Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Trends in GDPR-handhaving: €7,1 miljard aan boetes en stijgend
Trends in GDPR-handhaving: €7,1 miljard aan boetes en stijgend

Trends in GDPR-handhaving: €7,1 miljard aan boetes en stijgend

by Marc ten Eikelder updated maart 25, 2026 AVG-naleving
Reading Time: 10 minutes

Een recente analyse, gepubliceerd op 23 maart 2026, The International Lawyer’s Guide to Data Privacy Laws in 2026, kwantificeert wat compliance-professionals de afgelopen twee jaar al voelden: de handhaving van de GDPR is fundamenteel verschoven van sporadische, nieuwswaardige boetes naar een aanhoudende, grootschalige en waardevolle handhavingsmachine. Het totale boetebedrag overstijgt nu €7,1 miljard. Meer dan 2.800 boetes zijn opgelegd tot halverwege 2025. En de trend is duidelijk — meer dan 60% van dat totaal is sinds januari 2023 opgelegd.

Belangrijkste inzichten

  1. De GDPR-boetes sinds 2018 bedragen nu meer dan €7,1 miljard, waarvan €1,2 miljard aan boetes alleen al in 2025 is opgelegd. Meer dan 60% van de totale boetewaarde is opgelegd sinds januari 2023, volgens de DLA Piper GDPR Fines and Data Breach Survey (januari 2026).
  2. Europese gegevensbeschermingsautoriteiten ontvangen nu 443 meldingen van datalekken per dag — een stijging van 22% op jaarbasis. De CMS GDPR Enforcement Tracker registreert 2.245 gedocumenteerde boetes tot begin 2026, waarbij de handhaving zich veel verder uitstrekt dan alleen Big Tech.
  3. Negentien Amerikaanse staten hebben nu uitgebreide privacywetten van kracht, waarbij Indiana, Kentucky en Rhode Island zich in januari 2026 aansluiten. Californië legde in 2025 zijn hoogste CCPA-boete tot nu toe op en introduceerde nieuwe ADMT- en cybersecurity-auditvereisten, volgens de IAPP US State Privacy Legislation Tracker.
  4. De EU AI-wet wordt volledig gehandhaafd voor high-risk systemen in augustus 2026, waarmee een tweede boetelaag ontstaat die kan oplopen tot €35 miljoen of 7% van de wereldwijde omzet. Het Future of Privacy Forum merkt op dat dit het einde betekent van technologie-neutrale gegevensbeschermingswetgeving in Europa.
  5. Slechts 33% van de organisaties heeft volledig inzicht in waar hun data is opgeslagen, volgens het 2026 Thales Data Threat Report. Toezichthouders verwachten nu volledig datavisibiliteit als basis — niet als ambitie.

De DLA Piper-enquête schat het jaarlijkse boetebedrag voor 2025 op ongeveer €1,2 miljard, wat grotendeels overeenkomt met het cijfer van 2024 en een eerdere dalende trend omkeert. Ierland voert opnieuw de handhavingstabellen aan, met een totale boete van €4,04 miljard opgelegd door de Ierse Data Protection Commission sinds de invoering van de GDPR. Maar de dominantie van Ierland is grotendeels te danken aan zijn rol als leidende toezichthouder voor grote technologiebedrijven, en de handhavingskaart wordt breder. De financiële sector, zorgprocessen, telecommunicatie en publieke sectororganisaties vallen nu ook nadrukkelijk onder de reikwijdte — niet alleen Big Tech.

Voor CISO’s en compliance-leiders is de boodschap duidelijk: gegevensbeschermingsautoriteiten leggen zonder moeite boetes van honderden miljoenen op voor systemische tekortkomingen, en doen dit in een tempo dat jaarlijks toeneemt. De boete van €1,2 miljard voor Meta uit 2023 blijft de grootste boete ooit, opgelegd voor de onrechtmatige overdracht van EU-gebruikersdata naar de Verenigde Staten. Maar de boete van €530 miljoen voor TikTok in 2025 wegens het illegaal overdragen van gebruikersdata uit de Europese Economische Ruimte naar China bevestigt dat handhaving op grensoverschrijdende dataoverdracht geen eenmalige gebeurtenis is — het is een blijvende handhavingscategorie.

Meldingen van datalekken stijgen voor het eerst boven de 400 per dag

De boetebedragen vertellen één verhaal. De cijfers over meldingen van datalekken vertellen een ander — en in sommige opzichten een operationeel urgenter verhaal. Van januari 2025 tot nu ontvingen de Europese gegevensbeschermingsautoriteiten gemiddeld 443 meldingen van datalekken per dag, een stijging van 22% ten opzichte van het jaar ervoor, waarmee voor het eerst het aantal dagelijkse meldingen boven de 400 uitkomt sinds de invoering van de regelgeving.

Die stijging weerspiegelt een landschap waarin aanvallen sneller, frequenter en datagerichter zijn. Het 2026 CrowdStrike Global Threat Report documenteerde een stijging van 89% in aanvallen door tegenstanders met geavanceerde technieken, met een gemiddelde eCrime breakout-tijd van 29 minuten van initiële toegang tot laterale beweging. Wanneer aanvallers zo snel handelen, garandeert een reactieve reactie op datalekken een verplichte melding aan de toezichthouder — en de handhavingsgevolgen die daarop volgen.

De DLA Piper-enquête documenteerde ook een groeiende focus op twee specifieke GDPR-artikelen: Artikel 5(1)(a), over rechtmatigheid, eerlijkheid en transparantie; en Artikel 5(1)(f), over integriteit en vertrouwelijkheid. Dit zijn geen obscure procedurele bepalingen. Het zijn de fundamentele principes die toezichthouders beoordelen bij het bepalen of een organisatie gegevensbescherming als ontwerpprincipe of als bijzaak heeft behandeld. Toezichthouders testen nu actief websites in plaats van te wachten op klachten — een verschuiving die handhaving verandert van reactief naar proactief.

Het Amerikaanse patchwork van privacywetten: 19 wetten en geen federale basis

Terwijl de handhaving van de GDPR in Europa intensiveert, bouwt de Verenigde Staten haar eigen handhavingsinfrastructuur — staat voor staat. Negentien staten hebben nu uitgebreide privacywetten voor consumenten van kracht, waarbij Indiana, Kentucky en Rhode Island zich op 1 januari 2026 aansluiten. Er bestaat geen alomvattende federale privacywet, en wetgevende pogingen — waaronder de Amerikaanse Data Privacy and Protection Act en de American Privacy Rights Act — zijn vastgelopen op geschillen over voorrang en het recht op individuele actie.

Het praktische gevolg: organisaties met een landelijke aanwezigheid moeten compliance beheren over rechtsbevoegdheden met uiteenlopende definities van gevoelige data, verschillende toestemmingsdrempels en diverse handhavingsmechanismen. De mogelijkheid van extra gecoördineerde handhaving door procureurs-generaal van staten zorgt voor urgentie om de reikwijdte van elke wet te begrijpen.

Californië blijft het tempo bepalen. In juli 2025 bereikte het kantoor van de procureur-generaal van Californië de grootste schikking tot nu toe onder de CCPA ($1,55 miljoen) met een online uitgever van gezondheidsinformatie. Naast boetes moest het bedrijf corrigerende maatregelen implementeren die aanzienlijke tijd en middelen vergden. Californië’s nieuwe ADMT-regelgeving, cybersecurity-auditvereisten en verplichtingen tot risicobeoordeling zijn allemaal van kracht geworden in januari 2026 — wat substantiële operationele vereisten creëert voor elk bedrijf dat gebruikmaakt van algoritmische profilering, personalisatie-engines of geautomatiseerde besluitvormingshulpmiddelen.

De procureur-generaal van Connecticut bereikte in 2025 een schikking van $85.000 met een online ticketaanbieder wegens vermeende schendingen van de CTDPA, gericht op een onleesbare privacyverklaring en niet-functionerende opt-out-mechanismen. Texas blijft agressief, met een schikking van meer dan $1 miljard met een groot technologiebedrijf. Dit zijn geen eenmalige acties. Ze weerspiegelen de volwassenwording van handhaving op staatsniveau van theoretisch naar operationeel.

De EU AI-wet komt eraan: een tweede boetelaag naast de GDPR

De regulatoire convergentie tussen privacywetgeving en AI-governance bereikte zijn kantelpunt in 2025 — en in 2026 worden de operationele gevolgen voelbaar. De EU AI-wet is van kracht geworden met verboden praktijken en AI-geletterdheidsverplichtingen die begin 2025 ingingen, en verplichtingen voor general-purpose AI later dat jaar. Volledige handhaving voor high-risk AI-systemen start op 2 augustus 2026.

De boetestructuur is aanzienlijk: tot €35 miljoen of 7% van de wereldwijde omzet voor de ernstigste overtredingen — aanzienlijk hoger dan het GDPR-maximum van €20 miljoen of 4%. Volgens het Future of Privacy Forum vertegenwoordigen de in november 2025 geïntroduceerde GDPR Omnibus-voorstellen van de EU twee grote beleidswijzigingen: het einde van technologie-neutrale gegevensbeschermingswetgeving nu AI expliciet wordt opgenomen in het regelgevend kader, en een beperktere definitie van “persoonsgegevens” op basis van recente uitspraken van het HvJ-EU.

Voor organisaties die actief zijn in gereguleerde sectoren levert dit een dubbele compliance-verplichting op. Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report constateerde dat 29% van de organisaties grensoverschrijdende overdrachten via AI-leveranciers als een van de grootste privacyrisico’s ziet, en dat 54% van de raden van bestuur niet betrokken is bij AI-governance. Die organisaties lopen 26–28 punten achter op elk AI-volwassenheidscriterium dat in de enquête is gemeten. De EU AI-wet staat niet op zichzelf — deze komt direct bovenop de GDPR-verplichtingen, en toezichthouders zullen beide parallel handhaven.

De wereldwijde privacymap: van patchwork naar permanente infrastructuur

Buiten Europa en de Verenigde Staten heeft het wereldwijde privacylandschap in 2026 een drempel overschreden. Volgens de IAPP zijn gegevensbeschermings- en privacywetten nu van kracht in meer dan 144 landen. Dit is geen adoptiegolf meer — het is permanente regulatoire infrastructuur.

De uitgebreide Vietnamese Personal Data Protection Law is op 1 januari 2026 in werking getreden. India’s Digital Personal Data Protection (DPDP) Rules zijn in november 2025 goedgekeurd door het parlement en worden nu gehandhaafd. Zuid-Korea heeft haar PIPA-kader aangepast met verfijnde toegangsrechten en vereisten voor buitenlandse aanbieders. De gewijzigde Maleisische PDPA is volledig van kracht, inclusief verplichte aanstelling van een DPO, meldingsplicht bij datalekken en dataportabiliteit. China heeft haar certificeringskader voor grensoverschrijdende overdracht onder de PIPL afgerond, van kracht per januari 2026.

Het Kiteworks 2026 Data Sovereignty Report documenteerde het operationele gevolg: onder Europese respondenten beschrijft ongeveer 15% zichzelf als “uiterst bezorgd” over blootstelling aan GDPR-boetes. In Canada noemt 40% zorgen over wijzigingen in de Canada-VS data-uitwisselingsregelingen, en 21% ziet de US CLOUD Act als een directe bedreiging voor hun soevereiniteitspositie. Verwachtingen rond datasoevereiniteit beperken zich niet langer tot opslag — ze strekken zich nu uit tot waar data wordt verwerkt, getraind en afgeleid door AI-systemen. Slechts 36% van de organisaties heeft enig inzicht in hoe partners data behandelen in AI-systemen.

Waar complianceprogramma’s tekortschieten: het visibiliteits- en leveranciersgat

De handhavingsdata vertellen het verhaal van de toezichthouders. De organisatiedata laten het gat zien — en dat is confronterend. Het 2026 Thales Data Threat Report toont aan dat slechts 33% van de organisaties volledig weet waar hun data is opgeslagen. Menselijke fouten blijven de belangrijkste oorzaak van datalekken met 28%. Cloud is het belangrijkste doelwit van aanvallen. Dit zijn geen opkomende risico’s. Het zijn bekende, gemeten en gedocumenteerde faalpunten die toezichthouders al jaren aanhalen in handhavingsacties.

Het 2026 Black Kite Third-Party Breach Report benadrukt het leveranciersrisico: van ongeveer 200.000 gemonitorde organisaties had de gemiddelde cyberbeoordeling een A (90,27) — maar toch had 53,77% minstens één kritieke kwetsbaarheid. Van de 50 meest verbonden leveranciers had 84% kritieke CVSS 8+ kwetsbaarheden en circuleerden bij 62% bedrijfsreferenties in stealer logs. Hoge compliance-scores en zwakke beveiligingsfundamenten bestaan naast elkaar, en toezichthouders richten zich steeds vaker op dit gat.

Het Kiteworks Forecast Report stelde vast dat 87% van de organisaties geen gezamenlijk incident response draaiboek met partners heeft, 89% nooit incident response met derden heeft geoefend, en 84% geen geautomatiseerde kill switch heeft voor partner-toegang. Wanneer een datalek bij een derde partij zich voordoet — en de mediane meldingsachterstand van 73 dagen die Black Kite documenteerde betekent dat organisaties mogelijk maandenlang onwetend zijn — zullen bijna negen van de tien hun reactie improviseren. Volgens GDPR Artikel 33 hebben organisaties 72 uur om hun toezichthouder te informeren nadat ze zich bewust zijn geworden van een datalek. Improvisatie levert geen compliant melding op binnen dat tijdsbestek.

Hoe Kiteworks organisaties helpt privacy compliance in hun architectuur te verankeren

De handhavingspatronen van de GDPR, de EU AI-wet, Amerikaanse privacywetten en opkomende mondiale kaders hebben één gemene deler: toezichthouders bestraffen governance-gaten, niet alleen datalekken. Organisaties die kunnen aantonen dat ze controles hebben geïmplementeerd, volledige audittrails bijhouden en beleidshandhaving documenteren, krijgen consequent lagere boetes — of vermijden ze helemaal. De EDPB-richtlijnen 04/2022 voor de berekening van administratieve boetes noemen technische en organisatorische maatregelen die al zijn genomen expliciet als verzachtende factor bij boeteberekeningen.

Kiteworks speelt in op deze handhavingsrealiteit met een geïntegreerd Private Data Network dat governance centraliseert over e-mail, bestandsoverdracht, SFTP, MFT, dataformulieren, API’s en AI-integraties onder één beleidssysteem met één allesomvattend auditlog. Elke data-uitwisseling — of deze nu door een menselijke gebruiker of een AI-agent wordt gestart — wordt in real time geauthenticeerd, geautoriseerd en gelogd, met auditgebeurtenissen die rechtstreeks naar SIEM-platforms worden gestreamd zonder vertraging of throttling. Deze architectuur levert het soort bewijs dat toezichthouders en auditors zoeken: wie heeft welke data wanneer, onder welk beleid en via welk kanaal geraadpleegd.

Voor organisaties die navigeren op het verantwoordingsbeginsel van de GDPR (Artikel 5(2)), biedt Kiteworks vooraf gebouwde compliance-dashboards die zijn afgestemd op 14+ regelgevende kaders, waaronder GDPR, HIPAA, CMMC, PCI DSS, SOX en DORA. Voor de 29% die grensoverschrijdende AI-overdrachten als grootste privacyrisico noemt, handhaaft de Kiteworks AI Data Gateway zero-trust toegangscontrole, ABAC-beleidsbeoordeling en FIPS 140-3 gevalideerde encryptie op elk AI-datarequest — zodat AI-systemen gereguleerde data benaderen onder dezelfde governance-controles als menselijke toegang. Single-tenant architectuur elimineert de kwetsbaarheden die multi-tenant cloud-omgevingen creëren, en het defense-in-depth ontwerp dat tijdens de Log4Shell-kwetsbaarheid werd aangetoond, verlaagde de CVSS-score van 10 naar 4 binnen de Kiteworks-omgeving.

Wat privacy- en complianceleiders dit kwartaal moeten doen

Ten eerste, voer een datamapping-oefening uit die AI-verwerking meeneemt, niet alleen opslag. De Kiteworks Forecast liet zien dat organisaties datasoevereiniteit voor data in rust hebben opgelost, maar niet voor data in beweging via AI-systemen. Als u niet kunt documenteren waar data wordt verwerkt, getraind of afgeleid, kunt u geen compliance aantonen met GDPR Artikel 30 (register van verwerkingsactiviteiten) of de documentatievereisten van de EU AI-wet.

Ten tweede, toets uw derde-partij risicoprogramma aan de hand van daadwerkelijke handhavingspatronen, niet aan checklist-compliance. Het Black Kite-rapport liet zien dat hoge cyberbeoordelingen samengaan met kritieke kwetsbaarheden bij meer dan de helft van de gemonitorde organisaties. Leveranciersvragenlijsten zijn niet voldoende; continue monitoring van threat signals, credential-exposure en patchdiscipline is wat toezichthouders verwachten.

Ten derde, implementeer uniforme auditlogging over alle data-uitwisselingskanalen — e-mail, bestandsoverdracht, SFTP, webformulieren en AI-integraties. De EDPB-richtlijnen voor boeteberekening belonen organisaties die technische controles kunnen aantonen. Gefragmenteerde logs over gescheiden systemen leveren geen auditklaar bewijs. De Kiteworks Forecast stelde vast dat 61% van de organisaties gefragmenteerde logs heeft die niet bruikbaar zijn.

Ten vierde, bereid u voor op de vereisten voor high-risk systemen van de EU AI-wet vóór de handhaving in augustus 2026. Dit omvat risicobeoordelingssystemen, technische documentatie, kwaliteitsmanagement en menselijk toezicht — allemaal afhankelijk van een gegevensbeheerinfrastructuur die de meeste organisaties nog niet hebben gebouwd.

Ten vijfde, breid uw complianceprogramma proactief uit naar het Amerikaanse patchwork van privacywetten. Elf staten vereisen nu erkenning van Universal Opt-Out-mechanismen, waaronder Global Privacy Control-signalen. Californië’s ADMT- en cybersecurity-auditvereisten creëren operationele verplichtingen die GDPR-compliance alleen niet dekt. Eén privacyraamwerk dekt geen blootstelling aan meerdere rechtsbevoegdheden.

Het handhavingsklimaat in 2026 is geen waarschuwing. Het is de huidige realiteit. Organisaties die privacy als ontwerpprincipe behandelen — ingebed in de architectuur in plaats van achteraf toegevoegd via beleidsdocumenten — zullen compliance efficiënter aantonen, boeterisico’s beperken en het soort vertrouwen opbouwen dat toezichthouders en klanten steeds vaker eisen.

Veelgestelde vragen

Cumulatieve GDPR-boetes sinds mei 2018 bedragen nu meer dan €7,1 miljard ($8,4 miljard), volgens de DLA Piper GDPR Fines and Data Breach Survey (januari 2026). Ongeveer €1,2 miljard werd alleen al in 2025 opgelegd, wat overeenkomt met het totaal van het voorgaande jaar. De Data Protection Commission van Ierland is verantwoordelijk voor €4,04 miljard van het cumulatieve totaal, vooral omdat grote technologiebedrijven hun Europese hoofdkantoor daar hebben. Negen van de tien grootste GDPR-boetes ooit zijn opgelegd aan technologie- en socialmediabedrijven.

Negentien staten hebben per januari 2026 uitgebreide privacywetten voor consumenten van kracht, volgens de IAPP. Indiana, Kentucky en Rhode Island sloten zich aan op 1 januari 2026. Californië, Colorado, Connecticut, Oregon en Utah voerden op diverse momenten in 2025 en 2026 ook wijzigingen door in hun bestaande wetten, waarmee de verplichtingen rond gevoelige data, geautomatiseerde besluitvorming en universele opt-out-mechanismen werden uitgebreid.

De EU AI-wet stelt boetes vast tot €35 miljoen of 7% van de wereldwijde jaaromzet voor de ernstigste overtredingen — waaronder het gebruik van verboden AI-praktijken. Voor minder ernstige overtredingen met high-risk AI-systemen kunnen de boetes oplopen tot €15 miljoen of 3% van de wereldwijde omzet. Deze boetes staan naast de GDPR-boetes, wat betekent dat organisaties die persoonsgegevens verwerken via AI-systemen een dubbele regulatoire blootstelling hebben onder beide kaders.

De DLA Piper-enquête signaleerde een groeiende handhavingsfocus op Artikel 5(1)(a) — rechtmatigheid, eerlijkheid en transparantie — en Artikel 5(1)(f) — integriteit en vertrouwelijkheid. Niet-naleving van algemene beginselen van gegevensverwerking is verantwoordelijk voor vijf van de tien grootste GDPR-boetes tot nu toe, volgens het CMS GDPR Enforcement Tracker Report. Overtredingen bij grensoverschrijdende dataoverdracht (Artikel 46) blijven de hoogste individuele boetes opleveren, zoals blijkt uit de €1,2 miljard boete voor Meta en de €530 miljoen boete voor TikTok.

De GDPR geldt extraterritoriaal voor elke organisatie die persoonsgegevens van EU-ingezetenen verwerkt, ongeacht waar de organisatie is gevestigd. Er is geen uitzondering op basis van bedrijfsgrootte of omzet. Het Kiteworks 2026 Data Sovereignty Report stelde vast dat 92% van de organisaties onder de GDPR-vereisten valt op basis van de data die ze verzamelen, en handhavingsacties tegen niet-EU-bedrijven — waaronder Clearview AI (€30,5 miljoen, Nederlandse AP, 2024) en TikTok (€530 miljoen, Ierse DPC, 2025) — bevestigen dat geografische afstand geen bescherming biedt tegen Europese toezichthouders.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks