top of page
Autoriteit Persoonsgegevens (AP)
De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder op het gebied van privacy en bescherming van persoonsgegevens. Met andere woorden: zij ziet erop toe dat organisaties zorgvuldig omgaan met gegevens van mensen. In de praktijk treedt de AP op bij datalekken, onrechtmatige verwerking of onduidelijke communicatie over gegevens. Dit artikel legt uit wat de AP precies doet, op basis van welke wetgeving, hoe het toezicht werkt en wat dat voor jou betekent.
Lees nu meer over:
Boete
Bezwaar
Wat is de AP en waarom bestaat zij?
De AP is een onafhankelijke autoriteit in Nederland die gegevensbescherming bewaakt en stimuleert. Haar taak is duidelijk: zorgen dat de privacy van mensen wordt gerespecteerd in een wereld die steeds digitaler wordt.
De wettelijke basis is de Algemene verordening gegevensbescherming (AVG) plus de Nederlandse uitvoeringswetgeving. De AP heeft bevoegdheden om organisaties te controleren, te adviseren en zo nodig handhavend op te treden.
Waar houdt de AP toezicht op?
De AP richt zich op alle plekken waar persoonsgegevens worden verwerkt. Het gaat om bedrijven, overheden, maatschappelijke organisaties, dus heel breed. Hieronder het overzicht, gevolgd door uitleg.
Toezichtgebieden
-
Verwerking van persoonsgegevens door organisaties
-
Datalekken en melding hiervan
-
Transparantie en informatie voor betrokkenen
-
Beoordeling van automatische besluitvorming en profielen (algoritmes)
-
Internationale gegevensoverdracht
-
Advies over en handhaving van privacyregelgeving
Uitleg per gebied
Verwerking van persoonsgegevens
Als een organisatie persoonsgegevens gebruikt, bijvoorbeeld naam, e‑mail, gezondheidsgegevens, dan moet zij aantonen dat dit zorgvuldig gebeurt, dat er een grondslag voor is, en dat rechten van betrokkenen worden gerespecteerd.
Datalekken
Wanneer bijvoorbeeld een bedrijf gehackt wordt of gegevens per ongeluk openbaar worden, dan is er sprake van een datalek. Organisaties zijn verplicht dit soms te melden en de AP ziet toe op juiste melding en afhandeling.
Transparantie en informatie
Betrokkenen moeten weten wat er met hun gegevens gebeurt. Denk aan duidelijke privacyverklaring, juiste toestemming en inzicht in verwerking.
Automatische besluitvorming / profielen
Steeds vaker nemen organisaties beslissingen met hulp van algoritmes (bijv. kredietscore). De AP beoordeelt of zulke systemen de rechten van mensen niet schenden.
Internationale overdracht
Gegevens worden achter de schermen vaak over de grens gestuurd. De AP zorgt voor naleving van regels bij internationale doorgifte van gegevens.
Hoe werkt de AP in de praktijk?
Wat betekent dit ‘in de praktijk’? Hier is hoe de AP te werk gaat, stap voor stap, plus twee voorbeelden.
Werkwijze
-
De AP signaleert risico’s op het gebied van gegevensverwerking (bijvoorbeeld op basis van meldingen of onderzoek).
-
Ze bepaalt prioriteiten: waar zijn de grootste problemen of kwetsbaarheden?
-
Ze controleert organisaties: audits, informatieverzoeken, inspecties.
-
Bij overtredingen ondersteunt de AP vaak eerst met begeleiding of waarschuwing, daarna eventueel handhaving zoals boetes of verplicht herstel.
-
Ze geeft voorlichting aan organisaties en het publiek over privacyrechten, wetgeving en best practices.
Praktijkvoorbeeld 1
Een organisatie gebruikt persoonsgegevens voor marketing zonder duidelijke toestemming en zonder mensen te informeren hoe hun gegevens worden gebruikt. De AP start onderzoek, legt de organisatie een verbeterweken op en vraagt dat de privacyverklaring wordt aangepast.
Praktijkvoorbeeld 2
Een bedrijf verwerkt data buiten de EU in een land met weinig bescherming, zonder passende garanties. De AP bekijkt of de doorgifte in lijn is met de regels en kan de organisatie verplichten de overdracht te stoppen of extra maatregelen te treffen.
Wat betekent dit voor jou – als burger of organisatie?
Hier zie je wat je moet weten, wat je zelf kunt doen, en waar je op moet letten.
Voor organisaties
-
Zorg dat je weet welke persoonsgegevens je verwerkt, waarom, hoe lang en wie toegang heeft.
