Notification Obligation

Article 33

Dochterondernemingen van aangemelde instanties en onderaanneming

Article 34

Operationele verplichtingen van aangemelde instanties

Article 33

Subsidiaries of notified bodies and subcontracting

Article 34

Operational obligations of notified bodies

Article 33

Supervisory and enforcement measures in relation to important entities

Article 33

Toezichts- en handhavingsmaatregelen met betrekking tot belangrijke entiteiten

Article 34

Algemene voorwaarden voor het opleggen van administratieve geldboeten aan essentiële en belangrijke entiteiten

Article 34

General conditions for imposing administrative fines on essential and important entities

Article 33

Very large online platforms and very large online search engines

Article 34

Risk assessment

Article 34

Risicobeoordeling

Article 33

Zeer grote onlineplatforms en zeer grote onlinezoekmachines

Artikel 42

Uitzondering op meldplicht datalekken aan de betrokkene

Artikel 34

Toepasselijkheid Algemene wet bestuursrecht bij beslissing van bestuursorganen

Artikel 33

Overige uitzonderingsgronden inzake gegevens van strafrechtelijke aard

Artikel 41

Uitzonderingen op rechten betrokkene en plichten verwerkingsverantwoordelijke

Artikel 35

Toepasselijkheid burgerlijk recht bij beslissing van niet-bestuursorganen

Artikel 48

Overgangsrecht

Article 34

Communication of a personal data breach to the data subject

Article 33

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

ECLI:NL:RBLIM:2026:1738 Rechtbank Limburg , 20-02-2026 / 03.374129.24

Rechtbank Limburg

Medeplegen van opzettelijk teweegbrengen van een ontploffing bij een woning.

Rechtbank Amsterdam

Rechtbank Amsterdam

Verzoek afgewezen

ECLI:NL:RBMNE:2026:429 Rechtbank Midden-Nederland , 21-01-2026 / C/16/597768 / HL RK 25-30

Rechtbank Midden-Nederland

AVG verzoek niet ontvankelijk. Veilig Thuis Gooi en Vechtstreek is een bestuursorgaan. Verzoek moet bij de bestuursrechter worden ingediend en niet bij de civiele rechter

Pensioensberekeningen zijn geen persoonsgegevens

Rechtbank

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Veroordeling voor doxing

Rechtbank

Veroordeling voor bedreiging en doxing (artikel 285d Sr) tot een taakstraf voor de duur van 80 uren, waarvan 40 uren voorwaardelijk. Vrijspraak van bedreiging.

Rechtbank Den Haag

Rechtbank Den Haag

bewaring, aanvullend terugkeerbesluit, zicht op uitzetting, lichter middel, ongegrond.

Rechtbank Noord-Holland

Rechtbank Noord-Holland

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Recht op bezwaar is iets anders dan het maken van bezwaar zoals bedoeld in art. 6:4 Awb

Raad van State

Bij besluit van 15 juli 2020 heeft het college van burgemeester en wethouders van Rotterdam het verzoek van [appellante] om inzage in persoonsgegevens op grond van artikel 15 van de Algemene verordening gegevensbescherming (hierna: AVG) ingewilligd. Bij het besluit van 15 juli 2020 heeft het college inzage verleend in de verwerkte persoonsgegevens. Daartegen heeft [appellante] bezwaar gemaakt. [appellante] heeft bij brief van 23 december 2020 de gronden van dat bezwaar aangevuld. Bij die brief heeft [appellante] zowel gronden ingebracht over de inzage als over de rechtmatigheid van de verwerking van haar persoonsgegevens.

EVR registratie blijft gehandhaafd

Rechtbank

kg; verzoek verwijderen persoonsgegevens uit EVR wordt afgewezen.

College van Beroep voor het bedrijfsleven

College van Beroep voor het bedrijfsleven

Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). DNB heeft een boete opgelegd aan een trustkantoor wegens het niet melden van een ongebruikelijke transactie. Het College verklaart het hoger beroep dat het trustkantoor tegen de boete heeft ingesteld ongegrond. Het College is van oordeel dat het trustkantoor op het moment van de transactie niet over voldoende informatie beschikte om aan te nemen dat het om een gebruikelijke transactie ging die zij niet hoefde te melden. Het hoger beroep van DNB tegen de door de rechtbank toegepaste matiging wegens overschrijding van de redelijke termijn slaagt. Het College vernietigt de uitspraak van de rechtbank voor zover de rechtbank de boete verder heeft gematigd dan € 72.500,-. Het hoger beroep van het trustkantoor tegen de publicatiebesluiten slaagt ook. Het College oordeelt dat DNB opnieuw moet beslissen op de bezwaren die het trustkantoor en de moedermaatschappij tegen de publicatiebesluiten hadden gemaakt.

Beslissing Geschillencommissie Zorgverzekeringen inzake verlaging registratietermijn IVR niet naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.

Rechtbank

Contradictor. Incident. Vordering voorlopige voorziening. Verzekeringszaak. Schending mededelingsplicht door de verzekerde bij aangaan verzekering. De verzekeraar heeft als sanctie onder meer de naam van verzekerde opgenomen in interne en externe registers. In een bindend advies heeft de Geschillencommissie Zorgverzekeringen de termijn van opname in het interne register van de verzekeraar teruggebracht van 8 jaar naar 1 jaar. De verzekeraar is het daarmee niet eens, zij vordert in de hoofdzaak vernietiging van het bindend advies op uitsluitend dit ene punt. Verzekeraar vordert in het incident dat het haar wordt toegestaan om de naam van verzekerde op te nemen in de registers voor de duur van het geding. De vordering wordt afgewezen, na voorlopige beoordeling van de vordering in de hoofdzaak. Het is vooralsnog niet aannemelijk dat de rechtbank in de hoofdzaak de vordering van de verzekeraar geheel of gedeeltelijk zal toewijzen.

Geconstateerd vormverzuim door uitlezen telefoons van verdachte zonder voorafgaande toestemming van r-c.

Hoge Raad

Veroordeling medeplegen invoer en verkoop van harddrugs en voorbereidingshandelingen. GS 4 jaar. Voorwaardelijk verzoek m.b.t. SkyECC afgewezen o.v.n. ECLI:NL:GHAMS:2025:1472. Vrijspraak medeplegen poging moord/zware mishandeling, medeplegen van poging uitlokking moord/doodslag/zware mishandeling en voorbereidingshandelingen. Constatering vormverzuim inbeslaggenomen telefoons, nu toestemming van rechter-commissaris ontbrak.

FSV. Niet aannemelijk dat gegevens uit FSV registratie zijn gedeeld.

Rechtbank

Deze uitspraak gaat over het verzoek van eiser op grond van de AVG aan de minister om inzage in zijn persoonsgegevens in de Fraude Signalering Voorziening (FSV). De minister heeft het verzoek toegewezen en een overzicht uit de FSV verstrekt. In de beslissing op bezwaar heeft de minister aanvullend inzage verleend in het onderdeel ‘aantekeningen’ bij de FSV-registratie van eiser. De rechtbank komt in deze uitspraak tot het oordeel dat eiser niet heeft aannemelijk gemaakt dat zijn persoonsgegevens uit de FSV ook met andere instanties zijn gedeeld. De aanwijzingen die eiser hiervoor aanvoert, zijn daarvoor onvoldoende. Ook is de rechtbank in dit geval niet bevoegd om aan eiser een schadevergoeding toe te kennen. Het beroep is ongegrond.

FSV. Inzage.

Rechtbank

Inzageverzoek FSV. Beroep gegrond. Verweerder heeft in het verweerschrift in beroep de besluitvorming nader gemotiveerd. Daaruit blijkt al dat de beslissing op bezwaar niet correct was.

Onderzoek in telefoon verdachte.

Rechtbank

Inhoudsindicatie volgt.

WAMCA-zaak. Verzoek om terug te komen op eerdere beslissing wordt afgewezen.

Rechtbank

Het verzoek van ICAM strekt ertoe dat de rechtbank op inhoudelijke gronden terugkomt van enkele in het dictum van het vonnis van 17 juli 2024 neergelegde afwijzende beslissingen (niet-ontvankelijkverklaringen). Dit past niet in het systeem van het Nederlands burgerlijk procesrecht. Het verzoek wordt afgewezen.

Doxing

Rechtbank

De verdachte heeft zes ernstige strafbare feiten gepleegd, allemaal gericht tegen (de familie van) hetzelfde slachtoffer. Hij heeft zijn ex-partner gedurende een periode van ongeveer vier maanden belaagd en haar en haar moeder meermalen met de dood bedreigd. Daarnaast heeft de verdachte foto’s en video’s van seksuele aard en ook persoonsgegevens (doxing) van het slachtoffer verspreid op social media en in chatgroepen. Al deze feiten vinden hun oorsprong in het (naderende) einde van de relatie met de verdachte. Uit de rapporten die zijn opgemaakt over de verdachte blijkt dat de feiten hem verminderd toegerekend moeten worden. De rechtbank zal afzien van het opleggen van een geheel onvoorwaardelijke gevangenisstraf, omdat de psychiater en de reclassering behandeling, begeleiding en bijzondere voorwaarden noodzakelijk achten. Gevangenisstraf voor de duur van 12 maanden, waarvan 4 maanden voorwaardelijk en oplegging van 38v maatregel (gebieds- en contactverbod).

EVR registratie had niet mogen plaatsvinden. IVR registraite wel en duur wordt niet verkort

Rechtbank

Vordering tot verwijdering persoonsgegevens uit externe frauderegistratiesystemen toewijsbaar. Verzekeringsfraude niet voldoende komen vast te staan. Wel voldoende grond voor opname persoonsgegevens in interne frauderegistratiesystemen. Vordering tot schadevergoeding wegens onrechtmatig handelen niet toewijsbaar.

Inzageverzoek deels afgewezen waar het gaat om namen medewerkers. Kopie document niet nodig.

Rechtbank

Inzageverzoek AVG.

Misbruik identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens.

Rechtbank

Veroordeling voor het eenmaal vervalsen van een identeitsbewijs (feit 1) en partiële vrijspraak van het medeplegen van het vervalsen van nog meer identeitsbewijzen (feit 1). Daarnaast vrijspraak van het medeplegen van het gebruiken van identificeerde persoonsgegevens (feit 2) en oplichting (feit 3). Taakstraf 60 uren warvan 20 uren voorwaardelijk met een proeftijd van 2 jaren.

Richtsnoeren 07/2022 voor certificering als doorgifte-instrument

guidelines certificering

Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...

Guidelines 07/2022 on certification as a tool for transfers

Guidelines on certification and identifying certification criteria

The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Guidelines 02/2022 on the application of Article 60 GDPR

Guidelines on the application of Article 60 GDPR

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG

guidelines berekenen administratieve boetes

Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

ONVOLDRAAGLIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.

Gynecological Center: Insufficient fulfilment of data breach notification obligations

€9,450 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 9,450 on a Gynecological Center. The controller sufferd a data breach and failed to report this to the DPO.

Court Bailiff: Insufficient fulfilment of data breach notification obligations

€5,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has imposed a fine of EUR 5,000 on a court bailiff. The controller forwarded a letter containing personal data to the wrong person, failing to inform either the affected data subjects or the DPA.

Rechterlijk uitvoeringsambtenaar: Onvoldoende nakoming van de verplichtingen met betrekking tot het melden van datalekken.

Een boete van 5.000 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 5.000 euro opgelegd aan een gerechtsdeurwaarder. De ambtenaar heeft een brief met persoonlijke gegevens naar de verkeerde persoon gestuurd, zonder de betrokken personen of de gegevensbeschermingsautoriteit te informeren.

Bedrijf: Onvoldoende nakoming van de verplichtingen met betrekking tot het melden van datalekken.

870 euro boete - Oostenrijkse Autoriteit voor Gegevensbescherming (dsb).

De Oostenrijkse gegevensbeschermingsautoriteit heeft een bedrijf een boete van 870 euro opgelegd. Nadat het bedrijf werd geïnformeerd over een datalek, heeft de verantwoordelijke partij adequate maatregelen genomen om de lek te dichten, maar heeft deze de gegevensbeschermingsautoriteit niet op de hoogte gesteld.

Company: Insufficient fulfilment of data breach notification obligations

€870 fine - Austrian Data Protection Authority (dsb)

The Austrian DPA has imposed a fine of EUR 870 on a company. After being informed of a data breach, the controller took adequate measures to close it but failed to inform the DPA.

Hestia Publishers & Booksellers, I. D. Kollaros & Co. S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €9.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse autoriteit voor gegevensbescherming heeft een boete van 9.000 euro opgelegd aan Hestia Publishers & Booksellers I. D. Kollaros & Co. S.A. De verantwoordelijke partij heeft de identiteit van een anonieme auteur onthuld door hun volledige naam te vermelden, naast andere persoonlijke gegevens en het pseudoniem waaronder hun werk is gepubliceerd.

ADMINISTRACIONES BENIPON, S.L.: Insufficient fulfilment of data breach notification obligations

€1,100 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1,100 on ADMINISTRACIONES BENIPON, S.L. The processor failed to notify the controller of a data breach and also used a sub-processor without prior consent and without an legal agreement.

ADMINISTRACIONES BENIPON, S.L.: Onvoldoende naleving van de verplichtingen met betrekking tot het melden van datalekken.

1.100 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft ADMINISTRACIONES BENIPON, S.L. een boete van 1.100 euro opgelegd. Het bedrijf heeft niet voldaan aan de verplichting om de verantwoordelijke te informeren over een datalek en heeft bovendien een onderaannemer ingezet zonder voorafgaande toestemming en zonder een juridisch overeenkomst.

Birthlink: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €20.725 - Informatiecommissaris (ICO).

De Britse gegevensbeschermingsautoriteit (DPA) heeft een boete van 18.000 pond (20.725 euro) opgelegd aan Birthlink. Deze organisatie, een Schotse stichting, heeft nagelaten voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geleid tot het verlies van onvervangbare persoonlijke gegevens.

Onderwijs- en opleidingsraad van de stad Dublin: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

125.000 euro boete - Ierse Autoriteit voor Gegevensbescherming.

De Ierse autoriteit voor gegevensbescherming (DPA) heeft een boete van 125.000 euro opgelegd aan het "City of Dublin Education and Training Board". De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen, waarbij gegevens van ongeveer 13.000 personen betrokken waren. Bovendien heeft de verantwoordelijke partij de autoriteit voor gegevensbescherming en de betrokken personen niet tijdig op de hoogte gesteld.

DPP Law Ltd.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €70.300 - Informatiecommissaris (ICO).

De Britse gegevensbeschermingsautoriteit (ICO) heeft het advocatenkantoor DPP Law Ltd. een boete van 60.000 pond (ongeveer 70.300 euro) opgelegd. Het bedrijf was het slachtoffer van een cyberaanval waarbij persoonlijke gegevens van 791 klanten en getuigen zijn gestolen en op het dark web zijn gepubliceerd. De gegevensbeschermingsautoriteit heeft geconstateerd dat het bedrijf onvoldoende technische en organisatorische maatregelen had genomen om dergelijke aanvallen te voorkomen, waaronder het niet regelmatig controleren van beheerdersaccounts op het netwerk, waarmee artikel 5 (1) f), 32 (1) en 3 van de relevante wetgeving zijn overtreden.

Meta Platforms Ireland Limited: Insufficient technical and organisational measures to ensure information security

€251,000,000 fine - Data Protection Authority of Ireland

The Irish Data Protection Commission (DPC) has fined Meta Platforms Ireland Limited EUR 251 million. The fine was imposed for data protection violations related to a data breach that occurred in 2018 and affected 29 million Facebook accounts worldwide, including 3 million in the EU/EEA. Compromised data included names, email addresses, phone numbers, and children's data. The breach resulted from the exploitation of user tokens on the platform by unauthorized third parties. The DPC found that Met

Hospital: Insufficient fulfilment of data breach notification obligations

€6,900 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined a district hospital in Września EUR 6,900 for failing to report a data breach to the DPA and data subjects in a timely manner. A patient had accidentally received another individual's medical records and was able to access their personal data.

mBank: Insufficient fulfilment of data breach notification obligations

€940,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined mBank EUR 940,000. The bank had suffered a data breach in which an employee of the controller sent documents containing customer data to the wrong recipient. The documents contained information such as names, account numbers, dates of birth and ID card numbers. Although the documents were returned to mBank, the envelope had been opened , meaning that third parties may have had access to the documents. During its investigation, the DPA found that, although the controller

Association: Insufficient fulfilment of data breach notification obligations

€210 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined an association EUR 210 for failing to report a data breach to the DPA in a timely manner.

