Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > 25 EU-toezichthouders gaan binnenkort uw privacyverklaringen controleren — Dit moet u aanpassen voordat ze langskomen
25 EU-toezichthouders gaan binnenkort uw privacyverklaringen controleren — Dit moet u aanpassen voordat ze langskomen

25 EU-toezichthouders gaan binnenkort uw privacyverklaringen controleren — Dit moet u aanpassen voordat ze langskomen

by Marc ten Eikelder updated mei 20, 2026 Wettelijke naleving
Reading Time: 10 minutes

Belangrijkste inzichten

  1. EDPB-handhaving 2026 richt zich op transparantie. Ongeveer 25 Europese gegevensbeschermingsautoriteiten zullen de GDPR-informatieverplichtingen onder Artikelen 5(1)(a), 12, 13 en 14 toetsen met behulp van vragenlijsten en onderzoeken.
  2. De meeste privacyverklaringen slagen niet voor de toets van toezichthouders. Organisaties missen vaak gelaagde verklaringen, just-in-time-informatie bij verzamelpunten en gedocumenteerde rechtsgronden, waaronder legitieme belangenafwegingen.
  3. Handhaving neemt toe met recordboetes. GDPR-boetes bereikten €1,2 miljard in 2025, met een stijging van 22% in meldingen van datalekken, waarbij transparantieovertredingen tot de meest genoemde gronden behoren.
  4. AI vergroot compliance-gaten exponentieel. AI-agenten die persoonsgegevens verwerken creëren nieuwe verplichtingen voor geautomatiseerde besluitvorming en uitlegbaarheid onder de GDPR en de EU AI-wet, die weinig organisaties in kaart hebben gebracht.

Stel je voor dat een toezichthouder van de DPA je organisatie benadert met een gestructureerde vragenlijst. De vragen zijn specifiek: Kun je aantonen dat betrokkenen duidelijke, beknopte informatie ontvangen over elk doel waarvoor hun gegevens worden verwerkt? Kun je laten zien dat je privacyverklaringen alle rechtsgronden dekken, inclusief legitieme belangenafwegingen? Kun je bewijzen dat just-in-time-informatie wordt verstrekt bij elk verzamelpunt van gegevens — niet alleen op je website, maar ook in je apps, formulieren, e-mailworkflows en AI-tools?

De aankondiging komt eraan — en de meeste organisaties zijn niet voorbereid

Dit is geen hypothetisch scenario. De European Data Protection Board kondigde in maart 2026 aan dat de gecoördineerde handhavingsactie van 2026 zich zal richten op transparantie- en informatieverplichtingen onder de GDPR. Ongeveer 25 gegevensbeschermingsautoriteiten in de EU en EER zullen toetsen hoe verwerkingsverantwoordelijken aan deze verplichtingen voldoen, via handhavingsmaatregelen en feitelijke onderzoeken, waarbij de resultaten richting geven aan gerichte vervolgacties in diverse sectoren.

De DLA Piper GDPR Fines and Data Breach Survey (2026 editie) documenteerde €1,2 miljard aan GDPR-boetes in 2025, met een jaarlijkse stijging van 22% in meldingen van datalekken, gemiddeld 443 per dag. De handhaving richt zich nu op Artikel 5(1)(a) — rechtmatigheid, eerlijkheid en transparantie — en 5(1)(f) — integriteit en vertrouwelijkheid. De gecoördineerde actie van de EDPB richt zich direct op het eerste van deze twee aandachtsgebieden.

5 belangrijkste inzichten

1. Het gecoördineerde handhavingskader van de EDPB in 2026 richt zich op transparantie.

Ongeveer 25 gegevensbeschermingsautoriteiten beoordelen gelijktijdig hoe verwerkingsverantwoordelijken voldoen aan GDPR-informatie- en transparantieverplichtingen — via onderzoeken, vragenlijsten en feitelijke vaststellingen die kunnen leiden tot formele handhavingsmaatregelen. De scope omvat Artikelen 5(1)(a), 12, 13 en 14. GDPR-complianceteams die hun organisatie niet expliciet tegen deze artikelen hebben gemapt, kunnen hun risico niet inschatten.

2. Dit volgt een patroon van escalatie — geen zachte richtlijnen.

Eerdere CEF-cycli richtten zich op het recht op inzage (2022), DPO-rollen (2023) en het recht op gegevenswissing (2025). Elke cyclus leidde tot gerichte handhavingsmaatregelen. De focus op transparantie in 2026 geeft aan dat toezichthouders wijdverspreide gaten verwachten — en de handhavingsdata ondersteunen die verwachting: transparantieovertredingen onder Artikel 5(1)(a) behoren tot de meest genoemde gronden in formele GDPR-besluiten.

3. GDPR-boetes bereikten €1,2 miljard in 2025 met 22% meer meldingen van datalekken.

De handhavingsomgeving is intenser dan ooit sinds de invoering van de verordening. Overtredingen van de wet bescherming persoonsgegevens onder Artikelen 5(1)(a) en 5(1)(f) krijgen steeds meer aandacht in formele besluiten — precies waar de gecoördineerde actie van de EDPB in 2026 op inspeelt. Organisaties met transparantiegaten lopen direct een verhoogd risico in deze handhavingscyclus.

4. De meeste privacyverklaringen voldoen niet aan de toets die toezichthouders daadwerkelijk hanteren.

Het gat tussen “wij hebben een privacyverklaring” en aantoonbare naleving met gelaagde verklaringen, just-in-time-informatie en doelspecifieke rechtsgronden is waar handhavingsacties ontstaan. Het Thales Data Threat Report 2026 vond dat slechts 33% van de organisaties volledig weet waar hun gegevens zijn opgeslagen — en je kunt verwerking niet juist beschrijven als je deze niet kunt lokaliseren.

5. AI-systemen vergroten de transparantie-uitdaging exponentieel.

Elke AI-agent die persoonsgegevens verwerkt, creëert documentatie-, uitlegbaarheids- en transparantieverplichtingen die de meeste organisaties niet in kaart hebben gebracht. Het gat in AI-gegevensbeheer sluit direct aan op de transparantiehandhaving van de EDPB en de mijlpalen van de EU AI-wet die gelijktijdig in 2026 van kracht worden.

Welke Data Compliance Standards zijn belangrijk?

Lees nu

Waar de EDPB daadwerkelijk naar kijkt

De transparantieverplichting onder de GDPR is geen enkele vereiste. Het is een gelaagde set verplichtingen verspreid over Artikelen 5(1)(a), 12, 13 en 14, die gezamenlijk vereisen dat verwerkingsverantwoordelijken informatie verstrekken die beknopt, transparant, begrijpelijk, gemakkelijk toegankelijk en in duidelijke en eenvoudige taal is.

In de praktijk zal het EDPB-onderzoek diverse dimensies beoordelen. Verwerkingsverantwoordelijken moeten aantonen dat betrokkenen zijn geïnformeerd over de identiteit en contactgegevens van de verantwoordelijke, de doeleinden en rechtsgronden voor verwerking (waaronder legitieme belangenafwegingen indien van toepassing), de categorieën van verwerkte persoonsgegevens, de ontvangers of categorieën ontvangers, bewaartermijnen en de rechten van betrokkenen. Deze informatie moet worden verstrekt op het moment van verzameling (Artikel 13) of binnen een redelijke termijn wanneer gegevens indirect worden verkregen (Artikel 14).

Het Thales Data Threat Report 2026 vond dat slechts 33% van de organisaties volledig weet waar hun gegevens zijn opgeslagen en slechts 39% alle gegevens kan classificeren. Wanneer organisaties hun gegevens niet kunnen lokaliseren of classificeren, kunnen ze hun verwerkingsactiviteiten niet correct beschrijven in privacyverklaringen. De transparantieverplichting vereist een mate van specificiteit die de meeste data governance-infrastructuren niet ondersteunen.

Waarom eerdere CEF-cycli reden tot zorg zijn

Het Coordinated Enforcement Framework is niet nieuw. De EDPB voert het jaarlijks uit sinds 2022, elke cyclus volgens een consistent patroon: gecoördineerd onderzoek, geaggregeerde bevindingen, gepubliceerde richtlijnen en vervolgens gerichte handhaving in de daaropvolgende jaren.

De CEF van 2022 richtte zich op het recht op inzage onder Artikel 15. De cyclus van 2023 onderzocht de rol van functionarissen voor gegevensbescherming. De cyclus van 2025 richtte zich op het recht op gegevenswissing onder Artikel 17. Elke cyclus leverde inzichten op die toezichthouders vervolgens gebruikten om handhavingsprioriteiten en formele besluiten te bepalen.

De focus op transparantie in 2026 geeft aan dat toezichthouders verwachten wijdverspreide gaten te vinden — en de handhavingsdata ondersteunen die verwachting. Analyse van Aphaia laat zien dat transparantieovertredingen tot de meest genoemde gronden behoren in GDPR-handhavingsbesluiten, maar toch tot de minst consequent geïmplementeerde controles in de complianceprogramma’s van de meeste organisaties.

De privacyverklaring-kloof: waar organisaties daadwerkelijk falen

Het verschil tussen wat organisaties denken te hebben en wat toezichthouders verwachten is structureel. De meeste organisaties hebben een privacyverklaring op hun website. Veel minder hebben het volledige pakket aan transparantiemaatregelen geïmplementeerd dat de GDPR daadwerkelijk vereist.

Gelaagde verklaringen ontbreken of zijn onvolledig. Artikel 12 vereist dat informatie beknopt, transparant en gemakkelijk toegankelijk wordt verstrekt. Voor complexe verwerkingsactiviteiten adviseert de EDPB al lange tijd gelaagde verklaringen — een korte eerste laag met essentiële informatie, gekoppeld aan gedetailleerde aanvullende lagen. De meeste organisaties hebben één enkele, omvangrijke privacyverklaring die niet voldoet aan de eisen van beknoptheid en toegankelijkheid.

Just-in-time-informatie ontbreekt. Wanneer persoonsgegevens worden verzameld via formulieren, apps, chatbots of AI-tools, vereist transparantie dat relevante informatie wordt verstrekt op het moment van verzameling — niet verstopt in een algemene privacyverklaring die drie klikken verderop staat. De meeste organisaties wisselen nu gevoelige gegevens uit via meerdere gescheiden kanalen — beveiligde e-mail, bestandsoverdracht, SFTP, MFT, API’s, webformulieren en AI-integraties. Elk kanaal brengt eigen transparantieverplichtingen met zich mee die niet door één privacyverklaring kunnen worden afgedekt.

Documentatie van rechtsgronden is vaag. Artikel 13(1)(c) vereist dat verwerkingsverantwoordelijken de rechtsgrond voor elke verwerkingsactiviteit vermelden. Veel organisaties kiezen standaard voor “gerechtvaardigd belang” zonder de belangenafweging te documenteren, of noemen “toestemming” voor verwerking waarbij toestemming niet vrijelijk wordt gegeven of niet kan worden ingetrokken. Wanneer een toezichthouder vraagt om de legitieme belangenafweging voor een specifieke verwerking, is het ontbreken van documentatie op zich al een bevinding.

Doelomschrijvingen zijn te algemeen. Stellen dat persoonsgegevens worden verwerkt “om onze diensten te verbeteren” voldoet niet aan de specificiteitseis. Elk doel moet specifiek genoeg zijn zodat een betrokkene begrijpt wat er met zijn gegevens gebeurt en waarom. Het DTEX/Ponemon Insider Threat Report 2026 vond dat 92% van de organisaties zegt dat GenAI heeft veranderd hoe medewerkers informatie delen — maar de meeste privacyverklaringen zijn niet bijgewerkt om AI-gedreven verwerkingsactiviteiten te weerspiegelen.

AI maakt het transparantieprobleem exponentieel groter

De transparantiehandhaving van de EDPB komt precies op het moment dat organisaties AI-systemen inzetten die volledig nieuwe categorieën transparantieverplichtingen creëren — en de meeste hebben deze niet in kaart gebracht.

Elke AI-agent die persoonsgegevens verwerkt, creëert verplichtingen onder zowel de GDPR als de aankomende EU AI-wet. Onder de GDPR moeten organisaties het bestaan van geautomatiseerde besluitvorming (Artikel 13(2)(f)) bekendmaken, betekenisvolle informatie geven over de gebruikte logica en de betekenis en beoogde gevolgen voor de betrokkene uitleggen. Onder de EU AI-wet krijgen hoog-risico AI-systemen per augustus 2026 aanvullende transparantie- en documentatieverplichtingen.

Het Kiteworks 2026 Forecast Report vond dat 100% van de ondervraagde organisaties agentische AI op de roadmap heeft staan, maar 63% kan geen doelspecifieke beperkingen afdwingen op AI-agenten. Wanneer een AI-agent persoonsgegevens verwerkt zonder doelbinding, kan de verwerkingsverantwoordelijke het verwerkingsdoel niet correct beschrijven in een transparantieverklaring — waardoor een compliance-kloof ontstaat die met elke niet-gedocumenteerde AI-interactie groter wordt.

Het Thales Data Threat Report 2026 vond dat 70% van de respondenten snelle veranderingen in het AI-ecosysteem als het meest zorgwekkende AI-gerelateerde risico noemt. Transparantieverplichtingen eisen dat privacyverklaringen de actuele verwerkingsactiviteiten weerspiegelen. Wanneer het AI-landschap elk kwartaal verandert, zijn jaarlijkse reviews van privacyverklaringen structureel ontoereikend.

Het lappendeken van Amerikaanse privacywetten vergroot de uitdaging

De handhavingsactie van de EDPB staat niet op zichzelf. Organisaties die persoonsgegevens verwerken over diverse rechtsbevoegdheden heen, krijgen gelijktijdig te maken met convergerende transparantieverplichtingen uit meerdere regelgevingsregimes.

In de Verenigde Staten zijn nu 19 staten met uitgebreide privacywetgeving van kracht, waaronder nieuwe staten als Indiana, Kentucky en Rhode Island die in januari 2026 in werking traden. De CPPA van Californië heeft regelgeving voor Automated Decision-Making Technology afgerond, met handhaving vanaf januari 2027, wat AI-specifieke transparantieverplichtingen toevoegt voor organisaties die inwoners van Californië bedienen.

Voor organisaties die zowel in de EU als de VS actief zijn, is de transparantie-uitdaging niet alleen het voldoen aan één standaard — het is het handhaven van consistente, accurate verklaringen over diverse rechtsbevoegdheden heen, waar vereisten in detail verschillen maar in principe overlappen. Het Black Kite Third-Party Breach Report 2026 documenteerde dat onder de top 50 gedeelde leveranciers 62% bedrijfsreferenties in stealer logs had en 80% phishing-blootstelling vertoonde — wat betekent dat de organisaties die het meest waarschijnlijk een datalekmelding moeten doen, ook degenen zijn wiens transparantiepraktijken na afloop het meest onder het vergrootglas komen te liggen.

Hoe Kiteworks organisaties helpt transparantiecompliance aan te tonen

Elke uitwisseling van gevoelige gegevens via het Kiteworks Private Data Network — e-mail, bestandsoverdracht, SFTP, MFT, webformulieren, API’s en AI-integraties — wordt vastgelegd in één, uniforme audittrail die documenteert wie welke gegevens heeft benaderd, wanneer, onder welk beleid en via welk kanaal. Deze chain-of-custody-documentatie vormt de bewijsgrondslag die toezichthouders van de DPA eisen: geen claim van transparantie, maar een registratie van elke gegevensverwerkingsactiviteit die in een privacyverklaring wordt beschreven.

Kiteworks compliance-dashboards bieden continue zichtbaarheid op de nalevingsstatus over GDPR, HIPAA, CMMC en andere kaders, waardoor organisaties kunnen overstappen van reactieve auditvoorbereiding naar proactief compliancebeheer. Wanneer de EDPB-vragenlijst arriveert, levert Kiteworks het bewijs — geen verhaal, maar een log.

Voor AI-governance specifiek zorgen de Kiteworks Secure MCP Server en AI Data Gateway ervoor dat elke AI-interactie met persoonsgegevens wordt beheerd, gelogd en controleerbaar is — ter ondersteuning van de transparantieverplichtingen die AI-gedreven verwerking creëert onder zowel GDPR Artikel 13(2)(f) als de documentatievereisten van de EU AI-wet.

Wat organisaties moeten oplossen vóórdat de DPA-onderzoeker langskomt

Ten eerste, toets je privacyverklaringen aan de vereisten van Artikelen 13 en 14 — niet aan je eigen sjabloon, maar aan de daadwerkelijke wettelijke tekst. Controleer voor elke verwerkingsactiviteit of de verklaring het doel, de rechtsgrond (met gedocumenteerde belangenafweging), categorieën gegevens, ontvangers, bewaartermijnen en rechten van betrokkenen specificeert.

Ten tweede, implementeer gelaagde en just-in-time-transparantie. Je website-privacyverklaring is noodzakelijk maar niet voldoende. Elk verzamelpunt van gegevens — webformulieren, chatbots, e-mailworkflows, portals voor bestandsoverdracht, AI-tools — vereist contextuele informatie op het moment van verzameling. De meeste ondernemingen wisselen gevoelige gegevens uit via zeven of meer gescheiden kanalen; elk is een transparantieverplichting.

Ten derde, breng je AI-verwerkingsactiviteiten in kaart ten opzichte van transparantievereisten. Als AI-agenten persoonsgegevens verwerken, moeten je privacyverklaringen het bestaan van geautomatiseerde besluitvorming, de gebruikte logica en de gevolgen vermelden. De transparantiehandhaving van de EDPB en de documentatievereisten van de EU AI-wet komen samen in dezelfde eis: leg uit wat je systemen doen met persoonsgegevens, aan toezichthouders en betrokkenen.

Ten vierde, bereid je bewijspakketten nu voor. Wanneer de DPA-vragenlijst arriveert, moet je direct verwerkingsregisters (ROPA), belangenafwegingen, toestemmingsregistraties, DPIA’s en audittrails kunnen overleggen — niet nog moeten opstellen. Het Thales-rapport vond dat slechts 6% van de organisaties die een audit niet haalden geen datalekgeschiedenis heeft, tegenover 30% van de organisaties die wel slaagden. Auditgereedheid is preventie van datalekken.

Ten vijfde, stel een review-cyclus in die aansluit op je verwerkingswijzigingen. Als je AI-inzet-roadmap elk kwartaal nieuwe verwerkingsactiviteiten toevoegt, creëren jaarlijkse reviews van privacyverklaringen een structureel transparantiegat. Bouw de review-cyclus in je AI-governance, zodat geen nieuwe verwerkingsactiviteit live gaat zonder bijbehorende transparantie-update.

De gecoördineerde handhavingsactie van de EDPB is geen overval — deze is aangekondigd, de scope is gepubliceerd en de onderzoeksmethoden zijn consistent met eerdere CEF-cycli. Organisaties die zich nu voorbereiden, tonen compliance aan. Organisaties die dat niet doen, vullen de handhavingsstatistieken van de volgende DLA Piper-enquête.

Wil je meer weten over het beschermen van je gegevens en het aantonen van transparantiecompliance? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Nee. De gecoördineerde handhaving van de EDPB in 2026 onderzoekt of verwerkingsverantwoordelijken gelaagde verklaringen, just-in-time-informatie bij elk verzamelpunt van gegevens en doelspecifieke documentatie van rechtsgronden bieden. Eén privacyverklaring kan niet voldoen aan de contextuele transparantieverplichtingen die ontstaan bij formulieren, apps, e-mailworkflows en AI-tools — elk kanaal voor gegevensverzameling brengt een eigen verplichting onder Artikel 13 met zich mee.

De GDPR is van toepassing op elke organisatie die EU-persoonsgegevens verwerkt, ongeacht waar deze gevestigd is. Amerikaanse organisaties moeten hun naleving van Artikelen 13 en 14 toetsen, zorgen dat privacyverklaringen alle verwerkingsdoeleinden en rechtsgronden dekken, en bewijspakketten voorbereiden, waaronder ROPA en belangenafwegingen. Slechts 39% van de organisaties kan volgens het Thales-rapport van 2026 al hun gegevens classificeren — een kloof die transparantiecompliance direct ondermijnt.

GDPR Artikel 13(2)(f) vereist openbaarmaking van geautomatiseerde besluitvorming en betekenisvolle informatie over de gebruikte logica. AI-chatbots, copilots en agenten die persoonsgegevens verwerken, activeren deze verplichting. De Kiteworks 2026 Forecast vond dat 63% van de organisaties geen doelspecifieke beperkingen kan afdwingen op AI-agenten — wat betekent dat de meeste AI-verwerking niet correct in transparantieverklaringen wordt beschreven. De AI Data Gateway en Secure MCP Server bieden de governance- en auditinfrastructuur om deze kloof te dichten.

Beide komen neer op dezelfde eis: leg uit wat systemen doen met persoonsgegevens. De GDPR vereist transparantie over verwerkingsdoeleinden, rechtsgronden en geautomatiseerde besluitvorming. De EU AI-wet voegt documentatie-, conformiteitsbeoordelings- en menselijke toezichtverplichtingen toe. Breng AI-usecases in kaart tegen beide kaders tegelijk met behulp van een uniforme audittrail en compliance-dashboard — aparte bewijspakketten voor elk kader bouwen leidt tot dubbel werk en inconsistenties die toezichthouders zullen opmerken.

DPA-onderzoekers vragen doorgaans om verwerkingsregisters (ROPA), privacyverklaringen voor alle verwerkingsactiviteiten, belangenafwegingen, DPIA’s, toestemmingsregistraties en bewijs dat transparantiemaatregelen bij elk verzamelpunt van gegevens zijn geïmplementeerd. Bereid deze proactief voor — de DLA Piper GDPR-enquête toonde aan dat auditfalen direct samenhangt met datalekgeschiedenis, en het Kiteworks Private Data Network genereert de geconsolideerde, exporteerbare bewijspakketten die DPA-reacties tot een documentatieoefening maken in plaats van een haastklus.

Aanvullende bronnen

  • Blog Post Het touwtrekken om jouw data: hoe de CLOUD- en SHIELD-wetten security tegenover privacy zetten
  • Blog Post Beveilig gevoelige data door DSPM te koppelen aan je compliance-doelen
  • Brief Top 3 FERPA-overtredingen en hoe je ze voorkomt
  • Blog Post Executive Order 14117: Bescherming van grote hoeveelheden gevoelige persoonsgegevens van Amerikanen
  • Blog Post NIS2-compliance nodig? Begin met ISO 27001

Veelgestelde vragen

De CEF 2026 richt zich op transparantie- en informatieverplichtingen onder GDPR Artikelen 5(1)(a), 12, 13 en 14. Ongeveer 25 gegevensbeschermingsautoriteiten in de EU en EER gebruiken onderzoeken, vragenlijsten en feitelijke vaststellingen om naleving te beoordelen, waarbij de resultaten richting geven aan gerichte handhavingsacties.

De meeste organisaties vertrouwen op één omvangrijke privacyverklaring die gelaagde verklaringen, just-in-time-informatie bij elk verzamelpunt van gegevens (formulieren, apps, e-mail, AI-tools) en specifieke documentatie van rechtsgronden, waaronder belangenafwegingen, mist. Toezichthouders eisen beknopte, begrijpelijke en doelspecifieke informatie onder Artikel 12.

AI-agenten die persoonsgegevens verwerken activeren de vereisten van Artikel 13(2)(f) om geautomatiseerde besluitvorming, de gebruikte logica en de beoogde gevolgen te vermelden. Veel organisaties hebben deze activiteiten niet in kaart gebracht, en de EU AI-wet voegt per augustus 2026 extra documentatieverplichtingen toe, wat de uitdaging vergroot.

Verwerkingsverantwoordelijken moeten verwerkingsregisters (ROPA), privacyverklaringen voor alle kanalen, belangenafwegingen, DPIA’s, toestemmingsregistraties en audittrails die just-in-time-informatie aantonen, paraat hebben. Proactieve voorbereiding met uniforme logging en compliance-dashboards helpt handhavingsmaatregelen te voorkomen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks