News

Corrected and added some links, removed duplicate in short summary. }}}} An DPA denied a complaint against a public body under Articles 9 and 77 GDPR, holding that publication of a data subject’s political donation did not violate the GDPR because the controller had a lawful basis.An DPA denied a complaint against a public body under [[Article 9 GDPR|Articles 9]] and [[Article 77 GDPR|77 GDPR]], holding that publication of a data subject’s political donation did not violate them because the cont

Government

“Het kabinet onderschrijft het belang van de bescherming van grondrechten en waardeert dat de Commissie hieraan eveneens aandacht schenkt. Niettemin plaatst het kabinet kanttekeningen bij het voorstel, gezien het feit dat de regeling voorziet in een grootschalige beschikbaarstelling van gevoelige...

Facts }}}} A court held that an insurance company may lawfully process health data of an applicant for voluntary personal insurance at the application stage under the national insurance derogation, overturning a prohibition order issued by the DPA.A court held that an insurance company may lawfully process health data concerning an application for voluntary personal insurance in accordance with Article 9(2)(g) GDPR and national insurance law. The court found that such processing is necessary for

Facts: A court has ruled that an insurance company is legally permitted to process health data from an applicant for a voluntary personal insurance policy during the application phase, under the national exception for insurance. This overturned a previous injunction issued by the Data Protection Authority. A court has also ruled that an insurance company is legally permitted to process health data related to an application for a voluntary personal insurance policy, in accordance with Article 9(2)(g) of the GDPR and national insurance legislation. The court found that such processing is necessary for...

|Initiële bijdrager=|Initiële bijdrager= || }}}} Het Hooggerechtshof heeft geoordeeld dat Meta zijn gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen, ontvangers en doeleinden; een eenvoudige lijst is onvoldoende. Bovendien heeft het hof bepaald dat gepersonaliseerde advertenties en de verwerking van (gevoelige) persoonlijke gegevens van websites van derden de toestemming van de betrokkene vereisen. Het Oostenrijkse Hooggerechtshof heeft geoordeeld dat Meta gebruikers volledige toegang moet bieden tot alle persoonlijke gegevens, inclusief de bronnen.

Feiten: Een rechtbank heeft geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens van een aanvrager voor een vrijwillige persoonlijke verzekering mag verwerken tijdens de aanvraagfase, onder de nationale uitzondering voor verzekeringen. Dit vernietigde een eerder uitgevaardigd verbodsbevel van de Autoriteit Persoonsgegevens. Een rechtbank heeft ook geoordeeld dat een verzekeringsmaatschappij op rechtmatige wijze gezondheidsgegevens mag verwerken met betrekking tot een aanvraag voor een vrijwillige persoonlijke verzekering, in overeenstemming met artikel 9(2)(g) AVG en de nationale verzekeringswetgeving. De rechtbank heeft vastgesteld dat dergelijke verwerking noodzakelijk is voor...

De verplichtingen voor leeftijdsverificatie verspreiden zich snel en brengen een nieuw tijdperk van online toezicht, censuur en uitsluiting met zich mee, niet alleen voor jongeren, maar voor iedereen. Wetten die leeftijdscontrole vereisen, verplichten websites en apps doorgaans om gevoelige gegevens van elke gebruiker te verzamelen, vaak via ingrijpende methoden zoals identiteitscontroles, biometrische scans of andere twijfelachtige "schattingstechnieken", voordat ze toegang verlenen tot bepaalde inhoud of diensten. Wetgevers prijzen deze wetten als de ultieme oplossing voor de "online veiligheid van kinderen."

De komende maanden gaat de Autoriteit Persoonsgegevens (AP) steekproefsgewijs zorgaanbieders bezoeken, zoals ziekenhuizen of huisartsenposten. De AP wil controleren hoe zij omgaan met informatie over patiënten en cliënten, waaronder gevoelige gegevens over hun gezondheid. Ook geeft de AP voorlichting over de regels en hoe zorgaanbieders daaraan moeten voldoen.

Legislation

Kamerstukken II 36278, nr. 37, (Wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken (Wet kwaliteitsregistr...

Legislation

Wijziging van de Wet kwaliteit, klachten en geschillen zorg in verband met het regelen van regie op kwaliteitsregistraties in de zorg en grondslagen om ten behoeve van die kwaliteitsregistraties bijzondere persoonsgegevens te kunnen verwerken (Wet kwaliteitsregistraties zorg), nr. 13

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

In 'Vyriausioji Tarnybinės Etikos Komisija' the CJEU held that the name of civil servants' spouse, cohabitant or partner and of the subject of their transactions (indirectly sexual orientation) are special categories of personal data. The Court relies on the broad definition of "data concerning health" in article [4(15) GDPR](https://docs.legal.digital/gdpr/#article-4) & the guidance in [Recital 35](https://docs.legal.digital/gdpr/#rec35) to highlight that context must be taken into account when

> The Danish DPA held that the law firm lacked basic security measures, especially considering the fact that its processing involved special categories of personal data. The DPA emphasized that in such cases a data breach would almost certainly entail a high risk to the data subjects' rights. Therefore, the controller must have especially strict security measures in place to avoid unauthorised accesses. Hence, when creating remote access to such IT systems, the controller could, for instance, im

Een overzicht van de boete die aan IAPP is opgelegd: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

A rundown of the fine on IAPP: https://iapp.org/news/a/a-rundown-of-the-greek-dpas-clearview-ai-fine-findings

> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.

> Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State

The EDPB adopted a statement on the European Commission’s proposal for an EU Police Cooperation Code. This proposal aims to enhance law enforcement cooperation across Member States, in particular the information exchange between the competent authorities. The code is comprised of three main measures: proposal for a Prüm II Regulation, proposal for a Police Information Exchange Directive and the proposal for a Council Recommendation on operational police cooperation.

The processing of personal data that may indirectly reveal sensitive information about an individual, such as information about their sexual orientation, may qualify as processing of "special categories of personal data" within the meaning of the AVG. The processing of such sensitive data is prohibited in principle. This is the EU Court's answer to questions from a Lithuanian judge.

> DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022, available online; it was subject to a public consultation until 27 June 2022).

> Do we need an Chief Privacy Officer, a Data Protection Officer, or do we need both?In the following article, I will examine the benefits of both roles, but I will also look at some of the challenges related to each of the roles and why these have impelled both Data Protection Officers and organisations to question what the ideal setup is for them.