In mei 2018 ging de GDPR van kracht, met als doel de privacy van miljoenen Europese burgers te beschermen. Nu, zeven jaar later, zijn de uitdagingen rond gegevensbescherming urgenter dan ooit. Nieuwe technologieën zoals AI dagen bestaande regels uit, grensoverschrijdende datastromen blijven complex en onvoorspelbaar, en digitale identiteitsmiddelen vormen de volgende frontlinie in de strijd om privacy. In deze blog ontdek je de 7 uitdagingen rond GDPR, uitdagingen die voor sommige organisaties urgenter zijn dan voor andere, maar die iedereen aanzetten om nu alvast vooruit te denken.
Hoewel de GDPR vereist dat individuen geïnformeerd worden over het gebruik van hun data (artikel 13 en 14) en expliciete toestemming geven bij profilering (artikel 22), voldoen veel AI-toepassingen niet aan deze vereiste van transparantie. AI-modellen worden vaak gevoed met datasets waarvan de herkomst of juridische grondslag onduidelijk is. Er is sprake van function creep, waardoor data verzameld wordt voor één doel en later gebruikt wordt voor iets heel anders, zonder nieuwe toestemming. Bijvoorbeeld, het platform X, voorheen Twitter, werd onderzocht door de Ierse Data Protection Commission vanwege het automatisch gebruiken van gebruikersdata voor AI-doeleinden zonder duidelijke toestemming. Gebruikers werden standaard ingeschreven, en de optie om dit uit te schakelen was alleen beschikbaar via de desktopversie, niet via mobiele apps.
Sinds het Schrems II-arrest van het Europese Hof van Justitie (2020) staan veel internationale data-overdrachten, met name naar de Verenigde Staten, onder juridische druk. De GDPR stelt in hoofdstuk V strikte voorwaarden aan doorgifte van persoonsgegevens naar derde landen. Hoewel het EU–VS Data Privacy Framework (DPF) bedoeld is om die doorgifte te vergemakkelijken, blijft de effectiviteit ervan onzeker, vooral gezien de politieke ontwikkelingen en de werking van de toezichthoudende autoriteit in de VS.
Deze situatie zorgt voor blijvende juridische risico’s voor organisaties die persoonsgegevens grensoverschrijdend verwerken, en stelt hen voor de uitdaging om aantoonbare waarborgen te implementeren die gelijkwaardig zijn aan het beschermingsniveau binnen de EU.
De GDPR vereist dat betrokkenen geïnformeerd worden over welke gegevens worden verzameld, met welk doel, en hoe die gegevens worden verwerkt. In de praktijk ontbreekt die transparantie vaak bij slimme apparaten zoals deurbellen met camera, slimme luidsprekers, auto’s en medische gadgets. Deze producten verzamelen voortdurend persoonsgegevens, vaak zonder dat gebruikers daar volledig zicht of controle over hebben.
Daarnaast is de documentatie over hoe deze gegevens worden gedeeld of bewaard regelmatig onvolledig of onduidelijk, wat het moeilijk maakt voor zowel consumenten als toezichthouders om te beoordelen of aan de GDPR wordt voldaan.
Hoewel grote technologiebedrijven onder verhoogd toezicht staan van privacytoezichthouders, blijven kleine en middelgrote organisaties (KMO’s), lokale overheden en vzw’s vaak achter in de naleving. Problemen zoals niet-geëncrypteerde opslag, het gebruik van verouderde systemen of het ontbreken van verwerkersovereenkomsten komen nog steeds veel voor.
Er zijn voorstellen gedaan om de administratieve lasten voor kleinere organisaties te verlichten, maar de kernprincipes van de GDPR, zoals dataminimalisatie, transparantie en verantwoording, blijven onverkort van kracht. Handhaving en ondersteuning zijn echter niet gelijk verdeeld, wat leidt tot structurele ongelijkheid in compliance.
Cybercriminelen richten zich in toenemende mate op het stelen of versleutelen van persoonsgegevens, waaronder medische dossiers, financiële informatie en identiteitsgegevens. Deze gegevens worden gebruikt voor chantage, identiteitsfraude of worden verhandeld op het dark web.
Ransomware-aanvallen worden bovendien verfijnder door de inzet van AI, die het mogelijk maakt om phishing nog overtuigender en moeilijker detecteerbaar te maken. Organisaties moeten daarom hun beveiligingsmaatregelen aanscherpen, incidentresponsplannen verbeteren en continu investeren in cybersecuritytraining en bewustzijn.
GDPR voorziet in krachtige handhavingsmiddelen, zoals hoge boetes en bindende maatregelen door toezichthouders. Toch kampen veel nationale autoriteiten met structurele onderbezetting, beperkte middelen en bureaucratische vertragingen. Hierdoor blijven grote privacyschendingen soms jarenlang onbehandeld, wat het vertrouwen in de effectiviteit van de regelgeving ondermijnt.
Het is noodzakelijk dat toezichthouders sneller kunnen optreden, beter samenwerken en over voldoende technische expertise en budget beschikken om effectief toezicht te houden over gegevensbescherming.
Steeds meer diensten vereisen digitale identificatie via systemen zoals eID of Itsme. Dit vergroot het risico op datakoppeling, centrale opslag van gevoelige gegevens en uitsluiting van mensen zonder digitale toegang. In een samenleving die steeds digitaler wordt, blijven transparantie over gegevensdeling en inclusieve toegankelijkheid essentieel.
In deze whitepaper leggen we uit wat gegevensbescherming precies is en waarom het belangrijk is voor elke organisatie. We ontkrachten enkele veelvoorkomende misverstanden en tonen hoe je met een privacybeleid van start gaat.
We leggen ook uit wat een Privacy Informatie Management Systeem (PIMS) is en hoe je dit stap voor stap kan invoeren. Daarnaast kijken we naar ondersteuning van buitenaf: wat is DPO as a Service en wanneer is het zinvol om de rol van Data Protection Officer (DPO) uit te besteden?
Onze focus ligt bij een pragmatische benadering in het beoordelen van uw privacy-, informatieveiligheid- en kwaliteitsprocesssen, risico’s en controlemaatregelen. We zijn uniek door de manier waarop we een werkbare en veilige strategie uitwerken voor de volledige organisatie.
De kmo-portefeuille is een maatregel waardoor je financiële steun krijgt voor de aankoop van diensten bij Infosentry.
© Copyright Infosentry NV 2025.
Webdesign by Headr.