Laatste update 11 maart 2024

De landen die nog geen enkele boete hebben uitgeschreven: Estland, Liechtenstein en Slovenië.

De winnaar van de hoogste GDPR boete is sinds 22 mei 2023 Meta Ierland (€1,2 miljard) met nu de 2de plaats voor Amazon Luxemburg met goed €746 miljoen. 🏆

Disclaimer: deze lijst is niet volledig, maar geeft een goede weergave van de boetes voor elk Europees land. Mis je een boete, geef ze gerust mee in de comments.


 

We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.

Daar ik de afgelopen weken/maanden me (als freelance DPO) soms heb kunnen opwinden over foute prioriteiten, die door bedrijven werden/worden gesteld, zet ik nu de grote middelen in.

In deze blogpost ga ik nu eens tonen/bijhouden welke boetes er nu daadwerkelijk echt worden uitgesproken in het kader van deze privacy wetgeving. Dus wat zijn nu de ECHTE prioriteiten?

Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.

GDPR boetes en rechtszaken in België

Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)

Op 29 maart 2019 is onze Belgische Gegevensbeschermingsautoriteit dan eindelijk volledig benoemd met een nieuw directiecomité. In België is er ondertussen natuurlijk wel een nieuwe wet gekomen op camerabewaking.

Op de website van de GBA kan je alle beslissingen vinden (dus inclusief de berispingen).

Datum Bedrijf Bedrag Waarom? Commentaar Link
29/05/2019 Belgische Burgemeester 2k EUR Het versturen van gepersonaliseerde email zonder consent voor de verkiezingen van oktober 2018 De burgemeester had emailadressen uit de cc van een klachtenmail gebruikt voor email marketing Link
19/09/2019 “een handelaar” 10K EUR Verplichting van inlezen van e-id voor het maken van een klantenkaart update 20/03: In beroep is de GBA in het ongelijk gesteld Link
28/11/2019 “burgemeester en schepen” 2*5k EUR Foutief samenbrengen van lijst om verkiezingsdrukwerk op uit te sturen bij de verkiezingen van oktober 2018 “De verzamelde gegevens moeten voor specifieke doeleinden worden gebruikt en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.” Link
17/12/2019 Jubel.be 15k EUR Fouten in de privacyverklaring en vergaring van cookie toestemmingen De website had gebruikt gemaakt van o.a. cookiebot, maar zo belangrijke cookies gemist Link
28/04/2020 Proximus 50k EUR Inspectie na melding van datalek met de nodige opmerkingen van verweerder rond hoe die inspectie tot stand is gekomen Onafhankelijkheid van DPO, tegenwerking van onderzoek, geen juiste risk-based approach Link
14/05/2020 DKV 50k 30k EUR Boete rond gebrek aan transparantie in privacy policy Gebruikmaking van gerechtvaardigd belang bij verdere verwerking van persoonsgegevens van klanten van de hospitalisatieverzekering. (op vraag van DKV aangepast) Link
19/05/2020 Twoo 50k EUR Boete rond de feature van een social netwerk voor het “uitnodigen van contacten” Hier is er geen verwerkingsgrond om zomaar de gegevens van uitgenodigde contacten te verwerken. Link
29/05/2020 “vzw” 1k EUR Na klacht van ex-donateur (7 jaar geleden) die bleef brieven (met gadgets) krijgen voor het uitvoeren van een nieuwe gift. Dit valt onder direct marketing en hier kan je je wettelijk steeds tegen verzetten als ontvanger. Opvallend lage boete trouwens, wegens kleine vzw. Link
08/06/2020 “Een gemeenteraadslid” 5k EUR Gemeenteraadslid verstuurde een brief naar alle gemeentelijke werknemers rond zijn opkomen voor de verkiezingen Dit is al de 4de veroordeling rond het versturen van verkiezingsreclame voor de verkiezingen van 2018. Link
16/06/2020 – 15/03/2021 “Een school” 2k EUR 1k EUR De school verstuurde via Smartschool een enquete rond “welbevinden” naar minderjarige leerlingen zonder consent van de ouders. Klager heeft vragen bij consent voor minderjarigen, gebruik Smartschool, data minimalisatie,… Klager had in 2016 reeds klacht ingediend en deed dit in 2019 opnieuw voor nieuwe enquete. Maart 2021 is er bevestiging gekomen dat de school een boete kan krijgen en is deze op 1K EUR gezet. Link
16/06/2020 “een vzw” 1k EUR Recht op verwijdering uit direct marketing database werd niet opgevolgd en uitgevoerd. Klacht van september 2019 Link
19/06/2020 “een bedrijf” 10k EUR Versturen van direct marketing emails naar foutief emailadres en traag reageren op klachten klager Hogere boete door omzet als miljardenbedrijf Link
09/07/2020 mede-eigenaar appartementsgebouw 5k EUR Plaatsing van bewakingscamera’s met zicht op gemeenschappelijke delen, tuinen en de straat. Dit zonder toestemming, weigering tot geven van toegang tot de beelden en weigerde beheer over te dragen aan de Vereniging van Mede-Eigenaars. Klacht gebeurde in mei 2019 Link
14/07/2020 Google BE 600k EUR (zie uitspraak Hof van Beroep :-/ ) “Publiek persoon” wilde zijn “Right to be forgotten” mogelijkheid gebruiken in de Google zoekresultaten Een eerste klacht rond zijn banden met een politieke partij werd niet meegenomen een 2de klacht rond het verwijderen van pagina’s van een pesterijklacht was wel gegrond voor de GBA Link
28/07/2020 Burgemeester van Sint-Lievens-Houtem 3000 EUR Opnieuw een klacht/beslissing rond de verkiezingen van 10/2018. Ditmaal gaat het over verkiezingsdrukwerk gericht op nieuwe inwoners in de gemeente, waarbij de kiezerslijst van 2012 is gebruikt ter vergelijking. Meer info Link
30/07/2020 Proximus 20k 0 EUR Klacht van burger die expliciet had gevraagd haar nieuwe telefoonnummer niet op te nemen in witte gids en 1207. Proximus verweerde zich dat ze de publicatie bij FCR en andere 3th party bedrijven niet kon tegenhouden, maar dit is wel zo. Link
01/09/2020 ex-burgemeester 5.000 EUR klacht rond verzending van email rond de verkiezingen van 2019 E-mailadres was verkregen uit een klacht van de burger bij het secretariaat van de burgemeester over een sluikstort. Link
29/09/2020 Kleine KMO 15k EUR 2,5 jaar actief houden van mailbox van ex-CEO Correct omgaan met de mailbox van een ex-werknemer is belangrijk: blokkeren, autoresponder, na redelijke periode verwijderen. Link
25/11/2020 Particulier koppel 1,5k EUR Plaatsing van camera’s met zicht op buren en openbare weg Na klacht door buren, waarbij die koppel beelden had gebruikt voor doorgifte bouwovertreding van buren. Link
23/12/2020 Parkeerwacht bedrijf + deurwaarderskantoor 50k + 15k EUR Na een boete voor het niet plaatsen van een parkeerschijf haalt de betrokken burger zijn slag thuis en toont het manifeste schendingen tegen de AVG aan: privacystatement onvolledig, te laat antwoorden op inzage verzoekschrift, Voordat de burger betaalde reeds inzage in DIV database, afwezigheid van PO… De boete voor het parkeerbedrijf is afgezwakt doordat ze als verdediging de impact van Covid19 op hun omzet van dit jaar aanhaalden. Link
12/01/2021 Managementbureau artiesten 10k EUR Door Hof van Beroep verworpen Na het stopzetten van een managementovereenkomst tussen bureau en zangeres wilde de artieste de volledige overdracht van de FB fanpage met haar naam. De zangeres was beheerder, maar geen eigenaar van de FB fanpage en door het wegvallen van de verwerkingsgrond heeft ze gelijk gekregen. Link
13/01/2021 School Berisping ipv. boete Ouder had klacht ingediend, dat de nieuwsbrief van de school alle ouders in CC had staan ipv. BCC. Persoonlijke mening: de school van je kinderen met zulke procedure opzadelen is toch wel echt speciaal en niet bepaald constructief. Ik vermoed dat de klager niet in het oudercomité zelf de handen mee uit de mouwen steekt? Link
22/01/2021 Mobiele provider 25k 20k EUR Case van simswapping, waarbij iemand in een winkel van de provider het gsmnummer en een nieuwe simkaart van andere klant heeft gekregen. Provider schermde er nog mee dat ze wegens commerciële belangen geen ID-check mochten doen, maar dit klopt niet volgens de GBA. Na een beroep is de boete naar 20k EUR gebracht. Link
28/01/2021 Family Service “De Roze Doos” 50k EUR Jarenlang werden de gegevens van 1 miljoen klanten en hun kinderen zonder geldige optin gedeeld met derde partijen. Door de uitdeling via ziekenhuizen en het voorwendsel van “nationale dienst voor de promotie van kinderartikelen” was het niet duidelijk dat dit een marketinghandel was. Link
12/02/2021 Telenet Berisping ipv. boete Naar aanleiding van inspectie rond de privacy instellingen voor klanten en recht op bewaar tov. direct marketing De inspectie vertoonde enkele onzorgvuldigheden, waarbij Telenet aantoonde dat klanten wel degelijk zelf alles kunnen beheren via “Mijn telenet”. Link
26/04/2021 een instelling die toegang heeft tot het kredietregister van de nationale bank 100k EUR Slechte beveiliging (alle medewerkers gebruiken dezelfde login zonder goede logging dus) Daarnaast is de rol van DPO in combinatie met een actie CISO rol onverenigbaar (daar de CISO ook in het management zetelt). Link
8/12/2021 Bedrijf uit bouwsector 10k EUR Bedrijf had lijst gekocht met publieke data van particulieren uit de omgevingsvergunning database. Deze mag natuurlijk niet gebruikt worden voor direct marketing. Particulier had tevergeefs zijn gegevens proberen laten schrappen en had daarna klacht ingediend. Link
16/12/2021 Bank ING 75k EUR Een klacht die reeds in 2019 een eerste uitspraak kreeg over een technische aanpassing aan hun systeem is uitgelopen naar een boete voor hun DPO. De functie van DPO was niet onafhankelijk genoeg binnen de organisatie. Opvallend is ook dat het verwerkingsregister is opgevraagd en niet correct genoeg was opgesteld. Link
27/01/2022 EU DisinfoLab vzw 3.9k EUR VZW die desinformatie online onderzoekt had in politieke discussies in Frankrijk een scraping van tweets gedaan en dit ruwe csv bestand online ter beschikking gesteld via een dropboxlink. Tal van verzachtende omstandigheden hebben de boetes mee gedrukt. Het was trouwens op aangeven van klachten bij de Franse CNIL dat het onderzoek naar de Belgische VZW is gestart (daar onze GBA bevoegd is voor deze vzw). Link
02/02/2022 IAB Europe 250k EUR Het openrtb mechanisme waarmee consent wordt gevraagd voor het verwerken van gegevens van bezoekers van websites die RTB advertenties tonen is in strijd met de AVG. De GBA oordeelt ook dat IAB Europe de verwerkingsverantwoordelijke is en heeft daarbij geen register van verwerkingsactiviteiten bijgehouden, geen DPO aangewezen en geen “DPIA” uitgevoerd (gegevensbeschermingseffectbeoordeling). Link
04/04/2022 Brussels Airport + Charleroi Airport 200k 50k + 100k EUR 2 boetes voor deze luchthavens die tijdens de covid-periode een temperatuurcontrole installeerden. Hiervoor hadden ze geen wettelijke verwerkingsgrond (gevoelige gegevens). Ook het uitvoerende bedrijf Ambuce Rescue Team kreeg een boete van 20k EUR. Januari 2023: Het marktenhof geeft BA gedeeltelijk gelijk en gaat de boete naar 50k EUR verlagen. Link
04/04/2022 Bedrijf 7.5k EUR Terugzetten van backups van laptop vroegere managing director (die zelf laptop met persoonlijke data had gewist. Klein detail is dat er ook gewezen wordt op het ontbreken van een verwerkingsovereenkomst met het bedrijf dat de restore actie heeft uitgevoerd. Link
04/05/2022 NMBS 10k 1 EUR Versturen van direct marketing mails naar de vele burgers die een “Hello Belgium Railpass” hadden aangevraagd. Het onderzoek kwam er na een klacht bij de GBA van een Twitter gebruiker. Merk ook de knullige screenshots achteraan de beslissing op… Link
24/05/2022 sos-services.be en sos-avocats.com 5k EUR Websites met lijst van advocaten (met hun persoonsgegevens gepubliceerd zonder altijd de juiste consent). De Franstalige orde van advocaten wees ook op de foutieve privacy policy en cookie policy. Link
25/05/2022 Roularta: Knack en Levif 50k EUR 1ste boete in het grootschalig onderzoek bij 20 Belgische nieuwswebsites naar hun cookiebanners. Dit is uitspraak 1. Ook voor statische cookies (lees GA) moet er consent gevraagd worden, voordat ze uitgevoerd worden. Link
16/06/2022 Rossel: Sudinfo, Le Soir en Sudpresse 50k EUR 2de boete in het grootschalig onderzoek bij 20 Belgische nieuwswebsites naar hun cookiebanners. Zij gebruikte ook de “further browsing” techniek. Link
19/08/2022 Medisch testlabo 20k EUR Medische testresultaten werden via onveilige http connectie met dokters gedeeld er werd daarnaast geen DPIA uitgevoerd. Ook een privacy policy ontbrak op de website of in het centrum. Link
23/08/2022 Platform voor factuuradministratie (Digitale inbox) 2.5k EUR Een co-houser werd door het platform aangegeven om ook andere facturen van de andere persoon automatisch te laten toekomen in deze digitale inbox. Er werd een roadmap voorgesteld met nieuwe technische maatregelen om dit soort onbedoelde “growth hack” resultaten te voorkomen, wat ook de lage boete verklaard. Link
21/10/2022 L’Avenir 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van L’Avenir. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
21/10/2022 Groupe IPM 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van La DH en La Libre . Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
4/11/2022 RTL 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van RTL. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
4/11/2022 Mediafin 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van De Tijd. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
4/11/2022 VRT 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van de VRT. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
4/11/2022 Mediahuis 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van Het Nieuwsblad, De Standaard, Gazet van Antwerpen en Het Belang van Limburg (Mediahuis groep). Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
4/11/2022 DPG media 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van HLN, De Morgen, VTM en 7 sur 7 (DPG Media Groep). Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
22/11/2022 RTBF 10k EUR Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van de RTBF. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). Link
16/05/2023 Agency 40k EUR Recht tot inzage van opgenomen telefoongesprekken tussen klant en agency rond bouwen van website en bedrijfsvideo’s. Het laten komen beluisteren van de opnames op kantoor is niet genoeg als recht tot inzage. Link
14/06/2023 Online platform met zorgverleners 10k EUR Platform dat zonder rechtsgrond gegevens van zorgverleners publiek maakte met de mogelijkheid om online reviews achter te laten. Link
16/06/2023 Orde der apothekers 30k EUR Na het voeren van een gerechtelijke procedure heeft een apotheker gelijk gekregen in een twist met de orde rond marketing activiteiten. De orde wilde de eerder uitgesproken sanctie en beslissing echter niet wissen in het sanctie register. De ongelimiteerde bewaartermijn van sancties is niet correct. Naar accuraatheid zijn er ook fouten gemaakt, daar de sanctie is uitgesproken onder de oude regels (die nadien zijn aangepast). Link
16/01/2024 Black Tiger Belgium (vroegere Bisnode) 174.640 EUR Het vroegere Bisnode legde een grote B2B database aan (de B2C database vernietigde ze reeds zelf) met o.a. KBO data onder gerechtvaardigd belang. Daarnaast waren er inbreuken op recht van inzage, verwerkingsregister en transparantie. Link
09/02/2024 Politicus 2000 EUR Plaatsen van foto, naam en adres van persoon die renovatie met overheidssubsidie heeft gedaan op persoonlijke website van politicus. Na herhaaldelijk vragen wrden de gegevens nog niet verwijderd. Link

 

GDPR / AVG boetes en rechtszaken in Nederland

Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)

Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.

Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners en financiële instellingen op de aanwezigheid van een verplichte DPO.

Datum Bedrijf Bedrag Waarom? Commentaar Link
09/08/2018 Theodoor Gilissen Bankiers (TGB) 48k EUR Niet voldoen aan Recht tot inzage 4 weken na de termijn van 2 maanden pas recht uitgevoerd Link
20/09/2018 Nationale politie 40k EUR Na 6 maanden nog niet genoeg securitymaatregelen getroffen De NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregel Link
27/11/2018 Uber 600k EUR Niet opvolgen van meldplicht na hack Uber zit met zijn HQ in NL en heeft dus niet voldaan aan de NL meldplicht na de hack van 2016 Link
04/04/2019 Zorgverzekeraar Menzis 50k EUR Niet voldoende controle op wie medische dossiers kan inkijken Tijdens een onderzoek in 2017 merkte men dat er onvoldoende toezicht was op toegang tot dossiers Link
28/05/2019 Gemeente Deventer 500EUR schadevergoeding toekenning van 500EUR schadevergoeding door rechtbank Gemeente had gegevens van persoon met ambtenaren onrechtmatig gedeeld (zie ook Tweakers) Link
16/07/2019 HagaZiekenhuis 460k EUR 350k EUR verlaagd door rechtbank Niet genoeg veiligheidsmaatregelen naar afschermen van medische dossiers Dit is de eerste echte GDPR/AVG boete in Nederland en onderzoek is gestart nadat bleek dat vele medewerkers het dossier van BN’er Barbie hadden ingekeken. Link
28/05/2019 Uitkeringsinstantie UVW 250EUR schadevergoeding toekenning van 250EUR schadevergoeding door rechtbank Het UWV had via een geautomatiseerd proces abusievelijk een brief gestuurd aan de nieuwe werkgever van werknemer waarin werd medegedeeld dat de werknemer anderhalf jaar ziek/burnout was gemeld bij haar oude werkgever. Link
03/03/2020 NL tennisbond KNLTB 520k EUR Verkopen van ledenlijsten aan sponsors in 2018 Ze beroepen zich op het gerechtvaardigd belang (met optout in de privacy policy). Hun reactie is in mijn ogen wereldvreemd Link
30/04/2020 bedrijf (via rechter bekomen anonimiteit) 725k EUR Verplicht scannen van vingerafdruk door werknemers voor aanwezigheids- en tijdsregistratie De verwerkingsgrond toestemming kan hier niet aangeroepen worden door relatie werkgever – werknemer Link
06/07/2020 Stichting Bureau Krediet Registratie (BKR) 830k EUR Bij BKR vroegen ze een vergoeding voor het digitaal opvragen van persoonsgegevens. Per post kon je dit maar 1 keer per jaar gratis doen. Sinds april 2019 is dit nu aangepast. Link
12/01/2021 Gemeente Oldambt 500EUR schadevergoeding toekenning van 500EUR schadevergoeding door rechtbank Gemeente had persoonlijke gegevens van burger gelekt bij vergunningsaanvraag en verslaggever had dit via Twitter naar buiten gebracht. Link
11/02/2021 Amsterdamse ziekenhuis OLVG. 440k EUR Er zijn tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen Na het onderzoek zijn er wijzigingen gebeurd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. Link
31/03/2021 Booking.com 475k EUR Te laat melden van een datalek via phishing (4.000 klanten met de creditcardgegevens van bijna 300 slachtoffers). Het datalek werd pas na 22 dagen gemeld (ipv. na 72uur). Link
29/04/2021 Gemeente Enschede 600k EUR Wifi tracking in winkelstraten waarbij vragen zijn gesteld rond het te eenvoudig identificeren van personen. Reeds in mei 2020 is Enschede hiermee gestopt. Link
11/05/2021 PVV Overijssel 7.5k EUR Niet aangeven datalek (versturen van politieke uitnodiging naar 101 adressen met iedereen in cc van elkaar). Politieke voorkeur is extra gevoelig gegeven. Opvallend dat de AP voor het eerst een kleine boete geeft aan een kleine organisatie. Link
12/05/2021 Locatefamily.com 525k EUR Buitenlands platform met ondertussen 700k Nederlandse adressen en telefoonnummers, zonder dat iemand er toestemming voor gaf. Dit platform heeft geen vertegenwoordiger in de EU. Succes alvast aan de AP om deze boete betaald te krijgen… Link
19/05/2021 onderhoudsbedrijf CP&A 15k EUR Teveel informatie werd bijgehouden rond de redenen van afwezigheid van zieke werknemers. Het bestand met de registratie was niet goed beveiligd en was online beschikbaar. Link
10/06/2021 Orthodontiepraktijk 12k EUR Website van orthodontiepraktijk met formulier die naar medische informatie (van kinderen) vraagt. Maar de website heeft geen https-certificaat en heeft dus een onbeveiligde verbinding tussen invuller en webserver. Link
07/07/2021 Uitvoeringsinstituut Werknemersverzekeringen (UWV) 450k EUR Verschillende datalekken van gegevens in het versturen van berichten naar werkzoekenden in de online applicatie. Het ging hierbij om 9 datalekken met de gegevens van meer dan 15.000 werkzoekenden. Link
22/07/2021 TikTok 750k EUR Ontbreken van privacy policy in het NL wat wel nodig is met de jonge doelgroep van kinderen die de app gebruiken. TikTok heeft zich ondertussen (zoals alle andere techgiganten) in Dublin, maar dit was tijdens het onderzoek nog niet het geval. Link
12/11/2021 Transavia 400k EUR Gebrekkige security waardoor een hacker kon binnendringen. Zeer eenvoudig paswoord gebruikt door een IT account, geen 2FA,…. Link
24/02/2022 DPG Media 525k EUR 0 EUR Bij elke recht tot inzage of verwijdering diende de voorkant/achterkant van een idkaart opgeladen moeten worden. Dit is voor deze context natuurlijk niet-proportioneel. Link
6/04/2022 ministerie van Buitenlandse Zaken 565k EUR Onvoldoende beveiliging van het Nationaal Visum Informatie Systeem (NVIS). Verder is er vastgesteld dat Buitenlandse Zaken visumaanvragers onvoldoende informeerde over het delen van hun persoonsgegevens met andere partijen. Link
12/04/2022 Belastingsdienst 3,7 miljoen EUR Jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV) dmv. een zwarte lijst waarop de Belastingdienst signalen van fraude bij ging houden. Burgers die ten onrechte op deze lijst terecht kwamen hadden nadien een grote impact op hun leven. Link
21/12/2022 Politie Rotterdam 50k EUR Inzet van camera auto’s door de Politie Rotterdam in de Corona periode in 2020 om de afstandregels te controleren. Hiervoor was er geen DPIA en rechtmatigheid van het inzetten hiervan. Link
13/04/2023 Sociale Verzekeringsbank (SVB) 150k EUR Te weinig controle door de telefonische helpdesk: “Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders (zoals iemands voornaam, adres en postcode)”. Link
17/11/2023 gemeente Voorschoten 30k EUR Te lange bewaartermijn van 5 jaar van de huisvuilophaling gekoppeld aan het adres. Hierbij was er ook geen informatie en transparantie over de verwerking van de persoonsgegevens naar de inwoners. Link
08/02/2024 Uber 10 miljoen EUR Te weinig transparantie rond de bestuurdersgegevens. Te weinig mogelijkheden voor chauffeurs om hun rechten te laten gelden. Link

GDPR boetes en rechtszaken in Luxemburg

In het voorjaar van 2021 is de CNPD ook maar eens in actie geschoten met enkele kleinere boetes. Belangrijk weetje is dat zij de toezichthouder zijn voor de activiteiten van Amazon in Europa.

Datum Bedrijf Bedrag Waarom? Commentaar Link
08/04/2021 Bedrijf 4k EUR Volgend op inspectie februari 2019 waar werd ontdekt en bevestigd dat trackingdevices in de voertuigen van medewerkers waren geplaatst. Gegevens werden bijgehouden voor een bewaartermijn van meer dan 2 jaar. Link
12/05/2021 Bedrijf 2.6k EUR Volgend op inspectie maart 2019 waar werd ontdekt dat er 17 videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op de kantine waar de werknemers hun pauzes nemen. Link
12/05/2021 Bedrijf 2.9k EUR Volgend op inspectie september 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op de kantine waar de werknemers hun pauzes nemen. Link
12/05/2021 Bedrijf 1k EUR Volgend op inspectie maart 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op een publieke weg die de toegang was tot de gebouwen. Link
12/05/2021 Bedrijf 1.9k EUR Volgend op inspectie september 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op een publieke stukken land rond tot de gebouwen. Link
31/05/2021 Bedrijf 18k EUR DPO was niet genoeg betrokken op operationeel niveau. Link
16/07/2021 Amazon 746 miljoen EUR Nog weinig bekend over deze recordboete, maar deze zou uitgesproken zijn na een groepsklacht uit 2018. Link
27/10/2021 Bedrijf 18,7k EUR Overtredingen rond hun DPO: geen contactgegevens op website, DPO werd niet correct betrokken in bedrijf en had ook geen procedures om compliancy na te kijken. Link
13/12/2022 Bedrijf 3,7k EUR Niet volledige privacy policy en deze was ook niet beschikbaar in de mobiele app. Daarbij was de policy ook maar opgemaakt in 2 talen, waarbij de website in 3 talen beschikbaar is. Link
13/12/2022 Bedrijf 5,3k EUR Doorgifte (zonder toestemming) van data naar ander bedrijf, die de data publiek publiceerde. Link
07/11/2023 2 overheidsbedrijven 2 maal 2,5k EUR Niet volledige transparantie naar werknemers over het gebruik van geo-locatie op voertuigen en werkvoertuigen. Link

GDPR boetes en rechtszaken in Frankrijk

Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)

We zijn in afwachting van de mogelijke boete voor adtech/advertentiespeler Criteo, die hierover al heeft bericht en 60 miljoen EUR vreest. 

 

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/06/2018 Optical Center 250kEUR  Securityproblemen in webshop In 2015 ook al 50k boete gekregen. Link
28/06/2018 Association pour le Développement des Foyers (ADEF) 75k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van juni 2017 Link
31/07/2018 l’Office Public de l’Habitat de Rennes Métropole 30k EUR Gebruik van persoonsgegevens voor andere doeleinden dan voorzien Incident dateert van oktober 2017 Link
20/09/2018 ASSISTANCE CENTRE D’APPEL 10k EUR Registratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemers Vaststelling eind 2016, met nieuwe controle begin 2018 Link
27/09/2018 Alliance Francaise Paris Ile-de-France 30k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van november 2017 Link
20/12/2018 Uber 400k EUR Boete voor achterhouden grootschalige hack in 2017 Ook NL gaf reeds 600k EUR en de UK gaf 385k £ voor dezelfde hack Link
27/12/2018 Bouygues Telecom 250k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van maart 2018 Link
21/01/2019 Google 50 miljoen EUR De globale verwerkingsgrond die Google gebruikt is verworpen als niet GDPR compliant De eerste grote GDPR boete aan een multinational uit naam van 10.000 burgers Link
07/06/2019 Immowebsite Sergic 400k EUR Via URL-modificatie waren gevoelige documenten van andere klanten in te kijken Na klacht door klant en inspectie ter plaatse in september 2018 Link
18/06/2019 Uniontrad company 20k EUR Blijvend filmen van eigen werknemers zelfs na klachten Lagere boete wegens negatief eigen vermogen en maar 9 werknemers Link
25/07/2019 Active Assurances 180k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van juni 2018 Link
26/11/2019 Futura International 500k EUR Inzetten van niet-EU callcenters met verschillende overtredingen Het CRM bevatte persoonlijke gevoelige gegevens en de medewerking met de CNIl was niet optimaal Link
26/11/2020 Carrefour + Carrefour Banque 3 miljoen EUR Na klachten inspecties gedaan midden 2019 Onvolledige privacy en cookie policy, bewaren van gegevens van niet-actieve klanten meer dan 5 jaar lang, verplichting opsturen ID bij rechtenverzoek, foutief aangeven gegevensdeling Link
7/12/2020 Perfomeclic 7300 EUR Verzenden van commerciële mails zonder (bewijs van) voorafgaande toestemming. De vereniging SIGNAL SPAM, die meldingen van internetgebruikers over ongevraagde e-mails ontvangt, liet de CNIL weten dat het bedrijf PERFORMECLIC regelmatig bovenaan de ranglijst staat van bedrijven die de meeste berichten uitgeven die door internetgebruikers op Frans grondgebied. Link
7/12/2020 Amazon Europe core 35 miljoen EUR Geen cookiewall op amazon.fr voor alle cookies. Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. Link
7/12/2020 2 artsen 3000 EUR + 6000 EUR De CNIL ontdekte een server met hun medische beelden op, die niet goed beveiligd waren. Na kennis hiervan te krijgen, hadden de 2 artsen ook een datalek moeten melden. Link
7/12/2020 Google LLC + Google Ierland 60 miljoen + 40 miljoen EUR Geen juiste cookiewall op google.fr voor alle cookies. Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. Link
5/1/2021 Nestor 20k EUR Massale prospectiemails zonder consent, vage privacy policy, niet antwoorden op inzage verzoeken van burgers en geen verplichting voor sterk paswoord bij registratie. Inspecties in mei 2019 en februari 2020, waarbij het bedrijf zijn systemen wel steeds heeft aangepast. Link
17/06/2021 webshop bricoprive.com 500k EUR Data van (niet-actieve) kopers van meer dan 5 jaar geleden werden nog steeds gebruikt (te lange bewaartermijn). Bij vragen tot verwijdering werd de klantenaccount inactief gezet, maar niet effectief ook verwijderd. Zowel voor klanten als werknemers was het aanmaken van een sterk paswoord niet verplicht. Ook de cookiewall van de webshop werkte niet zoals verwacht. Link
22/07/2021 AG2R La Mondiale 1,75 miljoen EUR Boete na inspectie bij de verzekeringstak waaruit bleek dat gegevens van miljoenen Fransen zonder retentietermijn bewaard en verwerkt bleven. Link
28/07/2021 Monsanto 400k EUR In 2019 lekte er uit dat Monsanto een bestand had gemaakt met publieke figuren en hun influence score rond het debat over Glysofaat. Hier oordeelde de CNLI dat er een recht tot mededeling had moeten gebeuren en daarnaast ontbrak er een verwerkingsovereenkomst met de onderaannemer die het bestande beheerde. Link
29/07/2021 Le Figaro 50k EUR Geen correcte instelling van Cookie consent Management tool. Link
15/09/2021 Société nouvelle de l’annuaire français (SNAF) 3k EUR Geen correcte methode voor recht tot aanpassing/verwijdering bij dit online telefoonboek. Link
04/11/2021 RATP 400k EUR Het aantal stakingsdagen werd van werknemers bijgehouden inzake eventuele promotiebeslissingen. Na een inspectie vond de CNIL ook problemen rond bewaartermijnen en de informatieveiligheid van alle gegevens van werknemers. Link
30/12/2021 Slimpay 180k EUR Datalek met gegevens van 12 miljoen gebruikers. Geen juiste verwerkingsovereenkomsten met verwerkers, slechte beveiliging van de database, en het datalek niet gemeld bij de betrokkenen. Link
04/01/2022 Free mobile 300k EUR Na vele klachten kwam er een onderzoek naar deze mobiele telefoon operator. Moeilijk voor klanten om hun rechten uit te oefenen, versturen van plain-text paswoorden via email,…. Link
06/01/2022 Google 150 miljoen EUR Het accepteren van cookies kan met 1 klik, het weghalen van die toestemming vereist meer dan 5 klikken. Belangrijk is dat deze boete gegeven is onder de ePrivacy en niet de GDPR, om zo het one-stop shop principe te omzeilen. Link
06/01/2022 Facebook 60 miljoen EUR Het accepteren van cookies kan met 1 klik, het weghalen van die toestemming vereist meer dan 5 klikken. Belangrijk is dat deze boete gegeven is onder de ePrivacy en niet de GDPR, om zo het one-stop shop principe te omzeilen. Link
15/04/2022 Dedalus Biologie 1.5 miljoen EUR Medisch datalek met medische gegevens van 500.000 burgers. Dit datalek is voortgekomen uit een foutieve datamigratie door een verwerker. Link
30/06/2022 Totalenergies 1 miljoen EUR Niet genoeg meewerken met burgers bij uitoefenen van hun rechten. Daarnaast ook moeilijkheden voor burgers om zich uit te schrijven uit commerciële communicatie. Link
21/07/2022 Ubeeqo International 175k EUR Autoverhuurder die elke 500m geolocatie gegevens gaat doorsturen van huuurwagens en deze gaat bijhouden, zonder transparantie. Link
17/08/2022 Accor 600k EUR Verschillende inbreuken rond de verwerking van persoonsgegevens van hotelgasten en de mogelijkheid om rechten uit te laten voeren. Link
13/09/2022 GIE Infogreffe 250k EUR Data werd bijgehouden na de aangegeven dataretentielimiet van 36 maanden. Paswoorden dienden niet moeilijk te zijn en werden in plain-text bijgehouden en via email verstuurd. Deze boete kwam na een klacht en online inspectie. Link
20/10/2022 Clearview 20 miljoen EUR Na de UK en Italië geeft ook de CNIL een boete aan de gezichtsherkenning database van Clearview. Ondertussen is er ook nog $5 miljoen dwangsom bijgekomen. Link
17/11/2022 Discord 800k EUR Onnodige bijhouden van gebruikersaccounts van niet-actieve accounts meer (tot ver buiten de bewaartermijnen). Zwakke paswoordenprocedure. Geen DPIA. Er werd rekening gehouden met snel handelen om alles in lijn te brengen. Link
29/11/2022 EDF 600k EUR Geen juiste consent bij marketingcampagnes in 2020 en 2021 door het verzamelen van emailadressen via affiliate datahandelaars. Daarnaast was er een te onveilige methode van encryptie van wachtwoorden van het klantengedeelte op de website (enkel hashing, geen salting). Link
08/12/2022 FREE 300k EUR Zowel manke uitvoering van vragen tot uitoefening van rechten als te zwakke veiligheidsmaatregelen (te eenvoudige wachtwoordenmethode). Link
08/12/2022 Microsoft (Bing Ads) 360 miljoen EUR Plaatsen van cookies op bing.com zonder voorafgaande toestemming en geen eenvoudige manier om deze toestemming opnieuw in te trekken. Daar dit onder de ePrivacy en niet onder de GDPR wetgeving valt, heeft de CNIL zich bevoegd gevonden (ipv. deze zaak naar Ierland door te geven). Link
05/01/2023 Apple 8 miljoen EUR In iOs 14.6 zat er een bug waardoor de identifier van iPhone gebruikers zonder de juiste consent werden doorgegeven aan de Apple Store voor gepersonaliseerde app ads. Daar dit onder de ePrivacy en niet onder de GDPR wetgeving valt, heeft de CNIL zich bevoegd gevonden (ipv. deze zaak naar Ierland door te geven). Link
12/01/2023 TikTok 5 miljoen EUR Geen correcte cookiebanner, waarbij er geen eenvoudige “reject all” mogelijkheid is om cookies te weigeren. Daar dit onder de ePrivacy en niet onder de GDPR wetgeving valt, heeft de CNIL zich bevoegd gevonden (ipv. deze zaak naar Ierland door te geven). Link
12/01/2023 VooDoo mobile games 3 miljoen EUR Ook zonder consent werden op iOS in mobile games de technical identifier “IDentifier For Vendors” (IDFV) gebruikt voor gepersonaliseerde advertenties Bij elke inbruik is er een boete van 20.000EUR per dag dat er geen correcte consent wordt gebruikt. Link
28/03/2023 Cityscoot 125k EUR Het elke 30sec opslagen van de locatie van een deelscooter wordt als te intrusief gezien. Zeker daar de afgesloten verwerkingsovereenkomsten met verwerkers niet uitgebreid genoeg waren. Ook het gebruik van Google Recaptcha zonder consent werd als een overtreding gezien. Link
17/05/2023 Doctissimo 380k EUR De website doctissimo.fr biedt voornamelijk artikelen, tests, quizzen en discussiefora over gezondheid en welzijn, bestemd voor het grote publiek. Tijdens haar onderzoek heeft de CNIL verschillende tekortkomingen vastgesteld, met name met betrekking tot de bewaartermijnen van gegevens, het verzamelen van gezondheidsgegevens via online tests, de beveiliging van gegevens en de procedures voor het plaatsen van cookies. Link
15/06/2023 KG COM 150k EUR Platform met helderzienden waar je met deze betalend kan chatten. Geen melding van datalek, website zonder https, opname van alle telefoons, bewaren van gevoelige persoonsgegevens zonder consent, foutieve cookiebanner. Link
15/06/2023 Criteo 40 miljoen EUR Als RTB adtech speler verzamelt Criteo o.a. via cookies gebruikersgedrag om nadien gepersonaliseerde advertenties te kunnen tonen. Geen bewijs van consent, niet genoeg transparantie bij recht tot inzage en recht tot verwijderen . Link
19/10/2023 Canal+ 300k EUR Formulieren voor verzamelen van data gebruikt voor commerciële prospectie bevatte geen geldige optin. Daarnaast geen geldige DPA contracten met verwerkers, niet melden van een datalek en onvoldoende opleiding voor werknemers. Link
19/12/2023 Gemeente Kourou 5k EUR Het niet aanstellen van een DPO. Link
22/12/2023 Bundeling van 6 kleinere uitspraken 44k EUR een gebrek aan samenwerking met de CNIL, buitensporige verzameling van gegevens van een kandidaat voor een baan, het niet respecteren van de rechten van mensen, niet-naleving van het recht op toegang tot medische dossiers, een gebrek aan gegevensbeveiliging (robuustheid en opslag van wachtwoorden). Link
22/12/2023 NS Cards France 105k EUR Geen correcte cookiebanner voor de cookies en trackers op de website. Daarnaast ook te lange bewaartermijnen en te beperkte privacy policy. Link
18/01/2024 Yahoo 10 miljoen EUR Geen correcte cookiebanner voor de cookies en trackers op de website. Link
23/01/2024 Amazon France logistique 23 miljoen EUR Te verregaande werknemertracking in de magazijnen. Link
30/01/2024 TAGADAMEDIA 75k EUR Gebruik van dark patterns in formulieren voor het vergaren van een consent. Link
13/02/2024 PAP.fr 100k EUR Schending van eigen opgelegde bewaartermijnen, geen correcte privacy policy en geen correcte verwerkersovereenkomst. Wachtwoorden werden in plain text opgeslagen. Link
05/03/2024 Foriou 310k EUR Direct marketing op basis van gekochtte databestanden van brokers zonder controle van juiste consent Er wordt gewezen op de dark patterns bij de consentvergaring. Link

GDPR boetes en rechtszaken in Ierland

De boetes uitgesproken door de Ierse data protection authority zijn zeer belangrijk, daar veel van de techgiganten hun Europees hoofdkantoor in Dublin hebben geplaatst.

Datum Bedrijf Bedrag Waarom? Commentaar Link
15/12/2020 Twitter 450k EUR Niet melden van datalek in januari 2019. De mogelijkheid om private tweets toch publiek te zien werd ontdekt in januari 2019, maar niet op tijd aangegeven in Ierland. Link
02/09/2021 Meta – Whatsapp 225 miljoen EUR 5,5 miljoen EUR Te weinig transparantie over dataverwerking en sharing met Facebook In januari 2023 door de Ierse DPA teruggebracht naar amper 5,5 miljoen EUR. 🙈 Link
14/03/2022 Bank of Ireland Group plc 463k EUR Niet tijdig en correct melden van datalekken aan de toezichthouder en betrokkenen (art 33 en 34 AVG). Link
15/03/2022 Meta – Facebook 17 miljoen EUR Boete voor 12 datalekken in de 2de helft van 2018. De boete komt er wegens onvoldoende technische en organisatorische maatregelen om de persoonsgegevens van klanten te beschermen. Link
05/09/2022 Meta – Instagram 405 miljoen EUR Boete voor het toelaten dat kinderen via emailadres/gsmnummer eenvoudig opzoekbaar waren voor andere Instagram gebruikers. Link
28/11/2022 Meta – Facebook 265 miljoen EUR Boete naar aanleiding van het scraping verhaal in 2018-2019 waarbij meer dan 500 miljoen gegevens vanuit Facebook wered gehaald via scraping. Link
04/01/2023 Meta – Facebook/Instagram 390 miljoen EUR Het gevolg van een Oostenrijkse en Belgische klacht rond het foutief gebruik van grond contract voor het inzetten van data voor gepersonaliseerde advertenties ipv. toestemming. Meta krijgt 3 maanden om dit in orde te brengen en dus de nodige toestemmingen te verkrijgen van al hun gebruikers. Link
03/03/2023 A&G Couriers 15k EUR Datalek door IT contractor die servers publiek online had gezet in een project. Link
13/03/2023 Bank of Ireland 750k EUR Datalek in mei 2020 Link
22/05/2023 Meta 1,2 miljard EUR Schrems 2 problematiek rond de transfer van EU data naar US servers Hard tegen de goesting van de PDC hebben ze deze boete moeten uitschrijven onder druk van de andere Europese landen. Link
15/09/2023 TikTok 345 miljoen EUR Boete rond bescherming van minderjarigen op TikTok. Dit onderzoek was reeds gestart in 2020 en ondertussen zijn deze problemen reeds opgelost door TikTok. Link

Privacy boetes en rechtszaken in Groot-Brittanië

Data Protection autoriteit: Information Commissioner’s Office (ICO)

De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.

Groot-Brittanië hoort nu niet meer bij de EER, dus deze boetes zijn niet meer op de basis van de Europese GDPR regels.

Datum Bedrijf Bedrag Waarom? Commentaar Link
8/6/2018 The British and Foreign Bible Society £100.000 datalek van 417k personen door hack via zwak wachtwoord service account Databreach uit december 2016 Link
12/6/2018 Yahoo! £250k Globaal datalek door hack Databreach uit 2014, pas in 2016 aan het licht gekomen Link
13/6/2018 Gloucestershire Police £80k Versturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personen Databreach uit december 2016 Link
20/6/2018 British Telecommunications plc (BT) £77k Versturen van 5 miljoen ongevraagde spammails Het ging over niet-commerciële mails voor 3 goede doelen Link
28/6/2018 Our Vault Limited £70k 55.000 callcentertelefoontjes zonder toestemming Link
18/7/2018 Independent Inquiry into Child Sexual Abuse £200k Reply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruik Link
1/8/2018 AMS Marketing Ltd, £100k 75.000 callcentertelefoontjes zonder toestemming Link
9/8/2018 Emma’s Diary £140k Vergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen “The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.” Link
5/9/2018 Everything DM Ltd (EDML) £60k Versturen van 1,4 miljoen spam mails Everything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten. Link
20/9/2018 Equifax UK £500k Grootschalige hack door slechte security In mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren. Link
24/9/2018 Verpleegster £800 Persoonlijke veroordeling Deze verpleegster had onrechtmatig het medische dossier van 5 personen ingekeken Link
28/9/2018 Bupa Insurance Services Limited (Bupa) £175k Te lage securitybeveiliging ontdekt Een ex-werknemer heeft het CRM leeg gezogen en die gegevens verkocht. Tijdens het onderzoek kwam er securityproblemen naar voor. Link
8/10/2018 Heathrow airport £120k Te lage securitybeveiliging/awareness Nadat gevoelige gegevens gelekt werden door een achtergelaten USB stick is de ICO op onderzoek gegaan. Link
9/10/2018 Boost Finance Ltd (BFL) £90k Versturen van spammails Versturen van meer dan 4 miljoen mails zonder de juiste consent in september 2017 Link
25/10/2018 Facebook £500k Onvoldoende maatregelen tegen datamisbruik Deze boete gaat over de periode 2007-2014 en is dan ook het maximumbedrag dat ze als boete konden opleggen. Link
27/11/2018 Uber £385k Niet genoeg bescherming tegen hacks De NL AP gaf hen een boete voor het niet melden. De ICO voor de hack zelf. AUTCH! Link
5/12/2018 Directeur lagere school £1.100 Meenemen persoonlijke gegevens van studenten Als directeur had hij de persoonlijke gegevens van studenten meegenomen naar zijn nieuwe school Link
9/01/2019 DSCL Elections Ltd/Cambridge Analytica £21.170 Niet voldoen aan een GDPR access request van een datasubject (Amerikaans professor) Op 5 mei 2019 was de vraag voor een data access request doorgegeven. Link
01/02/2019 Leave.EU + Eldon Insurance £120.000 2 aparte boetes voor het versturen van mails zonder de juiste consent de klanten van Eldon Insurance customers ontvingen berichten voor de Leave Brexit campagne. Link
07/02/2019 Magnacrest Ltd £1460 Niet voldoen aan een GDPR access request van een datasubject na 40 kalenderdagen Op 17 april 2017 was de vraag voor een data access request doorgegeven. Link
26/02/2019 privé persoon £1.440 Doorsturen HR informatie naar partner Lokale ambtenaar die de cv’s van tegenkandidates van zijn partner had doorgestuurd naar hem. Link
15/03/2019 privé persoon £1.640 Inkijken medische records Administratief persoon die zonder bevoegdheid medische dossiers van familieleden had ingekeken. Link
15/03/2019 privé persoon £820 Doorsturen klantengegevens De persoon werkte bij een 2de hands autoverkoper en had mails met klantengegevens doorgestuurd net voor ze ontslag nam. Link
19/03/2019 Vote Leave £40.000 Versturen van bijna 200k SMS’en zonder consent De gsm-nummers waren o.a. via een voetbalwedstrijd vergaard. Link
26/03/2019 Grove Pension Solutions Ltd £40.000 Versturen van 2 miljoen marketingmails zonder consent Hun agency had hen misleidend advies gegeven, maar zij zijn de verantwoordelijken Link
04/04/2019 London Borough of Newham £145.000 een interne database met bendeleden kwam in handen van de bendeleden zelf Het delen van het bestand in 2017 onder hulporganisaties kwam via Snapchat tot bij de bendeleden zelf Link
05/04/2019 administratief bediende £514 doorsturen van bedrijfsgegevens naar eigen prive mailaccount Een NHS manager van een medisch centrum verstuurde sollicitatiegegevens naar de eigen mailaccount Link
10/04/2019 True Visions Productions (TVP) £120.000 opnames van tv-programma in de kraamafdeling van een ziekenhuis Te weinig informatie en geen juiste consents voor het opnemen van controles in de kraamafdeling van zwangere vrouwen Link
12/04/2019 Bounty UK £400.000 pregnancy and parenting club (soort Roze doos bedrijf) Zonder juiste consent en met onvolledige privacy statement doorverkopen van persoonsgegevens Link
16/04/2019 Avalon Direct Limited £80.000 callcentertelefoontjes zonder consent 52.000 telefoontjes in 2017 Link
07/05/2019 Hall and Hanley £120.000 sms berichten zonder consent 3,5 miljoen smsberichten naar gsmnummers verzameld op onduidelijke websites Link
06/06/2019 “A Restorative Justice Caseworker” £620 Doorsturen vertrouwelijke dossier naar emailadres in laatste week voor opstappen Dit waren dossiers rond veroordelingen en bijhorende persoonlijke data Link
07/06/2019 “A Customer Service advisor” £694 Inkijken gevoelige dossiers zonder reden Dit waren dossiers rond daders en slachtoffers van “anti-sociaal” gedrag Link
13/06/2019 Smart home protection ltd £90.000 118.000 spamtelefoontjes vanuit een callcenter In het verkoopscript werd er gewag gemaakt van valse salesclaims rond connectie met lokale politie Link
08/07/2019 British Airways £20.000.000 Intentie voor deze boete, BA kan nu in beroep gaan Diefstal van betalingsgegevens door de Megacart malware bende. Eerste boete was 183miljoen £, maar is dus terug gebracht… Link
09/07/2019 Marriott hotels £99.200.396 £18,4 miljoen In oktober 2020 werd de boete gevoelig teruggebracht Databreach sinds 2014 bij Starwood hotels, wat niet ontdekt werd tijdens de aankoop door Marriott van deze keten in 2018 Link
17/07/2019 ex manager van een schadebedrijf £25.500 verkocht persoonlijke klantengegevens van het bedrijf Ook bij zijn nieuwe werkgever deed hij dezelfde overtredingen Link
19/07/2019 Life at Parliament View Ltd £80.000 18.000 klantendossiers raadpleegbaar van een real estate bedrijf Onvoldoende securitymaatregelen en geen monitoring op foutieve configuratie systemen Link
02/12/2019 “A former Social Services Support Officer” £780 Inkijken van 4 Social care dossiers van connecties Link
05/12/2019 “A former Reablement Officer” £859 Inkijken van 16 Social care dossiers van connecties Link
20/12/2019 Apotheek Doorstep Dispensaree Ltd £275k 500.000 documenten bewaard niet afgesloten in kisten in de tuin Medische data = gevoelige data dus daarom zo een strenge straf Link
09/01/2020 DSG Retail Limited (DSG) £500k 9 maanden lang was er malware op kassasystemen geïnstalleerd dat alle betalingsgegevens stal Geen security testing, slecht patchmanagement, geen lokale firwalls,… Link
15/01/2020 privé persoon £900 Doorsturen persoonsgegevens als sociaal werker Het ging over minderjarigen. Link
04/03/2020 Cathay Pacific Airways Limited £500k Tussen 2014 en 2018 zijn er van 9 miljoen klanten de creditcards onderschept “back-up files that were not password protected; unpatched internet-facing servers; use of operating systems that were no longer supported by the developer and inadequate anti-virus protection” Link
02/07/2020 Decision Technologies Limited £90k Versturen van spam mails als prijsvergelijker Het ging hierbij over 14 miljoen mails zonder de juiste consent Link
24/09/2020 Digital Growth Experts Limited £90k Versturen van 16k sms berichten zonder juiste consent Dit in het midden van de corona uitbraak voor handgelproducten Link
08/10/2020 Studios MG Ltd £40k Versturen van 9k spammails zonder juiste consent Dit in het midden van de corona uitbraak voor het verkopen van mondmaskers (waarmee snelle winst wilde mee gemaakt worden) Link
13/11/2020 Ticketmaster £1,25 million Boete voor databreach op hun website Door het hacken van een 3th party chatbot weren creditcard gestolen op de betalingspagina Link
04/12/2020 OSL Financial Consultancy Limited £50k Boete voor het versturen van 174.342 spam sms’en In het oog gekomen bij de IOC door onderzoeken naar welke bedrijven COVID19 gingen misbruiken. Link
18/05/2021 Tested.me Ltd £8k Bedrijf met digital QR codes voor contact tracing in horeca bedrijven Maar deze gegevens werden ook gebruikt voor marketing doeleinden. Link
20/05/2021 American Express Services Europe Limited (Amex) £90k Versturen van 4 miljoen marketing emails waarbij geen rekening werd gehouden met opt-outs. Na onderzoek bleken 4 miljoen van de 50 miljoen verstuurde servicemails marketingmails. Link
03/06/2021 Conservatieve partij £10k Versturen van marketing emails waarbij geen rekening werd gehouden met opt-outs. Na onderzoek was het niet duidelijk waar wel consent voor was, maar van 51 mails van de klagers was er zekerheid dat er geen consent was. Link
15/06/2021 Papa John Pizza keten £10k De pizzaketen gebruikte de “soft optin” reden om marketing berichten (email en sms) naar hun klanten te sturen. Het was echter moeilijk om een opt out te doen en het ging over een zeer groot aantal berichten. Link
08/07/2021 Transgender charity Mermaids £25k Onderzoek na datalekmelding over intern emaildistrubtielijst die ook online vindbaar was. Uit het onderzoek bleek een te kleine focus op informatieveiligheid en dit gerelateerd tot de zeer gevoelige natuur van de gegevens. Link
13/09/2021 SportsDirect.com Retail Limited £70k Versturen van 2.8 miljoen marketingmails zonder de juiste consent in een “re-engagement campaign”. Link
13/09/2021 We Buy Any Car Limited £200k Versturen van emails en sms zonder de juiste consent. Link
13/09/2021 Saga Personal Finance Limited £75k Versturen van emails en sms zonder de juiste consent. Bijkomend dat dit affiliate marketing mails zijn verstuurd door publishers in naam van Saga. Link
2/12/2021 Kabinet van eerste minister £500k 50k £ Online plaatsen op 27 december 2019 van een bestand met de persoonlijke gegevens van 1000 burgers die een onderscheiding (The New Year honours) kregen. “The personal data was available online for a period of two hours and 21 minutes and it was accessed 3,872 times.” Link
8/12/2021 Virgin Media £50k Versturen van 451,217 direct marketing emails met een Marketing Preference Reminder zonder geldige grond. Link
23/05/2022 Clearview £7,552,800 Geen transparantie naar burgers dat foto’s van hen worden verzameld en ook geen wettelijke verwerkingsgrond hiervoor. Link
03/08/2022 Health advisor £3000 Het (zonder toestemming) inkijken van medische records van 14 personen (die gekend waren voor hem). Link
06/09/2022 Halfords £30k Versturen van 500k spammails zonder de juiste consent. In de verdediging gooide ze hun voormalige DPO trouwens mee onder de bus, wegens zijn foutief advies. Link
4/10/2022 “a catalogue retailer” £283k  Het zonder juiste consent verzamelen van gezondheid gerelateerde persoonsgegevens. Marketing automation werd opgestart aan de hand van de aankoop van bepaalde gezondheidsproducten. Link
24/10/2022 Interserve £4,4 miljoen Via een phishing attack werd malware geïnstalleerd, die niet goed is verwijderd. Hierdoor was er een databreach die de gegevens van 113.000 werknemers deed uitlekken. Na een audit werd duidelijk dat er geen patching was uitgevoerd van de systemen. Link
01/02/2023 Werknemer van RAC £6k Als werknemer werd data rond verkeersongevallen doorgespeeld aan claim bedrijven. Link
17/02/2023 Ex-werknemer noodcentrale £1k Als werknemer van de noodcentrale 111 had deze persoon zonder wettelijke grond de gegevens ingekeken van een case om zijn gelijk te bewijzen in een discussie met ouders van een kind dat de noodcentrale had gecontacteerd. Link
04/04/2023 TikTok £12,7 miljoen TikTok heeft te weinig aandacht gehad voor de privacy van kinderen onder de 13 jaar. Link
14/04/2023 Join The Triboo Limited £130k 107 miljoen spam emails verstuurd naar 437,324 people tussen augustus 2019 en augustus 2020 zonder de juiste consent. Link
25/08/2023 This is the Big Deal £30k 41,417,889 unsolicited direct marketing berichten (39,906,342 emails en 1,511,547 sms berichten) zonder de juiste consent. Link
13/12/2023 Ministerie van defensie £350k Datalek door 245 Afghanen die een evacuatie uit Afghanistan wilde in het TO-veld ipv BCC-veld met een email met informatie over de evacuatie te versturen. Link
12/01/2024 Hello Fresh £140k Over een periode van zeven maanden verstuurde ze 79 miljoen spammails en 1 miljoen spam-sms’jes zonder de juiste consent. Na stopzetten van een abonnement werd er nog 2 jaar marketing gevoerd naar de ex-klanten. Link
19/01/2024 LADH limited £58k Versturen van 50.000 spamberichten zonder juiste consent. Link
26/02/2024 Ministerie van defensie £350k Mailfout met TO en BCC bij de chaotische aftocht uit Kabul Link

GDPR boetes en rechtszaken in Duitsland

Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.

Momenteel nog geen goede manier gevonden om eenvoudig die 16 DPA’s op te volgen…

In oktober 2019 heeft de Duitse DPA guidelines gepubliceerd over hoe boetes te gaan berekenen bij overtredingen. Natuurlijk heeft er een DPO hier nu een online calculator mee gemaakt.

Datum Bedrijf Bedrag Waarom? Commentaar Link
21/11/2018 Knuddles.de 20k EUR databreach door hack Databreach van 1.8 miljoen usernames en paswoorden (in plain text) Link
05/02/2019 privé persoon 2.5k EUR Versturen van foutieve mails Deze privé persoon heeft verschillende mails verstuurd met honderden emailadressen in het to-veld ipv. bcc-veld. Link
03/2019 Bank N26 50k EUR Aanleggen van blacklist N26 had een blacklist met ex-klanten, maar deze was niet op de juiste manier samengesteld Link
09/05/2019 politie officier 1.4k EUR misbruik van toegang De politie officier gebruikte zijn toegangen om gegevens op te zoeken van een betrokkenen in een ongeval. Link
19/09/2019 Delivery Hero 195k EUR recht op inzage en bewaringstermijn Er werd data van ex-gebruikers blijvend bewaard en gebruikt voor marketingdoeleinden. Link
05/11/2019 Deutsche Wohnen SE 14 miljoen EUR archiefsysteem waar geen personen uit verwijderd kunnen worden het bedrijf gaat tegen deze boete in beroep Link
3/12/2019 Ziekenhuis 105k EUR Door foutieve facturatie van patient kwamen gebreken aan het licht rond werking met persoonsgegevens Ze hebben een lichtere straf gekregen door de goede medewerking Link
9/12/2019 Telecom provider 1&1 9.55 miljoen EUR Via de helpdesk kon je met een naam en geboortedatum de gegevens van andere klanten opvragen Ze hebben een lichtere straf gekregen door de goede medewerking Link
9/12/2019 Rapidata 10k EUR Ontbreken van aanstelling DPO Herhaaldelijk is hierop aangedrongen Link
13/02/2020 Facebook Germany 52k EUR Ontbreken van aanstelling DPO Na een vervanging was de aanstelling van een nieuwe DPO niet goed door gecommuniceerd. Link
1/10/2020 H&M 35,3 miljoen EUR Ongeoorloofd bijhouden van privé details van werknemers (gezinsleven, geloof,…) “H&M takes full responsibility and wishes to make an unreserved apology to the employees at the service center in Nuremberg.” Link
18/01/2021 NBB (notebooksbilliger.de) 10,4 miljoen EUR Boete voor videosurveillance van eigen werknemers afgelopen 2 jaar Overal was er video surveillance, waarbij de beelden 60 dagen werden bijgehouden. In de verdediging werd aangehaald dat er geen fysieke inspectie gebeurde. Link
25/03/2021 bedrijf 5000 EUR schadevergoeding Gebruik van een foto van werknemer (in de context van haar etnische achtergrond) in een brochure. Werknemer had de schriftelijke toestemming voor gebruik van de foto niet ondertekend en was ook niet ingelicht van context van gebruik van de foto’s. Let op dat gebruik van toestemming als verwerkingsgrond tussen werknemer en werkgever altijd riskant is. Link
24/09/2021 Vattenfall Europe 901k EUR Niet genoeg informatieplicht naar klanten, dat vroegere klantendata werd gebruikt om eventuele promoties aan te bieden. Link
20/01/2022 website 100 EUR schadevergoeding naar klager Schadevergoeding toegekend aan een bezoeker, die klaagde dat een website Google fonts gebruikt en zo zijn IP adres lekte naar Amerikaanse servers van Google. Link
26/07/2022 Volkswagen 1,1 miljoen EUR Te weinig maatregelen bij een researchproject van VW (geen goede info over welke data er wordt verzameld, geen verwerkingsregister, geen DPIA). Link
20/09/2022 een retail groep 525k EUR DPO met onverenigbare taken als manager van 2 bedrijven die ook taken voor de retailer uitvoerde. Link
21/09/2022 real estate bedrijf 55k EUR Via scraping van het eigendomsregister werden marketingacties uitgevoerd. Link
31/05/2023 Bank 300k EUR Niet genoeg informatie naar een data subject over een automated beslissing met nadelige impact voor de data subject (profiling). Link
02/08/2023 Bedrijf 215k EUR Een bedrijf hield een database bij met gevoelige data over werknemers in hun proefperiode (wil om bij een vakbond aan te sluiten, psychische problemen,…). Link

 

GDPR boetes en rechtszaken in Polen

Ook de Poolse DPA UODO is in actie geschoten.

Datum Bedrijf Bedrag Waarom? Commentaar Link
15/03/2019 Bisnode 220k EUR Inbreuk op article 14 volgens UODO (Right to be informed) Het gaat hierbij om data-scraping van 6 miljoen personen waar ze geen emailadres van hebben Link
16/05/2019 Lower Silesian Football Association 13k EUR Deze voetbalbond publiceerde alle persoonlijke data van 585 scheidsrechters (inclusief nationaal nummer) Er was zelf een databreach uitgevoerd na ontdekking van de publicatie van deze gegevens (10/2015 – 07/2018) Link
04/11/2019 Stadhuis Aleksandrów Kujawski 9.3k EUR de eerste boete in Polen voor een overheidsinstatie Het niet afsluiten van een DPA met het bedrijf dat het extranet beheert. Video’s van de gemeenteraad stonden enkel op youtube en er was nergens een backup hiervan. Link
06/11/2019 ClickQuickNow Sp. z o.o. 47k EUR Uitschrijven zou even gemakkelijk moeten zijn als inschrijven. Binnen de 14 dagen moet het bedrijf de processen om toestemming in te trekken eenvoudiger maken Link
05/03/2020 Primary School No. 2 in Gdansk 4,4k EUR Vingerprintscanner voor betaling in de kantine door 680 leerlingen Leerlingen zonder vingerafdruk dienden tot het laatste te wachten Link
03/04/2020 Vis Consulting Sp. z o.o. 4,4k EUR onmogelijkheid voor inspectie door DPA De DPA wilde een inspectie doen, maar trof niemand aan en kreeg ook geen toegang tot de kantoren. Link
11/09/2020 Warsaw University of Life Sciences (SGGW) 11k EUR Boete na aantreffen databreach De gegevens van studenten werden aangetroffen op een gestolen privé laptop van een werknemer. Link
13/01/2021 WARTA S.A. Insurance and Reinsurance Company 20k EUR Boete na databreach door foutieve mail van werknemer met verzekeringsinformatie De organisatie is in gebreke gesteld voor betere voorlichting en interne processen. Link
13/01/2021 Virgin Mobile Polska 460k EUR Boete na inspectie nadat een databreach aan het licht was gekomen door een hack. De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. Link
13/01/2021 ID Finance Poland 250k EUR Boete na inspectie nadat een databreach aan het licht was gekomen door een hack (wegens een lek dat al dagen eerder was aangegeven). De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. Link
07/09/2022 culturele organisatie 529 EUR Geen verwerkingsovereenkomst met een processor, wat aan het licht kwam door een databreach met informatie van 30 personen. Link
6/10/2022 Easylife 1,48 miljoen EUR Zonder juiste consent segmenteren van klanten en voorspellen van medische gezondheid Link
24/10/2022 Interserve Limited 4,4 miljoen EUR Niet de juiste organisatorische en technische maatregelen, waardoor een grote hack niet kon voorkomen worden. Link
07/12/2022 Interserve Limited 460k EUR Te weinig organisatorische maatregelen, waardoor een grote data breach kon gebeuren. Link

GDPR boetes en rechtszaken in Portugal

Voor de volledigheid ook de boetes gerelateerd aan GDPR uit Portugal.

Datum Bedrijf Bedrag Waarom? Commentaar Link
01/07/2021 Lissabon 1,25 miljoen EUR Het gemeentebestuur verwerkte persoonsgegevens van personen die demonstraties organiseerden en deelde de data met derde partijen, waaronder ambassades en de ministers van Buitenlandse Zaken van andere landen. Politieke overtuiging is een gevoelig gegeven, dus mag niet zomaar verwerkt worden. Link
17/07/2018 Centro Hospitalar Barreiro Montijo 400k EUR werknemers gebruikte valse profielen om zo meer gegevens te kunnen zien Het onderzoek was van voor het GDPR-tijdperk, maar toch zijn de GDPR regels gebruikt voor het bepalen van de boetes Link
12/12/2022 Portuguese National Statistics Institute 4,3 miljoen EUR Gebruik van Cloudflare, verzamelen van gegevens van een volkstelling zonder juiste consent. Ook het ontbreken van een DPIA. Link

GDPR boetes en rechtszaken in Italië

Ook de Italiaanse DPA Garante is in actie getreden.

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/12/2018 Facebook 10 miljoen EUR boete rond misleidende sign-in methodes “Misleading users in the sign-up process about the extent to which the data they provide would be used for commercial purposes.” Link
17/04/2019 Rousseau association 50k EUR Platform met websites van politieke partij Movimento 5 Stelle Opvallend is dat hier de processor de boete kreeg voor niet voldoende securitymaatregelen Link
28/06/2019 Facebook 1 miljoen EUR boete naar aanleiding van het Cambridge Analytica schandaal 57 Italianen gebruikte die bepaalde quiz, waardoor de data van 214.000 Italianen uit Facebook werd gehaald. Link
17/01/2020 Eni Gas en Luce (Egl) 11,5 miljoen EUR 8,5 miljoen EUR boete voor onwettige telesales (na vele klachten) 3 miljoen EUR boete na 7000 klachten over onwettige en geforceerde aansluitingen voor een nieuw contract via onderaannemers en affiliates Link
01/02/2020 Telecombedrijf TIM 27,8 miljoen EUR Verschillende fouten in marketingactiviteiten (verkrijgen toestemming, callcenter telefoontjes,…) Naast de boete kregen ze een hele lijst met maatregelen voor de toekomst opgelegd. Link
19/11/2020 Vodafone 12,5 miljoen EUR Na honderden klachten van burgers over spamtelefoontjes. daarnaast werden fake telefoonnummers gebruikt om de telecalls te maskeren. Link
10/06/2021 Tandarts 20k EUR Tandarts liet nieuwe patiënten een volledige medische vragenlijst invullen en weigerde patiënten die ooit een HIV infecties hadden opgelopen. Deze data verzamelen heeft niets te maken met de activiteiten van een tandartspraktijk. Link
22/07/2021 Stad Rome 800k EUR De nieuwe parkeermeters met nummerplaatingave geven te weining informatie wat er met de data zal gebeuren en welke processors toegang krijgen tot de data. Link
25/11/2021 B&T 400k EUR Marketing bedrijf in onderaanneming had via data brokers gsm nummer aangekocht en daarop sms’en verstuurd. Verantwoordelijkheid van de controller om meer toezicht te houden op onderaannemers. Link
16/12/2021 Enel Energia 26,5 miljoen EUR Onderzoek na honderden klachten over ongewenste marketingtelefoontjes. Link
09/03/2022 Clearview 20 miljoen EUR De zoveelste Europese veroordeling voor deze database van publiek bij elkaar gebrachte foto’s, waarmee gezichtsherkenning wordt gedaan. Link
28/04/2022 Amiu spa 200k EUR Italiaanse afvalverwerker van de Italiaanse kuststad Taranto, die video’s van sluikstorters op hun FB pagina plaatste. Naast het publiekelijk gebruiken van deze videobeelden als schandpaal, hadden ze ook geen DPO aangesteld. Link
28/04/2022 Ziekenhuis 70k EUR Versturen van 2 medische nieuwsbrieven met alle ontvangers in CC ipv. BCC. Link
19/05/2022 Uber BV 4,24 miljoen EUR Nadat NL, FR en de UK reeds eerder een boete gaven voor het grote datalek bij Uber (dat in 2017 werd publiek gemaakt), heeft ook de Italiaanse DPA een onderzoek gedaan. Link
05/08/2022 Bedrijf 20k EUR Niet correct antwoorden op inzageverzoek na overname van ander bedrijf. Link
15/9/2022 Luxury Flats s.r.l. 2k EUR Onderzoek na klacht van werknemer dat biometrische gegevens (vingerafdrukken) verplicht werden voor de werknemers hun tijdsopname. Hierbij werd er niet meegewerkt aan het onderzoek. Link
6/10/2022 Waterbedrijf 15k EUR website zonder https certificaat. Link
10/11/2022 Vodafone Italia 500k EUR Persoonlijke gegevens voor direct marketing inzetten zonder juiste consent. Link
5/12/2022 Clubhouse 2 miljoen EUR Dit one-hit wonder onder de startups (het bleek een feature en geen platform) had er de kantjes hard afgereden naar verwerking van persoonsgegevens. Link
10/11/2022 Sportitalia (fitness keten) 20k EUR Onwettig gebruik van vingerafdrukken ter controle van werknemers. Link
01/12/2022 Amazon Italia Logistica 20k EUR Niet antwoorden op recht tot verwijdering door werknemer. Link
22/12/2022 St Cecilia Conservatory of Music in Rome 6k EUR Een gevonden USB stick bevatte gegevens van de studenten aan het conservatorium. Daarnaast was er een conflict of interest voor de DPO. Link
11/01/2023 Commify Italia 80k EUR Zondere wettelijke grond bijhouden van berichten verstuurd via SMS platform door klanten en zonder afdoende interne controle op toegang hiertoe. Link
11/01/2023 Universitair ziekenhuis Padua 5k EUR Foutief gebruik van CC versus BCC in versturen van email naar deelnemers van klinische testen. Link
13/04/2023 Krant “Palermo today” 15k EUR Publiceren van medische informatie over een opgepakte mafiabaas. Link
17/04/2023 Ediscom 300k EUR Gebruik van dark patterns voor het verkrijgen van consent op leadgen websites. Link
27/04/2023 Geico 40k EUR Het bedrijf bleef de mailbox van 3 ex-werknemers inkijken. Link
22/06/2023 Telecombedrijf TIM 7,631 miljoen EUR Nieuwe beslissing na reeds een boete in 2020 (zie hierboven) na nieuwe klachten door consumenten. Deze boete gaat o.a. over het publiceren van data in publieke telefoongidsen. Link
8/06/2023 La Rinascente 300k EUR Fouten rond de loyalty card: geen info over data transfers naar Meta, geen DPIA, geen info over bewaartermijnen,… Link
22/06/2023 Autostrade per l’Italia 1 miljoen EUR Foutief aanmerken van de developer van een app als verwerkingsverantwoordelijke. Link
28/06/2023 Benetton 240k EUR Geen correcte cookiebanner, lege privacy policy en versturen van marketing emails naar opted out contacts. Het loyalty platform bewaarde gegevens van klanten voor 10 jaar, terwijl de privacy policy spreekt voer 12/24 maanden. Link
8/06/2023 Magazine Oggi 40k EUR Publicatie van een foto in de privésfeer genomen door een paparazzi door het raam van een appartement op de 4de verdieping. Link
31/08/2023 Italiaanse krant 10k EUR Publiceren van persoonlijke gegevens van een persoon in een krant tegen zijn wil en zonder wettelijke grond. Link
26/10/2023 Regio Lombardije 20k EUR Datalek door publiceren van gegevens van werknemers op een publieke website. Link
26/10/2023 Krant Il Quotidiano del Sud 20k EUR Publicatie van niet waar bericht over covid-infectie van politicus met naam en foto van de klager. Link
16/11/2023 Amazon Italia 40k EUR Niet tijdig antwoorden op een access request van een voormalige werknemer. Link
11/01/2024 dokterspraktijk 20k EUR Patienten konden in een publiek en niet afgesloten brievenbus hun doktersvoorschriften ophalen (los in de brievenbus te vinden). Link
11/01/2024 stad Suracusa 5k EUR Niet communiceren van details van DPO. Link

GDPR boetes en rechtszaken in Spanje

Ook de Spanje DPA AEPD is in actie getreden. Weet dat de AEPD waanzinnig veel kleine boetes uitschrijft en ik deze echt niet kan bijhouden. Dit zijn dus de meest markante. 😉

Datum Bedrijf Bedrag Waarom? Commentaar Link
11/06/2019 LaLiga 250k EUR LaLiga gebruikte hun app in de strijd tegen piraten tv-streams Dit door zonder consent gebruikers van de app te gaan afluisteren via fingerprinting om te kijken welke stream ze bekeken Link
09/07/2019 Avon Cosmetics 60k EUR Na klacht door consument Te weinig validatie door bedrijf over de identiteit van de gegevens, die door een scammer waren misbruikt Link
1/10/2019 Vueling Airlines 30k EUR cookies Bezoekers hebben geen mogelijkheid om cookies te weigeren bij een bezoek aan de website. Link
16/10/2019 Iberdrola Clientes 8k EUR weigering meewerken met DPA Elektriciteitsmaatschappij antwoordde niet op vragen van Spaanse DPA Link
16/10/2019 Xfera Moviles S.A. 60k EUR Bijhouden gegevens Foutieve afsluiting van telefooncontracten + bijhouden van gegevens, nadat consument verwijdering had gevraagd. Link
3/3/2020 Twitter 30k EUR Niet genoeg transparantie rond het gebruik van cookies Te beperkte cookie policy en het ontbreken van een correcte cookiewall. Link
09/06/2020 Iberdrola 4k EUR Na een klacht werd een vraag voor informatie uitgestuurd, waarop geen antwoord kwam. Link
25/11/2020 Telefónica Móviles España 75k EUR Na een klacht van burger. De burger ontving onterecht facturen van een andere klant Link
14/01/2021 Financiële groep La Caixa 6 miljoen EUR Na een klacht van burger van 2018 en een consumentenorganisatie in 2019. Onduidelijke privacy policies en een te ruim gebruik van legitimate interest. Link
31/03/2021 Vodafone Spanje 8 miljoen EUR Versturen van SMS/mails naar mensen zonder optin, datatransfer naar Peru en tijdens inspectie vastgesteld dat er niet genoeg technische maatregelen werden genomen. Omwille van de Spaanse Telecomwetgeving kregen ze ook nog 2 extra boetes van 2 miljoen EUR en 150.000 EUR. Link
26/06/2021 Twitter gebruiker 6k EUR Wegens verspreiding van een video rond geweld tegen vrouwen, maar waarbij de slachtoffers herkenbaar in beeld waren. Dezelfde video werd ook door Spaanse media getoond, maar hierbij werden de gezichten wel onherkenbaar gemaakt. Link
17/06/2021 Particulier 1.5k EUR Na het stopzetten van een relatie van 7 jaar publiceerde de burger sexuele details en foto’s en de tegenpartij op een website. Pikant detail was het opduiken van een BDSM contract tussen beide partijen, waarbij slachtoffer ook toestemming gaf tot verspreiding van de beelden in hun master-slave relatie. Link
06/07/2021 Bankia/Caixabank 50k EUR Versturen van commerciële marketing op een enveloppe waarin de documenten voor een recht tot inzage zaten. Link
09/08/2021 Turnclub 5k EUR Plaatsen van foto’s van 2 kinderen op de instagram account, ook al hadden de ouders hier expliciet geen consent voor gegeven. Link
14/09/2021 Vodafone Spanje 56k EUR Consument die slachtoffer werd van identiteitsdiefstal, waarmee telefooncontracten zijn aangegaan zonder voldoende authenticatie. Link
13/01/2022 Educando Juntos 9k EUR Gebruik van een foto van een werknemer op de website en social media, zonder eerst consent van die werknemer te krijgen. De werknemer had verschillende keren gevraagd deze foto te verwijderen. Link
11/02/2022 Amazon Road Transport Spain 2 miljoen EUR Amazon vroeg aan chauffeurs criminal record data bij hun sollicitatie en de consent om deze buiten de EER te mogen verwerken. Link
11/03/2022 Spaans hotel 30k EUR In samenwerking met de Nederlandse autoriteit persoonsgegevens. Klant hotel had ontdekt dat de ingescande identiteitskaarten van gasten intern gebruikt worden ter herkenning en controle van gasten. Link
21/03/2022 Recruiter Michael Page 240k EUR In samenwerking met de Nederlandse autoriteit persoonsgegevens. Voor inzage in persoonsgegevens werden naast de identiteitskaart nog onnodige persoonsgegevens opgevraagd ter identificatie. Link
21/03/2022 5 mobiele operatoren 5,7 miljoen EUR Te weinig technische of organisatorische maatregelen voor het voorkomen van Sim-swapping aanvallen van klanten. Link
18/05/2022 Google 10 miljoen EUR Boete rond recht tot verwijdering door gebruikers uit Google. Hierbij wordt data naar the Lumen Project gestuurd en is het proces nodeloos complex. Link
31/08/2022 particuliere blog 10k EUR Op een particuliere blog werd de naam en een video van een toenmalige minderjarige getoond en na vraag niet verwijderd door de blog. Link
12/09/2022 trouwjurk bedrijf 10k EUR Het zonder consent plaatsen van een foto met een klant met trouwjurk op het Instagram profiel van het bedrijf. Link
2022 Energiebedrijf 35k EUR Foutieve versturing van email door werknemers met persoonlijke gegevens klant naar een andere klant. Geen interne melding aan DPA van dit gegevenslek. Link
2022 16 jarige 5k EUR afpersen van een 13 jarige in het sturen van meer sexting foto’s via Whatsapp en Instagram. Link
21/12/2022 ORANGE ESPAGNE 30k EUR Te weinig controles bij een geval van sim-swapping. Link
2022 Bank Ibercaja 100k EUR Na het overlijden van de vader heeft de bank automatisch een rekening geopend op naam van een kind voor het overzetten van tegoeden. Hierbij was er geen toestemming van de moeder voor de aanmaak van deze rekening. Link
16/01/2023 een talent acquisition company 40k EUR Bij het uitvoeren van recruitment testen werden teveel data verwerkt zonder geldige verwerkingsgrond. Link
25/04/2023 Digi Spain Telecom 70k EUR Te weinig maatregelen om een geval van simswapping te voorkomen, wat gebruikt werd voor identiteitsdiefstal. Link
05/2023 Congres organisator in Barcelona 200k EUR Niet uitvoeren van een DPIA voor de gezichtsherkenning als toegangsbadge voor het congres (na klacht van spreker). Link
21/04/2023 Security bedrijf 50k EUR Niet doorgeven van de technische logs op een security apparaat in een huis na de vraag door de eigenaar van het huis na een inbraak. Link
02/08/2023 QUALITY-PROVIDER S.A 20k EUR Weigeren van toegang geven tot kantoren bij inspectie door DPA. Link
08/2023 mediawebsite / blog 20k EUR Plaatsen van persoonlijke foto genomen vanop een Instagram profiel dat op private stond. Link
28/08/2023 particulier 10k EUR Online plaatsen van video van dronken persoon en verspreiden online. Link
08/09/2023 másLUZ Energía (SIE) 70k EUR Bijhouden van persoonlijke gegevens na stopzetten van energiecontracten. Link
13/09/2023 Vodafone Spain 56k -> 42k EUR Doorsturen van foutieve persoonlijke gegevens na een recht tot inzage Ze kregen 14k EUR korting op de boete door niet in beroep te gaan. Link
20/09/2023 chatwith.io 20k EUR Dark patterns in de cookiebanner: overloading en skipping. Link
13/09/2023 Vodafone Spain 56k -> 42k EUR Doorsturen van foutieve persoonlijke gegevens na een recht tot inzage Ze kregen 14k EUR korting op de boete door niet in beroep te gaan. Link

GDPR boetes en rechtszaken in Roemenië

Datum Bedrijf Bedrag Waarom? Commentaar Link
27/06/2019 Unicredit Bank 130k EUR Article 25 boete (data protection by design en by default) Ontvangers van een betaling zagen ook het nationaal ID nummer van de betaler Link
02/07/2019 WTC Bucharest hotel 15k EUR Naar aanleiding van eigen datalekmelding De ontbijtlijst met 46 hotelgasten werd door een externe gefotografeerd en verspreid Link
05/07/2019 Avocatoo.ro 3k EUR Website met GDPR en DPO templates voor bedrijven Ironisch genoeg kon je de persoonlijke gegevens van klanten en transacties publiekelijk vinden op de website door securityproblemen Link
31/07/2019 Uttis Industries 2.5k EUR Na klacht in maart 2019 Het bedrijf had securitycamera’s, zonder de nodige privacymaatregelen Link
10/10/2019 Raiffeisen Bank 150k EUR Gebruik van whatsapp door werknemers voor doorsturen klantendata In totaal 1100 slachtoffers en de communicatie was met een externe partij Link
14/10/2021 Ikea Roemenië 1k EUR Uitlekken van persoonlijke data (van kinderen) door het online zetten van deelnameformulieren van een Ikea tekeningwedstrijd De data stond 40 uur op een Ikea platform online. Link
4/1/2023 Watermaatschappij 3k EUR Datalek door TO veld in email ipv. BCC veld Link
25/08/2023 Body Line SRL 10k EUR Plaatsen van een video van een data subject gemaakt met surveillance systeem van de controller op de social media accounts van de controller. Link
24/10/2023 online platform selling IT products 3k EUR Databreach door een publieke link naar download van alle facturen van klanten op het platform. Link

GDPR boetes en rechtszaken in Denemarken

Datum Bedrijf Bedrag Waarom? Commentaar Link
3/06/2019 IDdesign 200k EUR van 385k klanten was er geen procedure voor het verwijderen van data die niet meer nodig is Dit na een inspectie in het najaar van 2018 Link
10/03/2020 Steden Gladsaxe en Hørsholm 14k + 7k EUR Datalek: In beide cases werd een laptop gestolen met niet encrypted harde schijf Beide datalekken waren op de juiste manier aangegeven. Link
15/05/2020 recruitment company JobTeam 6.7k EUR Verwijderen van persoonsgegevens tijdens een aanvraag voor recht tot inzage Voordat een antwoord werd verstuurd naar de aanvrager rond zijn recht tot inzage, werden zijn persoonsgegevens reeds verwijderd. Link
09/07/2021 Medicals Nordic 80.5k EUR Covid19 testcentrum dat Whatsapp groepen intern gebruikte voor het verspreiden van resultaten. Link
22/06/2022 Boekenclub Gyldendal 134k EUR Het bijhouden van data van uitgeschreven leden van den boekenclub (zogenaamde passieve database). Link
14/07/2022 Advocatenkantoor 67k EUR Te weinig technische en organisatorische maatregelen genomen om een ransomware aanval op hun servers tegen te gaan. Link
09/02/2024 Netcompany 2 miljoen EUR Te weinig technische en organisatorische maatregelen genomen voor het platform waarmee overheidsberichten kunnen worden ontvangen. Link

GDPR boetes en rechtszaken in Hongarije

Datum Bedrijf Bedrag Waarom? Commentaar Link
23/05/2019 Organisator Sziget/Balaton… festivals 92k EUR Voor deze festivals worden alle persoonlijke data gematched met de RFID chip van de bracelet De Hongaarse DPA ging niet mee in het hele verhaal rond inzetten van legitimate interest hiervoor Link
08/2022 Gynaecoloog 1,4k EUR Niet antwoorden op inzageverzoek van patiënt Link

GDPR boetes en rechtszaken in Griekenland

Datum Bedrijf Bedrag Waarom? Commentaar Link
30/07/2019 PWC Business Solutions 150k EUR PWC liet zijn werknemers consent gegeven voor de verwerking van hun gegevens De verwerkingsgrond is echter geen consent, maar is de uitvoering van het werknemerscontract en dus geen consent Link
14/01/2020 PWC Business Solutions 15k EUR Een inspectie na klacht over inkijken van mails van een ontslagen werknemer toonde geen inbreuken aan Tijdens de inspectie werd echter wel een videocamera systeem ontdekt, dat niet was aangegeven Link
26/08/2021 HDPA (webshop) 40k EUR Recht to inzage van data. Link
13/07/2022 Clearview AI 20 miljoen EUR Na Italië geeft ook Griekenland deze gezichtsherkenning database een stevige boete. Link
03/10/2022 Nationale bank van Griekenland 20k EUR Nieuwe bankkaarten werden uitgerust met een chip voor contactloos betalen, maar deze hield de laatste 10 transacties bij. Link
13/01/2023 Intellexa S.A 50k EUR Geen medewerking van dit bedrijf dat trackingsoftware installeerde op smartphones voor inlichtingendiensten. Link
30/03/2023 Vodafone 10k EUR Een nieuwe klant van Vodafone ontving een promotiepakket van een ander bedrijf. Dit was als welkomstcadeau, maar voor het doorgeven van deze gegevens was er geen wettelijke grond. Link
13/06/2023 Athens Urban Transport Organisation 50k EUR Geen data minimalisatie bij transportabonnementen en onvolledige DPIA. Link
29/11/2023 Piraeus Leasing 20k EUR Gebruik van een foto voor een verkoop van aangeslagen goederen met daarop een wagen met nummerplaat van een betrokkene. Geen data minimalisatie en het niet volledig voldoen van een verwijdersverzoek. Link
05/12/2023 Alpha Bank 60k EUR De bank heeft alle transacties van een man aan zijn vrouw gegeven, waardoor de huiselijke vrede daar is verstoord geraakt. Daarnaast hebben ze na ontdekking van deze fout geen datalekmelding gedaan. Link
16/02/2024 Bedrijf 2k EUR Gebruik van geolocatiemogelijkheid van wagen van werkgever buiten de normale werktijd om werknemer (die zijn telefoon niet opnam) te localiseren. Link
22/02/2024 Stad Athene 5k EUR DPO die niet antwoord op een survey met vraag tot inlichtingen van de DPA Link

GDPR boetes en rechtszaken in Oostenrijk

Datum Bedrijf Bedrag Waarom? Commentaar Link
16/08/2019 Österreichische Post AG 800 EUR schadevergoeding voor advocaat die ontdekte dat de Post zijn (waarschijnlijke) politieke voorkeur bijhield en verkocht Dit was een individuele schadevergoeding, maar er zijn 2,2 miljoen burgers betrokken, dus potentieel duur verhaal voor de post Link
28/10/2019 Österreichische Post AG 18 miljoen EUR Na de uitgesproken schadevergoeding nu ook een boete. De post bleek al jaren profileringsgegevens van burgers te verkopen. Link
15/01/2024 Bank 9500 EUR Persoon had een access request gedaan, maar de bank heeft een verwijdering uitgevoerd. Link
15/01/2024 Bedrijf 10000 EUR Niet meewerken bij een onderzoek naar een klacht. Link
12/12/2023 Bedrijf 5900 EUR Late verwittiging van data subjects dat hun gegevens gestolen waren in een ransomware aanval Link
17/01/2024 Restaurant 20k EUR Plaatsing van veilligheidscamera’s tot in de keuken vna het restaurant zonder de juiste wettelijke grond en met een te lange bewaartermijn. Link

GDPR boetes en rechtszaken in Zweden

Datum Bedrijf Bedrag Waarom? Commentaar Link
22/08/2019 een school in Skellefteå 20k EUR Gebruik van gezichtsherkenning in de school Geen DPIA en ook geen correcte verwerkingsgrond Link
18/12/2019 Mrkoll.se 35k EUR Deze website publiceert publiek data van alle Zweden boven 16 jaar Naast publieke data publiceerden ze ook creditchecks en data over wanbetalingen Link
11/03/2020 Google 7 miljoen EUR In 2017 vroeg de Zweedse DPA aan Google om bepaalde zoekresultaten te verwijderen In 2018 bleek dat Google dit niet had uitgevoerd Link
30/04/2020 National Government Service Centre 18.000 EUR Niet melden van een datalek Inspectie na klachten over problemen met het IT systeem voor de loonadministratie van werknemers Link
13/05/2020 Healthcare Committee in Region Örebro County 11.000 EUR Foutieve publicatie van persoon die in psychiatrische instelling werd opgenomen. Geen duidelijke documentatie voorzien voor publicaties op de website Link
7/12/2020 7 ziektezorg organisaties boetes tussen 250k EUR – 3 miljoen EUR Onderzoek bij 8 “health care organisaties”, waarna er 7 een boete kregen wegens niet genoeg doen om de gevoelige gegevens te beschermen. Het niet hebben van een risicoanalyse (needs’ and risk analyses) was het grootste probleem. Link
11/12/2020 Universiteit Umeå University 55.000 EUR Een research groep naar verkrachtingen bewaarde de ingescande politieverslagen in de cloud van AWS in de US. Daarnaast vroegeer ze extra info bij de politie met 1 van de gevoelige verslagen als bijlage in een email. Link
17/12/2020 Housing company Uppsalahem 30.000 EUR Na onregelmatigheden in het gebouw, plaatste de gebouweigenaar 2 camera’s in de gang en traphal. Deze toonden ook de voordeur van de 2 klagers, die dit een inbreuk op hun privacy vonden. Link
2021 Education Board van de stad Stockholm 68k EUR Geen informatie en transparantie over camerabewaking. Link
30/11/2021 Google 4,8 miljoen EUR Onregelmatigheden bij recht op verwijdering. Link
31/03/2022 Klarna 723k EUR Geen duidelijkheid over welke data van gebruikers wordt bijgehouden en welke data ook buiten de EER wordt verwerkt. Link
12/06/2022 Spotify 5 miljoen EUR Het recht tot inzage in je eigen data werd niet volledig uitgevoerd door Spotify, met maar toegang tot een deel van alle persoonsgegevens over de data subject. Deze boete komt na klachten door NOYB en het Nederlandse Bits of freedom Link
03/07/2023 Tele2 / CDON 1 miljoen + 25k EUR Uitspraken in de klachten van NOYB rond Google Analytics. 2 bedrijven kregen een boete, 2 andere bedrijven niet wegens reeds de nodige technische maatregelen. De Zweedse DPA beveelt wel het stopzetten van gebruik van GA. Link
28/08/2023 Trygg-Hansa 3 miljoen EUR Door het aanpassen van links van offertes, konden documenten van andere klanten ingekeken worden wat zorgde voor een datalek. Link
7/11/2023 Indecap 43,7k EUR Een datalek door het foutief verzenden van een bestand met klantendata naar andere klanten. “The erroneous mailings involved the personal data of 52,364 data subjects and were received by a maximum of 2,813 individuals.” Link
30/11/2023 Zweedse gemeente Östersund 23k EUR Voor het invoeren van Google Workspace op 24 scholen van de gemeente zonder het uitvoeren van een DPIA. Link
28/11/2023 Östersund’s Childrens and Education Board 26,5k EUR 24 scholen zijn Google Workspace beginnen gebruiken, maar zonder een nieuwe DPIA uit te voeren (en te vertrouwen op de oude DPIA uit 2014). Link

GDPR boetes en rechtszaken in Noorwegen

Datum Bedrijf Bedrag Waarom? Commentaar Link
1/10/2019 Stad Oslo 120k EUR De centrale ‘Skolemelding’ mobile app wordt gebruikt voor communicatie tussen scholen, leerlingen en ouders en bleek securitygaten te bevatten. De eerste boete van 200k EUR is naar beneden gebracht door het snelle ingrijpen om de impact van de problemen te beperken. Link
18/12/2019 Stad Oslo 49k EUR In 11/2018 hadden ze zelf een databreach aangegeven rond hoe gegevens rond geboortes werden bijgehouden in gezondheidscentrums Alle werknemers hadden volledige toegang (zonder logging) tot alle gezondheidsgegevens Link
17/09/2020 Norwegian Public Roads Administration 37,4k EUR Het gebruiken van beelden van wegcamera’s voor het monitoren van contractors en hun medewerkers tijdens wegenwerken Het gebruik van deze beelden voor deze doeleinden gaat tegen het oorspronkelijke doel van deze wegcamera’s. Link
26/10/2020 Odin Flissenter AS (Tile distributor) 14k EUR Bedrijf had onterechte credit check van een eenmanszaak gedaan (wat als persoonsgegeven wordt gezien) Verlaagd boetebedrag wegens covid19 impact op bedrijf momenteel. Link
25/11/2020 Østfold HF Hospital 71k EUR Na datalekmelding door het hospital zelf Medische documenten werden bewaard in folders zonder strenge accesscontroles. Link
26/01/2021 Datingapp Grindr mogelijk tot 10 miljoen EUR Teveel gevoelige data werd gedeeld met 3de partijen (IP address, advertising ID, GPS location, age and gender,…) Uitspraak volgt in 2de helft februari Link
03/02/2021 Cyberbook AS 19k EUR Automatische forward rule van mailbox van ex-werknemer Link
02/03/2021 Bedrijf 24k EUR Automatische forward rule van mailbox van ex-werknemer Link
24/03/2021 Ålesund municipality 5k EUR Op 2 scholen werden leerlingen gevraagd verplicht Strava te gebruiken, zonder dat er een DPIA is uitgevoerd. Link
25/03/2021 Dragefossen AS 15k EUR Publieke webcamstreaming, die ook 12uur terugspeolbaar was. Link
09/04/2021 Miljø- og Kvalitetsledelse AS 3.5k EUR Beelden van vandalisme bij een carwash werden naar de werkgever van de vermoedelijke dader verstuurd. Link
09/04/2021 Asker municipality 97k EUR Interne documenten waren publieklijk vindbaar. De documenten waren afgeschermd, maar de titels van de documenten gaven persoonsgegevens vrij. Link
21/04/2021 Basaren Drift AS 19k EUR Te verregaande camerabewaking in het restaurant van gasten en werknemers. Link
11/05/2021 Norwegian Sports Confederation 121k EUR Datalek met persoonsgegevens van 3.2 miljoen burgers bij het testen van een cloud oplossing. Link
27/05/2021 Innovation Norway 97k EUR Credit checks zonder wettelijke verwerkingsgrond. Link
11/06/2021 BRAbank ASA 38k EUR Datalek bij lancering van nieuwe bankportal waarmee klanten andere klanten hun gegevens zagen. Link
11/06/2021 bedrijf 15k EUR Ex-werknemer ontdekte dat zijn vroegere manager het paswoord van zijn emailbox veranderde en 6 weken lang de mailbox zelf dagelijks opvolgde. Link
24/06/2021 Moss municipality 48k EUR Systemen met gezondsheidsdata hadden problemen met betrekking tot toegang, juistheid van gegevens en toegang tot de gegevens. Link
27/09/2021 Road toll company 499k EUR Geen data processing agreement, DPIA en transfer mechanisme voor het verwerken van 12,5 miljoen nummerplaatgegevens in China. Link
19/10/2021 Gemeente Østre Toten kommune 409k EUR Onbeschikbaar worden en uitlekken van persoonlijke data na ransomware aanval. Link
8/12/2021 Government Pension Fund (SPK) 99k EUR Ze hadden zelf gerapporteerd dat ze ontdekt hadden dat ze teveel gevoelige historische salarisgegevens van 24.000 burgers met een mindervalide pensioen hadden verwerkt. Door de zelfmelding en medewerking is de boete verlaagd Link
13/12/2021 Grindr 6,34 miljoen EUR Doorgifte van data van gebruikers (zeer gevoelige persoonlijke data gezien de aard van deze dating app) aan MoPub en AppNexus en andere advertentiepartijen. De juiste consent via hun Cookie Management Platform voor deze doorgifte ontbrak. Link
8/2/2023 Fitness keten SATS 1miljoen EUR Niet op tijd antwoorden op vragen van betrokkenen rond recht van inzage en recht tot verwijderen. Link
16/03/2023 Argon Medical services 220k EUR Na de inbraak in de email inbox van een Amerikaanse VP van dit bedrijf, was er geen datalek melding voor de gevoelige HR data van 1 Noorse werknemer, die betrokken was. Link

GDPR boetes en rechtszaken in Cyprus

Datum Bedrijf Bedrag Waarom? Commentaar Link
25/10/2019 LGS Handling Ltd, Louis Travel Ltd en Louis Aviation Ltd 82k EUR (in totaal) Boete voor gebruik van een “Bradford Factor” tool voor het scoren van de ziektedagen van werknemers na een klacht door een vakbond. Er was een DPIA uitgevoerd, maar deze is van tafel geveegd over het legitiem belang van deze tool. Link
25/10/2019 WiSpear systems 925k EUR Securitybedrijf dat een surveillancetruck had ontwikkeld en verhuurde voor verzamelen gsm signalen. De boete komt er voor het verzamelen van mac-adressen en imsi-nummers van personen zonder hun toestemming. Link
24/01/2024 Open University of Cyprus 45k EUR Geen juiste organisatorische en technische maatregelen om een grote databreach te voorkomen. Link

GDPR boetes en rechtszaken in IJsland

Datum Bedrijf Bedrag Waarom? Commentaar Link
05/03/2020 National Center of Addiction Medicine 20,6k EUR Datalek: Een ex-werknemer kreeg een doos opgestuurd met persoonlijke spullen, maar daarin zaten ook patientengegevens. Daar deze NGO afkickcentra in beheer heeft, zijn dit zeer gevoelige gegevens. Link
05/03/2020 Breiðholt Upper Secondary School 8,9k EUR Datalek: Een leerkracht verstuurde een foutieve mail. Naar 57 leerlingen en hun ouders werden de persoonlijke studiegegevens van 18 andere leerlingen verstuurd. Link
29/06/2021 Ijssalon concern met enkele vestigingen 34k EUR Klacht van minderjarige werknemer dat er camerabewaking was tot in de omkleedruimte. Geen notificatie naar werknemers of klanten hiervan. Link
06/05/2022 Reykjavík (wegens basisschool in de stad) 36k EUR De basisschool maakte gebruik van online onderwijsplatform Seesaw (Amerikaanse platform). De dataverwerking was niet transparant, principes van dataminimalisatie en opslagbeperkingen waren niet geïmplementeerd en databescherming by design en by default werd niet toegepast. Link
06/12/2023 Reykjavík (wegens basisschool in de stad) 13k EUR De basisschool maakte gebruik van Google classroom. Link

GDPR boetes en rechtszaken in Finland

Datum Bedrijf Bedrag Waarom? Commentaar Link
25/09/2020 Acc Consulting Varsinais-Suomi 7k EUR Versturen van marketing mails en sms berichten zonder de juiste consent. Dat het bedrijf ook niet antwoordde op data subject request van klagers maakt het zwaarder. Link
09/05/2022 Otavamedia Oy – magazine publisher 85k EUR Voor het laten verwijderen van persoonsgegevens, diende personen een formulier uit te printen, in te vullen, ondertekenen en op te sturen. Link
14/12/2022 Viking Line 230k EUR Teveel bewaren van gezondheidsgegevens van werknemers en ex-werknemers. Link
06/07/2023 Finnish Business Register 23k EUR Geen correcte verwerking van inzageverzoeken van telefoon transcripts. Link

GDPR boetes en rechtszaken in Litouwen

Datum Bedrijf Bedrag Waarom? Commentaar Link
29/03/2021 App “Karantinas” (Quarantine) 15k EUR Boetes voor de National Public Health Centre (NPHC) en de developer van de app UAB “IT sprendimai sėkmei”. Onduidelijke structuur van joint controller, datatransfers buiten EU en te weinig maatregelen voor zulke gevoelige data. Link
29/03/2021 State Enterprise Centre of Registers 15k EUR Boete voor deze processor voor niet genoeg technische en organisatorische maatregelen om een onbeschikbaarheid van alle data te voorkomen en alles op te lossen na een technische probleem. ALngere boete gekregen omdat ze ook afhankelijk zijn van medewerking van de controllers (zoals Ministry of Health of the Republic of Lithuania). Link
29/03/2021 CityBee 110k EUR Datalek van 110k gebruikers van het platform waarbij de data online werd gepubliceerd op een forum. Het datalek gebeurde doordat een databasebackup op de hosting werd gevonden. Link
27/12/2022 Maker van hartmonitoring toestellen 122k EUR Een maken van smartwatches met sensoren had niet de juiste consent voor het verwerken van medische gegevens. Link

GDPR boetes en rechtszaken in Letland

Datum Bedrijf Bedrag Waarom? Commentaar Link
09/09/2022 Internet service provider 1,2 miljoen EUR Zonder correct consent werden gegevens van klanten doorgegeven aan externe partijen voor een creditcheck. Link

GDPR boetes en rechtszaken in San Marino

San marino die dwergstaat die we enkel kennen van olijke voetbalmatchen is geen lid van de EU, maar is wel strijdvaardig geworden.

Datum Bedrijf Bedrag Waarom? Commentaar Link
06/07/2021 Facebook 4 miljoen EUR Te weinig veiligheidsmaatregelen tegen het scrapen van accounts wat in 2018/2019 is voorgevallen. Link
06/07/2021 Facebook 1 miljoen EUR Te lichte implementatie van leeftijdschecks van minderjarigen om hen beter te kunnen beschermen. Link

GDPR boetes en rechtszaken in Tsjechië

Datum Bedrijf Bedrag Waarom? Commentaar Link
1/5/2023 Czech Ministry of the Interior 41,5k EUR Te brede bewaring van gegevens van burgers met covid zonder de juiste wettelijke gronden. Link

GDPR boetes en rechtszaken in Kroatië

Datum Bedrijf Bedrag Waarom? Commentaar Link
4/5/2023 Incassobureau 2,265 miljoen EUR Anonieme tip met USB stick met alle gegevens van dit incassobureau. Boete wegens geen DPA en te weinig bescherming van gevoelige gegevens. Link
18/5/2023 Sport betting bedrijf 380k EUR Spelers dienden per email de voorkant en achterkant vna hun creditcard door te sturen voor uitbetaling via de creditcard. Deze gevoelige gegevens werden niet beschermd opgeslagen. Link
1/09/2023 2 gok bedrijven 20k + 30k EUR Geen correcte cookiebanners en cookie policy. Link
13/09/2023 public service company van de stad Zagreb 25k EUR Geen correcte procedure voor identificaties bij het uitvoeren van rechten. Link
05/10/2023 EOS Matrix 5,47 miljoen EUR Zonder wetsgrond vergaren van een grote database van persoonlijke gegevens. Link
26/09/2023 Hotel 15k EUR Zonder wettelijke grond opvragen van gevoelige gegvens bij hotelreservatie (creditcard nummer, ID foto,…). Link

GDPR boetes en rechtszaken in Malta

Datum Bedrijf Bedrag Waarom? Commentaar Link
4/5/2023 School 50k EUR Geen juiste procedure om toegangsverzoek van ouders die die voor hun school hebben uitgevoerd. Link

Ik ga ook de privacy boetes uit de VS hier documenteren (voor mezelf).

Markante privacy boetes en rechtszaken in de Verenigde Staten

Ook in de VS worden geregeld privacy boetes uitgesproken. Hier verzamel is enkele voorbeelden van uitspraken;

Datum Bedrijf Bedrag Waarom? Commentaar Link
03/08/2020 Twitter 250 miljoen $ Gebruiken van voor 2factor opgegeven gsmnummers en emailadressen voor advertentiedoeleinden Dit werd gedaan tussen 2013 en 2019. Link
01/09/2021 verschillende bedrijven 750k $ Verschillende gelijkaardige boetes voor datalekken van de afgelopen jaren. Link
08/08/2023 BNP Paribas en Société Générale 110 miljoen $ Professioneel gebruik van Whatsapp & iMessage door werknemers van deze banken met veiligheidsrisico’s tot gevolg. Link
16/11/2023 Amerikaanse bank Morgan Stanley 6,5 miljoen $ Foutief afdanken van servers en computers, waarna de verwerker deze hardware ongewist heeft verkocht op de 2de hands markt met alle aanwezige data nog op de harde schijven. Link
7/12/2023 Lafourche Medical Group 480k $ Datalek doordat via phishing een account van een medewerker werd overgenomen met toegang tot 35.000 patiëntengegevens. Link
blank

Marketing strateeg en docent (Thomas More/UHasselt). Sinds 2002 reeds techblogger. Marketing strateeg en privacy officer als freelancer en daarnaast ook gewoon papa thuis. Schrijf je in voor de Dailybits nieuwsbrief.

Abonneer
Abonneren op

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

15 Reacties
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
5 jaren geleden

Een belangrijke uitspraak van een rechtbank was de zaak van ICANN tegen EPAG. EPAG is een grote Duitse domeinregistrar, en die weigerde (onder de GDPR) om nog gegevens publiek te maken via de whois. ICANN (die de “generische” domeinnamen overziet) was het daar niet mee eens, en vond dat haar belangen groot genoeg waren om de info wel te tonen.

De Duitse rechtbank, specifiek verwijzend naar de GDPR, gaf EPAG gelijk. Meer info: https://www.internetnews.me/2018/05/31/icann-vs-epag-tucows-german-court-rules-against-icann/

Peter Witsenburg
4 jaren geleden

de hervorming van onze GBA is nog in volle gang en is nog steeds niet officieel benoemd…. (ondertussen al wel en neen, dit is geen 1 April grap 😉

Peter Van Lancker
4 jaren geleden

Hoe zit het met foto’s met mensen erop die niet expliciet hun toestemming hebben gegeven? Iedereen schudt en beeft in het onderwijs.

Reply to  Peter Van Lancker
4 jaren geleden
4 jaren geleden

Die boetes zijn echt de moeite. We zijn inderdaad al lange tijd voorbij die gevreesde dat. Maar email marketing zal nooit meer hetzelfde zijn. Het is opgepast gewezen als je een boete wilt vermijden zoals bovenstaande monsterboetes. Bedankt voor het mooie artikel Herman.

Cedric Hermans
4 jaren geleden

Zeer handige en overzichtelijke site voor het opvolgen van GDPR-boetes in Europa. Hartelijk dank hiervoor !
Doch wens ik te benadrukken dat de voorgestelde boete voor British Airways £183 miljoen, zijnde 1,5% van de volledige omzet gedurende 2017, bedraagt.
Voor het overige: keep up the good work !

4 jaren geleden

Al bij al toch maar weinig resultaat als je ziet welke inspanning er dien(d)en te gebeuren bij bedrijven en instellingen om de GDPR richtlijnen te implementeren.

Wel belangrijk om te melden, GDPR heeft iedereen wel bewust(er) gemaakt over hoe met data om te gaan en dat je niet zomaar adressen mag gaan kopiëren en spammen …

4 jaren geleden

Ik kreeg dit artikel doorgestuurd. Ik denk dat deze GDPR zaken voor elk bedrijf handig zijn om te weten. Bedankt voor het posten!

Sam
3 jaren geleden

Verrassend dat er toch wel al meer boetes uitgeschreven zijn dan ik initieel dacht!

3 jaren geleden

Best wel apart dat vzw’s veel lagere boetes krijgen dan anderen. En dat terwijl er veel vzw’s zijn die jaarlijks veel geld innen en zich als quasi-commerciële entiteiten gedragen.
(De rechtbanken van koophandel zijn eigenlijk verantwoordelijk voor de controle op vzw’s, maar doen dat niet en bijgevolg komen vzw’s met alles weg, inclusief de vzw’s die gelinkt zijn aan politieke partijen – maar dit ter zijde)