De afgelopen jaren hebben Europese toezichthouders verscheidene boetes uitgedeeld aan organisaties voor het hanteren van een onbetrouwbaar of te strikt authenticatieproces. Te soepele authenticatie vergroot het risico op datalekken, terwijl te strikte authenticatie het risico op extra verwerkingen vergroot en de drempel voor de betrokkenen verhoogt om het inzagerecht uit te oefenen. Deze bijdrage expliciteert dit spanningsveld en onderzoekt welke juridische eisen de AVG stelt aan authenticatie.