Privacy Impact Assessment

Recital 34

Article 35

Identification numbers and lists of notified bodies

Article 35

Identificatienummers en lijsten van aangemelde instanties

Recital 96

Article 27

Fundamental rights impact assessment for high-risk AI systems

Article 35

Inbreuken die een inbreuk in verband met persoonsgegevens inhouden

Article 35

Infringements entailing a personal data breach

Article 35

Risicobeperking

Article 35

Mitigation of risks

Artikel 36

Geschilbeslechting door Autoriteit persoonsgegevens of via gedragscode

Artikel 35

Toepasselijkheid burgerlijk recht bij beslissing van niet-bestuursorganen

Recital 90

Recital 91

Recital 89

Recital 84

Article 35

Data protection impact assessment

Recital 95

Recital 94

Recital 92

Recital 91

ECLI:NL:RBMNE:2026:429 Rechtbank Midden-Nederland , 21-01-2026 / C/16/597768 / HL RK 25-30

Rechtbank Midden-Nederland

AVG verzoek niet ontvankelijk. Veilig Thuis Gooi en Vechtstreek is een bestuursorgaan. Verzoek moet bij de bestuursrechter worden ingediend en niet bij de civiele rechter

EVR registratie mag blijven

Rechtbank

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Schending eer en goede naam gevorderd van VvE bestuur.

Rechtbank

Vordering tot rectificatie door VvE bestuur. Na verwijzing naar dagvaardingsprocedure, is de kantonrechter niet bevoegd kennis te nemen van de vordering. Eiser heeft geen duidelijke aanwijzingen aangevoerd dat de vordering geen hogere waarde dan € 25.000,00 vertegenwoordigt.

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Uitzondering openbare orde bij inzageverzoek incidentenrapport n.a.v. parachutsprong ongeluk

Rechtbank

Heeft verzoeker recht op inzage in incidentenrapport op grond van de artikel 15 AVG naar aanleiding van ongeval bij parachutespringen?

Pensioensberekeningen zijn geen persoonsgegevens

Rechtbank

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Gerechtshof Amsterdam

Gerechtshof Amsterdam

Kort geding vanwege opzegging van bankrekening naar aanleiding van de ontvangst van fraudegelden op die rekening. Rekeninghouder heeft vervolgens in strijd met de waarheid over die transacties verklaard en ook anderszins geen opheldering verschaft over de herkomst en bestemming van de ontvangen gelden. Opname in het interne en het externe verwijzingsregister naar aanleiding van deze gang van zaken. Vordering tot herstel van bankrelatie en tot verwijdering uit het interne en het externe verwijzingsregister en (voorschot op) schadevergoeding door voorzieningenrechter afgewezen. Het hof bekrachtigt het vonnis van de voorzieningenrechter en wijst voorts de in hoger beroep gewijzigde eis af

Rechtbank Noord-Holland

Rechtbank Noord-Holland

In deze zaak verzoekt een gepensioneerde om ABP te bevelen persoonsgegevens te ver-strek¬ken. Verzoe¬ker doet daarbij een beroep op het inzagerecht van de Algemene verorde-ning gegevensbe¬scher¬¬ming (AVG). De rechtbank verklaart het ver¬zoek niet-ontvankelijk. Verzoeker had op grond van de Uitvoeringswet Algemene ver¬or¬dening gegevens¬be¬scher-ming (UAVG) eerst ABP moeten vragen om de gege¬vens te verstrekken. Dat heeft ver-zoeker niet gedaan. Het verzoek kan daarom niet inhoude¬lijk worden beoor¬¬¬deeld. Ook als dat wel het geval zou zijn, had het verzoek moeten worden afgewezen. Ver¬zoeker wil name¬lijk geen persoonsgege¬vens van ABP verkrijgen (en ver¬zoe¬ker heeft die gegevens ook al), maar berekeningen van zijn huidige en toekomstige pen¬sioen in het kader van de Wet toe¬komst pensioenen. Daarvoor zijn de AVG en de UAVG niet bedoeld. Verzoeker wordt ver¬oor¬deeld in de proces¬kosten van ABP (een bedrag van € 2.120,00), omdat hij ongelijk krijgt.

Gerechtshof Den Haag

Gerechtshof Den Haag

Cyberkamer. Bankhelpdeskfraude. Medeplegen van oplichting en diefstal met valse sleutel, al dan niet in combinatie, alsmede witwassen. Partiële vrijspraken in gevallen waarin verdachte wel in de omgeving van woningen aangevers is geweest maar niet valt uit te sluiten dat een onbekend ander lid van het criminele samenwerkingsverband bij aangevers aan de deur is geweest, en in een geval waarin de camerabeelden niet toelaten vast te stellen dat verdachte geldopname heeft gedaan. Het hof acht het extra kwalijk dat juist oudere mensen doelbewust tot slachtoffer zijn gemaakt, vanwege hun grote kwetsbaarheid en afhankelijkheid. Feiten gepleegd tijdens proeftijd wegens medeplegen poging tot oplichting. Verbeurdverklaring personenauto en telefoons. Beslissingen over vorderingen benadeelde partijen. Oplegging schadevergoedingsmaatregel. Tenuitvoerlegging geldboete. Gevangenisstraf voor de duur van 32 maanden, met aftrek.

Rechtbank Limburg

Rechtbank Limburg

Kort geding – verzekeringsrecht: Verzekeraar heeft de persoonsgegevens van verzekerde in diverse interne en externe (anti-fraude) registers geregistreerd omdat verzekerde volgens verzekeraar opzettelijk onjuiste informatie over schade aan haar auto heeft verstrekt om zo financieel voordeel te verkrijgen. Verzekerde stelt dat geen sprake is van het opzettelijk verstrekken van onjuiste informatie en vordert dat verzekeraar haar persoonsgegevens uit de registers verwijdert op verbeurte van een dwangsom. De kantonrechter is voorshands van oordeel dat aannemelijk is geworden dat verzekerde opzettelijk onjuiste informatie heeft verstrekt aan verzekeraar met betrekking tot het ontstaan van de geclaimde schade en de daaraan voorafgaande schadegeschiedenis van de auto. Er is daarom geen sprake van een onrechtmatige registratie van de persoonsgegevens van verzekerde. De vorderingen van verzekerde zijn afgewezen.

Gerechtshof Amsterdam

Gerechtshof Amsterdam

De rechtbank heeft de schuldsaneringsregeling van schuldenares beëindigd zonder schone lei omdat schuldenares de bewindvoerder niet heeft geïnformeerd over een bankrekening bij Revolut die op haar naam staat en waarop aanzienlijke bedragen zijn gestort. Het hoger beroep van schuldenares hiertegen dat in de kern erop neerkomt dat zij met de bedoelde bankrekening niets te maken heeft en dat deze bankrekening buiten haar medeweten is geopend door een derde, mogelijk haar ex-partner, en dus sprake is van identiteitsfraude, slaagt niet. Schuldenares heeft onvoldoende feiten en omstandigheden aangevoerd om te komen tot het oordeel dat zij alles binnen haar macht heeft gedaan om aannemelijk te maken dat zij niets met de bankrekening van doen heeft en dat zij dus niet betrokken is geweest bij het openen en het gebruik van de op haar naam gestelde bankrekening. Bij deze stand van zaken moet het ervoor worden gehouden dat schuldenares betrokkenheid heeft gehad bij de genoemde stortingen en daarmee heeft getracht gelden buiten het zicht van de bewindvoerder te houden. Volgt bekrachtiging van het vonnis.

Rechtbank Rotterdam

Rechtbank Rotterdam

Deze uitspraak gaat over de terugwijzing van een viertal zaken door de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling). In twee van de in de uitspraak van de Afdeling genoemde zaken had de rechtbank verzuimd uitspraak te doen en in twee andere zaken kwam de Afdeling tot een ander oordeel dan de rechtbank. Daarom doet de rechtbank deels alsnog en deels opnieuw uitspraak in vier zaken. Deze zaken hadden oorspronkelijk de zaaknummers ROT 18/6136, ROT 18/6137, ROT 19/3464 en ROT 20/1173 en hebben na terugwijzing respectievelijk de volgende zaaknummers gekregen: ROT 22/5719, ROT 22/5717, ROT 22/5718 en ROT 22/5720. De rechtbank komt in deze uitspraak tot het oordeel dat zij in één zaak onbevoegd is, omdat eiseres niet duidelijk heeft gemaakt op welk te nemen besluit het beroep wegens niet tijdig beslissen ziet. In een andere zaak is het beroep ongegrond, omdat het bezwaar terecht niet-ontvankelijk is verklaard bij gebrek aan een primair besluit. De derde en vierde zaak horen bij elkaar. Volgens de rechtbank moet het beroep in de derde zaak worden geconverteerd in een beroep wegens niet tijdig beslissen en vormt de beslissing van het college van 6 augustus 2019 (de vervolmaking van) de beslissing op bezwaar. Dit besluit kan standhouden en het beroep wegens niet tijdig beslissen is niet-ontvankelijk wegens het ontvallen van procesbelang. Wel krijgt eiseres een schadevergoeding wegens overschrijding van de redelijke termijn door de rechtbank. Verder bevat de uitspraak beslissingen omtrent terugstorting en vergoeding van griffierecht.

Rechtbank Amsterdam

Rechtbank Amsterdam

Opzegging bankrelatie. Bank moet bankrelatie voortzetten. Geen opzegplicht op grond van artikel 5 lid 3 Wwft en gebruik contractuele opzeggingsbevoegdheid in dit geval naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.

ECLI:NL:GHAMS:2025:3008 Gerechtshof Amsterdam , 11-11-2025 / 200.346.007/01

Gerechtshof Amsterdam

Opzegging van bankrelatie wegens mogelijke schending van sanctieregelgeving in relatie tot Rusland en vermoeden van (poging tot) valsheid in geschrift. Geen herstel van bankrelatie. Geen schrapping van IVR- en EVR-registraties.

Rechtbank Rotterdam

Rechtbank Rotterdam

Jeugdzaak. De verdachte heeft zich op vijftienjarige leeftijd schuldig gemaakt aan het veroorzaken van twee explosies. Oplegging van een jeugddetentie voor de duur van 180 dagen, waarvan 111 dagen voorwaardelijk met een proeftijd van 2 jaren. Ook oplegging van een werkstraf van 60 uren.

Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)

Gerechtshof

Het hof veroordeelt de verdachte tot een gevangenisstraf van 24 maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016 en het voorhanden hebben van wapens. Het hof bespreekt het verweer dat sprake is van sfeercumulatie en dat in het opsporingsonderzoek ten onrechte gebruik is gemaakt van gegevens die tijdens het uitoefenen van toezicht zijn verzameld. Daarnaast bespreekt het hof het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Beide verweren kunnen niet slagen.

Uitgebreide bespreking afluisteren telefoongesprekken in relatie tot HvJ EU en HR uitspraken (Landeck en Prokuratuur)

Hoge Raad

Het hof veroordeelt de verdachte tot een gevangenisstraf van achttien maanden waarvan zes maanden voorwaardelijk en een proeftijd van twee jaar voor zijn rol bij het op grote schaal organiseren en faciliteren van illegaal online gokken (overtreding van de Wet op de Kansspelen) in de periode 2011 tot en met 2016. Het hof bespreekt het verweer dat afgeluisterde telefoongesprekken moeten worden uitgesloten van het bewijs omdat de machtigingen van de rechter-commissaris niet zouden voldoen aan eisen die daaraan volgens de verdediging in het licht van de Landeck-jurisprudentie moeten worden gesteld. Het verweer kan niet slagen.

Weg naar rechter staat nog niet open aangezien betrokkene zich niet eerst tot verwerkingsverantwoordelijke heeft gewend.

Rechtbank

Beschikking. Afwijzing verzoek verwijderen BKR-registratie. Artikel 79 AVG en 35 UAVG. Verzoeker niet-ontvankelijk.

Oogmerk van identiteitsfraude bij verkrijgen persoonsgegevens van vele anderen.

Gerechtshof

Cyberkamer. De verdachte heeft gedurende een periode van meer dan twee jaar zogeheten bots gekocht van Genesis Market. Daardoor kon hij beschikken over inloggegevens van andere personen, zoals gebruikersnamen en wachtwoorden. Deze inloggegevens heeft verdachte gebruikt door bij verschillende webshops op de accounts van anderen in te loggen en producten te bestellen onder hun naam en op hun kosten. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte ten tijde van de verwerving en het voorhanden krijgen van deze gegevens redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen, (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr). Gelet op onder meer het aantal bots en slachtoffers, het leed en de onzekerheid die de verdachte met zijn handelen heeft veroorzaakt bij de slachtoffers die bekend zijn geraakt met het feit dat hun (inlog-)gegevens in verkeerde handen waren gevallen en het strafblad van de verdachte, is het hof van oordeel dat een hogere straf dient te worden opgelegd dan de rechtbank had opgelegd. Toewijzing van vordering benadeelde partij tot vergoeding van immateriële schade (art. 6:106 BW) als gevolg van identiteitsfraude. Teruggave van laptops nu enige relatie tot de bewezenverklaarde strafbare feiten niet vastgesteld kan worden.

Deelvrijspraak nu gelaatsfotos en gelaatsvideos '(bij uitstek) wél biometrische persoonsgegevens' zouden zijn volgens Hof en dus 231a Sr niet 231b van toepassing zou zijn.

Gerechtshof

Cyberkamer. Medeplegen van misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 17 personen bankrekeningen te openen en met gebruik daarvan geld wit te wassen (art. 231b Sr en art. 420bis/420ter Sr). Computervredebreuk door zich steeds voor te doen als rechtmatige rekeninghouder (art. 138ab Sr). Voorhanden hebben van ruim 300 gram cocaïne. De rol van de verdachte betrof voornamelijk het werven van de katvangers en al hetgeen verder samenhing met het regelen en beheer van rekeningen waarop van fraude afkomstig geld kon worden gestort. Verdachte moest er rekening mee houden dat hij binnen een professioneel verband opereerde. Tegen die achtergrond en gelet op de impact die online fraude en de daarmee samenhangende criminaliteit heeft op de slachtoffers daarvan en de samenleving als geheel dient streng te worden opgetreden tegen diegenen die zich daarmee bezighouden. Geen aansluiting bij LOVS oriëntatiepunten voor fraude. Oplegging gevangenisstraf van 26 maanden waarvan 8 maanden voorwaardelijk met een proeftijd van 2 jaar. Reclasseringstoezicht. Gedeeltelijke toewijzing vordering bank tot vergoeding van onderzoekskosten. Teruggave van telefoons die niet ‘gekraakt’ konden worden nu enige relatie is tot het bewezenverklaarde strafbare feit niet vastgesteld kan worden.

Versiegeschiedenis

guidelines meldplicht datalekken

Richtsnoeren 02/2021 inzake virtuele spraakassistenten

guidelines over virtuele spraakassistenten

Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Guidelines 01/2021

Guidelines on Examples regarding Personal Data Breach Notification

Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679

Guidelines on codes of conduct and monitoring bodies

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 9/2022 on personal data breach notification under GDPR

Guidelines on personal data breach notification under GDPR

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679

Guidelines on relevant and reasoned objection under Regulation 2016/679

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

Guidelines on certification and identifying certification criteria

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Guidelines 10/2020 on restrictions under Article 23 GDPR

Guidelines on restrictions under Article 23 GDPR

Version history

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...

Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Guidelines on the calculation of administrative fines under the GDPR

The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

Guidelines on the use of facial recognition technology in the area of law enforcement

More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Company: Non-compliance with general data processing principles

€3,500,000 fine - French Data Protection Authority (CNIL)

The French DPA has imposed a fine of EUR 3,500,000 on a company. The controller operated a loyalty program in France and 16 other EU countries, using customer data obtained through the program to transfer it to a third party for marketing purposes. The controller had no sufficient legal basis for this transfer and also failed to inform the data subjects. Furthermore, the controller used an inadequate method to store passwords. Finally, the controller failed to conduct a data protection impact as

Comune di Nave: Insufficient legal basis for data processing

€6,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 6,000 on the Commune di Nave. The controller has installed an automatic licence plate recognition system which processes data on when a car passes a specific control point. This data is stored for seven days, after which it is automatically deleted. The system is also connected to the Motor Vehicle Registry and automatically verifies the passing vehicle's insurance coverage, periodic inspection and environmental class. This data processing occurred witho

Gemeente Orte: Niet-naleving van de algemene principes voor gegevensverwerking.

Een boete van 6.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Orte een boete van 6.000 euro opgelegd. De gemeente heeft videobewaking geïnstalleerd op haar grondgebied op een manier die niet in overeenstemming is met de basisprincipes van gegevensverwerking.

Aena, een klein en middelgroot bedrijf (KMO), S.A.: Niet-naleving van de algemene principes voor gegevensverwerking.

10.043.002 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.043.002 euro opgelegd aan Aena, S.M.E., S.A. De verantwoordelijke partij voerde een proefproject uit dat meerdere luchthavens omvatte, waaronder het gebruik van gezichtsherkenningssystemen. Echter, de verantwoordelijke partij heeft geen beoordeling van de impact op de privacy uitgevoerd voordat dit werd gedaan.

Aena, S.M.E., S.A.: Non-compliance with general data processing principles

€10,043,002 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 10,043,002 on Aena, S.M.E., S.A. The controller conducted a pilot project involving multiple airports, including the use of facial recognition systems. However, the controller failed to carry out a data protection impact assessment prior to doing so.

Gemeente Curtarolo: Onvoldoende wettelijke basis voor de verwerking van gegevens.

Een boete van 15.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse autoriteit voor gegevensbescherming (DPA) heeft de gemeente Curtarolo een boete van 15.000 euro opgelegd. De verantwoordelijke partij heeft beelden van bewakingscamera's gebruikt in een tuchtprocedure tegen een werknemer, en heeft ook andere werknemers opgedragen om deze werknemer te bespioneren, foto's en video's van hem te maken.

SIDECU, S.A.: Non-compliance with general data processing principles

€96,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine of EUR 96,000 on SIDECU, S.A. The controller introduced facial recognistion system as the only access method to their facilities, without offering alternative access methodes. The controller did not have a sufficient legal basis for processing the data, failed to adequately inform the data subjects about the processing, and failed to carry out a data protection impact assessment. The original fine of EUR 160,000 was reduced to EUR 96,000 due to immediate payment an

Departement of Social Security: Insufficient legal basis for data processing

€550,000 fine - Data Protection Authority of Ireland

The Irish DPA imposed a fine of EUR 550,000 on the Departement of Social Security. The controller uses the so called SAFE 2 registration process for anyone applying for a Public Services Card. The SAFE 2 registration, which is mandatory, processes biometric data without a sufficient legal basis. The controller also failed to adequately inform data subjects in regards to the processing and to conduct a data protection impact assessment.

Regio Lombardije: Onvoldoende juridische basis voor gegevensverwerking.

Een boete van 50.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft de regio Lombardije een boete van 50.000 euro opgelegd. De verantwoordelijke partij heeft de internetactiviteiten van haar werknemers, inclusief privéactiviteiten, gevolgd zonder een voldoende juridische basis.

ULPIA TRAJANA ALAMEDA S.L.: Non-compliance with general data processing principles

€1,500 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA imposed a fine on ULPIA TRAJANA ALAMEDA S.L. During the booking process, the controller processed data that was unnecessary for the purpose, infringing on the principle of data minimization. The data processed also included biometric data (Art. 9 GDPR) for which the controller lacked a sufficient legal basis. The original fine of EUR 2,500 was reduced to EUR 1,500 due to immediate payment and admission of responsibility by the controller.

ULPIA TRAJANA ALAMEDA S.L.: Niet-naleving van de algemene principes voor gegevensverwerking.

1.500 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft een boete opgelegd aan ULPIA TRAJANA ALAMEDA S.L. Tijdens het boekingsproces heeft de verantwoordelijke partij gegevens verwerkt die niet noodzakelijk waren voor het doel, wat een schending is van het beginsel van dataminimalisatie. De verwerkte gegevens omvatten ook biometrische gegevens (artikel 9 AVG), waarvoor de verantwoordelijke partij geen voldoende juridische basis had. De oorspronkelijke boete van 2.500 euro is verlaagd tot 1.500 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Real estate company: Non-compliance with general data processing principles

€40,000 fine - French Data Protection Authority (CNIL)

The French DPA imposed a fine of EUR 40,000 on a real estate company for inappropriately monitoring its employees. A software program recorded “periods of inactivity” and regularly took screenshots of the computers of employees working from home. The program automatically detected when an employee made no keyboard or mouse movements for a period of 3 to 15 minutes. In addition, the employees in the offices were continuously filmed. These measures were deemed disproportionate and were considered

LIGA NACIONAL DE FÚTBOL PROFESIONAL: Insufficient technical and organisational measures to ensure information security

€1,000,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 1 million on LIGA NACIONAL DE FÚTBOL PROFESIONAL. The controller had introduced access controls for visitors to football stadiums using biometric systems without first carrying out the necessary data protection impact assessment.

Company: Insufficient technical and organisational measures to ensure information security

€135,600 fine - Polish National Personal Data Protection Office (UODO)

The Polish DPA fined a company in the banking sector EUR 135,600. The DPA inspected the fined company and found several violations of the GDPR. First, the company failed to ensure that the DPO could report directly to top management and that the DPO did not receive instructions on the performance of the tasks given to the DPO. Second, the company failed to include profiling in the list of data processing operations. Third, the company failed to conduct a privacy impact assessment regarding the u

Hospital: Insufficient technical and organisational measures to ensure information security

€200,000 fine - Belgian Data Protection Authority (APD)

The Belgian DPA has fined a hospital EUR 200,000. The hospital had suffered a ransomware attack through a vulnerability in the server, which paralyzed parts of the computer system and affected about 300,000 individuals. During its investigation, the DPA found that the hospital had failed to carry out a data protection impact assessment. In addition, the DPA found that it did not have an adequate information security policy in place and failed to implement appropriate technical and organizational

CARTONAJES BAÑERES, S.A: Insufficient technical and organisational measures to ensure information security

€220,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has fined CARTONAJES BAÑERES, S.A. EUR 220,000. During its investigation, the DPA found that the controller had failed to grant a former employee access to their personal data. The DPA also found that the controller had failed to carry out a data protection impact assessment regarding the operation of a biometric facial recognition system installed to track working hours.

Olimpia S.r.l.: Non-compliance with general data processing principles

€100,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA has imposed a fine of EUR 100,000 on Olimpia S.r.l.. During its investigation, the DPA found that data subjects had received advertising calls on behalf of the controller without their consent or despite being entered in objection registers. The DPA concluded that the controller had failed to take appropriate technical and organisational measures to ensure that the processing of data subjects' personal is carried out in accordance with data protection regulations throughout the s

Greek Ministry of Immigration and Asylum: Insufficient technical and organisational measures to ensure information security

€175,000 fine - Hellenic Data Protection Authority (HDPA)

The Hellenic DPA has imposed a fine of EUR 175,000 on the Greek Ministry of Immigration and Asylum. The DPA found that the controller had failed to properly carry out a required data protection impact assessment and had not cooperated properly with the DPA.

Centro Riparazioni Piacentino S.p.A.: Non-compliance with general data processing principles

€20,000 fine - Italian Data Protection Authority (Garante)

The Italian DPA (Garante) imposed a fine of EUR 20,000 on Centro Riparazioni Piacentino S.p.A.. The controller had kept a former employee's email account active despite the termination of his/her employment. Furthemrore the data subject had not been informed about such a further use of their e-mail account.

CTC EXTERNALIZACIÓN, S.L: Insufficient fulfilment of information obligations

€365,000 fine - Spanish Data Protection Authority (aepd)

The Spanish DPA has imposed a fine of EUR 365,000 on CTC EXTERNALIZACIÓN, S.L.. An employee had filed a complaint with the DPA due to the fact that the controller had requested fingerprints of employees in order to implement a new time and attendance system. However, it was not communicated that the fingerprints would also be stored in the staff portal. For this reason, the DPA found that the controller had violated its duty to inform. The DPA also found that the controller was unable to demonst

Terrible storms turn Spain into electricity price utopia

Renewables-centric Iberian Peninsula reaps record-low prices – but pays price for lack of EU cables

Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027

Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of

Statutory Damages: The Fuel of Copyright-based Censorship

We're taking part in Copyright Week, a series of actions and discussions supporting key principles that should guide copyright policy. Every day this week, various groups are taking on different elements of copyright law and policy, and addressing what's at stake, and what we need to do to make sure that copyright promotes creativity and innovation. Imagine every post online came with a bounty of up to $150,000 paid to anyone who finds it violates opaque government rules—all out of the

Fiche

Government

“Het kabinet onderschrijft het belang van de bescherming van grondrechten en waardeert dat de Commissie hieraan eveneens aandacht schenkt. Niettemin plaatst het kabinet kanttekeningen bij het voorstel, gezien het feit dat de regeling voorziet in een grootschalige beschikbaarstelling van gevoelige...

Fiche.

Government.

"The government recognizes the importance of protecting fundamental rights and appreciates that the Commission also gives attention to this issue. Nevertheless, the government has reservations about the proposal, given that the regulation provides for the large-scale availability of sensitive..."

Migrant smuggling laws: European Commission found in breach of transparency rules

The European Ombudsman has found that the Commission disregarded important transparency rules while preparing the Europol Regulation, which is a part of the legislation to "counter migrant smuggling". The inquiry concluded that the Commission didn't provide enough evidence to justify the claims of "urgency" to bypass their own 'Better Regulation' rules, and skipping public consultations, thorough impact assessments and evidence gathering. The post Migrant smuggling laws: European Commission foun

Laws regarding the smuggling of migrants: The European Commission has violated rules regarding transparency.

The European Ombudsman has found that the European Commission disregarded important transparency laws during the preparation of the Europol regulation, which is part of the legislation aimed at combating "human smuggling of migrants." The investigation concluded that the Commission did not provide sufficient evidence to justify its claims of "urgency," thereby circumventing its own rules for "better regulation," as well as public consultations, thorough impact assessments, and the gathering of evidence. Article: Legislation against human smuggling of migrants: The European Commission...

ICO: Hoe kunnen technologieën die de privacy beschermen bijdragen aan de naleving van de wetgeving inzake gegevensbescherming?

Hoe kunnen Privacy-Enhancing Technologies (PET's) bijdragen aan de naleving van de privacywetgeving? In het kort: • PET's kunnen u helpen om een benadering te demonstreren waarbij privacybescherming "van nature" en "als standaard" wordt ingebouwd in uw processen. • PET's kunnen u helpen om te voldoen aan het principe van dataminimalisatie, door ervoor te zorgen dat u alleen de gegevens verwerkt die u nodig heeft voor uw doeleinden, en dat u een passend beveiligingsniveau biedt voor uw verwerking. • U kunt PET's gebruiken om toegang te geven tot datasets die anders te gevoelig zouden zijn om te delen, terwijl u tegelijkertijd ervoor zorgt dat de persoonlijke gegevens van individuen beschermd blijven.

ICO: How can Privacy Enhancing Technologies help with data protection compliance?

> How can PETs help with data protection compliance? At a glance • PETs can help you demonstrate a ‘data protection by design and by default’ approach to your processing. • PETs can help you to comply with the data minimisation principle by ensuring you only process the data you need for your purposes, and provide an appropriate level of security for your processing. • You can use PETs to give access to datasets which would otherwise be too sensitive to share, while ensuring individuals’ data is

ICO: How can privacy-enhancing technologies contribute to compliance with data protection legislation?

How can Privacy-Enhancing Technologies (PETs) contribute to compliance with privacy regulations? In short: • PETs can help you demonstrate an approach where privacy protection is "naturally" and "by default" integrated into your processes. • PETs can help you comply with the principle of data minimization by ensuring that you only process the data you need for your purposes, and that you provide an appropriate level of security for your processing. • You can use PETs to provide access to datasets that would otherwise be too sensitive to share, while simultaneously ensuring that the personal data of individuals remains protected.

Help make GDPR compliance easy for organisations: what templates would be helpful for you? Provide your feedback

Brussels, 5 November - The European Data Protection Board (EDPB) is taking an important step towards facilitating GDPR compliance for organisations by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Statement on enhanced clarity, support, and engagement, aims to provide practical tools that organisations can readily implement to meet their data protection obligations. To ensure these templates address the needs of organisations, the EDPB has launc

Help organizations comply with GDPR regulations: what templates would be useful to you? Please provide your feedback.

Brussels, November 5th - The European Data Protection Board (EDPB) is taking a significant step to help organizations comply with the General Data Protection Regulation (GDPR) by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Declaration on greater clarity, support, and engagement, aims to provide practical tools that organizations can easily implement to fulfill their data protection obligations. To ensure that these templates meet the needs of organizations, the EDPB...

Help organisaties om te voldoen aan de GDPR-regelgeving: welke templates zouden voor u nuttig zijn? Geef uw feedback.

Brussel, 5 november - Het Europees Comité voor gegevensbescherming (EDPB) neemt een belangrijke stap om organisaties te helpen bij het naleven van de AVG (Algemene Verordening Gegevensbescherming) door een reeks kant-en-klare templates te ontwikkelen. Dit initiatief, aangekondigd na de verklaring van Helsinki over meer duidelijkheid, ondersteuning en betrokkenheid, heeft als doel praktische hulpmiddelen te bieden die organisaties gemakkelijk kunnen implementeren om aan hun verplichtingen op het gebied van gegevensbescherming te voldoen. Om ervoor te zorgen dat deze templates aan de behoeften van organisaties voldoen, heeft het EDPB...

Kinderrechten Impact Assessment op Instagram

Government

Kinderrechten Impact Assessment op Instagram

Kinderrechten Impact Assessment op Snapchat

Government

Kinderrechten Impact Assessment op Snapchat

Kinderrechten Impact Assessment op TikTok

Government

Kinderrechten Impact Assessment op TikTok

De competitieve kompas.

Nieuws uit de Europese Unie.

Zoals eerder aangekondigd in het "Competitive Compass" (pagina 12), lijkt het erop dat, net als in een ander onderdeel van Omnibus III, de regels van de AVG (Algemene Verordening Gegevensbescherming) voor het MKB (middelgrote en kleine bedrijven) mogelijk vereenvoudigd zullen worden. Er lijkt gekeken te worden naar artikel 30 van de AVG (de registratieplicht), en volgens berichten in Politico zou er mogelijk ook...

The competitive compass.

News from the European Union.

As previously announced in the "Competitive Compass" (page 12), it appears that, similar to another section of Omnibus III, the rules of the GDPR (General Data Protection Regulation) for SMEs (small and medium-sized enterprises) may be simplified. There seems to be a focus on Article 30 of the GDPR (the registration requirement), and according to reports in Politico, there may also be changes to...

het Competitive Compass

EU News

Zoals al aangekondigd in het Competitive Compass (blz. 12), lijkt het nu op dat onderdeel van Omnibus III, ook de AVG-regels voor het MKB wat versimpeld zullen worden. Er lijkt te worden gekeken naar artikel 30 AVG (de registerverplichting), en in Politico wordt bericht dat er wellicht ook gekeke...

Deelrapport BZK

Government

Rijksbreed AVG-onderzoek 2024. Deelrapporten van de Auditdienst Rijk (ADR) over het rijksbrede AVG-onderzoek naar de inrichting en implementatie van privacy by design & default en de opvolging en monitoring van de resultaten uit Data Protection Impact Assessment (DPIA's).Deelrapport BZK