Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > GDPR na tien jaar: het AI-tijdperk zal de kracht van de regels op de proef stellen
GDPR na tien jaar: het AI-tijdperk zal de kracht van de regels op de proef stellen

GDPR na tien jaar: het AI-tijdperk zal de kracht van de regels op de proef stellen

by Danielle Barbour updated mei 26, 2026 AVG-naleving
Reading Time: 9 minutes

5 Belangrijkste Inzichten

  1. Het eerste decennium van de GDPR was het decennium van data in rust. Inventarissen, RoPA’s, meldingen van datalekken, DPIA‘s. Het komende decennium draait om data in beweging — prompts, trainingscorpora, modelgewichten, agent-acties.
  2. Handhaving in Q1 2026 was al streng voordat de AI-zaken begonnen. Boetes van in totaal €68,18 miljoen in de eerste drie maanden van het jaar, met Frankrijk en het VK aan kop. De trend is stijgend, niet vlak.
  3. Free Mobile is het waarschuwingsschot. Een CNIL-boete van €27 miljoen in januari 2026 voor zwakke VPN-authenticatie, gemiste anomaliedetectie en te lange bewaartermijn van voormalige abonneedata. Operationele fouten, geen beleidsfouten.
  4. De EDPB heeft het AI-probleem al benoemd. AI-modellen die getraind zijn op persoonsgegevens kunnen niet in alle gevallen als anoniem worden beschouwd. Die ene zin verlegt de bewijslast voor elk model dat EU-data verwerkt.
  5. Het architecturale antwoord ligt op het dataniveau. Contracten en beleid kunnen soevereiniteit, bewaartermijnen of AI-verwerkingslimieten niet afdwingen. Alleen architectuur kan dat — en alleen architectuur zal standhouden onder het komende decennium van handhaving.

Het Jubileum Dat Nog Niemand Zou Moeten Vieren

Dit jaar is het tien jaar geleden dat de Europese Unie de Algemene Verordening Gegevensbescherming heeft aangenomen. Sinds 25 mei 2018 is deze in de hele EU afdwingbaar en sindsdien heeft de wet elk privacyprogramma op het continent en de meeste daarbuiten hervormd. Volgens rapportage in CSO Online is de consensus dubbelzinnig — de verordening heeft de regels gestandaardiseerd, het niveau van gegevensbescherming verhoogd en een wereldwijd sjabloon geëxporteerd, maar heeft nog niet het betekenisvolle individuele controle over persoonsgegevens opgeleverd dat de opstellers beloofden.

Het lastigere probleem is dat de wereld waarvoor de GDPR is geschreven, niet meer bestaat. De opstellers in 2016 dachten aan cookiebanners, trackers van derden en consumentenprofilering. Ze dachten niet aan retrieval-augmented generation, autonome AI-agenten, foundation models getraind op het open web en prompts die drie rechtsbevoegdheden doorkruisen voordat ze een antwoord geven.

De komende tien jaar van GDPR-handhaving zullen worden bepaald door hoe toezichthouders een raamwerk uit 2016 toepassen op technologie uit 2026. De eerste signalen zijn niet bemoedigend voor organisaties die privacy-naleving als een documentatieoefening hebben behandeld.

Q1 2026 Laat Nu Al Zien Waar De Handhaving Heengaat

De eerste drie maanden van 2026 leverden €68,18 miljoen aan cumulatieve GDPR-boetes op, volgens gegevens verzameld door financieel platform Finbold. Frankrijk en het Verenigd Koninkrijk stonden bovenaan de handhavingstabel. Dat komt neer op ongeveer €757.600 per dag in het eerste kwartaal alleen.

De belangrijkste actie vond plaats op 13 januari 2026, toen de Franse CNIL een gecombineerde boete van €42 miljoen oplegde aan Free Mobile (€27 miljoen) en moederbedrijf Free SAS (€15 miljoen) voor het datalek van oktober 2024 waarbij persoonsgegevens uit 24 miljoen abonneescontracten werden blootgesteld, waaronder IBANs. CNIL identificeerde drie afzonderlijke GDPR-overtredingen: zwakke VPN-authenticatie en onvoldoende anomaliedetectie (Artikel 32), onvolledige melding van het datalek (Artikel 34), en te lange bewaartermijn van voormalige abonneedata (Artikel 5(1)(e)).

De beslissing over Free Mobile is leerzaam omdat de overtredingen niet exotisch waren. Het bedrijf had een VPN met onvoldoende authenticatie, beveiligingstelemetrie die een actief datalek niet opmerkte, en een bewaarbeleid waardoor meer dan 15 miljoen beëindigde contracten van meer dan vijf jaar oud nog in productiesystemen stonden — waaronder 3 miljoen die al meer dan tien jaar geleden waren beëindigd. Geen van deze fouten vereiste nieuw onderzoek naar aanvalstechnieken om ze te identificeren. Het waren operationele hygiëneproblemen die resulteerden in een boete van €27 miljoen.

Dat is het handhavingsbeleid dat organisaties de komende tien jaar mogen verwachten. CNIL beboette het bedrijf niet omdat er een vinkje ontbrak op een beleidsdocument. Ze kregen een boete voor het gat tussen wat het beleid zei en wat de architectuur daadwerkelijk deed.

De EDPB Heeft De AI-Vraag Al Herijkt

Terwijl CNIL werkte aan de zaak Free Mobile, beantwoordde de European Data Protection Board de vraag die het tweede decennium van de GDPR zal bepalen. Op 17 december 2024 nam de EDPB Advies 28/2024 over AI-modellen en persoonsgegevens aan, op verzoek van de Ierse Data Protection Commission.

De belangrijkste bevinding uit het advies is één zin: AI-modellen die getraind zijn met persoonsgegevens kunnen niet in alle gevallen als anoniem worden beschouwd. Dat is een directe afwijzing van de handige aanname dat een getraind model wiskundig gescheiden is van zijn trainingsdata. De EDPB stelt dat anonimiteit per geval moet worden beoordeeld, waarbij zowel directe als probabilistische extractierisico’s geëvalueerd moeten worden, en met een hoge bewijslast bij de verwerkingsverantwoordelijke.

Het gevolg hiervan is structureel. Als een model getraind op EU-persoonsgegevens niet automatisch anoniem is, dan verwerkt elke verwerkingsverantwoordelijke die dat model inzet persoonsgegevens onder de GDPR. Dat activeert de principes van Artikel 5, de wettelijke grondslagen van Artikel 6, de eisen voor gegevensbescherming door ontwerp uit Artikel 25, de beveiligingsverplichtingen van Artikel 32 en de DPIA-vereisten van Artikel 35 — voor het model zelf en voor elk gebruik ervan stroomafwaarts.

Voor organisaties die hun AI-strategie hebben gebouwd op de aanname dat modeluitvoer niet gereguleerd is, heeft de EDPB zojuist de reikwijdte van de regelgeving uitgebreid naar waar het model ook gaat. Die reikwijdte is niet optioneel. Het is het minimum.

Waarom Privacyprogramma’s Uit 2018 Het Volgende Decennium Niet Dragen

De privacyprogramma’s die in 2018 zijn opgezet om aan de GDPR te voldoen, waren ontworpen voor een wereld waarin persoonsgegevens in databases stonden, via gedocumenteerde verwerkingsstromen werden verwerkt en werden beschermd door toegangscontroles op systemen. Inventarissen, registers van verwerkingsactiviteiten, data protection impact assessments, procedures voor melding van datalekken — de hele toolkit voor naleving ging ervan uit dat persoonsgegevens een bekende locatie, een bekend doel en een bekende groep gebruikers hadden.

Die aanname is verdwenen. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report toont aan dat slechts 36% van de organisaties inzicht heeft in hoe partners data in AI-systemen verwerken, en 30% noemt het beheer door externe AI-leveranciers als topbeveiligingszorg. Slechts 43% heeft een gecentraliseerde AI Data Gateway — wat betekent dat 57% agentische AI draait via gefragmenteerde, ad-hoc of gedeeltelijke controles.

Hetzelfde patroon is zichtbaar in de soevereiniteitsdata. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe laat zien dat 32% van de Europese respondenten het afgelopen jaar een incident met betrekking tot soevereiniteit heeft meegemaakt en 44% zorgen over garanties van aanbieders omtrent soevereiniteit noemt als belemmering voor het adopteren van Europese cloudoplossingen — het hoogste percentage van alle onderzochte regio’s. De bewustwording in Europa is groot; 80% beschrijft zichzelf als “goed” of “zeer goed” geïnformeerd. Het incidentpercentage bewijst dat bewustwording geen controle is.

Branchegegevens tonen het gat tussen verklaarde naleving en aantoonbare controle. Dat gat is wat het komende decennium van GDPR-handhaving zal dichten — via boetes, auditbevindingen en rechtszaken. Organisaties die het gat al dichten voordat toezichthouders langskomen, zullen geen problemen ondervinden. Organisaties die nog steeds vertrouwen op contracten en beleid niet.

Wat Het AI-Decennium Werkelijk Vraagt

De opstellers van de GDPR hebben de verordening gebouwd rond zes principes in Artikel 5: rechtmatigheid, eerlijkheid, transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; en integriteit en vertrouwelijkheid. Artikel 5(2) voegde een zevende toe — accountability — die vereist dat verwerkingsverantwoordelijken naleving kunnen aantonen, niet alleen beweren.

Elk van deze principes is moeilijker te realiseren wanneer data door een AI-systeem stroomt in plaats van in een database staat. Doelbinding vervalt als een model dat voor één doel is getraind, zonder retraining voor een ander doel wordt ingezet. Dataminimalisatie vervalt als retrieval-augmented generation meer context ophaalt dan de prompt daadwerkelijk nodig heeft. Opslagbeperking vervalt als personal data bij het fine-tunen in modelgewichten wordt ingebed die geen vervaldatum hebben. Accountability vervalt als het model wordt vervangen en de audittrail eraan gekoppeld verdwijnt.

Branchegegevens tonen de operationele realiteit. De meerderheid van de organisaties kan geen doelbinding afdwingen op AI-agenten. De meesten kunnen een afwijkende agent niet snel uitschakelen. De meesten kunnen AI-systemen niet isoleren van bredere netwerktoegang. De meesten kunnen AI-inputs niet valideren. Elk van deze gaten is een toekomstige Artikel 5-bevinding in wording.

Het komende decennium van GDPR-handhaving draait niet om de vraag of organisaties een privacybeleid hebben. Het draait om de vraag of hun architectuur kan aantonen dat het beleid is gehandhaafd. Dat bewijs moet onder het modellayer, onder de promptlaag, onder het agent-framework leven — want elke laag boven de data kan worden geüpdatet, vervangen of gecompromitteerd op manieren die het bewijs wissen.

Het Architecturale Antwoord Is Het Dataniveau

Het architecturale patroon dat het komende decennium van GDPR-handhaving overleeft, is governance op het dataniveau, onafhankelijk van het model en onafhankelijk van de runtime. Elke toegang tot persoonsgegevens wordt geauthenticeerd tegen de menselijke gebruiker namens wie de agent handelt. Elke autorisatiebeslissing wordt geëvalueerd aan de hand van op attributen gebaseerde beleidsregels die rekening houden met classificatie, rechtsbevoegdheid en toestemming. Elke handeling levert een manipulatiebestendige auditlog op die langer meegaat dan het model dat deze heeft gestart.

Dit is het patroon waarop platforms zoals Kiteworks zijn gebouwd. Het Kiteworks Private Data Network consolideert e-mail, bestandsoverdracht, beheerde bestandsoverdracht, SFTP en dataformulieren in één Zero Trust-platform waar elk bestand wordt beheerd, gevolgd en beschermd gedurende de volledige levenscyclus. Gecentraliseerde, onveranderbare auditlogs en geautomatiseerde compliance-rapportages — met vooraf geconfigureerde sjablonen voor GDPR, NIS 2, DORA en andere — leveren het exporteerbare bewijs dat toezichthouders en klanten steeds vaker eisen. De Kiteworks Secure MCP Server en Kiteworks Compliant AI breiden dezelfde governance uit naar AI — waardoor LLM-toepassingen en RAG-pijplijnen toegang krijgen tot bedrijfsdata via OAuth 2.0-authenticatie en de Kiteworks Data Policy Engine, waarbij elke AI-actie wordt gelogd.

Het architecturale argument is niet dat één enkel platform GDPR-naleving oplost. Het is dat de controles die Artikel 5 en Artikel 32 vereisen — aantoonbare doelbinding, aantoonbare dataminimalisatie, aantoonbare beveiliging, aantoonbare accountability — alleen kunnen worden afgedwongen waar de data zich bevindt. Alles daarboven is een beleidsclaim. Daaronder ligt het bewijs dat een toezichthouder overtuigt.

De organisaties die het gat tussen verklaarde naleving en aantoonbare controle dichten, zijn degenen die de volgende auditcyclus doorstaan. De rest wordt het onderwerp van de volgende jubileumcase.

Wat Privacyprogramma’s Moeten Doen Voor Het Volgende Jubileum

  1. Vernieuw allereerst elke RoPA en DPIA om AI-verwerking als volwaardige activiteit op te nemen. Artikel 30 registers van verwerkingsactiviteiten en Artikel 35 data protection impact assessments waren niet ontworpen om trainingscorpora, promptlogs, RAG-retrieval of agent-actieketens vast te leggen. Dat moet nu wel. De reden dat de meeste organisaties geen doelbinding kunnen afdwingen op AI-agenten is dat AI nooit goed is geïnventariseerd als verwerkingsactiviteit.

  2. Voer ten tweede een audit uit op bewaartermijnen in elk systeem dat persoonsgegevens bevat. De zaak Free Mobile liet zien dat opslagbeperking onder Artikel 5(1)(e) nu een primair handhavingsdoel is, geen secundair. Branchegegevens tonen dat organisaties vooral investeren in monitoring van AI in plaats van het daadwerkelijk stoppen — continue monitoring ligt bijna 20 procentpunten hoger dan het invoeren van een kill-switch. De blootstelling door te lange bewaartermijn is niet theoretisch; deze zit in de productiesystemen.

  3. Behandel ten derde EDPB Advies 28/2024 als een verplichte ondergrens. Elke AI-inzet die EU-persoonsgegevens verwerkt, vereist een gedocumenteerde beoordeling of het model als anoniem kan worden beschouwd, hoe de analyse van het gerechtvaardigd belang eruitziet en wat er gebeurt als de onderliggende trainingsdata onrechtmatig blijkt te zijn verwerkt. De meeste organisaties kunnen die documentatie niet direct opleveren omdat ze geen gecentraliseerde AI Data Gateway hebben — de architecturale basis die zulke documentatie mogelijk maakt.

  4. Verplaats ten vierde de handhaving van beleid naar het dataniveau. Identiteitscontroles, runtime-guardrails en systeem-prompts zijn noodzakelijk maar niet voldoende onder het accountability-principe van de GDPR. Autorisatie voor AI-toegang tot persoonsgegevens moet plaatsvinden waar de data zich bevindt, met op attributen gebaseerde controles en manipulatiebestendige audit. Inzicht in hoe partners data in AI-systemen verwerken is een hardnekkig brancheprobleem, en dat gat maakt Artikel 28-processor-naleving onmogelijk aan te tonen bij een grondige audit.

  5. Bereid je ten vijfde voor op strengere controle op grensoverschrijdende overdrachten. AI-leveranciers vergroten dit risico — een prompt naar een cloud-AI-leverancier kan worden verwerkt in een andere rechtsbevoegdheid, gebruikt om modellen elders te fine-tunen of outputs genereren die meerdere grenzen passeren voordat ze terugkeren. De Schrems II-uitspraak heeft de juridische vraag beantwoord; de architectuur moet de operationele vraag oplossen.

Het eerste decennium van de GDPR was een generale repetitie voor de regels. Het komende decennium is de uitvoering.

Veelgestelde Vragen

Richt je op het gat tussen verklaarde naleving en aantoonbare controle. Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report laat zien dat slechts 43% van de organisaties een gecentraliseerde AI Data Gateway heeft — de architecturale basis die auditors steeds vaker verwachten. Vernieuw RoPA’s en DPIA’s om AI-verwerking op te nemen, voer audits uit op bewaartermijnen in lijn met Artikel 5(1)(e) en documenteer de aansluiting op EDPB Advies 28/2024 voor elk model dat EU-persoonsgegevens verwerkt.

Ja. CNIL paste GDPR-artikelen 32, 34 en 5(1)(e) toe op specifieke operationele tekortkomingen — zwakke VPN-authenticatie, gemiste anomaliedetectie, te lange bewaartermijn — die veel voorkomen bij organisaties met een hoofdkantoor in de VS die in de EU actief zijn. Ongeveer één op de drie Europese respondenten heeft het afgelopen jaar een incident met betrekking tot soevereiniteit meegemaakt, waarbij operationele gaten zoals deze tot de meest voorkomende oorzaken behoren. De handhavingsnorm geldt voor elke verwerkingsverantwoordelijke die gegevens van EU-inwoners verwerkt, ongeacht de locatie van het hoofdkantoor.

EDPB Advies 28/2024 stelt dat AI-modellen die getraind zijn met persoonsgegevens niet in alle gevallen als anoniem kunnen worden beschouwd, wat betekent dat elke RAG-inzet die EU-data verwerkt, persoonsgegevens verwerkt onder de GDPR. De meeste organisaties kunnen vandaag geen doelbinding afdwingen op AI-agenten — een controle die GDPR Artikel 5(1)(b) vereist. Documenteer de wettelijke grondslag onder Artikel 6, rond een DPIA af onder Artikel 35 en handhaaf doelbinding op het dataniveau.

Standaard contractuele clausules blijven een geldig overdrachtsmechanisme, maar zijn op zichzelf steeds vaker onvoldoende. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe toont aan dat 44% van de Europese respondenten zorgen over garanties van aanbieders omtrent soevereiniteit noemt als belemmering — het hoogste van alle regio’s. Schrems II vereist aanvullende technische maatregelen naast contracten. Architecturale controles op verwerkingslocatie, sleutelbeheer en toegang maken nu deel uit van een verdedigbare status.

Drie prioriteiten. Inventariseer elke AI-verwerkingsactiviteit als volwaardige vermelding in de RoPA, met gedocumenteerde wettelijke grondslag en aansluiting op EDPB Advies 28/2024. Verplaats de handhaving van beleid naar het dataniveau — de meeste organisaties kunnen vandaag een afwijkende AI-agent niet snel uitschakelen, het soort bewijs van containment waar toezichthouders steeds vaker om vragen. Bereid auditklare bewijspakketten voor Artikel 5, Artikel 32 en Artikel 35-verplichtingen over het gehele AI-landschap voor.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks