Overzicht GDPR/AVG boetes en schadevergoedingen

Laatste update: 16 juli 2019


We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.

Daar ik de afgelopen weken/maanden me (als freelance DPO) soms heb kunnen opwinden over foute prioriteiten, die door bedrijven werden/worden gesteld, zet ik nu de grote middelen in.

In deze blogpost ga ik nu eens tonen/bijhouden welke boetes er nu daadwerkelijk echt worden uitgesproken in het kader van deze privacy wetgeving. Dus wat zijn nu de ECHTE prioriteiten?

Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.

GDPR boetes en rechtszaken in België

Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)

Wat recente cijfers over datalekmeldingen,…

Op 29 maart 2019 is onze Belgische Gegevensbeschermingsautoriteit dan eindelijk volledig benoemd met een nieuw directiecomité.

Datum Bedrijf Bedrag Waarom? Commentaar Link
29/05/2019 Belgische Burgemeester 2k EUR Het versturen van gepersonaliseerde email zonder consent voor de verkiezingen van oktober 2018 De burgemeester had emailadressen uit de cc van een klachtenmail gebruikt voor email marketing Link
11/07/2019 FOD volksgezondheid Berisping Zelfs na aandringen door de DPA geen uitvoer gegeven aan recht op toegang tot gegevens In België kunnen overheidsdiensten geen boete krijgen en daarom dus maar een berisping Link

GDPR / AVG boetes en rechtszaken in Nederland

Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)

Tot 11 juni hadden ruim 400 overheidsorganisaties een waarschuwing lopende dat ze wel degelijk dringend een DPO diende aan te stellen (ondertussen hebben ze allemaal een DPO).

Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.

Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners en financiële instellingen op de aanwezigheid van een verplichte DPO.

Datum Bedrijf Bedrag Waarom? Commentaar Link
09/08/2018 Theodoor Gilissen Bankiers (TGB) 48k EUR Niet voldoen aan Recht tot inzage 4 weken na de termijn van 2 maanden pas recht uitgevoerd Link
20/09/2018 Nationale politie 40k EUR Na 6 maanden nog niet genoeg securitymaatregelen getroffen De NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregel Link
27/11/2018 Uber 600k EUR Niet opvolgen van meldplicht na hack Uber zit met zijn HQ in NL en heeft dus niet voldaan aan de NL meldplicht na de hack van 2016 Link
04/04/2019 Zorgverzekeraar Menzis 50k EUR Niet voldoende controle op wie medische dossiers kan inkijken Tijdens een onderzoek in 2017 merkte men dat er onvoldoende toezicht was op toegang tot dossiers Link
28/05/2019 Gemeente Deventer 500EUR schadevergoeding toekenning van 500EUR schadevergoeding door rechtbank Gemeente had gegevens van persoon met ambtenaren onrechtmatig gedeeld (zie ook Tweakers) Link
16/07/2019 HagaZiekenhuis 460k EUR Niet genoeg veiligheidsmaatregelen naar afschermen van medische dossiers Dit is de eerste echte GDPR/AVG boete in Nederland en onderzoek is gestart nadat bleek dat vele medewerkers het dossier van BN’er Barbie hadden ingekeken. Link

GDPR boetes en rechtszaken in Frankrijk

Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/06/2018 Optical Center 250kEUR  Securityproblemen in webshop In 2015 ook al 50k boete gekregen. Link
28/06/2018 Association pour le Développement des Foyers (ADEF) 75k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van juni 2017 Link
31/07/2018 l’Office Public de l’Habitat de Rennes Métropole 30k EUR Gebruik van persoonsgegevens voor andere doeleinden dan voorzien Incident dateert van oktober 2017 Link
20/09/2018 ASSISTANCE CENTRE D’APPEL 10k EUR Registratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemers Vaststelling eind 2016, met nieuwe controle begin 2018 Link
27/09/2018 Alliance Francaise Paris Ile-de-France 30k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van november 2017 Link
20/12/2018 Uber 400k EUR Boete voor achterhouden grootschalige hack in 2017 Ook NL gaf reeds 600k EUR en de UK gaf 385k £ voor dezelfde hack Link
27/12/2018 Bouygues Telecom 250k EUR Securityproblemen door url-modificatie kon je persoonlijke data krijgen Incident dateert van maart 2018 Link
21/01/2019 Google 50 miljoen EUR De globale verwerkingsgrond die Google gebruikt is verworpen als niet GDPR compliant De eerste grote GDPR boete aan een multinational uit naam van 10.000 burgers Link
07/06/2019 Immowebsite Sergic 400k EUR Via URL-modificatie waren gevoelige documenten van andere klanten in te kijken Na klacht door klant en inspectie ter plaatse in september 2018 Link
18/06/2019 Uniontrad company 20k EUR Blijvend filmen van eigen werknemers zelfs na klachten Lagere boete wegens negatief eigen vermogen en maar 9 werknemers Link

GDPR boetes en rechtszaken in Groot-Brittanië

Data Protection autoriteit: Information Commissioner’s Office (ICO)

De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.

(Terechte opmerking in mijn Linkedin feed dat dit dus zaken zijn van VOOR de GDPR wetgeving in voege was en dus nog onder de oude Britse Privacywetgeving.)

Datum Bedrijf Bedrag Waarom? Commentaar Link
8/6/2018 The British and Foreign Bible Society £100.000 datalek van 417k personen door hack via zwak wachtwoord service account Databreach uit december 2016 Link
12/6/2018 Yahoo! £250k Globaal datalek door hack Databreach uit 2014, pas in 2016 aan het licht gekomen Link
13/6/2018 Gloucestershire Police £80k Versturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personen Databreach uit december 2016 Link
20/6/2018 British Telecommunications plc (BT) £77k Versturen van 5 miljoen ongevraagde spammails Het ging over niet-commerciële mails voor 3 goede doelen Link
28/6/2018 Our Vault Limited £70k 55.000 callcentertelefoontjes zonder toestemming Link
18/7/2018 Independent Inquiry into Child Sexual Abuse £200k Reply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruik Link
1/8/2018 AMS Marketing Ltd, £100k 75.000 callcentertelefoontjes zonder toestemming Link
9/8/2018 Emma’s Diary £140k Vergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen “The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.” Link
5/9/2018 Everything DM Ltd (EDML) £60k Versturen van 1,4 miljoen spam mails Everything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten. Link
20/9/2018 Equifax UK £500k Grootschalige hack door slechte security In mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren. Link
24/9/2018 Verpleegster £800 Persoonlijke veroordeling Deze verpleegster had onrechtmatig het medische dossier van 5 personen ingekeken Link
28/9/2018 Bupa Insurance Services Limited (Bupa) £175k Te lage securitybeveiliging ontdekt Een ex-werknemer heeft het CRM leeg gezogen en die gegevens verkocht. Tijdens het onderzoek kwam er securityproblemen naar voor. Link
8/10/2018 Heathrow airport £120k Te lage securitybeveiliging/awareness Nadat gevoelige gegevens gelekt werden door een achtergelaten USB stick is de ICO op onderzoek gegaan. Link
9/10/2018 Boost Finance Ltd (BFL) £90k Versturen van spammails Versturen van meer dan 4 miljoen mails zonder de juiste consent in september 2017 Link
25/10/2018 Facebook £500k Onvoldoende maatregelen tegen datamisbruik Deze boete gaat over de periode 2007-2014 en is dan ook het maximumbedrag dat ze als boete konden opleggen. Link
27/11/2018 Uber £385k Niet genoeg bescherming tegen hacks De NL AP gaf hen een boete voor het niet melden. De ICO voor de hack zelf. AUTCH! Link
5/12/2018 Directeur lagere school £1.100 Meenemen persoonlijke gegevens van studenten Als directeur had hij de persoonlijke gegevens van studenten meegenomen naar zijn nieuwe school Link
9/01/2019 DSCL Elections Ltd/Cambridge Analytica £21.170 Niet voldoen aan een GDPR access request van een datasubject (Amerikaans professor) Op 5 mei 2019 was de vraag voor een data access request doorgegeven. Link
01/02/2019 Leave.EU + Eldon Insurance £120.000 2 aparte boetes voor het versturen van mails zonder de juiste consent de klanten van Eldon Insurance customers ontvingen berichten voor de Leave Brexit campagne. Link
07/02/2019 Magnacrest Ltd £1460 Niet voldoen aan een GDPR access request van een datasubject na 40 kalenderdagen Op 17 april 2017 was de vraag voor een data access request doorgegeven. Link
26/02/2019 privé persoon £1.440 Doorsturen HR informatie naar partner Lokale ambtenaar die de cv’s van tegenkandidates van zijn partner had doorgestuurd naar hem. Link
15/03/2019 privé persoon £1.640 Inkijken medische records Administratief persoon die zonder bevoegdheid medische dossiers van familieleden had ingekeken. Link
15/03/2019 privé persoon £820 Doorsturen klantengegevens De persoon werkte bij een 2de hands autoverkoper en had mails met klantengegevens doorgestuurd net voor ze ontslag nam. Link
19/03/2019 Vote Leave £40.000 Versturen van bijna 200k SMS’en zonder consent De gsm-nummers waren o.a. via een voetbalwedstrijd vergaard. Link
26/03/2019 Grove Pension Solutions Ltd £40.000 Versturen van 2 miljoen marketingmails zonder consent Hun agency had hen misleidend advies gegeven, maar zij zijn de verantwoordelijken Link
04/04/2019 London Borough of Newham £145.000 een interne database met bendeleden kwam in handen van de bendeleden zelf Het delen van het bestand in 2017 onder hulporganisaties kwam via Snapchat tot bij de bendeleden zelf Link
05/04/2019 administratief bediende £514 doorsturen van bedrijfsgegevens naar eigen prive mailaccount Een NHS manager van een medisch centrum verstuurde sollicitatiegegevens naar de eigen mailaccount Link
10/04/2019 True Visions Productions (TVP) £120.000 opnames van tv-programma in de kraamafdeling van een ziekenhuis Te weinig informatie en geen juiste consents voor het opnemen van controles in de kraamafdeling van zwangere vrouwen Link
12/04/2019 Bounty UK £400.000 pregnancy and parenting club (soort Roze doos bedrijf) Zonder juiste consent en met onvolledige privacy statement doorverkopen van persoonsgegevens Link
16/04/2019 Avalon Direct Limited £80.000 callcentertelefoontjes zonder consent 52.000 telefoontjes in 2017 Link
07/05/2019 Hall and Hanley £120.000 sms berichten zonder consent 3,5 miljoen smsberichten naar gsmnummers verzameld op onduidelijke websites Link
06/06/2019 “A Restorative Justice Caseworker” £620 Doorsturen vertrouwelijke dossier naar emailadres in laatste week voor opstappen Dit waren dossiers rond veroordelingen en bijhorende persoonlijke data Link
07/06/2019 “A Customer Service advisor” £694 Inkijken gevoelige dossiers zonder reden Dit waren dossiers rond daders en slachtoffers van “anti-sociaal” gedrag Link
13/06/2019 Smart home protection ltd £90.000 118.000 spamtelefoontjes vanuit een callcenter In het verkoopscript werd er gewag gemaakt van valse salesclaims rond connectie met lokale politie Link
08/07/2019 British Airways £138.390.000 Intentie voor deze boete, BA kan nu in beroep gaan Diefstal van betalingsgegevens door de Megacart malware bende Link
09/07/2019 Marriott hotels £99.200.396 Intentie voor deze boete, Marriott kan nu in beroep gaan Databreach sinds 2014 bij Starwood hotels, wat niet ontdekt werd tijdens de aankoop door Marriott van deze keten in 2018 Link

GDPR boetes en rechtszaken in Duitsland

Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.

Momenteel nog geen goede manier gevonden om eenvoudig die 16 DPA’s op te volgen…

Datum Bedrijf Bedrag Waarom? Commentaar Link
21/11/2018 Knuddles.de 20k EUR databreach door hack Databreach van 1.8 miljoen usernames en paswoorden (in plain text) Link

GDPR boetes en rechtszaken in Polen

Ook de Poolse DPA UODO is in actie geschoten.

Datum Bedrijf Bedrag Waarom? Commentaar Link
15/03/2019 Bisnode 220k EUR Inbreuk op article 14 volgens UODO (Right to be informed) Het gaat hierbij om data-scraping van 6 miljoen personen waar ze geen emailadres van hebben Link
16/05/2019 Lower Silesian Football Association 13k EUR Deze voetbalbond publiceerde alle persoonlijke data van 585 scheidsrechters (inclusief nationaal nummer) Er was zelf een databreach uitgevoerd na ontdekking van de publicatie van deze gegevens (10/2015 – 07/2018) Link

GDPR boetes en rechtszaken in Portugal

Voor de volledigheid ook de boetes gerelateerd aan GDPR uit Portugal.

Datum Bedrijf Bedrag Waarom? Commentaar Link
17/07/2018 Centro Hospitalar Barreiro Montijo 400k EUR werknemers gebruikte valse profielen om zo meer gegevens te kunnen zien Het onderzoek was van voor het GDPR-tijdperk, maar toch zijn de GDPR regels gebruikt voor het bepalen van de boetes Link

GDPR boetes en rechtszaken in Italië

Ook de Italiaanse DPA Garante is in actie getreden.

Datum Bedrijf Bedrag Waarom? Commentaar Link
07/12/2018 Facebook 10 miljoen EUR boete rond misleidende sign-in methodes “Misleading users in the sign-up process about the extent to which the data they provide would be used for commercial purposes.” Link
17/04/2019 Rousseau association 50k EUR Platform met websites van politieke partij Movimento 5 Stelle Opvallend is dat hier de processor de boete kreeg voor niet voldoende securitymaatregelen Link
28/06/2019 Facebook 1 miljoen EUR boete naar aanleiding van het Cambridge Analytica schandaal 57 Italianen gebruikte die bepaalde quiz, waardoor de data van 214.000 Italianen uit Facebook werd gehaald. Link

GDPR boetes en rechtszaken in Spanje

Ook de Spanje DPA AEPD is in actie getreden.

Datum Bedrijf Bedrag Waarom? Commentaar Link
11/06/2019 LaLiga 250k EUR LaLiga gebruikte hun app in de strijd tegen piraten tv-streams Dit door zonder consent gebruikers van de app te gaan afluisteren via fingerprinting om te kijken welke stream ze bekeken Link

GDPR boetes en rechtszaken in Roemeense

Datum Bedrijf Bedrag Waarom? Commentaar Link
27/06/2019 Unicredit Bank 130k EUR Article 25 boete (data protection by design en by default) Ontvangers van een betaling zagen ook het nationaal ID nummer van de betaler Link
02/07/2019 WTC Bucharest hotel 15k EUR Naar aanleiding van eigen datalekmelding De ontbijtlijst met 46 hotelgasten werd door een externe gefotografeerd en verspreid Link
05/07/2019 Avocatoo.ro 3k EUR Website met GDPR en DPO templates voor bedrijven Ironisch genoeg kon je de persoonlijke gegevens van klanten en transacties publiekelijk vinden op de website door securityproblemen Link

GDPR boetes en rechtszaken in Denemarken

Datum Bedrijf Bedrag Waarom? Commentaar Link
3/06/2019 IDdesign 200k EUR van 385k klanten was er geen procedure voor het verwijderen van data die niet meer nodig is Dit na een inspectie in het najaar van 2018 Link

GDPR boetes en rechtszaken in Hongarije

Datum Bedrijf Bedrag Waarom? Commentaar Link
23/05/2019 Organisator Sziget/Balaton… festivals 92k EUR Voor deze festivals worden alle persoonlijke data gematched met de RFID chip van de bracelet De Hongaarse DPA ging niet mee in het hele verhaal rond inzetten van legitimate interest hiervoor Link

Conclusie over prioriteiten

Als we vooral de UK manier van werken bekijken, dan heb je volgende prioriteiten momenteel:
1. Security, security, security,…. Het voorkomen van datalekken moet je prioriteit worden (online en offline).
2. Naar wie stuur je welk type berichten en verwachten deze personen wel dat je ze gaat bellen/mailen als bedrijf of zien ze het als spam?
3. leer het verschil tussen TO: en BCC: bij het versturen van manuele mails met gevoelige informatie.
4. Voorzie een verwerkingsregister
5. Agencies krijgen alvast een mooie waarschuwing door de Britse ICO

Update: Een mooi overzicht van de verschillende DPA’s met hun budget en head count.

Gerelateerde berichten

Herman Maes - online marketeer DPO freelancer

Herman Maes

Online marketeer en (tech)blogger sinds 2002. Freelancer (SEO en Digital marketing) met Dailybits als SEO/Hubspot/Marketing Technology Teamlead/GDPR expert en daarnaast ook gewoon papa thuis.

Schrijf je in op de maandelijkse Dailybits mailing voor tips, tricks en random stuff.

9 comments

Submit a comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.