de te beoordelen periode op het woonadres van appellant was gevestigd, is het aan appellant, ter beoordeling van zijn bijstandbehoevendheid, om inzicht te geven in zijn betrokkenheid bij de stichting. Appellant heeft dat niet gedaan.

Schending eer en goede naam en bescherming werknemers weegt zwaarder.

Rechtbank

Kort geding. Verbod op het doen van onrechtmatige uitlatingen en het benaderen van bestuurders, medewerkers, organen en locaties van de Stichting. Gebod tot het verwijderen van alle gedane openbare uitlatingen.

EVR registratie moet geschrapt nu twijfel is over of betrokkene bij fraude betrokken is

Rechtbank

Kort geding. De gevorderde ongedaanmaking van de opname van eiser in het interne incidentenregister wordt afgewezen. De ongedaanmaking van de opname van eiser in het Extern Verwijzingsregister wordt toegewezen, omdat gedaagde onvoldoende gronden heeft om tot opname van eiser in dat register over te gaan.

Toewijzing schrapping uit IR, IVR, EVR en intrekken melding CBV

Rechtbank

Kort geding. Verzekeringszaak. Vorderingen tot verwijdering persoonsgegevens uit het Incidentenregister, IVR, EVR en tot intrekking van de melding bij het CBV toegewezen.

EVR registratie mag blijven

Rechtbank

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Artikel(en):

Kifid

“De commissie beslist dat de verzekeraar een bedrag van € 13.198,- aan de consument vergoedt, de omschrijving van de gebeurtenis aanpast in de onder 3.9 bedoelde zin en dat de registratie van de persoonsgegevens van de consument in de Gebeurtenissenadministratie en het IVR na een periode van maxi...

Geheimhouding

Gerechtshof

Geheimhouding

Rectificatie in kader eer en goede naam afgewezen

Rechtbank

Vorderingen tot rectificatie uitlatingen en schorsing royement afgewezen.

Veroordeling voor doxing

Rechtbank

Veroordeling voor bedreiging en doxing (artikel 285d Sr) tot een taakstraf voor de duur van 80 uren, waarvan 40 uren voorwaardelijk. Vrijspraak van bedreiging.

Belangenafweging openbaarmaking in het kader van de Gezondheidswet en Wet op de jeugdzorg

Raad van State

Bij besluit van 29 juni 2021 heeft de minister besloten een rapport van de Inspectie Gezondheidszorg en Jeugd over de stichting openbaar te maken. Bij besluit van 22 december 2021 heeft de minister het door de stichting daartegen gemaakte bezwaar ongegrond verklaard. De stichting heeft een zelfstandig dagbehandelcentrum met als aandachtsgebied poliklinische cardiologische zorg en onderzoek en behandeling van patiënten met dysautonomie en ME/CVS. De Inspectie Gezondheidszorg en Jeugd (hierna: de inspectie) heeft op 4 maart 2021 bezoek gebracht aan de kliniek. Aanleiding voor het bezoek waren mede de opmerkingen over de telefonische bereikbaarheid van de kliniek voor andere zorgaanbieders en over de geboden zorg aan patiënten met ME/CVS. De inspectie heeft rapport opgemaakt van het bezoek en daarin tekortkomingen bij de stichting vastgesteld. Verder heeft de inspectie geconcludeerd dat de stichting maatregelen moet nemen om de tekortkomingen te herstellen.

Kort:

Kifid

“3.14 Volgens de consument heeft de verzekeraar niet voldaan aan zijn wettelijke plicht tot het verstrekken van inzage aan de consument en hem in de gelegenheid te stellen tot het uitoefenen van zijn correctierecht. De verzekeraar heeft aangevoerd dat het recht op inzage en het recht op rectifica...

Vrijspraak Misbruik identificerende persoonsgegevens

Rechtbank

Vrijspraak voor bankhelpdeskfraude, computervredebreuk, diefstal valse sleutel en misbruik persoonsgegevens. Bewezenverklaring van opzetheling van een bankpas en een simkaart. Redelijke termijn overschreden met ruim 3 jaar. Taakstaf van 30 uur. Benadeelde partijen niet-ontvankelijk.

Bewezenverklaring misbruik identificerende persoonsgegevens.

Rechtbank

Bewezenverklaring medeplegen computervredebreuk, medeplegen diefstal valse sleutel en misbruik identificerende persoonsgegevens. Vrijspraak bankhelpdeskfraude. Toepassing ASR. Redelijke termijn overschreden met ruim 3 jaar. Jeugddetentie van 90 dagen. Benadeelde partijen deels toegewezen, deels niet ontvankelijk. Vorderingen tot tenuitvoerleggen afgewezen door het tijdsverloop.

Rechtbank Amsterdam

Rechtbank Amsterdam

Vervolgings-EAB Polen. Tussenuitspraak. Artikel 6, eerste lid, OLW . Gelijkstellingsverweer slaagt niet. Artikel 13 OLW. Feit is geheel of gedeeltelijk op Nederlands grondgebied gepleegd, maar afzien van toepassing weigeringsgrond. Artikel 11 OLW. Detentieomstandigheden in Poolse remand regimes. De rechtbank stelt individueel gevaar vast. Beslissing aangehouden op grond van artikel 11, tweede lid, OLW. Redelijke termijn gesteld op grond van artikel 11, vierde lid, OLW.

Toets Regeling declaratiegegevens ziektekostenverzekeraars

AP

AP, Toets Regeling declaratiegegevens ziektekostenverzekeraars

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 01/2021

Guidelines 04/2021 on Codes of Conduct as tools for transfers

Guidelines on codes of conduct and monitoring bodies

The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...

Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications

Guidelines on processing of personal data through video devices

Richtsnoeren 8/2022 voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker

guidelines bepalen leidende toezichthouder

Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

Guidelines for identifying a controller or processor’s lead supervisory authority

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Version history

Guidelines on the accreditation of certification bodies

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Guidelines 01/2021

Guidelines on Examples regarding Personal Data Breach Notification

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Versiegeschiedenis

guidelines accreditatie

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

GENPACT ROMANIA SRL: Insufficient technical and organisational measures to ensure information security

€10,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 10,000 on GENPACT ROMANIA SRL. The controller suffered a successful cyber attack due to insufficient technical and organisational measures. The attacker was able to exploit vulnerabilities in some passwords and in the way user accounts' authentication could be reset.

KVIKU SPAIN, S.L.: Non-compliance with general data processing principles

€8,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 8,000 on KVIKU SPAIN, S.L.The controller requires customers to send a photo of themselves holding their ID card when verifying their identities, which violates the principle of data minimisation. The original fine of EUR 10,000 was reduced to EUR 8,000 due to immediate payment by the controller.

Money Seeds S.R.L.: Insufficient fulfilment of data subjects rights

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on Money Seeds S.R.L. The controller failed to fulfil a data subject's request to exercise their rights.

Money Seeds S.R.L.: Onvoldoende naleving van de rechten van betrokkenen.

UniCredit Bank Czech Republic and Slovakia, a.s.: Insufficient legal basis for data processing

€3,140 fine - Czech Data Protection Auhtority (UOOU)

The bank established a personal bank account for a data subject without his consent or knowledge. The bank supposedly had his personal data available because the subject had disposed of his employer’s company account. The bank was not able to provide The Office for Personal Data Protection with the necessary documentation to prove entering into contract with the data subject.

Social Insurance Agency: Insufficient technical and organisational measures to ensure information security

€50,000 fine - Slovak Data Protection Office

Applications for social benefits from Slovak citizens were sent by post to foreign authorities. These were lost by post, with the result that the whereabouts of these personal data could not be clarified.

Debt collecting agancy (GESTIÓN DE COBROS, YO COBRO SL): Insufficient legal basis for data processing

€60,000 fine - Spanish Data Protection Authority (aepd)

After the claimant did alledgedly not pay back a microcredit to an online credit agany, the claim was assigned to the debt collecting agancy. Subsequently, the latter startet sending emails not only to email addresses provided by the claimant but also to an institutional email address of his workplace accessible by any co-worker which was never provided by the claimant.

Incassobureau (GESTIÓN DE COBROS, YO COBRO SL): Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Boete van 60.000 euro - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Naar verluidt heeft de betrokkene een microkrediet niet terugbetaald aan een online kredietverstrekker, waarna de vordering werd overgedragen aan een incassobureau. Vervolgens begon dit incassobureau e-mails te versturen, niet alleen naar e-mailadressen die door de betrokkene waren opgegeven, maar ook naar een institutioneel e-mailadres van zijn werkplek, dat toegankelijk was voor alle collega's en dat nooit door de betrokkene was verstrekt.

UniCredit Bank Tsjechië en Slowakije, a.s.: Onvoldoende juridische basis voor de verwerking van gegevens.

Boete van €3.140 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

De bank heeft een persoonlijke bankrekening geopend voor een betrokkene zonder zijn toestemming of kennis. De bank beweerde zijn persoonlijke gegevens te hebben omdat de betrokkene een bedrijfsrekening van zijn werkgever had gesloten. De bank kon het Bureau voor Persoonsgegevens niet de benodigde documenten verstrekken om aan te tonen dat er een overeenkomst was gesloten met de betrokkene.

Sociale verzekeringsinstantie: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 50.000 euro - van het Slowaakse databeschermingskantoor.

Aanvragen voor sociale uitkeringen van Slovakische burgers werden per post naar buitenlandse instanties verzonden. Deze post is onderweg verloren gegaan, waardoor de locatie van deze persoonlijke gegevens niet kon worden achterhaald.

NAROBESA INV, S.L.: Insufficient cooperation with supervisory authority

€1,600 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,600 on NAROBESA INV, S.L. The controller failed to react to requests made by the DPA. The original fine of EUR 2,000 was reduced to EUR 1,600 due to immediate payment

NAROBESA INV, S.L.: Onvoldoende samenwerking met de toezichthoudende instantie.

1.600 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.600 euro opgelegd aan NAROBESA INV, S.L. De verantwoordelijke partij heeft niet gereageerd op verzoeken van de DPA. De oorspronkelijke boete van 2.000 euro is verlaagd tot 1.600 euro vanwege de onmiddellijke betaling.

Comune di Nave: Insufficient legal basis for data processing

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on the Commune di Nave. The controller has installed an automatic licence plate recognition system which processes data on when a car passes a specific control point. This data is stored for seven days, after which it is automatically deleted. The system is also connected to the Motor Vehicle Registry and automatically verifies the passing vehicle's insurance coverage, periodic inspection and environmental class. This data processing occurred witho

AMERICAN EXPRESS CARTE FRANCE: Onvoldoende juridische basis voor de verwerking van gegevens.

1.500.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming heeft AMERICAN EXPRESS CARTE FRANCE een boete van 1.500.000 euro opgelegd. De verantwoordelijke partij gebruikte een buitensporig aantal cookies op haar website en heeft de betrokkenen niet voldoende geïnformeerd over deze cookies.

AMERICAN EXPRESS CARTE FRANCE: Insufficient legal basis for data processing

€1,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 1,500,000 on AMERICAN EXPRESS CARTE FRANCE. The controller used excessive cookies on its website and failed to adequately inform data subjects about them.

Aktia Pankki Oyj: Insufficient technical and organisational measures to ensure information security

€865,000 fine - Deputy Data Protection Ombudsman

The Finish DPA has imposed a fine of EUR 865,000 on Aktia Pankki Oyj. The controller changed its strong authentication process in such a way that it no longer guaranteed adequate data security, resulting in a data breach.

Aktia Pankki Oyj: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

865.000 euro boete - Waarnemend ombudsman gegevensbescherming.

De Finse toezichthouder DPA heeft Aktia Pankki Oyj een boete van 865.000 euro opgelegd. Het bedrijf heeft een wijziging doorgevoerd in zijn proces voor sterke authenticatie, waardoor de adequate gegevensbeveiliging niet langer werd gegarandeerd, wat resulteerde in een datalek.

Agency for Control of Outstanding Debts S.R.L.: Insufficient fulfilment of data subjects rights

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on the Agency for Control of Outstanding Debts S.R.L. The controller failed to adequatly react to a data subjects request to exercise their rights.

Bureau voor het innen van openstaande schulden S.R.L.: Onvoldoende naleving van de rechten van betrokkenen.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 2.000 euro opgelegd aan het bedrijf Agency for Control of Outstanding Debts S.R.L. Het bedrijf heeft niet adequaat gereageerd op een verzoek van een betrokkene om gebruik te maken van zijn rechten.

PRIME TRANSACTION SA: Insufficient technical and organisational measures to ensure information security

€2,000 fine - Romanian National Supervisory Authority for Personal Data Processing (ANSPDCP)

The Romanian DPA has imposed a fine of EUR 2,000 on PRIME TRANSACTION SA. The controller failed to implement adequate technical and organisational measures, resulting in a data breach.

In short:

News from the European Union.

"This briefing analyzes the establishment of the European Authority for the Prevention of Money Laundering and the Financing of Terrorism (AMLA) as a key component of the reform of EU legislation on anti-money laundering and counter-terrorism financing (AML/CFT) in 2024. Now that AMLA has officially commenced its operations in the summer of 2025, a crucial question arises..."

Kort:

EU News

'This briefing analyses the establishment of the European Anti-Money Laundering Authority (AMLA) as a cornerstone of the EU’s 2024 Anti-Money Laundering/Countering the Financing of Terrorism (AML/CFT) legislative reform. As AMLA formally began its operations in the summer of 2025, a key question ...

Kort gezegd:

Nieuws uit de Europese Unie.

"Deze briefing analyseert de oprichting van de Europese Autoriteit voor het Bestrijden van Geldwitwassen en Terrorismefinanciering (AMLA) als een belangrijk onderdeel van de hervorming van de EU-wetgeving op het gebied van het bestrijden van geldwitwassen en terrorismefinanciering (AML/CFT) in 2024. Nu AMLA officieel haar activiteiten in de zomer van 2025 is begonnen, is een belangrijke vraag..."

KHO - KHO:2025:86

Feiten: Een rechtbank heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Dit vernietigde een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens. Een rechtbank heeft ook geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens mag verwerken met betrekking tot een aanvraag voor een vrijwillige persoonlijke verzekering, in overeenstemming met artikel 9(2)(g) AVG en de nationale verzekeringswetgeving. De rechtbank heeft vastgesteld dat dergelijke verwerking noodzakelijk is voor...

KHO - KHO:2025:86

English Summary }}}} The Court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA. ==

KHO - KHO:2025:86

Facts: A court has ruled that an insurance company is legally permitted to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This overturned a previous injunction issued by the Data Protection Authority. A court has also ruled that an insurance company is legally permitted to process health data related to an application for a voluntary personal insurance policy, in accordance with Article 9(2)(g) of the GDPR and national insurance legislation. The court found that such processing is necessary for...

KHO - KHO:2025:86

The court has ruled that an insurance company is entitled to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This decision overturns a previous injunction issued by the Data Protection Authority (AP). A court has ruled that an insurance company is entitled to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This decision overturns a previous injunction issued by the Data Protection Authority (AP).

KHO - KHO:2025:86

Facts }}}} A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data concerning an application for voluntary personal insurance in accordance with Article 9(2)(g) GDPR and national insurance law. The court found that such processing is necessary for

KHO - KHO:2025:86

Dutch Translation: Het gerecht heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Hierdoor werd een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens (AP) vernietigd. Een gerecht heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Hierdoor werd een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens (AP) vernietigd.

Big Data-analyse, technologie in de verzekeringssector en consumentencontracten: een Europees overzicht.

Geautomatiseerde personalisatie in consumentenverzekeringscontracten is in Europa nog geen realiteit, maar de massacustomisatie en robotisering van verzekeringscontracten vormen een toenemend probleem, zo blijkt uit dit artikel in het European Review of Private Law.

Big Data Analytics, Insurtech and Consumer Contracts: A European Appraisal

Automated personalization in consumer insurance contracts is not yet a reality in Europe, but mass customization and robotization of insurance contracts are a growing problem, according to this article in European Review of Private Law.

Danish SA Declares Use of Google Analytics Unlawful Without Supplementary Measures

The Danish Data Protection Agency has looked into the tool Google Analytics and its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google.

De Deense beschermingsautoriteit (SA) heeft verklaard dat het gebruik van Google Analytics onrechtmatig is zonder aanvullende maatregelen.

De Deense Autoriteit voor Persoonsgegevens heeft onderzoek gedaan naar het instrument Google Analytics en de bijbehorende instellingen, evenals de voorwaarden waaronder het instrument wordt aangeboden. Op basis van dit onderzoek concludeert de Deense Autoriteit voor Persoonsgegevens dat het instrument, zonder aanvullende maatregelen, niet op een wettelijke manier kan worden gebruikt. Wettelijk gebruik vereist de implementatie van aanvullende maatregelen, naast de instellingen die door Google worden aangeboden.

Irish Data Protection Commissioner Fines Instagram EUR 405M for Children Privacy Violations

> The fine is the result of an investigation that began in 2020 and focused on the company’s processing of children’s personal data. Based on press reports, the investigation focused on children between the ages of 13 and 17 who were allowed to operate business or creator Instagram accounts. As a result, children’s phone numbers and email addresses were publicly accessible.

De Ierse autoriteit voor gegevensbescherming heeft Instagram een boete van 405 miljoen euro opgelegd vanwege schendingen van de privacy van kinderen.

De boete is het resultaat van een onderzoek dat in 2020 is begonnen en zich richtte op de manier waarop het bedrijf persoonlijke gegevens van kinderen verwerkte. Op basis van berichten in de media richtte het onderzoek zich op kinderen tussen de 13 en 17 jaar oud die toestemming hadden om zakelijke of creatieve Instagram-accounts te gebruiken. Hierdoor waren telefoonnummers en e-mailadressen van kinderen openbaar toegankelijk.

UK data protection reform: How the UK's GDPR may change

> The current version of the Bill seeks to maintain the majority of key principles that underpin the UK data protection law framework, while at the same time modifying certain key provisions in relation to accountability, lawful grounds for processing, data subject access requests and cookies, amongst others. A [consolidated redline version of the UK GDPR by Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH

Hervorming van de privacywetgeving in het Verenigd Koninkrijk: Hoe de GDPR van het VK mogelijk zal veranderen.

De huidige versie van het wetsvoorstel streeft ernaar om de meeste belangrijke principes te behouden die ten grondslag liggen aan het Britse kader voor gegevensbescherming, terwijl tegelijkertijd bepaalde belangrijke bepalingen worden aangepast met betrekking tot onder meer verantwoordelijkheid, de wettelijke gronden voor gegevensverwerking, verzoeken van betrokkenen en cookies. Een [geconsolideerde versie met wijzigingen van de Britse GDPR, opgesteld door Hogan Lovells](https://www.engage.hoganlovells.com/knowledgeservices/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH)

CNIL Proposes 60 Million Euros Fine Against French AdTech Company For Non-Compliance with GDPR

> The proposed fine follows complaints filed by privacy NGO ‘Privacy International’ against Criteo. […] Under the CNIL’s sanction procedure, Criteo has the right to respond to the report, both with respect to the alleged infringements and the proposed sanction.

De CNIL stelt een boete van 60 miljoen euro voor aan een Frans bedrijf dat zich bezighoudt met advertentietechnologie, vanwege het niet naleven van de AVG (Algemene Verordening Gegevensbescherming).

De voorgestelde boete volgt op klachten die de privacyorganisatie "Privacy International" heeft ingediend tegen Criteo. [...] In het kader van de sanctieprocedure van de CNIL heeft Criteo het recht om te reageren op het rapport, zowel met betrekking tot de vermeende overtredingen als de voorgestelde sanctie.

Who Is Collecting Data from Your Car?Who Is Collecting Data from Your Car?

> A firehose of sensitive data from your vehicle is flowing to a group of companies you’ve probably never heard of