Handhaving en boetes AP

Wat is het verschil tussen de AP en de EDPB en wanneer wordt de EDPB relevant voor jou?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je hebt een klacht over een app die met je gegevens rommelt. Je bent je privacyrechten aan het uitoefenen en je krijgt nul op het rekest.

Inhoudsopgave
  1. De Autoriteit Persoonsgegevens (AP): De Nederlandse toezichthouder
  2. De EDPB: De Europese spelleider
  3. Het verschil in een notendop
  4. Wanneer wordt de EDPB relevant voor jou?
  5. Hoe werken ze samen?
  6. Waarom dit voor jou belangrijk is
  7. Conclusie: AP is je buurman, EDPB is de politie

Boos bel je de Autoriteit Persoonsgegevens (AP). Een week later hoor je niets.

Dus je besluit de grote jongens in te schakelen. Maar wie is dan de baas? De AP of de EDPB?

En wat is het verschil eigenlijk? Veel mensen denken dat het hetzelfde is, of dat de een de ander simpelweg opvolgt. Maar dat is niet waar. Beide organisaties zijn belangrijk, maar ze doen heel verschillende dingen. In dit artikel leg ik je in gewone taal uit wat het verschil is, hoe ze samenwerken en vooral: wanneer jij ze nodig hebt.

De Autoriteit Persoonsgegevens (AP): De Nederlandse toezichthouder

De AP is de Nederlandse privacywaakhond. Ze zitten in Den Haag en hun taak is helder: ze houden erop toe dat bedrijven en organisaties in Nederland zich aan de privacyregels houden.

Dit doen ze op basis van de Algemene Verordening Gegevensbescherming (AVG). De AP is je eerste aanspreekpunt. Heb je een klacht over een Nederlands bedrijf?

Dan ga je naar de AP. De AP kan onderzoeken instellen, boetes uitdelen (en dat doen ze!) en organisaties dwingen om dingen te veranderen.

Een concreet voorbeeld: je ontvangt ongevraagde reclame-mails van een webshop. Je hebt je uitgeschreven, maar het stopt niet. Je stuurt een klacht naar de AP. Zij gaan ermee aan de slag. De AP is dus lokaal, toegankelijk en handhaaft de regels in Nederland.

De EDPB: De Europese spelleider

De EDPB (European Data Protection Board) is het Europese overkoepelende orgaan. Stel je voor dat je een klacht hebt over een bedrijf dat in Ierland is gevestigd, maar dat actief is in Nederland.

Wie is dan de baas? De EDPB zorgt voor eenheid in Europa. De EDPB bestaat uit de toezichthouders van alle EU-landen. Ze zorgen dat de regels in alle landen hetzelfde worden uitgelegd.

Als de AP en de toezichthouder in Frankrijk het oneens zijn over een regel, dan beslist de EDPB. De EDPB is dus niet je eerste aanspreekpunt.

Je kunt niet zomaar een klacht indienen bij de EDPB. Ze zijn er vooral voor de toezichthouders zelf, om te zorgen dat Europa één lijn trekt.

Het verschil in een notendop

De AP is de Nederlandse handhaver. De EDPB is de Europese coördinator.

De AP handelt je klacht af als het om een Nederlands bedrijf gaat. De EDPB treedt op als er conflicten zijn tussen verschillende Europese toezichthouders of als er een principiële kwestie speelt die Europa-breed impact heeft. Denk aan een techgigant als Meta (Facebook). Als de Ierse toezichthouder een beslissing neemt over Meta, maar andere landen (zoals Nederland) zijn het daar niet mee eens, dan kan de EDPB ingrijpen.

Wanneer wordt de EDPB relevant voor jou?

Dit is de hamvraag: wanneer merk jij er iets van? Meestal merk je de EDPB niet direct, maar wel indirect.

1. Je hebt een klacht over een bedrijf in een ander EU-land

Er zijn een paar situaties waarin de EDPB relevant wordt voor jou als burger. Stel je koopt iets bij een Duitse webshop en je hebt een klacht over hoe ze met je data omgaan.

Je kunt niet direct naar de Duitse toezichthouder. Je moet eerst naar de AP. De AP stuurt je klacht door naar de juiste Europese toezichthouder. Maar wat als die Duitse toezichthouder te traag is of niets doet?

2. Grote, grensoverschrijdende tech-bedrijven

Dan kan de EDPB een rol spelen. De EDPB kan druk uitoefenen op de toezichthouder om actie te ondernemen.

Je merkt dit niet direct, maar het zorgt ervoor dat je klacht niet in een gat valt. Veel grote techbedrijven hebben hun Europese hoofdkantoor in Ierland. Denk aan Google, Meta, Apple en TikTok.

Als je een klacht hebt over deze bedrijven, is de Ierse toezichthouder de 'lead authority'. De AP is hierbij betrokken, maar de Ierse toezichthouder leidt het onderzoek.

Als de AP het niet eens is met de Ierse beslissing, of als andere Europese landen bezwaar maken, dan komt de EDPB in actie.

3. Principe-kwesties en nieuwe regels

De EDPB kan een bindende beslissing nemen die voor alle landen geldt. Dit is gebeurd in zaken rondom de cookiewetgeving en de manier waarop bedrijven data mogen doorsturen naar landen buiten Europa. De EDPB geeft ook richtlijnen uit over hoe de AVG moet worden gelezen.

Bijvoorbeeld: hoe lang mogen bedrijven data bewaren? Is 'do not track' voldoende voor toestemming?

De EDPB geeft antwoord op deze vragen. De AP volgt deze richtlijnen op.

Als jij je afvraagt of een bepaalde praktijk van een bedrijf mag, dan is de kans groot dat de EDPB hier al een uitspraak over heeft gedaan. De AP past deze uitspraken toe in Nederland.

Hoe werken ze samen?

De AP en de EDPB werken continu samen. De AP is lid van de EDPB.

De Nederlandse toezichthouder heeft dus zitting in het Europese bestuur. Stel: je wilt weten hoe de AP een onderzoek start naar een bedrijf.

De AP kan de EDPB om advies vragen. Of de EDPB kan de AP vragen om een onderzoek te starten. Het is een netwerk. Geen hiërarchie, maar een samenwerking.

Maar als er echt ruzie ontstaat tussen landen, dan is de EDPB de scheidsrechter.

De EDPB kan een beslissing forceren die voor alle EU-landen geldt. Dit heet de 'one-stop-shop' mechanisme. Het idee is dat je als burger maar één klacht hoeft in te dienen, en dat die klacht in heel Europa wordt afgehandeld.

Waarom dit voor jou belangrijk is

Privacy is geen ver-van-je-bed-show. Het gaat over jouw data, jouw foto's en jouw online gedrag.

De AP is je loket in Nederland. De EDPB is de vangnet in Europa. Als je een klacht hebt over een Nederlands bedrijf, kun je een klacht indienen bij de AP. Als je een klacht hebt over een Europees techbedrijf, dan loopt je klacht via de AP naar de EDPB.

De EDPB zorgt ervoor dat de regels niet worden omzeild. De EDPB is relevant voor jou omdat ze de grote techbedrijven in toom houden.

Zonder de EDPB zou elke EU-land zijn eigen regels kunnen hanteren, waardoor bedrijven makkelijk kunnen kiezen voor de zwakste schakel.

De EDPB zorgt voor een gelijk speelveld.

Conclusie: AP is je buurman, EDPB is de politie

Om het simpel te houden: de AP is je lokale buurman die zegt dat je je fiets niet op de stoep mag zetten.

De EDPB is de politie die zorgt dat iedereen in de straat zich aan de verkeersregels houdt. Je hebt ze allebei nodig. De AP voor je directe problemen in Nederland. De EDPB voor de grote, Europese kwesties die je privacy beïnvloeden.

Ze vullen elkaar aan en zorgen samen dat je data veilig is. De volgende keer dat je een privacy-klacht hebt, weet je wie je moet bellen. En als je klacht de grens overgaat, weet je dat de EDPB er op de achtergrond voor zorgt dat het goedkomt, mede dankzij het toezicht van de Autoriteit Persoonsgegevens.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →