Handhaving en boetes AP

Wat leer je van de tien grootste AP-boetes en hoe voorkom je dezelfde fouten?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je bent net klaar met een drukke week, je zit lekker op de bank en je telefoon gaat.

Inhoudsopgave
  1. Waarom de AP zo streng is
  2. De top 10 van grootste AP-boetes
  3. De rode draad: veelvoorkomende fouten
  4. Hoe voorkom je deze fouten?
  5. Conclusie: privacy is een must, geen optie

Het is een waarschuwing van je bank. Je rekening is leeg. Niet door een hack, maar door een boete. Een AP-boete. Je bent niet de enige.

De Autoriteit Persoonsgegevens (AP) legt steeds vaker hoge boetes op aan bedrijven die de privacyregels aan hun laars lappen. Het zijn bedragen waar je u tegen zegt.

In dit artikel duiken we in de tien grootste AP-boetes ooit. We kijken wat er misging en, belangrijker nog, hoe jij diezelfde fouten kunt voorkomen.

Want voorkomen is beter dan genezen, en een boete van tienduizenden euro’s wil je echt niet op je bordje krijgen.

Waarom de AP zo streng is

De Autoriteit Persoonsgegevens (AP) is de waakhond van onze privacy. Sinds de Algemene Verordening Gegevensbescherming (AVG) in 2018 van kracht werd, heeft de AP meer bevoegdheden.

Ze mogen flinke boetes uitdelen aan bedrijven die persoonsgegevens niet goed beschermen. Het doel?

Niet alleen straffen, maar vooral gedrag veranderen. Bedrijven moeten wakker worden en serieus werk maken van privacy. De boetes die we hier bespreken, zijn daar een duidelijk signaal van. Ze laten zien dat geen enkel bedrijf te groot is om aangepakt te worden.

De top 10 van grootste AP-boetes

Laten we zonder verder oponthoud de lijst induiken. Dit zijn de allergrootste boetes die de AP heeft uitgedeeld.

We bespreken kort wat er gebeurde en wat je ervan kunt leren.

1. Uber: 290 miljoen euro

Uber kreeg in 2024 een recordboete. De reden? Het bedrijf bewaarde gevoelige data van chauffeurs, zoals ID-kaarten en medische gegevens, onnodig lang en op een onveilige manier in de Verenigde Staten. Toen deze data werden gestolen, was de schade enorm.

De AP vond dat Uber de Europese privacyregels negeerde. De les: bewaar data niet langer dan nodig. En als je data bewaart, zorg er dan voor dat ze goed beveiligd zijn, ook als ze internationaal worden verwerkt. Gebruik versleuteling en beperk de toegang tot alleen mensen die het echt nodig hebben. De populaire video-app TikTok kreeg een boete omdat jonge gebruikers niet goed werden beschermd.

2. TikTok: 750.000 euro

Vooral kinderen onder de 13 jaar konden zonder toestemming van hun ouders een account aanmaken en persoonlijke data delen.

De app vroeg niet duidelijk om toestemming. De les: als je diensten aanbiedt waar kinderen gebruik van maken, moet je extra voorzichtig zijn. Zorg voor duidelijke toestemming van ouders en beperk de data die kinderen verzamelen.

3. Hema: 725.000 euro

Denk aan leeftijdsgrenzen en privacy-instellingen die standaard op 'veilig' staan. Hema werd betrapt op een datalek bij een online wedstrijd. Een softwarefout zorgde ervoor dat de persoonsgegevens van duizenden klanten zichtbaar waren voor anderen.

Het bedrijf had het lek niet op tijd ontdekt en niet snel genoeg gemeld. De les: test je systemen regelmatig op zwakke plekken.

4. Voetbalclub FC Utrecht: 500.000 euro

Een datalek moet je binnen 72 uur melden bij de AP. Zorg voor een duidelijk plan hoe je omgaat met datalekken, inclusief wie wat doet en wanneer. Deze boete ging misbruik van cameratoezicht.

FC Utrecht had camera’s op een parkeerplaats geplaatst om diefstal te voorkomen, maar de camera’s filmden ook veel meer dan nodig was. Medewerkers konden zonder reden live meekijken en beelden terugkijken.

5. De Persgroep: 375.000 euro

Dit was een schending van de privacy van bezoekers en medewerkers. De les: bij cameratoezicht geldt: alleen filmen waar het echt nodig is.

Beperk de toegang tot de beelden en bewaar ze niet langer dan nodig. Wees transparant over waarom je filmt. De Persgroep, uitgever van onder andere AD en Volkskrant, kreeg een boete vanwege een datalek bij een wervingscampagne.

6. NS: 250.000 euro

De persoonsgegevens van sollicitanten waren toegankelijk via een onveilige link. Het bedrijf had niet genoeg maatregelen genomen om deze data te beschermen. De les: wees extra voorzichtig met sollicitatiegegevens. Deze data zijn vaak heel gevoelig. Zorg dat je wervingsproces veilig is en dat alleen de juiste mensen toegang hebben tot de gegevens.

De Nederlandse Spoorwegen (NS) kregen een boete die past in de reeks hoogste AVG-boetes omdat ze reisgegevens van klanten te lang bewaarden.

7. Vastgoedwebsite Funda: 225.000 euro

Klanten konden niet altijd zien welke gegevens er werden verzameld en hoelang deze werden bewaard. De AP vond dit in strijd met de privacywet. De les: wees duidelijk over je data-retentiebeleid.

Klanten moeten weten hoe lang hun data worden bewaard en waarom. Geef ze ook de kans om hun data te laten verwijderen. Funda kreeg een boete omdat het onnodig veel persoonsgegevens verzamelde van gebruikers die een huis wilden bezichtigen.

8. Voetbalclub AZ: 200.000 euro

Het bedrijf vroeg bijvoorbeeld om een telefoonnummer terwijl dat niet nodig was voor de afspraak.

Dit is een overtreding van het principe van dataminimalisatie. De les: vraag alleen om gegevens die je echt nodig hebt. Gebruik het ‘privacy by design’-principe: bouw privacybescherming in vanaf het begin van je productontwikkeling. AZ kreeg een boete vanwege een datalek waarbij e-mailadressen en wachtwoorden van medewerkers werden gelekt.

9. Marktplaats: 200.000 euro

Het lek was ontstaan door een onveilige e-mailconfiguratie. Het bedrijf had niet voldoende technische maatregelen genomen om dit te voorkomen. De les: zorg voor goede technische beveiliging.

Gebruik sterke wachtwoorden, versleutel gegevens en zorg voor regelmatige updates van je systemen.

10. Nederlandse Loterij: 150.000 euro

Marktplaats kreeg een boete omdat het niet duidelijk was hoe lang advertentiegegevens werden bewaard. Gebruikers wisten niet dat hun persoonlijke gegevens na het verwijderen van een advertentie nog lang werden bewaard. De les: wees transparant over je bewaartermijnen. Zorg dat gebruikers makkelijk hun gegevens kunnen inzien, aanpassen of verwijderen.

De Nederlandse Loterij kreeg een boete omdat het klanten ongevraagd benaderde voor marketingdoeleinden. De klanten hadden geen toestemming gegeven voor deze communicatie. Dit is een overtreding van de regels rondom direct marketing. De les: zorg dat je altijd toestemming hebt voordat je klanten benadert voor marketing. Gebruik een dubbel opt-in-systeem waarbij klanten actief moeten bevestigen dat ze mails willen ontvangen.

De rode draad: veelvoorkomende fouten

Als je naar deze boetes kijkt, vallen een paar dingen op. Ten eerste: veel bedrijven bewaren data te lang. Of ze nu gaan over reisgegevens of sollicitatiegegevens, het idee ‘misschien heb ik het nog wel een keer nodig’ is gevaarlijk.

Ten tweede: onvoldoende beveiliging. Een onveilige link of een softwarefout is genoeg voor een datalek.

Ten derde: gebrek aan transparantie. Klanten weten niet wat er met hun gegevens gebeurt.

En ten slotte: onzorgvuldig omgaan met kinderdata of marketingregels. Deze fouten komen vaak terug en zijn vaak makkelijk te voorkomen.

Hoe voorkom je deze fouten?

Je hoeft geen privacy-expert te zijn om deze problemen te voorkomen. Hier zijn een paar praktische tips die je direct kunt toepassen.

Voer een data-inventarisatie uit

Weet welke persoonsgegevens je verzamelt, waar ze staan en wie er toegang toe heeft. Maak een overzicht en houd dit bij. Dit helpt je om onnodige data te verwijderen en de beveiliging te verbeteren. Vraag alleen om gegevens die je echt nodig hebt.

Minimaliseer de data die je verzamelt

Als je een telefoonnummer niet gebruikt, vraag er dan ook niet om. Dit verkleint het risico op datalekken en voldoet aan de AVG.

Zorg voor sterke beveiliging

Gebruik sterke wachtwoorden, versleutel gegevens en zorg voor regelmatige updates. Test je systemen op zwakke plekken en zorg voor een plan voor datalekken.

Wees transparant

Denk aan een meldplicht en een crisisplan. Vertel je klanten duidelijk wat je met hun gegevens doet. Gebruik een privacyverklaring die makkelijk te begrijpen is.

Train je medewerkers

Geef klanten de kans om hun gegevens in te zien, aan te passen of te verwijderen. Veel datalekken ontstaan door menselijke fouten.

Train je medewerkers in privacybewustzijn. Leer ze hoe ze omgaan met persoonsgegevens en hoe ze datalekken herkennen.

Conclusie: privacy is een must, geen optie

De grootste AP-boetes laten zien dat privacy niet iets is om later mee te beginnen.

Het is een onderdeel van je bedrijfsvoering. Door slimme stappen te zetten, voorkom je niet alleen boetes, maar bouw je ook vertrouwen op bij je klanten. En dat vertrouwen is op de lange termijn veel meer waard dan elke boete. Dus, pak je kans, verbeter je privacybeleid en zorg dat je geen volgende naam op deze lijst wordt.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →