Hvorfor stiger GDPR-bøderne fortsat?

Hvorfor stiger bøderne i henhold til GDPR fortsat?

Af Nicholas Fearn • 24 februar 2026

Bøderne i henhold til den generelle forordning om databeskyttelse fortsætter med at stige, efterhånden som europæiske tilsynsmyndigheder skærper deres reaktion på datahændelser. Ifølge GDPR Enforcement Tracker pådrog virksomheder sig over 330 bøder i 2025. Advokatfirmaet DLA Piper hævder, at de beløb sig til i alt 1.2 milliarder euro.

Socialmediefirmaet TikTok blev ramt af den største GDPR-bøde i 2025. Bøden på 530 millioner euro, der blev udstedt i Irland, vedrørte deling af europæiske brugerdata med kinesisk-baseret personale. Sidste år resulterede også i, at Luxembourgs datatilsynsmyndighed opretholdt en GDPR-bøde på 746 millioner euro fra 2021, der blev udstedt til Amazon, efter at virksomheden indsamlede brugerdata til reklameformål uden brugernes samtykke. En appel fra Amazon blev afvist, hvilket tyder på, at europæiske databeskyttelsesmyndigheder tager håndhævelsen af GDPR alvorligt.

Den fortsatte udbredelse af GDPR-bøder kan tilskrives en rekordstor stigning i antallet af anmeldelser af databrud, som virksomheder skal udstede inden for 72 timer efter en datahændelse. DLA Piper fandt ud af, at disse anmeldelser i 2025 nåede 400 om dagen for første gang siden GDPR's implementering i 2018. Mellem januar 2024 og januar 2026 toppede de 443 – en stigning på 22 % fra 363. DLA Piper tilskriver dette hacking drevet af global geopolitisk ustabilitet, øget pressedækning af cyberkriminalitet og fremkomsten af love og regler om databrud, der kræver anmeldelser af hændelser.

Det er tydeligt, at databeskyttelsesmyndighederne ikke er parate til at ignorere overtrædelser af GDPR nu, hvor loven har været gældende i otte år. Men hvad kan de gøre for at overholde reglerne, da data er livsnerven i moderne organisationer, og GDPR-bøder ikke blot udgør en økonomisk risiko, men også en større skade for virksomheder?

Regulatorer strammer ned

En væsentlig årsag til den seneste bølge af GDPR-bøder er, at tilsynsmyndighederne mener, at virksomheder har haft mere end nok tid til at forstå loven og omsætte den til praksis, ifølge Lucas von Stockhausen, administrerende direktør for sikkerhedsteknik hos applikationssikkerhedsfirmaet Black Duck.

Han fortæller IO, at databeskyttelsesmyndighederne har fået nok af undskyldninger fra virksomheder, der ikke overholder reglerne, og nu fokuserer på at holde dem ansvarlige. At ignorere dette kan resultere i "betydelige sanktioner" for virksomheder, hvor tilsynsmyndighederne kan udstede bøder på op til 20 millioner euro eller 4% af den globale årlige omsætning for de værste overtrædelser.

Selvom tilsynsmyndighederne fortsætter med at slå ned på overtrædelser af GDPR ved at udstede bøder, er mange virksomheder stadig uvidende om dette. Jake Moore, global cybersikkerhedsrådgiver hos antivirussoftwareproducenten ESET, siger, at databeskyttelse er en "afkrydsningsøvelse" for mange organisationer – når det faktisk burde være integreret i alle områder af en moderne virksomhed.

Han siger, at dette resulterer i "svage adgangskontroller" og manglende evne til at huske placeringen af følsomme data. Derfor kan data nemt falde i hænderne på uautoriserede parter, og hvis virksomheder er usikre på, hvor de har gemt et bestemt stykke data, vil de have svært ved at opfylde anmodninger om sletning af data. Disse problemer udsætter virksomheder for risiko for GDPR-bøder.

Men manglende overholdelse af GDPR udsætter ikke kun virksomheder for risiko for dyre bøder – det kan skade alle aspekter af en virksomheds drift. Jo Brianti, en databeskyttelsesspecialist, siger, at oprydningsindsatsen kan resultere i "driftsforstyrrelser", når ledere er nødt til at dedikere allerede overbelastede tidsplaner til oprydningsindsatsen. Ledere kan endda selv blive ansvarlige for bøder, hvis de kendte til GDPR-fejl og ikke greb ind, tilføjer hun.

Hun siger, at det at negligere GDPR også kan skade virksomheders omdømme, udsætte dem for dyre retssager anlagt af berørte kunder, gøre det sværere for virksomheder at operere på forskellige markeder ved at forstyrre "platformforpligtelser og grænseoverskridende datastrømme" og optræde i due diligence-rapporter, hvilket fører til tab af salg og andre forretningsmuligheder.

AI ændrer spillereglerne

Virksomheders stigende anvendelse af kunstig intelligens-teknologi bidrager også til stigende GDPR-bøder. Da AI trænes på store datasæt for at fungere og forbedres over tid, er risikoen for datalækager og efterfølgende lovgivningsmæssige tiltag betydelig.

Og fordi mange virksomheder bruger AI-systemer udviklet af tredjepartsleverandører af teknologi, har de ikke altid kontrol over, hvordan de data, de indtaster i disse applikationer, opbevares og beskyttes. Ifølge von Stockhausen fra Black Duck betyder dette, at der er en reel risiko for utilsigtet dataeksponering og efterfølgende håndhævelse af GDPR.

Han fortæller IO: "Effektivitetsgevinsterne kan være enorme, men fra et GDPR-synspunkt er den centrale risiko klar: organisationer skal kunne garantere, at AI-output ikke afslører personoplysninger."

Når det kommer til at sikre AI-systemer og de data, de er afhængige af, forventes virksomheder ikke kun at følge GDPR-retningslinjerne. Der er også et voksende lovgivningslandskab dedikeret til AI. Det er nemt for virksomheder at behandle GDPR og AI-compliance som separate enheder, men dette kan være kontraintuitivt.

ESETs Moore forklarer, at fordi databeskyttelse og AI-styring bruger identiske datasæt, er virksomheder bedre stillet ved at "behandle dem som én samlet disciplin med klart ejerskab". Dette kan resultere i forenklede arbejdsbyrder og intet dobbeltarbejde, hvilket gør det mindre sandsynligt, at medarbejdere forsømmer data. Moore siger, at det kan resultere i færre bøder for virksomheder.

Brianti er en anden stærk tilhænger af en samlet tilgang til data- og IT-styring og forklarer, at regulatorer nu "konvergerer GDPR med en bredere digital pakke". Hun bruger EU's lov om digitale tjenester og digitale markeder samt opdateringer til eksisterende data- og AI-relaterede love som eksempler.

Ifølge Brianti kan manglende overholdelse af en af disse love forårsage "dommevirkninger på tværs af flere lovgivningsmæssige rammer". Hun fortæller IO: "Dette forvandler GDPR fra en juridisk silo til en strategisk risiko, der påvirker virksomhedsledelse, investorers risikoprofiler, due diligence i forbindelse med opkøb og omdømmehåndtering."

At sikre korrekt overholdelse

I takt med at tilsynsmyndighederne fortsætter med at håndhæve GDPR, siger von Stockhausen fra Black Duck, at deres primære forventning er, at virksomheder har implementeret en "klar" databeskyttelsesstrategi, der forklarer årsagerne bag indsamling af personoplysninger, om dataene rent faktisk er nødvendige, og deres metoder til datalagring og -beskyttelse.

"Regulatorer leder efter virksomheder, der håndterer personlige oplysninger bevidst, ansvarligt og med en klar forståelse af risiciene," siger han. "De, der ikke gør det, bliver i stigende grad gransket."

Men han siger, at den vigtigste måde at overholde GDPR på er konstant at være opmærksom på databeskyttelse og sikkerhedsrisici. For at gøre dette skal virksomheder håndhæve "påviselige sikkerhedsforanstaltninger", konstant overvåge truslerne fra nye teknologier og tilpasse eksisterende databeskyttelsesstrategier i overensstemmelse hermed.

For virksomheder, der er usikre på, hvor de skal starte, anbefaler Brianti at integrere bedste praksis, der er beskrevet i professionelle standarder og rammer, i deres daglige processer for at opfylde lovgivningsmæssige krav såsom GDPR. Hun siger, at ISO 27001 er fantastisk til håndtering af informationssikkerhedsrelaterede problemer, og ISO 27701 til privatlivets fred. Cyber Essentials og NIST 800-53 er to af hendes bedste valg.

Andre anbefalinger fra Brianti for at sikre overholdelse af GDPR omfatter: logføring af placeringen af personoplysninger og den måde, de behandles på i en fortegnelse; indførelse af principper for indbygget databeskyttelse, så produkter altid er datasikre; definition af roller og ansvar i forbindelse med databeskyttelse; uddannelse af personale i vigtigheden af databeskyttelse; dokumentation af alle beslutninger truffet om databeskyttelse; bestemmelse af datarisici gennem konsekvensanalyser; opbevaring af disse vurderinger og alt relateret til data i et enkelt miljø; og sikring af, at alle aktiviteter til håndtering af hændelser er afstemt.

Det er nemt at tænke på manglende overholdelse af GDPR som blot at betale en bøde og komme videre. Men det er bare ønsketænkning. Håndhævelse af GDPR kan være et stort slag for virksomhedens drift og vækst. Derfor bør det behandles som en strategisk prioritet snarere end en afkrydsningsøvelse blot for at behage bureaukraterne. Og når GDPR-overholdelse er i overensstemmelse med andre IT-relaterede styringsaktiviteter, kan virksomheder være sikre på, at de vil holde tilsynsmyndighederne glade og beskytte sig selv mod et hurtigt skiftende cybertrusselslandskab.

Nicholas Fearn

Nicholas Fearn er freelancejournalist fra de walisiske dale. Han har skrevet for store medier som Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost og Insider, samt B2B-publikationer som Computer Weekly, Computing og IT Pro. Når Nic ikke skriver om de nyeste gadgets og teknologitrends, lytter han sikkert til hele Mariah Careys diskografi.