Laatste update 20 december 2024
- Belgische boetes (laatste update 17/12/2024)
- Nederlandse Boetes (laatste update 18/12/2024)
- Luxemburgse Boetes (laatste update 20/11/2023)
- Franse boetes (laatste update 19/12/2024)
- Ierse boetes (laatste update: 17/12/2024)
- Britse boetes (laatste update 20/12/2024)
- Duitse Boetes (laatste update: 10/08/2023)
- Poolse boetes (laatste update: 20/12/2024)
- Portugese boetes (laatste update: 12/09/2024)
- Italiaanse boetes (laatste update: 16/12/2024)
- Spaanse boetes (laatste update: 20/12/2024)
- Roemeense boetes (laatste update: 20/12/2024)
- Deense boetes (laatste update: 26/08/2024)
- Hongaarse boetes (laatste update: 12/09/2024)
- Griekse boetes (laatste update: 20/12/2024)
- Oostenrijkse boetes (laatste update: 12/09/2024)
- Zweedse boetes (laatste update: 02/09/2024)
- Noorse boetes (laatste update: 17/12/2024)
- Cypriotische boetes (laatste update: 12/09/2024)
- IJslandse boetes (laatste update: 15/07/2024)
- Finse boetes (laatste update: 17/12/2024)
- Litouwse boetes (laatste update: 20/12/2024)
- San Marino boetes (laatste update: 11/08/2021)
- Letland boetes (laatste update: 5/11/2022)
- Tsjechische boetes (laatste update: 8/5/2024)
- Kroatische boetes (laatste update: 20/12/2024)
- Maltese boetes (laatste update: 09/11/2023)
- Bulgaarse boetes (laatste update: 12/09/2024)
- Sloveense boetes (laatste update: 20/12/2024)
- Amerikaanse boetes (laatste update: 12/09/2024)
De landen die nog geen enkele boete hebben uitgeschreven: Estland en Liechtenstein.
De winnaar van de hoogste GDPR boete is sinds 22 mei 2023 Meta Ierland (€1,2 miljard) met nu de 2de plaats voor Amazon Luxemburg met goed €746 miljoen. 🏆
Disclaimer: deze lijst is niet volledig, maar geeft een goede weergave van de boetes voor elk Europees land. Mis je een boete, geef ze gerust mee in de comments.
We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.
Daar ik de afgelopen weken/maanden me (als freelance DPO) soms heb kunnen opwinden over foute prioriteiten, die door bedrijven werden/worden gesteld, zet ik nu de grote middelen in.
In deze blogpost ga ik nu eens tonen/bijhouden welke boetes er nu daadwerkelijk echt worden uitgesproken in het kader van deze privacy wetgeving. Dus wat zijn nu de ECHTE prioriteiten?
Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.
GDPR boetes en rechtszaken in België
Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)
Op 29 maart 2019 is onze Belgische Gegevensbeschermingsautoriteit dan eindelijk volledig benoemd met een nieuw directiecomité. In België is er ondertussen natuurlijk wel een nieuwe wet gekomen op camerabewaking.
Op de website van de GBA kan je alle beslissingen vinden (dus inclusief de berispingen).
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
29/05/2019 | Belgische Burgemeester | 2k EUR | Het versturen van gepersonaliseerde email zonder consent voor de verkiezingen van oktober 2018. De burgemeester had emailadressen uit de cc van een klachtenmail gebruikt voor email marketing |
Link |
19/09/2019 | Verplichting van inlezen van e-id voor het maken van een klantenkaart.update 20/03: In beroep is de GBA in het ongelijk gesteld | Link | ||
28/11/2019 | “burgemeester en schepen” | 2*5k EUR | Foutief samenbrengen van lijst om verkiezingsdrukwerk op uit te sturen bij de verkiezingen van oktober 2018. “De verzamelde gegevens moeten voor specifieke doeleinden worden gebruikt en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.” | Link |
17/12/2019 | Jubel.be | 15k EUR | Fouten in de privacyverklaring en vergaring van cookie toestemmingen. De website had gebruikt gemaakt van o.a. cookiebot, maar zo belangrijke cookies gemist | Link |
28/04/2020 | Proximus | 50k EUR | Inspectie na melding van datalek met de nodige opmerkingen van verweerder rond hoe die inspectie tot stand is gekomen. Onafhankelijkheid van DPO, tegenwerking van onderzoek, geen juiste risk-based approach | Link |
14/05/2020 | DKV | Boete rond gebrek aan transparantie in privacy policy. Gebruikmaking van gerechtvaardigd belang bij verdere verwerking van persoonsgegevens van klanten van de hospitalisatieverzekering. (op vraag van DKV aangepast) | Link | |
19/05/2020 | Twoo | 50k EUR | Boete rond de feature van een social netwerk voor het “uitnodigen van contacten”. Hier is er geen verwerkingsgrond om zomaar de gegevens van uitgenodigde contacten te verwerken. | Link |
29/05/2020 | “vzw” | 1k EUR | Na klacht van ex-donateur (7 jaar geleden) die bleef brieven (met gadgets) krijgen voor het uitvoeren van een nieuwe gift. Dit valt onder direct marketing en hier kan je je wettelijk steeds tegen verzetten als ontvanger. Opvallend lage boete trouwens, wegens kleine vzw. | Link |
08/06/2020 | “Een gemeenteraadslid” | 5k EUR | Gemeenteraadslid verstuurde een brief naar alle gemeentelijke werknemers rond zijn opkomen voor de verkiezingen. Dit is al de 4de veroordeling rond het versturen van verkiezingsreclame voor de verkiezingen van 2018. | Link |
16/06/2020 – 15/03/2021 | “Een school” | De school verstuurde via Smartschool een enquete rond “welbevinden” naar minderjarige leerlingen zonder consent van de ouders. Klager heeft vragen bij consent voor minderjarigen, gebruik Smartschool, data minimalisatie,… Klager had in 2016 reeds klacht ingediend en deed dit in 2019 opnieuw voor nieuwe enquete. Maart 2021 is er bevestiging gekomen dat de school een boete kan krijgen en is deze op 1K EUR gezet. | Link | |
16/06/2020 | “een vzw” | 1k EUR | Recht op verwijdering uit direct marketing database werd niet opgevolgd en uitgevoerd. Klacht van september 2019 | Link |
19/06/2020 | “een bedrijf” | 10k EUR | Versturen van direct marketing emails naar foutief emailadres en traag reageren op klachten klager. Hogere boete door omzet als miljardenbedrijf | Link |
09/07/2020 | mede-eigenaar appartementsgebouw | 5k EUR | Plaatsing van bewakingscamera’s met zicht op gemeenschappelijke delen, tuinen en de straat. Dit zonder toestemming, weigering tot geven van toegang tot de beelden en weigerde beheer over te dragen aan de Vereniging van Mede-Eigenaars. Klacht gebeurde in mei 2019 | Link |
14/07/2020 | Google BE | “Publiek persoon” wilde zijn “Right to be forgotten” mogelijkheid gebruiken in de Google zoekresultaten. Een eerste klacht rond zijn banden met een politieke partij werd niet meegenomen een 2de klacht rond het verwijderen van pagina’s van een pesterijklacht was wel gegrond voor de GBA | Link | |
28/07/2020 | Burgemeester van Sint-Lievens-Houtem | 3000 EUR | Opnieuw een klacht/beslissing rond de verkiezingen van 10/2018. Ditmaal gaat het over verkiezingsdrukwerk gericht op nieuwe inwoners in de gemeente, waarbij de kiezerslijst van 2012 is gebruikt ter vergelijking. Meer info | Link |
30/07/2020 | Proximus | Klacht van burger die expliciet had gevraagd haar nieuwe telefoonnummer niet op te nemen in witte gids en 1207. Proximus verweerde zich dat ze de publicatie bij FCR en andere 3th party bedrijven niet kon tegenhouden, maar dit is wel zo. | Link | |
01/09/2020 | ex-burgemeester | 5.000 EUR | klacht rond verzending van email rond de verkiezingen van 2019. E-mailadres was verkregen uit een klacht van de burger bij het secretariaat van de burgemeester over een sluikstort. | Link |
29/09/2020 | Kleine KMO | 15k EUR | 2,5 jaar actief houden van mailbox van ex-CEO. Correct omgaan met de mailbox van een ex-werknemer is belangrijk: blokkeren, autoresponder, na redelijke periode verwijderen. | Link |
25/11/2020 | Particulier koppel | 1,5k EUR | Plaatsing van camera’s met zicht op buren en openbare weg. Na klacht door buren, waarbij die koppel beelden had gebruikt voor doorgifte bouwovertreding van buren. | Link |
23/12/2020 | Parkeerwacht bedrijf + deurwaarderskantoor | 50k + 15k EUR | Na een boete voor het niet plaatsen van een parkeerschijf haalt de betrokken burger zijn slag thuis en toont het manifeste schendingen tegen de AVG aan: privacystatement onvolledig, te laat antwoorden op inzage verzoekschrift, Voordat de burger betaalde reeds inzage in DIV database, afwezigheid van PO… De boete voor het parkeerbedrijf is afgezwakt doordat ze als verdediging de impact van Covid19 op hun omzet van dit jaar aanhaalden. | Link |
12/01/2021 | Managementbureau artiesten | Na het stopzetten van een managementovereenkomst tussen bureau en zangeres wilde de artieste de volledige overdracht van de FB fanpage met haar naam. De zangeres was beheerder, maar geen eigenaar van de FB fanpage en door het wegvallen van de verwerkingsgrond heeft ze gelijk gekregen. | Link | |
13/01/2021 | School | Berisping ipv. boete | Ouder had klacht ingediend, dat de nieuwsbrief van de school alle ouders in CC had staan ipv. BCC. Persoonlijke mening: de school van je kinderen met zulke procedure opzadelen is toch wel echt speciaal en niet bepaald constructief. Ik vermoed dat de klager niet in het oudercomité zelf de handen mee uit de mouwen steekt? | Link |
22/01/2021 | Mobiele provider | Case van simswapping, waarbij iemand in een winkel van de provider het gsmnummer en een nieuwe simkaart van andere klant heeft gekregen. Provider schermde er nog mee dat ze wegens commerciële belangen geen ID-check mochten doen, maar dit klopt niet volgens de GBA. Na een beroep is de boete naar 20k EUR gebracht. | Link | |
28/01/2021 | Family Service “De Roze Doos” | 50k EUR | Jarenlang werden de gegevens van 1 miljoen klanten en hun kinderen zonder geldige optin gedeeld met derde partijen. Door de uitdeling via ziekenhuizen en het voorwendsel van “nationale dienst voor de promotie van kinderartikelen” was het niet duidelijk dat dit een marketinghandel was. | Link |
12/02/2021 | Telenet | Berisping ipv. boete | Naar aanleiding van inspectie rond de privacy instellingen voor klanten en recht op bewaar tov. direct marketing. De inspectie vertoonde enkele onzorgvuldigheden, waarbij Telenet aantoonde dat klanten wel degelijk zelf alles kunnen beheren via “Mijn telenet”. | Link |
26/04/2021 | een instelling die toegang heeft tot het kredietregister van de nationale bank | 100k EUR | Slechte beveiliging (alle medewerkers gebruiken dezelfde login zonder goede logging dus). Daarnaast is de rol van DPO in combinatie met een actie CISO rol onverenigbaar (daar de CISO ook in het management zetelt). | Link |
8/12/2021 | Bedrijf uit bouwsector | 10k EUR | Bedrijf had lijst gekocht met publieke data van particulieren uit de omgevingsvergunning database. Deze mag natuurlijk niet gebruikt worden voor direct marketing. Particulier had tevergeefs zijn gegevens proberen laten schrappen en had daarna klacht ingediend. | Link |
16/12/2021 | Bank ING | 75k EUR | Een klacht die reeds in 2019 een eerste uitspraak kreeg over een technische aanpassing aan hun systeem is uitgelopen naar een boete voor hun DPO. De functie van DPO was niet onafhankelijk genoeg binnen de organisatie. Opvallend is ook dat het verwerkingsregister is opgevraagd en niet correct genoeg was opgesteld. | Link |
27/01/2022 | EU DisinfoLab vzw | 3.9k EUR | VZW die desinformatie online onderzoekt had in politieke discussies in Frankrijk een scraping van tweets gedaan en dit ruwe csv bestand online ter beschikking gesteld via een dropboxlink. Tal van verzachtende omstandigheden hebben de boetes mee gedrukt. Het was trouwens op aangeven van klachten bij de Franse CNIL dat het onderzoek naar de Belgische VZW is gestart (daar onze GBA bevoegd is voor deze vzw). | Link |
02/02/2022 | IAB Europe | 250k EUR | Het openrtb mechanisme waarmee consent wordt gevraagd voor het verwerken van gegevens van bezoekers van websites die RTB advertenties tonen is in strijd met de AVG. De GBA oordeelt ook dat IAB Europe de verwerkingsverantwoordelijke is en heeft daarbij geen register van verwerkingsactiviteiten bijgehouden, geen DPO aangewezen en geen “DPIA” uitgevoerd (gegevensbeschermingseffectbeoordeling). | Link |
04/04/2022 | Brussels Airport + Charleroi Airport | 2 boetes voor deze luchthavens die tijdens de covid-periode een temperatuurcontrole installeerden. Hiervoor hadden ze geen wettelijke verwerkingsgrond (gevoelige gegevens). Ook het uitvoerende bedrijf Ambuce Rescue Team kreeg een boete van 20k EUR. Januari 2023: Het marktenhof geeft BA gedeeltelijk gelijk en gaat de boete naar 50k EUR verlagen. | Link | |
04/04/2022 | Bedrijf | 7.5k EUR | Terugzetten van backups van laptop vroegere managing director (die zelf laptop met persoonlijke data had gewist. Klein detail is dat er ook gewezen wordt op het ontbreken van een verwerkingsovereenkomst met het bedrijf dat de restore actie heeft uitgevoerd. | Link |
04/05/2022 | NMBS | Versturen van direct marketing mails naar de vele burgers die een “Hello Belgium Railpass” hadden aangevraagd. Het onderzoek kwam er na een klacht bij de GBA van een Twitter gebruiker. Merk ook de knullige screenshots achteraan de beslissing op… | Link | |
24/05/2022 | sos-services.be en sos-avocats.com | 5k EUR | Websites met lijst van advocaten (met hun persoonsgegevens gepubliceerd zonder altijd de juiste consent). De Franstalige orde van advocaten wees ook op de foutieve privacy policy en cookie policy. | Link |
25/05/2022 | Roularta: Knack en Levif | 50k EUR | 1ste boete in het grootschalig onderzoek bij 20 Belgische nieuwswebsites naar hun cookiebanners. Dit is uitspraak 1. Ook voor statische cookies (lees GA) moet er consent gevraagd worden, voordat ze uitgevoerd worden. | Link |
16/06/2022 | Rossel: Sudinfo, Le Soir en Sudpresse | 2de boete in het grootschalig onderzoek bij 20 Belgische nieuwswebsites naar hun cookiebanners. Zij gebruikte ook de “further browsing” techniek. | Link | |
19/08/2022 | Medisch testlabo | 20k EUR | Medische testresultaten werden via onveilige http connectie met dokters gedeeld er werd daarnaast geen DPIA uitgevoerd. Ook een privacy policy ontbrak op de website of in het centrum. | Link |
23/08/2022 | Platform voor factuuradministratie (Digitale inbox) | 2.5k EUR | Een co-houser werd door het platform aangegeven om ook andere facturen van de andere persoon automatisch te laten toekomen in deze digitale inbox. Er werd een roadmap voorgesteld met nieuwe technische maatregelen om dit soort onbedoelde “growth hack” resultaten te voorkomen, wat ook de lage boete verklaard. | Link |
21/10/2022 | L’Avenir | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van L’Avenir. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
21/10/2022 | Groupe IPM | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van La DH en La Libre. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
4/11/2022 | RTL | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van RTL. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
4/11/2022 | Mediafin | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van De Tijd. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
4/11/2022 | VRT | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van de VRT. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
4/11/2022 | Mediahuis | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van Het Nieuwsblad, De Standaard, Gazet van Antwerpen en Het Belang van Limburg (Mediahuis groep). Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
4/11/2022 | DPG media | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van HLN, De Morgen, VTM en 7 sur 7 (DPG Media Groep). Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
22/11/2022 | RTBF | 10k EUR | Schikkingsvoorstel rond het in lijn brengen van de cookiebanners op de websites van de RTBF. Voor alle partijen is een schikking van 10k beter dan een lang en uitgebreid onderzoek (waarbij de concurrentie 50k als boete kreeg opgelegd). | Link |
16/05/2023 | Agency | 40k EUR | Recht tot inzage van opgenomen telefoongesprekken tussen klant en agency rond bouwen van website en bedrijfsvideo’s. Het laten komen beluisteren van de opnames op kantoor is niet genoeg als recht tot inzage. | Link |
14/06/2023 | Online platform met zorgverleners | 10k EUR | Platform dat zonder rechtsgrond gegevens van zorgverleners publiek maakte met de mogelijkheid om online reviews achter te laten. | Link |
16/06/2023 | Orde der apothekers | 30k EUR | Na het voeren van een gerechtelijke procedure heeft een apotheker gelijk gekregen in een twist met de orde rond marketing activiteiten. De orde wilde de eerder uitgesproken sanctie en beslissing echter niet wissen in het sanctie register. De ongelimiteerde bewaartermijn van sancties is niet correct. Naar accuraatheid zijn er ook fouten gemaakt, daar de sanctie is uitgesproken onder de oude regels (die nadien zijn aangepast). | Link |
16/01/2024 | Black Tiger Belgium (vroegere Bisnode) | 174.640 EUR | Het vroegere Bisnode legde een grote B2B database aan (de B2C database vernietigde ze reeds zelf) met o.a. KBO data onder gerechtvaardigd belang. Daarnaast waren er inbreuken op recht van inzage, verwerkingsregister en transparantie. | Link |
09/02/2024 | Politicus | 2000 EUR | Plaatsen van foto, naam en adres van persoon die renovatie met overheidssubsidie heeft gedaan op persoonlijke website van politicus. Na herhaaldelijk vragen worden de gegevens nog niet verwijderd. | Link |
22/05/2024 | Immokantoor | 6300 EUR | Publicatie van verkoopbrochure voor huurappartement inclusief volledige loonfiche van huidige huurder (doorgegeven door huidige eigenaar). | Link |
03/06/2024 | Bedrijf | 172k EUR | Versturen van marketingcommunicatie na verwijderverzoek. Tijdens de inspectie kwamen miscommunicatieproblemen met de voormalige DPO aan het licht, waardoor de verwijdering niet correct was verwerkt. De boete werd verlaagd van 245k naar 172k EUR door de slechte financiële situatie van het bedrijf. | Link |
13/06/2024 | Restaurant en boekingsplatform reservaties | Schikkingsvoorstel 205 + 500 EUR | Aanmaak van account op reservatieplatform na telefonische reservatie (tegen de wens van de klant in). | Link |
23/08/2024 | Telecomprovider | 100k EUR | Pas na 14 maanden voldoen aan een inzagerecht van een klant. | Link |
27/08/2024 | Voetbalclub (in de omgeving van Lier 😉) | 8k EUR | Na faillissement gaat de oude abbonneelijst, via de curator, naar een nieuwe overnemende club, die commerciële mailings hierop doet. | Link |
06/09/2024 | Mediahuis | dwangsom na 45 dagen -> Geen boete gekregen |
Mediahuis krijgt 45 dagen voor het rechttrekken van hun cookiebanner om een dwangsom van 25k EUR/dag te vermijden. | Link |
06/09/2024 | Bedrijf | 45k EUR | Verplichting van vingerafdrukken voor tijdsregistratie (biometrische gegevens): niet proportioneel, te beperkte transparantie, geen DPIA, fouten in het verwerkingsregister | Link |
14/10/2024 | RTL | dwangsom na 45 dagen -> Geen boete gekregen | RTL krijgt 45 dagen voor het rechttrekken van hun cookiebanner om een dwangsom van 40k EUR/dag te vermijden. | Link |
17/12/2024 | Ziekenhuis Saint-Luc in Namen | 200k EUR | Inspectie na datalek door ransomware: Geen DPIA uitgevoerd, geen securitybeleid, unpatched Exchange servers, te korte wachtwoorden, geen security opleiding,… | Link |
GDPR / AVG boetes en rechtszaken in Nederland
Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)
Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.
Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners en financiële instellingen op de aanwezigheid van een verplichte DPO.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
09/08/2018 | Theodoor Gilissen Bankiers (TGB) | 48k EUR | Niet voldoen aan Recht tot inzage. 4 weken na de termijn van 2 maanden pas recht uitgevoerd | Link |
20/09/2018 | Nationale politie | 40k EUR | Na 6 maanden nog niet genoeg securitymaatregelen getroffen. De NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregel | Link |
27/11/2018 | Uber | 600k EUR | Niet opvolgen van meldplicht na hack. Uber zit met zijn HQ in NL en heeft dus niet voldaan aan de NL meldplicht na de hack van 2016 | Link |
04/04/2019 | Zorgverzekeraar Menzis | 50k EUR | Niet voldoende controle op wie medische dossiers kan inkijken. Tijdens een onderzoek in 2017 merkte men dat er onvoldoende toezicht was op toegang tot dossiers | Link |
28/05/2019 | Gemeente Deventer | 500EUR schadevergoeding | toekenning van 500EUR schadevergoeding door rechtbank. Gemeente had gegevens van persoon met ambtenaren onrechtmatig gedeeld (zie ook Tweakers) | Link |
16/07/2019 | HagaZiekenhuis | Niet genoeg veiligheidsmaatregelen naar afschermen van medische dossiers. Dit is de eerste echte GDPR/AVG boete in Nederland en onderzoek is gestart nadat bleek dat vele medewerkers het dossier van BN’er Barbie hadden ingekeken. | Link | |
28/05/2019 | Uitkeringsinstantie UVW | 250EUR schadevergoeding | toekenning van 250EUR schadevergoeding door rechtbank. Het UWV had via een geautomatiseerd proces abusievelijk een brief gestuurd aan de nieuwe werkgever van werknemer waarin werd medegedeeld dat de werknemer anderhalf jaar ziek/burnout was gemeld bij haar oude werkgever. | Link |
03/03/2020 | NL tennisbond KNLTB | 520k EUR | Verkopen van ledenlijsten aan sponsors in 2018. Ze beroepen zich op het gerechtvaardigd belang (met optout in de privacy policy). Hun reactie is in mijn ogen wereldvreemd | Link |
30/04/2020 | bedrijf (via rechter bekomen anonimiteit) | 725k EUR | Verplicht scannen van vingerafdruk door werknemers voor aanwezigheids- en tijdsregistratie. De verwerkingsgrond toestemming kan hier niet aangeroepen worden door relatie werkgever – werknemer | Link |
06/07/2020 | Stichting Bureau Krediet Registratie (BKR) | 830k EUR | Bij BKR vroegen ze een vergoeding voor het digitaal opvragen van persoonsgegevens. Per post kon je dit maar 1 keer per jaar gratis doen. Sinds april 2019 is dit nu aangepast. | Link |
12/01/2021 | Gemeente Oldambt | 500EUR schadevergoeding | toekenning van 500EUR schadevergoeding door rechtbank. Gemeente had persoonlijke gegevens van burger gelekt bij vergunningsaanvraag en verslaggever had dit via Twitter naar buiten gebracht. | Link |
11/02/2021 | Amsterdamse ziekenhuis OLVG. | 440k EUR | Er zijn tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. Na het onderzoek zijn er wijzigingen gebeurd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. | Link |
31/03/2021 | Booking.com | 475k EUR | Te laat melden van een datalek via phishing (4.000 klanten met de creditcardgegevens van bijna 300 slachtoffers). Het datalek werd pas na 22 dagen gemeld (ipv. na 72uur). | Link |
29/04/2021 | Gemeente Enschede | Wifi tracking in winkelstraten waarbij vragen zijn gesteld rond het te eenvoudig identificeren van personen. Reeds in mei 2020 is Enschede hiermee gestopt. | Link | |
11/05/2021 | PVV Overijssel | 7.5k EUR | Niet aangeven datalek (versturen van politieke uitnodiging naar 101 adressen met iedereen in cc van elkaar). Politieke voorkeur is extra gevoelig gegeven. Opvallend dat de AP voor het eerst een kleine boete geeft aan een kleine organisatie. | Link |
12/05/2021 | Locatefamily.com | 525k EUR | Buitenlands platform met ondertussen 700k Nederlandse adressen en telefoonnummers, zonder dat iemand er toestemming voor gaf. Dit platform heeft geen vertegenwoordiger in de EU. Succes alvast aan de AP om deze boete betaald te krijgen… | Link |
19/05/2021 | onderhoudsbedrijf CP&A | 15k EUR | Teveel informatie werd bijgehouden rond de redenen van afwezigheid van zieke werknemers. Het bestand met de registratie was niet goed beveiligd en was online beschikbaar. | Link |
10/06/2021 | Orthodontiepraktijk | 12k EUR | Website van orthodontiepraktijk met formulier die naar medische informatie (van kinderen) vraagt. Maar de website heeft geen https-certificaat en heeft dus een onbeveiligde verbinding tussen invuller en webserver. | Link |
07/07/2021 | Uitvoeringsinstituut Werknemersverzekeringen (UWV) | 450k EUR | Verschillende datalekken van gegevens in het versturen van berichten naar werkzoekenden in de online applicatie. Het ging hierbij om 9 datalekken met de gegevens van meer dan 15.000 werkzoekenden. | Link |
22/07/2021 | TikTok | 750k EUR | Ontbreken van privacy policy in het NL wat wel nodig is met de jonge doelgroep van kinderen die de app gebruiken. TikTok heeft zich ondertussen (zoals alle andere techgiganten) in Dublin, maar dit was tijdens het onderzoek nog niet het geval. | Link |
12/11/2021 | Transavia | 400k EUR | Gebrekkige security waardoor een hacker kon binnendringen. Zeer eenvoudig paswoord gebruikt door een IT account, geen 2FA,…. | Link |
24/02/2022 | DPG Media | Bij elke recht tot inzage of verwijdering diende de voorkant/achterkant van een idkaart opgeladen moeten worden. Dit is voor deze context natuurlijk niet-proportioneel. | Link | |
6/04/2022 | ministerie van Buitenlandse Zaken | 565k EUR | Onvoldoende beveiliging van het Nationaal Visum Informatie Systeem (NVIS). Verder is er vastgesteld dat Buitenlandse Zaken visumaanvragers onvoldoende informeerde over het delen van hun persoonsgegevens met andere partijen. | Link |
12/04/2022 | Belastingsdienst | 3,7 miljoen EUR | Jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV) dmv. een zwarte lijst waarop de Belastingdienst signalen van fraude bij ging houden. Burgers die ten onrechte op deze lijst terecht kwamen hadden nadien een grote impact op hun leven. | Link |
21/12/2022 | Politie Rotterdam | 50k EUR | Inzet van camera auto’s door de Politie Rotterdam in de Corona periode in 2020 om de afstandregels te controleren. Hiervoor was er geen DPIA en rechtmatigheid van het inzetten hiervan. | Link |
13/04/2023 | Sociale Verzekeringsbank (SVB) | 150k EUR | Te weinig controle door de telefonische helpdesk: “Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders (zoals iemands voornaam, adres en postcode)”. | Link |
17/11/2023 | gemeente Voorschoten | 30k EUR | Te lange bewaartermijn van 5 jaar van de huisvuilophaling gekoppeld aan het adres. Hierbij was er ook geen informatie en transparantie over de verwerking van de persoonsgegevens naar de inwoners. | Link |
08/02/2024 | Uber | 10 miljoen EUR | Te weinig transparantie rond de bestuurdersgegevens. Te weinig mogelijkheden voor chauffeurs om hun rechten te laten gelden. | Link |
04/06/2024 | Ambitious People Group (“APG”) | 6k EUR | Recruitment kantoor dat verwijderverzoeken van jobkandidaten niet correct verwerkte. | Link |
16/07/2024 | Kruidvat.nl | 600k EUR | Problemen met de cookiebanner (in 2020) rond rechtmatigheid van consent. | Link |
26/08/2024 | Uber | 290 miljoen EUR | Versturen van gevoelige persoonsgegevens van uber drivers naar de US, zonder SCC of Data privacy framework mechanisme. | Link |
03/09/2024 | Clearview | 30,5 miljoen EUR | Wegens niet genoeg transparantie over het aanleggen van de illegale database met foto’s voor gezichtsherkenning. (er zijn al verschillende GDPR boetes in de EU uitgedeeld aan dit bedrijf, maar ze worden nooit betaald en naast zich neer gelegd…) | Link |
18/12/2024 | Netflix | 30,5 miljoen EUR | Wegens niet genoeg transparantie over het aanleggen van de illegale database met foto’s voor gezichtsherkenning. (er zijn al verschillende GDPR boetes in de EU uitgedeeld aan dit bedrijf, maar ze worden nooit betaald en naast zich neer gelegd…) | Link |
GDPR boetes en rechtszaken in Luxemburg
In het voorjaar van 2021 is de CNPD ook maar eens in actie geschoten met enkele kleinere boetes. Belangrijk weetje is dat zij de toezichthouder zijn voor de activiteiten van Amazon in Europa.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
08/04/2021 | Bedrijf | 4k EUR | Volgend op inspectie februari 2019 waar werd ontdekt en bevestigd dat trackingdevices in de voertuigen van medewerkers waren geplaatst. Gegevens werden bijgehouden voor een bewaartermijn van meer dan 2 jaar. | Link |
12/05/2021 | Bedrijf | 2.6k EUR | Volgend op inspectie maart 2019 waar werd ontdekt dat er 17 videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op de kantine waar de werknemers hun pauzes nemen. | Link |
12/05/2021 | Bedrijf | 2.9k EUR | Volgend op inspectie september 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op de kantine waar de werknemers hun pauzes nemen. | Link |
12/05/2021 | Bedrijf | 1k EUR | Volgend op inspectie maart 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op een publieke weg die de toegang was tot de gebouwen. | Link |
12/05/2021 | Bedrijf | 1.9k EUR | Volgend op inspectie september 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. Maar deze camera’s waren ook gericht op een publieke stukken land rond tot de gebouwen. | Link |
31/05/2021 | Bedrijf | 18k EUR | DPO was niet genoeg betrokken op operationeel niveau. | Link |
16/07/2021 | Amazon | 746 miljoen EUR | Nog weinig bekend over deze recordboete, maar deze zou uitgesproken zijn na een groepsklacht uit 2018. | Link |
27/10/2021 | Bedrijf | 18,7k EUR | Overtredingen rond hun DPO: geen contactgegevens op website, DPO werd niet correct betrokken in bedrijf en had ook geen procedures om compliance na te kijken. | Link |
13/12/2022 | Bedrijf | 3,7k EUR | Niet volledige privacy policy en deze was ook niet beschikbaar in de mobiele app. Daarbij was de policy ook maar opgemaakt in 2 talen, waarbij de website in 3 talen beschikbaar is. | Link |
13/12/2022 | Bedrijf | 5,3k EUR | Doorgifte (zonder toestemming) van data naar ander bedrijf, die de data publiek publiceerde. | Link |
07/11/2023 | 2 overheidsbedrijven | 2 maal 2,5k EUR | Niet volledige transparantie naar werknemers over het gebruik van geolocatie op voertuigen en werkvoertuigen. | Link |
GDPR boetes en rechtszaken in Frankrijk
Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)
We zijn in afwachting van de mogelijke boete voor adtech/advertentiespeler Criteo, die hierover al heeft bericht en 60 miljoen EUR vreest.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
07/06/2018 | Optical Center | 250kEUR | Securityproblemen in webshop. In 2015 ook al 50k boete gekregen. | Link |
28/06/2018 | Association pour le Développement des Foyers (ADEF) | 75k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen. Incident dateert van juni 2017 | Link |
31/07/2018 | l’Office Public de l’Habitat de Rennes Métropole | 30k EUR | Gebruik van persoonsgegevens voor andere doeleinden dan voorzien. Incident dateert van oktober 2017 | Link |
20/09/2018 | ASSISTANCE CENTRE D’APPEL | 10k EUR | Registratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemers. Vaststelling eind 2016, met nieuwe controle begin 2018 | Link |
27/09/2018 | Alliance Francaise Paris Ile-de-France | 30k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen. Incident dateert van november 2017 | Link |
20/12/2018 | Uber | 400k EUR | Boete voor achterhouden grootschalige hack in 2017. Ook NL gaf reeds 600k EUR en de UK gaf 385k £ voor dezelfde hack | Link |
27/12/2018 | Bouygues Telecom | 250k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen. Incident dateert van maart 2018 | Link |
21/01/2019 | 50 miljoen EUR | De globale verwerkingsgrond die Google gebruikt is verworpen als niet GDPR compliant. De eerste grote GDPR boete aan een multinational uit naam van 10.000 burgers | Link | |
07/06/2019 | Immowebsite Sergic | 400k EUR | Via URL-modificatie waren gevoelige documenten van andere klanten in te kijken. Na klacht door klant en inspectie ter plaatse in september 2018 | Link |
18/06/2019 | Uniontrad company | 20k EUR | Blijvend filmen van eigen werknemers zelfs na klachten. Lagere boete wegens negatief eigen vermogen en maar 9 werknemers | Link |
25/07/2019 | Active Assurances | 180k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen. Incident dateert van juni 2018 | Link |
26/11/2019 | Futura International | 500k EUR | Inzetten van niet-EU callcenters met verschillende overtredingen. Het CRM bevatte persoonlijke gevoelige gegevens en de medewerking met de CNIl was niet optimaal | Link |
26/11/2020 | Carrefour + Carrefour Banque | 3 miljoen EUR | Na klachten inspecties gedaan midden 2019. Onvolledige privacy en cookie policy, bewaren van gegevens van niet-actieve klanten meer dan 5 jaar lang, verplichting opsturen ID bij rechtenverzoek, foutief aangeven gegevensdeling | Link |
7/12/2020 | Perfomeclic | 7300 EUR | Verzenden van commerciële mails zonder (bewijs van) voorafgaande toestemming. De vereniging SIGNAL SPAM, die meldingen van internetgebruikers over ongevraagde e-mails ontvangt, liet de CNIL weten dat het bedrijf PERFORMECLIC regelmatig bovenaan de ranglijst staat van bedrijven die de meeste berichten uitgeven die door internetgebruikers op Frans grondgebied. | Link |
7/12/2020 | Amazon Europe core | 35 miljoen EUR | Geen cookiewall op amazon.fr voor alle cookies. Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. | Link |
7/12/2020 | 2 artsen | 3000 EUR + 6000 EUR | De CNIL ontdekte een server met hun medische beelden op, die niet goed beveiligd waren. Na kennis hiervan te krijgen, hadden de 2 artsen ook een datalek moeten melden. | Link |
7/12/2020 | Google LLC + Google Ierland | 60 miljoen + 40 miljoen EUR | Geen juiste cookiewall op google.fr voor alle cookies. Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. | Link |
5/1/2021 | Nestor | 20k EUR | Massale prospectiemails zonder consent, vage privacy policy, niet antwoorden op inzage verzoeken van burgers en geen verplichting voor sterk paswoord bij registratie. Inspecties in mei 2019 en februari 2020, waarbij het bedrijf zijn systemen wel steeds heeft aangepast. | Link |
17/06/2021 | webshop bricoprive.com | 500k EUR | Data van (niet-actieve) kopers van meer dan 5 jaar geleden werden nog steeds gebruikt (te lange bewaartermijn). Bij vragen tot verwijdering werd de klantenaccount inactief gezet, maar niet effectief ook verwijderd. Zowel voor klanten als werknemers was het aanmaken van een sterk paswoord niet verplicht. Ook de cookiewall van de webshop werkte niet zoals verwacht. | Link |
22/07/2021 | AG2R La Mondiale | 1,75 miljoen EUR | Boete na inspectie bij de verzekeringstak waaruit bleek dat gegevens van miljoenen Fransen zonder retentietermijn bewaard en verwerkt bleven. | Link |
28/07/2021 | Monsanto | 400k EUR | In 2019 lekte er uit dat Monsanto een bestand had gemaakt met publieke figuren en hun influence score rond het debat over Glysofaat. Hier oordeelde de CNLI dat er een recht tot mededeling had moeten gebeuren en daarnaast ontbrak er een verwerkingsovereenkomst met de onderaannemer die het bestande beheerde. | Link |
29/07/2021 | Le Figaro | 50k EUR | Geen correcte instelling van Cookie consent Management tool. | Link |
15/09/2021 | Société nouvelle de l’annuaire français (SNAF) | 3k EUR | Geen correcte methode voor recht tot aanpassing/verwijdering bij dit online telefoonboek. | Link |
04/11/2021 | RATP | 400k EUR | Het aantal stakingsdagen werd van werknemers bijgehouden inzake eventuele promotiebeslissingen. Na een inspectie vond de CNIL ook problemen rond bewaartermijnen en de informatieveiligheid van alle gegevens van werknemers. | Link |
30/12/2021 | Slimpay | 180k EUR | Datalek met gegevens van 12 miljoen gebruikers. Geen juiste verwerkingsovereenkomsten met verwerkers, slechte beveiliging van de database, en het datalek niet gemeld bij de betrokkenen. | Link |
04/01/2022 | Free mobile | 300k EUR | Na vele klachten kwam er een onderzoek naar deze mobiele telefoon operator. Moeilijk voor klanten om hun rechten uit te oefenen, versturen van plain-text paswoorden via email,…. | Link |
06/01/2022 | 150 miljoen EUR | Het accepteren van cookies kan met 1 klik, het weghalen van die toestemming vereist meer dan 5 klikken. Belangrijk is dat deze boete gegeven is onder de ePrivacy en niet de GDPR, om zo het one-stop shop principe te omzeilen. | Link | |
06/01/2022 | 60 miljoen EUR | Het accepteren van cookies kan met 1 klik, het weghalen van die toestemming vereist meer dan 5 klikken. Belangrijk is dat deze boete gegeven is onder de ePrivacy en niet de GDPR, om zo het one-stop shop principe te omzeilen. | Link | |
15/04/2022 | Dedalus Biologie | 1.5 miljoen EUR | Medisch datalek met medische gegevens van 500.000 burgers. Dit datalek is voortgekomen uit een foutieve datamigratie door een verwerker. | Link |
30/06/2022 | Totalenergies | 1 miljoen EUR | Niet genoeg meewerken met burgers bij uitoefenen van hun rechten. Daarnaast ook moeilijkheden voor burgers om zich uit te schrijven uit commerciële communicatie. | Link |
21/07/2022 | Ubeeqo International | 175k EUR | Autoverhuurder die elke 500m geolocatie gegevens gaat doorsturen van huuurwagens en deze gaat bijhouden, zonder transparantie. | Link |
17/08/2022 | Accor | 600k EUR | Verschillende inbreuken rond de verwerking van persoonsgegevens van hotelgasten en de mogelijkheid om rechten uit te laten voeren. | Link |
13/09/2022 | GIE Infogreffe | 250k EUR | Data werd bijgehouden na de aangegeven dataretentielimiet van 36 maanden. Paswoorden dienden niet moeilijk te zijn en werden in plain-text bijgehouden en via email verstuurd. Deze boete kwam na een klacht en online inspectie. | Link |
20/10/2022 | Clearview | 20 miljoen EUR | Na de UK en Italië geeft ook de CNIL een boete aan de gezichtsherkenning database van Clearview. Ondertussen is er ook nog $5 miljoen dwangsom bijgekomen. | Link |
17/11/2022 | Discord | 800k EUR | Onnodige bijhouden van gebruikersaccounts van niet-actieve accounts meer (tot ver buiten de bewaartermijnen). Zwakke paswoordenprocedure. Geen DPIA. Er werd rekening gehouden met snel handelen om alles in lijn te brengen. | Link |
29/11/2022 | EDF | 600k EUR | Geen juiste consent bij marketingcampagnes in 2020 en 2021 door het verzamelen van emailadressen via affiliate datahandelaars. Daarnaast was er een te onveilige methode van encryptie van wachtwoorden van het klantengedeelte op de website (enkel hashing, geen salting). | Link |
08/12/2022 | FREE | 300k EUR | Zowel manke uitvoering van vragen tot uitoefening van rechten als te zwakke veiligheidsmaatregelen (te eenvoudige wachtwoordenmethode). | Link |
08/12/2022 | Microsoft (Bing Ads) | 360 miljoen EUR | Plaatsen van cookies op bing.com zonder voorafgaande toestemming en geen eenvoudige manier om deze toestemming opnieuw in te trekken. Daar dit onder de ePrivacy en niet onder de GDPR wetgeving valt, heeft de CNIL zich bevoegd gevonden (ipv. deze zaak naar Ierland door te geven). | Link |
05/01/2023 | Apple | 8 miljoen EUR | In iOs 14.6 zat er een bug waardoor de identifier van iPhone gebruikers zonder de juiste consent werden doorgegeven aan de Apple Store voor gepersonaliseerde app ads. Daar dit onder de ePrivacy en niet onder de GDPR wetgeving valt, heeft de CNIL zich bevoegd gevonden (ipv. deze zaak naar Ierland door te geven). | Link |
12/01/2023 | TikTok | 5 miljoen EUR | Geen correcte cookiebanner, waarbij er geen eenvoudige “reject all” mogelijkheid is om cookies te weigeren. Daar dit onder de ePrivacy en niet onder de GDPR wetgeving valt, heeft de CNIL zich bevoegd gevonden (ipv. deze zaak naar Ierland door te geven). | Link |
12/01/2023 | VooDoo mobile games | 3 miljoen EUR | Ook zonder consent werden op iOS in mobile games de technical identifier “IDentifier For Vendors” (IDFV) gebruikt voor gepersonaliseerde advertenties. Bij elke inbruik is er een boete van 20.000EUR per dag dat er geen correcte consent wordt gebruikt. | Link |
28/03/2023 | Cityscoot | 125k EUR | Het elke 30sec opslagen van de locatie van een deelscooter wordt als te intrusief gezien. Zeker daar de afgesloten verwerkingsovereenkomsten met verwerkers niet uitgebreid genoeg waren. Ook het gebruik van Google Recaptcha zonder consent werd als een overtreding gezien. | Link |
17/05/2023 | Doctissimo | 380k EUR | De website doctissimo.fr biedt voornamelijk artikelen, tests, quizzen en discussiefora over gezondheid en welzijn, bestemd voor het grote publiek. Tijdens haar onderzoek heeft de CNIL verschillende tekortkomingen vastgesteld, met name met betrekking tot de bewaartermijnen van gegevens, het verzamelen van gezondheidsgegevens via online tests, de beveiliging van gegevens en de procedures voor het plaatsen van cookies. | Link |
15/06/2023 | KG COM | 150k EUR | Platform met helderzienden waar je met deze betalend kan chatten. Geen melding van datalek, website zonder https, opname van alle telefoons, bewaren van gevoelige persoonsgegevens zonder consent, foutieve cookiebanner. | Link |
15/06/2023 | Criteo | 40 miljoen EUR | Als RTB adtech speler verzamelt Criteo o.a. via cookies gebruikersgedrag om nadien gepersonaliseerde advertenties te kunnen tonen. Geen bewijs van consent, niet genoeg transparantie bij recht tot inzage en recht tot verwijderen . | Link |
19/10/2023 | Canal+ | 300k EUR | Formulieren voor verzamelen van data gebruikt voor commerciële prospectie bevatte geen geldige optin. Daarnaast geen geldige DPA contracten met verwerkers, niet melden van een datalek en onvoldoende opleiding voor werknemers. | Link |
19/12/2023 | Gemeente Kourou | 5k EUR | Het niet aanstellen van een DPO. | Link |
22/12/2023 | Bundeling van 6 kleinere uitspraken | 44k EUR | een gebrek aan samenwerking met de CNIL, buitensporige verzameling van gegevens van een kandidaat voor een baan, het niet respecteren van de rechten van mensen, niet-naleving van het recht op toegang tot medische dossiers, een gebrek aan gegevensbeveiliging (robuustheid en opslag van wachtwoorden). | Link |
22/12/2023 | NS Cards France | 105k EUR | Geen correcte cookiebanner voor de cookies en trackers op de website. Daarnaast ook te lange bewaartermijnen en te beperkte privacy policy. | Link |
18/01/2024 | Yahoo | 10 miljoen EUR | Geen correcte cookiebanner voor de cookies en trackers op de website. | Link |
23/01/2024 | Amazon France logistique | 23 miljoen EUR | Te verregaande werknemertracking in de magazijnen. | Link |
30/01/2024 | TAGADAMEDIA | 75k EUR | Gebruik van dark patterns in formulieren voor het vergaren van een consent. | Link |
13/02/2024 | PAP.fr | 100k EUR | Schending van eigen opgelegde bewaartermijnen, geen correcte privacy policy en geen correcte verwerkersovereenkomst. Wachtwoorden werden in plain text opgeslagen. | Link |
05/03/2024 | Foriou | 310k EUR | Direct marketing op basis van gekochtte databestanden van brokers zonder controle van juiste consent. Er wordt gewezen op de dark patterns bij de consentvergaring. | Link |
Januari 2024 | 15 organisaties | 100k EUR | Vereenvoudigde boeteprocedure met boetes voor verouderde encryptiemethodes zoals SHA-1-algoritme en encryptieprotocollen TLS 1.0 en 1.1 | Link |
4/4/2024 | HUBSIDE.STORE | 525k EUR | Gebruik van aangekochte data van databrokers zonder controle van juiste consent | Link |
12/09/2024 | CEGEDIM SANTÉ | 800k EUR | Platform voor medische afspraken die data ook ging verwerken voor rapportage en analyse, maar deze gevoelige persoonsgegevens niet genoeg had geanonimiseerd. | Link |
10/10/2024 | Cosmospace | 250k EUR | Online waarzeggerplatform dat teveel data ging bewaren zonder bewaartermijn. Hier zaten ook gevoelige persoonsgegevens bij. | Link |
10/10/2024 | Telemaque | 150k EUR | Online waarzeggerplatform dat teveel data ging bewaren zonder bewaartermijn. Hier zaten ook gevoelige persoonsgegevens bij. | Link |
10/12/2024 | Orange | 50 miljoen EUR | Het tonen van advertenties als valse mails in de webmail inbox van klanten en niet correct wegnemen van de consent voor cookies | Link |
19/12/2024 | Kaspr | 200k EUR | Scrapertool om gegevens uit Linkedin te halen en deze in je CRM te gaan gebruiken. Zij krijgen nu ook 6 maanden om al die historische data te verwijderen en de tool aan te passen. | Link |
GDPR boetes en rechtszaken in Ierland
De boetes uitgesproken door de Ierse data protection authority zijn zeer belangrijk, daar veel van de techgiganten hun Europees hoofdkantoor in Dublin hebben geplaatst.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
15/12/2020 | 450k EUR | Niet melden van datalek in januari 2019. De mogelijkheid om private tweets toch publiek te zien werd ontdekt in januari 2019, maar niet op tijd aangegeven in Ierland. | Link | |
02/09/2021 | Meta – Whatsapp | Te weinig transparantie over dataverwerking en sharing met Facebook. In januari 2023 door de Ierse DPA teruggebracht naar amper 5,5 miljoen EUR. 🙈 | Link | |
14/03/2022 | Bank of Ireland Group plc | 463k EUR | Niet tijdig en correct melden van datalekken aan de toezichthouder en betrokkenen (art 33 en 34 AVG). | Link |
15/03/2022 | Meta – Facebook | 17 miljoen EUR | Boete voor 12 datalekken in de 2de helft van 2018. De boete komt er wegens onvoldoende technische en organisatorische maatregelen om de persoonsgegevens van klanten te beschermen. | Link |
05/09/2022 | Meta – Instagram | 405 miljoen EUR | Boete voor het toelaten dat kinderen via emailadres/gsmnummer eenvoudig opzoekbaar waren voor andere Instagram gebruikers. | Link |
28/11/2022 | Meta – Facebook | 265 miljoen EUR | Boete naar aanleiding van het scraping verhaal in 2018-2019 waarbij meer dan 500 miljoen gegevens vanuit Facebook wered gehaald via scraping. | Link |
04/01/2023 | Meta – Facebook/Instagram | 390 miljoen EUR | Het gevolg van een Oostenrijkse en Belgische klacht rond het foutief gebruik van grond contract voor het inzetten van data voor gepersonaliseerde advertenties ipv. toestemming. Meta krijgt 3 maanden om dit in orde te brengen en dus de nodige toestemmingen te verkrijgen van al hun gebruikers. | Link |
03/03/2023 | A&G Couriers | 15k EUR | Datalek door IT contractor die servers publiek online had gezet in een project. | Link |
13/03/2023 | Bank of Ireland | 750k EUR | Datalek in mei 2020 | Link |
22/05/2023 | Meta | 1,2 miljard EUR | Schrems 2 problematiek rond de transfer van EU data naar US servers. Hard tegen de goesting van de PDC hebben ze deze boete moeten uitschrijven onder druk van de andere Europese landen. | Link |
15/09/2023 | TikTok | 345 miljoen EUR | Boete rond bescherming van minderjarigen op TikTok. Dit onderzoek was reeds gestart in 2020 en ondertussen zijn deze problemen reeds opgelost door TikTok. | Link |
27/09/2024 | Meta | 91 miljoen EUR | In 2019 werd ontdekt dat in plaintext wachtwoorden van gebruikers in logbestanden terechtkwamen | Link |
24/10/2024 | 300 miljoen EUR | Zonder juiste rechtsgrond inzetten van persoonlijke data voor gepersonaliseerde advertenties | Link | |
17/12/2024 | Meta | 251 miljoen EUR | Niet genoeg maatregelen om een groot datalek te voorkomen (29 miljoen wereldwijde FB accounts waarvan 3 miljoen uit de EU) | Link |
Privacy boetes en rechtszaken in Groot-Brittanië
Data Protection autoriteit: Information Commissioner’s Office (ICO)
De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.
Groot-Brittanië hoort nu niet meer bij de EER, dus deze boetes zijn niet meer op de basis van de Europese GDPR regels.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
8/6/2018 | The British and Foreign Bible Society | £100.000 | datalek van 417k personen door hack via zwak wachtwoord service account. Databreach uit december 2016 | Link |
12/6/2018 | Yahoo! | £250k | Globaal datalek door hack. Databreach uit 2014, pas in 2016 aan het licht gekomen | Link |
13/6/2018 | Gloucestershire Police | £80k | Versturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personen. Databreach uit december 2016 | Link |
20/6/2018 | British Telecommunications plc (BT) | £77k | Versturen van 5 miljoen ongevraagde spammails. Het ging over niet-commerciële mails voor 3 goede doelen | Link |
28/6/2018 | Our Vault Limited | £70k | 55.000 callcentertelefoontjes zonder toestemming | Link |
18/7/2018 | Independent Inquiry into Child Sexual Abuse | £200k | Reply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruik | Link |
1/8/2018 | AMS Marketing Ltd, | £100k | 75.000 callcentertelefoontjes zonder toestemming | Link |
9/8/2018 | Emma’s Diary | £140k | Vergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen. “The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.” | Link |
5/9/2018 | Everything DM Ltd (EDML) | £60k | Versturen van 1,4 miljoen spam mails. Everything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten. | Link |
20/9/2018 | Equifax UK | £500k | Grootschalige hack door slechte security. In mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren. | Link |
24/9/2018 | Verpleegster | £800 | Persoonlijke veroordeling. Deze verpleegster had onrechtmatig het medische dossier van 5 personen ingekeken | Link |
28/9/2018 | Bupa Insurance Services Limited (Bupa) | £175k | Te lage securitybeveiliging ontdekt. Een ex-werknemer heeft het CRM leeg gezogen en die gegevens verkocht. Tijdens het onderzoek kwam er securityproblemen naar voor. | Link |
8/10/2018 | Heathrow airport | £120k | Te lage securitybeveiliging/awareness. Nadat gevoelige gegevens gelekt werden door een achtergelaten USB stick is de ICO op onderzoek gegaan. | Link |
9/10/2018 | Boost Finance Ltd (BFL) | £90k | Versturen van spammails. Versturen van meer dan 4 miljoen mails zonder de juiste consent in september 2017 | Link |
25/10/2018 | £500k | Onvoldoende maatregelen tegen datamisbruik. Deze boete gaat over de periode 2007-2014 en is dan ook het maximumbedrag dat ze als boete konden opleggen. | Link | |
27/11/2018 | Uber | £385k | Niet genoeg bescherming tegen hacks. De NL AP gaf hen een boete voor het niet melden. De ICO voor de hack zelf. AUTCH! | Link |
5/12/2018 | Directeur lagere school | £1.100 | Meenemen persoonlijke gegevens van studenten. Als directeur had hij de persoonlijke gegevens van studenten meegenomen naar zijn nieuwe school | Link |
9/01/2019 | DSCL Elections Ltd/Cambridge Analytica | £21.170 | Niet voldoen aan een GDPR access request van een datasubject (Amerikaans professor). Op 5 mei 2019 was de vraag voor een data access request doorgegeven. | Link |
01/02/2019 | Leave.EU + Eldon Insurance | £120.000 | 2 aparte boetes voor het versturen van mails zonder de juiste consent. de klanten van Eldon Insurance customers ontvingen berichten voor de Leave Brexit campagne. | Link |
07/02/2019 | Magnacrest Ltd | £1460 | Niet voldoen aan een GDPR access request van een datasubject na 40 kalenderdagen. Op 17 april 2017 was de vraag voor een data access request doorgegeven. | Link |
26/02/2019 | privé persoon | £1.440 | Doorsturen HR informatie naar partner. Lokale ambtenaar die de cv’s van tegenkandidates van zijn partner had doorgestuurd naar hem. | Link |
15/03/2019 | privé persoon | £1.640 | Inkijken medische records. Administratief persoon die zonder bevoegdheid medische dossiers van familieleden had ingekeken. | Link |
15/03/2019 | privé persoon | £820 | Doorsturen klantengegevens. De persoon werkte bij een 2de hands autoverkoper en had mails met klantengegevens doorgestuurd net voor ze ontslag nam. | Link |
19/03/2019 | Vote Leave | £40.000 | Versturen van bijna 200k SMS’en zonder consent. De gsm-nummers waren o.a. via een voetbalwedstrijd vergaard. | Link |
26/03/2019 | Grove Pension Solutions Ltd | £40.000 | Versturen van 2 miljoen marketingmails zonder consent. Hun agency had hen misleidend advies gegeven, maar zij zijn de verantwoordelijken | Link |
04/04/2019 | London Borough of Newham | £145.000 | een interne database met bendeleden kwam in handen van de bendeleden zelf. Het delen van het bestand in 2017 onder hulporganisaties kwam via Snapchat tot bij de bendeleden zelf | Link |
05/04/2019 | administratief bediende | £514 | doorsturen van bedrijfsgegevens naar eigen prive mailaccount. Een NHS manager van een medisch centrum verstuurde sollicitatiegegevens naar de eigen mailaccount | Link |
10/04/2019 | True Visions Productions (TVP) | £120.000 | opnames van tv-programma in de kraamafdeling van een ziekenhuis. Te weinig informatie en geen juiste consents voor het opnemen van controles in de kraamafdeling van zwangere vrouwen | Link |
12/04/2019 | Bounty UK | £400.000 | pregnancy and parenting club (soort Roze doos bedrijf). Zonder juiste consent en met onvolledige privacy statement doorverkopen van persoonsgegevens | Link |
16/04/2019 | Avalon Direct Limited | £80.000 | callcentertelefoontjes zonder consent. 52.000 telefoontjes in 2017 | Link |
07/05/2019 | Hall and Hanley | £120.000 | sms berichten zonder consent. 3,5 miljoen smsberichten naar gsmnummers verzameld op onduidelijke websites | Link |
06/06/2019 | “A Restorative Justice Caseworker” | £620 | Doorsturen vertrouwelijke dossier naar emailadres in laatste week voor opstappen. Dit waren dossiers rond veroordelingen en bijhorende persoonlijke data | Link |
07/06/2019 | “A Customer Service advisor” | £694 | Inkijken gevoelige dossiers zonder reden. Dit waren dossiers rond daders en slachtoffers van “anti-sociaal” gedrag | Link |
13/06/2019 | Smart home protection ltd | £90.000 | 118.000 spamtelefoontjes vanuit een callcenter. In het verkoopscript werd er gewag gemaakt van valse salesclaims rond connectie met lokale politie | Link |
08/07/2019 | British Airways | £20.000.000 | Intentie voor deze boete, BA kan nu in beroep gaan. Diefstal van betalingsgegevens door de Megacart malware bende. Eerste boete was 183miljoen £, maar is dus terug gebracht… | Link |
09/07/2019 | Marriott hotels | In oktober 2020 werd de boete gevoelig teruggebracht. Databreach sinds 2014 bij Starwood hotels, wat niet ontdekt werd tijdens de aankoop door Marriott van deze keten in 2018 | Link | |
17/07/2019 | ex manager van een schadebedrijf | £25.500 | verkocht persoonlijke klantengegevens van het bedrijf. Ook bij zijn nieuwe werkgever deed hij dezelfde overtredingen | Link |
19/07/2019 | Life at Parliament View Ltd | £80.000 | 18.000 klantendossiers raadpleegbaar van een real estate bedrijf. Onvoldoende securitymaatregelen en geen monitoring op foutieve configuratie systemen | Link |
02/12/2019 | “A former Social Services Support Officer” | £780 | Inkijken van 4 Social care dossiers van connecties | Link |
05/12/2019 | “A former Reablement Officer” | £859 | Inkijken van 16 Social care dossiers van connecties | Link |
20/12/2019 | Apotheek Doorstep Dispensaree Ltd | £275k | 500.000 documenten bewaard niet afgesloten in kisten in de tuin. Medische data = gevoelige data dus daarom zo een strenge straf | Link |
09/01/2020 | DSG Retail Limited (DSG) | £500k | 9 maanden lang was er malware op kassasystemen geïnstalleerd dat alle betalingsgegevens stal. Geen security testing, slecht patchmanagement, geen lokale firwalls,… | Link |
15/01/2020 | privé persoon | £900 | Doorsturen persoonsgegevens als sociaal werker. Het ging over minderjarigen. | Link |
04/03/2020 | Cathay Pacific Airways Limited | £500k | Tussen 2014 en 2018 zijn er van 9 miljoen klanten de creditcards onderschept. “back-up files that were not password protected; unpatched internet-facing servers; use of operating systems that were no longer supported by the developer and inadequate anti-virus protection” | Link |
02/07/2020 | Decision Technologies Limited | £90k | Versturen van spam mails als prijsvergelijker. Het ging hierbij over 14 miljoen mails zonder de juiste consent | Link |
24/09/2020 | Digital Growth Experts Limited | £90k | Versturen van 16k sms berichten zonder juiste consent. Dit in het midden van de corona uitbraak voor handgelproducten | Link |
08/10/2020 | Studios MG Ltd | £40k | Versturen van 9k spammails zonder juiste consent. Dit in het midden van de corona uitbraak voor het verkopen van mondmaskers (waarmee snelle winst wilde mee gemaakt worden) | Link |
13/11/2020 | Ticketmaster | £1,25 million | Boete voor databreach op hun website. Door het hacken van een 3th party chatbot weren creditcard gestolen op de betalingspagina | Link |
04/12/2020 | OSL Financial Consultancy Limited | £50k | Boete voor het versturen van 174.342 spam sms’en. In het oog gekomen bij de IOC door onderzoeken naar welke bedrijven COVID19 gingen misbruiken. | Link |
18/05/2021 | Tested.me Ltd | £8k | Bedrijf met digital QR codes voor contact tracing in horeca bedrijven. Maar deze gegevens werden ook gebruikt voor marketing doeleinden. | Link |
20/05/2021 | American Express Services Europe Limited (Amex) | £90k | Versturen van 4 miljoen marketing emails waarbij geen rekening werd gehouden met opt-outs. Na onderzoek bleken 4 miljoen van de 50 miljoen verstuurde servicemails marketingmails. | Link |
03/06/2021 | Conservatieve partij | £10k | Versturen van marketing emails waarbij geen rekening werd gehouden met opt-outs. Na onderzoek was het niet duidelijk waar wel consent voor was, maar van 51 mails van de klagers was er zekerheid dat er geen consent was. | Link |
15/06/2021 | Papa John Pizza keten | £10k | De pizzaketen gebruikte de “soft optin” reden om marketing berichten (email en sms) naar hun klanten te sturen. Het was echter moeilijk om een opt out te doen en het ging over een zeer groot aantal berichten. | Link |
08/07/2021 | Transgender charity Mermaids | £25k | Onderzoek na datalekmelding over intern emaildistrubtielijst die ook online vindbaar was. Uit het onderzoek bleek een te kleine focus op informatieveiligheid en dit gerelateerd tot de zeer gevoelige natuur van de gegevens. | Link |
13/09/2021 | SportsDirect.com Retail Limited | £70k | Versturen van 2.8 miljoen marketingmails zonder de juiste consent in een “re-engagement campaign”. | Link |
13/09/2021 | We Buy Any Car Limited | £200k | Versturen van emails en sms zonder de juiste consent. | Link |
13/09/2021 | Saga Personal Finance Limited | £75k | Versturen van emails en sms zonder de juiste consent. Bijkomend dat dit affiliate marketing mails zijn verstuurd door publishers in naam van Saga. | Link |
2/12/2021 | Kabinet van eerste minister | Online plaatsen op 27 december 2019 van een bestand met de persoonlijke gegevens van 1000 burgers die een onderscheiding (The New Year honours) kregen. “The personal data was available online for a period of two hours and 21 minutes and it was accessed 3,872 times.” | Link | |
8/12/2021 | Virgin Media | £50k | Versturen van 451,217 direct marketing emails met een Marketing Preference Reminder zonder geldige grond. | Link |
23/05/2022 | Clearview | £7,552,800 | Geen transparantie naar burgers dat foto’s van hen worden verzameld en ook geen wettelijke verwerkingsgrond hiervoor. | Link |
03/08/2022 | Health advisor | £3000 | Het (zonder toestemming) inkijken van medische records van 14 personen (die gekend waren voor hem). | Link |
06/09/2022 | Halfords | £30k | Versturen van 500k spammails zonder de juiste consent. In de verdediging gooide ze hun voormalige DPO trouwens mee onder de bus, wegens zijn foutief advies. | Link |
4/10/2022 | “a catalogue retailer” | £283k | Het zonder juiste consent verzamelen van gezondheid gerelateerde persoonsgegevens. Marketing automation werd opgestart aan de hand van de aankoop van bepaalde gezondheidsproducten. | Link |
24/10/2022 | Interserve | £4,4 miljoen | Via een phishing attack werd malware geïnstalleerd, die niet goed is verwijderd. Hierdoor was er een databreach die de gegevens van 113.000 werknemers deed uitlekken. Na een audit werd duidelijk dat er geen patching was uitgevoerd van de systemen. | Link |
01/02/2023 | Werknemer van RAC | £6k | Als werknemer werd data rond verkeersongevallen doorgespeeld aan claim bedrijven. | Link |
17/02/2023 | Ex-werknemer noodcentrale | £1k | Als werknemer van de noodcentrale 111 had deze persoon zonder wettelijke grond de gegevens ingekeken van een case om zijn gelijk te bewijzen in een discussie met ouders van een kind dat de noodcentrale had gecontacteerd. | Link |
04/04/2023 | TikTok | £12,7 miljoen | TikTok heeft te weinig aandacht gehad voor de privacy van kinderen onder de 13 jaar. | Link |
14/04/2023 | Join The Triboo Limited | £130k | 107 miljoen spam emails verstuurd naar 437,324 people tussen augustus 2019 en augustus 2020 zonder de juiste consent. | Link |
25/08/2023 | This is the Big Deal | £30k | 41,417,889 unsolicited direct marketing berichten (39,906,342 emails en 1,511,547 sms berichten) zonder de juiste consent. | Link |
13/12/2023 | Ministerie van defensie | £350k | Datalek door 245 Afghanen die een evacuatie uit Afghanistan wilde in het TO-veld ipv BCC-veld met een email met informatie over de evacuatie te versturen. | Link |
12/01/2024 | Hello Fresh | £140k | Over een periode van zeven maanden verstuurde ze 79 miljoen spammails en 1 miljoen spam-sms’jes zonder de juiste consent. Na stopzetten van een abonnement werd er nog 2 jaar marketing gevoerd naar de ex-klanten. | Link |
19/01/2024 | LADH limited | £58k | Versturen van 50.000 spamberichten zonder juiste consent. | Link |
26/02/2024 | Ministerie van defensie | £350k | Mailfout met TO en BCC bij de chaotische aftocht uit Kabul | Link |
30/4/2024 | The Central Young Men’s Christian Association | £7,5k | Mail naar 166 personen in een programma rond leven met HIV, waarbij de personen in CC ipv. BCC stonden | Link |
23/05/2024 | Noord-Ierse politie | £ 750k | Een spreadsheet, opgevraagd via een Freedom of Information request, bevatte de initialen, achternamen en functies van alle huidige politiemedewerkers. | Link |
GDPR boetes en rechtszaken in Duitsland
Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.
Momenteel nog geen goede manier gevonden om eenvoudig die 16 DPA’s op te volgen…
In oktober 2019 heeft de Duitse DPA guidelines gepubliceerd over hoe boetes te gaan berekenen bij overtredingen. Natuurlijk heeft er een DPO hier nu een online calculator mee gemaakt.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
21/11/2018 | Knuddles.de | 20k EUR | databreach door hack. Databreach van 1.8 miljoen usernames en paswoorden (in plain text) | Link |
05/02/2019 | privé persoon | 2.5k EUR | Versturen van foutieve mails. Deze privé persoon heeft verschillende mails verstuurd met honderden emailadressen in het to-veld ipv. bcc-veld. | Link |
03/2019 | Bank N26 | 50k EUR | Aanleggen van blacklist. N26 had een blacklist met ex-klanten, maar deze was niet op de juiste manier samengesteld | Link |
09/05/2019 | politie officier | 1.4k EUR | misbruik van toegang. De politie officier gebruikte zijn toegangen om gegevens op te zoeken van een betrokkenen in een ongeval. | Link |
19/09/2019 | Delivery Hero | 195k EUR | recht op inzage en bewaringstermijn. Er werd data van ex-gebruikers blijvend bewaard en gebruikt voor marketingdoeleinden. | Link |
05/11/2019 | Deutsche Wohnen SE | 14 miljoen EUR | archiefsysteem waar geen personen uit verwijderd kunnen worden. Het bedrijf gaat tegen deze boete in beroep | Link |
3/12/2019 | Ziekenhuis | 105k EUR | Door foutieve facturatie van patient kwamen gebreken aan het licht rond werking met persoonsgegevens. Ze hebben een lichtere straf gekregen door de goede medewerking | Link |
9/12/2019 | Telecom provider 1&1 | 9.55 miljoen EUR | Via de helpdesk kon je met een naam en geboortedatum de gegevens van andere klanten opvragen. Ze hebben een lichtere straf gekregen door de goede medewerking | Link |
9/12/2019 | Rapidata | 10k EUR | Ontbreken van aanstelling DPO. Herhaaldelijk is hierop aangedrongen | Link |
13/02/2020 | Facebook Germany | 52k EUR | Ontbreken van aanstelling DPO. Na een vervanging was de aanstelling van een nieuwe DPO niet goed door gecommuniceerd. | Link |
1/10/2020 | H&M | 35,3 miljoen EUR | Ongeoorloofd bijhouden van privé details van werknemers (gezinsleven, geloof,…). “H&M takes full responsibility and wishes to make an unreserved apology to the employees at the service center in Nuremberg.” | Link |
18/01/2021 | NBB (notebooksbilliger.de) | 10,4 miljoen EUR | Boete voor videosurveillance van eigen werknemers afgelopen 2 jaar. Overal was er video surveillance, waarbij de beelden 60 dagen werden bijgehouden. In de verdediging werd aangehaald dat er geen fysieke inspectie gebeurde. | Link |
25/03/2021 | bedrijf | 5000 EUR schadevergoeding | Gebruik van een foto van werknemer (in de context van haar etnische achtergrond) in een brochure. Werknemer had de schriftelijke toestemming voor gebruik van de foto niet ondertekend en was ook niet ingelicht van context van gebruik van de foto’s. Let op dat gebruik van toestemming als verwerkingsgrond tussen werknemer en werkgever altijd riskant is. | Link |
24/09/2021 | Vattenfall Europe | 901k EUR | Niet genoeg informatieplicht naar klanten, dat vroegere klantendata werd gebruikt om eventuele promoties aan te bieden. | Link |
20/01/2022 | website | 100 EUR schadevergoeding naar klager | Schadevergoeding toegekend aan een bezoeker, die klaagde dat een website Google fonts gebruikt en zo zijn IP adres lekte naar Amerikaanse servers van Google. | Link |
26/07/2022 | Volkswagen | 1,1 miljoen EUR | Te weinig maatregelen bij een researchproject van VW (geen goede info over welke data er wordt verzameld, geen verwerkingsregister, geen DPIA). | Link |
20/09/2022 | een retail groep | 525k EUR | DPO met onverenigbare taken als manager van 2 bedrijven die ook taken voor de retailer uitvoerde. | Link |
21/09/2022 | real estate bedrijf | 55k EUR | Via scraping van het eigendomsregister werden marketingacties uitgevoerd. | Link |
31/05/2023 | Bank | 300k EUR | Niet genoeg informatie naar een data subject over een automated beslissing met nadelige impact voor de data subject (profiling). | Link |
02/08/2023 | Bedrijf | 215k EUR | Een bedrijf hield een database bij met gevoelige data over werknemers in hun proefperiode (wil om bij een vakbond aan te sluiten, psychische problemen,…). | Link |
GDPR boetes en rechtszaken in Polen
Ook de Poolse DPA UODO is in actie geschoten.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
15/03/2019 | Bisnode | 220k EUR | Inbreuk op article 14 volgens UODO (Right to be informed) | Het gaat hierbij om data-scraping van 6 miljoen personen waar ze geen emailadres van hebben. Link |
16/05/2019 | Lower Silesian Football Association | 13k EUR | Deze voetbalbond publiceerde alle persoonlijke data van 585 scheidsrechters (inclusief nationaal nummer). Er was zelf een databreach uitgevoerd na ontdekking van de publicatie van deze gegevens (10/2015 – 07/2018) | Link |
04/11/2019 | Stadhuis Aleksandrów Kujawski | 9.3k EUR | de eerste boete in Polen voor een overheidsinstatie. Het niet afsluiten van een DPA met het bedrijf dat het extranet beheert. Video’s van de gemeenteraad stonden enkel op youtube en er was nergens een backup hiervan. | Link |
06/11/2019 | ClickQuickNow Sp. z o.o. | 47k EUR | Uitschrijven zou even gemakkelijk moeten zijn als inschrijven. Binnen de 14 dagen moet het bedrijf de processen om toestemming in te trekken eenvoudiger maken | Link |
05/03/2020 | Primary School No. 2 in Gdansk | 4,4k EUR | Vingerprintscanner voor betaling in de kantine door 680 leerlingen. Leerlingen zonder vingerafdruk dienden tot het laatste te wachten | Link |
03/04/2020 | Vis Consulting Sp. z o.o. | 4,4k EUR | onmogelijkheid voor inspectie door DPA. De DPA wilde een inspectie doen, maar trof niemand aan en kreeg ook geen toegang tot de kantoren. | Link |
11/09/2020 | Warsaw University of Life Sciences (SGGW) | 11k EUR | Boete na aantreffen databreach. De gegevens van studenten werden aangetroffen op een gestolen privé laptop van een werknemer. | Link |
13/01/2021 | WARTA S.A. Insurance and Reinsurance Company | 20k EUR | Boete na databreach door foutieve mail van werknemer met verzekeringsinformatie. De organisatie is in gebreke gesteld voor betere voorlichting en interne processen. | Link |
13/01/2021 | Virgin Mobile Polska | 460k EUR | Boete na inspectie nadat een databreach aan het licht was gekomen door een hack. De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. | Link |
13/01/2021 | ID Finance Poland | 250k EUR | Boete na inspectie nadat een databreach aan het licht was gekomen door een hack (wegens een lek dat al dagen eerder was aangegeven). De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. | Link |
07/09/2022 | culturele organisatie | 529 EUR | Geen verwerkingsovereenkomst met een processor, wat aan het licht kwam door een databreach met informatie van 30 personen. | Link |
6/10/2022 | Easylife | 1,48 miljoen EUR | Zonder juiste consent segmenteren van klanten en voorspellen van medische gezondheid | Link |
24/10/2022 | Interserve Limited | 4,4 miljoen EUR | Niet de juiste organisatorische en technische maatregelen, waardoor een grote hack niet kon voorkomen worden. | Link |
07/12/2022 | Interserve Limited | 460k EUR | Te weinig organisatorische maatregelen, waardoor een grote data breach kon gebeuren. | Link |
29/04/2024 | Bedrijf | 54,6k EUR | Verlies van een usb-stick met HR-gegevens van werknemers | Link |
13/08/2024 | American Heart of Poland SA | 330k EUR | Onderzoek na datalek door ransomware hack. Gevoelige informatie werd niet opgeslagen volgens de eigen interne policy. | Link |
12/03/2024 | Toyota Bank Poland S.A. | 18k EUR | Datalek niet correct ingeschat en geen melding hiervan gedaan. | Link |
20/08/2024 | mBank | 928k EUR | Na een datalek was er geen notificatie tot alle personen omtrent het datalek. | Link |
09/10/2024 | Bedrijf | 82k EUR | Niet genoeg securitymaatregelen waardoor een ransomware hack kon gebeuren. | Link |
GDPR boetes en rechtszaken in Portugal
Voor de volledigheid ook de boetes gerelateerd aan GDPR uit Portugal.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
01/07/2021 | Lissabon | 1,25 miljoen EUR | Het gemeentebestuur verwerkte persoonsgegevens van personen die demonstraties organiseerden en deelde de data met derde partijen, waaronder ambassades en de ministers van Buitenlandse Zaken van andere landen. Politieke overtuiging is een gevoelig gegeven, dus mag niet zomaar verwerkt worden. | Link |
17/07/2018 | Centro Hospitalar Barreiro Montijo | 400k EUR | werknemers gebruikte valse profielen om zo meer gegevens te kunnen zien. Het onderzoek was van voor het GDPR-tijdperk, maar toch zijn de GDPR regels gebruikt voor het bepalen van de boetes | Link |
12/12/2022 | Portuguese National Statistics Institute | 4,3 miljoen EUR | Gebruik van Cloudflare, verzamelen van gegevens van een volkstelling zonder juiste consent. Ook het ontbreken van een DPIA. | Link |
06/05/2019 | Deco Proteste | 107k EUR | Consumentenbeschermingsorganisatie gebruikte een 3de partij voor direct marketing, maar deze had geen consent voor het versturen van marketing emails (kuch * Test aankoop*). | Link |
GDPR boetes en rechtszaken in Italië
Ook de Italiaanse DPA Garante is in actie getreden.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
07/12/2018 | 10 miljoen EUR | boete rond misleidende sign-in methodes. “Misleading users in the sign-up process about the extent to which the data they provide would be used for commercial purposes.” | Link | |
17/04/2019 | Rousseau association | 50k EUR | Platform met websites van politieke partij Movimento 5 Stelle. Opvallend is dat hier de processor de boete kreeg voor niet voldoende securitymaatregelen | Link |
28/06/2019 | 1 miljoen EUR | boete naar aanleiding van het Cambridge Analytica schandaal. 57 Italianen gebruikte die bepaalde quiz, waardoor de data van 214.000 Italianen uit Facebook werd gehaald. | Link | |
17/01/2020 | Eni Gas en Luce (Egl) | 11,5 miljoen EUR | 8,5 miljoen EUR boete voor onwettige telesales (na vele klachten). 3 miljoen EUR boete na 7000 klachten over onwettige en geforceerde aansluitingen voor een nieuw contract via onderaannemers en affiliates | Link |
01/02/2020 | Telecombedrijf TIM | 27,8 miljoen EUR | Verschillende fouten in marketingactiviteiten (verkrijgen toestemming, callcenter telefoontjes,…). Naast de boete kregen ze een hele lijst met maatregelen voor de toekomst opgelegd. | Link |
19/11/2020 | Vodafone | 12,5 miljoen EUR | Na honderden klachten van burgers over spamtelefoontjes. Daarnaast werden fake telefoonnummers gebruikt om de telecalls te maskeren. | Link |
10/06/2021 | Tandarts | 20k EUR | Tandarts liet nieuwe patiënten een volledige medische vragenlijst invullen en weigerde patiënten die ooit een HIV infecties hadden opgelopen. Deze data verzamelen heeft niets te maken met de activiteiten van een tandartspraktijk. | Link |
22/07/2021 | Stad Rome | 800k EUR | De nieuwe parkeermeters met nummerplaatingave geven te weining informatie wat er met de data zal gebeuren en welke processors toegang krijgen tot de data. | Link |
25/11/2021 | B&T | 400k EUR | Marketing bedrijf in onderaanneming had via data brokers gsm nummer aangekocht en daarop sms’en verstuurd. Verantwoordelijkheid van de controller om meer toezicht te houden op onderaannemers. | Link |
16/12/2021 | Enel Energia | 26,5 miljoen EUR | Onderzoek na honderden klachten over ongewenste marketingtelefoontjes. | Link |
09/03/2022 | Clearview | 20 miljoen EUR | De zoveelste Europese veroordeling voor deze database van publiek bij elkaar gebrachte foto’s, waarmee gezichtsherkenning wordt gedaan. | Link |
28/04/2022 | Amiu spa | 200k EUR | Italiaanse afvalverwerker van de Italiaanse kuststad Taranto, die video’s van sluikstorters op hun FB pagina plaatste. Naast het publiekelijk gebruiken van deze videobeelden als schandpaal, hadden ze ook geen DPO aangesteld. | Link |
28/04/2022 | Ziekenhuis | 70k EUR | Versturen van 2 medische nieuwsbrieven met alle ontvangers in CC ipv. BCC. | Link |
19/05/2022 | Uber BV | 4,24 miljoen EUR | Nadat NL, FR en de UK reeds eerder een boete gaven voor het grote datalek bij Uber (dat in 2017 werd publiek gemaakt), heeft ook de Italiaanse DPA een onderzoek gedaan. | Link |
05/08/2022 | Bedrijf | 20k EUR | Niet correct antwoorden op inzageverzoek na overname van ander bedrijf. | Link |
15/9/2022 | Luxury Flats s.r.l. | 2k EUR | Onderzoek na klacht van werknemer dat biometrische gegevens (vingerafdrukken) verplicht werden voor de werknemers hun tijdsopname. Hierbij werd er niet meegewerkt aan het onderzoek. | Link |
6/10/2022 | Waterbedrijf | 15k EUR | website zonder https certificaat. | Link |
10/11/2022 | Vodafone Italia | 500k EUR | Persoonlijke gegevens voor direct marketing inzetten zonder juiste consent. | Link |
5/12/2022 | Clubhouse | 2 miljoen EUR | Dit one-hit wonder onder de startups (het bleek een feature en geen platform) had er de kantjes hard afgereden naar verwerking van persoonsgegevens. | Link |
10/11/2022 | Sportitalia (fitness keten) | 20k EUR | Onwettig gebruik van vingerafdrukken ter controle van werknemers. | Link |
01/12/2022 | Amazon Italia Logistica | 20k EUR | Niet antwoorden op recht tot verwijdering door werknemer. | Link |
22/12/2022 | St Cecilia Conservatory of Music in Rome | 6k EUR | Een gevonden USB stick bevatte gegevens van de studenten aan het conservatorium. Daarnaast was er een conflict of interest voor de DPO. | Link |
11/01/2023 | Commify Italia | 80k EUR | Zondere wettelijke grond bijhouden van berichten verstuurd via SMS platform door klanten en zonder afdoende interne controle op toegang hiertoe. | Link |
11/01/2023 | Universitair ziekenhuis Padua | 5k EUR | Foutief gebruik van CC versus BCC in versturen van email naar deelnemers van klinische testen. | Link |
13/04/2023 | Krant “Palermo today” | 15k EUR | Publiceren van medische informatie over een opgepakte mafiabaas. | Link |
17/04/2023 | Ediscom | 300k EUR | Gebruik van dark patterns voor het verkrijgen van consent op leadgen websites. | Link |
27/04/2023 | Geico | 40k EUR | Het bedrijf bleef de mailbox van 3 ex-werknemers inkijken. | Link |
22/06/2023 | Telecombedrijf TIM | 7,631 miljoen EUR | Nieuwe beslissing na reeds een boete in 2020 (zie hierboven) na nieuwe klachten door consumenten. Deze boete gaat o.a. over het publiceren van data in publieke telefoongidsen. | Link |
8/06/2023 | La Rinascente | 300k EUR | Fouten rond de loyalty card: geen info over data transfers naar Meta, geen DPIA, geen info over bewaartermijnen,… | Link |
22/06/2023 | Autostrade per l’Italia | 1 miljoen EUR | Foutief aanmerken van de developer van een app als verwerkingsverantwoordelijke. | Link |
28/06/2023 | Benetton | 240k EUR | Geen correcte cookiebanner, lege privacy policy en versturen van marketing emails naar opted out contacts. Het loyalty platform bewaarde gegevens van klanten voor 10 jaar, terwijl de privacy policy spreekt voer 12/24 maanden. | Link |
8/06/2023 | Magazine Oggi | 40k EUR | Publicatie van een foto in de privésfeer genomen door een paparazzi door het raam van een appartement op de 4de verdieping. | Link |
31/08/2023 | Italiaanse krant | 10k EUR | Publiceren van persoonlijke gegevens van een persoon in een krant tegen zijn wil en zonder wettelijke grond. | Link |
26/10/2023 | Regio Lombardije | 20k EUR | Datalek door publiceren van gegevens van werknemers op een publieke website. | Link |
26/10/2023 | Krant Il Quotidiano del Sud | 20k EUR | Publicatie van niet waar bericht over covid-infectie van politicus met naam en foto van de klager. | Link |
16/11/2023 | Amazon Italia | 40k EUR | Niet tijdig antwoorden op een access request van een voormalige werknemer. | Link |
11/01/2024 | dokterspraktijk | 20k EUR | Patienten konden in een publiek en niet afgesloten brievenbus hun doktersvoorschriften ophalen (los in de brievenbus te vinden). | Link |
11/01/2024 | stad Suracusa | 5k EUR | Niet communiceren van details van DPO. | Link |
11/01/2024 | Euro Servizi per i Notai S.r.l. | 5k EUR | Onduidelijkheid van controller – processor relatie. | Link |
08/02/2024 | NTT Data Italia S.p.A. | 800k EUR | Inzetten van sub-processor zonder toestemming van de controller (wat in het uitzondering naar een datalek is uitgekomen). Controller heeft ook een boete gekregen (zie beslissing UniCredit) voor het datalek zelf. | Link |
08/02/2024 | Enel Energia S.p.A. | 79 miljoen EUR | Gebruik van onrechtmatig vergaarde gegevens om aan klantenwerving te gaan doen. | Link |
22/02/2024 | Coop Italia Società Cooperativa | 90k EUR | Te lange bewaartermijnen. | Link |
22/02/2024 | L’Igiene Urbana Evolution s.r.l. | 70k EUR | Gebruik van gezichtsherkking voor controle van werknemers. | Link |
22/02/2024 | Trasporto Passeggeri Emilia-Romagna S.p.A. | 50k EUR | Te lange bewaartermijnen. Deze worden aangeraden: 24 maanden voor marketing redenen en 12 maanden voor profiling. | Link |
22/02/2024 | Sigma s.r.l. | 150k EUR | Activatie van Vodaphone abonnementen in smartphonewinkels door personeel, zonder dat de klanten door hadden dat ze een abonnement tekenden. | Link |
08/03/2024 | Medtronic Diabetes | 300k EUR | Mail rond aankomende maintenance periode naar 5000 gebruikers van een insuline pomp met alle gebruikers in het TO-veld van de email met dit datalek tot gevolg. | Link |
08/03/2024 | UniCredit S.p.A. | 2,8 miljoen EUR | Datalek in mobile banking app door 2 technische zwakheden. | Link |
12/03/2024 | MP1 s.r.l. | 15k EUR | Het niet deactiveren van de mailbox van een voormalige werknemer | Link |
11/04/2024 | Italian National Social Security Institute | 20k EUR | Publiek publiceren van de score van kandidaten in een aanwervingsprocedure. | Link |
11/04/2024 | Rome Chamber of Commerce | 25k EUR | Databreach door backup csv die op de webhosting stond (zonder authenticatie) + gebruik van zwakke paswoorden voor gebruikers. | Link |
24/04/2024 | Gestore Dei Servizi Energetici – Gse S.p.A. | 30k EUR | Ex-werknemer deed inzageverzoek in zijn werknemersdossier, maar dit verzoek werd niet uitgevoerd (verdediging dat verzoek niet naar DPO werd verstuurd werd van tafel geveegd). | Link |
09/05/2024 | Universitair Ziekenhuis | 75k EUR | Te grote toegang tot patientengegevens in het centraal crm systeem door werknemers. | Link |
06/06/2024 | Bedrijf | 120k EUR | Inzetten van gezichtsherkenning / facial recognition op de werkvloer voor nakijken van aanwezigheid. | Link |
04/07/2024 | Stad Treviso | 7k EUR | Stad lanceerde een app voor het melden van misdrijven zonder de nodige GDPR maatregelen. | Link |
24/04/2024 | Bedrijf | 30k EUR | Datalek door het gebruik van een verouderd CMS systeem. | Link |
04/07/2024 | Stad | 4k EUR | HR – Publiceren van gegevens van sollicitanten op website in een document van de gemeenteraad. | Link |
4/07/2024 | Postel | 900k EUR | Wegens het niet patchen van softwarebugs die zorgde voor een hack met ransomware. /td> | Link |
17/07/2024 | Energiebedrijf | 5 miljoen EUR | Foutieve werkwijze met verwerkers die deur-aan-deur verkopen deden + bewaartermijn van 10 jaar. | Link |
17/07/2024 | Uitbater van ziekenhuizen | 22k EUR | Te weinig maatregelen om een hack te voorkomen. | Link |
17/07/2024 | Selectra S.p.A. | 80k EUR | Na ontslag werd een backup van een ex-werknemer voor 3 jaar bijgehouden. | Link |
26/09/2024 | Bedrijf | 4k EUR | Een werknemer kreeg geen inzagerecht daar de DPO op vakantie was. | Link |
26/09/2024 | Stad Verona | 10k EUR | Het in CC beantwoorden van een vraag voor beschermingsmateriaal, waardoor andere werknemers het ziektebeeld van de klager te zien kregen. | Link |
17/10/2024 | Stad Offanengo | 8k EUR | Publiek verspreiden van de details en redenen van het ontslag van een werknemer | Link |
13/11/2024 | Foodinho | 5 miljoen EUR | Food delivery bedrijf die onrechtmatig teveel data ging bojhouden van zijn werknemers (geolocatie,…) | Link |
GDPR boetes en rechtszaken in Spanje
Ook de Spanje DPA AEPD is in actie getreden. Weet dat de AEPD waanzinnig veel kleine boetes uitschrijft en ik deze echt niet kan bijhouden. Dit zijn dus de meest markante. 😉
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
11/06/2019 | LaLiga | 250k EUR | LaLiga gebruikte hun app in de strijd tegen piraten tv-streams. Dit door zonder consent gebruikers van de app te gaan afluisteren via fingerprinting om te kijken welke stream ze bekeken | Link |
09/07/2019 | Avon Cosmetics | 60k EUR | Na klacht door consument. Te weinig validatie door bedrijf over de identiteit van de gegevens, die door een scammer waren misbruikt | Link |
1/10/2019 | Vueling Airlines | 30k EUR | cookies. Bezoekers hebben geen mogelijkheid om cookies te weigeren bij een bezoek aan de website. | Link |
16/10/2019 | Iberdrola Clientes | 8k EUR | weigering meewerken met DPA. Elektriciteitsmaatschappij antwoordde niet op vragen van Spaanse DPA | Link |
16/10/2019 | Xfera Moviles S.A. | 60k EUR | Bijhouden gegevens. Foutieve afsluiting van telefooncontracten + bijhouden van gegevens, nadat consument verwijdering had gevraagd. | Link |
3/3/2020 | 30k EUR | Niet genoeg transparantie rond het gebruik van cookies. Te beperkte cookie policy en het ontbreken van een correcte cookiewall. | Link | |
09/06/2020 | Iberdrola | 4k EUR | Na een klacht werd een vraag voor informatie uitgestuurd, waarop geen antwoord kwam. | Link |
25/11/2020 | Telefónica Móviles España | 75k EUR | Na een klacht van burger. De burger ontving onterecht facturen van een andere klant | Link |
14/01/2021 | Financiële groep La Caixa | 6 miljoen EUR | Na een klacht van burger van 2018 en een consumentenorganisatie in 2019. Onduidelijke privacy policies en een te ruim gebruik van legitimate interest. | Link |
31/03/2021 | Vodafone Spanje | 8 miljoen EUR | Versturen van SMS/mails naar mensen zonder optin, datatransfer naar Peru en tijdens inspectie vastgesteld dat er niet genoeg technische maatregelen werden genomen. Omwille van de Spaanse Telecomwetgeving kregen ze ook nog 2 extra boetes van 2 miljoen EUR en 150.000 EUR. | Link |
26/06/2021 | Twitter gebruiker | 6k EUR | Wegens verspreiding van een video rond geweld tegen vrouwen, maar waarbij de slachtoffers herkenbaar in beeld waren. Dezelfde video werd ook door Spaanse media getoond, maar hierbij werden de gezichten wel onherkenbaar gemaakt. | Link |
17/06/2021 | Particulier | 1.5k EUR | Na het stopzetten van een relatie van 7 jaar publiceerde de burger sexuele details en foto’s en de tegenpartij op een website. Pikant detail was het opduiken van een BDSM contract tussen beide partijen, waarbij slachtoffer ook toestemming gaf tot verspreiding van de beelden in hun master-slave relatie. | Link |
06/07/2021 | Bankia/Caixabank | 50k EUR | Versturen van commerciële marketing op een enveloppe waarin de documenten voor een recht tot inzage zaten. | Link |
09/08/2021 | Turnclub | 5k EUR | Plaatsen van foto’s van 2 kinderen op de instagram account, ook al hadden de ouders hier expliciet geen consent voor gegeven. | Link |
14/09/2021 | Vodafone Spanje | 56k EUR | Consument die slachtoffer werd van identiteitsdiefstal, waarmee telefooncontracten zijn aangegaan zonder voldoende authenticatie. | Link |
13/01/2022 | Educando Juntos | 9k EUR | Gebruik van een foto van een werknemer op de website en social media, zonder eerst consent van die werknemer te krijgen. De werknemer had verschillende keren gevraagd deze foto te verwijderen. | Link |
11/02/2022 | Amazon Road Transport Spain | 2 miljoen EUR | Amazon vroeg aan chauffeurs criminal record data bij hun sollicitatie en de consent om deze buiten de EER te mogen verwerken. | Link |
11/03/2022 | Spaans hotel | 30k EUR | In samenwerking met de Nederlandse autoriteit persoonsgegevens. Klant hotel had ontdekt dat de ingescande identiteitskaarten van gasten intern gebruikt worden ter herkenning en controle van gasten. | Link |
21/03/2022 | Recruiter Michael Page | 240k EUR | In samenwerking met de Nederlandse autoriteit persoonsgegevens. Voor inzage in persoonsgegevens werden naast de identiteitskaart nog onnodige persoonsgegevens opgevraagd ter identificatie. | Link |
21/03/2022 | 5 mobiele operatoren | 5,7 miljoen EUR | Te weinig technische of organisatorische maatregelen voor het voorkomen van Sim-swapping aanvallen van klanten. | Link |
18/05/2022 | 10 miljoen EUR | Boete rond recht tot verwijdering door gebruikers uit Google. Hierbij wordt data naar the Lumen Project gestuurd en is het proces nodeloos complex. | Link | |
31/08/2022 | particuliere blog | 10k EUR | Op een particuliere blog werd de naam en een video van een toenmalige minderjarige getoond en na vraag niet verwijderd door de blog. | Link |
12/09/2022 | trouwjurk bedrijf | 10k EUR | Het zonder consent plaatsen van een foto met een klant met trouwjurk op het Instagram profiel van het bedrijf. | Link |
2022 | Energiebedrijf | 35k EUR | Foutieve versturing van email door werknemers met persoonlijke gegevens klant naar een andere klant. Geen interne melding aan DPA van dit gegevenslek. | Link |
2022 | 16 jarige | 5k EUR | afpersen van een 13 jarige in het sturen van meer sexting foto’s via Whatsapp en Instagram. | Link |
21/12/2022 | ORANGE ESPAGNE | 30k EUR | Te weinig controles bij een geval van sim-swapping. | Link |
2022 | Bank Ibercaja | 100k EUR | Na het overlijden van de vader heeft de bank automatisch een rekening geopend op naam van een kind voor het overzetten van tegoeden. Hierbij was er geen toestemming van de moeder voor de aanmaak van deze rekening. | Link |
16/01/2023 | een talent acquisition company | 40k EUR | Bij het uitvoeren van recruitment testen werden teveel data verwerkt zonder geldige verwerkingsgrond. | Link |
25/04/2023 | Digi Spain Telecom | 70k EUR | Te weinig maatregelen om een geval van simswapping te voorkomen, wat gebruikt werd voor identiteitsdiefstal. | Link |
05/2023 | Congres organisator in Barcelona | 200k EUR | Niet uitvoeren van een DPIA voor de gezichtsherkenning als toegangsbadge voor het congres (na klacht van spreker). | Link |
21/04/2023 | Security bedrijf | 50k EUR | Niet doorgeven van de technische logs op een security apparaat in een huis na de vraag door de eigenaar van het huis na een inbraak. | Link |
02/08/2023 | QUALITY-PROVIDER S.A | 20k EUR | Weigeren van toegang geven tot kantoren bij inspectie door DPA. | Link |
08/2023 | mediawebsite / blog | 20k EUR | Plaatsen van persoonlijke foto genomen vanop een Instagram profiel dat op private stond. | Link |
28/08/2023 | particulier | 10k EUR | Online plaatsen van video van dronken persoon en verspreiden online. | Link |
08/09/2023 | másLUZ Energía (SIE) | 70k EUR | Bijhouden van persoonlijke gegevens na stopzetten van energiecontracten. | Link |
13/09/2023 | Vodafone Spain | 56k -> 42k EUR | Doorsturen van foutieve persoonlijke gegevens na een recht tot inzage. Ze kregen 14k EUR korting op de boete door niet in beroep te gaan. | Link |
20/09/2023 | chatwith.io | 20k EUR | Dark patterns in de cookiebanner: overloading en skipping. | Link |
13/09/2023 | Vodafone Spain | 56k -> 42k EUR | Doorsturen van foutieve persoonlijke gegevens na een recht tot inzage. Ze kregen 14k EUR korting op de boete door niet in beroep te gaan. | Link |
27/12/2023 | The phone house Spain | 6,5 miljoen EUR | Niet genoeg maatregelen gevonden na hack met datalek van 13 miljoen personen. | Link |
19/01/2024 | Shanghai Moonton Technology Co. Ltd.’s | 72k EUR | Na databreach van game forum. De Vrijwillige moderatoren hadden teveel toegang tot persoonlijke data van gebruikers van het forum. | Link |
23/01/2024 | Orange Espagne | 200k EUR | Geval van sim swapping met te weinig controle om dit tegen te gaan. | Link |
12/02/2024 | CTC Externalización | 360k EUR | Gebruik van vingerafdrukken van werknemers voor toegangscontrole met te weinig security maatregelen en transparantie. | Link |
7/3/2024 | Caixabank | 1,2 miljoen EUR | Niet de juiste consent voor de verwerking van gegevens van klanten. | Link |
22/03/2024 | Motorsport Network España | 5k EUR | Gebruik van een “pay or okay” consent cookie banner. | Link |
09/04/2024 | Burgos Club de Fútbol, S.A.D. | 120k EUR | Om supportersgeweld te voorkomen diende supporters zich te registreren met hun vingerafdrukken. | Link |
07/05/2024 | 4Finance Spain Financial Services, S.A.U. | 600k EUR | Te weinig securitymaatregelen, waardoor via een aanval leningen op de acocunt van klanten werden afgesloten (o.a. geen 2FA voorzien voor afsluiten leningen). | Link |
07/05/2024 | Mouro Producciones, S.R.L. | 20k EUR | Verplicht kopie van ID nodig voor controleren van leeftijden bij ouders en minderjarige bezoekers van concerten. | Link |
8/5/2024 | I-DE Redes Eléctricas Inteligentes, S.A.U. | 3 miljoen EUR | Niet uitvoeren van DPIA en hierdoor te weinig security, waardoor er databreach heeft plaatsgevonden. | Link |
8/5/2024 | App Shop Buo | 7,5k EUR | Na uitschrijven blijvend ontvangen van marketing emails. | Link |
22/05/2024 | Watium S.L. | 96k EUR | Niet antwoorden op data subject verzoeken en nadien niet meewerken met de DPA in het onderzoek. | Link |
31/05/2024 | GSMA Limited (mobile phone bedrijf) | 600k EUR | Werknemers van het MWC event in Barcelona in 2022 diende een covid-certificaat op te laden in een platform zonder de juiste rechtsgrond. | Link |
3/06/2024 | GEOPOST ESPAÑA, S.L | 55k EUR | Koeriersbedrijf liet briefje achter op postbus van bestemmeling met persoonlijke gegevens op. | Link |
20/06/2024 | CUI ZSQ FOOD, S.L | 42k EUR | Doorsturen van videobeelden door manager naar werknemer groepchat rond te lange toiletpauze van een werknemer. | Link |
31/05/2024 | Uniqlo Europe LTD | 270k EUR | Intern datalek waarbij HR een overzicht van payroll data naar een werknemer zonder authorisatie verstuurde. | Link |
27/08/2024 | bedrijf | 145k EUR | Medewerker verloor rugzak met daarin onversleutelde usb-stick met gevoelige persoonsgegevens hierop. | Link |
09/07/2024 | Glovo (food delivery) | 15k EUR | Niet voldaan aan user access request, daar dit niet rechtstreeks naar het juiste DPA mailadres was verstuurd. | Link |
05/07/2024 | Plastische chirurgie ziekenhuis | 10k EUR | Het onrechtmatig delen van voor/na foto’s van een patient op social media. | Link |
08/07/2024 | Wenance Lending de España S.A. | 72k EUR | Niet genoeg maatregelen om tegen te gaan dat door identiteitsdiefstal leningen op andere personen werden afgesloten. | Link |
16/09/2024 | Telefonica Espana | 1,3 miljoen EUR | Datalek door een hack waarbij 1 externe werknemer zijn account werd misbruikt. | Link |
30/09/2024 | Ziekenhuisgroep | 200k EUR | te weinig security maatregelen voor het voldoende beveiligen van gevoelige medische data | Link |
11/10/2024 | Santander bank | 50k EUR | Na verwijderverzoek werden persoonlijke gegevens nog steeds gebruikt voor advertentiedoeleinden. | Link |
09/09/2024 | kleding verkoper The Nude Project | 20k EUR | Het meegeven van een emailadres voor een digitaal e-ticket is niet gelijk aan consent voor direct marketing. | Link |
22/10/2024 | Bedrijf | 90k EUR | Foutieve cookiebanner | Link |
08/05/2024 | Vodafone | 200k EUR | Niet genoeg maatregelen tegen simswapping | Link |
24/11/2024 | Bedrijf | 5k EUR | Gebruik van naam en foto van werknemer op website werkgever zonder juiste consent. | Link |
26/11/2024 | Bedrijf | 4k EUR | Niet meewerken aan vragen van de Spaanse DPA | Link |
GDPR boetes en rechtszaken in Roemenië
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
27/06/2019 | Unicredit Bank | 130k EUR | Article 25 boete (data protection by design en by default). Ontvangers van een betaling zagen ook het nationaal ID nummer van de betaler | Link |
