AVG-boetes en handhavingsstatistieken 2026: De definitieve gegevens over EU-gegevensbescherming
Sinds de handhaving in mei 2018 begon, heeft de Algemene Verordening Gegevensbescherming meer dan EUR 4 miljard aan boetes gegenereerd, tienduizenden handhavingsbeslissingen en meer dan 130.000 dataleknotificaties per jaar. De AVG blijft de maatstaf voor gegevensbeschermingsregelgeving wereldwijd, en de handhavingsgegevens onthullen patronen die elke organisatie die EU-persoonsgegevens verwerkt, zou moeten begrijpen.
Op deze pagina staan geverifieerde statistieken over AVG-boetes, handhavingsmaatregelen, uitsplitsingen per land, dataleknotificaties, nalevingskosten en activiteiten van toezichthouders. Elk cijfer is afkomstig van de European Data Protection Board, nationale gegevensbeschermingsautoriteiten en geverifieerde brancherapporten.
Totaal AVG-boetes
| Statistiek | Bron |
|---|---|
| Totaal bijgehouden AVG-boetes (alle tijden): circa EUR 4 miljard | Privacy Affairs GDPR Fines Tracker |
| Totaal aantal individuele bijgehouden boetes: 1.701 | Privacy Affairs GDPR Fines Tracker |
| Totaal opgelegde boetes in alleen 2023 (EER-toezichthouders): EUR 1.973.832.107 | EDPB Annual Report 2023, pp. 36-37 |
| Totaal aantal opgelegde boetes in 2023: 1.763 | EDPB Annual Report 2023, pp. 36-37 |
| Boetes voortvloeiend uit bindende EDPB-beslissingen sinds 2018: meer dan EUR 2,5 miljard | EDPB Annual Report 2023, p. 14 |
| Aandeel bindende EDPB-beslissingsboetes in totaal: circa 55% | EDPB Annual Report 2023, p. 14 |
| Kleinste ooit geregistreerde AVG-boete: EUR 28 (Hongarije, november 2020) | Privacy Affairs GDPR Fines Tracker |
Top 20 grootste AVG-boetes ooit opgelegd
| Rang | Bedrijf | Bedrag (EUR) | Land/toezichthouder | Jaar | Reden |
|---|---|---|---|---|---|
| 1 | Meta Platforms (Facebook) | 1.200.000.000 | Ierland (DPC) | 2023 | Onrechtmatige doorgifte van EU-gebruikersgegevens naar de VS via Standard Contractual Clauses |
| 2 | Amazon Europe | 746.000.000 | Luxemburg (CNPD) | 2021 | Niet-naleving van de AVG betreffende gerichte reclame zonder geldige toestemming |
| 3 | Meta (Instagram) | 405.000.000 | Ierland (DPC) | 2022 | Verwerking van persoonsgegevens van kinderen; standaard openbare instellingen voor kinderaccounts |
| 4 | Meta (Facebook) | 390.000.000 | Ierland (DPC) | 2023 | Gebruik van "overeenkomst" als rechtsgrondslag voor verwerking ten behoeve van gedragsreclame |
| 5 | TikTok Technology | 345.000.000 | Ierland (DPC) | 2023 | Oneerlijke ontwerppraktijken gericht op kinderen van 13-17 jaar |
| 6 | Uber | 290.000.000 | Nederland (AP) | 2024 | Onrechtmatige doorgifte van persoonsgegevens van Europese chauffeurs naar de Verenigde Staten |
| 7 | Meta (WhatsApp) | 225.000.000 | Ierland (DPC) | 2021 | Gebrek aan transparantie; onvoldoende informatievoorziening aan gebruikers en niet-gebruikers |
