Wanneer legt de AP een boete op?

De AP legt een boete op bij ernstige, opzettelijke of herhaalde overtredingen, of als eerder opgelegde corrigerende maatregelen niet zijn nageleefd. Niet elke overtreding leidt direct tot een boete: de AP werkt met een escalatieladder van onderzoek via waarschuwing en last onder dwangsom naar een bestuurlijke boete.

Hoe verminder ik het risico op een AP-boete?

Documenteer je compliance-inspanningen, werk proactief mee bij onderzoeken, en meld zelf incidenten waar nodig. De AP houdt bij het bepalen van de boetehoogte rekening met: de aard en ernst van de overtreding, medewerking, proactieve maatregelen, en of je al eerder bent aangesproken.

Wat is het verschil tussen een last onder dwangsom en een boete?

Een last onder dwangsom is een corrigerende maatregel: je moet iets veranderen, anders betaal je een periodiek bedrag. Een bestuurlijke boete is een sanctie voor een al begane overtreding. De AP kiest op basis van de situatie: bij doorlopende overtredingen eerder een dwangsom, bij ernstige of herhaalde overtredingen eerder een boete.

Hoe de AP beslist of jij een boete krijgt: handhavingsbeleid 2026 uitgelegd

GDPR, Compliance

6/3/2026

Veel ondernemers voelen een soort achtergrondstress als het gaat om de AP. Niet omdat ze denken dat ze bewust de fout ingaan, maar omdat de regels vaag voelen en de gevolgen groot zijn. Wanneer pakt de AP jou aan? En wanneer niet?

In 2026 werd dat voor het eerst echt inzichtelijk. De Autoriteit Persoonsgegevens publiceerde haar handhavingsbeleid, inclusief prioriteiten en werkwijze. Dat betekent dat je nu kunt lezen hoe de AP beslist, wat ze het hardst aanpakken, en wat je kunt doen om je risico te verkleinen.

Dit artikel legt het uit: hoe de escalatieladder werkt, welke drie gebieden bovenaan de lijst staan, en wat je vandaag concreet kunt doen.

Wat zijn de handhavingsprioriteiten van de AP in 2026?

De AP werkt niet willekeurig. Het handhavingsbeleid voor 2026 noemt drie concrete prioriteiten waar de toezichthouder actief op controleert.

Transparantieovertredingen (Artikelen 12-14 AVG)

Privacyverklaringen die generiek zijn, verouderd, of die niet uitleggen hoe gegevens indirect worden verzameld. De AP verwacht dat je privacybeleid concreet is: welke gegevens, waarom, op basis van welke rechtsgrond, en hoe lang je ze bewaart. Een algemene tekst van drie alinea's die je vijf jaar geleden van internet hebt geplukt voldoet daar niet aan.

Pre-consent tracking en dark patterns

Scripts die laden voordat een bezoeker toestemming heeft gegeven, een cookiebanner zonder duidelijke "weigeren"-knop, en consent-UX die ontworpen is om bezoekers te misleiden. Dit is een gebied waar de AP al concrete onderzoeken heeft lopen. De EDPB heeft in haar Coordinated Enforcement Framework voor 2026 cookies en consent als speerpunt benoemd. Vijfentwintig toezichthouders, inclusief de AP, zijn hier actief mee bezig.

Online profilering en dataminimalisatiefouten

Meer gegevens verwerken dan nodig, profilering zonder geldige rechtsgrond, en geautomatiseerde besluitvorming die niet transparant wordt toegelicht. Dit raakt e-commercebedrijven, marketingafdelingen en iedereen die gebruikersgedrag bijhoudt voor personalisatie.

Deze drie prioriteiten zijn geen toeval. Ze sluiten direct aan op wat de EDPB dit jaar heeft aangewezen als de Europees gecoordineerde handhavingsfocus. Als je op een van deze drie gebieden tekortschiet, loop je het grootste risico.

Hoe ziet de escalatieladder eruit?

Niet elke overtreding leidt direct tot een boete. De AP werkt met een escalatieladder, en de meeste trajecten beginnen ver voor een boete.

Fase 1: Feitenonderzoek en vragenlijst

De AP neemt contact op, stelt vragen, en inventariseert de situatie. Dit is informatieverzameling. Hoe je op dit moment reageert, heeft direct invloed op hoe het traject verdergaat.

Fase 2: Waarschuwing of aanbeveling

Informele correctie zonder formele sanctie. De AP geeft aan wat er niet klopt en wat er moet veranderen. Als je dit serieus oppakt en aantoonbaar verbetert, stopt het hier.

Fase 3: Last onder dwangsom

Dit is een bindende corrigerende maatregel. Je moet iets aanpassen binnen een gestelde termijn. Doe je dat niet, dan betaal je een periodiek bedrag zolang de overtreding voortduurt. Dit is nog geen boete voor de al begane overtreding, maar een stok achter de deur om je te dwingen te verbeteren.

Fase 4: Bestuurlijke boete

Dit is de sanctie voor een al begane overtreding. De AP gebruikt dit bij ernstige overtredingen, opzettelijke non-compliance, of als eerdere maatregelen zijn genegeerd.

De overgang tussen fases is niet automatisch. De AP weegt bij elke stap af of escalatie proportioneel is. Dat is goed nieuws als je serieus met compliance bezig bent.

Wat vergroot de kans op een boete?

Een aantal factoren vergroot het risico dat de AP doorschuift naar een formele sanctie. Herhaalde overtredingen na een eerdere waarschuwing tellen zwaar mee. Als de AP al eerder contact heeft gehad en dezelfde problemen opnieuw aantreft, is de kans op een boete aanzienlijk groter dan bij een eerste constatering.

Opzettelijke non-compliance is een ander zwaar wegend criterium. Er is een groot verschil tussen een organisatie die iets vergat te regelen en een organisatie die bewust koos om de regels niet te volgen. In het tweede geval is de AP minder geneigd om te werken met waarschuwingen.

Grootschalige gegevensverwerking en bijzondere categorieen gegevens verhogen het gewicht van elke overtreding. Verwerk je gezondheidsgegevens, biometrische data of gegevens van kinderen, dan wordt het risico als groter beoordeeld. Dat geldt ook voor situaties waar veel personen worden geraakt door een overtreding.

Niet meewerken aan een onderzoek, of nalaten om bekende datalekken te melden, zijn eveneens factoren die de AP expliciet benoemt. Samenwerking is geen garantie voor leniency, maar het ontbreken ervan maakt de situatie aanzienlijk slechter.

Wat verkleint de kans op een boete?

Gedocumenteerde compliance-inspanning, ook als die niet perfect is, speelt duidelijk in je voordeel. De AP kijkt niet alleen naar of je volledig compliant bent, maar ook naar of je serieus hebt geprobeerd dat te zijn. Een organisatie die aantoonbaar bezig is geweest met privacy, maar een gat over het hoofd heeft gezien, staat er veel beter voor dan een organisatie die helemaal niets heeft gedaan.

Proactieve medewerking bij onderzoeken heeft hetzelfde effect. Als je vragen snel beantwoordt, relevante documentatie aanlevert en laat zien dat je het probleem begrijpt, geeft dat de AP minder reden om te escaleren.

Zelf melden van incidenten werkt ook in je voordeel. Een datalek dat je zelf op tijd meldt, weegt anders dan een datalek dat de AP ontdekt via een klacht. Het eerste laat zien dat je je verplichtingen kent en uitvoert. Het tweede roept vragen op over waarom je het niet zelf hebt gemeld.

Het hebben van een formeel verwerkingsregister en een actueel privacybeleid zijn basisdocumenten die de AP verwacht te zien. Ze bewijzen niet dat je volledig compliant bent, maar het ontbreken ervan is een direct signaal dat privacy laag op de prioriteitenlijst staat.

Zelfscan: hoe goed beschermd ben jij?

Vijf vragen om je huidige blootstelling te beoordelen.

Klopt je privacyverklaring nog, is die specifiek, en dekt die ook indirecte gegevensverzameling? Een verklaring van drie jaar geleden die niet vermeld dat je een analytics-tool gebruikt, of die de rechtsgrond niet specificeert per verwerkingsactiviteit, voldoet niet aan de transparantievereisten die de AP dit jaar prioriteit geeft.

Heeft je cookiebanner een zichtbare "weigeren"-knop en laadt er geen enkel script voor de toestemming is gegeven? Pre-consent tracking is een van de drie topprioriteiten. Als je twijfelt, open je eigen website in een incognitovenster en bekijk je networkverzoeken voordat je iets aanklikt. Wat je dan ziet, ziet de AP ook.

Heb je een verwerkingsregister met alle verwerkers en rechtsgrondslagen gedocumenteerd? Dit is de basis. Zonder dit document is het moeilijk om aan te tonen dat je bewuste keuzes hebt gemaakt over welke gegevens je verwerkt en waarom.

Heb je gedocumenteerd hoe je betrokkenenverzoeken en datalekken afhandelt? Processen hoeven niet perfect te zijn, maar ze moeten bestaan en aantoonbaar worden gevolgd. Als je niet kunt laten zien hoe je een inzageverzoek of datalek afhandelt, is dat een blinde vlek die de AP zal opmerken.

Heb je een proces voor regelmatige compliance-review? Privacy is geen eenmalige exercitie. Je systemen, leveranciers en verwerkingsactiviteiten veranderen. Als er geen moment is waarop je periodiek controleert of alles nog klopt, sluipen er vanzelf gaten in.

Zijn er vragen waarbij je twijfelt of het antwoord "nee" is? Dan is dat precies het gebied waar je het eerst aan moet werken.

Wat kun je nu doen?

Het handhavingsbeleid van de AP maakt duidelijk waar de risico's zitten. De drie prioriteiten zijn niet vaag: transparantie, cookie-consent en profilering zijn gebieden die je concreet kunt controleren en verbeteren.

ComplianceHive helpt je met precies de drie gebieden die de AP in 2026 controleert: een actuele AVG-compliance administratie, een verwerkingsregister met alle rechtsgrondslagen, en gedocumenteerde werkprocessen voor betrokkenenverzoeken. In de GDPR-module van ComplianceHive doorloop je stap voor stap de onderdelen die de AP als eerste controleert, inclusief je privacybeleid, je cookieconsent en je verwerkingsregister.

Niet om een vinkje te zetten, maar om te kunnen aantonen dat je serieus bezig bent.