02/07/2019 | WTC Bucharest hotel | 15k EUR | Naar aanleiding van eigen datalekmelding. De ontbijtlijst met 46 hotelgasten werd door een externe gefotografeerd en verspreid | Link |
05/07/2019 | Avocatoo.ro | 3k EUR | Website met GDPR en DPO templates voor bedrijven. Ironisch genoeg kon je de persoonlijke gegevens van klanten en transacties publiekelijk vinden op de website door securityproblemen | Link |
31/07/2019 | Uttis Industries | 2.5k EUR | Na klacht in maart 2019. Het bedrijf had securitycamera’s, zonder de nodige privacymaatregelen | Link |
10/10/2019 | Raiffeisen Bank | 150k EUR | Gebruik van whatsapp door werknemers voor doorsturen klantendata. In totaal 1100 slachtoffers en de communicatie was met een externe partij | Link |
14/10/2021 | Ikea Roemenië | 1k EUR | Uitlekken van persoonlijke data (van kinderen) door het online zetten van deelnameformulieren van een Ikea tekeningwedstrijd. De data stond 40 uur op een Ikea platform online. | Link |
4/1/2023 | Watermaatschappij | 3k EUR | Datalek door TO veld in email ipv. BCC veld | Link |
25/08/2023 | Body Line SRL | 10k EUR | Plaatsen van een video van een data subject gemaakt met surveillance systeem van de controller op de social media accounts van de controller. | Link |
24/10/2023 | online platform selling IT products | 3k EUR | Databreach door een publieke link naar download van alle facturen van klanten op het platform. | Link |
17/09/2024 | Bedrijf | 3k EUR | Datalek van werknemersgegevens door een hack | Link |
02/10/2024 | Global Ports’s Services S.R.L. | 2k EUR | Zonder informatie plaatsen van gps trackers in bedrijfswagens | Link |
23/09/2024 | PPC Energie Muntenia S.A. | 2k EUR | Niet uitvoeren van een verwijderverzoek | Link |
25/10/2024 | webshop IA BILET SRL | 2k EUR | Klant vroeg geen direct marketing meer op zijn gsmnummer te ontvangen, maar dit werd als een verwijderverzoek uitgevoerd. | Link |
GDPR boetes en rechtszaken in Denemarken
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
3/06/2019 | IDdesign | 200k EUR | van 385k klanten was er geen procedure voor het verwijderen van data die niet meer nodig is. Dit na een inspectie in het najaar van 2018 | Link |
10/03/2020 | Steden Gladsaxe en Hørsholm | 14k + 7k EUR | Datalek: In beide cases werd een laptop gestolen met niet encrypted harde schijf. Beide datalekken waren op de juiste manier aangegeven. | Link |
15/05/2020 | recruitment company JobTeam | 6.7k EUR | Verwijderen van persoonsgegevens tijdens een aanvraag voor recht tot inzage. Voordat een antwoord werd verstuurd naar de aanvrager rond zijn recht tot inzage, werden zijn persoonsgegevens reeds verwijderd. | Link |
09/07/2021 | Medicals Nordic | 80.5k EUR | Covid19 testcentrum dat Whatsapp groepen intern gebruikte voor het verspreiden van resultaten. | Link |
22/06/2022 | Boekenclub Gyldendal | 134k EUR | Het bijhouden van data van uitgeschreven leden van den boekenclub (zogenaamde passieve database). | Link |
14/07/2022 | Advocatenkantoor | 67k EUR | Te weinig technische en organisatorische maatregelen genomen om een ransomware aanval op hun servers tegen te gaan. | Link |
09/02/2024 | Netcompany | 2 miljoen EUR | Te weinig technische en organisatorische maatregelen genomen voor het platform waarmee overheidsberichten kunnen worden ontvangen. | Link |
14/08/2024 | Stad Vejen | 26,8k EUR | Het plaatselijke onderwijs gebruikte tot 300 computers zonder encryptie waarop gegevens van kinderen werden bewaard. | Link |
GDPR boetes en rechtszaken in Hongarije
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
23/05/2019 | Organisator Sziget/Balaton… festivals | 92k EUR | Voor deze festivals worden alle persoonlijke data gematched met de RFID chip van de bracelet. De Hongaarse DPA ging niet mee in het hele verhaal rond inzetten van legitimate interest hiervoor | Link |
08/2022 | Gynaecoloog | 1,4k EUR | Niet antwoorden op inzageverzoek van patiënt | Link |
29/04/2024 | Postal service | 12,6k EUR | Toevoegen van direct marketing boodschappen in een klanten tevredenheid survey. | Link |
2/07/2024 | Aldi | 204k EUR | Fouten bij de procedures rond controle op meerderjarigheid voor de verkoop van alcohol. | Link |
GDPR boetes en rechtszaken in Griekenland
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
30/07/2019 | PWC Business Solutions | 150k EUR | PWC liet zijn werknemers consent gegeven voor de verwerking van hun gegevens. De verwerkingsgrond is echter geen consent, maar is de uitvoering van het werknemerscontract en dus geen consent | Link |
14/01/2020 | PWC Business Solutions | 15k EUR | Een inspectie na klacht over inkijken van mails van een ontslagen werknemer toonde geen inbreuken aan. Tijdens de inspectie werd echter wel een videocamera systeem ontdekt, dat niet was aangegeven | Link |
26/08/2021 | HDPA (webshop) | 40k EUR | Recht to inzage van data. | Link |
13/07/2022 | Clearview AI | 20 miljoen EUR | Na Italië geeft ook Griekenland deze gezichtsherkenning database een stevige boete. | Link |
03/10/2022 | Nationale bank van Griekenland | 20k EUR | Nieuwe bankkaarten werden uitgerust met een chip voor contactloos betalen, maar deze hield de laatste 10 transacties bij. | Link |
13/01/2023 | Intellexa S.A | 50k EUR | Geen medewerking van dit bedrijf dat trackingsoftware installeerde op smartphones voor inlichtingendiensten. | Link |
30/03/2023 | Vodafone | 10k EUR | Een nieuwe klant van Vodafone ontving een promotiepakket van een ander bedrijf. Dit was als welkomstcadeau, maar voor het doorgeven van deze gegevens was er geen wettelijke grond. | Link |
13/06/2023 | Athens Urban Transport Organisation | 50k EUR | Geen data minimalisatie bij transportabonnementen en onvolledige DPIA. | Link |
29/11/2023 | Piraeus Leasing | 20k EUR | Gebruik van een foto voor een verkoop van aangeslagen goederen met daarop een wagen met nummerplaat van een betrokkene. Geen data minimalisatie en het niet volledig voldoen van een verwijdersverzoek. | Link |
05/12/2023 | Alpha Bank | 60k EUR | De bank heeft alle transacties van een man aan zijn vrouw gegeven, waardoor de huiselijke vrede daar is verstoord geraakt. Daarnaast hebben ze na ontdekking van deze fout geen datalekmelding gedaan. | Link |
16/02/2024 | Bedrijf | 2k EUR | Gebruik van geolocatiemogelijkheid van wagen van werkgever buiten de normale werktijd om werknemer (die zijn telefoon niet opnam) te localiseren. | Link |
22/02/2024 | Stad Athene | 5k EUR | DPO die niet antwoord op een survey met vraag tot inlichtingen van de DPA | Link |
22/04/2024 | Hellenic Post | 2,995 miljoen EUR | Te zwakke securitymaatregelen die ene datalek niet konden voorkomen. | Link |
02/04/2024 | Ministry of Migration and Asylum | 175k EUR | Te verregaande controle van asielzoekers met ook verzamelen van biometrische gegevens. | Link |
01/08/2024 | Stad Alimos + IT processor | 15+5k EUR | Geen juiste DPA tussen stad en zijn verwerker met ook te weinig securitymaatregelen, waardoor een databreach op de website kon plaatsvinden. | Link |
27/05/2024 | Ministerie van binnenlandse zaken | 400k EUR | Datalek met alle kiezergegevens van buiten Griekenland wonende Grieken. | Link |
GDPR boetes en rechtszaken in Oostenrijk
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
16/08/2019 | Österreichische Post AG | 800 EUR | schadevergoeding voor advocaat die ontdekte dat de Post zijn (waarschijnlijke) politieke voorkeur bijhield en verkocht. Dit was een individuele schadevergoeding, maar er zijn 2,2 miljoen burgers betrokken, dus potentieel duur verhaal voor de post | Link |
28/10/2019 | Österreichische Post AG | 18 miljoen EUR | Na de uitgesproken schadevergoeding nu ook een boete. De post bleek al jaren profileringsgegevens van burgers te verkopen. | Link |
15/01/2024 | Bank | 9500 EUR | Persoon had een access request gedaan, maar de bank heeft een verwijdering uitgevoerd. | Link |
15/01/2024 | Bedrijf | 10000 EUR | Niet meewerken bij een onderzoek naar een klacht. | Link |
12/12/2023 | Bedrijf | 5900 EUR | Late verwittiging van data subjects dat hun gegevens gestolen waren in een ransomware aanval | Link |
17/01/2024 | Restaurant | 20k EUR | Plaatsing van veilligheidscamera’s tot in de keuken van het restaurant zonder de juiste wettelijke grond en met een te lange bewaartermijn. | Link |
26/03/2024 | Gynaecoloog | 10k EUR | Gynaecoloog antwoorde op een online negatieve review met medische gegevens uit de dossier van de patiënt. | Link |
17/05/2024 | Voetbalcompetitie organisatie | 12k EUR | Niet uitvoeren van verwijderingsverzoeken van publieke profielen van spelers. | Link |
17/05/2024 | multi-partner klantenkaart systeem | 500k EUR | Geen correcte verzameling van toestemming voor het vergaren van consumentengegevens. | Link |
GDPR boetes en rechtszaken in Zweden
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
22/08/2019 | een school in Skellefteå | 20k EUR | Gebruik van gezichtsherkenning in de school. Geen DPIA en ook geen correcte verwerkingsgrond | Link |
18/12/2019 | Mrkoll.se | 35k EUR | Deze website publiceert publiek data van alle Zweden boven 16 jaar. Naast publieke data publiceerden ze ook creditchecks en data over wanbetalingen | Link |
11/03/2020 | 7 miljoen EUR | In 2017 vroeg de Zweedse DPA aan Google om bepaalde zoekresultaten te verwijderen. In 2018 bleek dat Google dit niet had uitgevoerd | Link | |
30/04/2020 | National Government Service Centre | 18.000 EUR | Niet melden van een datalek. Inspectie na klachten over problemen met het IT systeem voor de loonadministratie van werknemers | Link |
13/05/2020 | Healthcare Committee in Region Örebro County | 11.000 EUR | Foutieve publicatie van persoon die in psychiatrische instelling werd opgenomen. Geen duidelijke documentatie voorzien voor publicaties op de website | Link |
7/12/2020 | 7 ziektezorg organisaties | boetes tussen 250k EUR – 3 miljoen EUR | Onderzoek bij 8 “health care organisaties”, waarna er 7 een boete kregen wegens niet genoeg doen om de gevoelige gegevens te beschermen. Het niet hebben van een risicoanalyse (needs’ and risk analyses) was het grootste probleem. | Link |
11/12/2020 | Universiteit Umeå University | 55.000 EUR | Een research groep naar verkrachtingen bewaarde de ingescande politieverslagen in de cloud van AWS in de US. Daarnaast vroegeer ze extra info bij de politie met 1 van de gevoelige verslagen als bijlage in een email. | Link |
17/12/2020 | Housing company Uppsalahem | 30.000 EUR | Na onregelmatigheden in het gebouw, plaatste de gebouweigenaar 2 camera’s in de gang en traphal. Deze toonden ook de voordeur van de 2 klagers, die dit een inbreuk op hun privacy vonden. | Link |
2021 | Education Board van de stad Stockholm | 68k EUR | Geen informatie en transparantie over camerabewaking. | Link |
30/11/2021 | 4,8 miljoen EUR | Onregelmatigheden bij recht op verwijdering. | Link | |
31/03/2022 | Klarna | Geen duidelijkheid over welke data van gebruikers wordt bijgehouden en welke data ook buiten de EER wordt verwerkt. | Link | |
12/06/2022 | Spotify | Het recht tot inzage in je eigen data werd niet volledig uitgevoerd door Spotify, met maar toegang tot een deel van alle persoonsgegevens over de data subject. Deze boete komt na klachten door NOYB en het Nederlandse Bits of freedom | Link | |
03/07/2023 | Tele2 / CDON | 1 miljoen + 25k EUR | Uitspraken in de klachten van NOYB rond Google Analytics. 2 bedrijven kregen een boete, 2 andere bedrijven niet wegens reeds de nodige technische maatregelen. De Zweedse DPA beveelt wel het stopzetten van gebruik van GA. | Link |
28/08/2023 | Trygg-Hansa | 3 miljoen EUR | Door het aanpassen van links van offertes, konden documenten van andere klanten ingekeken worden wat zorgde voor een datalek. | Link |
7/11/2023 | Indecap | 43,7k EUR | Een datalek door het foutief verzenden van een bestand met klantendata naar andere klanten. “The erroneous mailings involved the personal data of 52,364 data subjects and were received by a maximum of 2,813 individuals.” | Link |
30/11/2023 | Zweedse gemeente Östersund | 23k EUR | Voor het invoeren van Google Workspace op 24 scholen van de gemeente zonder het uitvoeren van een DPIA. | Link |
28/11/2023 | Östersund’s Childrens and Education Board | 26,5k EUR | 24 scholen zijn Google Workspace beginnen gebruiken, maar zonder een nieuwe DPIA uit te voeren (en te vertrouwen op de oude DPIA uit 2014). | Link |
26/06/2024 | Avanza Bank AB | 1,3 miljoen EUR | Inzetten van Meta pixel met Automatic Advanced Matching (AAM) en Automatic Events (AE) op pagina’s met gevoelige gegevens. | Link |
30/08/2024 | 2 online apotheken | 3,3 miljoen + 700k EUR | Inzetten van Meta pixel met Automatic Advanced Matching (AAM) en Automatic Events (AE) op pagina’s met gevoelige gegevens. | Link |
GDPR boetes en rechtszaken in Noorwegen
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
1/10/2019 | Stad Oslo | 120k EUR | De centrale ‘Skolemelding’ mobile app wordt gebruikt voor communicatie tussen scholen, leerlingen en ouders en bleek securitygaten te bevatten. De eerste boete van 200k EUR is naar beneden gebracht door het snelle ingrijpen om de impact van de problemen te beperken. | Link |
18/12/2019 | Stad Oslo | 49k EUR | In 11/2018 hadden ze zelf een databreach aangegeven rond hoe gegevens rond geboortes werden bijgehouden in gezondheidscentrums. Alle werknemers hadden volledige toegang (zonder logging) tot alle gezondheidsgegevens | Link |
17/09/2020 | Norwegian Public Roads Administration | 37,4k EUR | Het gebruiken van beelden van wegcamera’s voor het monitoren van contractors en hun medewerkers tijdens wegenwerken. Het gebruik van deze beelden voor deze doeleinden gaat tegen het oorspronkelijke doel van deze wegcamera’s. | Link |
26/10/2020 | Odin Flissenter AS (Tile distributor) | 14k EUR | Bedrijf had onterechte credit check van een eenmanszaak gedaan (wat als persoonsgegeven wordt gezien). Verlaagd boetebedrag wegens covid19 impact op bedrijf momenteel. | Link |
25/11/2020 | Østfold HF Hospital | 71k EUR | Na datalekmelding door het hospital zelf. Medische documenten werden bewaard in folders zonder strenge accesscontroles. | Link |
26/01/2021 | Datingapp Grindr | mogelijk tot 10 miljoen EUR | Teveel gevoelige data werd gedeeld met 3de partijen (IP address, advertising ID, GPS location, age and gender,…). Uitspraak volgt in 2de helft februari | Link |
03/02/2021 | Cyberbook AS | 19k EUR | Automatische forward rule van mailbox van ex-werknemer | Link |
02/03/2021 | Bedrijf | 24k EUR | Automatische forward rule van mailbox van ex-werknemer | Link |
24/03/2021 | Ålesund municipality | 5k EUR | Op 2 scholen werden leerlingen gevraagd verplicht Strava te gebruiken, zonder dat er een DPIA is uitgevoerd. | Link |
25/03/2021 | Dragefossen AS | 15k EUR | Publieke webcamstreaming, die ook 12uur terugspeolbaar was. | Link |
09/04/2021 | Miljø- og Kvalitetsledelse AS | 3.5k EUR | Beelden van vandalisme bij een carwash werden naar de werkgever van de vermoedelijke dader verstuurd. | Link |
09/04/2021 | Asker municipality | 97k EUR | Interne documenten waren publieklijk vindbaar. De documenten waren afgeschermd, maar de titels van de documenten gaven persoonsgegevens vrij. | Link |
21/04/2021 | Basaren Drift AS | 19k EUR | Te verregaande camerabewaking in het restaurant van gasten en werknemers. | Link |
11/05/2021 | Norwegian Sports Confederation | 121k EUR | Datalek met persoonsgegevens van 3.2 miljoen burgers bij het testen van een cloud oplossing. | Link |
27/05/2021 | Innovation Norway | 97k EUR | Credit checks zonder wettelijke verwerkingsgrond. | Link |
11/06/2021 | BRAbank ASA | 38k EUR | Datalek bij lancering van nieuwe bankportal waarmee klanten andere klanten hun gegevens zagen. | Link |
11/06/2021 | bedrijf | 15k EUR | Ex-werknemer ontdekte dat zijn vroegere manager het paswoord van zijn emailbox veranderde en 6 weken lang de mailbox zelf dagelijks opvolgde. | Link |
24/06/2021 | Moss municipality | 48k EUR | Systemen met gezondsheidsdata hadden problemen met betrekking tot toegang, juistheid van gegevens en toegang tot de gegevens. | Link |
27/09/2021 | Road toll company | 499k EUR | Geen data processing agreement, DPIA en transfer mechanisme voor het verwerken van 12,5 miljoen nummerplaatgegevens in China. | Link |
19/10/2021 | Gemeente Østre Toten kommune | 409k EUR | Onbeschikbaar worden en uitlekken van persoonlijke data na ransomware aanval. | Link |
8/12/2021 | Government Pension Fund (SPK) | 99k EUR | Ze hadden zelf gerapporteerd dat ze ontdekt hadden dat ze teveel gevoelige historische salarisgegevens van 24.000 burgers met een mindervalide pensioen hadden verwerkt. Door de zelfmelding en medewerking is de boete verlaagd | Link |
13/12/2021 | Grindr | 6,34 miljoen EUR | Doorgifte van data van gebruikers (zeer gevoelige persoonlijke data gezien de aard van deze dating app) aan MoPub en AppNexus en andere advertentiepartijen. De juiste consent via hun Cookie Management Platform voor deze doorgifte ontbrak. | Link |
8/2/2023 | Fitness keten SATS | 1miljoen EUR | Niet op tijd antwoorden op vragen van betrokkenen rond recht van inzage en recht tot verwijderen. | Link |
16/03/2023 | Argon Medical services | 220k EUR | Na de inbraak in de email inbox van een Amerikaanse VP van dit bedrijf, was er geen datalek melding voor de gevoelige HR data van 1 Noorse werknemer, die betrokken was. | Link |
18/03/2024 | Norwegian Labour and Welfare Administration | 1,74 miljoen EUR | Te weinig interne controle naar gebruik en toegang tot gevoelige persoonsgegevens. | Link |
04/09/2024 | Universiteit van Agder | 12,7k EUR | Datalek door een open map binnen Microsoft Teams en SharePoint met gevoelige persoonsgegevens. Hierbij was er geen logging en ook geen training over correct gebruik van de mappen. | Link |
GDPR boetes en rechtszaken in Cyprus
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
25/10/2019 | LGS Handling Ltd, Louis Travel Ltd en Louis Aviation Ltd | 82k EUR (in totaal) | Boete voor gebruik van een “Bradford Factor” tool voor het scoren van de ziektedagen van werknemers na een klacht door een vakbond. Er was een DPIA uitgevoerd, maar deze is van tafel geveegd over het legitiem belang van deze tool. | Link |
25/10/2019 | WiSpear systems | 925k EUR | Securitybedrijf dat een surveillancetruck had ontwikkeld en verhuurde voor verzamelen gsm signalen. De boete komt er voor het verzamelen van mac-adressen en imsi-nummers van personen zonder hun toestemming. | Link |
24/01/2024 | Open University of Cyprus | 45k EUR | Geen juiste organisatorische en technische maatregelen om een grote databreach te voorkomen. | Link |
GDPR boetes en rechtszaken in IJsland
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
05/03/2020 | National Center of Addiction Medicine | 20,6k EUR | Datalek: Een ex-werknemer kreeg een doos opgestuurd met persoonlijke spullen, maar daarin zaten ook patientengegevens. Daar deze NGO afkickcentra in beheer heeft, zijn dit zeer gevoelige gegevens. | Link |
05/03/2020 | Breiðholt Upper Secondary School | 8,9k EUR | Datalek: Een leerkracht verstuurde een foutieve mail. Naar 57 leerlingen en hun ouders werden de persoonlijke studiegegevens van 18 andere leerlingen verstuurd. | Link |
29/06/2021 | Ijssalon concern met enkele vestigingen | 34k EUR | Klacht van minderjarige werknemer dat er camerabewaking was tot in de omkleedruimte. Geen notificatie naar werknemers of klanten hiervan. | Link |
06/05/2022 | Reykjavík (wegens basisschool in de stad) | 36k EUR | De basisschool maakte gebruik van online onderwijsplatform Seesaw (Amerikaanse platform). De dataverwerking was niet transparant, principes van dataminimalisatie en opslagbeperkingen waren niet geïmplementeerd en databescherming by design en by default werd niet toegepast. | Link |
06/12/2023 | Reykjavík (wegens basisschool in de stad) | 13k EUR | De basisschool maakte gebruik van Google classroom. | Link |
06/12/2023 | Subway | 10k EUR | Winkelmanager volgde van thuis via de bewakingscamera’s de activiteiten van de werknemers (zondere de juiste informatie naar de werknemers hierover) | Link |
26/04/2024 | Gemeente Garðabær | 16,5 EUR | Gebruik van Google Workspace for education | Link |
26/04/2024 | Gemeente Hafnarfjörður | 18,5 EUR | Gebruik van Google Workspace for education | Link |
26/04/2024 | Gemeente Reykjavík | 13,4 EUR | Gebruik van Google Workspace for education | Link |
26/04/2024 | Gemeente Reykjanesbær | 16,5 EUR | Gebruik van Google Workspace for education | Link |
26/04/2024 | Gemeente Kópavogur | 19,9 EUR | Gebruik van Google Workspace for education | Link |
GDPR boetes en rechtszaken in Finland
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
25/09/2020 | Acc Consulting Varsinais-Suomi | 7k EUR | Versturen van marketing mails en sms berichten zonder de juiste consent. Dat het bedrijf ook niet antwoordde op data subject request van klagers maakt het zwaarder. | Link |
09/05/2022 | Otavamedia Oy – magazine publisher | 85k EUR | Voor het laten verwijderen van persoonsgegevens, diende personen een formulier uit te printen, in te vullen, ondertekenen en op te sturen. | Link |
14/12/2022 | Viking Line | 230k EUR | Teveel bewaren van gezondheidsgegevens van werknemers en ex-werknemers. | Link |
06/07/2023 | Finnish Business Register | 23k EUR | Geen correcte verwerking van inzageverzoeken van telefoon transcripts. | Link |
06/07/2023 | Verkkokauppa.com Oyj (IT retailer) | 856k EUR | Het verplicht aanmaken van een user account voor een online aankoop + te lange bewaartermijnen in de webshop | Link |
13/11/2024 | Finse post – Posti Jakelu Oy | 2.4 miljoen EUR | Voor alle consumenten is er een digitale mailbox aangemaakt, zonder de toestemming van die consumenten. | Link |
GDPR boetes en rechtszaken in Litouwen
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
29/03/2021 | App “Karantinas” (Quarantine) | 15k EUR | Boetes voor de National Public Health Centre (NPHC) en de developer van de app UAB “IT sprendimai sėkmei”. Onduidelijke structuur van joint controller, datatransfers buiten EU en te weinig maatregelen voor zulke gevoelige data. | Link |
29/03/2021 | State Enterprise Centre of Registers | 15k EUR | Boete voor deze processor voor niet genoeg technische en organisatorische maatregelen om een onbeschikbaarheid van alle data te voorkomen en alles op te lossen na een technische probleem. Langere boete gekregen omdat ze ook afhankelijk zijn van medewerking van de controllers (zoals Ministry of Health of the Republic of Lithuania). | Link |
29/03/2021 | CityBee | 110k EUR | Datalek van 110k gebruikers van het platform waarbij de data online werd gepubliceerd op een forum. Het datalek gebeurde doordat een databasebackup op de hosting werd gevonden. | Link |
27/12/2022 | Maker van hartmonitoring toestellen | 122k EUR | Een maker van smartwatches met sensoren had niet de juiste consent voor het verwerken van medische gegevens. | Link |
03/07/2024 | Vinted | 2,385 miljoen EUR | Niet correcte medewerking met verwijdersverzoeken + niet transparantie rond shadow-banning van gebruikers. | Link |
GDPR boetes en rechtszaken in Letland
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
09/09/2022 | Internet service provider | 1,2 miljoen EUR | Zonder correct consent werden gegevens van klanten doorgegeven aan externe partijen voor een creditcheck. | Link |
16/07/2024 | School | 2k EUR | Onrechtmatig gebruik van camerasysteem in de klassen tijdens de schooluren. | Link |
GDPR boetes en rechtszaken in San Marino
San marino die dwergstaat die we enkel kennen van olijke voetbalmatchen is geen lid van de EU, maar is wel strijdvaardig geworden.
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
06/07/2021 | 4 miljoen EUR | Te weinig veiligheidsmaatregelen tegen het scrapen van accounts wat in 2018/2019 is voorgevallen. | Link | |
06/07/2021 | 1 miljoen EUR | Te lichte implementatie van leeftijdschecks van minderjarigen om hen beter te kunnen beschermen. | Link |
GDPR boetes en rechtszaken in Tsjechië
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
1/5/2023 | Czech Ministry of the Interior | 41,5k EUR | Te brede bewaring van gegevens van burgers met covid zonder de juiste wettelijke gronden. | Link |
10/04/2024 | Bedrijf | 13,9 miljoen EUR | Verhuizen van data van 100 miljoen gebruikers van anti-virus en browser-addon’s naar zusterbedrijf voor andere activiteiten. | Link |
GDPR boetes en rechtszaken in Kroatië
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
4/5/2023 | Incassobureau | 2,265 miljoen EUR | Anonieme tip met USB stick met alle gegevens van dit incassobureau. Boete wegens geen DPA en te weinig bescherming van gevoelige gegevens. | Link |
18/5/2023 | Sport betting bedrijf | 380k EUR | Spelers dienden per email de voorkant en achterkant van hun creditcard door te sturen voor uitbetaling via de creditcard. Deze gevoelige gegevens werden niet beschermd opgeslagen. | Link |
1/09/2023 | 2 gok bedrijven | 20k + 30k EUR | Geen correcte cookiebanners en cookie policy. | Link |
13/09/2023 | public service company van de stad Zagreb | 25k EUR | Geen correcte procedure voor identificaties bij het uitvoeren van rechten. | Link |
05/10/2023 | EOS Matrix | 5,47 miljoen EUR | Zonder wetsgrond vergaren van een grote database van persoonlijke gegevens. | Link |
26/09/2023 | Hotel | 15k EUR | Zonder wettelijke grond opvragen van gevoelige gegvens bij hotelreservatie (creditcard nummer, ID foto,…). | Link |
22/04/2024 | online gokwebsites | 15k + 20k EUR | Niet correcte consent cookie banner op website. | Link |
13/09/2024 | Ziekenhuis | 190k EUR | Datalak zorgde voor een permanent wissen van alle X-ray foto’s van het ziekenhuis, zonder backup. | Link |
GDPR boetes en rechtszaken in Malta
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
4/5/2023 | School | 50k EUR | Geen juiste procedure om toegangsverzoek van ouders die die voor hun school hebben uitgevoerd. | Link |
GDPR boetes en rechtszaken in Bulgarije
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
9/2/2023 | Bedrijf | 5k EUR | Onrechtmatig doorgeven van persoonsgegevens werknemer aan autoriteit. | Link |
17/01/2023 | BGN telecom operator | 1k EUR | Doorgeven van klantengegevens naar andere operator, zonder de juiste check of de toestemming hiervoor aanwezig was. | Link |
GDPR boetes en rechtszaken in Slovenië
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
16/10/2024 | Bedrijf | 25k EUR | Onrechtmatig filmen van werknemers op de werkvloer. De manager had realtime toegang via een app tot de camerabeelden. | Link |
Ik ga ook de privacy boetes uit de VS hier documenteren (voor mezelf).
Markante privacy boetes en rechtszaken in de Verenigde Staten
Ook in de VS worden geregeld privacy boetes uitgesproken. Hier verzamel is enkele voorbeelden van uitspraken;
Datum | Bedrijf | Bedrag | Waarom? | Link |
---|---|---|---|---|
03/08/2020 | 250 miljoen $ | Gebruiken van voor 2factor opgegeven gsmnummers en emailadressen voor advertentiedoeleinden. Dit werd gedaan tussen 2013 en 2019. | Link | |
01/09/2021 | verschillende bedrijven | 750k $ | Verschillende gelijkaardige boetes voor datalekken van de afgelopen jaren. | Link |
17/7/2023 | Betterhelp | 7,8 miljoen $ | Trackers van Pinterest en FB op een platform rond online therapie. | Link |
08/08/2023 | BNP Paribas en Société Générale | 110 miljoen $ | Professioneel gebruik van Whatsapp & iMessage door werknemers van deze banken met veiligheidsrisico’s tot gevolg. | Link |
16/11/2023 | Amerikaanse bank Morgan Stanley | 6,5 miljoen $ | Foutief afdanken van servers en computers, waarna de verwerker deze hardware ongewist heeft verkocht op de 2de hands markt met alle aanwezige data nog op de harde schijven. | Link |
7/12/2023 | Lafourche Medical Group | 480k $ | Datalek doordat via phishing een account van een medewerker werd overgenomen met toegang tot 35.000 patiëntengegevens. | Link |
23/05/2024 | Amerikaanse beursbedrijf Intercontinental Exchange (ICE) | 10 miljoen $ | Niet doorgeven van datalek door aanval via VPN kwetsbaarheid. | Link |
03/09/2024 | Verkada | 3 miljoen $ | Te weinig security maatregelen waardoor een hack mogelijk was van de security camera’s gebruikt door hun klanten. | Link |
Een belangrijke uitspraak van een rechtbank was de zaak van ICANN tegen EPAG. EPAG is een grote Duitse domeinregistrar, en die weigerde (onder de GDPR) om nog gegevens publiek te maken via de whois. ICANN (die de “generische” domeinnamen overziet) was het daar niet mee eens, en vond dat haar belangen groot genoeg waren om de info wel te tonen.
De Duitse rechtbank, specifiek verwijzend naar de GDPR, gaf EPAG gelijk. Meer info: https://www.internetnews.me/2018/05/31/icann-vs-epag-tucows-german-court-rules-against-icann/
de hervorming van onze GBA is nog in volle gang en is nog steeds niet officieel benoemd…. (ondertussen al wel en neen, dit is geen 1 April grap 😉
Klopt. Even bijgewerkt. 😉
Hoe zit het met foto’s met mensen erop die niet expliciet hun toestemming hebben gegeven? Iedereen schudt en beeft in het onderwijs.
Onderwijs, dan zit je direct al met die leeftijdsgrens (zie https://www.dailybits.be/item/kaart-met-consent-voor-kinderen-in-gdpr-in-europa/).
In België moet je bij kinderen onder de 13 jaar dus de expliciete toestemming van de ouders vragen.
Daarnaast gelden ook alle “gewone” wetgeving rond foto’s. Zie deze pagina: https://www.dynamoproject.be/faq/gdpr-waarmee-moet-ik-rekening-houden-op-het-vlak-van-beeldmateriaal-fotos-filmpjes
Zie themaposter: beeldmateriaal op school
https://pincette.vsko.be/meta/properties/dc-identifier/Bes-20190315-14
Die boetes zijn echt de moeite. We zijn inderdaad al lange tijd voorbij die gevreesde dat. Maar email marketing zal nooit meer hetzelfde zijn. Het is opgepast gewezen als je een boete wilt vermijden zoals bovenstaande monsterboetes. Bedankt voor het mooie artikel Herman.
Zeer handige en overzichtelijke site voor het opvolgen van GDPR-boetes in Europa. Hartelijk dank hiervoor !
Doch wens ik te benadrukken dat de voorgestelde boete voor British Airways £183 miljoen, zijnde 1,5% van de volledige omzet gedurende 2017, bedraagt.
Voor het overige: keep up the good work !
Ahja, damn. Even aangepast! 😉
Al bij al toch maar weinig resultaat als je ziet welke inspanning er dien(d)en te gebeuren bij bedrijven en instellingen om de GDPR richtlijnen te implementeren.
Wel belangrijk om te melden, GDPR heeft iedereen wel bewust(er) gemaakt over hoe met data om te gaan en dat je niet zomaar adressen mag gaan kopiëren en spammen …
Ik kreeg dit artikel doorgestuurd. Ik denk dat deze GDPR zaken voor elk bedrijf handig zijn om te weten. Bedankt voor het posten!
Verrassend dat er toch wel al meer boetes uitgeschreven zijn dan ik initieel dacht!
Best wel apart dat vzw’s veel lagere boetes krijgen dan anderen. En dat terwijl er veel vzw’s zijn die jaarlijks veel geld innen en zich als quasi-commerciële entiteiten gedragen.
(De rechtbanken van koophandel zijn eigenlijk verantwoordelijk voor de controle op vzw’s, maar doen dat niet en bijgevolg komen vzw’s met alles weg, inclusief de vzw’s die gelinkt zijn aan politieke partijen – maar dit ter zijde)
Dat is inderdaad een andere discussie, maar het concept vzw wordt inderdaad wel heel vlot misbruikt. Het is inderdaad een advocatenspel in België, waarbij je alles kan aandragen om de boete zo laag mogelijk te houden. Mijn tip daarbij is zeker goed documentatie en medewerking verlenen, indien je tot de orde wordt geroepen door de inspectiedienst van de GBA.
Enkele minieme schrijffoutjes:
Thx. Enja dit overzicht wordt geregeld snel snel ergens in een leeg moment tussen 2 meetings bijgewerkt. Ik denk dat er nog een 30tal boetes staan te wachten om toegevoegd te worden. :-/