Overzicht GDPR/AVG boetes en schadevergoedingen

Laatste update: 19 september 2019


We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.

Daar ik de afgelopen weken/maanden me (als freelance DPO) soms heb kunnen opwinden over foute prioriteiten, die door bedrijven werden/worden gesteld, zet ik nu de grote middelen in.

In deze blogpost ga ik nu eens tonen/bijhouden welke boetes er nu daadwerkelijk echt worden uitgesproken in het kader van deze privacy wetgeving. Dus wat zijn nu de ECHTE prioriteiten?

Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.

GDPR boetes en rechtszaken in België

Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)

Wat recente cijfers over datalekmeldingen,…

Op 29 maart 2019 is onze Belgische Gegevensbeschermingsautoriteit dan eindelijk volledig benoemd met een nieuw directiecomité.

DatumBedrijfBedragWaarom?CommentaarLink
29/05/2019Belgische Burgemeester2k EURHet versturen van gepersonaliseerde email zonder consent voor de verkiezingen van oktober 2018De burgemeester had emailadressen uit de cc van een klachtenmail gebruikt voor email marketingLink
11/07/2019FOD volksgezondheidBerispingZelfs na aandringen door de DPA geen uitvoer gegeven aan recht op toegang tot gegevensIn België kunnen overheidsdiensten geen boete krijgen en daarom dus maar een berispingLink
19/09/2019“een handelaar”10K EURVerplichting van inlezen van e-id voor het maken van een klantenkaartHierdoor was er ook toegang tot de foto en het rijksregisternummer van de klanten, wat niet proportioneel is voor een klantenkaartLink

GDPR / AVG boetes en rechtszaken in Nederland

Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)

Tot 11 juni hadden ruim 400 overheidsorganisaties een waarschuwing lopende dat ze wel degelijk dringend een DPO diende aan te stellen (ondertussen hebben ze allemaal een DPO).

Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.

Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners en financiële instellingen op de aanwezigheid van een verplichte DPO.

DatumBedrijfBedragWaarom?CommentaarLink
09/08/2018Theodoor Gilissen Bankiers (TGB)48k EURNiet voldoen aan Recht tot inzage4 weken na de termijn van 2 maanden pas recht uitgevoerdLink
20/09/2018Nationale politie40k EURNa 6 maanden nog niet genoeg securitymaatregelen getroffenDe NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregelLink
27/11/2018Uber600k EURNiet opvolgen van meldplicht na hackUber zit met zijn HQ in NL en heeft dus niet voldaan aan de NL meldplicht na de hack van 2016Link
04/04/2019Zorgverzekeraar Menzis50k EURNiet voldoende controle op wie medische dossiers kan inkijkenTijdens een onderzoek in 2017 merkte men dat er onvoldoende toezicht was op toegang tot dossiersLink
28/05/2019Gemeente Deventer500EUR schadevergoedingtoekenning van 500EUR schadevergoeding door rechtbankGemeente had gegevens van persoon met ambtenaren onrechtmatig gedeeld (zie ook Tweakers)Link
16/07/2019HagaZiekenhuis460k EURNiet genoeg veiligheidsmaatregelen naar afschermen van medische dossiersDit is de eerste echte GDPR/AVG boete in Nederland en onderzoek is gestart nadat bleek dat vele medewerkers het dossier van BN’er Barbie hadden ingekeken.Link
28/05/2019Uitkeringsinstantie UVW250EUR schadevergoedingtoekenning van 250EUR schadevergoeding door rechtbankHet UWV had via een geautomatiseerd proces abusievelijk een brief gestuurd aan de nieuwe werkgever van werknemer waarin werd medegedeeld dat de werknemer anderhalf jaar ziek/burnout was gemeld bij haar oude werkgever.Link

GDPR boetes en rechtszaken in Frankrijk

Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)

DatumBedrijfBedragWaarom?CommentaarLink
07/06/2018Optical Center250kEUR Securityproblemen in webshopIn 2015 ook al 50k boete gekregen.Link
28/06/2018Association pour le Développement des Foyers (ADEF)75k EURSecurityproblemen door url-modificatie kon je persoonlijke data krijgenIncident dateert van juni 2017Link
31/07/2018l’Office Public de l’Habitat de Rennes Métropole30k EURGebruik van persoonsgegevens voor andere doeleinden dan voorzienIncident dateert van oktober 2017Link
20/09/2018ASSISTANCE CENTRE D’APPEL10k EURRegistratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemersVaststelling eind 2016, met nieuwe controle begin 2018Link
27/09/2018Alliance Francaise Paris Ile-de-France30k EURSecurityproblemen door url-modificatie kon je persoonlijke data krijgenIncident dateert van november 2017Link
20/12/2018Uber400k EURBoete voor achterhouden grootschalige hack in 2017Ook NL gaf reeds 600k EUR en de UK gaf 385k £ voor dezelfde hackLink
27/12/2018Bouygues Telecom250k EURSecurityproblemen door url-modificatie kon je persoonlijke data krijgenIncident dateert van maart 2018Link
21/01/2019Google50 miljoen EURDe globale verwerkingsgrond die Google gebruikt is verworpen als niet GDPR compliantDe eerste grote GDPR boete aan een multinational uit naam van 10.000 burgersLink
07/06/2019Immowebsite Sergic400k EURVia URL-modificatie waren gevoelige documenten van andere klanten in te kijkenNa klacht door klant en inspectie ter plaatse in september 2018Link
18/06/2019Uniontrad company20k EURBlijvend filmen van eigen werknemers zelfs na klachtenLagere boete wegens negatief eigen vermogen en maar 9 werknemersLink
25/07/2019Active Assurances180k EURSecurityproblemen door url-modificatie kon je persoonlijke data krijgenIncident dateert van juni 2018Link

GDPR boetes en rechtszaken in Groot-Brittanië

Data Protection autoriteit: Information Commissioner’s Office (ICO)

De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.

(Terechte opmerking in mijn Linkedin feed dat dit dus zaken zijn van VOOR de GDPR wetgeving in voege was en dus nog onder de oude Britse Privacywetgeving.)

DatumBedrijfBedragWaarom?CommentaarLink
8/6/2018The British and Foreign Bible Society£100.000datalek van 417k personen door hack via zwak wachtwoord service accountDatabreach uit december 2016Link
12/6/2018Yahoo!£250kGlobaal datalek door hackDatabreach uit 2014, pas in 2016 aan het licht gekomenLink
13/6/2018Gloucestershire Police£80kVersturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personenDatabreach uit december 2016Link
20/6/2018British Telecommunications plc (BT)£77kVersturen van 5 miljoen ongevraagde spammailsHet ging over niet-commerciële mails voor 3 goede doelenLink
28/6/2018Our Vault Limited£70k55.000 callcentertelefoontjes zonder toestemmingLink
18/7/2018Independent Inquiry into Child Sexual Abuse£200kReply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruikLink
1/8/2018AMS Marketing Ltd,£100k75.000 callcentertelefoontjes zonder toestemmingLink
9/8/2018Emma’s Diary£140kVergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen“The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.”Link
5/9/2018Everything DM Ltd (EDML)£60kVersturen van 1,4 miljoen spam mailsEverything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten.Link
20/9/2018Equifax UK£500kGrootschalige hack door slechte securityIn mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren.Link
24/9/2018Verpleegster£800Persoonlijke veroordelingDeze verpleegster had onrechtmatig het medische dossier van 5 personen ingekekenLink
28/9/2018Bupa Insurance Services Limited (Bupa)£175kTe lage securitybeveiliging ontdektEen ex-werknemer heeft het CRM leeg gezogen en die gegevens verkocht. Tijdens het onderzoek kwam er securityproblemen naar voor.Link
8/10/2018Heathrow airport£120kTe lage securitybeveiliging/awarenessNadat gevoelige gegevens gelekt werden door een achtergelaten USB stick is de ICO op onderzoek gegaan.Link
9/10/2018Boost Finance Ltd (BFL)£90kVersturen van spammailsVersturen van meer dan 4 miljoen mails zonder de juiste consent in september 2017Link
25/10/2018Facebook£500kOnvoldoende maatregelen tegen datamisbruikDeze boete gaat over de periode 2007-2014 en is dan ook het maximumbedrag dat ze als boete konden opleggen.Link
27/11/2018Uber£385kNiet genoeg bescherming tegen hacksDe NL AP gaf hen een boete voor het niet melden. De ICO voor de hack zelf. AUTCH!Link
5/12/2018Directeur lagere school£1.100Meenemen persoonlijke gegevens van studentenAls directeur had hij de persoonlijke gegevens van studenten meegenomen naar zijn nieuwe schoolLink
9/01/2019DSCL Elections Ltd/Cambridge Analytica£21.170Niet voldoen aan een GDPR access request van een datasubject (Amerikaans professor)Op 5 mei 2019 was de vraag voor een data access request doorgegeven.Link
01/02/2019Leave.EU + Eldon Insurance£120.0002 aparte boetes voor het versturen van mails zonder de juiste consentde klanten van Eldon Insurance customers ontvingen berichten voor de Leave Brexit campagne.Link
07/02/2019Magnacrest Ltd£1460Niet voldoen aan een GDPR access request van een datasubject na 40 kalenderdagenOp 17 april 2017 was de vraag voor een data access request doorgegeven.Link
26/02/2019privé persoon£1.440Doorsturen HR informatie naar partnerLokale ambtenaar die de cv’s van tegenkandidates van zijn partner had doorgestuurd naar hem.Link
15/03/2019privé persoon£1.640Inkijken medische recordsAdministratief persoon die zonder bevoegdheid medische dossiers van familieleden had ingekeken.Link
15/03/2019privé persoon£820Doorsturen klantengegevensDe persoon werkte bij een 2de hands autoverkoper en had mails met klantengegevens doorgestuurd net voor ze ontslag nam.Link
19/03/2019Vote Leave£40.000Versturen van bijna 200k SMS’en zonder consentDe gsm-nummers waren o.a. via een voetbalwedstrijd vergaard.Link
26/03/2019Grove Pension Solutions Ltd£40.000Versturen van 2 miljoen marketingmails zonder consentHun agency had hen misleidend advies gegeven, maar zij zijn de verantwoordelijkenLink
04/04/2019London Borough of Newham£145.000een interne database met bendeleden kwam in handen van de bendeleden zelfHet delen van het bestand in 2017 onder hulporganisaties kwam via Snapchat tot bij de bendeleden zelfLink
05/04/2019administratief bediende£514doorsturen van bedrijfsgegevens naar eigen prive mailaccountEen NHS manager van een medisch centrum verstuurde sollicitatiegegevens naar de eigen mailaccountLink
10/04/2019True Visions Productions (TVP)£120.000opnames van tv-programma in de kraamafdeling van een ziekenhuisTe weinig informatie en geen juiste consents voor het opnemen van controles in de kraamafdeling van zwangere vrouwenLink
12/04/2019Bounty UK£400.000pregnancy and parenting club (soort Roze doos bedrijf)Zonder juiste consent en met onvolledige privacy statement doorverkopen van persoonsgegevensLink
16/04/2019Avalon Direct Limited£80.000callcentertelefoontjes zonder consent52.000 telefoontjes in 2017Link
07/05/2019Hall and Hanley£120.000sms berichten zonder consent3,5 miljoen smsberichten naar gsmnummers verzameld op onduidelijke websitesLink
06/06/2019“A Restorative Justice Caseworker”£620Doorsturen vertrouwelijke dossier naar emailadres in laatste week voor opstappenDit waren dossiers rond veroordelingen en bijhorende persoonlijke dataLink
07/06/2019“A Customer Service advisor”£694Inkijken gevoelige dossiers zonder redenDit waren dossiers rond daders en slachtoffers van “anti-sociaal” gedragLink
13/06/2019Smart home protection ltd£90.000118.000 spamtelefoontjes vanuit een callcenterIn het verkoopscript werd er gewag gemaakt van valse salesclaims rond connectie met lokale politieLink
08/07/2019British Airways£183.390.000Intentie voor deze boete, BA kan nu in beroep gaanDiefstal van betalingsgegevens door de Megacart malware bendeLink
09/07/2019Marriott hotels£99.200.396Intentie voor deze boete, Marriott kan nu in beroep gaanDatabreach sinds 2014 bij Starwood hotels, wat niet ontdekt werd tijdens de aankoop door Marriott van deze keten in 2018Link
17/07/2019ex manager van een schadebedrijf£25.500verkocht persoonlijke klantengegevens van het bedrijfOok bij zijn nieuwe werkgever deed hij dezelfde overtredingenLink
19/07/2019Life at Parliament View Ltd£80.00018.000 klantendossiers raadpleegbaar van een real estate bedrijfOnvoldoende securitymaatregelen en geen monitoring op foutieve configuratie systemenLink

GDPR boetes en rechtszaken in Duitsland

Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.

Momenteel nog geen goede manier gevonden om eenvoudig die 16 DPA’s op te volgen…

DatumBedrijfBedragWaarom?CommentaarLink
21/11/2018Knuddles.de20k EURdatabreach door hackDatabreach van 1.8 miljoen usernames en paswoorden (in plain text)Link

GDPR boetes en rechtszaken in Polen

Ook de Poolse DPA UODO is in actie geschoten.

DatumBedrijfBedragWaarom?CommentaarLink
15/03/2019Bisnode220k EURInbreuk op article 14 volgens UODO (Right to be informed)Het gaat hierbij om data-scraping van 6 miljoen personen waar ze geen emailadres van hebbenLink
16/05/2019Lower Silesian Football Association13k EURDeze voetbalbond publiceerde alle persoonlijke data van 585 scheidsrechters (inclusief nationaal nummer)Er was zelf een databreach uitgevoerd na ontdekking van de publicatie van deze gegevens (10/2015 – 07/2018)Link

GDPR boetes en rechtszaken in Portugal

Voor de volledigheid ook de boetes gerelateerd aan GDPR uit Portugal.

DatumBedrijfBedragWaarom?CommentaarLink
17/07/2018Centro Hospitalar Barreiro Montijo400k EURwerknemers gebruikte valse profielen om zo meer gegevens te kunnen zienHet onderzoek was van voor het GDPR-tijdperk, maar toch zijn de GDPR regels gebruikt voor het bepalen van de boetesLink

GDPR boetes en rechtszaken in Italië

Ook de Italiaanse DPA Garante is in actie getreden.

DatumBedrijfBedragWaarom?CommentaarLink
07/12/2018Facebook10 miljoen EURboete rond misleidende sign-in methodes“Misleading users in the sign-up process about the extent to which the data they provide would be used for commercial purposes.”Link
17/04/2019Rousseau association50k EURPlatform met websites van politieke partij Movimento 5 StelleOpvallend is dat hier de processor de boete kreeg voor niet voldoende securitymaatregelenLink
28/06/2019Facebook1 miljoen EURboete naar aanleiding van het Cambridge Analytica schandaal57 Italianen gebruikte die bepaalde quiz, waardoor de data van 214.000 Italianen uit Facebook werd gehaald.Link

GDPR boetes en rechtszaken in Spanje

Ook de Spanje DPA AEPD is in actie getreden.

DatumBedrijfBedragWaarom?CommentaarLink
11/06/2019LaLiga250k EURLaLiga gebruikte hun app in de strijd tegen piraten tv-streamsDit door zonder consent gebruikers van de app te gaan afluisteren via fingerprinting om te kijken welke stream ze bekekenLink
09/07/2019Avon Cosmetics60k EURNa klacht door consumentTe weinig validatie door bedrijf over de identiteit van de gegevens, die door een scammer waren misbruiktLink

GDPR boetes en rechtszaken in Roemeense

DatumBedrijfBedragWaarom?CommentaarLink
27/06/2019Unicredit Bank130k EURArticle 25 boete (data protection by design en by default)Ontvangers van een betaling zagen ook het nationaal ID nummer van de betalerLink
02/07/2019WTC Bucharest hotel15k EURNaar aanleiding van eigen datalekmeldingDe ontbijtlijst met 46 hotelgasten werd door een externe gefotografeerd en verspreidLink
05/07/2019Avocatoo.ro3k EURWebsite met GDPR en DPO templates voor bedrijvenIronisch genoeg kon je de persoonlijke gegevens van klanten en transacties publiekelijk vinden op de website door securityproblemenLink
31/07/2019Uttis Industries2.5k EURNa klacht in maart 2019Het bedrijf had securitycamera’s, zonder de nodige privacymaatregelenLink

GDPR boetes en rechtszaken in Denemarken

DatumBedrijfBedragWaarom?CommentaarLink
3/06/2019IDdesign200k EURvan 385k klanten was er geen procedure voor het verwijderen van data die niet meer nodig isDit na een inspectie in het najaar van 2018Link

GDPR boetes en rechtszaken in Hongarije

DatumBedrijfBedragWaarom?CommentaarLink
23/05/2019Organisator Sziget/Balaton… festivals92k EURVoor deze festivals worden alle persoonlijke data gematched met de RFID chip van de braceletDe Hongaarse DPA ging niet mee in het hele verhaal rond inzetten van legitimate interest hiervoorLink

GDPR boetes en rechtszaken in Griekenland

DatumBedrijfBedragWaarom?CommentaarLink
30/07/2019PWC Business Solutions150k EURPWC liet zijn werknemers consent gegeven voor de verwerking van hun gegevensDe verwerkingsgrond is echter geen consent, maar is de uitvoering van het werknemerscontract en dus geen consentLink

GDPR boetes en rechtszaken in Oostenrijk

DatumBedrijfBedragWaarom?CommentaarLink
16/08/2019Österreichische Post AG800 EURschadevergoeding voor advocaat die ontdekte dat de Post zijn (waarschijnlijke) politieke voorkeur bijhield en verkochtDit was een individuele schadevergoeding, maar er zijn 2,2 miljoen burgers betrokken, dus potentieel duur verhaal voor de postLink

GDPR boetes en rechtszaken in Zweden

DatumBedrijfBedragWaarom?CommentaarLink
22/08/2019een school in Skellefteå20k EURGebruik van gezichtsherkenning in de schoolGeen DPIA en ook geen correcte verwerkingsgrondLink

Gerelateerde berichten

Herman Maes - online marketeer DPO freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer vanuit Dailybits rond SEO/HubSpot/Marketing strategie/GDPR/... en daarnaast ook gewoon papa thuis.

Schrijf je in op de maandelijkse Dailybits mailing voor tips, tricks en random stuff.

12 comments

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.