In januari van dit jaar kreeg een creditcardbedrijf een boete van €150.000,- opgelegd door de Autoriteit Persoonsgegevens (hierna: ‘de AP’). De reden? Ze gebruikten op grote schaal persoonsgegevens van klanten zonder voorafgaand een wettelijk verplichte Data Protection Impact Assessment (hierna ‘DPIA’) uit te voeren.