anonym.legal

By · Last updated 2026-06-05

Terug naar BlogGDPR & Naleving

Irish DPC: 80% Van EU AVG Megaboetes

€530M TikTok, €310M LinkedIn, €251M Meta — allemaal van Ierland's DPC. Waarom Ierland Big Tech's EU-hoofdkantoren huisvest en wat DPC-handhaving betekent voor SaaS.

June 5, 20268 min lezen
Irish DPCIreland GDPRTikTok GDPR fineBig Tech enforcementEU data protection

Waarom Ierland EU-Handhaving Leidt

De Irish Data Protection Commission (DPC) is de leidende instantie voor de meeste grote EU-techbedrijven. Dit is geen toeval.

Ierlands lage belastingtarief trok Apple, Google, Meta, LinkedIn en TikTok aan. Ze hebben allemaal hun voornaamste EU-kantoren daar gevestigd.

AVG-artikel 60 maakt de DPC de leidende instantie voor deze bedrijven. Drie dingen volgen uit deze regel.

Ten eerste gaat een klacht in Duitsland over Facebook naar de Irish DPC, niet de Duitse BfDI. Ten tweede werkt de DPC samen met andere EU-instanties in grensoverschrijdende gevallen. Ten derde geldt een DPC-uitspraak tegen Meta over de gehele EU.

Het resultaat is duidelijk. De DPC heeft meer boetewaarde opgelegd dan alle andere EU-instanties samen. Zie ons AVG-complianceoverzicht over hoe dit leveranciersbeslissingen beïnvloedt.

Drie Boetes Die 2024–2025 Definiëren

€530M tegen TikTok (mei 2025): Chinese ingenieurs hadden toegang tot EU-gebruikersrecords. Dit schond AVG-artikelen 44–46. Die regels beperken overdrachten naar landen zonder een EU-adequaatheidsbesluit. China heeft er geen. TikTok beweerde adequate controles te hebben. De DPC vond van niet.

€310M tegen LinkedIn (oktober 2024): LinkedIn vertrouwde op "gerechtvaardigd belang" voor gedragsanalyse. De DPC vond dit ongeldig. De verwerking was niet nodig voor het opgegeven doel. De afweegtest was niet in het voordeel van LinkedIn.

€251M tegen Meta (november 2024): De Facebook-inbreuk van 2018 werd niet tijdig gemeld aan de DPC. De DPC vond ook dat slechte auditlogs het onmogelijk maakten om te meten wat er was blootgesteld.

Deze drie voegden zich bij de eerdere €1,2 miljard Meta-boete van mei 2023. Die boete kwam ook van de DPC, voor illegale EU-US overdrachten. Het blijft de grootste AVG-sanctie ooit opgelegd.

De DPC behandelde in 2024 meer dan 8.500 grensoverschrijdende gevallen. Bekijk onze beveiligings- en compliancepagina om te zien hoe zero-knowledge ontwerp elk falen aanpakt.

Wat Elke Boete Onthult

Grensoverschrijdende Toegangsfouten

Alle drie boetes delen één kernprobleem. Persoonsgegevens waren open voor medewerkers in landen zonder EU-niveau privacyregels.

TikToks boete was direct. EU-gebruikersbestanden bereikten Chinese ingenieurs ondanks opgegeven controles.

Wat dit betekent voor leveranciersselectie: Vraag of niet-EU-ingenieurs EU-gehoste records kunnen bereiken in normaal werk. Een leverancier kan in Dublin hosten maar EU-bestanden nog steeds blootstellen via US-gebaseerde supportmedewerkers. EU-vestiging alleen is niet voldoende. Onze entiteitsverwerkingsgids toont hoe toegangscontroles mappen op AVG-artikel 46.

Rechtsgrondfouten

LinkedIns boete betrof geen inbreuk. Het ging over hoe LinkedIn zijn verwerking rechtvaardigde.

"Gerechtvaardigd belang" is geen blanco recht. Verwerkingsverantwoordelijken moeten een echte afweegtest documenteren. Die test moet aantonen dat hun belang de rechten van de gebruiker overweegt. Onze compliancepagina dekt hoe leveranciers-rechtsgrondbeweringen te beoordelen.

Logging- En Kennisgevingsfouten

Meta's €251M-boete omvatte een sleutelbevinding. Slechte auditlogs maakten het onmogelijk het inbreukbereik te meten.

AVG-artikel 33 vereist inbreukmelding binnen 72 uur. Die melding moet het bereik van getroffen records omvatten. U kunt geen bereik rapporteren dat u niet kunt meten.

Vraag potentiële leveranciers naar hun auditlogstructuur. Als een leverancier na een incident niet kan antwoorden "welke records waren blootgesteld?", falen ze artikel 33(3)(b).

Het Patroon Over DPC-Zaken

Lees alle vier grote DPC-boetes en er verschijnt één patroon. Toezichthouders treden op tegen ontwerpen waarbij leveranciersingenieurs gebruikersinhoud kunnen zien. Elke grote boete betrof slecht gecontroleerde toegang tot persoonsgegevens.

Zero-knowledge ontwerp pakt de kernzorg in elk geval aan. Gebruikersinhoud is versleuteld. De leverancier heeft geen ontsleutelingssleutels.

Voor TikTok- en Meta-overdrachtszaken bereiken niet-EU-ingenieurs de server maar zien alleen cijfertekst. Er worden geen leesbare records blootgesteld. Voor de Meta-inbreukzaak levert een volledige servercompromis niets nuttigs op. Inbreukbereik krimpt. Voor LinkedIn kan een leverancier die nooit leesbare tekst ziet er geen gedragsanalyse op uitvoeren.

Dit is het directe antwoord op elke DPC-actie. Zie ons beveiligingsoverzicht voor details, of onze oprichtersverklaring over waarom anonym.legal zo vanaf dag één is gebouwd.

Wat "Hoofdvestiging" Betekent

Sommige bedrijven routeren hun EU-structuur om te bepalen welke DPA bevoegdheid heeft. Het standpunt van de DPC is hier van belang.

"Hoofdvestiging" is niet zomaar een bedrijfsadres. Het is waar centraal EU-management zit. Voor verwerkingsverantwoordelijken is het waar beslissingen over verwerkingsdoeleinden worden genomen.

Een bedrijf met een Londense privacyteam heeft mogelijk geen EU-hoofdvestiging. Elke lidstaat-DPA kan dan bevoegdheid beweren voor lokale klachten.

Leveranciersbeoordeling Vragen

Gebruik deze vragen bij het beoordelen van SaaS-leveranciers die persoonsgegevens verwerken.

Jurisdictie en toegang:

  • Waar is de EU-hoofdvestiging van de leverancier?
  • Kunnen niet-EU-medewerkers EU-gebruikersrecords benaderen in normaal werk?
  • Is het moederbedrijf van de leverancier onderworpen aan de CLOUD Act of de veiligheidswetten van China?

Technisch ontwerp:

  • Blijft EU-gebruikersinhoud op EU-gehoste servers?
  • Houdt de leverancier versleutelingssleutels, of doet de klant dat?
  • Zijn auditlogs gedetailleerd genoeg om het inbreukbereik te meten?

Overdrachtsrecords:

  • Welk AVG-artikel 46-mechanisme dekt eventuele EU-US stromen?
  • Heeft de leverancier een Transfer Impact Assessment uitgevoerd?
  • Welke extra technische maatregelen zijn aanwezig?

DPC-handhaving is consistent op één punt. Zelfs bedrijven met privacyteams en DPO's ontvangen grote boetes wanneer hun technisch ontwerp niet overeenkomt met hun beweringen. Zie onze casestudies en FAQ voor meer.

anonym.legal gebruikt EU-gebaseerde Hetzner-servers met zero-knowledge ontwerp. Servers bewaren alleen AES-256-GCM-cijfertekst. Een volledige inbreuk stelt geen leesbare records bloot. De Desktop App verwerkt alle inhoud op het apparaat zonder externe koppelingen.

Bronnen

Gerelateerde Artikelen

GDPR & Naleving

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Naleving

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Naleving

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.