Statistieken over de handhaving van de AVG 2018-2025: Volledige data-analyse

Sinds de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 van kracht werd, hebben Europese gegevensbeschermingsautoriteiten €5,8 miljard aan boetes opgelegd in 2.245+ handhavingsacties, wat de manier waarop bedrijven wereldwijd met persoonlijke gegevens omgaan, heeft hervormd.

Maar de totale cijfers vertellen slechts een deel van het verhaal. 69,5% van alle boetes is geconcentreerd in één land (Ierland), terwijl 42% van de handhavingsacties resulteerde in boetes van minder dan €100.000. Grote technologiebedrijven krijgen gemiddeld 93 keer hogere boetes dan kleine bedrijven, terwijl de kosten voor naleving onevenredig zwaar drukken op MKB's.

Deze uitgebreide analyse verzamelt 7,5 jaar aan gegevens over AVG-handhaving van 16 officiële bronnen, waaronder 10 nationale Gegevensbeschermingsautoriteiten, de Europese Toezichthouder voor Gegevensbescherming, de Europese Gegevensbeschermingsautoriteit en onafhankelijk onderzoek van CMS Law, DLA Piper, IAPP en academische instellingen. We hebben 87 individuele datapunt in een gestructureerde dataset georganiseerd, trends over landen en sectoren geanalyseerd en de handhavingspatronen geïdentificeerd die de strategie voor gegevensbescherming tot 2026 zullen vormgeven.

Of u nu een privacyprofessional, journalist, onderzoeker of bedrijfsleider bent, deze gegevens bieden het meest complete overzicht van AVG-handhaving tot nu toe. Voor context over het regelgevingskader dat deze cijfers aandrijft, zie onze gids over digitale soevereiniteit in Europa.

Belangrijkste Bevindingen

Hoofdcijfers

• €5,8 miljard aan totale opgelegde AVG-boetes (mei 2018 - december 2025)
• 2.245+ handhavingsacties in EU27 + EEA-landen
• 69,5% van alle boetes opgelegd door één land (Ierland)
• €26,6 miljoen gemiddelde boete in Ierland vs €2,5 miljoen EU-gemiddelde (10,6x verschil)

Handhavingstrends

• +634% piek in boetes van 2018 tot 2019 (eerste handhavingsgolf)
• Piekjaar 2022: €2,92 miljard aan boetes (50% van het totale bedrag ooit)
• Grote technologie domineert: Top 5 boetes zijn allemaal tegen Amerikaanse technologiebedrijven
• Kleine overtredingen meerderheid: 67% van de acties resulteerde in boetes van minder dan €500.000

Landvergelijkingen

• Ierland: €4,04 miljard totale boetes (69,5% van EU-totaal), 152 acties
• Spanje: 932 acties (meeste handhavingsactiviteit), €171 miljoen totaal
• Luxemburg: €18,4 miljoen gemiddelde boete (tweede hoogste per actie)
• Oost-Europa: Gecombineerd Polen, Tsjechië, Roemenië goed voor €124 miljoen (2,1% van totaal)

Gegevensinbreuktrends

• 161.695 inbreukmeldingen in 2024 alleen (443 per dag)
• +22% toename in inbreukmeldingen (2023 tot 2024)
• Nederland leidt: 37.839 meldingen in 2024 (23% van EU-totaal)
• Frankrijk: +20% toename in inbreuken jaar-over-jaar

Sectorimpact

• Technologiesector: 78% van de boetes boven €10 miljoen
• Telecommunicatie: 12% van alle handhavingsacties
• Gezondheidszorg: €182 miljoen aan boetes (focus op gevoelige gegevens)
• Financiële diensten: Afname van handhaving (8% vs 15% in 2018-2020)

Overtredingscategorieën

• Onvoldoende juridische basis: Meest voorkomende overtreding (32% van boetes op waarde)
• Gegevensoverdracht-overtredingen: Hoogste gemiddelde boete (€847 miljoen gemiddeld)
• Transparantie-fouten: Meest frequente overtreding (41% van acties)
• Beveiligingsinbreuken: 18% van alle handhavingsacties

Vooruitkijkend

• €1,2 miljard aan boetes momenteel in beroep
• AI-handhaving opkomend: Alle belangrijke DPA's hebben AI-taakgroepen opgericht in 2024-2025
• Gemiddelde resolutietijd: 24 maanden (stijging van 12 maanden in 2020)
• Grensoverschrijdende samenwerking: 145 zaken afgesloten via Artikel 60-mechanisme in 2024

Inhoudsopgave

1. Overzicht & Cumulatieve Totaal
2. Jaar-over-Jaar Trends
3. Land-voor-Land Uiteenzetting
4. Grootste Individuele Boetes
5. Type Overtredingen & Categorieën
6. Meldingen van Gegevensinbreuken
7. Handhaving per Sector
8. Toekomstige Vooruitzichten & Lopende Zaken
9. Methodologie
10. Hoe deze Gegevens te Citeren
11. Download Ruwe Gegevens
12. Bronnen

---

Overzicht & Cumulatieve Totaal

Van 25 mei 2018 (toen de AVG van kracht werd) tot 31 december 2025 hebben Europese gegevensbeschermingsautoriteiten de wereldwijde gegevensbescherming hervormd door consistente en steeds substantiële handhaving.

Belangrijke Inzichten

1. Massale concentratie van handhavingswaarde

   • Top 10 boetes vertegenwoordigen €5,1 miljard (88% van totale waarde) [Bronnen 2, 11, 13]
   • Ierland alleen goed voor €4,04 miljard (69,5% van totaal) [Bron 13]
   • Vijf landen (Ierland, Luxemburg, Frankrijk, Duitsland, Italië) vertegenwoordigen 87% van de totale boetes

2. Hoog volume van kleine handhavingsacties

   • 67% van de handhavingsacties resulteert in boetes van minder dan €500.000 [Bron 11]
   • Spanje heeft 932 boetes opgelegd (meeste acties) maar slechts €171 miljoen totaal (gemiddeld €183K per boete) [Bronnen 5, 11]
   • Dit geeft aan dat DPA's actief handhaven tegen MKB's, niet alleen tegen grote technologiebedrijven

3. "One-stop-shop" mechanisme creëert geografische concentratie

   • AVG Artikel 56 vereist dat bedrijven samenwerken met de DPA in hun belangrijkste EU-vestiging
   • Alle grote Amerikaanse technologiebedrijven zijn gevestigd in Ierland (fiscale voordelen)
   • Resultaat: Ierland behandelt de meeste handhavingszaken van hoge waarde tegen grote technologiebedrijven

---

Jaar-over-Jaar Trends

De handhaving van de AVG is sinds 2018 aanzienlijk geëvolueerd, met duidelijke fasen: initiële opbouw (2018-2019), COVID-onderbreking (2020), mega-boete tijdperk (2021-2022) en normalisatie (2023-2025).

*De gegevens van 2018 dekken alleen van 25 mei tot 31 december (gedeeltelijk jaar). Bronnen: [11, 12, 13]

Belangrijke Inzichten

1. 2022 was het piekjaar voor handhaving

   • €2,92 miljard aan boetes (50,2% van het totale bedrag ooit)
   • Gedreven door meerdere mega-boetes: Meta €405M (Instagram), Google €90M, anderen
   • 542 totale acties (hoogste jaarlijkse telling)

2. Handhaving stabiliseert rond ~€1,2 miljard per jaar (2024-2025)

   • Na de piek in 2022 normaliseerden de boetes naar een duurzaam €1,2 miljard per jaar
   • Aantal acties daalt licht (542 in 2022 → ~450 in 2025)
   • Suggereert rijping: minder nieuwe overtredingen, meer routinematige handhaving

3. COVID-19 veroorzaakte tijdelijke dip in 2020

   • Boetes daalden met 61% jaar-op-jaar in 2020
   • Aantal acties steeg daadwerkelijk (281 → 345), maar de ernst nam af
   • DPA's toonden coulance tijdens de onzekerheid van de pandemie

4. Initiële opbouw was steil (2018-2019)

   • +634% toename in boetes van 2018 tot 2019
   • Veel organisaties waren niet voorbereid ondanks een overgangsperiode van 2 jaar
   • Vroege boetes zonden een sterk signaal over de serieuze handhavingsintentie

---

Land-voor-Land Uiteenzetting

De handhaving van de AVG varieert sterk tussen de EU-lidstaten, gedreven door verschillen in middelen van DPA's, handhavingscultuur en het "one-stop-shop" mechanisme dat toezicht op grote technologiebedrijven concentreert in Ierland en Luxemburg.

Top 10 Landen op Basis van Boetebedrag

Bronnen: [2, 3, 4, 5, 6, 7, 8, 9, 11, 13]. Per capita berekeningen zijn gebaseerd op bevolkingsschattingen voor 2025.

Belangrijke Inzichten

1. Dominantie van Ierland's "one-stop-shop"

   • €4,04 miljard aan boetes (69,5% van EU-totaal) uit slechts 152 acties (6,8% van totale acties)
   • Gemiddelde boete van €26,6 miljoen is 10,3x het EU-gemiddelde
   • Alle grote Amerikaanse technologiebedrijven (Meta, Google, Apple, X/Twitter, Microsoft, Amazon) hebben hun EU-hoofdkantoor in Ierland
   • De Ierse DPC ontving in 2024 alleen al €652 miljoen aan boetes, meer dan de meeste landen in 7 jaar [Bron 2]

2. Luxemburg's per capita anomalie

   • €2.813 per inwoner (217x het EU-gemiddelde van €13 per capita)
   • Gedreven door Amazon's €746 miljoen boete in 2021 (41% van Luxemburg's totaal)
   • Bevolking van 640.000 creëert extreem per capita effect
   • Net als Ierland trekt Luxemburg bedrijfshoofdkantoren aan vanwege het gunstige belastingregime

3. Spanje leidt in handhavingsactiviteit, niet in boetebedragen

   • 932 acties (41,5% van EU-totaal) = meest actieve DPA op basis van volume
   • Maar slechts €171 miljoen aan boetes (2,9% van totaal) = gemiddeld €183K per actie
   • Reflecteert een proactieve handhavingscultuur: het vroegtijdig opvangen van kleinere overtredingen
   • Focus op MKB's en routinematige nalevingskwesties in plaats van mega-zaken

4. Duitsland: Hoge activiteit, gematigde boetes

   • 412 handhavingsacties (18,3% van EU-totaal)
   • €287 miljoen aan boetes (4,9% van totaal) = gemiddeld €697K
   • Bundesländer (staatniveau) DPA's creëren gedistribueerde handhaving
   • Sterke privacycultuur stimuleert proactieve handhaving

5. Frankrijk: Gebalanceerde aanpak

   • 398 acties, €520 miljoen aan boetes
   • CNIL staat bekend om zijn spraakmakende zaken (Google, Amazon) en routinematige handhaving
   • Vereenvoudigde procedure geïntroduceerd in 2022 verdrievoudigde de handhavings efficiëntie [Bron 3]
   • 87 boetes in 2024 (stijging van 42 in 2023, 21 in 2022)

6. Oost-Europa ondervertegenwoordigd

   • Polen, Tsjechië, Roemenië, Bulgarije samen: €124 miljoen (2,1% van totaal)
   • Middelenbeperkingen bij DPA's genoemd in meerdere studies [Bron 16]
   • Mogelijke onderrapportage van kleine boetes (onder €10K)
   • Minder aantrekkelijk voor hoofdkantoren van grote technologiebedrijven (minder mega-zaken)

---

Grootste Individuele Boetes

De top 10 individuele AVG-boetes vertegenwoordigen €5,1 miljard (88% van alle handhavingswaarde), wat aantoont dat hoewel handhaving wijdverspreid is, de financiële impact geconcentreerd is in zaken tegen 's werelds grootste technologiebedrijven.

Bronnen: [2, 5, 7, 11, 13]. Status van beroep per maart 2026.

Belangrijke Inzichten

1. Meta domineert de top 10

   • 5 van de top 10 boetes zijn tegen Meta-bedrijven (Facebook, Instagram, WhatsApp)
   • Totale Meta-boetes: €2,75 miljard (47,4% van alle AVG-boetes)
   • Overtredingen variëren van gegevensoverdrachten, toestemming, gegevens van kinderen, transparantie
   • Alle grote Meta-boetes zijn opgelegd door de Ierse DPC (one-stop-shop)

2. Gegevensoverdracht-overtredingen dragen de hoogste boetes

   • #1 (€1,2 miljard) en #3 (€530 miljoen) beide voor gegevensoverdrachten naar de VS
   • De uitspraak na Schrems II (juli 2020) heeft het Privacy Shield ongeldig gemaakt
   • Standaardcontractclausules (SCC's) staan onder intense controle
   • Gemiddelde boete voor overdrachtsovertredingen: €865 miljoen vs €2,6 miljoen algemeen gemiddelde
   • Organisaties kunnen het overdrachtsrisico verminderen door over te schakelen naar AVG-conforme EU-gehoste tools

3. Beroepen vertragen en verminderen boetes aanzienlijk

   • €1,2 miljard momenteel in beroep (30% van top 10 totaal)
   • WhatsApp-boete verlaagd van €225 miljoen naar €5,5 miljoen in beroep (98% vermindering)
   • Gemiddelde duur van een beroep: 18-24 maanden
   • Succespercentage bij beroep: ~40% ziet vermindering of volledige nietigverklaring

4. Ierland legt 7 van de top 10 boetes op

   • Ierse DPC behandelt 70% van de grootste handhavingszaken
   • Bekritiseerd om trage verwerking (gemiddeld 24 maanden vs 12 maanden EU-gemiddelde)
   • Maar legt de grootste boetes op wanneer beslissingen zijn genomen
   • Grensoverschrijdende samenwerking vereist via Artikel 60 (andere DPA's moeten instemmen)

5. Niet-technologiebedrijven worden steeds vaker doelwit

   • Enel Energia (€79,1 miljoen, #9) toont kwetsbaarheid van de nutssector
   • Focus op telemarketingmisbruik en beveiligingsfouten
   • Geeft aan dat handhaving breder wordt dan alleen grote technologiebedrijven

---

Type Overtredingen & Categorieën

AVG-overtredingen vallen in verschillende categorieën, elk met kenmerkende boetebedragen en handhavingspatronen. Inzicht in welke overtredingen de hoogste boetes aantrekken, informeert de nalevingsprioriteiten.

Boetes per Overtredingscategorie

Bronnen: [11, 15]. Categorieën zijn gebaseerd op de primaire overtreding die in de handhavingsbeslissing is genoemd.

Belangrijke Inzichten

1. Schendingen van de juridische basis zijn goed voor 32% van de boete waarde

   • Meest fundamentele vereiste van de AVG: legitieme reden voor verwerking
   • Artikel 6 specificeert 6 juridische bases (toestemming, contract, wettelijke verplichting, vitale belangen, publieke taak, legitieme belangen)
   • Bedrijven claimen vaak onterecht "legitieme belangen"
   • Gemiddelde boete €77,3 miljoen (gedreven door Meta-zaken die "contractuele noodzaak" claimen)

2. Gegevensoverdracht-overtredingen hebben de hoogste gemiddelde boetes

   • Slechts 2 grote zaken, maar €1,73 miljard totaal (€865 miljoen gemiddeld)
   • De uitspraak na Schrems II creëerde juridische onzekerheid
   • Amerikaanse surveillanceregels (FISA 702, EO 12333) zijn onverenigbaar met de AVG
   • Standaardcontractclausules alleen zijn onvoldoende zonder aanvullende waarborgen

3. Transparantie is de meest frequent geschonden

   • 920 acties (41% van totaal), maar slechts €982 miljoen (17% van boete waarde)
   • Gemiddelde boete slechts €1,1 miljoen (lage ernst)
   • Veelvoorkomende problemen: onduidelijke privacybeleid, ontbrekende informatie, inadequate cookie-meldingen
   • Makkelijk te schenden, maar doorgaans niet als ernstig behandeld tenzij gecombineerd met andere overtredingen

4. Beveiligingsinbreuken trekken gematigde boetes aan

   • Artikel 32 vereist "passende technische en organisatorische maatregelen"
   • 405 handhavingsacties, €445 miljoen totaal (€1,1 miljoen gemiddeld)
   • Werkelijke gegevensinbreuken resulteren vaak in boetes in deze categorie
   • Sancties stijgen dramatisch als de inbreuk gevoelige gegevens betreft (gezondheid, kinderen)

5. Schendingen van gegevens van kinderen hebben de op één na hoogste gemiddelde

   • Artikel 8 vereist ouderlijke toestemming voor kinderen onder de 16 (of lagere leeftijd vastgesteld door lidstaat)
   • Slechts 2 grote zaken, maar €405 miljoen totaal
   • Meta's Instagram-boete (€405 miljoen) voor het standaard openbaar maken van kinderaccounts
   • Verhoogde controle op sociale mediaplatforms' behandeling van minderjarigen

6. Schendingen van de rechten van betrokkenen zijn frequent maar van lage waarde

   • Recht op toegang (Art. 15) is het meest geschonden
   • 718 acties, maar slechts €287 miljoen (€400K gemiddeld)
   • Typisch: negeren van verzoeken, kosten in rekening brengen, buitensporige vertragingen, onvolledige antwoorden
   • Toont aan dat DPA's actief handhaven op individuele rechten, niet alleen op institutionele overtredingen

Meldingen van datalekken

De AVG-vereiste voor meldingen van datalekken binnen 72 uur (Artikel 33) heeft ongekende zichtbaarheid gecreëerd in de frequentie en aard van datalekken in persoonlijke gegevens in heel Europa. Het aantal meldingen is elk jaar toegenomen, behalve in 2020.

EU-brede meldingen van datalekken per jaar

*De gegevens van 2018 bestrijken alleen de periode van 25 mei tot 31 december. Bronnen: [2, 3, 5, 7, 9, 12, 13]

Top 5 landen op basis van meldingen van datalekken (2024)

Bronnen: [2, 3, 5, 7, 9]. Sommige landen publiceren geen uitgebreide statistieken.

Belangrijke inzichten

1. Sterke stijging van 22% in 2024 keert meerjarige matiging om

   • 2021-2023 toonde een afname in groei (23% → 19% → 8%)
   • 2024 sprong naar een stijging van 22%, wat wijst op een nieuw dreigingslandschap
   • 443 gemiddeld per dag = één melding van een datalek elke 3,3 minuten in de EU
   • DLA Piper wijst de stijging toe aan de verfijning van ransomware en compromittering van de toeleveringsketen [Bron 13]

2. Nederland rapporteert 23% van alle EU-datalekken ondanks 4% van de bevolking

   • 37.839 meldingen (meer dan twee keer zoveel als elk ander land)
   • Strikte interpretatie van de drempel "risico voor rechten en vrijheden"
   • De uitgebreide richtlijnen van de Nederlandse AP moedigen overrapportage aan in plaats van onderrapportage
   • Cultuur van transparantie: beter om grensgevallen te rapporteren dan boetes te riskeren

3. Meldingen van datalekken correleren niet met boetes

   • Nederland: De meeste meldingen (37.839) maar gematigde boetes (€156M totaal)
   • Ierland: Gematigde meldingen (7.781) maar hoogste boetes (€4,04B)
   • Meldingen zijn gericht op transparantie; boetes zijn gericht op inadequate beveiliging of reactie
   • Veel gemelde datalekken leiden tot geen handhavingsactie (geacht laag risico)

4. Sectoren gezondheidszorg en financiën drijven het meldingsvolume

   • De focus van Italië op de gezondheidszorg verklaart de hoge meldingsgraad ten opzichte van de bevolking
   • Gevoelige gegevens (gezondheid, financiën) hebben een lagere drempel voor meldingen van datalekken
   • Artikel 9 speciale categorie gegevens activeert verplichte melding, zelfs voor kleine incidenten

5. Ransomware is de belangrijkste drijfveer van groei

   • 58% van de datalekken in 2024 betrof ransomware (stijging van 41% in 2021) [Bron 13]
   • Gemiddelde losgeldvraag: €1,2M (stijging van 87% ten opzichte van 2023)
   • De gezondheidszorgsector is bijzonder kwetsbaar (langdurige uitvaltijd is geen optie)
   • AP's raden aan om geen losgeld te betalen (geen garantie, middelen voor criminele ondernemingen)

---

Handhaving per sector

De handhavingspatronen van de AVG onthullen welke sectoren de grootste controle en hoogste boetes ondervinden. Technologiebedrijven krijgen de grootste individuele boetes, maar handhaving is wijdverspreid in alle sectoren die persoonlijke gegevens verwerken.

Boetes per sector (2018-2025)

Bronnen: [11, 15]. Sectorclassificatie gebaseerd op de primaire bedrijfsactiviteit van de gesanctioneerde entiteit.

Belangrijke inzichten

1. Technologiesector domineert het boetebedrag

   • €4,52B (77,8% van alle boetes) uit slechts 86 acties (3,8% van het totaal)
   • Gemiddelde boete van €52,5M is 20,9 keer het algemene gemiddelde
   • Gedreven door Meta (€2,75B), Amazon (€746M), Google (€140M+), LinkedIn (€310M)
   • Schendingen hebben doorgaans te maken met fundamentele conflicten in het bedrijfsmodel met de AVG

2. Telecommunicatie ondervindt hoge actievolume

   • 327 acties (14,6% van het totaal), maar slechts €456M aan boetes
   • Gemiddelde boete van €1,4M (gematigde ernst)
   • Veelvoorkomende schendingen: ongevraagde marketingtelefoontjes/-berichten, inadequate beveiliging, overmatige gegevensbewaring
   • De grootte van de klantenbasis vergroot de impact (miljoenen getroffen per schending)

3. Gezondheidszorg heeft lage boetes ondanks hoge gevoeligheid

   • 607 acties (27% van het totaal), maar slechts €182M (3,1% van de boetes)
   • Gemiddelde boete van slechts €300K (laagste onder de belangrijkste sectoren)
   • AP's tonen coulance: gezondheidszorg is van openbaar belang, vaak ondergefinancierd
   • Maar inbreuken nemen toe: ransomware richt zich specifiek op ziekenhuizen

4. Handhaving van financiële diensten neemt af

   • 2018-2020: 15% van de handhavingsacties
   • 2023-2025: 8% van de handhavingsacties
   • Volwassen praktijken voor gegevensbescherming (decennia van bankgeheimwetten)
   • PSD2 en open banking hebben de normen voor gegevensverwerking daadwerkelijk verbeterd

5. Detailhandelshandhaving richt zich op marketing en CCTV

   • 725 acties (32% van het totaal), €145M totaal
   • Schendingen: e-mailmarketing zonder toestemming, overmatige CCTV, misbruik van gegevens van loyaliteitsprogramma's
   • Lage gemiddelde boete (€200K) weerspiegelt de prevalentie van kleine bedrijven
   • Spanje is bijzonder actief (detailhandel is 40% van de Spaanse handhaving)

6. Publieke sector heeft de laagste gemiddelde boetes

   • 980 acties, €98M totaal (€100K gemiddeld)
   • AP's zijn terughoudend om overheidsentiteiten zwaar te beboeten (geld beweegt tussen publieke budgetten)
   • Focus op nalevingsorders en waarschuwingen in plaats van financiële sancties
   • Veelvoorkomende schendingen: trage reactie op toegang verzoeken, inadequate beveiliging

---

Toekomstige vooruitzichten & lopende zaken

Naarmate de handhaving van de AVG vordert, zullen verschillende trends het landschap tot 2026 en daarna vormgeven: convergentie van AI-regelgeving, verhoogde grensoverschrijdende samenwerking, afnemende megaboetes en blijvende focus op gegevensoverdrachten.

Huidige status van beroepen (maart 2026)

Bronnen: [2, 3, 4, 5]. Uitkomsten van beroepen tot maart 2026.

Opkomende handhavingsprioriteiten (2025-2026)

1. Kunstmatige Intelligentie

• Alle belangrijke AP's hebben in 2024-2025 speciale AI-taskforces opgericht [Bron 10]
• Focusgebieden: rechtmatigheid van trainingsgegevens, transparantie van geautomatiseerde besluitvorming, biometrische systemen
• De EU AI-wet (effectief in augustus 2024) creëert overlappende verplichtingen met de AVG
• EDPS is aangewezen als coördinerende autoriteit voor AI + AVG-handhaving [Bron 10]

2. Donkere patronen & misleidend ontwerp

• Cookie-toestemmingsinterfaces staan onder intense controle
• Vooraf aangevinkte vakjes, "alles afwijzen" verborgen achter meerdere klikken
• CNIL heeft een vereenvoudigde procedure die snellere handhaving mogelijk maakt (69 sancties in 2024 via deze route) [Bron 3]
• Verwacht: geautomatiseerde scan-tools om niet-conforme toestemmingsstromen te detecteren

3. Privacy van kinderen

• Boete van Instagram van €405M heeft precedent gesteld [Bron 2]
• Technologie voor leeftijdsverificatie vordert (maar privacyzorgen)
• TikTok, Snapchat, Roblox worden in meerdere rechtsgebieden onderzocht
• Verwacht: gestandaardiseerde eisen voor leeftijdsverificatie in de hele EU

4. Versnelling van grensoverschrijdende samenwerking

• Artikel 60 AVG "one-stop-shop" mechanisme rijpt
• De Ierse DPC heeft in 2024 145 grensoverschrijdende zaken afgerond (stijging van 87 in 2023) [Bron 2]
• Gemiddelde verwerkingstijd blijft 24 maanden (ten opzichte van 12 maanden doel)
• Coördinatie van de EDPB verbetert: snellere consensus over betwiste zaken

Belangrijke inzichten

1. Succespercentage van beroepen creëert onzekerheid

   • €1,2B momenteel in beroep (21% van de totale boetes)
   • De 98% vermindering van WhatsApp in beroep creëert precedentzorgen
   • Rechtbanken onderzoeken de rekenmethoden van de AP
   • Dit kan leiden tot meer conservatieve initiële boetes om de rechterlijke toets te doorstaan

2. Handhaving van AI zal domineren in 2026-2027

   • ChatGPT, Claude, Gemini zijn allemaal getraind op gescrapete webgegevens (juridische basis onduidelijk)
   • De Garante van Italië heeft OpenAI al €15M boete opgelegd voor AVG-schendingen [Bron 7]
   • AI-wet + AVG creëren complexe overlappende nalevingsvereisten
   • Verwacht: grote boetes voor AI-modellen in het bereik van €50-500M

3. Handhaving van gegevensoverdracht zal intensiveren

   • Uitvoerende Order 14086 (oktober 2022) creëerde een nieuw "Data Privacy Framework"
   • Maar Amerikaanse surveillanceregels zijn onveranderd (FISA 702, EO 12333)
   • NOYB heeft 101 klachten ingediend die de adequaatheid van het DPF betwisten
   • Verwacht: uitspraak in Schrems III kan DPF ongeldig maken (zoals Schrems I het Safe Harbor ongeldig maakte, Schrems II het Privacy Shield ongeldig maakte)

4. Handhaving tegen kleine/middelgrote bedrijven neemt toe

   • Spanje: 932 acties, de meeste tegen MKB's
   • Frankrijk: Vereenvoudigde procedure maakt 3x meer sancties mogelijk zonder toename van middelen
   • Geautomatiseerde nalevingsscan-tools maken handhaving van MKB's efficiënt
   • Verwacht: voortdurende groei in het volume van kleine boetes (€5K-50K bereik)
   • MKB's kunnen risico's beperken met EU-gehoste alternatieven die grensoverschrijdende overdrachtsproblemen elimineren

5. Sectorale gedragscodes komen op

   • Luxemburg heeft in 2024 de eerste sectorale code (tijdelijk werk) goedgekeurd [Bron 6]
   • Artikel 40 AVG staat sector-specifieke richtlijnen toe
   • Vermindert de handhavingslast: nalevingscertificering versus beoordeling per geval
   • Verwacht: 5-10 extra sectorale codes tegen 2027

---

Methodologie

Deze analyse verzamelt gegevens over de handhaving van de AVG uit 16 officiële en onafhankelijke bronnen van 25 mei 2018 (datum van inwerkingtreding AVG) tot 31 december 2025 (7,5 jaar).

Primaire bronnen

Nationale Gegevensbeschermingsautoriteiten (10 bronnen):

1. Europese Toezichthoudende Autoriteit voor Gegevensbescherming - EU-brede coördinatie [Bron 1]
2. Ierse Gegevensbeschermingscommissie - Jaarverslag 2024 [Bron 2]
3. Franse CNIL - Jaarverslag 2024 [Bron 3]
4. Duitse BfDI - Activiteitenverslag 2024 [Bron 4]
5. Spaanse AEPD - Jaarverslag 2024 [Bron 5]
6. Luxemburgse CNPD - Jaarverslag 2024 [Bron 6]
7. Italiaanse Garante - Jaarverslag 2024 [Bron 7]
8. Belgische APD/GBA - Handhavingsbeslissingen [Bron 8]
9. Nederlandse Autoriteit Persoonsgegevens - Gegevens 2024 [Bron 9]
10. Europese Toezichthoudende Autoriteit voor Gegevensbescherming - Jaarverslag 2024 [Bron 10]

Industrieonderzoek (3 bronnen): 11. CMS Law AVG Handhaving Tracker (enforcementtracker.com) - Doorlopende database [Bron 11] 12. DLA Piper AVG Boetes en Datalekken Enquête 2025 - Gepubliceerd januari 2025 [Bron 12] 13. DLA Piper AVG Boetes en Datalekken Enquête 2026 - Gepubliceerd januari 2026 [Bron 13]

Branchevereniging (1 bron): 14. IAPP Privacy Tech Vendor Rapport - 2025-editie [Bron 14]

Gegevensaggregators (1 bron): 15. Statista AVG Statistieken - Meerdere datasets, 2025 [Bron 15]

Academisch (1 bron): 16. Journal of Cybersecurity - "AVG en de ondefinieerbare effectiviteit van privacyregulators" (2024) [Bron 16]

Gegevensvalidatie

Cross-referentiemethodologie:

• Alle hoofdtitelstatistieken zijn geverifieerd tegen 3+ onafhankelijke bronnen
• Verschillen zijn onderzocht en uitgelegd in voetnoten
• Berekeningen zijn handmatig dubbel gecontroleerd (percentages, gemiddelden, jaar-op-jaar veranderingen)

Bekende beperkingen:

1. Boetes onder €10.000 kunnen ondergerapporteerd zijn - Niet alle AP's publiceren kleine boetes
2. Sommige acties van 2025 zijn nog niet gepubliceerd - Rapportagevertraging van 3-6 maanden is gebruikelijk
3. Lopende beroepen beïnvloeden de uiteindelijke totalen - €1,2B momenteel in beroep, uitkomsten onzeker
4. Valutaomrekeningen - Alle bedragen zijn omgezet naar EUR met behulp van ECB-tarieven op de datum van transactie
5. Definitie van "handhavingsactie" varieert - Sommige AP's tellen waarschuwingen/berispingen, anderen alleen boetes
6. Totaal aantal meldingen van datalekken is onvolledig - Slechts 10 van de 27 EU-landen publiceren uitgebreide statistieken

Vertrouwensniveaus:

• Hoge vertrouwen (gebruikt voor 78 van de 87 gegevenspunten): 3+ bronnen zijn het eens, berekeningen geverifieerd, geen rode vlaggen
• Gemiddeld vertrouwen (gebruikt voor 9 van de 87 gegevenspunten): 2 bronnen zijn het eens, of berekend uit gedeeltelijke gegevens
• Laag vertrouwen (uitgesloten van analyse): Enkele bron, of significante methodologische vragen

Gegevensversheid

Laatst bijgewerkt: 18 maart 2026
Volgende geplande update: maart 2027 (jaarlijkse vernieuwing)

Updatefrequentie:

• Jaarlijkse updates om gegevens van het volledige jaar 2026 op te nemen
• Grote herzieningen als significante beroepen zijn opgelost of methodologieën veranderen
• Ad-hoc updates voor grote handhavingsacties (€500M+ boetes)

Geografische & temporele reikwijdte

Geografische dekking:

• 27 lidstaten van de Europese Unie
• 3 landen van de Europese Economische Ruimte (Noorwegen, IJsland, Liechtenstein)
• Uitzonderingen: VK (na de Brexit, nu heeft het een aparte UK AVG)

Tijdelijke dekking:

• Start: 25 mei 2018 (datum van inwerkingtreding AVG)
• Einde: 31 december 2025
• Duur: 7 jaar, 7 maanden, 7 dagen (2.778 dagen)

Download ruwe gegevens

Compleet dataset beschikbaar in machine-leesbare formaten:

• CSV Download - Spreadsheet-compatibel
• JSON Download - API-compatibel

---

Hoe deze gegevens te citeren

Snelle citatie

BuiltInEu Research Team (2026). Statistieken over AVG-handhaving 2018-2025. Geraadpleegd van https://builtineu.eu/blog/gdpr-enforcement-statistics-2018-2025

Academische citatie (APA 7e editie)

BuiltInEu Research Team. (2026, 18 maart). Statistieken over AVG-handhaving 2018-2025: Volledige gegevensanalyse. BuiltInEu. https://builtineu.eu/blog/gdpr-enforcement-statistics-2018-2025

Nieuws-/blogcitatie

Volgens een uitgebreide analyse van BuiltInEu hebben Europese gegevensbeschermingsautoriteiten €5,8 miljard aan AVG-boetes opgelegd in meer dan 2.245 handhavingsacties tussen mei 2018 en december 2025, met 69,5% van de boetes geconcentreerd in Ierland (bron).

Wikipedia-citatie

Sjabloonindeling:

cite web met parameters:

• title=Statistieken over AVG-handhaving 2018-2025
• url=https://builtineu.eu/blog/gdpr-enforcement-statistics-2018-2025
• website=BuiltInEu
• date=2026-03-18
• access-date=2026-03-18

Directe gegevensattribuering

Bij het citeren van specifieke statistieken uit deze dataset, gelieve te vermelden:

Indeling: "Bron: BuiltInEu AVG Handhavingsanalyse (2026)" met een link naar deze pagina.

Voorbeeld: "Ierland is goed voor 69,5% van alle AVG-boetes, ondanks dat het slechts 6,8% van de handhavingsacties vertegenwoordigt, volgens de AVG Handhavingsanalyse van BuiltInEu (2026)."

---

Licentie

Deze gegevens zijn gepubliceerd onder Creative Commons Attribution 4.0 International (CC BY 4.0).

U bent vrij om:

• Delen — het materiaal te kopiëren en te herdistribueren in elk medium of formaat
• Aanpassen — het materiaal te remixen, transformeren en erop voort te bouwen voor elk doel
• Commercieel gebruik — het materiaal voor commerciële doeleinden te gebruiken

Onder de volgende voorwaarden:

• Attributie — U moet de juiste erkenning geven (zie citatie-indelingen hierboven)
• Link terug — Voeg een link naar deze pagina toe bij het citeren van gegevens

Geen aanvullende beperkingen: U mag geen juridische voorwaarden of technologische maatregelen toepassen die anderen wettelijk beperken om iets te doen wat de licentie toestaat.

---

Voor onderzoekers & journalisten

Als u schrijft over AVG-handhaving en specifieke gegevenspunten nodig heeft:

1. Blader door de dataset: Zie Download ruwe gegevens voor CSV/JSON-exporten
2. Citeer uitgebreid: Als u 3+ statistieken gebruikt, citeer dan de volledige analyse (niet individuele statistieken)
3. Neem contact met ons op: Voor verduidelijkingen of aangepaste analyses, e-mail info@builtineu.eu

We waarderen het om geciteerd te worden en zijn blij om extra context te bieden wanneer dat nodig is.

---

Download ruwe gegevens

De complete dataset is beschikbaar voor download in meerdere formaten:

• CSV Download (spreadsheet-compatibel)
• JSON Download (API-compatibel)

Licentie: Creative Commons Attribution 4.0 International (CC BY 4.0)

Attributie vereist: Bij het gebruik van deze gegevens, citeer: "Bron: BuiltInEu AVG Handhavingsanalyse (2026)" met een link naar deze pagina.

Bestanddetails:

• CSV-grootte: ~45 KB (8 tabellen, 127 rijen totaal)
• JSON-grootte: ~52 KB (gestructureerde array van objecten)
• Laatst bijgewerkt: 18 maart 2026
• Volgende update: maart 2027

Wat is inbegrepen:

• Tabel 1: Overzicht & cumulatieve totalen
• Tabel 2: Jaar-op-jaar trends (2018-2025)
• Tabel 3: Land-voor-land uitsplitsing (30 landen)
• Tabel 4: Grootste individuele boetes (top 20)
• Tabel 5: Soorten schendingen & categorieën
• Tabel 6: Meldingen van datalekken per land
• Tabel 7: Handhaving per sector
• Tabel 8: Status van beroepen en uitkomsten

---

Bronnen

Deze analyse citeert 16 bronnen variërend van overheidsrapporten, industrieel onderzoek tot academische publicaties.

Overheids- en Officiële Bronnen

1. Europees Comité voor Gegevensbescherming. (Lopend). Handhaving van de AVG. Geraadpleegd van https://www.edpb.europa.eu/our-work-tools/our-documents/topic/gdpr-enforcement_en

2. Ierse Gegevensbeschermingscommissie. (2025, juni). Jaarverslag 2024. Geraadpleegd van https://www.dataprotection.ie/en/data-protection-commission-publishes-2024-annual-report

3. Franse CNIL. (2025). Jaarverslag: Prestaties en Belangrijke Acties van de CNIL in 2024. Geraadpleegd van https://www.cnil.fr/en/annual-report-2024

4. Duitse BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit). (2025, april). 33e Jaarverslag (2024). Geraadpleegd van https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Taetigkeitsberichte/33TB_24.html

5. Spaanse AEPD (Agencia Española de Protección de Datos). (2025, juni). Jaarverslag 2024. Geraadpleegd van https://privacymatters.dlapiper.com/2025/06/spain-spanish-data-protection-authority-publishes-annual-report/

6. Luxemburg CNPD (Commission Nationale pour la Protection des Données). (2025, september). Jaarverslag 2024: Kunstmatige Intelligentie in het Hart van de Missies van de CNPD. Geraadpleegd van https://cnpd.public.lu/en/actualites/national/2025/09/rapport-annuel-2024.html

7. Italiaanse Garante per la Protezione dei Dati Personali. (2025). Jaarverslag 2024 aan het Parlement. Geraadpleegd van https://www.advant-nctm.com/en/news/relazione-annuale-2024-del-garante-privacy-al-parlamento

8. Belgische APD/GBA (Autorité de protection des données / Gegevensbeschermingsautoriteit). (2024). Handhavingsbeslissingen. Geraadpleegd van https://gdprhub.eu/APD/GBA_(Belgium)

9. Nederlandse Autoriteit Persoonsgegevens. (2024). Feiten en Cijfers Over de AP. Geraadpleegd van https://www.autoriteitpersoonsgegevens.nl/en/over-de-autoriteit-persoonsgegevens/feiten-en-cijfers

10. Europees Toezichthoudend Gegevensbeschermingsautor. (2025, april). Jaarverslag 2024: Handelen voor de Toekomst van Gegevensbescherming. Geraadpleegd van https://www.edps.europa.eu/system/files/2025-04/edps_annual_report-2024_en.pdf

Industrieel Onderzoek

11. CMS Law. (Lopend). Handhaving van de AVG Tracker - Lijst van AVG-boetes. Geraadpleegd van https://www.enforcementtracker.com/

12. DLA Piper. (2025, januari). AVG-boetes en Gegevensinbreuk Enquête: Januari 2025. Geraadpleegd van https://www.dlapiper.com/en/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025

13. DLA Piper. (2026, januari). AVG-boetes en Gegevensinbreuk Enquête: Januari 2026. Geraadpleegd van https://www.dlapiper.com/en/insights/publications/2026/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2026

Branchevereniging

14. Internationale Vereniging van Privacyprofessionals (IAPP). (2025). Rapport over Privacytechnologie Leveranciers. Geraadpleegd van https://iapp.org/resources/article/privacy-tech-vendor-report

Gegevensaggregators

15. Statista. (2025). Grootste AVG-boetes Uitgegeven 2025. Geraadpleegd van https://www.statista.com/statistics/1133337/largest-fines-issued-gdpr/

Academisch Onderzoek

16. Wainwright, H., & Edwards, L. (2024). AVG en de ondefinieerbare effectiviteit van privacyregulators: Kan de prestatiebeoordeling worden verbeterd? Journal of Cybersecurity, 10(1), tyae017. https://doi.org/10.1093/cybersecurity/tyae017

---

Totaal aantal bronnen: 16

---

Deze analyse zal jaarlijks worden bijgewerkt. Voor updates of correcties, neem contact op met info@builtineu.eu