AI Risk Mitigation

Article 39

Conformiteitsbeoordelingsinstanties van derde landen

Recital 110

Recital 175

Recital 134

Recital 106

Recital 96

Recital 95

Recital 84

Recital 80

Recital 65

Recital 64

Recital 60

Recital 54

Recital 34

Recital 20

Recital 75

Recital 3

Recital 138

Recital 134

Recital 95

ECLI:NL:RBDHA:2026:3093 Rechtbank Den Haag , 17-02-2026 / AWB 24/12193

Rechtbank Den Haag

Overplaatsing COA opvang voor meerderjarigen, uitgaan leeftijdsregistratie minister, ongegrond.

ECLI:NL:RBAMS:2026:1705 Rechtbank Amsterdam , 17-02-2026 / 13-323122-25

Rechtbank Amsterdam

Vervolgings-EAB Italië. Overlevering toegestaan. Identiteit van de opgeëiste persoon. De rechtbank gaat ervan uit dat sprake is van een kennelijke verschrijving in de geboortedatum in het EAB. Genoegzaamheidsverweer verworpen. De rechtbank is van oordeel dat sprake is van een genoegzame omschrijving van de strafbare feiten waarvan de opgeëiste persoon in Italië wordt verdacht en dat voldoende duidelijk is in welke mate hij bij deze feiten betrokken zou zijn geweest. Artikel 11 OLW. Detentieomstandigheden in Italië. Verweer raadsman verworpen. In eerdere uitspraak is geen algemeen reëel gevaar van schending van grondrechten meer aangenomen ten aanzien van gedetineerden die een gevangenisstraf uitzitten in Italië. De raadsman heeft geen objectieve, betrouwbare, nauwkeurige en naar behoren bijgewerkte gegevens overgelegd waaruit een algemeen reëel gevaar van schending van artikel 4 Handvest van de grondrechten van de Europese Unie blijkt. Artikel 11 OLW staat dan ook niet aan overlevering van de opgeëiste persoon in de weg.

ECLI:NL:RBOVE:2026:715 Rechtbank Overijssel , 13-02-2026 / ak_25_971

Rechtbank Overijssel

Beroep n.a.v. afwijzing verzoek om inzage in verwerkte persoonsgegevens op grond van de Algemene Verordening Gegevensbescherming (AVG). Beroep ongegrond. Eiser wil inzage in persoonsgegevens in een adviesrapport van het Regionaal Informatie en Expertise Centrum (RIEC). Er zijn geen aanknopingspunten voor het oordeel dat de burgemeester zich niet op het standpunt heeft kunnen stellen dat de geheimhoudingsplicht op grond van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (hierna: de Wet Bibob) ertoe leidt dat de beperking op het recht op inzage noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daarom heeft de burgemeester een zwaarder gewicht kunnen toekennen aan deze geheimhoudingsplicht dan aan de belangen van eiser bij inzage in (de persoonsgegevens in) het RIEC-advies.

ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3

Raad van State

Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.

ECLI:NL:RBLIM:2026:1370 Rechtbank Limburg , 06-02-2026 / C/03/348527 / KG ZA 26-5

Rechtbank Limburg

Vordering tot afgifte camerabeelden afgewezen. Belang zorginstelling om haar medewerkers te beschermen prevaleert boven belang ouders om zelf over de camerabeelden te kunnen beschikken.

ECLI:NL:RBAMS:2026:1394 Rechtbank Amsterdam , 03-02-2026 / 13-297778-25 (EAB I)

Rechtbank Amsterdam

Vervolgings- en executie-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.

ECLI:NL:RBAMS:2026:1395 Rechtbank Amsterdam , 03-02-2026 / 13-297861-25 (EAB II)

Rechtbank Amsterdam

Vervolgings-EAB uit Polen. Gelijkstellingsverweer verworpen nu niet middels stukken een ononderbroken rechtmatig verblijf gedurende vijf jaar is aangetoond. Poolse detentieomstandigheden in remand regime: detentiegarantie afdoende. Overlevering toegestaan.

ECLI:NL:RBDHA:2026:1779 Rechtbank Den Haag , 29-01-2026 / C/09/696357 KG ZA 25-1252

Rechtbank Den Haag

Verbod om informatie te verspreiden die gedaagde via of in verband met zijn werkzaamheden voor eiser heft gekregen, vanwege een geheimhoudingsbeding uit een (inmiddels geëindigde) arbeidsovereenkomst.

ECLI:NL:RBROT:2026:1344 Rechtbank Rotterdam , 28-01-2026 / FT RK 25/1541 en FT RK 25/1543

Rechtbank Rotterdam

Afwijzing dwangakkoord. Nulaanbod niet het maximaal haalbare, geen ontheffing inspanningsplicht, VTLB onjuist

College van Beroep voor het bedrijfsleven

College van Beroep voor het bedrijfsleven

Artikel 8:29 Awb-beslissing. De gevraagde beperking van de kennisneming van bepaalde gegevens is gerechtvaardigd.

Gerechtshof Arnhem-Leeuwarden

Gerechtshof Arnhem-Leeuwarden

Soevereinen, verzoek anoniem procederen inspecteur, 8:29 Awb

Encrochat-gegevens

Gerechtshof

Tussenarrest met beslissingen op onderzoekswensen die zien op de rechtmatigheid en de betrouwbaarheid van SkyECC en Encrochat gegevens. De onderzoekswensen worden afgewezen. Ook wijst het hof het verzoek tot het stellen van prejudiciële vragen af.

Schending eer en goede naam en bescherming werknemers weegt zwaarder.

Rechtbank

Kort geding. Verbod op het doen van onrechtmatige uitlatingen en het benaderen van bestuurders, medewerkers, organen en locaties van de Stichting. Gebod tot het verwijderen van alle gedane openbare uitlatingen.

Geheimhouding

Gerechtshof

Geheimhouding

Weging vrijheid van meningsuiting en persoonlijke levenssfeer in het kader van een uitlatingsverbod. Algemeen uitlatingsverbod is onnodig en disproportioneel.

Gerechtshof

Arbeidsrecht. Kort geding. Geen post-contractuele zorgplicht van de werkgever voor gedrag van de ene ex-werknemer tegen de andere ex-werknemer. Artikel 10 EVRM, vrijheid van meningsuiting. Artikel 8 EVRM, respect voor het privéleven.

Inzageberoep ex art. 195 Rv onderzoeksrapport waarbij pseudonimiseren wel plaats moet vinden. In het geheel afwijzen mag niet.

Gerechtshof

Inzageverzoek ex art. 195 Rv. Werknemer verzoekt om inzage in het gehele onderzoeksrapport dat de werkgever deels heeft ingebracht in de procedure tot ontbinding van de arbeidsovereenkomst met de werknemer. Het hof oordeelt dat de belangen van de werknemer zwaarder wegen dan die van de werkgever en wijst het verzoek toe. Wel verbindt het hof voorwaarden aan de inzage.

Doel blokkeringsrecht in relatie medisch advies

Rechtbank

Afwijzing verzoek om ontheffing van de inburgeringsplicht op grond van medische of psychische redenen. Eiser heeft de medische adviezen geblokkeerd waardoor de staatssecretaris de medische gronden voor ontheffing niet kon beoordelen. De staatssecretaris mocht de ontheffing daarom weigeren. De rechtbank benoemt geen onafhankelijke deskundige omdat er geen concrete, objectieve aanknopingspunten zijn om te twijfelen aan de geblokkeerde medische adviezen. Beroep ongegrond.

