Waarom bly GDPR-boetes styg?

Deur Nicholas Fearn • 24 Februarie 2026

Boetes ingevolge die Algemene Verordening oor Databeskerming bly toeneem namate Europese reguleerders hul reaksie op data-voorvalle verskerp. Volgens die GDPR-afdwingingsopsporing het firmas in 2025 meer as 330 boetes opgelê. Die regsfirma DLA Piper beweer dat dit altesaam €1.2 miljard beloop het.

Die sosialemediafirma TikTok is met die grootste GDPR-boete van 2025 getref. Die boete van €530 miljoen, wat in Ierland opgelê is, het betrekking op die deel van Europese gebruikersdata met personeel in China. Verlede jaar het ook daartoe gelei dat Luxemburg se data-toesighoudende owerheid 'n GDPR-boete van €746 miljoen in 2021 teen Amazon gehandhaaf het nadat dit gebruikersdata vir advertensiedoeleindes sonder gebruikerstoestemming ingesamel het. 'n Appèl deur Amazon is verwerp, wat daarop dui dat Europese databeskermingswaghonde ernstig is oor GDPR-afdwinging.

Die voortgesette voorkoms van GDPR-boetes kan toegeskryf word aan 'n rekordtoename in kennisgewings van data-oortredings, wat firmas binne 72 uur na 'n data-insident moet uitreik. DLA Piper het bevind dat hierdie kennisgewings in 2025 vir die eerste keer sedert die implementering van GDPR in 2018 400 per dag bereik het. Tussen Januarie 2024 en Januarie 2026 het hulle 443 oorskry – 'n styging van 22% vanaf 363. DLA Piper skryf dit toe aan hacking gedryf deur wêreldwye geopolitieke onstabiliteit, verhoogde persdekking van kubermisdaad, en die opkoms van wette en reëls oor data-oortredings wat kennisgewings van voorvalle verpligtend maak.

Dit is duidelik dat databeskermingsreguleerders nie bereid is om GDPR-oortredings te ignoreer noudat die wet al agt jaar in plek is nie. Met data die lewensaar van moderne organisasies en GDPR-boetes wat nie net 'n finansiële risiko inhou nie, maar ook wyer skade aan besighede, wat kan hulle egter doen om te voldoen?

Reguleerders klem vas

'n Belangrike rede vir die onlangse vlaag GDPR-boetes is dat reguleerders glo dat besighede meer as genoeg tyd gehad het om die wet te verstaan en in praktyk te bring, volgens Lucas von Stockhausen, uitvoerende direkteur van sekuriteitsingenieurswese by die toepassingssekuriteitsfirma Black Duck.

Hy sê vir IO dat databeskermingsowerhede genoeg verskonings gehad het wat deur nie-voldoenende firmas gebruik word en nou daarop gefokus is om hulle aanspreeklik te hou. Ignoreer hiervan kan lei tot "aansienlike strawwe" vir maatskappye, met reguleerders wat tot €20 miljoen of 4% van die wêreldwye jaarlikse inkomste vir die ergste oortredings kan beboet.

Ten spyte daarvan dat reguleerders steeds GDPR-oortredings bekamp deur boetes op te lê, bly baie firmas onbewus hiervan. Jake Moore, globale kuberveiligheidsadviseur by die antivirusprogrammatuurvervaardiger ESET, sê databeskerming is 'n "afmerk-oefening" vir baie organisasies – terwyl dit eintlik in elke area van 'n moderne besigheid ingebed moet wees.

Hy sê dit lei tot "swak toegangsbeheer" en die onvermoë om die ligging van sensitiewe data te onthou. Gevolglik kan data maklik in die hande van ongemagtigde partye val, en as besighede onseker is waar hulle 'n spesifieke stukkie data gestoor het, sal hulle sukkel om versoeke vir data-uitwissing na te kom. Hierdie probleme plaas firmas in gevaar van GDPR-boetes.

Maar nie-nakoming van die AVG plaas nie net besighede in gevaar van duur boetes nie – dit kan alle aspekte van 'n maatskappy se bedrywighede benadeel. Jo Brianti, 'n databeskermingspesialis, sê opruimingspogings kan lei tot "operasionele ontwrigting" wanneer bestuurders reeds uitgerekte skedules aan opruimingspogings moet wy. Bestuurders kan selfs self aanspreeklik gehou word vir boetes as hulle van AVG-mislukkings geweet het en nie ingegryp het nie, voeg sy by.

Sy sê die verwaarlosing van die AVG kan ook firmas se reputasie skade berokken, hulle blootstel aan duur regsgedinge wat deur geaffekteerde kliënte aanhangig gemaak word, dit moeiliker maak vir besighede om in verskillende markte te werk deur "platformverpligtinge en grensoverschrijdende datavloei" te ontwrig en in omsigtigheidsondersoekverslae te verskyn, wat lei tot 'n verlies aan verkope en ander sakegeleenthede.

KI verander die speelveld

Die toenemende aanvaarding van kunsmatige intelligensietegnologie deur besighede dra ook by tot stygende GDPR-boetes. Aangesien KI opgelei word op groot datastelle om te funksioneer en mettertyd te verbeter, is die risiko van datalekkasies en daaropvolgende regulatoriese optrede beduidend.

En omdat baie firmas KI-stelsels gebruik wat deur derdeparty-tegnologieverskaffers ontwikkel is, het hulle nie altyd beheer oor hoe die data wat hulle in hierdie toepassings invoer, gestoor en beskerm word nie. Volgens von Stockhausen van Black Duck beteken dit dat daar 'n werklike risiko van onbedoelde datablootstelling en daaropvolgende GDPR-afdwinging is.

Hy sê vir IO: “Die doeltreffendheidswinste kan geweldig wees, maar vanuit 'n GDPR-oogpunt is die sentrale risiko duidelik: organisasies moet kan waarborg dat KI-uitsette nie persoonlike data openbaar nie.”

Wanneer dit kom by die beveiliging van KI-stelsels en die data waarop hulle staatmaak, word daar nie net van besighede verwag om GDPR-riglyne te volg nie. Daar is ook 'n groeiende wetgewende landskap wat aan KI toegewy is. Dit is maklik vir firmas om GDPR en KI-nakoming as afsonderlike entiteite te behandel, maar dit kan teenintuïtief wees.

ESET se Moore verduidelik dat omdat dataprivaatheid en KI-beheer identiese datastelle gebruik, besighede beter daaraan toe is om hulle "as een saamgevoegde dissipline met duidelike eienaarskap te behandel". Dit kan lei tot vereenvoudigde werkladings en geen gedupliseerde werk nie, wat werknemers minder geneig maak om data te verwaarloos. Moore sê dit kan lei tot minder boetes vir besighede.

Brianti is nog 'n sterk voorstander van 'n gesamentlike benadering tot data- en IT-bestuur en verduidelik dat reguleerders nou "die GDPR met 'n wyer digitale pakket saamvoeg". Sy gebruik die EU se Wet op Digitale Dienste, Digitale Markte, en opdaterings aan bestaande data- en KI-verwante wette as voorbeelde.

Volgens Brianti kan versuim om aan enige van hierdie wette te voldoen "'n domino-effekte oor verskeie regulatoriese raamwerke" veroorsaak. Sy sê vir IO: "Dit verander GDPR van 'n wetlike silo in 'n strategiese risiko wat korporatiewe bestuur, beleggerrisikoprofiele, verkrygingsondersoek en reputasiebestuur beïnvloed."

Om Nakoming Reg te Kry

Terwyl reguleerders voortgaan om GDPR af te dwing, sê von Stockhausen van Black Duck dat hul primêre verwagting is dat besighede 'n "duidelike" dataprivaatheidsstrategie geïmplementeer het wat die redes agter persoonlike data-insameling verduidelik, of die data werklik nodig is, en hul databergings- en beskermingsmetodes.

“Reguleerders soek maatskappye wat persoonlike inligting doelbewus, verantwoordelik en met 'n duidelike begrip van die risiko's hanteer,” sê hy. “Diegene wat dit nie doen nie, bevind hulself toenemend onder die loep.”

Maar hy sê die belangrikste manier om aan die AVG te voldoen, is om voortdurend waaksaam te wees oor dataprivaatheid en sekuriteitsrisiko's. Om dit te doen, sê hy dat besighede "aantoonbare voorsorgmaatreëls" moet afdwing, die bedreigings wat deur nuwe tegnologieë inhou, voortdurend moet monitor en bestaande dataprivaatheidstrategieë dienooreenkomstig moet aanpas.

Vir besighede wat onseker is waar om te begin, beveel Brianti aan om beste praktyke uiteengesit in professionele standaarde en raamwerke in daaglikse prosesse te integreer om aan regulatoriese vereistes soos GDPR te voldoen. Sy sê ISO 27001 is uitstekend vir die hantering van inligtingsekuriteitsverwante kwessies en ISO 27701 vir privaatheid. Cyber Essentials en NIST 800-53 is nog twee van haar topkeuses.

Ander aanbevelings van Brianti om GDPR-nakoming te verseker, sluit in: die ligging van persoonlike data en die manier waarop dit verwerk word in 'n inventaris aan te teken; die aanvaarding van privaatheid-deur-ontwerp-beginsels sodat produkte altyd dataveilig is; die definisie van rolle en verantwoordelikhede met betrekking tot dataprivaatheid; die opvoeding van personeel oor die belangrikheid van dataprivaatheid; die dokumentasie van alle besluite wat oor dataprivaatheid geneem word; die bepaling van datarisiko's deur middel van impakstudies; die behoud van hierdie assesserings en alles wat met data verband hou in 'n enkele omgewing; en die versekering dat alle voorvalreaksie-aktiwiteite in lyn is.

Dit is maklik om te dink aan nie-nakoming van die GDPR as net die betaling van 'n boete en die aanbeweeg van sake. Maar dis net wensdenkery. GDPR-afdwinging kan 'n groot knou aan sakebedrywighede en groei toedien. Daarom moet dit as 'n strategiese prioriteit behandel word, eerder as 'n afmerkblokkie-oefening net om burokratiese agente tevrede te stel. En wanneer GDPR-nakoming in lyn gebring word met ander IT-verwante bestuursaktiwiteite, kan besighede verseker wees dat hulle reguleerders tevrede sal hou en hulself sal beskerm teen 'n vinnig veranderende kuberbedreigingslandskap.

Nicholas Fearn

Nicholas Fearn is 'n vryskutjoernalis van die Walliese Vallei. Hy is geskryf vir groot media-afsetpunte soos die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, sowel as B2B-publikasies soos Computer Weekly, Computing en IT Pro. Wanneer Nic nie oor die nuutste gadgets en tegnologieneigings skryf nie, luister hy waarskynlik na Mariah Carey se hele diskografie.

Lees meer van Nicholas Fearn

cyber Security 8 Januarie 2026

die nakomingsera hoe regulering, tegnologie en risiko sakenorme herskryf blog

Die Nakomingsera: Hoe Regulasie, Tegnologie en Risiko Besigheidsnorme Herskryf

Nakoming is nie die glansrykste ding in die oë van die meeste sakeleiers nie. Hulle mag dit as 'n noodsaaklikheid beskou om regulatoriese druk te vermy, maar tog...

Nicholas Fearn

cyber Security 27 November 2025

Hoe hoëprofiel-kubervoorvalle die werklike besigheidsimpak van kwesbaarhede in die voorsieningsketting demonstreer

Kuberbreuke saai verwoesting in besighede. Dit kan maatskappye se bedrywighede tot stilstand bring, hul koffers dreineer en kliëntevertroue ondermyn. Dikwels...

Nicholas Fearn

cyber Security 4 September 2025

qantas data oortreding venor toesig blog

Qantas-databreuk: Waarom verskaffertoesig 'n voldoeningsprioriteit moet wees

'n Onlangse Qantas-databreuk wat die persoonlike inligting van 5.7 miljoen kliënte in gevaar gestel het, het die voortdurende kuberveiligheidsrisiko uitgelig wat ...

Nicholas Fearn