Statistics

Recital 37

Article 89

Amendments to Directive 2000/31/EC

Article 89

Wijzigingen van Richtlijn 2000/31/EG

Artikel 24

Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden

May 16, 2018 UAVG

Article 89

Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

Article 89

Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

Recital 50

Recital 52

Feb 11, 2026 Raad van State

Case Law (39)

View all 39

ECLI:NL:RVS:2026:746 Raad van State , 11-02-2026 / 202203874/1/A3

Raad van State

Bij besluit van 16 april 2019 heeft de Autoriteit Persoonsgegevens het verzoek van [appellant] om handhavend op te treden tegen Stichting Focus Filmtheater en Focus Horeca B.V. afgewezen. [appellant] wil met contant geld een bioscoopkaartje kunnen kopen bij Focus. In 2018 is Focus verhuisd naar een nieuw pand en sindsdien kunnen bioscoopkaartjes alleen nog met pinpas of creditcard, of online via de website gekocht worden. Ook consumpties in de horecagelegenheid van Focus kunnen alleen nog met pin of creditcard betaald worden. [appellant] vindt dit in strijd met zijn recht op privéleven, omdat daarbij onnodig persoonsgegevens van hem verwerkt worden. Daarom heeft hij de AP verzocht om, met toepassing van de Algemene Verordening Gegevensbescherming (hierna: AVG) onderzoek te doen naar en handhavend op te treden tegen de afschaffing van de mogelijkheid van contante betalingen door Focus. De AP heeft op basis van bureauonderzoek het niet aannemelijk geacht dat zich mogelijkerwijs een overtreding van de AVG voordoet doordat Focus geen contante betalingen accepteert. De AP heeft het handhavingsverzoek daarom afgewezen.

XH v European Commission

CJEU

Gaat om een beroep van T-613/21. In beroep wordt gesteld dat het Gerecht de professionele context als reden zag om de gegevens niet als persoonsgegevens te zien, maar dit is niet juist volgens het HvJ EU. Het feit dat het hier om informatie verwerkt in een werkgerelateerde context is niet een doo...

Jan 19, 2026 CJEU

Geen vernietiging persoonsgegevens dossier RvdK, maar wel schadevergoeding voor inzage derden gedurende periode dat deze verwijderd hadden moeten zijn

Rechtbank

AVG. Verzoek van eiser om vernietiging van alle persoonsgegevens die de RvdK over hem heeft verwerkt. De RvdK heeft onvoldoende aannemelijk gemaakt dat derden geen kennis hebben genomen of hebben kunnen nemen van de gegevens die al vernietigd hadden moeten zijn. Gelet op de inhoud van het dossier is het bovendien niet uit te sluiten dat deze gegevens wel degelijk voor het derden toegankelijk zijn geweest. Eiser heeft de gestelde schade in voldoende mate aannemelijk gemaakt. Recht op schadevergoeding. Beroep gegrond.

Jan 19, 2026 Rechtbank

Weigering openbaar maken documenten met medische gegevens collega ambtenaar gerechtvaardigd

Dutch Courts

Verzoek om inzage in documenten die ten grondslag liggen aan het voornemen tot ontslag afgewezen. Het Gerecht vernietigt deze afwijzing, omdat de Regering onvoldoende heeft gemotiveerd waarom klaagster geen inzage kan krijgen in (een deel van) de gevraagde stukken.

Sep 23, 2025 Dutch Courts

Woo- verzoek inzake o.m. vaststellingosvk afgewezen omdat daarin afspraken in zijn opgenomen van tussen gemeente en een ander persoon die zien op de woonsituatie van deze andere persoon.

Rechtbank

May 19, 2025 Rechtbank

HvJ EU 9 januari 2025, C‑394/23 (Mousse).

CJEU

HvJ EU 9 januari 2025, C‑394/23 (Mousse). Artikelen: 5(1)(c), 6(1), en 21 AVG Onderwerp : Beginsel van minimale gegevensverwerking Gek genoeg verwijst het HvJ EU zelf niet naar HvJ EU 1 augustus 2022, C‑184/20 (Vyriausioji tarnybinės etikos komisija), maar dat had hier ook heel logisch geweest.

Jan 21, 2025 CJEU

VB v Natsionalna agentsia za prihodite

C-340/21 (VB v Natsionalna agentsia)

Data breach alone does not establish inadequate security measures. Burden on controller to prove adequacy.

Dec 14, 2023 CJEU

Deutsche Wohnen SE v Staatsanwaltschaft Berlin

C-807/21 (Deutsche Wohnen)

Fines can be imposed directly on legal persons without identifying responsible natural person.

Dec 5, 2023 CJEU

Österreichische Datenschutzbehörde v CRIF

C-487/21 (Österreichische Datenschutzbehörde)

Right of access includes obtaining a copy in commonly used electronic form.

Oct 26, 2023 CJEU

Meta Platforms and Others v Bundeskartellamt

C-601/21 (Meta Platforms (Bundeskartellamt))

Competition authorities can assess GDPR compliance in context of competition law proceedings.

Jul 4, 2023 CJEU

UI v Österreichische Post AG

C-300/21 (Österreichische Post)

Right to compensation under GDPR Article 82 requires proof of actual damage.

May 4, 2023 CJEU

Meta Platforms v noyb

C-252/21 (Meta Platforms (noyb))

GDPR consent requirements and lead supervisory authority mechanism.

Jan 12, 2023 CJEU

Privacy International v Secretary of State

C-623/17 (Privacy International)

General and indiscriminate transmission of traffic data to security agencies incompatible with EU law.

Oct 6, 2020 CJEU

Data Protection Commissioner v Facebook Ireland and Maximillian Schrems

C-311/18 (Schrems II)

Invalidated Privacy Shield adequacy decision and upheld validity of Standard Contractual Clauses with additional safeguards required.

Jul 16, 2020 CJEU

HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)

Het Hof van Justitie verklaart het Privacy Shield-akkoord ongeldig wegens onvoldoende waarborgen voor Europese burgers tegen toegang door Amerikaanse inlichtingendiensten.

Jul 16, 2020 Hof van Justitie EU

Bundesverband der Verbraucherzentralen v Planet49 GmbH

C-673/17 (Planet49)

Pre-ticked checkboxes do not constitute valid consent. Consent must be active.

Oct 1, 2019 CJEU

Google LLC v CNIL

C-507/17 (Google Territorial Scope)

Right to delisting does not require global de-referencing under EU law.

Sep 24, 2019 CJEU

GC and Others v CNIL

C-136/17 (GC and Others)

Conditions for delisting sensitive data from search results.

Sep 24, 2019 CJEU

Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW eV

C-40/17 (Fashion ID)

Website operators using Facebook Like button are joint controllers for data collection.

Jul 29, 2019 CJEU

SERGEJS BUIVIDS v. THE AUGSTĀKĀ TIESA

Buivids

Processing: A video recording of persons which is stored on a continuous recording device — the hard disk drive of that system — constitutes automatic processing of personal data (see, Ryneš). (¶34). Also, loading personal data onto an internet page constitutes processing since placing information on an internet page entails the operation of loading that page onto a server and the operations necessary to make that page accessible to people who are connected to the internet which are performed, a

Feb 14, 2019 CJEU

Guidance (23)

View all 23

Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur

guidelines cameratoezicht

Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen

guidelines privacy by design en default

GROEP GEGEVENSBESCHERMING ARTIKEL 29

guidelines transparantie

Guidelines 02/2021 on virtual voice assistants

Guidelines on virtual voice assistants

A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...

ARTICLE 29 DATA PROTECTION WORKING PARTY

Guidelines on transparency

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Guidelines on the territorial scope of the GDPR

Guidelines 8/2020 on the targeting of social media users

Guidelines on the targeting of social media users

Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1)

Guidelines on the criteria of the right to be forgotten in the search engines cases under the GDPR (part 1)

Guidelines 3/2019 on processing of personal data through video devices

Guidelines on processing of personal data through video devices

Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Guidelines on the concepts of controller and processor in the GDPR

The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The conc...

Guidelines 01/2022 on data subject rights - Right of access

Guidelines on data subject rights - Right of access

The right of access of data subjects is enshrined in Art. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020

Guidelines on data protection by design and by default

Guidelines 05/2020 on consent under Regulation 2016/679

Guidelines on consent

Version history

Guidelines on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies

Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679

guidelines toestemming

Richtsnoeren 3/2018 over het territoriale toepassingsgebied van de AVG (artikel 3)

guidelines territoriaal toepassingsgebied AVG

Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media

guidelines targeting gebruikers sociale media

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG

De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...

Versiegeschiedenis

guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER

Jun 30, 2023 Data Protection Authority of Sweden

Enforcement (2)

Tele2 Sverige Aktiebolag: Insufficient technical and organisational measures to ensure information security

€1,000,000 fine - Data Protection Authority of Sweden

The Swedish DPA has imposed a fine of EUR 1 million on Tele2 Sverige Aktiebolag. The Austrian organization None of your Business (NOYB) had filed a complaint against the company in light of the Schrems II judgment, stating that the company was unlawfully transferring personal data to the US. The company had used Google Analytics for visitor statistics and based the data processing by the statistics tool on the EU standard contractual clauses, as no adequacy decision had been issued by the EU Com

CDON AB: Insufficient technical and organisational measures to ensure information security

€25,000 fine - Data Protection Authority of Sweden

The Swedish DPA has imposed a fine of EUR 25,000 on CDON AB. The Austrian organization None of your Business (NOYB) had filed a complaint against the company in light of the Schrems II judgment, stating that the company was unlawfully transferring personal data to the US. The company had used Google Analytics for visitor statistics and based the data processing by the statistics tool on the EU standard contractual clauses in the absence of an EU Commission adequacy decision for the USA. In the c

Jun 30, 2023 Data Protection Authority of Sweden

News (13)

Legacy Switches: A Proposal to Protect Privacy, Security, Competition, and the Environment from the Internet of Things

Georgetown University Law Center researchers propose that every IoT device manufacturer build a switch into their devices that disables any smart feature that contributes to security or privacy risks. This will render a smart thermostat just a thermostat and a smart doorbell just a doorbell, and will disable microphones, sensors, and wireless connectivity. Any user should find it easy to use and easy to verify whether the switch has been toggled.

Nov 7, 2025 SSRN

Health data and use of cookies: DOCTISSIMO fined €380,000

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

May 17, 2023 CNIL

Beyond Data Ownership

Data ownership proposals are misguided and would be self-defeating if implemented. Instead, privacy law reform should focus on strengthening ongoing use restrictions over personal data, according to this article.

Voorbij de kwestie van data-eigendom.

Voorstellen over het eigendom van data zijn misplaatst en zouden averechts werken als ze zouden worden doorgevoerd. In plaats daarvan moet hervorming van de privacywetgeving zich richten op het versterken van de bestaande beperkingen op het gebruik van persoonlijke gegevens, zo stelt dit artikel.

Manipulation by Algorithms. Exploring the Triangle of Unfair Commercial Practice, Data Protection, and Privacy Law

Machine learning can be used to optimize sales practices in consumer markets, but it also raises concerns about manipulation. According to this article, in order to mitigate these risks, we need to understand how unfair commercial practice, data protection, and privacy law interact.

Manipulatie door algoritmes. Een onderzoek naar de driehoek van oneerlijke commerciële praktijken, gegevensbescherming en privacyrecht.

Machine learning kan worden gebruikt om verkoopstrategieën in de consumentenmarkt te optimaliseren, maar het roept ook zorgen op over manipulatie. Volgens dit artikel is het belangrijk om te begrijpen hoe oneerlijke handelspraktijken, gegevensbescherming en privacywetgeving met elkaar samenhangen, om deze risico's te beperken.