top of page
logo.png
rood vlak

10 jaar GDPR: van gevreesd schrikbeeld tot gouden standaard — en nu?

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 26 apr
  • 6 minuten om te lezen

Op 27 april 2016 werd de Algemene Verordening Gegevensbescherming (AVG/GDPR) formeel aangenomen door het Europees Parlement. Tien jaar later is het tijd voor een eerlijke balans. Wat heeft de verordening werkelijk veranderd, welke rechtspraak heeft het kader gevormd, en klopt het dat de GDPR nu opnieuw op de tekentafel ligt?


Terug naar 2016: hoge verwachtingen, grotere vrees



Toen de GDPR in het voorjaar van 2016 werd goedgekeurd, met een overgangsperiode tot 25 mei 2018, overheerste bij veel ondernemingen vooral één gevoel: paniek. Boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet spraken tot de verbeelding.


Consultants voorspelden een tsunami aan klachten en sancties en wat precies moest gebeuren was voor veel ondernemingen nog onduidelijk.


De ambities van de Europese wetgever waren niet min:

  • één geharmoniseerd kader over alle lidstaten heen;

  • een verschuiving van formele naleving naar accountability (zelf kunnen aantonen dat je compliant bent);

  • sterkere rechten voor burgers (inzage, rectificatie, wissing, dataportabiliteit);

  • een afschrikwekkende sanctieregeling die ook de techreuzen zou raken.


Voor kmo's was het geen evidente oefening. Een verwerkingsregister opstellen, een privacyverklaring opstellen, datalekprocedures uitwerken, en in sommige gevallen een DPO aanstellen: het voelde voor velen als een disproportionele last.



De "stilte na de storm" (2018–2020)


Na 25 mei 2018 bleef het, tegen de verwachtingen in, opvallend stil. De grote boetes bleven aanvankelijk uit. Toezichthouders — waaronder de Belgische Gegevensbeschermingsautoriteit (GBA) waren nog vooral 'in oprichting' en gaven weinig sturing en de regen aan klachten bleef (gelukkig) uit.


Heel wat ondernemingen gingen ook de uitdaging aan (al dan niet met de ondersteuning van Mr. Franklin) en het waren boeiende pionierstijden.



Handhaving: de cijfers na tien jaar


Inmiddels zijn de cijfers wel veranderd. Volgens de meest recente editie van de jaarlijkse GDPR Fines and Data Breach Survey van DLA Piper is sinds de invoering van de GDPR in totaal voor ongeveer €7,1 miljard aan boetes opgelegd binnen de EER. Enkele mijlpalen:

  • Meta (Ierland, mei 2023): €1,2 miljard voor het ongeoorloofd doorgeven van persoonsgegevens van Europese gebruikers naar de Verenigde Staten. Tot op vandaag de hoogste GDPR-boete ooit.

  • Amazon (Luxemburg, 2021): €746 miljoen wegens gebrekkige rechtsgrond voor reclameverwerking.

  • TikTok (Ierland, 2025): €530 miljoen voor problemen rond internationale datadoorgifte.

  • Netflix (Nederland, december 2024): €4,75 miljoen wegens onvolledige antwoorden op inzageverzoeken.


De Ierse Data Protection Commission blijft met voorsprong de grootste slokkop wat betreft boetes, met een totaal van ruim €4 miljard — vooral omdat de meeste Amerikaanse techgiganten hun Europees hoofdkwartier in Dublin hebben gevestigd.



Minstens even betekenisvol: in 2025 is het aantal gemelde datalekken met ongeveer 22% gestegen en werd voor het eerst de grens van gemiddeld 400 meldingen per dag in de EU. Dit wijst enerzijds op meer ondernemingen die de GDPR en de meldplicht bij datalekken volgen, maar anderzijds ook op het feit dat het aantal cyberincidenten jaar na jaar toeneemt en de risico's dus alleen maar groter geworden zijn.



De rechtspraak die alles heeft gevormd


Boetes zijn één zaak, maar de echte uitdieping van de GDPR gebeurde in de rechtszaal.


Enkele arresten van het Hof van Justitie van de Europese Unie (HvJ-EU) hebben de toepassing van de verordening fundamenteel bijgestuurd:


Schrems II (C-311/18, juli 2020) — Het Hof verklaarde het EU-US Privacy Shield ongeldig en stelde strenge voorwaarden aan standaard contractuele bepalingen voor doorgiftes naar derde landen. Dit arrest ligt aan de basis van de miljardenboete voor Meta en heeft internationale dataoverdrachten blijvend gecompliceerd.


Planet49 (C-673/17, oktober 2019) — Standaard aangevinkte cookievakjes voldoen niet als geldige toestemming. Dit arrest dwong miljoenen websites om hun cookiebanners opnieuw te ontwerpen en legde de basis voor de huidige toestemmingspraktijk.


Google Spain / "recht om vergeten te worden" — Al van vóór de GDPR, maar richtinggevend voor artikel 17. In het latere arrest CNIL/Google (2019) preciseerde het Hof dat dit recht in beginsel niet wereldwijd geldt, maar beperkt blijft tot de EU.


La Quadrature du Net (C-511/18, oktober 2020) — Algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens door telecomoperatoren is in strijd met het EU-recht. Een kernarrest voor de spanning tussen nationale veiligheid en fundamentele rechten.


Lindenapotheke (C-21/23, 2024) — Het Hof oordeelde dat inbreuken op de GDPR ook via het mededingingsrecht kunnen worden aangevochten door concurrenten. Een belangrijke uitbreiding van het handhavingsarsenaal, die ondernemingen blootstelt aan een nieuw type civielrechtelijk risico.


KNLTB (C-621/22, 2024) — Commerciële belangen kunnen in principe een "gerechtvaardigd belang" vormen in de zin van artikel 6, maar enkel mits strikte noodzakelijkheids- en afwegingstest. Een genuanceerd antwoord op een vraag die de praktijk jarenlang verdeelde.


Ook de Gegevensbeschermingsautoriteit heeft niet stilgezeten en publiceert een honderdtal beslissingen per jaar.



Verwachtingen versus realiteit: een genuanceerde balans


Wat heeft gewerkt:

  • Privacy staat op de directieagenda. Uit internationaal onderzoek blijkt dat ongeveer één op de twee bedrijfsleiders gegevensbescherming bij hun top-5 prioriteiten rekent.

  • De GDPR heeft wereldwijd navolging gekregen — van de Californische CCPA tot de Braziliaanse LGPD. De GDPR is effectief de standaard geworden op vlak van wetgeving rond gegevensbescherming.

  • Burgers kennen hun rechten beter en maken er gebruik van. Inzageverzoeken en klachten bij de GBA zijn geen uitzondering meer en tools zoals ChatGPT zorgen er voor dat de klachten steeds uitgebreider worden.

  • De meldplicht bij datalekken heeft geleid tot snellere detectie en meer transparantie.


Waar het knelt:

  • We leven in een realiteit dat we in de EU nog te veel afhankelijk zijn van niet-EU spelers, waaronder de VS. Het geo-politieke klimaat het voorbije jaar heeft echter ook bij de beleidsmakers (eindelijk) de alarmbellen laten afgaan en steeds meer landen werken eraan om deze afhankelijkheid af te bouwen.

  • Cookiebanners zijn voor veel gebruikers een bron van ergernis geworden — eerder een compliance-ritueel dan een echte bescherming.

  • De administratieve last weegt op sommige ondernemingen (deels door onwetendheid om dit pragmatisch aan te pakken maar deels ook door beperkte middelen), vooral dan op kmo's zonder interne juridische expertise.


2026: de Digital Omnibus en een nieuwe balansoefening



Eind 2025 heeft de Europese Commissie een voorstel gelanceerd dat de grootste bijsturing van de GDPR sinds 2018 kan worden: de Digital Omnibus. Het pakket werd op 19 november 2025 voorgesteld en op 26 maart 2026 stemde het Europees Parlement in met het ontwerpverslag ter voorbereiding van de triloogfase.


De Commissie beoogt expliciet vereenvoudiging en hogere concurrentiekracht tegenover de Verenigde Staten en China, met een sterkere focus op AI-ontwikkeling. Onder de voorgestelde wijzigingen:

  • een verduidelijkte (en mogelijk versmalde) definitie van wat persoonsgegevens zijn, met name voor gepseudonimiseerde data;

  • een verruimde grondslag om bijzondere categorieën van gegevens te gebruiken voor het trainen van AI-modellen;

  • aanpassingen aan het cookie consent-kader, met ruimte voor browser-based consent;

  • versoepelingen van de informatie- en inzageverplichtingen.


De reacties zijn fel verdeeld. De European Data Protection Board en de European Data Protection Supervisor steunen de vereenvoudigingsambitie, maar waarschuwen met klem tegen een uitholling van het begrip persoonsgegevens. Privacy-ngo's zoals noyb (van Max Schrems) wijzen erop dat de voorstellen vaak niet raken aan wat DPO's in de praktijk écht belastend vinden — documentatie en bureaucratie — maar wel aan de kernrechten van betrokkenen.


Mijns inziens moeten de waarschuwingen om de definitie van persoonsgegevens uit te breiden genuanceerd worden. Mijn ervaring is eerder dat het feit dat gepseudonimiseerde gegevens niet automatisch als persoonsgegevens aanzien worden eerder meer dataveiligheid met zich meebrengt, doordat ondernemingen een grotere incentive voelen om gegevens effectief beter te gaan beveiligen en pseudonimiseren alvorens deze te delen. Hierdoor moet namelijk geen verwerkersovereenkomst meer ondertekend worden, wat een grote administratieve last wegneemt, naast de hogere dataveiligheid.


De kans is reëel dat de uiteindelijke tekst nog aanzienlijk bijgeschaafd wordt in de triloog, en een inwerkingtreding vóór 2027 lijkt weinig waarschijnlijk.


Conclusie: de GDPR is volwassen, maar onder druk


ien jaar na de aanname is de GDPR onmiskenbaar een succes in één opzicht: dataprivacy is een volwaardig onderdeel geworden van het zakelijk denken, in Europa én ver daarbuiten. De gevreesde tsunami aan boetes is al bij al beperkt gebleven en de rechtspraak heeft de ruwe contouren van de verordening omgezet in een hanteerbaar kader.


Tegelijk staat dat kader onder druk. De opkomst van generatieve AI, de geopolitieke concurrentie met de VS en China, en de aanhoudende klachten over regeldruk bij kmo's duwen Europa naar een nieuwe afweging: hoe bewaar je de bescherming van grondrechten zonder de innovatie te fnuiken?


De komende jaren zullen bepalen of de GDPR aan haar tweede decennium begint als gouden standaard — of als kader in grondige herziening die hoopt aan te sluiten bij de mondiale realiteit. Eén ding is zeker: wie dacht dat gegevensbescherming een modewoord was dat zonder meer zal overvliegen, heeft de voorbije 10 jaar alleszins ongelijk gekregen.

bottom of page