L'APD néerlandaise a infligé une amende de 150 000 euros à l'Institut néerlandais d'assurance sociale (SVB). Le responsable du traitement avait été victime d'une violation de données au cours de laquelle les données d'un client avaient été divulguées à des tiers non autorisés. Un tiers inconnu avait réussi à demander des informations sur les prestations via le service d'assistance téléphonique du responsable du traitement. Au cours de son enquête, l'APD a constaté que le responsable du traitement n'avait pas mis en œuvre de mesures techniques et organisationnelles suffisantes pour protéger les données personnelles. Par exemple, l'APD a constaté que le système de vérification de l'identité des appelants était inadéquat et que les questions de vérification étaient trop simples.