Skip to content
Misvattingen calendar_today Bijgewerkt: 6 april 2026 schedule 4 min leestijd

Misvatting: GDPR is een Voorbijgaande Trend, het zal Overwaaien

Sommige ondernemers wachten af in de hoop dat GDPR verdwijnt of afgezwakt wordt. Maar GDPR is permanente Europese wetgeving en vergelijkbare wetten worden wereldwijd ingevoerd. Wachten maakt het alleen maar duurder.

summarize Kernpunten
  • check_circle GDPR is een Europese verordening met directe werking, geen tijdelijk beleid dat afgezwakt kan worden
  • check_circle De handhaving wordt elk jaar strenger: de totale boetes stegen van €400 miljoen in 2019 naar meer dan €4 miljard cumulatief in 2024
  • check_circle Meer dan 150 landen hebben inmiddels vergelijkbare privacywetgeving ingevoerd of in voorbereiding
  • check_circle Hoe langer je wacht, hoe groter het gat tussen wat je doet en wat je zou moeten doen

De misvatting

“GDPR is weer zo’n Europese hype. Geef het een paar jaar en het waait over. Of ze zwakken het af omdat het onwerkbaar is voor bedrijven.”

We horen dit regelmatig, vooral van ondernemers die GDPR zien als een administratieve last. De redenering is begrijpelijk: veel regelgeving wordt na een paar jaar aangepast of verdwijnt. Waarom zou je investeren in iets dat misschien tijdelijk is?

Maar deze redenering klopt niet. Helemaal niet.

Waarom dit niet klopt

De GDPR (in het Nederlands ook de AVG, Algemene Verordening Gegevensbescherming) is geen beleidsnotitie of richtlijn. Het is een Europese verordening met directe werking in alle 27 EU-lidstaten. Dat betekent dat het dezelfde juridische status heeft als nationale wetgeving, zonder dat individuele landen het kunnen afzwakken.

Om GDPR af te schaffen of fundamenteel te wijzigen is een volledige Europese wetgevingsprocedure nodig, met goedkeuring van het Europees Parlement en de Raad van Ministers. De politieke realiteit? Er is nergens in Europa een serieuze beweging om GDPR af te zwakken. Integendeel.

De trend gaat de andere kant op

In plaats van afzwakking zien we juist een versterking van privacyregels:

  • De EU heeft de Digital Services Act (DSA) en de Digital Markets Act (DMA) ingevoerd
  • De AI Act stelt strengere eisen aan het gebruik van persoonsgegevens in kunstmatige intelligentie
  • De ePrivacy Verordening is in voorbereiding en verscherpt de regels rond elektronische communicatie

Europa zet niet minder, maar meer in op digitale rechten van burgers.

De rest van de wereld volgt

GDPR was het startschot voor een wereldwijde golf van privacywetgeving:

  • Brazilie: LGPD (Lei Geral de Protecao de Dados), van kracht sinds 2020
  • Verenigde Staten: California (CCPA/CPRA), Virginia, Colorado, Connecticut en meer dan 15 andere staten met eigen privacywetten
  • Canada: herziening van de privacywet PIPEDA naar de strengere Consumer Privacy Protection Act
  • India: Digital Personal Data Protection Act, van kracht sinds 2023
  • Japan, Zuid-Korea, Thailand, Australie: allemaal met GDPR-geinspierde wetgeving

Meer dan 150 landen hebben inmiddels een vorm van privacywetgeving. De richting is duidelijk: privacy is een fundamenteel recht dat alleen maar beter beschermd wordt.

De handhaving wordt elk jaar sterker

Als GDPR een voorbijgaande trend was, zou je verwachten dat de handhaving afneemt. Het tegendeel is waar:

  • 2019: circa €400 miljoen aan GDPR-boetes in heel Europa
  • 2021: meer dan €1,1 miljard in dat jaar alleen
  • 2023: recordboetes, waaronder €1,2 miljard voor Meta door de Ierse toezichthouder
  • 2024: het cumulatieve bedrag aan GDPR-boetes overschreed de €4 miljard

De Autoriteit Persoonsgegevens in Nederland kreeg er in 2024 extra budget en personeel bij. De Belgische GBA breidde haar handhavingscapaciteit uit. Dit zijn geen tekenen van een wet die op zijn retour is.

Echt voorbeeld: het Duitse MKB

In Duitsland, waar de toezichthouders per deelstaat opereren, werden in 2023 tientallen boetes uitgedeeld aan kleine en middelgrote bedrijven. Bedragen van €5.000 tot €50.000 voor relatief simpele overtredingen: geen verwerkingsregister, een slecht beveiligd klantenbestand, of het niet reageren op een inzageverzoek. Dit zijn geen uitzonderingen meer, dit is het nieuwe normaal.

Wat je moet doen

Wachten is geen strategie. Hoe langer je niets doet, hoe groter het gat wordt tussen wat je doet en wat je zou moeten doen. En hoe duurder het wordt om dat gat te dichten.

1. Accepteer dat GDPR blijft

Dit klinkt simpel, maar het is de eerste stap. Zodra je stopt met hopen dat het overwaait, kun je praktisch aan de slag.

2. Begin met de basis

Je hoeft niet alles in een keer te doen. Start met de drie pijlers: een verwerkingsregister, verwerkersovereenkomsten met je verwerkers, en een fatsoenlijke privacyverklaring.

3. Maak het onderdeel van je bedrijfsvoering

GDPR is geen project met een einddatum. Het is een doorlopende verantwoordelijkheid, net als je boekhouding. Plan een jaarlijkse review en houd je documentatie bij.

4. Gebruik de tijd die je hebt

Elke dag dat je nu investeert in compliance, bespaart je straks geld en stress als er een klacht binnenkomt of als een klant vraagt hoe je met zijn gegevens omgaat.

auto_awesome Wil je weten waar je echt staat?

GDPRWise scant je website en geeft je een compleet beeld van je GDPR-status. In 15 minuten weet je wat er goed zit en wat je nog moet regelen.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.