AVG-handhaving 2026: Recordaantal datalekken en miljardenboetes
De digitale weerbaarheid van Europese organisaties wordt zwaarder op de proef gesteld dan ooit tevoren. Uit de achtste editie van de jaarlijkse GDPR Fines and Data Breach Survey van advocatenkantoor DLA Piper blijkt dat het aantal meldingen van datalekken in 2025 met maar liefst 22 procent is gestegen. Tegelijkertijd blijven toezichthouders met ijzeren vuist regeren: er werd vorig jaar voor circa 1,2 miljard dollar aan boetes uitgedeeld.
Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG/GDPR) in 2018 is er in totaal voor 7,1 miljard dollar aan boetes opgelegd. Hoewel het totaalbedrag aan boetes in 2025 stabiel bleef ten opzichte van het jaar daarvoor, is de aard van de dreiging fundamenteel veranderd. De "stilte voor de storm" lijkt voorbij; voor het eerst sinds 2018 is de grens van gemiddeld 400 meldingen van datalekken per dag doorbroken.
De "kanarie in de kolenmijn"
De meest opvallende statistiek uit het rapport is de sprong van 363 naar 443 datalekmeldingen per dag. Deze stijging van 22 procent markeert het einde van een jarenlang plateau. Volgens experts is dit een direct gevolg van een giftige cocktail van factoren: toenemende geopolitieke spanningen, de inzet van AI door cybercriminelen en een wildgroei aan nieuwe wetgeving die organisaties verplicht om sneller melding te maken.
Ross McKean, voorzitter van de Data, Privacy en Cybersecurity-praktijk bij DLA Piper, noemt deze cijfers de "stilzwijgende kanarie in de kolenmijn". "In een jaar waarin cyberaanvallen de wereldwijde krantenkoppen domineerden, tonen deze cijfers de directe en ernstige gevolgen van de huidige onzekere tijden voor organisaties aan," aldus McKean.
Ierland blijft de Europese waakhond
Als het gaat om handhaving, blijft Ierland onbetwist aan de leiding staan. De Ierse Data Protection Commission (DPC) heeft sinds 2018 voor in totaal 4,04 miljard dollar aan boetes opgelegd. Ook de hoogste individuele boete van 2025 kwam uit Ierland: een sociale mediagigant kreeg in april een rekening van 530 miljoen dollar gepresenteerd vanwege het schenden van de regels rondom internationale datadoorgifte.
Ondanks deze astronomische bedragen blijft het record uit 2023 staan op naam van Meta, dat destijds een boete van 1,2 miljard dollar ontving. De trend laat zien dat toezichthouders niet alleen kijken naar grote techbedrijven, maar steeds vaker ook naar de beveiliging van de gehele toeleveringsketen (supply chain).
Focus op integriteit en vertrouwelijkheid
Een groot deel van de boetes in 2025 had betrekking op het schenden van het zogenaamde 'beveiligingsprincipe'. Toezichthouders eisen robuuste controles om datalekken te voorkomen. Opvallend is dat niet alleen de 'verwerkingsverantwoordelijken' (de eigenaren van de data), maar ook de 'verwerkers' (zoals IT-dienstverleners) dit jaar direct aansprakelijk zijn gesteld en beboet.
De verborgen kosten: schadeclaims
Naast de gevreesde boetes van de overheid, signaleert DLA Piper een andere groeiende dreiging: civielrechtelijke schadeclaims. Recente uitspraken van het Hof van Justitie van de Europese Unie hebben de weg vrijgemaakt voor burgers om compensatie te eisen voor 'niet-materiële schade' – zoals emotionele stress of reputatieschade – na een datalek. Dit betekent dat de financiële impact van een cyberincident voor een bedrijf vele malen hoger kan uitvallen dan alleen de boete van de toezichthouder.
Optimaliseer de defensie
Het rapport van 2026 is een duidelijke waarschuwing aan het adres van directiekamers. Met nieuwe cyberwetten die soms zelfs persoonlijke aansprakelijkheid voor bestuurders introduceren, is cybersecurity niet langer een IT-feestje, maar een cruciaal onderdeel van de operationele veerkracht. Organisaties die hun cyberdefensie niet optimaliseren, riskeren niet alleen boetes in de miljoenen dollars, maar ook een lawine aan schadeclaims en onherstelbare reputatieschade.
Meer over juridisch
Over Witold Kepinski
