Uit een recent onderzoek in een EU-lidstaat blijkt dat in 89% van de gevallen die leidden tot een beslissing van de sanctionerende instantie begon met een klacht van een ontevreden klant, (ex-) werknemer, concurrent, … Slechts 8% was het gevolg van een spontaan onderzoek door de autoriteit en 3% startte vanwege een privacylek dat verder werd onderzocht en andere overtredingen aan het licht bracht.

Het onderzoek begint vaak met geschillen die het gevolg zijn van alledaagse handelingen, zoals informatie in een klantloyaliteitsprogramma, zichtbare emailadressen in een bulk email, persoonlijke email naar een professioneel e-mailadres, het niet sluiten van accounts door een vorige werkgever, het te lang bewaren van sollicitatiegegevens, een promo mailing, toegevoegd worden aan een whatsapp-groep en zelfs een gevecht tussen buren …;

Kortom, GDPR risico’s wordt voornamelijk veroorzaakt door burgers die klagen, in plaats van door enige autonome actie van de autoriteit.