Privacy by Default

Article 25

Responsibilities along the AI value chain

Article 25

Verantwoordelijkheden in de AI-waardeketen

Article 25

Standardisation

Article 25

Normalisatie

Recital 98

Article 25

Vormgeving en organisatie van online-interfaces

Article 25

Online interface design and organisation

Artikel 25

Uitzonderingen inzake verwerking persoonsgegevens waaruit ras of etnische afkomst blijkt

Recital 78

Article 25

Data protection by design and by default

Article 25

Gegevensbescherming door ontwerp en door standaardinstellingen

ECLI:NL:RBNNE:2026:438 Rechtbank Noord-Nederland , 03-02-2026 / 24/1620

Rechtbank Noord-Nederland

Varia. Deze uitspraak gaat over eisers verzoek om inzage in zijn persoonsgegevens op grond van de Wet politiegegevens. Verweerder heeft dit verzoek gedeeltelijk toegewezen. Eiser is het niet eens met het afgewezen deel in het besluit. Hij voert daartoe een aantal beroepsgronden aan. De rechtbank komt in deze uitspraak tot het oordeel dat zij het beroep niet inhoudelijk kan behandelen, omdat het procesbelang van eiser onvoldoende is aangetoond. Het beroep is niet-ontvankelijk.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Inzage in politiegegevens in herstelbesluit gegeven

Rechtbank

verzoek om inzage in persoonsgegevens in politieregisters.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

Verhouding Wpg, Woo en AVG

Rechtbank

Afwijzing Woo-verzoek. Sprake van een herhaald verzoek. De Wpg regelt in de artikelen 3, derde lid, 7 en 25 zowel de openbaarmaking als de individuele verstrekking en is daarmee uitputtend. De AVG regelt naast de inzage in persoonsgegevens ook de individuele verstrekking van afschriften. De vangnetbepaling van artikel 5.5 van de Woo vindt, gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime, geen toepassing. Beroep ongegrond.

Inzage Wpg gegevens

Raad van State

Beroep ongegrond

Inzage en weigeringsgronden Wpg.

Rechtbank

Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de korpschef op grond van de Wpg. Het beroep, voor zover gericht tegen het besluit van 26 januari 2023, is niet-ontvankelijk. Het beroep, voor zover gericht tegen de besluiten van 24 april 2023 en 6 juni 2024, is gegrond, omdat deze besluiten een motiveringsgebrek kennen. De rechtbank ziet geen aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De korpschef heeft het motiveringsgebrek in beroep namelijk niet volledig hersteld. Ook heeft de korpschef geen duidelijkheid gegeven over de – door eiser gemotiveerd betwiste – juistheid van de in het besluit van 24 april 2023 verstrekte informatie dat geen persoonsgegevens van eiser zijn gedeeld met andere instanties/derden.

ECLI:NL:RBZWB:2026:222 Rechtbank Zeeland-West-Brabant , 14-01-2026 / 11680291 CV EXPL 25-2141 (E)

Rechtbank Zeeland-West-Brabant

Vorderingen tot ontbinding en ontruiming mbt huur bedrijfsruimte en huurachterstand worden toegewezen.

Rechtbank Gelderland

Rechtbank Gelderland

Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de korpschef op grond van de Wpg. Het beroep, voor zover gericht tegen het besluit van 26 januari 2023, is niet-ontvankelijk. Het beroep, voor zover gericht tegen de besluiten van 24 april 2023 en 6 juni 2024, is gegrond, omdat deze besluiten een motiveringsgebrek kennen. De rechtbank ziet geen aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De korpschef heeft het motiveringsgebrek in beroep namelijk niet volledig hersteld. Ook heeft de korpschef geen duidelijkheid gegeven over de – door eiser gemotiveerd betwiste – juistheid van de in het besluit van 24 april 2023 verstrekte informatie dat geen persoonsgegevens van eiser zijn gedeeld met andere instanties/derden.

Rechtbank Gelderland

Rechtbank Gelderland

Gedeeltelijke afwijzing van het verzoek van eiser om inzage in en informatie over de verwerking van zijn persoonsgegevens door de KMar op grond van de Wpg. Het beroep is gegrond, omdat het besluit van de minister op het verzoek van eiser gebreken kent. De rechtbank ziet geen aanleiding om de rechtsgevolgen van het besluit in stand te laten. De minister heeft de gebreken in beroep namelijk niet volledig hersteld.

Rechtbank Amsterdam

Rechtbank Amsterdam

Vervolgings-EAB uit Polen. Bij tussenuitspraak van de rechtbank van 18-11-2025 heeft de rechtbank een redelijke termijn van 30 dagen gesteld om te bezien of een wijziging van de omstandigheden het reële gevaar van een onmenselijke of vernederende behandeling alsnog - en binnen afzienbare tijd - kan worden weggenomen. Door de versterkte aanvullende informatie is algemene gevaar binnen de redelijke termijn alsnog weggenomen. Overlevering toestaan.

Rechtbank Midden-Nederland

Rechtbank Midden-Nederland

De rechtbank is voornemens om prejudiciële vragen aan de Hoge Raad te stellen over de te volgen procedure bij verzoeken tot benoeming van een voogd over alleenstaande minderjarige asielzoekers.

Zoekslag korpschef is niet inzichtelijk gemaakt in het bestreden besluit.

Rechtbank

Beroep, inzage politiegegevens op grond van artikel 25 Wpg, motiverings- en zorgvuldigheidsgebrek gepasseerd met artikel 6:22 Awb, proceskostenvergoeding, ongegrond.

Bescherming van het politieonderzoek weegt in dit geval zwaarder dan inzage betrokkene.

Raad van State

Bij besluit van 5 oktober 2021 heeft de korpschef van politie (hierna: de korpschef) het verzoek van [appellant] om inzage in zijn politiegegevens gedeeltelijk afgewezen. [appellant] heeft op 17 juni 2021 verzocht om inzage in processen-verbaal die zijn opgemaakt over zijn reizen naar Noorwegen en de tussenliggende periode en de periode erna vanaf 2018. Hij verzoekt met name om inzage in gegevens zoals die zijn opgenomen in twee pv’s die hij zelf heeft bijgevoegd bij zijn verzoek. Deze pv’s heeft hij al kunnen inzien omdat die zijn verstrekt door de IND in een procedure over de intrekking van zijn Nederlanderschap. Daarin stond [appellant] aangemerkt als CTER-subject en zijn andere CTER-subjecten met naam en toenaam genoemd. De korpschef heeft het verzoek gedeeltelijk afgewezen omdat inzage in deze gegevens nadelige gevolgen kan hebben voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten.

Voorzieningenrechter gelast ongedaan maken van EVR registratie

Rechtbank

Verzekeringsrecht. Kort geding. Het is niet voldoende vast komen te staan dat er met opzet een onjuiste voorstelling van zaken is gegeven om de verzekeraar te misleiden. De verzekeraar moet daarom de registraties van de persoonsgegevens van eiser in (o.m.) het IVR en EVR ongedaan maken.

Afwijzing Woo-verzoek. Gaat om Wpg, Wjsg dan wel om AVG-gegevens. Dus vangnetbepaling art. 5.5 is n.v.t.

Rechtbank

Afwijzing Woo-verzoek. Artikel 5.5 van de Woo betreft slechts een vangnetbepaling, die hier niet van toepassing is gelet op de gegevens waar eiser om heeft verzocht en waarvoor andere regelingen gelden met een uitputtend openbaarheidsregime en/of een uitputtend bedoeld verstrekkingsregime. Beroep ongegrond.

Terechte weigering korpschef van delen van de ter inzage gegeven documenten

Rechtbank

Verzoek om inzage ogv artikel 25, eerste lid Wet Politiegegevens (Wpg)

Voldaan aan inzageverzoek Wpg

Rechtbank

Inzageverzoek ogv artikel 25 van de Wpg. Rechtbank komt tot oordeel dat het verstrekt overzicht van de verwerkte gegevens volledig is. De aanknopingspunten die eiser aanvoert, waaruit zou moeten blijken dat er meer gegevens zijn, acht de rechtbank onvoldoende aannemelijk. Bovendien heeft de korpschef duidelijk aangegeven op welke manier en in welke systemen er naar gegevens is gezocht. Beroep is ongegrond.

ECLI:NL:RVS:2025:3976 Raad van State , 20-08-2025 / 202406132/1/A3

Raad van State

Bij besluit van 5 oktober 2021 heeft de korpschef van politie (hierna: de korpschef) het verzoek van [appellant] om inzage in zijn politiegegevens gedeeltelijk afgewezen. [appellant] heeft op 17 juni 2021 verzocht om inzage in processen-verbaal die zijn opgemaakt over zijn reizen naar Noorwegen en de tussenliggende periode en de periode erna vanaf 2018. Hij verzoekt met name om inzage in gegevens zoals die zijn opgenomen in twee pv’s die hij zelf heeft bijgevoegd bij zijn verzoek. Deze pv’s heeft hij al kunnen inzien omdat die zijn verstrekt door de IND in een procedure over de intrekking van zijn Nederlanderschap. Daarin stond [appellant] aangemerkt als CTER-subject en zijn andere CTER-subjecten met naam en toenaam genoemd. De korpschef heeft het verzoek gedeeltelijk afgewezen omdat inzage in deze gegevens nadelige gevolgen kan hebben voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten.

ECLI:NL:RVS:2025:3981 Raad van State , 20-08-2025 / 202302106/1/A3

Raad van State

Bij besluit van 22 juni 2022 heeft de minister van Defensie het verzoek van [appellant] om informatie over zijn verwerkte politiegegevens ingewilligd. [appellant] heeft verzocht om informatie over zijn politiegegevens. De minister heeft het informatieverzoek ingewilligd en daarbij de systemen geraadpleegd die hem ter beschikking stonden. In het besluit staat dat daaruit is gebleken dat zijn persoonsgegevens in drie mutaties zijn verwerkt, waarbij er samengevat weergegeven sprake was dat de KMar [appellant] overnam van buitenlandse autoriteiten in verband met aanhoudingen aldaar. Verder stond in het besluit dat deze plaats vond in augustus 2018, januari 2020 en november 2021.

Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...

Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen

guidelines connected vehicles

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Richtsnoeren 01/2021

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms

guidelines misleidende ontwerppatronen

Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...

Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving

guidelines gebruik gezichtsherkenning bij rechtshandhaving

Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening

guidelines certificering

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

VERSIEGESCHIEDENIS

binding corporate rules voor verwerkingsverantwoordelijken

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 500.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U. een boete van 500.000 euro opgelegd. De verantwoordelijke partij heeft een communicatietool gebruikt die niet was ontworpen in overeenstemming met het "privacy by design"-principe. Hierdoor zijn berichten met persoonlijke gegevens, die bestemd waren voor een andere klant, in handen gekomen van een onafhankelijke derde partij.

Cucina di Fabio S.R.L.: Onvoldoende juridische basis voor de verwerking van persoonsgegevens.

Een boete van 3.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 3.000 euro opgelegd aan Cucina di Fabio S.R.L. Het bedrijf was actief in direct marketing en gebruikte daarbij persoonsgegevens die niet op een voldoende juridische basis waren verkregen.

De districtsinspecteur voor volksgezondheid in Police: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 4.750 euro - van het Poolse nationale bureau voor de bescherming van persoonlijke gegevens (UODO).

De Poolse gegevensbeschermingsautoriteit heeft een boete van 4750 euro opgelegd aan de Powiatowego Inspektora Sanitarnego in Policach. De verantwoordelijke partij heeft nagelaten om voldoende technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat resulteerde in een datalek. Dit kwam doordat een werknemer een onversleutelde USB-stick met persoonlijke gezondheidsgegevens en gegevens over administratieve procedures heeft verloren.

Aktia Pankki Oyj: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

865.000 euro boete - Waarnemend ombudsman gegevensbescherming.

De Finse toezichthouder DPA heeft Aktia Pankki Oyj een boete van 865.000 euro opgelegd. Het bedrijf heeft een wijziging doorgevoerd in zijn proces voor sterke authenticatie, waardoor de adequate gegevensbeveiliging niet langer werd gegarandeerd, wat resulteerde in een datalek.

Casa di Cura Città di Roma: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 12.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft een boete van 12.000 euro opgelegd aan Casa di Cura Città di Roma. De verantwoordelijke partij gebruikte software voor patiëntbeheer die gebruikers toegang gaf tot een buitensporige hoeveelheid patiëntgegevens.

S-Pankki Oyj: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

1.800.000 euro boete - Waarnemend ombudsman gegevensbescherming.

De Finse toezichthouder DPA heeft S-Pankki Oyj een boete van 1.800.000 euro opgelegd. Door een softwarefout konden klanten van de betreffende instantie inloggen op de bankrekeningen van andere klanten, wat tot financiële verliezen heeft geleid.

Ospedaliero-Universitaria Careggi: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 80.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 80.000 euro opgelegd aan het universitaire ziekenhuis Careggi. De verantwoordelijke, een universitair ziekenhuis, gebruikte software waarmee medisch personeel de medische dossiers van patiënten kon doorzoeken, zelfs als deze informatie niet relevant was voor de specifieke medische behandeling.

Hestia Publishers & Booksellers, I. D. Kollaros & Co. S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €9.000 - Griekse Autoriteit voor Gegevensbescherming (HDPA).

De Griekse autoriteit voor gegevensbescherming heeft een boete van 9.000 euro opgelegd aan Hestia Publishers & Booksellers I. D. Kollaros & Co. S.A. De verantwoordelijke partij heeft de identiteit van een anonieme auteur onthuld door hun volledige naam te vermelden, naast andere persoonlijke gegevens en het pseudoniem waaronder hun werk is gepubliceerd.

Partij "Alliantie voor de Unie van Roemenië": Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 25.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft een boete van 25.000 euro opgelegd aan de partij "Alliance for the Union of Romanians". De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen om de gegevensbeveiliging te waarborgen, wat heeft geleid tot een datalek. Bovendien heeft de verantwoordelijke partij persoonsgegevens verwerkt zonder een voldoende juridische basis.

Regio Lombardije: Onvoldoende juridische basis voor gegevensverwerking.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de regio Lombardije een boete van 50.000 euro opgelegd. De verantwoordelijke partij heeft de internetactiviteiten van haar werknemers, inclusief privéactiviteiten, gevolgd zonder een voldoende juridische basis.

Bedrijf: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 20.000 euro - De Belgische Autoriteit voor gegevensbescherming (APD).

De Belgische autoriteit voor gegevensbescherming heeft een bedrijf een boete van 20.000 euro opgelegd. Het bedrijf is verantwoordelijk voor de verwerking van persoonsgegevens en is actief in direct marketing. Tijdens deze activiteiten heeft het bedrijf niet voldaan aan verschillende principes van gegevensverwerking. Met name had het bedrijf geen voldoende juridische basis voor de gegevensverwerking, heeft het de betrokkenen niet geïnformeerd en heeft het geen informatie verstrekt die rechtmatig was opgevraagd.

Ziekenhuis: Niet-naleving van de algemene principes voor gegevensverwerking.

4.000 euro boete - Kroatische Autoriteit voor Gegevensbescherming (AZOP).

De Kroatische beschermingsautoriteit (AZOP) heeft een ziekenhuis een boete van 4.000 euro opgelegd. De AZOP heeft vastgesteld dat het ziekenhuis een bedrijf gebruikte dat automatisch persoonlijke gegevens van autobezitters ophaalde via de webdienst van het Ministerie van Binnenlandse Zaken, zonder daar een wettelijke basis voor te hebben, om parkeerboetes aan autobezitters te sturen. Bovendien heeft het ziekenhuis parkeergebruikers niet op een transparante en in overeenstemming met de wettelijke vereisten geïnformeerd over de verwerking van hun persoonlijke gegevens met betrekking tot parkeerkosten. Verder...

DISCORD INC.: Non-compliance with general data processing principles

€800,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 800,000 on DISCORD INC.. DISCORD offers an online communication service through which users can chat or make video calls. During its investigation, the DPA found that the company had failed to establish and also comply with a data retention period appropriate to the purpose of the processing. For example, there were over two million accounts within the DISCORD database of French users who had not used their account for more than three years and approximat

“Social media profiles and phone contacts” used as proof of identity for deportations

> Thirteen non-EU countries sometimes accept “social media profiles and phone contacts” as evidence of identity for the purpose of deportations, according to an internal European Commission assessment of third country cooperation on readmission.

What Happened to the Risk-Based Approach to Data Transfers?

The GDPR incorporates the RBA for all obligations of the controller in the GDPR. Where the transfer rules are stated as obligations of the controller (rather than as absolute principles), the RBA of Article 24 therefore applies. Other than the DPAs assume, this is not contradicted by the ECJ in Schrems II nor by the EDPB recommendations on additional measures following the Schrems II judgment, according to Lokke Moerel, Professor of Global ICT Law at Tilburg University and a Dutch Cyber Security