Publicatie bepaalde gegevens over COA-medewerkers van sociale media verwijderd worden

Rechtbank

Het COA vordert dat gedaagde de bestaande berichten over COA-medewerkers op sociale media verwijdert en verwijderd houdt, en dat hem wordt verboden in de toekomst vergelijkbare uitlatingen te doen. De voorzieningenrechter oordeelt dat de berichten onrechtmatig zijn en wijst deze vorderingen toe.

Inzageverzoek politiegegevens terecht weigeringsgronden toegepast en op juiste wijze, m.u.v. toepassen maar niet vermelden een weigeringsgrond.

Rechtbank

Deze uitspraken gaan over de (gedeeltelijke) afwijzing van de verzoeken van eisers om inzage in hun persoonsgegevens op grond van de Wet politiegegevens. De rechtbank heeft alle onder geheimhouding overgelegde stukken zorgvuldig bestudeerd. De rechtbank komt tot het oordeel dat de besluiten van de minister op de verzoeken van eisers een motiveringsgebrek kennen. De beroepen zijn daarom gegrond. De rechtbank ziet echter aanleiding om de rechtsgevolgen van de besluiten in stand te laten. De rechtbank is van oordeel dat de minister de motiveringsgebreken in beroep heeft hersteld en de verzoeken van eisers terecht (gedeeltelijk) heeft afgewezen.

CASE OF FERRIERI AND BONASSISA v. ITALY

ECHR

Deze zaak gaat over de ruime discretionaire bevoegdheid van de Italiaanse belastingdienst om gegevens op te vragen van o.a. banken. De vraag die centraal stond is of deze inmenging bij “wet” is voorzien. Het EHRM herhaalt het materiële wetsbegrip (§70) en geeft aan dat de wet ook moet voorzien in...

Guidelines 02/2024 on Article 48 GDPR

Article 48 GDPR provides that: ' Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...

Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679

Guidelines on codes of conduct and monitoring bodies

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Richtsnoeren 2/2023 over het technische topassingsgebied van artikel 5, lid 3, van de eprivacyrichtlijn

guidelines technische toepassingsgebied van artikel 5(3) e-privacyrichtlijn

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

Richtsnoeren 01/2021

Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte

Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...

Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679

Versiegeschiedenis

Version history

Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG

guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 03/2021 voor de toepassing van artikel 65, lid 1, punt a), AVG

guidelines voor de toepassing van artikel 60 AVG

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Continental Automotive Products SRL: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €15.000 - Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense Autoriteit voor Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan Continental Automotive Products SRL. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.

PREMIER RESTAURANTS ROMANIA SRL: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

8.000 euro boete - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming heeft PREMIER RESTAURANTS ROMANIA SRL een boete van 8.000 euro opgelegd. De verantwoordelijke partij heeft onvoldoende technische en organisatorische maatregelen genomen, wat heeft geleid tot een cyberincident.

FREE MOBILE: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

27 miljoen euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

ONVOLDRAAGLIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

De Franse autoriteit voor gegevensbescherming (CNIL) heeft FREE een boete van 15.000.000 euro opgelegd. Het bedrijf heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen. Dit werd veroorzaakt door het gebruik van een ontoereikende authenticatiemethode om verbinding te maken met hun VPN voor thuiswerken. Bovendien heeft het bedrijf de betrokken personen niet voldoende geïnformeerd, omdat essentiële informatie ontbrak in de e-mail waarin de datalek werd gemeld.

Madrileña Red de Gas: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

12.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

Het gasbedrijf had geen passende maatregelen getroffen om de identiteit van de betrokkene te verifiëren. De persoon die de klacht heeft ingediend, beweert dat het bedrijf zijn gegevens per e-mail naar een derde partij heeft gestuurd als reactie op een verzoek.

Zelfstandig ondernemer - geen verdere details gepubliceerd: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Boete van €980 - Tsjechische Autoriteit voor Gegevensbescherming (UOOU).

De beheerder van een online spel is het slachtoffer geworden van meerdere DDoS-aanvallen, wat resulteerde in storingen van de servers. De aanvaller chanteerde de beheerder en dreigde dat de aanvallen niet zouden stoppen tenzij er geld werd betaald. Als onderdeel van de chantage bood de aanvaller aan om een verbeterde en betere firewallbescherming voor de servers van de beheerder te implementeren. De beheerder stemde ermee in en betaalde de aanvaller. De beheerder implementeerde de nieuwe code van de aanvaller, wat bleek beter te zijn dan de oude.

Sociale verzekeringsinstantie: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 50.000 euro - van het Slowaakse databeschermingskantoor.

Aanvragen voor sociale uitkeringen van Slovakische burgers werden per post naar buitenlandse instanties verzonden. Deze post is onderweg verloren gegaan, waardoor de locatie van deze persoonlijke gegevens niet kon worden achterhaald.

SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Slovaakse Autoriteit voor de Bescherming van Persoonsgegevens.

Documenten die persoonlijke gegevens bevatten, zijn op het gebied van de gemeentelijke afvalverwerkingsplaats vernietigd.

SLOVENAKIË: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Slovaakse Autoriteit voor Gegevensbescherming.

Overtreding van maatregelen ter bescherming van de informatiebeveiliging (op dit moment zijn er geen verdere details beschikbaar).

Roumasport S.R.L: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van €10.000 - De Roemeense nationale toezichthouder op de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 10.000 euro opgelegd aan Roumasport S.R.L. Het bedrijf heeft nagelaten voldoende technische en organisatorische maatregelen te implementeren, wat heeft geleid tot meerdere cyberincidenten.

Slovak Telekom: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 40.000 euro - van het Slowaakse databeschermingskantoor.

De verantwoordelijke partij heeft onvoldoende beveiligingsmaatregelen genomen bij de verwerking van persoonsgegevens, waardoor de verplichting om de verwerkte persoonsgegevens te beschermen is geschonden.

CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 500.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse gegevensbeschermingsautoriteit heeft CURENERGÍA COMERCIALIZADOR DE ÚLTIMO RECURSO S.A.U. een boete van 500.000 euro opgelegd. De verantwoordelijke partij heeft een communicatietool gebruikt die niet was ontworpen in overeenstemming met het "privacy by design"-principe. Hierdoor zijn berichten met persoonlijke gegevens, die bestemd waren voor een andere klant, in handen gekomen van een onafhankelijke derde partij.

NEXPUBLICA FRANKRIJK: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

1.700.000 euro boete - Frans Nationaal Instituut voor Gegevensbescherming (CNIL).

De Franse autoriteit voor gegevensbescherming (CNIL) heeft NEXPUBLICA FRANCE een boete van 1.700.000 euro opgelegd. De verantwoordelijke, die een softwareontwikkelaar was, heeft een softwarepakket ontwikkeld en aangeboden dat bedoeld is om de relaties met gebruikers te beheren in de sector van maatschappelijke activiteiten. Onvoldoende technische en organisatorische maatregelen hebben geleid tot een cyberincident dat de software heeft getroffen.

EXCEL HOTELS & RESORTS, S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 32.000 euro - opgelegd door de Spaanse autoriteit voor gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft EXCEL HOTELS & RESORTS, S.A. een boete van 32.000 euro opgelegd. Het bedrijf gebruikte beveiligingspersoneel om de toegang tot haar faciliteit te controleren. Dit beveiligingspersoneel liet regelmatig documenten met persoonlijke gegevens achter op hun post, waardoor deze toegankelijk werden voor derden. De oorspronkelijke boete van 40.000 euro is verlaagd naar 32.000 euro vanwege de onmiddellijke betaling.

De Hogeschool Arnhem en Nijmegen: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

175.000 euro boete - Nederlandse Autoriteit Persoonsgegevens (AP).

De Nederlandse Autoriteit Persoonsgegevens heeft een boete van 175.000 euro opgelegd aan de Hogeschool Arnhem en Nijmegen. De verantwoordelijke partij heeft een datalek geleden als gevolg van onvoldoende technische en organisatorische maatregelen.

Compania de Apa Oltenia S.A.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van €1.000 - De Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense autoriteit voor gegevensbescherming (DPA) heeft een boete van 1.000 euro opgelegd aan Compania de Apa Oltenia S.A. De verantwoordelijke partij heeft nagelaten om adequate technische en organisatorische maatregelen te implementeren om de gegevensbeveiliging te waarborgen, wat heeft geresulteerd in het uitlekken van persoonlijke gegevens op sociale media.

RISING SUN CAR RENTAL S.L.: Niet-naleving van de algemene principes voor gegevensverwerking.

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft RISING SUN CAR RENTAL S.L. een boete van 3.600 euro opgelegd. De verantwoordelijke partij gebruikte videobewaking om de veiligheid op haar locatie te waarborgen, maar dit omvatte meer gebieden dan noodzakelijk was voor dit doel. Bovendien heeft de verantwoordelijke partij geen borden geplaatst om betrokkenen te informeren over de videobewaking. De oorspronkelijke boete van 6.000 euro is verlaagd tot 3.600 euro vanwege de onmiddellijke betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

SPRINTER MEGACENTROS DEL DEPORTE, S.L.: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

1.560.000 euro boete - Spaanse Autoriteit voor Gegevensbescherming (AEPD).

De Spaanse autoriteit voor gegevensbescherming (DPA) heeft SPRINTER MEGACENTROS DEL DEPORTE, S.L. een boete van 1.560.000 euro opgelegd. De verantwoordelijke partij is het slachtoffer geworden van een cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen. Bovendien heeft de verantwoordelijke partij de betrokken personen die door de inbreuk zijn getroffen, niet voldoende geïnformeerd. De oorspronkelijke boete van 2.600.000 euro is verlaagd tot 1.560.000 euro vanwege de directe betaling en de erkenning van verantwoordelijkheid door de verantwoordelijke partij.

Nițu A. Cleopatra – Expert Accountant: Onvoldoende technische en organisatorische maatregelen om de informatiebeveiliging te waarborgen.

Een boete van 2.000 euro - van de Roemeense nationale toezichthoudende autoriteit voor de verwerking van persoonsgegevens (ANSPDCP).

De Roemeense Autoriteit Persoonsgegevens (DPA) heeft een boete van 2.000 euro opgelegd aan Nițu A. Cleopatra – Expert Accountant. Deze organisatie was het doelwit van een succesvolle cyberaanval als gevolg van onvoldoende technische en organisatorische maatregelen om de gegevensbeveiliging te waarborgen.

Verisure Italy s.r.l.: Niet-naleving van algemene principes voor gegevensverwerking.

Een boete van 400.000 euro - van de Italiaanse Autoriteit voor Gegevensbescherming (Garante).

De Italiaanse gegevensbeschermingsautoriteit heeft Verisure Italy s.r.l. een boete van 400.000 euro opgelegd. De verantwoordelijke partij was actief met direct marketingactiviteiten. De verantwoordelijke partij heeft nagelaten te waarborgen dat de toestemming die door de betrokkenen was verstrekt, geldig was. Bovendien heeft de verantwoordelijke partij nagelaten om adequate bewaartermijnen voor de verwerkte gegevens in te stellen. Ten slotte heeft de verantwoordelijke partij niet adequaat gereageerd op de verzoeken van de betrokkenen om hun rechten uit te oefenen, en heeft zij hen niet voldoende geïnformeerd over de verwerking van hun gegevens.

Trump’s MFN drug pricing impact still unclear in Denmark and Sweden [Advocacy Lab]

Denmark and Sweden are assessing how Trump’s 'Most Favoured Nation' push is affecting medicine access, now and long-term, despite safeguards in their value-based models

European Commission’s plans will lead to worse regulations

EDRi is deeply concerned that the European Commission’s current plans to amend the Better Regulation framework will lead to worse lawmaking, not better. In its submission to the Commission, EDRi shares recommendations to ensure balanced representation, fairness, transparency, and meaningful safeguards in EU lawmaking. The post European Commission’s plans will lead to worse regulations appeared first on European Digital Rights (EDRi).

Privacy watchdog urges curbs in temporary chat-scanning law

The EDPS renews its call to add extra safeguards against indiscriminate chat-scanning in planned extension to temporary rules

Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights

EDRi has assessed the Digital Omnibus proposals affecting the General Data Protection Regulation (GDPR) and the ePrivacy framework. While presented as simplification, the changes amount to deregulation in effect, weakening fundamental rights safeguards, increasing legal uncertainty, and advancing through a process that falls short of democratic lawmaking standards. The post Reopening GDPR and ePrivacy through the Digital Omnibus: a risky path for EU digital rights appeared first on European Digi

EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights

Brussels, 21 January - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the European Commission’s Proposal for the ‘Digital Omnibus on AI’. The Proposal seeks to simplify the implementation of certain harmonised rules under the AI Act to ensure their effective application.The EDPB and the EDPS support the objective of addressing practical challenges relating to the implementation of the AI Act. Administrative simplificat

Kort gezegd:

Nieuws uit de Europese Unie.

"Deze briefing analyseert de oprichting van de Europese Autoriteit voor het Bestrijden van Geldwitwassen en Terrorismefinanciering (AMLA) als een belangrijk onderdeel van de hervorming van de EU-wetgeving op het gebied van het bestrijden van geldwitwassen en terrorismefinanciering (AML/CFT) in 2024. Nu AMLA officieel haar activiteiten in de zomer van 2025 is begonnen, is een belangrijke vraag..."

CNIL (Frankrijk) - SAN-2025-015

=== Verwerking ====== Verwerking === Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. Het geschil betrof de verantwoordelijkheid van de verwerker voor het implementeren van adequate beveiligingsmaatregelen, zoals vereist volgens artikel 32 van de AVG. "Over de eerlijkheid van de procedure:" "Over de eerlijkheid van de procedure:" "Over verantwoordelijkheden:" "Over verantwoordelijkheden:"

ΔΔΚ - 1181/18

Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke).

ΔΔΚ - 1181/18

Feiten === Feiten ====== Feiten === Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit.

Artikel 41 van de AVG (Algemene Verordening Gegevensbescherming).

(a) Aantoonbare onafhankelijkheid en expertise ===== (a) Aantoonbare onafhankelijkheid en expertise ========== (a) Aantoonbare onafhankelijkheid en expertise ===== Het is duidelijk uit artikel 41(1) van de AVG dat de instantie een "passend niveau van expertise" moet bezitten op het gebied waar de gedragscode betrekking op heeft, met als doel een effectieve naleving te waarborgen. Dit is ook een vereiste van het proces dat is beschreven in artikel 41(2)(a) van de AVG, volgens welke de toezichthoudende instantie "kan zijn..."

Wanneer gegevens betrekking hebben op ons.

De uitspraak over de verhouding tussen de Europese Toezichthouder voor Gegevensbescherming (EDPS) en het Single Resolution Board (SRB) raakt de kern van het fundamentele recht op gegevensbescherming binnen de EU en bepaalt hoe kunstmatige intelligentie, dataruimtes en zogenaamde privacy-verbeterende technologieën (PET's) in de praktijk zullen worden gereguleerd. De uitspraak van het Gerechtshof van de Europese Unie (HvJ EU) komt op een cruciaal moment om te herhalen wat als persoonsgegevens wordt beschouwd, en benadrukt het belang van de bescherming die de Algemene Verordening Gegevensbescherming (AVG) beoogt te waarborgen. De post "Wanneer gegevens betrekking hebben op ons..."

Europe is dismantling its digital rights from within

The European Commission’s new Digital Omnibus is presented as simple “streamlining”, but in practice it dismantles key safeguards in the GDPR, ePrivacy rules and the AI Act. It would make access to device data easier, weaken limits on automated decision-making and lower protections against discriminatory AI. The post Europe is dismantling its digital rights from within appeared first on European Digital Rights (EDRi).

Europe is undermining its own digital rights from within.

The new "Digital Omnibus" from the European Commission is presented as a simple "simplification," but in practice, it undermines important safeguards in the GDPR, the ePrivacy regulations, and the AI Act. It would make access to device data easier, weaken restrictions on automated decision-making, and reduce protection against discriminatory AI. The article "Europe Undermines Its Digital Rights From Within" originally appeared on European Digital Rights (EDRi).

Europa ondermijnt haar eigen digitale rechten van binnenuit.

De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).

Why the "Digital Omnibus" threatens privacy regulations (GDPR and ePrivacy).

On November 19th, the European Commission published two so-called "omnibus" proposals: one revising key aspects of the General Data Protection Regulation (GDPR) and the ePrivacy rules, along with other data-related laws, and the other an amendment to the AI Act. This article focuses on the first proposal. It explains how the proposed changes could weaken fundamental rights related to data protection and the confidentiality of communications, and why the combined effect risks undermining long-standing safeguards for individuals within the EU.

Waarom de "Digital Omnibus" de privacyregels (AVG en ePrivacy) in gevaar brengt.

Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.

Why the Digital Omnibus puts GDPR and ePrivacy at risk

On 19 November, the European Commission has published two Omnibus proposals: one that rewrites key parts of the General Data Protection Regulation (GDPR) and ePrivacy rules, along with other data-related laws, and another that amends the AI Act. This article focuses on the first proposal. It explains how the changes would weaken core rights to data protection and the confidentiality of communications, and why the combined effect risks reshaping long-standing safeguards for people in the EU. The

De Europese Unie heeft ondanks waarschuwingen een digitaal handelsakkoord met Singapore aangenomen: een tegenslag voor digitale rechten en democratische controle.

Het Europees Parlement heeft het EU-Singapore digitaal handelsakkoord goedgekeurd en een motie verworpen om een advies van het Gerechtshof van de Europese Unie te vragen over de legaliteit ervan. Dit besluit verzwakt het vermogen van de Unie om de privacy, de bescherming van gegevens en de verantwoordelijkheid met betrekking tot softwaresystemen te waarborgen, op een moment dat de druk om regulering te versoepelen in heel Europa toeneemt. Het artikel "De EU sluit een digitaal handelsakkoord met Singapore, ondanks waarschuwingen: een tegenslag voor digitale rechten en democratische controle" verscheen oorspronkelijk op European D.

The AI law is not sufficient: we must address the dangerous loopholes that enable abuse and violate people's rights.

While the EU's AI legislation aims to regulate high-risk AI systems, it is undermined by significant exceptions that allow for their uncontrolled application in the context of national security and law enforcement. These exceptions risk, among other things, enabling mass surveillance of protests and discriminatory migration practices. To prevent this, the EDRi partner Danes je nov has published recommendations for Slovenia to implement stricter national safeguards and transparent oversight mechanisms. The post "The AI legislation is not..."

The AI Act isn’t enough: closing the dangerous loopholes that enable rights violations

While the EU's AI Act aims to regulate high-risk AI systems, it is undermined by major loopholes that allow their unchecked use in the context of national security and law enforcement. These exemptions risk enabling, among others, mass surveillance of protests and discriminatory migration practices. To prevent this, EDRi affiliate Danes je nov dan has published recommendations for Slovenia to adopt stricter national safeguards and transparent oversight mechanisms. The post The AI Act isn’t