-
Zorg voor een betrouwbare grondslag: toestemming, contract, wettelijke verplichting etc.
-
Zorg voor goede beveiliging van gegevens, duidelijke privacyverklaringen en beleid bij datalekken.
-
Houd automatisering/algoritmes kritisch: blij
-
ven mensen recht doen?
-
De AP kan controleren: wees voorbereid.
Voor burgers / betrokkenen
-
Weet dat je rechten hebt: inzage, correctie, verwijdering, beperking van verwerking.
-
Vraag om heldere informatie: wat doet de organisatie met jouw gegevens?
-
Let op of je echt toestemming geeft of dat je verplicht bent, de organisatie moet dit goed regelen.
-
Meld vermoedens van onrechtmatige verwerking of datalekken: de AP onderzoekt klachten.
Onderzoek en toezicht
De AP houdt toezicht op eigen initiatief of naar aanleiding van klachten of datalekmeldingen.
Bij een onderzoek mag de toezichthouder documenten opvragen, medewerkers horen en IT-systemen laten onderzoeken.
Toezicht kan verschillende vormen aannemen. Soms begint het met een informatieverzoek waarin je toelichting moet geven. Bij zwaardere signalen kan de AP besluiten tot een volledig onderzoek dat uiteindelijk kan leiden tot handhaving.
Het is belangrijk om tijdig en volledig te reageren, en zorgvuldig vast te leggen welke informatie je verstrekt.
Datalekken en meldplicht
Bij een datalek kunnen persoonsgegevens onbedoeld openbaar worden of in verkeerde handen terechtkomen.
Volgens de AVG moet een datalek binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het risico voor betrokkenen verwaarloosbaar is.
De AP beoordeelt of het incident correct is afgehandeld en of passende beveiligingsmaatregelen zijn getroffen.
Het niet of te laat melden van een datalek kan op zichzelf al aanleiding zijn voor handhaving.
Een duidelijk datalekprotocol en goed getrainde medewerkers voorkomen veel problemen.
Boetes en sancties
De Autoriteit Persoonsgegevens kan verschillende maatregelen nemen bij overtreding van de AVG.
Afhankelijk van de ernst van de situatie kan dat zijn:
-
een waarschuwing of aanwijzing
-
een last onder dwangsom
-
een bestuurlijke boete
De hoogte van boetes varieert.
Bij ernstige overtredingen kan het bedrag oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet.
De AP kijkt daarbij naar de aard van de overtreding, de omvang van de verwerking, de genomen maatregelen en de mate van verwijtbaarheid.
Bezwaar en beroep
Ben je het niet eens met een besluit van de Autoriteit Persoonsgegevens, bijvoorbeeld een boete of aanwijzing, dan kun je binnen zes weken bezwaar maken.
Blijft de AP bij haar besluit, dan is beroep mogelijk bij de bestuursrechter.
Een zorgvuldig opgebouwd dossier met bewijs van genomen maatregelen, correspondentie en interne beslissingen is cruciaal voor een goede verdediging.
Waarom privacytoezicht steeds belangrijker wordt
De Autoriteit Persoonsgegevens treedt steeds actiever op, vooral in sectoren waar veel persoonsgegevens worden verwerkt.
Dat geldt voor zorg, onderwijs, marketing en technologie, maar ook voor kleinere bedrijven en zelfstandigen.
Privacy is niet langer alleen een juridisch onderwerp.
Het is een belangrijk onderdeel van het vertrouwen dat klanten in je organisatie hebben.
Wie transparant is over gegevensverwerking en duidelijke procedures hanteert, voorkomt niet alleen boetes maar versterkt ook de reputatie van het bedrijf.
Veelgestelde vragen (FAQ)
Wat doet de Autoriteit Persoonsgegevens precies?
De AP controleert of organisaties voldoen aan de AVG en andere privacyregels en kan optreden bij overtredingen.
Wanneer moet ik een datalek melden?
Binnen 72 uur na ontdekking, tenzij het risico voor betrokkenen minimaal is.
Kan de AP zomaar mijn organisatie onderzoeken?
Ja. De AP mag onderzoek doen op basis van klachten, signalen of eigen waarneming.
Hoe hoog kunnen boetes van de AP zijn?
Tot twintig miljoen euro of vier procent van de wereldwijde omzet bij ernstige overtredingen van de AVG.
Wat kan ik doen bij een boete of waarschuwing?
Je kunt binnen zes weken bezwaar indienen. Daarna kun je, als dat nodig is, beroep instellen bij de rechter.
boete
bezwaar
bottom of page