News

The New York Times reported that Meta is considering adding face recognition technology to its smart glasses. According to an internal Meta document, the company may launch the product “during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns.” This is a bad idea that Meta should abandon. If adopted and released to the public, it would violate the privacy rights of millions of people and cost the

Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027, which is grounded in the four pillars of the EDPB strategy 2024-2027. The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation. Easing compliance is at the top of

Discord has begun rolling out mandatory age verification and the internet is, understandably, freaking out. At EFF, we’ve been raising the alarm about age verification mandates for years. In December, we launched our Age Verification Resource Hub to push back against laws and platform policies that require users to hand over sensitive personal information just to access basic online services. At the time, age gates were largely enforced in polities where it was mandated by law. Now they’re landi

De Autoriteit Persoonsgegevens (AP) waarschuwt gebruikers en organisaties voor het gebruik van OpenClaw en soortgelijke experimentele systemen. De aanleiding is de hoge snelheid waarmee OpenClaw populair is geworden. Dit soort open source-systemen voldoen al snel niet aan basisveiligheidseisen. Het gebruik van dergelijke experimentele AI-agents brengt grote risico’s met zich mee, zoals datalekken en accountovernames.

Gemeenten vinden het lastig om misbruik van persoonsgegevens door eigen ambtenaren te signaleren. Het gaat dan bijvoorbeeld om ambtenaren die onder druk informatie verstrekken aan criminelen. Dit soort datalekken komt meestal pas aan het licht als de Rijksrecherche of een inwoner de gemeente erop wijst. Gemeenten die het misbruik wel ontdekken, melden zo’n datalek regelmatig niet aan de Autoriteit Persoonsgegevens (AP), terwijl dat wel zou moeten.

So many data breaches happen throughout the year that it can be pretty easy to gloss over not just if, but how many different breaches compromised your data. We're diving into these data breaches and more with our latest EFFector newsletter. Since 1990, EFFector has been your guide to understanding the intersection of technology, civil liberties, and the law. This latest issue tracks U.S. Immigration and Customs Enforcement's (ICE) surveillance spending spree, explains how hackers are

=== Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting approximately 46,900,000 users worldwide, out if which 21,574,775 users located i

}}}} Het gerecht heeft €100 aan immateriële schade toegekend naar aanleiding van een grootschalig datalek dat een sociaal netwerk trof. Hoewel de schade als gering werd beschouwd, oordeelde het gerecht dat de ongeautoriseerde koppeling en openbare verspreiding van het telefoonnummer van de betrokkene met andere profielgegevens resulteerde in een verlies van controle over persoonlijke gegevens, wat op zichzelf al een vergoeding waardige immateriële schade vormde. Het gerecht heeft €100 aan immateriële schade toegekend naar aanleiding van een grootschalig datalek.

=== Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected 21,574,775 users, of whom 9,849,354 were located in France. DEEZER has identified Mobius Solutions Ltd (the data processor) as the likely source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach that affected approximately 46,900,000 users worldwide, of whom 21,574,775 were located in France.

=== Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers heeft getroffen, waarvan 9.849.354 gebruikers zich in Frankrijk bevonden. DEEZER heeft Mobius Solutions Ltd (de verwerker) geïdentificeerd als de waarschijnlijke bron van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat ongeveer 46.900.000 gebruikers wereldwijd heeft getroffen, waarvan 21.574.775 gebruikers zich in Frankrijk bevonden.

}}}} The court has awarded €100 in non-pecuniary damages following a large-scale data breach that affected a social network. While the damage was considered minor, the court ruled that the unauthorized linking and public dissemination of the individual's phone number with other profile data resulted in a loss of control over personal data, which in itself constituted non-pecuniary damage worthy of compensation. The court has awarded €100 in non-pecuniary damages following a large-scale data breach.

On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 2nd and November 10th, 2022, individuals who used the portal informed the responsible party that they had accessed files related to other individuals. On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). On November 22nd, 2022, the responsible party reported the data breach to the Data Protection Authority (AP). The data breach was caused by a configuration error.

The data protection authority (DPA) has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. The DPA has imposed a fine of €1,700,000 on a data processor that had incorrectly configured a software program. This program processed files related to people with disabilities, which resulted in a large-scale data breach. == Summary in English == == Summary in English == === Facts === A software company...

Feiten === Feiten ====== Feiten === DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. DEEZER (de verantwoordelijke) heeft geïdentificeerd dat Mobius Solutions Ltd (de verwerker) waarschijnlijk de bron is van het datalek. De gegevensbeschermingsautoriteit heeft een onderzoek naar de verwerker gestart. DEEZER (de verantwoordelijke) heeft de Franse gegevensbeschermingsautoriteit (CNIL) geïnformeerd over een datalek dat 21.574.775 gebruikers treft, waarvan 9.849.354 gebruikers zich in Frankrijk bevinden. De verantwoorde...

On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 2 November and 10 November 2022, data subjects using the portal reported to the controller that they had access to files relating to other data subjects. On 22 November 2022, the controller notified the data breach to the DPA. On 22 November 2022, the controller notified the data breach to the DPA. The breach was found to be due to a conf

}}}} De gegevensbeschermingsautoriteit (DPA) heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. De DPA heeft een boete van 1.700.000 € opgelegd aan een verwerker die een softwareprogramma verkeerd had geconfigureerd. Dit programma verwerkte bestanden met betrekking tot personen met een handicap, wat leidde tot een grootschalige datalek. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === Een softwarebedrijf...

}}}} The DPA imposed a 1 700 000 € fine under [[Article 32 GDPR|Article 32 GDPR]] to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach.The DPA imposed a €1,700,000 fine to a processor who had incorrectly configured a software that processed files relating to persons with disabilities, leading to a massive data breach. == English Summary ==== English Summary == === Facts ====== Facts === A software co

The data protection authority has fined a company €1 million for failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. The data protection authority has also fined a subcontractor €1 million for the same violations: failing to delete user personal data, processing this data for purposes that conflict with contractual agreements, and not maintaining a register of processing activities. == Summary in English == == Summary in English == === Facts ====== Facts ===

}}}} The DPA fined a company €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities.The DPA fined a subcontractor €1 million for failing to delete the personal data of users, processing it for purposes contrary to contract stipulations and for failing to keep a record of its processing activities. == English Summary ==== English Summary == === Facts ====== Facts === DE

Facts === Facts ====== Facts === DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. DEEZER (the data controller) has identified that Mobius Solutions Ltd (the data processor) is likely the source of the data breach. The data protection authority has launched an investigation into the data processor. DEEZER (the data controller) has informed the French data protection authority (CNIL) about a data breach affecting 21,574,775 users, of whom 9,849,354 are located in France. The responsible...

}}}} De gegevensbeschermingsautoriteit heeft een bedrijf een boete van 1 miljoen euro opgelegd voor het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. De gegevensbeschermingsautoriteit heeft een onderaannemer een boete van 1 miljoen euro opgelegd voor dezelfde overtredingen: het niet verwijderen van de persoonlijke gegevens van gebruikers, het verwerken van deze gegevens voor doeleinden die in strijd zijn met de contractuele afspraken, en het niet bijhouden van een register van de verwerkingsactiviteiten. == Samenvatting in het Engels == == Samenvatting in het Engels == === Feiten ====== Feiten === DE

Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 2 november en 10 november 2022 hebben betrokkenen die gebruik maakten van het portaal de verantwoordelijke partij geïnformeerd dat ze toegang hadden tot bestanden die betrekking hadden op andere betrokkenen. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. Op 22 november 2022 heeft de verantwoordelijke partij de datalek aan de Autoriteit Persoonsgegevens (AP) gemeld. De datalek werd veroorzaakt door een configuratiefout.

Facts === Facts ====== Facts === DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users located in France. The controller identified Mobius Solutions Ltd (the processor) as the likely source of the data breach. The DPA launched an investigation into the processor.DEEZER (the controller) notified the French DPA (CNIL) of a data breach affecting 21,574,775 users, out of which 9,849,354 users were located in France. The contr

Feiten. Ten slotte herhaalde het hof dat toestemming niet vereist was, omdat artikel 6 van de AVG alternatieve, wettelijke gronden biedt voor de verwerking van gegevens. Aangezien aan artikel 6(1)(f) was voldaan, was het ontbreken van toestemming irrelevant. Het hof oordeelde dat AZOP de wet correct had toegepast en dat de inbreuk op de privacy van de betrokkene evenredig was, en bevestigde daarom de beslissing. Het hof wees de vordering van de betrokkene en de bijbehorende kosten af. Ten slotte herhaalde het hof dat toestemming niet vereist was, omdat artikel 6 van de AVG...

Age verification mandates are spreading fast, and they’re ushering in a new age of online surveillance, censorship, and exclusion for everyone—not just young people. Age-gating laws generally require websites and apps to collect sensitive data from every user, often through invasive tools like ID checks, biometric scans, or other dubious “estimation” methods, before granting them access to certain content or services. Lawmakers tout these laws as the silver-bullet solution to “kids’ online safet

De verplichtingen voor leeftijdsverificatie verspreiden zich snel en brengen een nieuw tijdperk van online toezicht, censuur en uitsluiting met zich mee, niet alleen voor jongeren, maar voor iedereen. Wetten die leeftijdscontrole vereisen, verplichten websites en apps doorgaans om gevoelige gegevens van elke gebruiker te verzamelen, vaak via ingrijpende methoden zoals identiteitscontroles, biometrische scans of andere twijfelachtige "schattingstechnieken", voordat ze toegang verlenen tot bepaalde inhoud of diensten. Wetgevers prijzen deze wetten als de ultieme oplossing voor de "online veiligheid van kinderen."

Age verification requirements are rapidly spreading, ushering in a new era of online surveillance, censorship, and exclusion, not just for young people, but for everyone. Laws that mandate age verification typically require websites and apps to collect sensitive data from every user, often through intrusive methods such as identity checks, biometric scans, or other questionable "estimation techniques," before granting access to certain content or services. Legislators often tout these laws as the ultimate solution for "child online safety."

U wellicht niet, gezien de vele berichten die de aandacht vestigen op nieuwe vragen over auteursrecht en generatieve AI, maar de grootste auteursrechtzaak van het jaar ging over een aloude vraag voor internetbegrippen: moeten internetproviders optreden als handhavers van het auteursrecht? Na jaren van rechtszaken staat die vraag nu voor het Hooggerechtshof. En als het Hooggerechtshof een eerdere uitspraak van een lagere rechtbank niet herroept, zouden internetproviders gedwongen kunnen worden om de internettoegang van mensen te blokkeren op basis van niets meer dan loutere beschuldigingen van auteursrechtinbreuk.

Access Now,together with several human rights organizations, are calling on MTN Group to protect mobile service subscribers and ensure transparency and accountability for data breaches perpetuated by their subsidiaries in the Republic of Congo. The post MTN Group must answer for dangerous bounty SMS campaign in the Republic of Congo appeared first on Access Now.

Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen. Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom drie aanbevelingen voor sterke verwerkersovereenkomsten.

Well-drafted data processing agreements between organizations help to effectively manage and, in some cases, even prevent cyberattacks. This strengthens the digital resilience of victims of data breaches. However, the Dutch Data Protection Authority (AP) observes that good agreements are often lacking. Based on its research, the AP is therefore providing organizations with three recommendations for creating strong data processing agreements.

Brussel, 5 november - Het Europees Comité voor gegevensbescherming (EDPB) neemt een belangrijke stap om organisaties te helpen bij het naleven van de AVG (Algemene Verordening Gegevensbescherming) door een reeks kant-en-klare templates te ontwikkelen. Dit initiatief, aangekondigd na de verklaring van Helsinki over meer duidelijkheid, ondersteuning en betrokkenheid, heeft als doel praktische hulpmiddelen te bieden die organisaties gemakkelijk kunnen implementeren om aan hun verplichtingen op het gebied van gegevensbescherming te voldoen. Om ervoor te zorgen dat deze templates aan de behoeften van organisaties voldoen, heeft het EDPB...

Brussels, November 5th - The European Data Protection Board (EDPB) is taking a significant step to help organizations comply with the General Data Protection Regulation (GDPR) by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Declaration on greater clarity, support, and engagement, aims to provide practical tools that organizations can easily implement to fulfill their data protection obligations. To ensure that these templates meet the needs of organizations, the EDPB...

Brussels, 5 November - The European Data Protection Board (EDPB) is taking an important step towards facilitating GDPR compliance for organisations by developing a series of ready-to-use templates. This initiative, announced following the Helsinki Statement on enhanced clarity, support, and engagement, aims to provide practical tools that organisations can readily implement to meet their data protection obligations. To ensure these templates address the needs of organisations, the EDPB has launc

Government

Beslisnota bij Kamerbrief Datalek in gepubliceerde documenten van de Rijksoverheid

Government.

Three recommendations from the Dutch Authority for the Financial Markets (Autoriteit Financiële Markten - AP) combined: (regarding the handling of data breaches; a task to improve the privacy organization of the Tax Authority; and exemption from the obligation of tax confidentiality in cases of suspected violations of tax integrity under Article 67, paragraph 3, of the Act on Financial Supervision).

Government

Drie AP adviezen gebundeld (inzake afhandelen datalekken; Opdracht ter verbetering van de privacyorganisatie van de Belastingdienst; en Ontheffing fiscale geheimhoudingsplicht in gevallen van vermoedelijke fiscale integriteitsschending op grond van artikel 67, derde lid van de Awr)

Background information Following a complaint by the PRIVACY INTERNATIONAL association, the CNIL carried out four investigations into DOCTISSIMO. The doctissimo.fr website mainly offers articles, tests, quizzes and discussion forums related to health and well-being for the general public. During its investigations, the CNIL noted several infringements, in particular concerning the duration of data retention, the collection of health data via online tests, the security of data as well as the wayco

Vonnis opgesteld door: Diederik Stols, Hanna van Til en Otto Volgenant, Boekx Advocaten. Rechterlijke Macht Amsterdam, 12 april 2023, IEF 21357; ECLI:NL:RBAMS:2023:2192 (EOKM v. Hammy Media). Het Expertisebureau Online Kindermisbruik (EOKM) heeft een rechtszaak aangespannen tegen Hammy Media, de beheerder van de pornosite 'xhamster.com'. EOKM stelt dat deze website mogelijk visueel materiaal toont dat in strijd is met een eerder vonnis van deze rechtbank, dat de publicatie van visueel materiaal verbiedt waarop personen te zien zijn die (1) hebben...

> Personal data protection and whistleblowing are two different topics — different regulations with different purposes, scope and requirements. But, in fact, they are closer than they seem, especially for practical reasons. Both data protection governance and whistleblowing systems are often exercised by the same unit —  the compliance department — or even by the same person. This solution offers several advantages, but also some problematic points that need to be highligh

De Noorse autoriteit voor gegevensbescherming, het Datatilsynet, heeft het Amerikaanse bedrijf Argon Medical Devices een boete van 2,5 miljoen Noorse kroon opgelegd omdat het niet binnen de wettelijke termijn van 72 uur een datalek uit juli 2021 heeft gemeld, zoals vereist door de Europese Algemene Verordening Gegevensbescherming (AVG). "Deze zaak is een belangrijke herinnering dat gegevensverwerkers – inclusief die gevestigd buiten de (Europese Economische Ruimte) – passende maatregelen moeten treffen om onmiddellijk te kunnen vaststellen of er sprake is van een inbreuk op persoonlijke gegevens."

> Norway's data protection authority, the Datatilsynet, fined U.S.-based Argon Medical Devices 2.5 million kroner for failing to report a July 2021 data breach within the 72-hour deadline required by the EU General Data Protection Regulation. "This case is an important reminder that data controllers — including those established outside the (European Economic Area) — must have suitable measures in place to be able to immediately determine whether a breach of personal data

Buurgeschil. Verzoek om een hek te verwijderen is goedgekeurd. Inbreuk op eigendomsrecht en erfdienstbaarheid voor voetgangers en een oversteekplaats. Beroep tegen de verjaringstermijn is afgewezen. Verzoek om camera's te verwijderen is goedgekeurd vanwege een onrechtmatige inbreuk op de privacy.

Since May 2018, the GDPR has been directly applicable in the European Economic Area, including the member states of the European Union, Liechtenstein, Norway, and Iceland. Four years later, awarding damages for GDPR violations is still not a common practice in the Netherlands, despite the fact that news reports regularly mention data breaches and other GDPR violations. This article analyzes Dutch case law over the past four years to see what factors may influence the awarding of damages under th

De Spaanse autoriteit voor gegevensbescherming, de Agencia Española de Protección de Datos, heeft een tool ontwikkeld om organisaties te helpen bepalen of ze een databeschermingsinstantie moeten informeren na een datalek. De tool, "Brecha Advisory", is gratis te gebruiken. Het doel is om dataverwerkers te helpen identificeren wie er op de hoogte moet worden gesteld, welke elementen in het datalek persoonlijke gegevens bevatten en bij welke databeschermingsinstantie het incident moet worden gemeld.

The purpose limitation principle does not preclude a controller from capturing and storing in a test database established for testing and error correction purposes personal data previously collected and stored in another database. However, such "further processing" of personal data must be compatible with the specific purposes for which the personal data were originally collected. The principle of storage limitation precludes the retention of personal data in that test database for longer than n

> The Danish DPA held that the law firm lacked basic security measures, especially considering the fact that its processing involved special categories of personal data. The DPA emphasized that in such cases a data breach would almost certainly entail a high risk to the data subjects' rights. Therefore, the controller must have especially strict security measures in place to avoid unauthorised accesses. Hence, when creating remote access to such IT systems, the controller could, for instance, im

De Deense autoriteit voor gegevensbescherming (DPA) heeft geconstateerd dat het advocatenkantoor niet beschikte over de noodzakelijke beveiligingsmaatregelen, vooral gezien het feit dat het bedrijf te maken had met bijzondere categorieën van persoonsgegevens. De DPA benadrukte dat een datalek in dergelijke gevallen vrijwel zeker een aanzienlijk risico zou vormen voor de rechten van de betrokken personen. Daarom moet de verantwoordelijke partij zeer strenge beveiligingsmaatregelen implementeren om ongeautoriseerde toegang te voorkomen. Daarom kan de verantwoordelijke partij, bijvoorbeeld bij het creëren van toegang op afstand tot dergelijke IT-systemen, gebruikmaken van...

De Advocaat-Generaal van het Gerechtshof van de Europese Unie (HvJEU) heeft een niet-bindend advies uitgebracht, waar privacyactivisten zich zorgen over maken, omdat dit de mogelijkheden van gebruikers om hun privacyrechten op te eisen onder de AVG (Algemene Verordening Gegevensbescherming) verder zou kunnen beperken. Volgens het [advies](https://curia.europa.eu/juris/document/document.jsf;jsessionid=79F0B703F7CD84C2DE01BF340FD03C29?text=&docid=266842&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=244110), dat vorige week is uitgebracht, zouden Europeanen nauwelijks enige compensatie ontvangen als...

Voorstellen over het eigendom van data zijn misplaatst en zouden averechts werken als ze zouden worden doorgevoerd. In plaats daarvan moet hervorming van de privacywetgeving zich richten op het versterken van de bestaande beperkingen op het gebruik van persoonlijke gegevens, zo stelt dit artikel.