Nieuwe procedureregels voor grensoverschrijdende GDPR-handhaving: wat verandert er met Verordening (EU) 2025/2518?

De Europese wetgever heeft een belangrijke stap gezet in de harmonisatie van de GDPR-handhaving. Met de publicatie van Verordening (EU) 2025/2518 in het Publicatieblad op 12 december 2025 worden de spelregels voor grensoverschrijdende onderzoeken en klachten grondig herzien. Hoewel de inhoudelijke verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/GDPR) ongewijzigd blijven, zorgt deze nieuwe verordening voor strakkere termijnen, geharmoniseerde klachtvereisten en versterkte verdedigingsrechten voor organisaties.

De GDPR voorzag via het “One Stop Shop”-mechanisme in een systeem waarbij één leidende toezichthouder bevoegd is voor grensoverschrijdende verwerkingen. In de praktijk bleek dit systeem echter vaak vast te lopen door verschillen in nationale procedureregels. Met de nieuwe Verordening (EU) 2025/2518 wil de EU deze procedurele fragmentatie aanpakken om rechtszekerheid en efficiëntie te garanderen.

1. Uniforme regels voor de ontvankelijkheid van klachten

Tot op heden varieerden de vereisten voor het indienen van een klacht sterk per lidstaat. De nieuwe verordening maakt hier een einde aan door strikte, uniform criteria vast te leggen voor de ontvankelijkheid van grensoverschrijdende klachten.

Een klacht is voortaan enkel ontvankelijk indien deze specifieke informatie bevat, waaronder:

• De contactgegevens van de klager;
• Informatie die de identificatie van de verwerkingsverantwoordelijke of verwerker vergemakkelijkt;
• Een concrete beschrijving van de vermeende inbreuk.

Belangrijk voor de praktijk: Er mag geen aanvullende informatie worden geëist bovenop wat de verordening voorschrijft. Dit betekent dat organisaties die opereren als verwerkingsverantwoordelijke er goed aan doen hun interne procedures voor klachtenbehandeling nu al tegen het licht te houden.

2. Versterking van de rechten van verdediging

Voor organisaties die het voorwerp uitmaken van een onderzoek, brengt de verordening essentiële procedurele waarborgen met zich mee. De focus ligt op het recht om gehoord te worden voordat er een definitieve beslissing valt.

Voorlopige bevindingen

Wanneer een leidende toezichthouder van plan is een inbreuk vast te stellen, moet deze eerst “voorlopige bevindingen” opstellen. Dit document moet alle feiten, het bewijsmateriaal en de juridische beoordeling bevatten, evenals de corrigerende maatregelen (zoals boetes) die worden overwogen.

Strakke antwoordtermijnen

Hier schuilt een uitdaging voor uw compliance-team. Na kennisgeving van de voorlopige bevindingen krijgt de onderzochte partij een termijn van minimaal drie en maximaal zes weken om schriftelijk te reageren of een hoorzitting aan te vragen. Dit vereist dat uw organisatie in staat is om op zeer korte termijn bewijsmateriaal te verzamelen en een juridisch verweer op te bouwen.

Toegang tot het dossier

Het recht op inzage in het administratief dossier wordt expliciet gecodificeerd. Organisaties krijgen toegang tot alle belastende én ontlastende documenten die tijdens het onderzoek zijn verzameld, met uitzondering van interne interne beraadslagingen en vertrouwelijke informatie.

3. Snelheid en efficiëntie in de procedure

Een veelgehoorde kritiek op de huidige GDPR-handhaving is de traagheid van besluitvorming. De nieuwe verordening introduceert harde deadlines en efficiëntie-mechanismen.

• Deadline voor beslissingen: De leidende toezichthouder moet in principe binnen 15 maanden na bevestiging van zijn bevoegdheid een ontwerpbesluit indienen. Deze termijn kan slechts eenmalig en in uitzonderlijke gevallen worden verlengd.
• Vroegtijdige beslechting: Er wordt een mechanisme ingevoerd om klachten snel af te handelen. Indien de inbreuk is rechtgezet en de klacht “zonder voorwerp” is geworden, kan de toezichthouder de zaak sluiten, mits de klager hiertegen geen bezwaar maakt.
• Eenvoudige samenwerking: Voor ‘duidelijke’ zaken waarover geen redelijke twijfel bestaat, kunnen toezichthouders kiezen voor een vereenvoudigde samenwerkingsprocedure om bureaucratische vertragingen te vermijden.

4. Tijdlijn en overgangsbepalingen

De verordening treedt in werking op 1 januari 2026, maar de daadwerkelijke toepassing start pas later.

• Datum van toepassing: De regels zijn van toepassing vanaf 2 april 2027.
• Lopende dossiers: De nieuwe procedureregels gelden voor ambtshalve onderzoeken die worden geopend na 2 april 2027 en voor klachten die na deze datum worden ingediend. Lopende onderzoeken vallen dus niet plotseling onder dit nieuwe regime.

Veelgestelde Vragen (FAQ)

Verandert deze verordening de boetes die opgelegd kunnen worden?
Nee, de verordening is puur procedureel. De materiële regels van de GDPR, inclusief de criteria voor boetes (zoals bepaald in artikel 83 GDPR), blijven ongewijzigd. Wel verplicht de verordening de toezichthouder om in de voorlopige bevindingen al aan te geven of ze een boete overwegen en op welke elementen ze zich daarvoor baseren.

Geldt dit voor alle GDPR-klachten in België?
Nee. Deze verordening is specifiek gericht op zaken die grensoverschrijdende verwerking betreffen. Voor louter lokale inbreuken die zich beperken tot één lidstaat, blijven de nationale procedureregels van kracht.

Moet ik mijn gegevensbeschermingsverklaring aanpassen?
Niet direct als gevolg van deze verordening. Wel moet u uw interne processen voor het afhandelen van verzoeken van betrokkenen en het reageren op klachten evalueren, zodat u klaar bent voor de strakkere deadlines en formele vereisten vanaf 2027.

Conclusie

Verordening (EU) 2025/2518 markeert een volwassenwordingsfase van de GDPR-handhaving. Voor organisaties betekent dit meer rechtszekerheid, maar ook een grotere noodzaak om juridisch wendbaar te zijn. De termijnen om te reageren op beschuldigingen worden korter en dwingender. Het is raadzaam om de periode tot april 2027 te gebruiken om uw interne dossieropbouw en crisismanagement-procedures op punt te stellen.