| 8 | France (CNIL) - Google LLC | 50.000.000 | Frankrijk (CNIL) | 2019 | Ontoereikende rechtsgrondslag; gebrek aan transparantie en toestemming voor advertentiepersonalisatie |
| 9 | Criteo | 40.000.000 | Frankrijk (CNIL) | 2023 | Volgen van gebruikers zonder geldige toestemming voor gerichte reclame |
| 10 | H&M | 35.258.708 | Duitsland (HmbBfDI) | 2020 | Uitgebreide surveillance van werknemers; vastleggen van details over het privéleven |
| 11 | Enel Energia | 26.500.000 | Italië (Garante) | 2021 | Agressieve telemarketing zonder toestemming |
| 12 | British Airways | 22.046.000 | VK (ICO) | 2020 | Onvoldoende beveiligingsmaatregelen; circa 500.000 klanten getroffen door datalek |
| 13 | Marriott International | 20.450.000 | VK (ICO) | 2020 | Onvoldoende beveiliging; 30 miljoen EER-records blootgesteld sinds 2014 |
| 14 | Clearview AI | 20.000.000 | Frankrijk (CNIL) | 2022 | Onrechtmatige verwerking van biometrische gegevens; scrapen van gezichtsafbeeldingen zonder toestemming |
| 15 | Clearview AI | 20.000.000 | Italië (Garante) | 2022 | Onrechtmatige verwerking van biometrische gegevens (dezelfde praktijken als in Frankrijk) |
| 16 | Clearview AI | 20.000.000 | Griekenland (HDPA) | 2022 | Onrechtmatige verwerking van biometrische gegevens (dezelfde praktijken als in Frankrijk en Italië) |
| 17 | CaixaBank | 6.000.000 | Spanje (AEPD) | 2021 | Gegevensverwerking zonder geldige toestemming |
| 18 | Spotify | ~5.000.000 | Zweden (IMY) | 2023 | Schending van het recht op inzage van klanten op grond van artikel 15 AVG |
| 19 | Moderna Forsakringar | ~3.000.000 | Zweden (IMY) | 2023 | Onvoldoende passende beveiliging; 650.000 klantgegevens toegankelijk |
| 20 | OPENBANK | 2.500.000 | Spanje (AEPD) | 2023 | Niet mogelijk maken van veilige communicatie voor financiële gegevens |
Bronnen: EDPB Annual Report 2023; Privacy Affairs GDPR Fines Tracker; GDPR Enforcement Tracker (enforcementtracker.com)
AVG-boetes per land (2023)
De volgende tabel toont de boete-activiteit voor elke EER-gegevensbeschermingsautoriteit in 2023, op basis van officiële gegevens gerapporteerd aan de EDPB.
Op basis van totaal boetebedrag (2023)
| Rang | Land | Aantal boetes | Totaal boetebedrag (2023) |
|---|---|---|---|
| 1 | Ierland | 6 | EUR 1.551.782.500 |
| 2 | Nederland | 8 | EUR 243.160.000 |
| 3 | Frankrijk | 37 | EUR 79.164.500 |
| 4 | Spanje | 367 | EUR 29.817.410 |
| 5 | Italië | 146 | EUR 25.200.000 |
| 6 | Zweden | 11 | EUR 10.780.000 |
| 7 | Duitsland (alle deelstaten) | 469 | EUR 9.743.930 |
| 8 | Noorwegen | 7 | EUR 8.500.000 |
| 9 | Kroatië | 28 | EUR 8.266.350 |
| 10 | Denemarken | 5 | EUR 2.100.000 |
| 11 | Hongarije | 95 | EUR 1.380.334 |
| 12 | Griekenland | 12 | EUR 636.000 |
| 13 | IJsland | 12 | EUR 537.000 |
| 14 | Finland | 3 | EUR 464.600 |
| 15 | Roemenië | 68 | EUR 444.622 |
| 16 | Portugal | 48 | EUR 367.450 |
| 17 | Oostenrijk | 55 | EUR 254.075 |
| 18 | Polen | 24 | EUR 213.820 |
| 19 | Estland | 12 | EUR 213.300 |
| 20 | Bulgarije | 93 | EUR 159.931 |
| 21 | Tsjechië | 23 | EUR 140.000 |
| 22 | Slowakije | 47 | EUR 122.665 |
| 23 | Cyprus | 11 | EUR 120.250 |
| 24 | België | 3 | EUR 80.000 |
| 25 | Litouwen | 13 | EUR 64.060 |
| 26 | Slovenië | 77 | EUR 56.910 |
| 27 | Malta | 3 | EUR 32.500 |
| 28 | Letland | 3 | EUR 22.900 |
| 29 | Luxemburg | 3 | EUR 6.500 |
| 30 | Liechtenstein | 1 | EUR 500 |
| TOTAAL | 1.763 | EUR 1.973.832.107 |
Bron: EDPB Annual Report 2023, pp. 36-37
Ranglijst aller tijden op basis van totaal boetebedrag
| Rang | Land | Totaal boetes (alle tijden) |
|---|---|---|
| 1 | Ierland | EUR 2.510.165.800 |
| 2 | Luxemburg | EUR 746.312.300 |
| 3 | Frankrijk | EUR 293.594.300 |
| 4 | Italië | EUR 144.195.096 |
| 5 | Verenigd Koninkrijk | EUR 75.452.800 |
Bron: Privacy Affairs GDPR Fines Tracker
Ranglijst aller tijden op basis van aantal boetes
| Rang | Land | Totaal aantal boetes |
|---|---|---|
| 1 | Spanje | 594 |
| 2 | Italië | 244 |
| 3 | Roemenië | 126 |
| 4 | Duitsland | 122 |
| 5 | Hongarije | 66 |
Bron: Privacy Affairs GDPR Fines Tracker
Meest geschonden AVG-artikelen
Handhavingsgegevens laten consistente patronen zien in welke AVG-artikelen het vaakst worden aangehaald bij boetes.
| Artikel | Beschrijving | Handhavingspatroon | Bron |
|---|---|---|---|
| Art. 5 | Beginselen van verwerking (rechtmatigheid, behoorlijkheid, transparantie, doelbinding, dataminimalisatie) | Meest aangehaald bij boetes in het algemeen | Privacy Affairs Tracker; EDPB AR 2023 |
| Art. 6 | Rechtmatigheid van verwerking (rechtsgrondslag) | Op een na meest voorkomend - leidt tot veel hoge boetes | Privacy Affairs Tracker; enforcementtracker.com |
| Art. 32 | Beveiliging van verwerking | Op twee na meest voorkomend - veelvuldig aangehaald bij boetes gerelateerd aan datalekken | EDPB AR 2023 case digest, p. 34 |
| Art. 13/14 | Informatieverplichtingen (transparantie) | Zeer gebruikelijk bij alle toezichthouders | Privacy Affairs Tracker |
| Art. 15 | Recht op inzage | Veelvoorkomend - gedreven door consumentenklachten (bijv. Spotify EUR 5 miljoen) | EDPB AR 2023, p. 56 |
| Art. 33/34 | Meldplicht datalekken | Veelvoorkomend bij zaken gerelateerd aan datalekken | EDPB AR 2023 case digest, p. 34 |
| Art. 25 | Gegevensbescherming door ontwerp en standaardinstellingen | Toenemend - aangehaald in TikTok en vergelijkbare zaken | EDPB AR 2023, pp. 17-18 |
| Art. 44-49 | Internationale doorgiften (Hoofdstuk V) | Leidt tot de hoogste boetes (Meta EUR 1,2 miljard) | EDPB AR 2023, p. 16 |
Opmerking: Toezichthouders passen artikelen 32, 33 en 34 vaak samen toe in beslissingen gerelateerd aan datalekken. De EDPB case digest van 2023 analyseerde 90 one-stop-shop-beslissingen specifiek over beveiliging van verwerking en meldplicht bij datalekken.
Bron: EDPB Annual Report 2023; Privacy Affairs Tracker
AVG-handhavingsmaatregelen en klachten
Activiteiten nationale toezichthouders (2023)
| Land | Ontvangen klachten | Onderzoeken | Sancties |
|---|---|---|---|
| Spanje | 18.879 | 291 | 367 boetes + 266 nalevingsbevelen |
| Zweden | 3.553 | 210 | 11 boetes |
| Oostenrijk | 1.732 | 536 | 55 sancties |
| Bulgarije | 1.497 | 890 | 93 sancties |
| Cyprus | 437 | 14 (+11 ter plaatse) | 54 beslissingen (11 boetes) |
| Kroatië | 279 | 447 | 28 sancties |
Bron: EDPB Annual Report 2023, Sectie 3.4, pp. 38-56
Grensoverschrijdende samenwerking (2023)
| Metriek | Waarde |
|---|---|
| Grensoverschrijdende zaken aangemaakt in 2023 | 366 |
| Totaal one-stop-shop-procedures (alle tijden tot 2023) | 1.023 |
| OSS definitieve beslissingen (alle tijden tot 2023) | 442 |
| Percentage OSS-beslissingen dat naar EDPB-geschillenbeslechting gaat | ~1% |
| Totaal uitgebrachte bindende EDPB-beslissingen (alle tijden) | 11 (waaronder 2 urgente artikel 66-beslissingen) |
| Bindende beslissingen aangenomen in 2023 | 3 |
| Totaal aangenomen consistentie-adviezen (alle tijden tot 2023) | 182 |
| IMI-systeemprocedures gefaciliteerd in 2023 | 4.580+ |
Bron: EDPB Annual Report 2023, pp. 14, 16, 19-20, 33
Dataleknotificaties
| Statistiek | Bron |
|---|---|
| Meer dan 130.000 dataleknotificaties in 2023 | DLA Piper GDPR Fines and Data Breach Survey (januari 2024), breed geciteerd |
| Circa 120.000 dataleknotificaties in 2022 | DLA Piper (januari 2023) |
| Het aantal dataleknotificaties is elk jaar gestegen sinds de AVG-handhaving begon in mei 2018 | DLA Piper jaarlijkse onderzoeken |
Opmerking: EU-brede geaggregeerde totalen van dataleknotificaties worden niet gepubliceerd door de EDPB. Het jaarlijkse DLA Piper-onderzoek is de primaire bron voor grensoverschrijdende dataleknotificatiegegevens.
Kosten van datalekken
IBM Cost of a Data Breach Report 2025
| Statistiek | Bron |
|---|---|
| Wereldwijde gemiddelde kosten van een datalek: $4,4 miljoen USD | IBM Cost of a Data Breach Report 2025 |
| Verandering ten opzichte van vorig jaar: 9% daling (door snellere identificatie en inperking) | IBM 2025 |
| Kostenbesparing door AI-beveiligingstools: $1,9 miljoen USD per lek vergeleken met organisaties zonder AI | IBM 2025 |
| Organisaties met AI-gerelateerde beveiligingsincidenten maar zonder AI-toegangscontroles: 97% | IBM 2025 |
| Organisaties zonder AI-governancebeleid: 63% | IBM 2025 |
IBM Cost of a Data Breach Report 2024
| Statistiek | Bron |
|---|---|
| Wereldwijde gemiddelde kosten van een datalek: $4,88 miljoen USD | IBM Cost of a Data Breach Report 2024 |
| Gemiddelde tijd om een lek te identificeren: 194 dagen | IBM 2024 |
| Gemiddelde levenscyclus van een lek (identificatie + inperking): 292 dagen | IBM 2024 |
AVG-boetes per sector
Handhavingspatronen tonen aan dat technologiebedrijven verantwoordelijk zijn voor het overgrote deel van de totale boetewaarde, terwijl bepaalde nationale toezichthouders zich op specifieke sectoren richten.
| Sector | Opvallende boetes | Kernproblemen |
|---|---|---|
| Technologie/Big Tech | Meta (EUR 1,2 miljard + EUR 405 miljoen + EUR 390 miljoen + EUR 225 miljoen), TikTok (EUR 345 miljoen), Google (EUR 50 miljoen), Amazon (EUR 746 miljoen), Uber (EUR 290 miljoen), Criteo (EUR 40 miljoen) | Gegevensdoorgiften, toestemming, transparantie, gegevens van kinderen, gedragsreclame |
| Telecommunicatie | Meerdere boetes in Spanje en Italië | Ongewenste marketing, datalekken |
| Financiële dienstverlening | CaixaBank (EUR 6 miljoen), OPENBANK (EUR 2,5 miljoen) | Toestemmingsschendingen, beveiligingstekortkomingen |
| Detailhandel | H&M (EUR 35,3 miljoen) | Surveillance van werknemers |
| Energie | Enel Energia (EUR 26,5 miljoen) | Agressieve telemarketing |
| Publieke sector | Diverse gemeenten en overheidsinstanties | Videosurveillance, gegevensbewaring, transparantie |
| Gezondheidszorg | Diverse ziekenhuizen (Nederland, Portugal) | Toegang tot patiëntendossiers, beveiliging |
Meta alleen is verantwoordelijk voor meer dan EUR 2,2 miljard aan cumulatieve AVG-boetes - meer dan de helft van het totaal ooit opgelegd.
De Spaanse AEPD, de meest actieve toezichthouder naar volume (367 boetes in 2023), richt zich voornamelijk op telecommunicatiebedrijven, financiële dienstverleners en kleine bedrijven voor schendingen van directe marketing.
Middelen en budgetten van toezichthouders
Het EDPB-onderzoek van 2023 onder gegevensbeschermingsautoriteiten onthult een aanzienlijke kloof tussen de ambities van de regelgeving en de beschikbare handhavingsmiddelen.
| Statistiek | Bron |
|---|---|
| Toezichthouders die aangeven dat hun budget NIET toereikend is: 75% (21 van 28 toezichthouders) | EDPB Annual Report 2023, p. 57 |
| Toezichthouders die aangeven dat hun personeelsbezetting NIET toereikend is: 89% (25 van 28 toezichthouders) | EDPB Annual Report 2023, p. 57 |
| Toezichthouders met dezelfde personeelsbezetting als 2022 ondanks toenemende werklast: 7 toezichthouders | EDPB Annual Report 2023, p. 57 |
| EDPB-budget (2023): EUR 7,67 miljoen | EDPB Annual Report 2023, p. 10 |
| EDPB-secretariaatspersoneel: 46 | EDPB Annual Report 2023, p. 9 |
| EDPB Support Pool of Experts: circa 500 op reservelijst | EDPB Annual Report 2023, p. 31 |
Activiteiten van de FG (Functionaris voor Gegevensbescherming)
De gecoordineerde handhavingsactie van de EDPB in 2023 richtte zich specifiek op Functionarissen voor Gegevensbescherming en leverde het grootste grensoverschrijdende FG-onderzoek in de EU tot nu toe op.
| Statistiek | Bron |
|---|---|
| Deelnemende toezichthouders aan de FG-handhavingsactie: 25 in de EER | EDPB Annual Report 2023, p. 30 |
| Ontvangen reacties van FG's en organisaties: meer dan 17.000 | EDPB Annual Report 2023, p. 30 |
| EDPB HUB-gebruikersbestand: meer dan 1.400 leden | EDPB Annual Report 2023, p. 11 |
AVG-boetekader
| Categorie | Maximale boete | Van toepassing op |
|---|---|---|
| Hogere categorie | EUR 20.000.000 of 4% van de wereldwijde jaarlijkse omzet (het hoogste van de twee) | Schendingen van de verwerkingsbeginselen, voorwaarden voor toestemming, rechten van betrokkenen, internationale doorgiften |
| Lagere categorie | EUR 10.000.000 of 2% van de wereldwijde jaarlijkse omzet (het hoogste van de twee) | Schendingen van verplichtingen van verwerkingsverantwoordelijken/verwerkers, verplichtingen van certificeringsinstanties, verplichtingen van toezichthoudende organen |
Bron: AVG-artikelen 83(4) en 83(5)
Belangrijke AVG-data en tijdlijn
| Datum | Gebeurtenis |
|---|---|
| 14 april 2016 | Europees Parlement nam de AVG aan |
| 4 mei 2016 | AVG gepubliceerd in het Publicatieblad |
| 25 mei 2018 | AVG werd van toepassing (handhaving begon) |
| Januari 2020 | Eerste golf van grote boetes (Google EUR 50 miljoen in 2019, H&M EUR 35 miljoen in 2020) |
| Juli 2021 | Amazon EUR 746 miljoen boete (de grootste tot Meta in 2023) |
| Mei 2023 | Meta EUR 1,2 miljard boete (grootste AVG-boete ooit) |
| Juli 2023 | EU-VS Data Privacy Framework adequaatheidsbesluit aangenomen |
| 2023 | Recordjaar: EUR 1,97 miljard aan boetes, 1.763 individuele boetes |
Veelgestelde vragen
V: Hoeveel geld is er geind aan AVG-boetes?
A: Begin 2026 is er sinds de start van de handhaving in mei 2018 circa EUR 4 miljard aan AVG-boetes opgelegd. Alleen al in 2023 legden EER-gegevensbeschermingsautoriteiten EUR 1,97 miljard aan boetes op in 1.763 individuele beslissingen. Het is echter belangrijk om op te merken dat "opgelegd" niet altijd "geind" betekent - veel grote boetes zijn onderwerp van lopende juridische beroepsprocedures.
V: Wat is de grootste AVG-boete ooit opgelegd?
A: De grootste AVG-boete is EUR 1,2 miljard, opgelegd aan Meta Platforms (Facebook) door de Ierse Data Protection Commission in mei 2023 voor onrechtmatige doorgifte van EU-gebruikersgegevens naar de Verenigde Staten. Deze boete overtroef het eerdere record van EUR 746 miljoen tegen Amazon door Luxemburg in 2021.
V: Welk land legt de meeste AVG-boetes op?
A: Naar aantal boetes is Spanje de meest actieve handhaver met 594 boetes in totaal (367 in alleen 2023), gevolgd door Italië (244), Roemenië (126), Duitsland (122) en Hongarije (66). Echter, naar totale boetewaarde leidt Ierland met EUR 2,51 miljard vanwege grote boetes tegen Big Tech-bedrijven die daar gevestigd zijn, gevolgd door Luxemburg (EUR 746 miljoen) en Frankrijk (EUR 294 miljoen).
V: Hoeveel dataleknotificaties zijn er per jaar?
A: Volgens het jaarlijkse onderzoek van DLA Piper werden er in 2023 meer dan 130.000 dataleknotificaties ingediend in de EU/EER, een stijging ten opzichte van circa 120.000 in 2022. Het aantal is elk jaar gestegen sinds de start van de AVG-handhaving.
V: Wat kost een datalek gemiddeld?
A: Volgens het IBM Cost of a Data Breach Report 2025 bedragen de wereldwijde gemiddelde kosten van een datalek $4,4 miljoen USD. Organisaties die AI-beveiligingstools gebruiken besparen circa $1,9 miljoen per lek vergeleken met organisaties zonder AI. De gemiddelde tijd om een lek te identificeren is 194 dagen, met een totale levenscyclus van 292 dagen.
V: Welke AVG-artikelen worden het vaakst geschonden?
A: Artikel 5 (verwerkingsbeginselen) is het meest aangehaalde artikel in AVG-boetes, gevolgd door artikel 6 (rechtmatigheid van verwerking) en artikel 32 (beveiliging van verwerking). De hoogste boetes hebben doorgaans betrekking op schendingen van artikelen 44-49 met betrekking tot internationale gegevensdoorgiften.
V: Zijn de budgetten van toezichthouders toereikend voor handhaving?
A: Nee. Volgens het EDPB-onderzoek van 2023 geeft 75% van de gegevensbeschermingsautoriteiten aan dat hun budget ontoereikend is, en 89% geeft aan dat hun personeelsbezetting ontoereikend is. Zeven toezichthouders hadden dezelfde personeelsbezetting als het voorgaande jaar ondanks toenemende werklasten.
Alle statistieken op deze pagina zijn afkomstig van officiële EU-gegevensbeschermingsinstanties en geverifieerde brancherapporten. Primaire bronnen zijn onder andere het EDPB Annual Report 2023, Privacy Affairs GDPR Fines Tracker, GDPR Enforcement Tracker (enforcementtracker.com), IBM Cost of a Data Breach Reports (2024, 2025), DLA Piper GDPR Fines and Data Breach Surveys en jaarverslagen van nationale toezichthouders. Deze pagina wordt regelmatig bijgewerkt wanneer nieuwe handhavingsgegevens beschikbaar komen.
Laatst bijgewerkt: maart 2026