We zijn nu ver voorbij die “gevreesde” 25 mei 2018, waarbij we sinds die dag een nieuwe Europese privacywetgeving hebben.
Deze blogpost ga ik de komende maanden steeds updaten om zo tot naslagwerk uit te groeien. Let op: ik neem alle gekende uitgesproken zaken vanaf 1 juni mee, maar dit gaat momenteel meestal over oude datalekken of lopende onderzoeken (onder dus de vorige nationale privacy wetgeving). Heb je nog weet van dergelijke uitspraken, geef het dan zeker door via de comments.
GDPR boetes en rechtszaken in België
Data Protection autoriteit: Gegevensbeschermingsautoriteit (GBA)
Op 29 maart 2019 is onze Belgische Gegevensbeschermingsautoriteit dan eindelijk volledig benoemd met een nieuw directiecomité. In België is er ondertussen natuurlijk wel een nieuwe wet gekomen op camerabewaking.
Op de website van de GBA kan je alle beslissingen vinden (dus inclusief de berispingen).
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 29/05/2019 | Belgische Burgemeester | 2k EUR | Het versturen van gepersonaliseerde email zonder consent voor de verkiezingen van oktober 2018 | De burgemeester had emailadressen uit de cc van een klachtenmail gebruikt voor email marketing | Link |
| 19/09/2019 | Verplichting van inlezen van e-id voor het maken van een klantenkaart | update 20/03: In beroep is de GBA in het ongelijk gesteld | Link | ||
| 28/11/2019 | “burgemeester en schepen” | 2*5k EUR | Foutief samenbrengen van lijst om verkiezingsdrukwerk op uit te sturen bij de verkiezingen van oktober 2018 | “De verzamelde gegevens moeten voor specifieke doeleinden worden gebruikt en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.” | Link |
| 17/12/2019 | Jubel.be | 15k EUR | Fouten in de privacyverklaring en vergaring van cookie toestemmingen | De website had gebruikt gemaakt van o.a. cookiebot, maar zo belangrijke cookies gemist | Link |
| 28/04/2020 | Proximus | 50k EUR | Inspectie na melding van datalek met de nodige opmerkingen van verweerder rond hoe die inspectie tot stand is gekomen | Onafhankelijkheid van DPO, tegenwerking van onderzoek, geen juiste risk-based approach | Link |
| 14/05/2020 | DKV | Boete rond gebrek aan transparantie in privacy policy | Gebruikmaking van gerechtvaardigd belang bij verdere verwerking van persoonsgegevens van klanten van de hospitalisatieverzekering. (op vraag van DKV aangepast) | Link | |
| 19/05/2020 | Twoo | 50k EUR | Boete rond de feature van een social netwerk voor het “uitnodigen van contacten” | Hier is er geen verwerkingsgrond om zomaar de gegevens van uitgenodigde contacten te verwerken. | Link |
| 29/05/2020 | “vzw” | 1k EUR | Na klacht van ex-donateur (7 jaar geleden) die bleef brieven (met gadgets) krijgen voor het uitvoeren van een nieuwe gift. | Dit valt onder direct marketing en hier kan je je wettelijk steeds tegen verzetten als ontvanger. Opvallend lage boete trouwens, wegens kleine vzw. | Link |
| 08/06/2020 | “Een gemeenteraadslid” | 5k EUR | Gemeenteraadslid verstuurde een brief naar alle gemeentelijke werknemers rond zijn opkomen voor de verkiezingen | Dit is al de 4de veroordeling rond het versturen van verkiezingsreclame voor de verkiezingen van 2018. | Link |
| 16/06/2020 – 15/03/2021 | “Een school” | De school verstuurde via Smartschool een enquete rond “welbevinden” naar minderjarige leerlingen zonder consent van de ouders. Klager heeft vragen bij consent voor minderjarigen, gebruik Smartschool, data minimalisatie,… | Klager had in 2016 reeds klacht ingediend en deed dit in 2019 opnieuw voor nieuwe enquete. Maart 2021 is er bevestiging gekomen dat de school een boete kan krijgen en is deze op 1K EUR gezet. | Link | |
| 16/06/2020 | “een vzw” | 1k EUR | Recht op verwijdering uit direct marketing database werd niet opgevolgd en uitgevoerd. | Klacht van september 2019 | Link |
| 19/06/2020 | “een bedrijf” | 10k EUR | Versturen van direct marketing emails naar foutief emailadres en traag reageren op klachten klager | Hogere boete door omzet als miljardenbedrijf | Link |
| 09/07/2020 | mede-eigenaar appartementsgebouw | 5k EUR | Plaatsing van bewakingscamera’s met zicht op gemeenschappelijke delen, tuinen en de straat. Dit zonder toestemming, weigering tot geven van toegang tot de beelden en weigerde beheer over te dragen aan de Vereniging van Mede-Eigenaars. | Klacht gebeurde in mei 2019 | Link |
| 14/07/2020 | Google BE | “Publiek persoon” wilde zijn “Right to be forgotten” mogelijkheid gebruiken in de Google zoekresultaten | Een eerste klacht rond zijn banden met een politieke partij werd niet meegenomen een 2de klacht rond het verwijderen van pagina’s van een pesterijklacht was wel gegrond voor de GBA | Link | |
| 28/07/2020 | Burgemeester van Sint-Lievens-Houtem | 3000 EUR | Opnieuw een klacht/beslissing rond de verkiezingen van 10/2018. | Ditmaal gaat het over verkiezingsdrukwerk gericht op nieuwe inwoners in de gemeente, waarbij de kiezerslijst van 2012 is gebruikt ter vergelijking. Meer info | Link |
| 30/07/2020 | Proximus | 20.000 EUR | Klacht van burger die expliciet had gevraagd haar nieuwe telefoonnummer niet op te nemen in witte gids en 1207. | Proximus verweerde zich dat ze de publicatie bij FCR en andere 3th party bedrijven niet kon tegenhouden, maar dit is wel zo. | Link |
| 01/09/2020 | ex-burgemeester | 5.000 EUR | klacht rond verzending van email rond de verkiezingen van 2019 | E-mailadres was verkregen uit een klacht van de burger bij het secretariaat van de burgemeester over een sluikstort. | Link |
| 29/09/2020 | Kleine KMO | 15k EUR | 2,5 jaar actief houden van mailbox van ex-CEO | Correct omgaan met de mailbox van een ex-werknemer is belangrijk: blokkeren, autoresponder, na redelijke periode verwijderen. | Link |
| 25/11/2020 | Particulier koppel | 1,5k EUR | Plaatsing van camera’s met zicht op buren en openbare weg | Na klacht door buren, waarbij die koppel beelden had gebruikt voor doorgifte bouwovertreding van buren. | Link |
| 23/12/2020 | Parkeerwacht bedrijf + deurwaarderskantoor | 50k + 15k EUR | Na een boete voor het niet plaatsen van een parkeerschijf haalt de betrokken burger zijn slag thuis en toont het manifeste schendingen tegen de AVG aan: privacystatement onvolledig, te laat antwoorden op inzage verzoekschrift, Voordat de burger betaalde reeds inzage in DIV database, afwezigheid van PO… | De boete voor het parkeerbedrijf is afgezwakt doordat ze als verdediging de impact van Covid19 op hun omzet van dit jaar aanhaalden. | Link |
| 12/01/2021 | Managementbureau artiesten | Na het stopzetten van een managementovereenkomst tussen bureau en zangeres wilde de artieste de volledige overdracht van de FB fanpage met haar naam. | De zangeres was beheerder, maar geen eigenaar van de FB fanpage en door het wegvallen van de verwerkingsgrond heeft ze gelijk gekregen. | Link | |
| 13/01/2021 | School | Berisping ipv. boete | Ouder had klacht ingediend, dat de nieuwsbrief van de school alle ouders in CC had staan ipv. BCC. | Persoonlijke mening: de school van je kinderen met zulke procedure opzadelen is toch wel echt speciaal en niet bepaald constructief. Ik vermoed dat de klager niet in het oudercomité zelf de handen mee uit de mouwen steekt? | Link |
| 22/01/2021 | Mobiele provider | 25k EUR | Case van simswapping, waarbij iemand in een winkel van de provider het gsmnummer en een nieuwe simkaart van andere klant heeft gekregen. | Provider schermde er nog mee dat ze wegens commerciële belangen geen ID-check mochten doen, maar dit klopt niet volgens de GBA. | Link |
| 28/01/2021 | Family Service “De Roze Doos” | 50k EUR | Jarenlang werden de gegevens van 1 miljoen klanten en hun kinderen zonder geldige optin gedeeld met derde partijen. | Door de uitdeling via ziekenhuizen en het voorwendsel van “nationale dienst voor de promotie van kinderartikelen” was het niet duidelijk dat dit een marketinghandel was. | Link |
| 12/02/2021 | Telenet | Berisping ipv. boete | Naar aanleiding van inspectie rond de privacy instellingen voor klanten en recht op bewaar tov. direct marketing | De inspectie vertoonde enkele onzorgvuldigheden, waarbij Telenet aantoonde dat klanten wel degelijk zelf alles kunnen beheren via “Mijn telenet”. | Link |
| 26/04/2021 | een instelling die toegang heeft tot het kredietregister van de nationale ban | 100k EUR | Slechte beveiliging (alle medewerkers gebruiken dezelfde login zonder goede logging dus) | Daarnaast is de rol van DPO in combinatie met een actie CISO rol onverenigbaar (daar de CISO ook in het management zetelt). | Link |
PS: Een berisping voor de FOD gezondheid van 11/7/19 is in hoger beroep vernietigd, doordat de FOD kon bewijzen dat ze toch hadden voldaan aan de vraag.
GDPR / AVG boetes en rechtszaken in Nederland
Data Protection autoriteit: Autoriteit Persoonsgegevens (AP)
Sinds juli 2018 zijn er steekproeven gestart in 10 sectoren (industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg) rond de aanwezigheid van een verwerkingsregister.
Sinds augustus 2018 controleert AP ook ziekenhuizen en zorgverleners en financiële instellingen op de aanwezigheid van een verplichte DPO.
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 09/08/2018 | Theodoor Gilissen Bankiers (TGB) | 48k EUR | Niet voldoen aan Recht tot inzage | 4 weken na de termijn van 2 maanden pas recht uitgevoerd | Link |
| 20/09/2018 | Nationale politie | 40k EUR | Na 6 maanden nog niet genoeg securitymaatregelen getroffen | De NL politie had 6 maanden de tijd om 5 grote securityproblemen op te lossen, maar deed dit niet genoeg voor 1 maatregel | Link |
| 27/11/2018 | Uber | 600k EUR | Niet opvolgen van meldplicht na hack | Uber zit met zijn HQ in NL en heeft dus niet voldaan aan de NL meldplicht na de hack van 2016 | Link |
| 04/04/2019 | Zorgverzekeraar Menzis | 50k EUR | Niet voldoende controle op wie medische dossiers kan inkijken | Tijdens een onderzoek in 2017 merkte men dat er onvoldoende toezicht was op toegang tot dossiers | Link |
| 28/05/2019 | Gemeente Deventer | 500EUR schadevergoeding | toekenning van 500EUR schadevergoeding door rechtbank | Gemeente had gegevens van persoon met ambtenaren onrechtmatig gedeeld (zie ook Tweakers) | Link |
| 16/07/2019 | HagaZiekenhuis | Niet genoeg veiligheidsmaatregelen naar afschermen van medische dossiers | Dit is de eerste echte GDPR/AVG boete in Nederland en onderzoek is gestart nadat bleek dat vele medewerkers het dossier van BN’er Barbie hadden ingekeken. | Link | |
| 28/05/2019 | Uitkeringsinstantie UVW | 250EUR schadevergoeding | toekenning van 250EUR schadevergoeding door rechtbank | Het UWV had via een geautomatiseerd proces abusievelijk een brief gestuurd aan de nieuwe werkgever van werknemer waarin werd medegedeeld dat de werknemer anderhalf jaar ziek/burnout was gemeld bij haar oude werkgever. | Link |
| 03/03/2020 | NL tennisbond KNLTB | 520k EUR | Verkopen van ledenlijsten aan sponsors in 2018 | Ze beroepen zich op het gerechtvaardigd belang (met optout in de privacy policy). Hun reactie is in mijn ogen wereldvreemd | Link |
| 30/04/2020 | bedrijf (via rechter bekomen anonimiteit) | 725k EUR | Verplicht scannen van vingerafdruk door werknemers voor aanwezigheids- en tijdsregistratie | De verwerkingsgrond toestemming kan hier niet aangeroepen worden door relatie werkgever – werknemer | Link |
| 06/07/2020 | Stichting Bureau Krediet Registratie (BKR) | 830k EUR | Bij BKR vroegen ze een vergoeding voor het digitaal opvragen van persoonsgegevens. Per post kon je dit maar 1 keer per jaar gratis doen. | Sinds april 2019 is dit nu aangepast. | Link |
| 12/01/2021 | Gemeente Oldambt | 500EUR schadevergoeding | toekenning van 500EUR schadevergoeding door rechtbank | Gemeente had persoonlijke gegevens van burger gelekt bij vergunningsaanvraag en verslaggever had dit via Twitter naar buiten gebracht. | Link |
| 11/02/2021 | Amsterdamse ziekenhuis OLVG. | 440k EUR | Er zijn tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen | Na het onderzoek zijn er wijzigingen gebeurd. Het ziekenhuis controleert vanaf dat moment structureel de logging en heeft sindsdien tweefactor-authenticatie in het ziekenhuis geregeld. | Link |
| 31/03/2021 | Booking.com | 475k EUR | Te laat melden van een datalek via phishing (4.000 klanten met de creditcardgegevens van bijna 300 slachtoffers). | Het datalek werd pas na 22 dagen gemeld (ipv. na 72uur). | Link |
| 29/04/2021 | Gemeente Enschede | 600k EUR | Wifi tracking in winkelstraten waarbij vragen zijn gesteld rond het te eenvoudig identificeren van personen. | Reeds in mei 2020 is Enschede hiermee gestopt. | Link |
| 11/05/2021 | PVV Overijssel | 7.5k EUR | Niet aangeven datalek (versturen van politieke uitnodiging naar 101 adressen met iedereen in cc van elkaar). Politieke voorkeur is extra gevoelig gegeven. | Opvallend dat de AP voor het eerst een kleine boete geeft aan een kleine organisatie. | Link |
| 12/05/2021 | Locatefamily.com | 525k EUR | Buitenlands platform met ondertussen 700k Nederlandse adressen en telefoonnummers, zonder dat iemand er toestemming voor gaf. | Dit platform heeft geen vertegenwoordiger in de EU. Succes alvast aan de AP om deze boete betaald te krijgen… | Link |
| 19/05/2021 | onderhoudsbedrijf CP&A | 15k EUR | Teveel informatie werd bijgehouden rond de redenen van afwezigheid van zieke werknemers. | Het bestand met de registratie was niet goed beveiligd en was online beschikbaar. | Link |
| 10/06/2021 | Orthodontiepraktijk | 12k EUR | Website van orthodontiepraktijk met formulier die naar medische informatie (van kinderen) vraagt. | Maar de website heeft geen https-certificaat en heeft dus een onbeveiligde verbinding tussen invuller en webserver. | Link |
| 07/07/2021 | Uitvoeringsinstituut Werknemersverzekeringen (UWV) | 450k EUR | Verschillende datalekken van gegevens in het versturen van berichten naar werkzoekenden in de online applicatie. | Het ging hierbij om 9 datalekken met de gegevens van meer dan 15.000 werkzoekenden. | Link |
| 22/07/2021 | TikTok | 750k EUR | Ontbreken van privacy policy in het NL wat wel nodig is met de jonge doelgroep van kinderen die de app gebruiken. | TikTok heeft zich ondertussen (zoals alle andere techgiganten) in Dublin, maar dit was tijdens het onderzoek nog niet het geval. | Link |
GDPR boetes en rechtszaken in Luxemburg
In het voorjaar van 2021 is de CNPD ook maar eens in actie geschoten met enkele kleinere boetes. Belangrijk weetje is dat zij de toezichthouder zijn voor de activiteiten van Amazon in Europa.
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 08/04/2021 | Bedrijf | 4k EUR | Volgend op inspectie februari 2019 waar werd ontdekt en bevestigd dat trackingdevices in de voertuigen van medewerkers waren geplaatst. | Gegevens werden bijgehouden voor een bewaartermijn van meer dan 2 jaar. | Link |
| 12/05/2021 | Bedrijf | 2.6k EUR | Volgend op inspectie maart 2019 waar werd ontdekt dat er 17 videocamera’s waren geplaatst. | Maar deze camera’s waren ook gericht op de kantine waar de werknemers hun pauzes nemen. | Link |
| 12/05/2021 | Bedrijf | 2.9k EUR | Volgend op inspectie september 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. | Maar deze camera’s waren ook gericht op de kantine waar de werknemers hun pauzes nemen. | Link |
| 12/05/2021 | Bedrijf | 1k EUR | Volgend op inspectie maart 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. | Maar deze camera’s waren ook gericht op een publieke weg die de toegang was tot de gebouwen. | Link |
| 12/05/2021 | Bedrijf | 1.9k EUR | Volgend op inspectie september 2019 waar werd ontdekt dat er videocamera’s waren geplaatst. | Maar deze camera’s waren ook gericht op een publieke stukken land rond tot de gebouwen. | Link |
| 31/05/2021 | Bedrijf | 18k EUR | DPO was niet genoeg betrokken op operationeel niveau. | Link | |
| 16/07/2021 | Amazon | 746 miljoen EUR | Nog weinig bekend over deze recordboete, maar deze zou uitgesproken zijn na een groepsklacht uit 2018. | Link |
GDPR boetes en rechtszaken in Frankrijk
Data Protection autoriteit: Commission Nationale de l’Informatique et des Libertés (CNIL)
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 07/06/2018 | Optical Center | 250kEUR | Securityproblemen in webshop | In 2015 ook al 50k boete gekregen. | Link |
| 28/06/2018 | Association pour le Développement des Foyers (ADEF) | 75k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen | Incident dateert van juni 2017 | Link |
| 31/07/2018 | l’Office Public de l’Habitat de Rennes Métropole | 30k EUR | Gebruik van persoonsgegevens voor andere doeleinden dan voorzien | Incident dateert van oktober 2017 | Link |
| 20/09/2018 | ASSISTANCE CENTRE D’APPEL | 10k EUR | Registratie van telefoons werknemers en gebruik van biometrische gegevens zonder toestemming werknemers | Vaststelling eind 2016, met nieuwe controle begin 2018 | Link |
| 27/09/2018 | Alliance Francaise Paris Ile-de-France | 30k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen | Incident dateert van november 2017 | Link |
| 20/12/2018 | Uber | 400k EUR | Boete voor achterhouden grootschalige hack in 2017 | Ook NL gaf reeds 600k EUR en de UK gaf 385k £ voor dezelfde hack | Link |
| 27/12/2018 | Bouygues Telecom | 250k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen | Incident dateert van maart 2018 | Link |
| 21/01/2019 | 50 miljoen EUR | De globale verwerkingsgrond die Google gebruikt is verworpen als niet GDPR compliant | De eerste grote GDPR boete aan een multinational uit naam van 10.000 burgers | Link | |
| 07/06/2019 | Immowebsite Sergic | 400k EUR | Via URL-modificatie waren gevoelige documenten van andere klanten in te kijken | Na klacht door klant en inspectie ter plaatse in september 2018 | Link |
| 18/06/2019 | Uniontrad company | 20k EUR | Blijvend filmen van eigen werknemers zelfs na klachten | Lagere boete wegens negatief eigen vermogen en maar 9 werknemers | Link |
| 25/07/2019 | Active Assurances | 180k EUR | Securityproblemen door url-modificatie kon je persoonlijke data krijgen | Incident dateert van juni 2018 | Link |
| 26/11/2019 | Futura International | 500k EUR | Inzetten van niet-EU callcenters met verschillende overtredingen | Het CRM bevatte persoonlijke gevoelige gegevens en de medewerking met de CNIl was niet optimaal | Link |
| 26/11/2020 | Carrefour + Carrefour Banque | 3 miljoen EUR | Na klachten inspecties gedaan midden 2019 | Onvolledige privacy en cookie policy, bewaren van gegevens van niet-actieve klanten meer dan 5 jaar lang, verplichting opsturen ID bij rechtenverzoek, foutief aangeven gegevensdeling | Link |
| 7/12/2020 | Perfomeclic | 7300 EUR | Verzenden van commerciële mails zonder (bewijs van) voorafgaande toestemming. | De vereniging SIGNAL SPAM, die meldingen van internetgebruikers over ongevraagde e-mails ontvangt, liet de CNIL weten dat het bedrijf PERFORMECLIC regelmatig bovenaan de ranglijst staat van bedrijven die de meeste berichten uitgeven die door internetgebruikers op Frans grondgebied. | Link |
| 7/12/2020 | Amazon Europe core | 35 miljoen EUR | Geen cookiewall op amazon.fr voor alle cookies. | Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. | Link |
| 7/12/2020 | 2 artsen | 3000 EUR + 6000 EUR | De CNIL ontdekte een server met hun medische beelden op, die niet goed beveiligd waren. | Na kennis hiervan te krijgen, hadden de 2 artsen ook een datalek moeten melden. | Link |
| 7/12/2020 | Google LLC + Google Ierland | 60 miljoen + 40 miljoen EUR | Geen juiste cookiewall op google.fr voor alle cookies. | Niet voor alle cookies werd een juiste toestemming gevraagd. Vooral rond remarketingcookies is de CNIL hier zeer streng over. | Link |
| 5/1/2021 | Nestor | 20k EUR | Massale prospectiemails zonder consent, vage privacy policy, niet antwoorden op inzage verzoeken van burgers en geen verplichting voor sterk paswoord bij registratie. | Inspecties in mei 2019 en februari 2020, waarbij het bedrijf zijn systemen wel steeds heeft aangepast. | Link |
| 17/06/2021 | webshop bricoprive.com | 500k EUR | Data van (niet-actieve) kopers van meer dan 5 jaar geleden werden nog steeds gebruikt (te lange bewaartermijn). Bij vragen tot verwijdering werd de klantenaccount inactief gezet, maar niet effectief ook verwijderd. | Zowel voor klanten als werknemers was het aanmaken van een sterk paswoord niet verplicht. Ook de cookiewall van de webshop werkte niet zoals verwacht. | Link |
| 22/07/2021 | AG2R La Mondiale | 1,75 miljoen EUR | Boete na inspectie bij de verzekeringstak waaruit bleek dat gegevens van miljoenen Fransen zonder retentietermijn bewaard en verwerkt bleven. | Link | |
| 28/07/2021 | Monsanto | 400k EUR | In 2019 lekte er uit dat Monsanto een bestand had gemaakt met publieke figuren en hun influence score rond het debat over Glysofaat. | Hier oordeelde de CNLI dat er een recht tot mededeling had moeten gebeuren en daarnaast ontbrak er een verwerkingsovereenkomst met de onderaannemer die het bestande beheerde. | Link |
| 29/07/2021 | Le Figaro | 50k EUR | Geen correcte instelling van Cookie consent Management tool. | Link |
GDPR boetes en rechtszaken in Groot-Brittanië
Data Protection autoriteit: Information Commissioner’s Office (ICO)
De kerels met de coolste swag en een reputatie, dat ze er echt willen invliegen met controles en boetes.
(Terechte opmerking in mijn Linkedin feed dat dit dus zaken zijn van VOOR de GDPR wetgeving in voege was en dus nog onder de oude Britse Privacywetgeving.)
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 8/6/2018 | The British and Foreign Bible Society | £100.000 | datalek van 417k personen door hack via zwak wachtwoord service account | Databreach uit december 2016 | Link |
| 12/6/2018 | Yahoo! | £250k | Globaal datalek door hack | Databreach uit 2014, pas in 2016 aan het licht gekomen | Link |
| 13/6/2018 | Gloucestershire Police | £80k | Versturen van gevoelige contactgegevens in het to-veld ipv. bcc-veld van mail naar 56 personen | Databreach uit december 2016 | Link |
| 20/6/2018 | British Telecommunications plc (BT) | £77k | Versturen van 5 miljoen ongevraagde spammails | Het ging over niet-commerciële mails voor 3 goede doelen | Link |
| 28/6/2018 | Our Vault Limited | £70k | 55.000 callcentertelefoontjes zonder toestemming | Link | |
| 18/7/2018 | Independent Inquiry into Child Sexual Abuse | £200k | Reply-all foutje bij versturen van enquete naar mogelijke slachtoffers kindermisbruik | Link | |
| 1/8/2018 | AMS Marketing Ltd, | £100k | 75.000 callcentertelefoontjes zonder toestemming | Link | |
| 9/8/2018 | Emma’s Diary | £140k | Vergaren en verkopen van data rond aanstaande moeders voor profilering in de 2017 verkiezingen | “The Labour Party was then able to send targeted direct mail to mums living in areas with marginal seats about its intention to protect Sure Start Children’s centres.” | Link |
| 5/9/2018 | Everything DM Ltd (EDML) | £60k | Versturen van 1,4 miljoen spam mails | Everything DM is een marketing agency dat de mails verstuurde, zonder er zeker van te zijn dat de nodige consents verzameld werden door hun klanten. | Link |
| 20/9/2018 | Equifax UK | £500k | Grootschalige hack door slechte security | In mei 2017 werd deze Amerikaanse kredietbeoordelaar het slachtoffer van een grote hack in de US. De UK afdeling wordt hiervoor veroordeeld omdat ook UK gegevens slecht beveiligd waren. | Link |
| 24/9/2018 | Verpleegster | £800 | Persoonlijke veroordeling | Deze verpleegster had onrechtmatig het medische dossier van 5 personen ingekeken | Link |
| 28/9/2018 | Bupa Insurance Services Limited (Bupa) | £175k | Te lage securitybeveiliging ontdekt | Een ex-werknemer heeft het CRM leeg gezogen en die gegevens verkocht. Tijdens het onderzoek kwam er securityproblemen naar voor. | Link |
| 8/10/2018 | Heathrow airport | £120k | Te lage securitybeveiliging/awareness | Nadat gevoelige gegevens gelekt werden door een achtergelaten USB stick is de ICO op onderzoek gegaan. | Link |
| 9/10/2018 | Boost Finance Ltd (BFL) | £90k | Versturen van spammails | Versturen van meer dan 4 miljoen mails zonder de juiste consent in september 2017 | Link |
| 25/10/2018 | £500k | Onvoldoende maatregelen tegen datamisbruik | Deze boete gaat over de periode 2007-2014 en is dan ook het maximumbedrag dat ze als boete konden opleggen. | Link | |
| 27/11/2018 | Uber | £385k | Niet genoeg bescherming tegen hacks | De NL AP gaf hen een boete voor het niet melden. De ICO voor de hack zelf. AUTCH! | Link |
| 5/12/2018 | Directeur lagere school | £1.100 | Meenemen persoonlijke gegevens van studenten | Als directeur had hij de persoonlijke gegevens van studenten meegenomen naar zijn nieuwe school | Link |
| 9/01/2019 | DSCL Elections Ltd/Cambridge Analytica | £21.170 | Niet voldoen aan een GDPR access request van een datasubject (Amerikaans professor) | Op 5 mei 2019 was de vraag voor een data access request doorgegeven. | Link |
| 01/02/2019 | Leave.EU + Eldon Insurance | £120.000 | 2 aparte boetes voor het versturen van mails zonder de juiste consent | de klanten van Eldon Insurance customers ontvingen berichten voor de Leave Brexit campagne. | Link |
| 07/02/2019 | Magnacrest Ltd | £1460 | Niet voldoen aan een GDPR access request van een datasubject na 40 kalenderdagen | Op 17 april 2017 was de vraag voor een data access request doorgegeven. | Link |
| 26/02/2019 | privé persoon | £1.440 | Doorsturen HR informatie naar partner | Lokale ambtenaar die de cv’s van tegenkandidates van zijn partner had doorgestuurd naar hem. | Link |
| 15/03/2019 | privé persoon | £1.640 | Inkijken medische records | Administratief persoon die zonder bevoegdheid medische dossiers van familieleden had ingekeken. | Link |
| 15/03/2019 | privé persoon | £820 | Doorsturen klantengegevens | De persoon werkte bij een 2de hands autoverkoper en had mails met klantengegevens doorgestuurd net voor ze ontslag nam. | Link |
| 19/03/2019 | Vote Leave | £40.000 | Versturen van bijna 200k SMS’en zonder consent | De gsm-nummers waren o.a. via een voetbalwedstrijd vergaard. | Link |
| 26/03/2019 | Grove Pension Solutions Ltd | £40.000 | Versturen van 2 miljoen marketingmails zonder consent | Hun agency had hen misleidend advies gegeven, maar zij zijn de verantwoordelijken | Link |
| 04/04/2019 | London Borough of Newham | £145.000 | een interne database met bendeleden kwam in handen van de bendeleden zelf | Het delen van het bestand in 2017 onder hulporganisaties kwam via Snapchat tot bij de bendeleden zelf | Link |
| 05/04/2019 | administratief bediende | £514 | doorsturen van bedrijfsgegevens naar eigen prive mailaccount | Een NHS manager van een medisch centrum verstuurde sollicitatiegegevens naar de eigen mailaccount | Link |
| 10/04/2019 | True Visions Productions (TVP) | £120.000 | opnames van tv-programma in de kraamafdeling van een ziekenhuis | Te weinig informatie en geen juiste consents voor het opnemen van controles in de kraamafdeling van zwangere vrouwen | Link |
| 12/04/2019 | Bounty UK | £400.000 | pregnancy and parenting club (soort Roze doos bedrijf) | Zonder juiste consent en met onvolledige privacy statement doorverkopen van persoonsgegevens | Link |
| 16/04/2019 | Avalon Direct Limited | £80.000 | callcentertelefoontjes zonder consent | 52.000 telefoontjes in 2017 | Link |
| 07/05/2019 | Hall and Hanley | £120.000 | sms berichten zonder consent | 3,5 miljoen smsberichten naar gsmnummers verzameld op onduidelijke websites | Link |
| 06/06/2019 | “A Restorative Justice Caseworker” | £620 | Doorsturen vertrouwelijke dossier naar emailadres in laatste week voor opstappen | Dit waren dossiers rond veroordelingen en bijhorende persoonlijke data | Link |
| 07/06/2019 | “A Customer Service advisor” | £694 | Inkijken gevoelige dossiers zonder reden | Dit waren dossiers rond daders en slachtoffers van “anti-sociaal” gedrag | Link |
| 13/06/2019 | Smart home protection ltd | £90.000 | 118.000 spamtelefoontjes vanuit een callcenter | In het verkoopscript werd er gewag gemaakt van valse salesclaims rond connectie met lokale politie | Link |
| 08/07/2019 | British Airways | £20.000.000 | Intentie voor deze boete, BA kan nu in beroep gaan | Diefstal van betalingsgegevens door de Megacart malware bende. Eerste boete was 183miljoen £, maar is dus terug gebracht… | Link |
| 09/07/2019 | Marriott hotels | In oktober 2020 werd de boete gevoelig teruggebracht | Databreach sinds 2014 bij Starwood hotels, wat niet ontdekt werd tijdens de aankoop door Marriott van deze keten in 2018 | Link | |
| 17/07/2019 | ex manager van een schadebedrijf | £25.500 | verkocht persoonlijke klantengegevens van het bedrijf | Ook bij zijn nieuwe werkgever deed hij dezelfde overtredingen | Link |
| 19/07/2019 | Life at Parliament View Ltd | £80.000 | 18.000 klantendossiers raadpleegbaar van een real estate bedrijf | Onvoldoende securitymaatregelen en geen monitoring op foutieve configuratie systemen | Link |
| 02/12/2019 | “A former Social Services Support Officer” | £780 | Inkijken van 4 Social care dossiers van connecties | Link | |
| 05/12/2019 | “A former Reablement Officer” | £859 | Inkijken van 16 Social care dossiers van connecties | Link | |
| 20/12/2019 | Apotheek Doorstep Dispensaree Ltd | £275k | 500.000 documenten bewaard niet afgesloten in kisten in de tuin | Medische data = gevoelige data dus daarom zo een strenge straf | Link |
| 09/01/2020 | DSG Retail Limited (DSG) | £500k | 9 maanden lang was er malware op kassasystemen geïnstalleerd dat alle betalingsgegevens stal | Geen security testing, slecht patchmanagement, geen lokale firwalls,… | Link |
| 15/01/2020 | privé persoon | £900 | Doorsturen persoonsgegevens als sociaal werker | Het ging over minderjarigen. | Link |
| 04/03/2020 | Cathay Pacific Airways Limited | £500k | Tussen 2014 en 2018 zijn er van 9 miljoen klanten de creditcards onderschept | “back-up files that were not password protected; unpatched internet-facing servers; use of operating systems that were no longer supported by the developer and inadequate anti-virus protection” | Link |
| 02/07/2020 | Decision Technologies Limited | £90k | Versturen van spam mails als prijsvergelijker | Het ging hierbij over 14 miljoen mails zonder de juiste consent | Link |
| 24/09/2020 | Digital Growth Experts Limited | £90k | Versturen van 16k sms berichten zonder juiste consent | Dit in het midden van de corona uitbraak voor handgelproducten | Link |
| 08/10/2020 | Studios MG Ltd | £40k | Versturen van 9k spammails zonder juiste consent | Dit in het midden van de corona uitbraak voor het verkopen van mondmaskers (waarmee snelle winst wilde mee gemaakt worden) | Link |
| 13/11/2020 | Ticketmaster | £1,25 million | Boete voor databreach op hun website | Door het hacken van een 3th party chatbot weren creditcard gestolen op de betalingspagina | Link |
| 04/12/2020 | OSL Financial Consultancy Limited | £50k | Boete voor het versturen van 174.342 spam sms’en | In het oog gekomen bij de IOC door onderzoeken naar welke bedrijven COVID19 gingen misbruiken. | Link |
| 18/05/2021 | Tested.me Ltd | £8k | Bedrijf met digital QR codes voor contact tracing in horeca bedrijven | Maar deze gegevens werden ook gebruikt voor marketing doeleinden. | Link |
| 20/05/2021 | American Express Services Europe Limited (Amex) | £90k | Versturen van 4 miljoen marketing emails waarbij geen rekening werd gehouden met opt-outs. | Na onderzoek bleken 4 miljoen van de 50 miljoen verstuurde servicemails marketingmails. | Link |
| 03/06/2021 | Conservatieve partij | £10k | Versturen van marketing emails waarbij geen rekening werd gehouden met opt-outs. | Na onderzoek was het niet duidelijk waar wel consent voor was, maar van 51 mails van de klagers was er zekerheid dat er geen consent was. | Link |
| 15/06/2021 | Papa John Pizza keten | £10k | De pizzaketen gebruikte de “soft optin” reden om marketing berichten (email en sms) naar hun klanten te sturen. | Het was echter moeilijk om een opt out te doen en het ging over een zeer groot aantal berichten. | Link |
| 08/07/2021 | Transgender charity Mermaids | £25k | Onderzoek na datalekmelding over intern emaildistrubtielijst die ook online vindbaar was. | Uit het onderzoek bleek een te kleine focus op informatieveiligheid en dit gerelateerd tot de zeer gevoelige natuur van de gegevens. | Link |
GDPR boetes en rechtszaken in Duitsland
Data Protection autoriteit: Voor privebedrijven zijn de 16 verschillende DPA’s op staatniveau bevoegd.
Momenteel nog geen goede manier gevonden om eenvoudig die 16 DPA’s op te volgen…
In oktober 2019 heeft de Duitse DPA guidelines gepubliceerd over hoe boetes te gaan berekenen bij overtredingen. Natuurlijk heeft er een DPO hier nu een online calculator mee gemaakt.
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 21/11/2018 | Knuddles.de | 20k EUR | databreach door hack | Databreach van 1.8 miljoen usernames en paswoorden (in plain text) | Link |
| 05/02/2019 | privé persoon | 2.5k EUR | Versturen van foutieve mails | Deze privé persoon heeft verschillende mails verstuurd met honderden emailadressen in het to-veld ipv. bcc-veld. | Link |
| 03/2019 | Bank N26 | 50k EUR | Aanleggen van blacklist | N26 had een blacklist met ex-klanten, maar deze was niet op de juiste manier samengesteld | Link |
| 09/05/2019 | politie officier | 1.4k EUR | misbruik van toegang | De politie officier gebruikte zijn toegangen om gegevens op te zoeken van een betrokkenen in een ongeval. | Link |
| 19/09/2019 | Delivery Hero | 195k EUR | recht op inzage en bewaringstermijn | Er werd data van ex-gebruikers blijvend bewaard en gebruikt voor marketingdoeleinden. | Link |
| 05/11/2019 | Deutsche Wohnen SE | 14 miljoen EUR | archiefsysteem waar geen personen uit verwijderd kunnen worden | het bedrijf gaat tegen deze boete in beroep | Link |
| 3/12/2019 | Ziekenhuis | 105k EUR | Door foutieve facturatie van patient kwamen gebreken aan het licht rond werking met persoonsgegevens | Ze hebben een lichtere straf gekregen door de goede medewerking | Link |
| 9/12/2019 | Telecom provider 1&1 | 9.55 miljoen EUR | Via de helpdesk kon je met een naam en geboortedatum de gegevens van andere klanten opvragen | Ze hebben een lichtere straf gekregen door de goede medewerking | Link |
| 9/12/2019 | Rapidata | 10k EUR | Ontbreken van aanstelling DPO | Herhaaldelijk is hierop aangedrongen | Link |
| 13/02/2020 | Facebook Germany | 52k EUR | Ontbreken van aanstelling DPO | Na een vervanging was de aanstelling van een nieuwe DPO niet goed door gecommuniceerd. | Link |
| 1/10/2020 | H&M | 35,3 miljoen EUR | Ongeoorloofd bijhouden van privé details van werknemers (gezinsleven, geloof,…) | “H&M takes full responsibility and wishes to make an unreserved apology to the employees at the service center in Nuremberg.” | Link |
| 18/01/2021 | NBB (notebooksbilliger.de) | 10,4 miljoen EUR | Boete voor videosurveillance van eigen werknemers afgelopen 2 jaar | Overal was er video surveillance, waarbij de beelden 60 dagen werden bijgehouden. In de verdediging werd aangehaald dat er geen fysieke inspectie gebeurde. | Link |
| 25/03/2021 | bedrijf | 5000 EUR schadevergoeding | Gebruik van een foto van werknemer (in de context van haar etnische achtergrond) in een brochure. | Werknemer had de schriftelijke toestemming voor gebruik van de foto niet ondertekend en was ook niet ingelicht van context van gebruik van de foto’s. Let op dat gebruik van toestemming als verwerkingsgrond tussen werknemer en werkgever altijd riskant is. | Link |
GDPR boetes en rechtszaken in Polen
Ook de Poolse DPA UODO is in actie geschoten.
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 15/03/2019 | Bisnode | 220k EUR | Inbreuk op article 14 volgens UODO (Right to be informed) | Het gaat hierbij om data-scraping van 6 miljoen personen waar ze geen emailadres van hebben | Link |
| 16/05/2019 | Lower Silesian Football Association | 13k EUR | Deze voetbalbond publiceerde alle persoonlijke data van 585 scheidsrechters (inclusief nationaal nummer) | Er was zelf een databreach uitgevoerd na ontdekking van de publicatie van deze gegevens (10/2015 – 07/2018) | Link |
| 04/11/2019 | Stadhuis Aleksandrów Kujawski | 9.3k EUR | de eerste boete in Polen voor een overheidsinstatie | Het niet afsluiten van een DPA met het bedrijf dat het extranet beheert. Video’s van de gemeenteraad stonden enkel op youtube en er was nergens een backup hiervan. | Link |
| 06/11/2019 | ClickQuickNow Sp. z o.o. | 47k EUR | Uitschrijven zou even gemakkelijk moeten zijn als inschrijven. | Binnen de 14 dagen moet het bedrijf de processen om toestemming in te trekken eenvoudiger maken | Link |
| 05/03/2020 | Primary School No. 2 in Gdansk | 4,4k EUR | Vingerprintscanner voor betaling in de kantine door 680 leerlingen | Leerlingen zonder vingerafdruk dienden tot het laatste te wachten | Link |
| 03/04/2020 | Vis Consulting Sp. z o.o. | 4,4k EUR | onmogelijkheid voor inspectie door DPA | De DPA wilde een inspectie doen, maar trof niemand aan en kreeg ook geen toegang tot de kantoren. | Link |
| 11/09/2020 | Warsaw University of Life Sciences (SGGW) | 11k EUR | Boete na aantreffen databreach | De gegevens van studenten werden aangetroffen op een gestolen privé laptop van een werknemer. | Link |
| 13/01/2021 | WARTA S.A. Insurance and Reinsurance Company | 20k EUR | Boete na databreach door foutieve mail van werknemer met verzekeringsinformatie | De organisatie is in gebreke gesteld voor betere voorlichting en interne processen. | Link |
| 13/01/2021 | Virgin Mobile Polska | 460k EUR | Boete na inspectie nadat een databreach aan het licht was gekomen door een hack. | De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. | Link |
| 13/01/2021 | ID Finance Poland | 250k EUR | Boete na inspectie nadat een databreach aan het licht was gekomen door een hack (wegens een lek dat al dagen eerder was aangegeven). | De organisatie is in gebreke gesteld wegens niet genoeg technische maatregelen om dit te voorkomen. | Link |
GDPR boetes en rechtszaken in Portugal
Voor de volledigheid ook de boetes gerelateerd aan GDPR uit Portugal.
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 17/07/2018 | Centro Hospitalar Barreiro Montijo | 400k EUR | werknemers gebruikte valse profielen om zo meer gegevens te kunnen zien | Het onderzoek was van voor het GDPR-tijdperk, maar toch zijn de GDPR regels gebruikt voor het bepalen van de boetes | Link |
GDPR boetes en rechtszaken in Italië
Ook de Italiaanse DPA Garante is in actie getreden.
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 07/12/2018 | 10 miljoen EUR | boete rond misleidende sign-in methodes | “Misleading users in the sign-up process about the extent to which the data they provide would be used for commercial purposes.” | Link | |
| 17/04/2019 | Rousseau association | 50k EUR | Platform met websites van politieke partij Movimento 5 Stelle | Opvallend is dat hier de processor de boete kreeg voor niet voldoende securitymaatregelen | Link |
| 28/06/2019 | 1 miljoen EUR | boete naar aanleiding van het Cambridge Analytica schandaal | 57 Italianen gebruikte die bepaalde quiz, waardoor de data van 214.000 Italianen uit Facebook werd gehaald. | Link | |
| 17/01/2020 | Eni Gas en Luce (Egl) | 11,5 miljoen EUR | 8,5 miljoen EUR boete voor onwettige telesales (na vele klachten) | 3 miljoen EUR boete na 7000 klachten over onwettige en geforceerde aansluitingen voor een nieuw contract via onderaannemers en affiliates | Link |
| 01/02/2020 | Telecombedrijf TIM | 27,8 miljoen EUR | Verschillende fouten in marketingactiviteiten (verkrijgen toestemming, callcenter telefoontjes,…) | Naast de boete kregen ze een hele lijst met maatregelen voor de toekomst opgelegd. | Link |
| 19/11/2020 | Vodafone | 12,5 miljoen EUR | Na honderden klachten van burgers over spamtelefoontjes. | daarnaast werden fake telefoonnummers gebruikt om de telecalls te maskeren. | Link |
| 10/06/2021 | Tandarts | 20k EUR | Tandarts liet nieuwe patiënten een volledige medische vragenlijst invullen en weigerde patiënten die ooit een HIV infecties hadden opgelopen. | Deze data verzamelen heeft niets te maken met de activiteiten van een tandartspraktijk. | Link |
GDPR boetes en rechtszaken in Spanje
Ook de Spanje DPA AEPD is in actie getreden. Deze uitspraak uit Spanje link ik hier nog eens, over de uitspraak rond fake camera’s die naar de tuin van de buren zijn gericht.
18/05/2021EPD Energía, S.A.U.1.5 miljoen EUREnerzijds te weinig controle op wie een contract afsluit voor iemand anders, of de consent hiervoor wel aanwezig is van die andere persoon.Daarnaast te weinig transparantie bij het afsluiten van een contract (vooral via telefoon) naar welke informatie wordt verwerkt en onder welke verwerkingsgrond.Link
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 11/06/2019 | LaLiga | 250k EUR | LaLiga gebruikte hun app in de strijd tegen piraten tv-streams | Dit door zonder consent gebruikers van de app te gaan afluisteren via fingerprinting om te kijken welke stream ze bekeken | Link |
| 09/07/2019 | Avon Cosmetics | 60k EUR | Na klacht door consument | Te weinig validatie door bedrijf over de identiteit van de gegevens, die door een scammer waren misbruikt | Link |
| 1/10/2019 | Vueling Airlines | 30k EUR | cookies | Bezoekers hebben geen mogelijkheid om cookies te weigeren bij een bezoek aan de website. | Link |
| 16/10/2019 | Iberdrola Clientes | 8k EUR | weigering meewerken met DPA | Elektriciteitsmaatschappij antwoordde niet op vragen van Spaanse DPA | Link |
| 16/10/2019 | Xfera Moviles S.A. | 60k EUR | Bijhouden gegevens | Foutieve afsluiting van telefooncontracten + bijhouden van gegevens, nadat consument verwijdering had gevraagd. | Link |
| 3/3/2020 | 30k EUR | Niet genoeg transparantie rond het gebruik van cookies | Te beperkte cookie policy en het ontbreken van een correcte cookiewall. | Link | |
| 09/06/2020 | Iberdrola | 4k EUR | Na een klacht werd een vraag voor informatie uitgestuurd, waarop geen antwoord kwam. | Link | |
| 25/11/2020 | Telefónica Móviles España | 75k EUR | Na een klacht van burger. | De burger ontving onterecht facturen van een andere klant | Link |
| 14/01/2021 | Financiële groep La Caixa | 6 miljoen EUR | Na een klacht van burger van 2018 en een consumentenorganisatie in 2019. | Onduidelijke privacy policies en een te ruim gebruik van legitimate interest. | Link |
| 31/03/2021 | Vodafone Spanje | 8 miljoen EUR | Versturen van SMS/mails naar mensen zonder optin, datatransfer naar Peru en tijdens inspectie vastgesteld dat er niet genoeg technische maatregelen werden genomen. | Omwille van de Spaanse Telecomwetgeving kregen ze ook nog 2 extra boetes van 2 miljoen EUR en 150.000 EUR. | Link |
| 26/06/2021 | Twitter gebruiker | 6k EUR | Wegens verspreiding van een video rond geweld tegen vrouwen, maar waarbij de slachtoffers herkenbaar in beeld waren. | Dezelfde video werd ook door Spaanse media getoond, maar hierbij werden de gezichten wel onherkenbaar gemaakt. | Link |
| 17/06/2021 | Particulier | 1.5k EUR | Na het stopzetten van een relatie van 7 jaar publiceerde de burger sexuele details en foto’s en de tegenpartij op een website. | Pikant detail was het opduiken van een BDSM contract tussen beide partijen, waarbij slachtoffer ook toestemming gaf tot verspreiding van de beelden in hun master-slave relatie. | Link |
| 06/07/2021 | Bankia/Caixabank | 50k EUR | Versturen van commerciële marketing op een enveloppe waarin de documenten voor een recht tot inzage zaten. | Link |
GDPR boetes en rechtszaken in Roemeense
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 27/06/2019 | Unicredit Bank | 130k EUR | Article 25 boete (data protection by design en by default) | Ontvangers van een betaling zagen ook het nationaal ID nummer van de betaler | Link |
| 02/07/2019 | WTC Bucharest hotel | 15k EUR | Naar aanleiding van eigen datalekmelding | De ontbijtlijst met 46 hotelgasten werd door een externe gefotografeerd en verspreid | Link |
| 05/07/2019 | Avocatoo.ro | 3k EUR | Website met GDPR en DPO templates voor bedrijven | Ironisch genoeg kon je de persoonlijke gegevens van klanten en transacties publiekelijk vinden op de website door securityproblemen | Link |
| 31/07/2019 | Uttis Industries | 2.5k EUR | Na klacht in maart 2019 | Het bedrijf had securitycamera’s, zonder de nodige privacymaatregelen | Link |
| 10/10/2019 | Raiffeisen Bank | 150k EUR | Gebruik van whatsapp door werknemers voor doorsturen klantendata | In totaal 1100 slachtoffers en de communicatie was met een externe partij | Link |
GDPR boetes en rechtszaken in Denemarken
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 3/06/2019 | IDdesign | 200k EUR | van 385k klanten was er geen procedure voor het verwijderen van data die niet meer nodig is | Dit na een inspectie in het najaar van 2018 | Link |
| 10/03/2020 | Steden Gladsaxe en Hørsholm | 14k + 7k EUR | Datalek: In beide cases werd een laptop gestolen met niet encrypted harde schijf | Beide datalekken waren op de juiste manier aangegeven. | Link |
| 15/05/2020 | recruitment company JobTeam | 6.7k EUR | Verwijderen van persoonsgegevens tijdens een aanvraag voor recht tot inzage | Voordat een antwoord werd verstuurd naar de aanvrager rond zijn recht tot inzage, werden zijn persoonsgegevens reeds verwijderd. | Link |
GDPR boetes en rechtszaken in Hongarije
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 23/05/2019 | Organisator Sziget/Balaton… festivals | 92k EUR | Voor deze festivals worden alle persoonlijke data gematched met de RFID chip van de bracelet | De Hongaarse DPA ging niet mee in het hele verhaal rond inzetten van legitimate interest hiervoor | Link |
GDPR boetes en rechtszaken in Griekenland
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 30/07/2019 | PWC Business Solutions | 150k EUR | PWC liet zijn werknemers consent gegeven voor de verwerking van hun gegevens | De verwerkingsgrond is echter geen consent, maar is de uitvoering van het werknemerscontract en dus geen consent | Link |
| 14/01/2020 | PWC Business Solutions | 15k EUR | Een inspectie na klacht over inkijken van mails van een ontslagen werknemer toonde geen inbreuken aan | Tijdens de inspectie werd echter wel een videocamera systeem ontdekt, dat niet was aangegeven | Link |
GDPR boetes en rechtszaken in Oostenrijk
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 16/08/2019 | Österreichische Post AG | 800 EUR | schadevergoeding voor advocaat die ontdekte dat de Post zijn (waarschijnlijke) politieke voorkeur bijhield en verkocht | Dit was een individuele schadevergoeding, maar er zijn 2,2 miljoen burgers betrokken, dus potentieel duur verhaal voor de post | Link |
| 28/10/2019 | Österreichische Post AG | 18 miljoen EUR | Na de uitgesproken schadevergoeding nu ook een boete. | De post bleek al jaren profileringsgegevens van burgers te verkopen. | Link |
GDPR boetes en rechtszaken in Zweden
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 22/08/2019 | een school in Skellefteå | 20k EUR | Gebruik van gezichtsherkenning in de school | Geen DPIA en ook geen correcte verwerkingsgrond | Link |
| 18/12/2019 | Mrkoll.se | 35k EUR | Deze website publiceert publiek data van alle Zweden boven 16 jaar | Naast publieke data publiceerden ze ook creditchecks en data over wanbetalingen | Link |
| 11/03/2020 | 7 miljoen EUR | In 2017 vroeg de Zweedse DPA aan Google om bepaalde zoekresultaten te verwijderen | In 2018 bleek dat Google dit niet had uitgevoerd | Link | |
| 30/04/2020 | National Government Service Centre | 18.000 EUR | Niet melden van een datalek | Inspectie na klachten over problemen met het IT systeem voor de loonadministratie van werknemers | Link |
| 13/05/2020 | Healthcare Committee in Region Örebro County | 11.000 EUR | Foutieve publicatie van persoon die in psychiatrische instelling werd opgenomen. | Geen duidelijke documentatie voorzien voor publicaties op de website | Link |
| 7/12/2020 | 7 ziektezorg organisaties | boetes tussen 250k EUR – 3 miljoen EUR | Onderzoek bij 8 “health care organisaties”, waarna er 7 een boete kregen wegens niet genoeg doen om de gevoelige gegevens te beschermen. | Het niet hebben van een risicoanalyse (needs’ and risk analyses) was het grootste probleem. | Link |
| 11/12/2020 | Universiteit Umeå University | 55.000 EUR | Een research groep naar verkrachtingen bewaarde de ingescande politieverslagen in de cloud van AWS in de US. | Daarnaast vroegeer ze extra info bij de politie met 1 van de gevoelige verslagen als bijlage in een email. | Link |
| 17/12/2020 | Housing company Uppsalahem | 30.000 EUR | Na onregelmatigheden in het gebouw, plaatste de gebouweigenaar 2 camera’s in de gang en traphal. | Deze toonden ook de voordeur van de 2 klagers, die dit een inbreuk op hun privacy vonden. | Link |
GDPR boetes en rechtszaken in Noorwegen
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 1/10/2019 | Stad Oslo | 120k EUR | De centrale ‘Skolemelding’ mobile app wordt gebruikt voor communicatie tussen scholen, leerlingen en ouders en bleek securitygaten te bevatten. | De eerste boete van 200k EUR is naar beneden gebracht door het snelle ingrijpen om de impact van de problemen te beperken. | Link |
| 18/12/2019 | Stad Oslo | 49k EUR | In 11/2018 hadden ze zelf een databreach aangegeven rond hoe gegevens rond geboortes werden bijgehouden in gezondheidscentrums | Alle werknemers hadden volledige toegang (zonder logging) tot alle gezondheidsgegevens | Link |
| 17/09/2020 | Norwegian Public Roads Administration | 37,4k EUR | Het gebruiken van beelden van wegcamera’s voor het monitoren van contractors en hun medewerkers tijdens wegenwerken | Het gebruik van deze beelden voor deze doeleinden gaat tegen het oorspronkelijke doel van deze wegcamera’s. | Link |
| 26/10/2020 | Odin Flissenter AS (Tile distributor) | 14k EUR | Bedrijf had onterechte credit check van een eenmanszaak gedaan (wat als persoonsgegeven wordt gezien) | Verlaagd boetebedrag wegens covid19 impact op bedrijf momenteel. | Link |
| 25/11/2020 | Østfold HF Hospital | 71k EUR | Na datalekmelding door het hospital zelf | Medische documenten werden bewaard in folders zonder strenge accesscontroles. | Link |
| 26/01/2021 | Datingapp Grindr | mogelijk tot 10 miljoen EUR | Teveel gevoelige data werd gedeeld met 3de partijen (IP address, advertising ID, GPS location, age and gender,…) | Uitspraak volgt in 2de helft februari | Link |
| 03/02/2021 | Cyberbook AS | 19k EUR | Automatische forward rule van mailbox van ex-werknemer | Link | |
| 02/03/2021 | Bedrijf | 24k EUR | Automatische forward rule van mailbox van ex-werknemer | Link | |
| 24/03/2021 | Ålesund municipality | 5k EUR | Op 2 scholen werden leerlingen gevraagd verplicht Strava te gebruiken, zonder dat er een DPIA is uitgevoerd. | Link | |
| 25/03/2021 | Dragefossen AS | 15k EUR | Publieke webcamstreaming, die ook 12uur terugspeolbaar was. | Link | |
| 09/04/2021 | Miljø- og Kvalitetsledelse AS | 3.5k EUR | Beelden van vandalisme bij een carwash werden naar de werkgever van de vermoedelijke dader verstuurd. | Link | |
| 09/04/2021 | Asker municipality | 97k EUR | Interne documenten waren publieklijk vindbaar. De documenten waren afgeschermd, maar de titels van de documenten gaven persoonsgegevens vrij. | Link | |
| 21/04/2021 | Basaren Drift AS | 19k EUR | Te verregaande camerabewaking in het restaurant van gasten en werknemers. | Link | |
| 11/05/2021 | Norwegian Sports Confederation | 121k EUR | Datalek met persoonsgegevens van 3.2 miljoen burgers bij het testen van een cloud oplossing. | Link | |
| 27/05/2021 | Innovation Norway | 97k EUR | Credit checks zonder wettelijke verwerkingsgrond. | Link | |
| 11/06/2021 | BRAbank ASA | 38k EUR | Datalek bij lancering van nieuwe bankportal waarmee klanten andere klanten hun gegevens zagen. | Link | |
| 11/06/2021 | bedrijf | 15k EUR | Ex-werknemer ontdekte dat zijn vroegere manager het paswoord van zijn emailbox veranderde en 6 weken lang de mailbox zelf dagelijks opvolgde. | Link | |
| 24/06/2021 | Moss municipality | 48k EUR | Systemen met gezondsheidsdata hadden problemen met betrekking tot toegang, juistheid van gegevens en toegang tot de gegevens. | Link |
GDPR boetes en rechtszaken in Cyprus
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 25/10/2019 | LGS Handling Ltd, Louis Travel Ltd en Louis Aviation Ltd | 82k EUR (in totaal) | Boete voor gebruik van een “Bradford Factor” tool voor het scoren van de ziektedagen van werknemers na een klacht door een vakbond. | Er was een DPIA uitgevoerd, maar deze is van tafel geveegd over het legitiem belang van deze tool. | Link |
GDPR boetes en rechtszaken in IJsland
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 05/03/2020 | National Center of Addiction Medicine | 20,6k EUR | Datalek: Een ex-werknemer kreeg een doos opgestuurd met persoonlijke spullen, maar daarin zaten ook patientengegevens. | Daar deze NGO afkickcentra in beheer heeft, zijn dit zeer gevoelige gegevens. | Link |
| 05/03/2020 | Breiðholt Upper Secondary School | 8,9k EUR | Datalek: Een leerkracht verstuurde een foutieve mail. | Naar 57 leerlingen en hun ouders werden de persoonlijke studiegegevens van 18 andere leerlingen verstuurd. | Link |
| 29/06/2021 | Ijssalon concern met enkele vestigingen | 34k EUR | Klacht van minderjarige werknemer dat er camerabewaking was tot in de omkleedruimte. | Geen notificatie naar werknemers of klanten hiervan. | Link |
GDPR boetes en rechtszaken in Finland
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 25/09/2020 | Acc Consulting Varsinais-Suomi | 7k EUR | Versturen van marketing mails en sms berichten zonder de juiste consent. | Dat het bedrijf ook niet antwoordde op data subject request van klagers maakt het zwaarder. | Link |
GDPR boetes en rechtszaken in Ierland
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 15/12/2020 | 450k EUR | Niet melden van datalek in januari 2019. | De mogelijkheid om private tweets toch publiek te zien werd ontdekt in januari 2019, maar niet op tijd aangegeven in Ierland. | Link |
GDPR boetes en rechtszaken in Litouwen
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 29/03/2021 | App “Karantinas” (Quarantine) | 15k EUR | Boetes voor de National Public Health Centre (NPHC) en de developer van de app UAB “IT sprendimai sėkmei”. | Onduidelijke structuur van joint controller, datatransfers buiten EU en te weinig maatregelen voor zulke gevoelige data. | Link |
| 29/03/2021 | State Enterprise Centre of Registers | 15k EUR | Boete voor deze processor voor niet genoeg technische en organisatorische maatregelen om een onbeschikbaarheid van alle data te voorkomen en alles op te lossen na een technische probleem. | ALngere boete gekregen omdat ze ook afhankelijk zijn van medewerking van de controllers (zoals Ministry of Health of the Republic of Lithuania). | Link |
San marino die dwergstaat die we enkel kennen van olijke voetbalmatchen is geen lid van de EU, maar is wel strijdvaardig geworden.
GDPR boetes en rechtszaken in San Marino
| DATUM | BEDRIJF | BEDRAG | WAAROM? | COMMENTAAR | LINK |
|---|---|---|---|---|---|
| 06/07/2021 | 4 miljoen EUR | Te weinig veiligheidsmaatregelen tegen het scrapen van accounts wat in 2018/2019 is voorgevallen. | Link | ||
| 06/07/2021 | 1 miljoen EUR | Te lichte implementatie van leeftijdschecks van minderjarigen om hen beter te kunnen beschermen. | Link |
Geef een reactie