Azienda sanitaria locale Roma 3: Insufficient fulfilment of data breach notification obligations

€10,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has fined Azienda sanitaria locale Roma 3 EUR 10,000 for failing to report a data breach to the DPA in a timely manner and to properly document the data breach.

Toyota Bank Polska S.A.: Insufficient fulfilment of data breach notification obligations

€18,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined Toyota Bank Polska S.A. EUR 18,000 for failing to report a data breach to the DPA in a timely manner.

Santander Bank Polska S.A.: Insufficient fulfilment of data breach notification obligations

€326,000 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA has fined Santander Bank Polska S.A. EUR 326,000 for failing to report a data breach to the DPA and data subjects in a timely manner.

NTT Data Italia S.P.A: Insufficient fulfilment of data breach notification obligations

€800,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 800,000 on NTT Data Italia S.P.A. The fine is related to the fine imposed on UniCredit (ETid-2227). UniCredit had contracted NTT to carry out vulnerability analyses and penetration tests. During its investigation, the DPA found that NTT had not notified UniCredit of a data breach in a timely manner. In addition, NTT had contracted another company to carry out vulnerability assessments and penetration tests without prior authorization from the bank as the

Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027

Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of

UODO (Poland) - DKN.5131.4.2025

English Summary }}}} The DPA fined the Polish national postal operator €232k for a DPO conflict of interest. The DPO concurrently served as a Security Director and company proxy, effectively monitoring their own decisions regarding the means of data processing.The DPA fined the national postal operator €232,000 for appointing a DPO with a conflict of interest. The DPO concurrently served as a Security Director and representative of the controller, effectively monitoring their own decisions regar

Help organizations comply with GDPR regulations: what templates would be useful to you? Please provide your feedback.

Brussels, November 5th - The European Data Protection Board (EDPB) is taking a significant step to help organizations comply with the General Data Protection Regulation (GDPR) by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Declaration on greater clarity, support, and engagement, aims to provide practical tools that organizations can easily implement to fulfill their data protection obligations. To ensure that these templates meet the needs of organizations, the EDPB...

Help make GDPR compliance easy for organisations: what templates would be helpful for you? Provide your feedback

Brussels, 5 November - The European Data Protection Board (EDPB) is taking an important step towards facilitating GDPR compliance for organisations by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Statement on enhanced clarity, support, and engagement, aims to provide practical tools that organisations can readily implement to meet their data protection obligations. To ensure these templates address the needs of organisations, the EDPB has launc

Norway's DPA fines medical device company for breach notification violation

> Norway's data protection authority, the Datatilsynet, fined U.S.-based Argon Medical Devices 2.5 million kroner for failing to report a July 2021 data breach within the 72-hour deadline required by the EU General Data Protection Regulation. "This case is an important reminder that data controllers — including those established outside the (European Economic Area) — must have suitable measures in place to be able to immediately determine whether a breach of personal data

WODC: Rapport Bescherming gegeven Evaluatie UAVG meldplicht datalekken en de boetebevoegdheid

> Het onderzoek laat zien dat de duidelijkheid en toegankelijkheid van de UAVG kritisch wordt beoordeeld. Mede de ‘beleidsneutrale’ invulling van de wet en de korte tijd waarin deze tot stand moest komen hebben daartoe geleid. Wanneer wordt bezien hoe AP en de jurisprudentie nader invulling hebben gegeven aan de normen in de wet is de conclusie dat dit deels is gebeurd, maar voor een ander deel ook nog verder dient te worden uitgewerkt. In het onderzoeksrapport worden daarvan op verschillende pl