Overzicht GDPR / AVG boetes in Europa

Laatste update: 13 februari 2021

De landen die nog geen enkele boete hebben uitgeschreven: Ierland, Estland, Liechtenstein, Luxemburg en Slovenië.


 

We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.

Daar ik de afgelopen weken/maanden me (als freelance DPO) soms heb kunnen opwinden over foute prioriteiten, die door bedrijven werden/worden gesteld, zet ik nu de grote middelen in.

In deze blogpost ga ik nu eens tonen/bijhouden welke boetes er nu daadwerkelijk echt worden uitgesproken in het kader van deze privacy wetgeving. Dus wat zijn nu de ECHTE prioriteiten?

Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.

GDPR boetes en rechtszaken in België

Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)

Op 29 maart 2019 is onze Belgische Gegevensbeschermingsautoriteit dan eindelijk volledig benoemd met een nieuw directiecomité. In België is er ondertussen natuurlijk wel een nieuwe wet gekomen op camerabewaking.

Belangrijke waarschuwing alvast voor de toekomst: reactief naar proactief.

Op de website van de GBA kan je alle beslissingen vinden (dus inclusief de berispingen).

Datum Bedrijf Bedrag Waarom? Commentaar Link
29/05/2019 Belgische Burgemeester 2k EUR Het versturen van gepersonaliseerde email zonder consent voor de verkiezingen van oktober 2018 De burgemeester had emailadressen uit de cc van een klachtenmail gebruikt voor email marketing Link
19/09/2019 “een handelaar” 10K EUR Verplichting van inlezen van e-id voor het maken van een klantenkaart update 20/03: In beroep is de GBA in het ongelijk gesteld Link
28/11/2019 “burgemeester en schepen” 2*5k EUR Foutief samenbrengen van lijst om verkiezingsdrukwerk op uit te sturen bij de verkiezingen van oktober 2018 “De verzamelde gegevens moeten voor specifieke doeleinden worden gebruikt en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.” Link
17/12/2019 Jubel.be 15k EUR Fouten in de privacyverklaring en vergaring van cookie toestemmingen De website had gebruikt gemaakt van o.a. cookiebot, maar zo belangrijke cookies gemist Link
28/04/2020 Proximus 50k EUR Inspectie na melding van datalek met de nodige opmerkingen van verweerder rond hoe die inspectie tot stand is gekomen Onafhankelijkheid van DPO, tegenwerking van onderzoek, geen juiste risk-based approach Link
14/05/2020 DKV 50k EUR Boete rond gebrek aan transparantie in privacy policy Gebruikmaking van gerechtvaardigd belang bij verdere verwerking van persoonsgegevens van klanten van de hospitalisatieverzekering. (op vraag van DKV aangepast) Link
19/05/2020 Twoo 50k EUR Boete rond de feature van een social netwerk voor het “uitnodigen van contacten” Hier is er geen verwerkingsgrond om zomaar de gegevens van uitgenodigde contacten te verwerken. Link
29/05/2020 “vzw” 1k EUR Na klacht van ex-donateur (7 jaar geleden) die bleef brieven (met gadgets) krijgen voor een nieuwe gift Dit valt onder direct marketing en hie kan je je steeds tegen verzetten als ontvanger. Opvallend lage boete trouwens (wegens vzw?) Link
08/06/2020 “Een gemeenteraadslid” 5k EUR Gemeenteraadslid verstuurde een brief naar alle gemeentelijke werknemers rond zijn opkomen voor de verkiezingen Dit is al de 4de veroordeling rond het versturen van verkiezingsreclame voor de verkiezingen van 2018. Link
16/06/2020 “Een school” 2k EUR De school verstuurde via Smartschool een enquete rond “welbevinden” naar minderjarige leerlingen zonder consent van de ouders. Klager heeft vragen bij consent voor minderjarigen, gebruik smartschool, data minimalisatie,… Klager had in 2016 reeds klacht ingediend en deed dit in 2019 opnieuw voor nieuwe enquete. Link
16/06/2020 “een vzw” 1k EUR Recht op verwijdering uit direct marketing database werd niet opgevolgd en uitgevoerd. Klacht van september 2019 Link
19/06/2020 “een bedrijf” 10k EUR Versturen van direct marketing emails naar foutief emailadres en traag reageren op klachten klager Hogere boete door omzet als miljardenbedrijf Link
09/07/2020 mede-eigenaar appartementsgebouw 5k EUR Plaatsing van bewakingscamera’s met zicht op gemeenschappelijke delen, tuinen en de straat. Dit zonder toestemming, weigering tot geven van toegang tot de beelden en weigerde beheer over te dragen aan de Vereniging van Mede-Eigenaars. Klacht gebeurde in mei 2019 Link
14/07/2020 Google BE 600k EUR “Publiek persoon” wilde zijn “Right to be forgotten” mogelijkheid gebruiken in de Google zoekresultaten Een eerste klacht rond zijn banden met een politieke partij werd niet meegenomen een 2de klacht rond het verwijderen van pagina’s van een pesterijklacht was wel gegrond voor de GBA Link
28/07/2020 Burgemeester van Sint-Lievens-Houtem 3000 EUR Opnieuw een klacht/beslissing rond de verkiezingen van 10/2018. Ditmaal gaat het over verkiezingsdrukwerk gericht op nieuwe inwoners in de gemeente, waarbij de kiezerslijst van 2012 is gebruikt ter vergelijking. Meer info Link
30/07/2020 Proximus 20.000 EUR Klacht van burger die expliciet had gevraagd haar nieuwe telefoonnummer niet op te nemen in witte gids en 1207. Proximus verweerde zich dat ze de publicatie bij FCR en andere 3th party bedrijven niet kon tegenhouden, maar dit is wel zo. Link
01/09/2020 ex-burgemeester 5.000 EUR klacht rond verzending van email rond de verkiezingen van 2019 Emailadres was verkregen uit een klacht van de burger bij het secretariaat van de burgemeester over een sluikstort. Link
29/09/2020 Kleine KMO 15k EUR 2,5 jaar actief houden van mailbox van ex-CEO Correct omgaan met de mailbox van een wek-werknemer is belangrijk: blokkeren, autoresponder, na redelijke periode verwijderen. Link
25/11/2020 Particulier koppel 1,5k EUR Plaatsing van camera’s met zicht op buren en openbare weg Na klacht door buren, waarbij die koppel beelden had gebruikt voor doorgifte bouwovertreding van buren. Link
23/12/2020 Parkeerwacht bedrijf + deurwaarderkantoor 50k + 15k EUR Na een boete voor het niet plaatsen van een parkeerschijf haalt de betrokken burger zijn slag thuis en toont het manifeste schendingen tegen de AVG aan: privacystatement onvolledig, te laat antwoorden op inzage verzoekschrift, Voordat de burger betaalde reeds inzage in DIV database, afwezigheid van PO… De boete voor het parkeerbedrijf is afgezwakt doordat ze als verdediging de impact van Covid19 op hun omzet van dit jaar aanhaalden. Link
12/01/2021 Managementbureau artiesten 10k EUR Na het stopzetten van een managementovereenkomst tussen bureau en zangeres wilde de artieste de volledige overdracht van de FB fanpage met haar naam. De zangeres was beheerder, maar geen eigenaar van de FB fanpage en door het wegvallen van de verwerkingsgrond heeft ze gelijk gekregen. Link
13/01/2021 School Berisping ipv. boete Ouder had klacht ingediend, dat de nieuwsbrief van de school alle ouders in CC had staan ipv. BCC. Persoonlijke mening: de school van je kinderen met zulke procedure opzadelen is toch wel echt speciaal en niet bepaald constructief. Ik vermoed dat de klager niet in het oudercomité zelf de handen mee uit de mouwen steekt? Link
22/01/2021 Mobiele provider 25k EUR Case van simswapping, waarbij iemand in een winkel van de provider het gsmnummer en een nieuwe simkaart van andere klant heeft gekregen. Provider schermde er nog mee dat ze wegens commerciële belangen geen ID-check mochten doen, maar dit klopt niet volgens de GBA. Link
28/01/2021 Family Service “De Roze Doos” 50k EUR Jaren lang werden de gegevens van 1 miljoen klanten en hun kinderen zonder geldige optin gedeeld met derde partijen. Door de uitdeling via ziekenhuizen en het voorwendsel van “nationale dienst voor de promotie van kinderartikelen” was het niet duidelijk dat dit een marketinghandel was. Link
12/02/2021 Telenet Berisping ipv. boete Naar aanleiding van inspectie rond de privacy instellingen voor klanten en recht op bewaar tov. direct marketing De inspectie vertoonde enkele onzorgvuldigheden, waarbij Telenet aantoonde dat klanten wel degelijk zelf alles kunnen beheren via “Mijn telenet”. Link

PS: Een berisping voor de FOD gezondheid van 11/7/19 is in hoger beroep vernietigd, doordat de FOD kon bewijzen dat ze toch hadden voldaan aan de vraag.

GDPR / AVG boetes en rechtszaken in Nederland

Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)

Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.

Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners en financiële instellingen op de aanwezigheid van een verplichte DPO.

Datum Bedrijf Bedrag Waarom? Commentaar Link
09/08/2018 Theodoor Gilissen Bankiers (TGB) 48k EUR Niet voldoen aan Recht tot inzage 4 weken na de termijn van 2 maanden pas recht uitgevoerd Link
20/09/2018 Nationale politie 40k EUR Na 6 maanden nog niet genoeg securitymaatregelen getroffen De NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregel Link
27/11/2018 Uber 600k EUR Niet opvolgen van meldplicht na hack Uber zit met zijn HQ in NL en heeft dus niet voldaan aan de NL meldplicht na de hack van 2016 Link
04/04/2019 Zorgverzekeraar Menzis 50k EUR Niet voldoende controle op wie medische dossiers kan inkijken Tijdens een onderzoek in 2017 merkte men dat er onvoldoende toezicht was op toegang tot dossiers Link
28/05/2019 Gemeente Deventer 500EUR schadevergoeding toekenning van 500EUR schadevergoeding door rechtbank Gemeente had gegevens van persoon met ambtenaren onrechtmatig gedeeld (zie ook Tweakers) Link
16/07/2019 HagaZiekenhuis 460k EUR Niet genoeg veiligheidsmaatregelen naar afschermen van medische dossiers Dit is de eerste echte GDPR/AVG boete in Nederland en onderzoek is gestart nadat bleek dat vele medewerkers het dossier van BN’er Barbie hadden ingekeken. Link
28/05/2019 Uitkeringsinstantie UVW 250EUR schadevergoeding toekenning van 250EUR schadevergoeding door rechtbank Het UWV had via een geautomatiseerd proces abusievelijk een brief gestuurd aan de nieuwe werkgever van werknemer waarin werd medegedeeld dat de werknemer anderhalf jaar ziek/burnout was gemeld bij haar oude werkgever. Link
03/03/2020 NL tennisbond KNLTB 520k EUR Verkopen van ledenlijsten aan sponsors in 2018 Ze beroepen zich op het gerechtvaardigd belang (met optout in de privacy policy). Hun reactie is in mijn ogen wereldvreemd Link
30/04/2020 bedrijf (via rechter bekomen anonimiteit) 725k EUR Verplicht scannen van vingerafdruk door werknemers voor aanwezigheids- en tijdsregistratie De verwerkingsgrond toestemming kan hier niet aangeroepen worden door relatie werkgever – werknemer Link
06/07/2020 Stichting Bureau Krediet Registratie (BKR) 830k EUR Bij BKR vroegen ze een vergoeding voor het digitaal opvragen van persoonsgegevens. Per post kon je dit maar 1 keer per jaar gratis doen. Sinds april 2019 is dit nu aangepast. Link
12/01/2021 Gemeente Oldambt 500EUR schadevergoeding toekenning van 500EUR schadevergoeding door rechtbank Gemeente had persoonlijke gegevens van burger gelekt bij vergunningsaanvraag en verslaggever had dit via Twitter naar buiten gebracht. Link
11/02/2021 Amsterdamse ziekenhuis OLVG. 440k EUR Er zijn tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen Na het onderzoek zijn er wijzigingen gebeurd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. Link

GDPR boetes en rechtszaken in Frankrijk

Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)

 

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/06/2018 Optical Center 250kEUR  Securityproblemen in webshop In 2015 ook al 50k boete gekregen. Link
28/06/2018 Association pour le Développement des Foyers (ADEF) 75k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van juni 2017 Link
31/07/2018 l’Office Public de l’Habitat de Rennes Métropole 30k EUR Gebruik van persoonsgegevens voor andere doeleinden dan voorzien Incident dateert van oktober 2017 Link
20/09/2018 ASSISTANCE CENTRE D’APPEL 10k EUR Registratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemers Vaststelling eind 2016, met nieuwe controle begin 2018 Link
27/09/2018 Alliance Francaise Paris Ile-de-France 30k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van november 2017 Link
20/12/2018 Uber 400k EUR Boete voor achterhouden grootschalige hack in 2017 Ook NL gaf reeds 600k EUR en de UK gaf 385k £ voor dezelfde hack Link
27/12/2018 Bouygues Telecom 250k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van maart 2018 Link
21/01/2019 Google 50 miljoen EUR De globale verwerkingsgrond die Google gebruikt is verworpen als niet GDPR compliant De eerste grote GDPR boete aan een multinational uit naam van 10.000 burgers Link
07/06/2019 Immowebsite Sergic 400k EUR Via URL-modificatie waren gevoelige documenten van andere klanten in te kijken Na klacht door klant en inspectie ter plaatse in september 2018 Link
18/06/2019 Uniontrad company 20k EUR Blijvend filmen van eigen werknemers zelfs na klachten Lagere boete wegens negatief eigen vermogen en maar 9 werknemers Link
25/07/2019 Active Assurances 180k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van juni 2018 Link
26/11/2019 Futura International 500k EUR Inzetten van niet-EU callcenters met verschillende overtredingen Het CRM bevatte persoonlijke gevoelige gegevens en de medewerking met de CNIl was niet optimaal Link
26/11/2020 Carrefour + Carrefour Banque 3 miljoen EUR Na klachten inspecties gedaan midden 2019 Onvolledige privacy en cookie policy, bewaren van gegevens van niet-actieve klanten meer dan 5 jaar lang, verplichting opsturen ID bij rechtenverzoek, foutief aangeven gegevensdeling Link
7/12/2020 Perfomeclic 7300 EUR Verzenden van commerciële mails zonder (bewijs van) voorafgaande toestemming. De vereniging SIGNAL SPAM, die meldingen van internetgebruikers over ongevraagde e-mails ontvangt, liet de CNIL weten dat het bedrijf PERFORMECLIC regelmatig bovenaan de ranglijst staat van bedrijven die de meeste berichten uitgeven die door internetgebruikers op Frans grondgebied. Link
7/12/2020 Amazon Europe core 35 miljoen EUR Geen cookiewall op amazon.fr voor alle cookies. Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. Link
7/12/2020 2 artsen 3000 EUR + 6000 EUR De CNIL ontdekte een server met hun medische beelden op, die niet goed beveiligd waren. Na kennis hiervan te krijgen, hadden de 2 artsen ook een datalek moeten melden. Link
7/12/2020 Google LLC + Google Ierland 60 miljoen + 40 miljoen EUR Geen juiste cookiewall op google.fr voor alle cookies. Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. Link
5/1/2021 Nestor 20k EUR Massale prospectiemails zonder consent, vage privacy policy, niet antwoorden op inzage verzoeken van burgers en geen verplichting voor sterk paswoord bij registratie. Inspecties in mei 2019 en februari 2020, waarbij het bedrijf zijn systemen wel steeds heeft aangepast. Link

GDPR boetes en rechtszaken in Groot-Brittanië

Data Protection autoriteit: Information Commissioner’s Office (ICO)

De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.

(Terechte opmerking in mijn Linkedin feed dat dit dus zaken zijn van VOOR de GDPR wetgeving in voege was en dus nog onder de oude Britse Privacywetgeving.)

Datum Bedrijf Bedrag Waarom? Commentaar Link
8/6/2018 The British and Foreign Bible Society £100.000 datalek van 417k personen door hack via zwak wachtwoord service account Databreach uit december 2016 Link
12/6/2018 Yahoo! £250k Globaal datalek door hack Databreach uit 2014, pas in 2016 aan het licht gekomen Link
13/6/2018 Gloucestershire Police £80k Versturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personen Databreach uit december 2016 Link
20/6/2018 British Telecommunications plc (BT) £77k Versturen van 5 miljoen ongevraagde spammails Het ging over niet-commerciële mails voor 3 goede doelen Link
28/6/2018 Our Vault Limited £70k 55.000 callcentertelefoontjes zonder toestemming Link
18/7/2018 Independent Inquiry into Child Sexual Abuse £200k Reply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruik Link
1/8/2018 AMS Marketing Ltd, £100k 75.000 callcentertelefoontjes zonder toestemming Link
9/8/2018 Emma’s Diary £140k Vergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen “The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.” Link
5/9/2018 Everything DM Ltd (EDML) £60k Versturen van 1,4 miljoen spam mails Everything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten. Link
20/9/2018 Equifax UK £500k Grootschalige hack door slechte security In mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren. Link
24/9/2018 Verpleegster £800 Persoonlijke veroordeling Deze verpleegster had onrechtmatig het medische dossier van 5 personen ingekeken Link
28/9/2018 Bupa Insurance Services Limited (Bupa) £175k Te lage securitybeveiliging ontdekt Een ex-werknemer heeft het CRM leeg gezogen en die gegevens verkocht. Tijdens het onderzoek kwam er securityproblemen naar voor. Link
8/10/2018 Heathrow airport £120k Te lage securitybeveiliging/awareness Nadat gevoelige gegevens gelekt werden door een achtergelaten USB stick is de ICO op onderzoek gegaan. Link
9/10/2018 Boost Finance Ltd (BFL) £90k Versturen van spammails Versturen van meer dan 4 miljoen mails zonder de juiste consent in september 2017 Link
25/10/2018 Facebook £500k Onvoldoende maatregelen tegen datamisbruik Deze boete gaat over de periode 2007-2014 en is dan ook het maximumbedrag dat ze als boete konden opleggen. Link
27/11/2018 Uber £385k Niet genoeg bescherming tegen hacks De NL AP gaf hen een boete voor het niet melden. De ICO voor de hack zelf. AUTCH! Link
5/12/2018 Directeur lagere school £1.100 Meenemen persoonlijke gegevens van studenten Als directeur had hij de persoonlijke gegevens van studenten meegenomen naar zijn nieuwe school Link
9/01/2019 DSCL Elections Ltd/Cambridge Analytica £21.170 Niet voldoen aan een GDPR access request van een datasubject (Amerikaans professor) Op 5 mei 2019 was de vraag voor een data access request doorgegeven. Link
01/02/2019 Leave.EU + Eldon Insurance £120.000 2 aparte boetes voor het versturen van mails zonder de juiste consent de klanten van Eldon Insurance customers ontvingen berichten voor de Leave Brexit campagne. Link
07/02/2019 Magnacrest Ltd £1460 Niet voldoen aan een GDPR access request van een datasubject na 40 kalenderdagen Op 17 april 2017 was de vraag voor een data access request doorgegeven. Link
26/02/2019 privé persoon £1.440 Doorsturen HR informatie naar partner Lokale ambtenaar die de cv’s van tegenkandidates van zijn partner had doorgestuurd naar hem. Link
15/03/2019 privé persoon £1.640 Inkijken medische records Administratief persoon die zonder bevoegdheid medische dossiers van familieleden had ingekeken. Link
15/03/2019 privé persoon £820 Doorsturen klantengegevens De persoon werkte bij een 2de hands autoverkoper en had mails met klantengegevens doorgestuurd net voor ze ontslag nam. Link
19/03/2019 Vote Leave £40.000 Versturen van bijna 200k SMS’en zonder consent De gsm-nummers waren o.a. via een voetbalwedstrijd vergaard. Link
26/03/2019 Grove Pension Solutions Ltd £40.000 Versturen van 2 miljoen marketingmails zonder consent Hun agency had hen misleidend advies gegeven, maar zij zijn de verantwoordelijken Link
04/04/2019 London Borough of Newham £145.000 een interne database met bendeleden kwam in handen van de bendeleden zelf Het delen van het bestand in 2017 onder hulporganisaties kwam via Snapchat tot bij de bendeleden zelf Link
05/04/2019 administratief bediende £514 doorsturen van bedrijfsgegevens naar eigen prive mailaccount Een NHS manager van een medisch centrum verstuurde sollicitatiegegevens naar de eigen mailaccount Link
10/04/2019 True Visions Productions (TVP) £120.000 opnames van tv-programma in de kraamafdeling van een ziekenhuis Te weinig informatie en geen juiste consents voor het opnemen van controles in de kraamafdeling van zwangere vrouwen Link
12/04/2019 Bounty UK £400.000 pregnancy and parenting club (soort Roze doos bedrijf) Zonder juiste consent en met onvolledige privacy statement doorverkopen van persoonsgegevens Link
16/04/2019 Avalon Direct Limited £80.000 callcentertelefoontjes zonder consent 52.000 telefoontjes in 2017 Link
07/05/2019 Hall and Hanley £120.000 sms berichten zonder consent 3,5 miljoen smsberichten naar gsmnummers verzameld op onduidelijke websites Link
06/06/2019 “A Restorative Justice Caseworker” £620 Doorsturen vertrouwelijke dossier naar emailadres in laatste week voor opstappen Dit waren dossiers rond veroordelingen en bijhorende persoonlijke data Link
07/06/2019 “A Customer Service advisor” £694 Inkijken gevoelige dossiers zonder reden Dit waren dossiers rond daders en slachtoffers van “anti-sociaal” gedrag Link
13/06/2019 Smart home protection ltd £90.000 118.000 spamtelefoontjes vanuit een callcenter In het verkoopscript werd er gewag gemaakt van valse salesclaims rond connectie met lokale politie Link
08/07/2019 British Airways £20.000.000 Intentie voor deze boete, BA kan nu in beroep gaan Diefstal van betalingsgegevens door de Megacart malware bende. Eerste boete was 183miljoen £, maar is dus terug gebracht… Link
09/07/2019 Marriott hotels £99.200.396 £18,4 miljoen In oktober 2020 werd de boete gevoelig teruggebracht Databreach sinds 2014 bij Starwood hotels, wat niet ontdekt werd tijdens de aankoop door Marriott van deze keten in 2018 Link
17/07/2019 ex manager van een schadebedrijf £25.500 verkocht persoonlijke klantengegevens van het bedrijf Ook bij zijn nieuwe werkgever deed hij dezelfde overtredingen Link
19/07/2019 Life at Parliament View Ltd £80.000 18.000 klantendossiers raadpleegbaar van een real estate bedrijf Onvoldoende securitymaatregelen en geen monitoring op foutieve configuratie systemen Link
02/12/2019 “A former Social Services Support Officer” £780 Inkijken van 4 Social care dossiers van connecties Link
05/12/2019 “A former Reablement Officer” £859 Inkijken van 16 Social care dossiers van connecties Link
20/12/2019 Apotheek Doorstep Dispensaree Ltd £275k 500.000 documenten bewaard niet afgesloten in kisten in de tuin Medische data = gevoelige data dus daarom zo een strenge straf Link
09/01/2020 DSG Retail Limited (DSG) £500k 9 maanden lang was er malware op kassasystemen geïnstalleerd dat alle betalingsgegevens stal Geen security testing, slecht patchmanagement, geen lokale firwalls,… Link
15/01/2020 privé persoon £900 Doorsturen persoonsgegevens als sociaal werker Het ging over minderjarigen. Link
04/03/2020 Cathay Pacific Airways Limited £500k Tussen 2014 en 2018 zijn er van 9 miljoen klanten de creditcards onderschept “back-up files that were not password protected; unpatched internet-facing servers; use of operating systems that were no longer supported by the developer and inadequate anti-virus protection” Link
02/07/2020 Decision Technologies Limited £90k Versturen van spam mails als prijsvergelijker Het ging hierbij over 14 miljoen mails zonder de juiste consent Link
24/09/2020 Digital Growth Experts Limited £90k Versturen van 16k sms berichten zonder juiste consent Dit in het midden van de corona uitbraak voor handgelproducten Link
08/10/2020 Studios MG Ltd £40k Versturen van 9k spammails zonder juiste consent Dit in het midden van de corona uitbraak voor het verkopen van mondmaskers (waarmee snelle winst wilde mee gemaakt worden) Link
13/11/2020 Ticketmaster £1,25 million Boete voor databreach op hun website Door het hacken van een 3th party chatbot weren creditcard gestolen op de betalingspagina Link
04/12/2020 OSL Financial Consultancy Limited £50k Boete voor het versturen van 174.342 spam sms’en In het oog gekomen bij de IOC door onderzoeken naar welke bedrijven COVID19 gingen misbruiken. Link

GDPR boetes en rechtszaken in Duitsland

Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.

Momenteel nog geen goede manier gevonden om eenvoudig die 16 DPA’s op te volgen…

In oktober 2019 heeft de Duitse DPA guidelines gepubliceerd over hoe boetes te gaan berekenen bij overtredingen. Natuurlijk heeft er een DPO hier nu een online calculator mee gemaakt.

Datum Bedrijf Bedrag Waarom? Commentaar Link
21/11/2018 Knuddles.de 20k EUR databreach door hack Databreach van 1.8 miljoen usernames en paswoorden (in plain text) Link
05/02/2019 privé persoon 2.5k EUR Versturen van foutieve mails Deze privé persoon heeft verschillende mails verstuurd met honderden emailadressen in het to-veld ipv. bcc-veld. Link
03/2019 Bank N26 50k EUR Aanleggen van blacklist N26 had een blacklist met ex-klanten, maar deze was niet op de juiste manier samengesteld Link
09/05/2019 politie officier 1.4k EUR misbruik van toegang De politie officier gebruikte zijn toegangen om gegevens op te zoeken van een betrokkenen in een ongeval. Link
19/09/2019 Delivery Hero 195k EUR recht op inzage en bewaringstermijn Er werd data van ex-gebruikers blijvend bewaard en gebruikt voor marketingdoeleinden. Link
05/11/2019 Deutsche Wohnen SE 14 miljoen EUR archiefsysteem waar geen personen uit verwijderd kunnen worden het bedrijf gaat tegen deze boete in beroep Link
3/12/2019 Ziekenhuis 105k EUR Door foutieve facturatie van patient kwamen gebreken aan het licht rond werking met persoonsgegevens Ze hebben een lichtere straf gekregen door de goede medewerking Link
9/12/2019 Telecom provider 1&1 9.55 miljoen EUR Via de helpdesk kon je met een naam en geboortedatum de gegevens van andere klanten opvragen Ze hebben een lichtere straf gekregen door de goede medewerking Link
9/12/2019 Rapidata 10k EUR Ontbreken van aanstelling DPO Herhaaldelijk is hierop aangedrongen Link
13/02/2020 Facebook Germany 52k EUR Ontbreken van aanstelling DPO Na een vervanging was de aanstelling van een nieuwe DPO niet goed door gecommuniceerd. Link
1/10/2020 H&M 35,3 miljoen EUR Ongeoorloofd bijhouden van privé details van werknemers (gezinsleven, geloof,…) “H&M takes full responsibility and wishes to make an unreserved apology to the employees at the service center in Nuremberg.” Link
18/01/2021 NBB (notebooksbilliger.de) 10,4 miljoen EUR Boete voor videosurveillance van eigen werknemers afgelopen 2 jaar Overal was er video surveillance, waarbij de beelden 60 dagen werden bijgehouden. In de verdediging werd aangehaald dat er geen fysieke inspectie gebeurde. Link

 

GDPR boetes en rechtszaken in Polen

Ook de Poolse DPA UODO is in actie geschoten.

Datum Bedrijf Bedrag Waarom? Commentaar Link
15/03/2019 Bisnode 220k EUR Inbreuk op article 14 volgens UODO (Right to be informed) Het gaat hierbij om data-scraping van 6 miljoen personen waar ze geen emailadres van hebben Link
16/05/2019 Lower Silesian Football Association 13k EUR Deze voetbalbond publiceerde alle persoonlijke data van 585 scheidsrechters (inclusief nationaal nummer) Er was zelf een databreach uitgevoerd na ontdekking van de publicatie van deze gegevens (10/2015 – 07/2018) Link
04/11/2019 Stadhuis Aleksandrów Kujawski 9.3k EUR de eerste boete in Polen voor een overheidsinstatie Het niet afsluiten van een DPA met het bedrijf dat het extranet beheert. Video’s van de gemeenteraad stonden enkel op youtube en er was nergens een backup hiervan. Link
06/11/2019 ClickQuickNow Sp. z o.o. 47k EUR Uitschrijven zou even gemakkelijk moeten zijn als inschrijven. Binnen de 14 dagen moet het bedrijf de processen om toestemming in te trekken eenvoudiger maken Link
05/03/2020 Primary School No. 2 in Gdansk 4,4k EUR Vingerprintscanner voor betaling in de kantine door 680 leerlingen Leerlingen zonder vingerafdruk dienden tot het laatste te wachten Link
03/04/2020 Vis Consulting Sp. z o.o. 4,4k EUR onmogelijkheid voor inspectie door DPA De DPA wilde een inspectie doen, maar trof niemand aan en kreeg ook geen toegang tot de kantoren. Link
11/09/2020 Warsaw University of Life Sciences (SGGW) 11k EUR Boete na aantreffen databreach De gegevens van studenten werden aangetroffen op een gestolen privé laptop van een werknemer. Link
13/01/2021 WARTA S.A. Insurance and Reinsurance Company 20k EUR Boete na databreach door foutieve mail van werknemer met verzekeringsinformatie De organisatie is in gebreke gesteld voor betere voorlichting en interne processen. Link
13/01/2021 Virgin Mobile Polska 460k EUR Boete na inspectie nadat een databreach aan het licht was gekomen door een hack. De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. Link
13/01/2021 ID Finance Poland 250k EUR Boete na inspectie nadat een databreach aan het licht was gekomen door een hack (wegens een lek dat al dagen eerder was aangegeven). De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. Link

GDPR boetes en rechtszaken in Portugal

Voor de volledigheid ook de boetes gerelateerd aan GDPR uit Portugal.

Datum Bedrijf Bedrag Waarom? Commentaar Link
17/07/2018 Centro Hospitalar Barreiro Montijo 400k EUR werknemers gebruikte valse profielen om zo meer gegevens te kunnen zien Het onderzoek was van voor het GDPR-tijdperk, maar toch zijn de GDPR regels gebruikt voor het bepalen van de boetes Link

GDPR boetes en rechtszaken in Italië

Ook de Italiaanse DPA Garante is in actie getreden.

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/12/2018 Facebook 10 miljoen EUR boete rond misleidende sign-in methodes “Misleading users in the sign-up process about the extent to which the data they provide would be used for commercial purposes.” Link
17/04/2019 Rousseau association 50k EUR Platform met websites van politieke partij Movimento 5 Stelle Opvallend is dat hier de processor de boete kreeg voor niet voldoende securitymaatregelen Link
28/06/2019 Facebook 1 miljoen EUR boete naar aanleiding van het Cambridge Analytica schandaal 57 Italianen gebruikte die bepaalde quiz, waardoor de data van 214.000 Italianen uit Facebook werd gehaald. Link
17/01/2020 Eni Gas en Luce (Egl) 11,5 miljoen EUR 8,5 miljoen EUR boete voor onwettige telesales (na vele klachten) 3 miljoen EUR boete na 7000 klachten over onwettige en geforceerde aansluitingen voor een nieuw contract via onderaannemers en affiliates Link
01/02/2020 Telecombedrijf TIM 27,8 miljoen EUR Verschillende fouten in marketingactiviteiten (verkrijgen toestemming, callcenter telefoontjes,…) Naast de boete kregen ze een hele lijst met maatregelen voor de toekomst opgelegd. Link
19/11/2020 Vodafone 12,5 miljoen EUR Na honderden klachten van burgers over spamtelefoontjes. daarnaast werden fake telefoonnummers gebruikt om de telecalls te maskeren. Link

GDPR boetes en rechtszaken in Spanje

Ook de Spanje DPA AEPD is in actie getreden. Deze uitspraak uit Spanje link ik hier nog eens, over de uitspraak rond fake camera’s die naar de tuin van de buren zijn gericht.

Datum Bedrijf Bedrag Waarom? Commentaar Link
11/06/2019 LaLiga 250k EUR LaLiga gebruikte hun app in de strijd tegen piraten tv-streams Dit door zonder consent gebruikers van de app te gaan afluisteren via fingerprinting om te kijken welke stream ze bekeken Link
09/07/2019 Avon Cosmetics 60k EUR Na klacht door consument Te weinig validatie door bedrijf over de identiteit van de gegevens, die door een scammer waren misbruikt Link
1/10/2019 Vueling Airlines 30k EUR cookies Bezoekers hebben geen mogelijkheid om cookies te weigeren bij een bezoek aan de website. Link
16/10/2019 Iberdrola Clientes 8k EUR weigering meewerken met DPA Elektriciteitsmaatschappij antwoordde niet op vragen van Spaanse DPA Link
16/10/2019 Xfera Moviles S.A. 60k EUR Bijhouden gegevens Foutieve afsluiting van telefooncontracten + bijhouden van gegevens, nadat consument verwijdering had gevraagd. Link
3/3/2020 Twitter 30k EUR Niet genoeg transparantie rond het gebruik van cookies Te beperkte cookie policy en het ontbreken van een correcte cookiewall. Link
09/06/2020 Iberdrola 4k EUR Na een klacht werd een vraag voor informatie uitgestuurd, waarop geen antwoord kwam. Link
25/11/2020 Telefónica Móviles España 75k EUR Na een klacht van burger. De burger ontving onterecht facturen van een andere klant Link
14/01/2021 Financiële groep La Caixa 6 miljoen EUR Na een klacht van burger van 2018 en een consumentenorganisatie in 2019. Onduidelijke privacy policies en een te ruim gebruik van legitimate interest. Link

GDPR boetes en rechtszaken in Roemeense

Datum Bedrijf Bedrag Waarom? Commentaar Link
27/06/2019 Unicredit Bank 130k EUR Article 25 boete (data protection by design en by default) Ontvangers van een betaling zagen ook het nationaal ID nummer van de betaler Link
02/07/2019 WTC Bucharest hotel 15k EUR Naar aanleiding van eigen datalekmelding De ontbijtlijst met 46 hotelgasten werd door een externe gefotografeerd en verspreid Link
05/07/2019 Avocatoo.ro 3k EUR Website met GDPR en DPO templates voor bedrijven Ironisch genoeg kon je de persoonlijke gegevens van klanten en transacties publiekelijk vinden op de website door securityproblemen Link
31/07/2019 Uttis Industries 2.5k EUR Na klacht in maart 2019 Het bedrijf had securitycamera’s, zonder de nodige privacymaatregelen Link
10/10/2019 Raiffeisen Bank 150k EUR Gebruik van whatsapp door werknemers voor doorsturen klantendata In totaal 1100 slachtoffers en de communicatie was met een externe partij Link

GDPR boetes en rechtszaken in Denemarken

Datum Bedrijf Bedrag Waarom? Commentaar Link
3/06/2019 IDdesign 200k EUR van 385k klanten was er geen procedure voor het verwijderen van data die niet meer nodig is Dit na een inspectie in het najaar van 2018 Link
10/03/2020 Steden Gladsaxe en Hørsholm 14k + 7k EUR Datalek: In beide cases werd een laptop gestolen met niet encrypted harde schijf Beide datalekken waren op de juiste manier aangegeven. Link
15/05/2020 recruitment company JobTeam 6.7k EUR Verwijderen van persoonsgegevens tijdens een aanvraag voor recht tot inzage Voordat een antwoord werd verstuurd naar de aanvrager rond zijn recht tot inzage, werden zijn persoonsgegevens reeds verwijderd. Link

GDPR boetes en rechtszaken in Hongarije

Datum Bedrijf Bedrag Waarom? Commentaar Link
23/05/2019 Organisator Sziget/Balaton… festivals 92k EUR Voor deze festivals worden alle persoonlijke data gematched met de RFID chip van de bracelet De Hongaarse DPA ging niet mee in het hele verhaal rond inzetten van legitimate interest hiervoor Link

GDPR boetes en rechtszaken in Griekenland

Datum Bedrijf Bedrag Waarom? Commentaar Link
30/07/2019 PWC Business Solutions 150k EUR PWC liet zijn werknemers consent gegeven voor de verwerking van hun gegevens De verwerkingsgrond is echter geen consent, maar is de uitvoering van het werknemerscontract en dus geen consent Link
14/01/2020 PWC Business Solutions 15k EUR Een inspectie na klacht over inkijken van mails van een ontslagen werknemer toonde geen inbreuken aan Tijdens de inspectie werd echter wel een videocamera systeem ontdekt, dat niet was aangegeven Link

GDPR boetes en rechtszaken in Oostenrijk

Datum Bedrijf Bedrag Waarom? Commentaar Link
16/08/2019 Österreichische Post AG 800 EUR schadevergoeding voor advocaat die ontdekte dat de Post zijn (waarschijnlijke) politieke voorkeur bijhield en verkocht Dit was een individuele schadevergoeding, maar er zijn 2,2 miljoen burgers betrokken, dus potentieel duur verhaal voor de post Link
28/10/2019 Österreichische Post AG 18 miljoen EUR Na de uitgesproken schadevergoeding nu ook een boete. De post bleek al jaren profileringsgegevens van burgers te verkopen. Link

GDPR boetes en rechtszaken in Zweden

Datum Bedrijf Bedrag Waarom? Commentaar Link
22/08/2019 een school in Skellefteå 20k EUR Gebruik van gezichtsherkenning in de school Geen DPIA en ook geen correcte verwerkingsgrond Link
18/12/2019 Mrkoll.se 35k EUR Deze website publiceert publiek data van alle Zweden boven 16 jaar Naast publieke data publiceerden ze ook creditchecks en data over wanbetalingen Link
11/03/2020 Google 7 miljoen EUR In 2017 vroeg de Zweedse DPA aan Google om bepaalde zoekresultaten te verwijderen In 2018 bleek dat Google dit niet had uitgevoerd Link
30/04/2020 National Government Service Centre 18.000 EUR Niet melden van een datalek Inspectie na klachten over problemen met het IT systeem voor de loonadministratie van werknemers Link
13/05/2020 Healthcare Committee in Region Örebro County 11.000 EUR Foutieve publicatie van persoon die in psychiatrische instelling werd opgenomen. Geen duidelijke documentatie voorzien voor publicaties op de website Link
7/12/2020 7 ziektezorg organisaties boetes tussen 250k EUR – 3 miljoen EUR Onderzoek bij 8 “health care organisaties”, waarna er 7 een boete kregen wegens niet genoeg doen om de gevoelige gegevens te beschermen. Het niet hebben van een risicoanalyse (needs’ and risk analyses) was het grootste probleem. Link
11/12/2020 Universiteit Umeå University 55.000 EUR Een research groep naar verkrachtingen bewaarde de ingescande politieverslagen in de cloud van AWS in de US. Daarnaast vroegeer ze extra info bij de politie met 1 van de gevoelige verslagen als bijlage in een email. Link
17/12/2020 Housing company Uppsalahem 30.000 EUR Na onregelmatigheden in het gebouw, plaatste de gebouweigenaar 2 camera’s in de gang en traphal. Deze toonden ook de voordeur van de 2 klagers, die dit een inbreuk op hun privacy vonden. Link

GDPR boetes en rechtszaken in Noorwegen

Datum Bedrijf Bedrag Waarom? Commentaar Link
1/10/2019 Stad Oslo 120k EUR De centrale ‘Skolemelding’ mobile app wordt gebruikt voor communicatie tussen scholen, leerlingen en ouders en bleek securitygaten te bevatten. De eerste boete van 200k EUR is naar beneden gebracht door het snelle ingrijpen om de impact van de problemen te beperken. Link
18/12/2019 Stad Oslo 49k EUR In 11/2018 hadden ze zelf een databreach aangegeven rond hoe gegevens rond geboortes werden bijgehouden in gezondheidscentrums Alle werknemers hadden volledige toegang (zonder logging) tot alle gezondheidsgegevens Link
17/09/2020 Norwegian Public Roads Administration 37,4k EUR Het gebruiken van beelden van wegcamera’s voor het monitoren van contractors en hun medewerkers tijdens wegenwerken Het gebruik van deze beelden voor deze doeleinden gaat tegen het oorspronkelijke doel van deze wegcamera’s. Link
26/10/2020 Odin Flissenter AS (Tile distributor) 14k EUR Bedrijf had onterechte credit check van een eenmanszaak gedaan (wat als persoonsgegeven wordt gezien) Verlaagd boetebedrag wegens covid19 impact op bedrijf momenteel. Link
25/11/2020 Østfold HF Hospital 71k EUR Na datalekmelding door het hospital zelf Medische documenten werden bewaard in folders zonder strenge accesscontroles. Link
26/01/2021 Datingapp Grindr mogelijk tot 10 miljoen EUR Teveel gevoelige data werd gedeeld met 3de partijen (IP address, advertising ID, GPS location, age and gender,…) Uitspraak volgt in 2de helft februari Link

GDPR boetes en rechtszaken in Cyprus

Datum Bedrijf Bedrag Waarom? Commentaar Link
25/10/2019 LGS Handling Ltd, Louis Travel Ltd en Louis Aviation Ltd 82k EUR (in totaal) Boete voor gebruik van een “Bradford Factor” tool voor het scoren van de ziektedagen van werknemers na een klacht door een vakbond. Er was een DPIA uitgevoerd, maar deze is van tafel geveegd over het legitiem belang van deze tool. Link

GDPR boetes en rechtszaken in IJsland

Datum Bedrijf Bedrag Waarom? Commentaar Link
05/03/2020 National Center of Addiction Medicine 20,6k EUR Datalek: Een ex-werknemer kreeg een doos opgestuurd met persoonlijke spullen, maar daarin zaten ook patientengegevens. Daar deze NGO afkickcentra in beheer heeft, zijn dit zeer gevoelige gegevens. Link
05/03/2020 Breiðholt Upper Secondary School 8,9k EUR Datalek: Een leerkracht verstuurde een foutieve mail. Naar 57 leerlingen en hun ouders werden de persoonlijke studiegegevens van 18 andere leerlingen verstuurd. Link

GDPR boetes en rechtszaken in Finland

Datum Bedrijf Bedrag Waarom? Commentaar Link
25/09/2020 Acc Consulting Varsinais-Suomi 7k EUR Versturen van marketing mails en sms berichten zonder de juiste consent. Dat het bedrijf ook niet antwoordde op data subject request van klagers maakt het zwaarder. Link

GDPR boetes en rechtszaken in Ierland

Datum Bedrijf Bedrag Waarom? Commentaar Link
15/12/2020 Twitter 450k EUR Niet melden van datalek in januari 2019. De mogelijkheid om private tweets toch publiek te zien werd ontdekt in januari 2019, maar niet op tijd aangegeven in Ierland. Link

Ik ga ook de privacy boetes uit de VS hier documenteren (voor mezelf).

GDPR boetes en rechtszaken in de Verenigde Staten

Datum Bedrijf Bedrag Waarom? Commentaar Link
03/08/2020 Twitter 250 miljoen $ Gebruiken van voor 2factor opgegeven gsmnummers en emailadressen voor advertentiedoeleinden Dit werd gedaan tussen 2013 en 2019. Link

Gerelateerde berichten

Herman Maes - online marketeer DPO freelancer

Herman

Marketing strateeg en docent (Thomas More/UHasselt). Sinds 2002 reeds techblogger. Freelancer vanuit Dailybits rond SEO/HubSpot/Marketing strategie/GDPR/... en daarnaast ook gewoon papa thuis.

Schrijf je in op de maandelijkse Dailybits mailing voor tips, tricks en random stuff.

Abonneer
Abonneren op

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

20 Reacties
Inline Feedbacks
View all comments