Overzicht GDPR boetes en rechtszaken

Laatste update: 21 september 2018

We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.

Daar ik de afgelopen weken/maanden me (als freelance DPO) soms heb kunnen opwinden over foute prioriteiten, die door bedrijven werden/worden gesteld, zet ik nu de grote middelen in.

In deze blogpost ga ik nu eens tonen/bijhouden welke boetes er nu daadwerkelijk echt worden uitgesproken in het kader van deze privacy wetgeving. Dus wat zijn nu de ECHTE prioriteiten?

Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.

 

GDPR boetes en rechtszaken in België

Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)

Aan boetes doen we nog niet mee in ons land (de hervorming van onze GBA is nog in volle gang). Er is ook al uitvoerig gezegd dat boetes pas na waarschuwingen en in uitzonderlijke gevallen zullen voorkomen.

 

 

GDPR boetes en rechtszaken in Nederland

Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)

Tot 11 juni hadden ruim 400 overheidsorganisaties een waarschuwing lopende dat ze wel degelijk dringend een DPO diende aan te stellen (ondertussen hebben ze allemaal een DPO).

Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.

Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners op de aanwezigheid van een verplichte DPO.

Datum Bedrijf Bedrag Waarom? Commentaar Link
09/08/2018 Theodoor Gilissen Bankiers (TGB) 48kEUR Niet voldoen aan Recht tot inzage 4 weken na de termijn van 2 maanden pas recht uitgevoerd Link
20/09/2018 Nationale politie 40kEUR Na 6 maanden nog niet genoeg securitymaatregelen getroffen De NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregel Link

 

GDPR boetes en rechtszaken in Frankrijk

Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/06/2018 Optical Center 250kEUR  Securityproblemen in webshop In 2015 ook al 50k boete gekregen. Link
28/06/2018 Association pour le Développement des Foyers (ADEF) 75k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van juni 2017 Link
31/07/2018 l’Office Public de l’Habitat de Rennes Métropole 30k EUR Gebruik van persoonsgegevens voor andere doeleinden dan voorzien Incident dateert van oktober 2017 Link
20/09/2018 ASSISTANCE CENTRE D’APPEL 10k EUR Registratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemers Vaststelling eind 2016, met nieuwe controle begin 2018 Link

GDPR boetes en rechtszaken in Groot-Brittanië

Data Protection autoriteit: Information Commissioner’s Office (ICO)

De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.

(Terechte opmerking in mijn Linkedin feed dat dit dus zaken zijn van VOOR de GDPR wetgeving in voege was en dus nog onder de oude Britse Privacywetgeving.)

Datum Bedrijf Bedrag Waarom? Commentaar Link
8/6/2018 The British and Foreign Bible Society £100.000 datalek van 417k personen door hack via zwak wachtwoord service account Databreach uit december 2016 Link
12/6/2018 Yahoo! £250.000 Globaal datalek door hack Databreach uit 2014, pas in 2016 aan het licht gekomen Link
13/6/2018 Gloucestershire Police £80.000 Versturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personen Databreach uit december 2016 Link
20/6/2018 British Telecommunications plc (BT) £77.000 Versturen van 5 miljoen ongevraagde spammails Het ging over niet-commerciële mails voor 3 goede doelen Link
28/6/2018 Our Vault Limited £70.000 55.000 callcentertelefoontjes zonder toestemming Link
18/7/2018 Independent Inquiry into Child Sexual Abuse £200.000 Reply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruik Link
1/8/2018 AMS Marketing Ltd, £100.000 75.000 callcentertelefoontjes zonder toestemming Link
9/8/2018 Emma’s Diary £140.000 Vergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen “The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.” Link
5/9/2018 Everything DM Ltd (EDML) £60.000 Versturen van 1,4 miljoen spam mails Everything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten. Link
20/9/2018 Equifax UK £500.000 Grootschalige hack door slechte security In mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren. Link
20/9/2018 AIQ (Canada) rechtzaak Eerst GDPR rechtzaak rond gebruik van gegevens voor de VoteLeave campagne Link

GDPR boetes en rechtszaken in Duitsland

Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.

Momenteel nog geen manier gevonden om eenvoudig die 16 DPA’s op te volgen…

 

Conclusie over prioriteiten

Als we vooral de UK manier van werken bekijken, dan heb je volgende prioriteiten momenteel:
1. Security, security, security,…. Het voorkomen van datalekken moet je prioriteit worden (online en offline).
2. Naar wie stuur je welk type berichten en verwachten deze personen wel dat je ze gaat bellen/mailen als bedrijf of zien ze het als spam?
3. leer het verschil tussen TO: en BCC: bij het versturen van manuele mails met gevoelige informatie.
4. Voorzie een verwerkingsregister
5. Agencies krijgen alvast een mooie waarschuwing door de Britse ICO

Update: Een mooi overzicht van de verschillende DPA’s met hun budget en head count.

Gerelateerde berichten

Herman Maes - online marketeer DPO freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer (SEO en Digital marketing) met Dailybits als SEO/Hubspot/Marketing Technology Teamlead/GDPR expert en daarnaast ook gewoon papa thuis.

Schrijf je in op de maandelijkse Dailybits mailing voor tips, tricks en random stuff.

One comment

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.