GDPR-handhaving in 2025: Welke overtredingen kosten het meest - en hoe kunt u ze vermijden?

De GDPR-handhaving bleef in 2025 intensiveren, met toezichthoudende instanties in de hele EER die meer dan 2100 handhavingsbesluiten namen en boetes van in totaal meer dan EUR 2,1 miljard voor het kalenderjaar. De trend is onmiskenbaar: toezichthouders vertragen niet. Voor kmo's is het van essentieel belang om te begrijpen welke overtredingen de zwaarste boetes met zich meebrengen om prioriteit te kunnen geven aan investeringen in naleving.

2025 Handhaving in een oogopslag

Verschillende belangrijke statistieken bepaalden het handhavingslandschap in 2025:

• Totaal uitgeschreven boetes: Ongeveer EUR 2,1 miljard voor alle gegevensbeschermingsautoriteiten in de EER
• Aantal handhavingsbesluiten: Meer dan 2100, een stijging van ongeveer 18% vanaf 2024
• Grootste enkele boete: 1,2 miljard euro opgelegd door de Ierse commissie voor gegevensbescherming (DPC)
• Meest actieve DPA's naar besluitvormingsvolume: Spaanse AEPD, Italiaanse Garante, Roemeense ANSPDCP en Hongaarse NAIH
• Meest actieve gegevensbeschermingsautoriteiten naar boetewaarde: Ierse DPC, Franse CNIL, Italiaanse Garante en Luxemburgse CNPD

Een opmerkelijke ontwikkeling in 2025 was de toegenomen activiteit van kleinere gegevensbeschermingsautoriteiten. Autoriteiten in Oostenrijk (DSB), Finland (Tietosuojavaltuutettu) en Kroatië (AZOP) schreven hun grootste boetes ooit uit, wat duidt op een rijping van de handhavingscapaciteit in de hele EU.

Top 3 overtredingscategorieën

1. Onvoldoende rechtsgrondslag voor verwerking (artikel 6)

Het verwerken van persoonsgegevens zonder geldige rechtsgrondslag bleef de meest genoemde en zwaarst bestrafte overtreding in 2025. Deze categorie omvat organisaties die vertrouwden op toestemming die niet voldeed aan de artikel 7-norm, legitieme belangen aanvoerden zonder een goede afweging te maken, of gegevens verwerkten voor doeleinden die onverenigbaar waren met het oorspronkelijke verzameldoel (schending van het doelbindingsbeginsel krachtens artikel 5, lid 1, onder b)).

De CNIL heeft in deze categorie verschillende aanzienlijke boetes opgelegd, waaronder boetes tegen organisaties die gebruikers van de ene website naar de andere volgden zonder geldige toestemming. De CNIL heeft consequent geoordeeld dat toestemmingsmechanismen voor cookies die gebruikmaken van donkere patronen, voorgeselecteerde opties of die het weigeren onnodig moeilijk maken, geen geldige toestemming vormen volgens de artikelen 6 en 7.

Les voor KMO's: Controleer elke verwerkingsactiviteit op een gedocumenteerde, verdedigbare rechtsgrondslag. Als u zich baseert op toestemming, zorg er dan voor dat uw toestemmingsmechanismen voldoen aan de norm voor vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming. Als u zich baseert op legitieme belangen, documenteer dan uw afwegingstoets.

2. Inadequate technische en organisatorische veiligheidsmaatregelen (artikel 32)

Een aanzienlijk deel van de handhavingsacties in 2025 bestond uit overtredingen van artikel 32. Toezichthoudende autoriteiten bestraften organisaties voor tekortkomingen zoals: onversleutelde persoonsgegevens, zwakke of standaardwachtwoorden, ontoereikende toegangscontroles, het niet tijdig toepassen van beveiligingspatches en onvoldoende monitoring en logging.

De Italiaanse Garante was bijzonder actief op dit gebied en heeft meerdere boetes uitgedeeld aan zorgverleners voor inadequate beveiligingsmaatregelen waardoor onbevoegden toegang kregen tot patiëntendossiers. De Spaanse AEPD zette haar vaste patroon voort van het bestraffen van kleine en middelgrote organisaties voor basale beveiligingsfouten, waaronder gevallen waarbij klantendatabases werden blootgesteld als gevolg van verkeerd geconfigureerde cloud-opslag.

De Duitse federale commissaris voor gegevensbescherming (BfDI) richtte zich op systemische tekortkomingen in de beveiliging en benadrukte dat artikel 32 niet alleen passende technische maatregelen vereist, maar ook organisatorische controles, waaronder een beveiligingsbeleid, procedures voor toegangsbeheer en het regelmatig testen van de effectiviteit van de beveiliging.

Les voor KMO's: Over elementaire veiligheidshygiëne valt niet te onderhandelen. Implementeer encryptie, dwing sterke authenticatie af, patch onmiddellijk en beperk toegang op basis van het principe van de minste privileges. Documenteer uw beveiligingsmaatregelen en de reden waarom u ze hebt gekozen.

3. Niet-naleving van de rechten van de betrokkenen (artikelen 15-22)

Het niet binnen de wettelijke termijn van één maand reageren op verzoeken van betrokkenen, of het geven van onvolledige antwoorden, leidde in 2025 tot een aanzienlijk aantal handhavingsacties. De meest voorkomende overtredingen betroffen:

• Niet binnen een maand reageren op verzoeken om toegang (artikel 15)
• Weigering om gegevens te wissen wanneer hierom wordt verzocht onder Artikel 17 zonder geldige redenen voor verdere verwerking
• Buitensporige vereisten voor identiteitscontrole die de uitoefening van rechten effectief belemmerden
• Het niet verstrekken van gegevens in een draagbaar formaat wanneer hierom wordt verzocht in het kader van artikel 20

De Italiaanse Garante legde meerdere boetes op voor vertraagde of inadequate antwoorden op verzoeken om toegang van betrokkenen, waaronder gevallen waarin organisaties maanden nodig hadden om te antwoorden zonder dit te rechtvaardigen. De Poolse gegevensbeschermingsautoriteit (UODO) heeft ook opmerkelijke besluiten genomen op dit gebied, met name met betrekking tot het recht om gegevens te wissen.

Les voor het MKB: Implementeer een volgsysteem voor verzoeken van betrokkenen met geautomatiseerde deadlinewaarschuwingen. Train klantvriendelijk personeel om verzoeken van betrokkenen te herkennen, zelfs als ze niet expliciet in GDPR-taal zijn gesteld. Een klant die zegt "verwijder mijn account" oefent zijn artikel 17 recht uit.

Opmerkelijke handhavingsacties

Ierse DPC: Handhaving van grensoverschrijdende overmakingen

De Ierse gegevensbeschermingsautoriteit bleef gebruik maken van haar rol als belangrijkste toezichthoudende autoriteit voor veel grote technologiebedrijven. Haar handhavingsbesluiten in 2025 waren gericht op grensoverschrijdende gegevensoverdrachten (hoofdstuk V) en de toereikendheid van waarborgen voor overdrachten naar derde landen. De recordboete van 1,2 miljard euro onderstreepte dat overdrachtsmechanismen echte, beoordeelde waarborgen vereisen, en niet alleen contractuele formaliteiten.

CNIL: Handhaving van cookies en tracking

De CNIL bleef zich richten op online tracking en toestemming. In 2025 breidde zij de handhaving uit van grote platforms naar e-commerce en mediaorganisaties in het middensegment. De CNIL legde vooral de nadruk op mechanismen voor het intrekken van toestemming: als het moeilijker wordt om toestemming in te trekken dan om toestemming te geven, is dat in strijd met de eis van artikel 7, lid 3, dat toestemming even gemakkelijk moet kunnen worden ingetrokken.

BfDI: Verwerking van werknemersgegevens

De Duitse BfDI verscherpte het toezicht op de verwerking van werknemersgegevens, met name met betrekking tot toezicht op de werkplek, software voor het monitoren van werknemers en het gebruik van biometrische gegevens voor toegangscontrole. Er werden verschillende boetes opgelegd voor het verwerken van werknemersgegevens zonder passende rechtsgrondslag of zonder de juiste transparantie (artikelen 13 en 14).

Garante: Gezondheidszorg en publieke sector

De Italiaanse Garante ging door met haar actieve handhaving in de gezondheidszorgsector, met het bestraffen van ziekenhuizen en gezondheidsautoriteiten voor inbreuken op de beveiliging, onbevoegde toegang tot patiëntendossiers en het niet uitvoeren van DPIA's voor verwerking met een hoog risico. De Garante heeft ook besluiten genomen met betrekking tot het gebruik van gezichtsherkenning door de overheid en op AI gebaseerde besluitvorming.

Wat dit betekent voor KMO's

De handhavingsgegevens van 2025 bevestigen verschillende trends waarop kmo's moeten inspelen:

1. Over elementaire naleving valt niet te onderhandelen. De meest voorkomende boetes zijn voor fundamentele fouten: geen rechtsgrondslag, geen beveiligingsmaatregelen, geen reactie op verzoeken van betrokkenen. Dit zijn geen complexe regelgevende uitdagingen; het zijn fundamentele verplichtingen.
2. Omvang biedt geen immuniteit. De Spaanse AEPD en andere gegevensbeschermingsautoriteiten beboeten regelmatig kleine organisaties. Een boete van EUR 50.000 mag dan klein zijn in de context van de totale GDPR-handhaving, maar voor een MKB-bedrijf is het een materiële boete.
3. Documentatie is uw verdediging. Toezichthoudende instanties beoordelen naleving op basis van wat u kunt aantonen. Niet gedocumenteerde naleving is, vanuit het perspectief van de regelgeving, niet-naleving.
4. Proactieve naleving is goedkoper dan reactieve handhaving. De kosten van het implementeren van de juiste rechtsgrondslagdocumentatie, beveiligingsmaatregelen en procedures voor de rechten van betrokkenen zijn een fractie van de kosten van een boete, de bijbehorende juridische kosten en reputatieschade.

Het GDPR handhavingstraject lijkt niet te keren. De organisaties die nu in naleving investeren, zijn degenen die de krantenkoppen over handhaving in 2026 zullen vermijden.