Handhaving en boetes AP

Wat moet je bewaren zodat je bij een AP-controle kunt aantonen dat je compliant bent?

Eva de Vries Eva de Vries
· · 6 min leestijd

Een AP-controle. Het klinkt formeel, een beetje saai, en eerlijk gezegd: het is vaak ook best spannend.

Inhoudsopgave
  1. Waarom documentatie je beste vriend is
  2. De harde kern: beleid en procedures
  3. Het bewijsmateriaal: logs en registraties
  4. Contracten en afspraken
  5. Specifieke domeinen: waar moet je extra op letten?
  6. Processen en systemen: de motor erachter
  7. Hoe lang bewaar je alles?
  8. Conclusie: wees voorbereid

Stel je voor: iemand van de Belastingdienst, de AFM of een brancheorganisatie staat op de stoep. Ze willen zien hoe je werkt. Niet alleen wat je resultaten zijn, maar hoe je processen eruitzien.

Ze checken of je je aan de regels houdt. Noem het een APK-keuring voor je bedrijfsvoering, maar dan voor compliance.

Waarom zou je hier wakker van liggen? Omdat een gebrek aan bewijs direct kan leiden tot boetes, sancties of een flinke deuk in je reputatie. Maarrrr... het hoeft niet spannend te zijn.

Als je je zaakjes op orde hebt, is zo’n controle simpelweg een momentje om te laten zien dat je professioneel werkt. In dit artikel lees je precies wat je moet bewaren om die controle soepel te laten verlopen. Lekker overzichtelijk, zonder ingewikkelde juridische taal.

Waarom documentatie je beste vriend is

Compliance is meer dan alleen maar braaf de regels volgen. Het gaat erom dat je kunt laten zien dat je ze volgt.

Een controleur kan niet in je hoofd kijken. Die moet vertrouwen op wat er op papier of in de systemen staat.

Jouw documentatie is het fundament van je verhaal. Zonder bewijs, geen geloofwaardigheid. De scope van een controle verschilt per organisatie, maar de basis is altijd hetzelfde: je moet aantonen dat je processen beheerst zijn.

Of je nu een eenmanszaak runt of een groot bedrijf hebt, de principes zijn identiek. We duiken nu in de belangrijkste categorieën documenten die je moet hebben liggen.

De harde kern: beleid en procedures

Dit zijn de regels van het spel. Zonder beleid is er geen richting.

Zonder procedures is er geen uitvoering. Een controleur zal altijd beginnen met de vraag: “Hoe hebben jullie dit geregeld?” Je antwoord moet niet alleen mondeling zijn, maar ondersteund worden door documenten.

Beleidsdocumenten: de grote lijnen

Je hebt algemene beleidsregels nodig. Dit zijn documenten die de cultuur en de basisprincipes van je bedrijf beschrijven. Denk aan een integriteitsbeleid of een algemeen kwaliteitsbeleid. Deze hoef je niet tot in den treure te specificeren, maar ze moeten wel bestaan en bekend zijn bij het personeel.

Waar beleid vaag kan zijn, moet een procedure scherp zijn. Hoe verwerk je een factuur?

Procedures: de concrete stappen

Hoe handel je een klacht af? Hoe voer je een interne controle uit? Schrijf deze processen stap voor stap op.

Gebruik tools zoals SharePoint, of simpelweg een goed gestructureerde map op een centrale server. Het gaat erom dat elke medewerker dezelfde kant op werkt en dat een controleur kan volgen wat er gebeurt is.

Het bewijsmateriaal: logs en registraties

Beleid is leuk, maar de controleur wil zien wat er in de praktijk is gebeurd.

Dit is waar de logs en registraties cruciaal worden. Dit is het tastbare bewijs dat je processen niet alleen op papier bestaan.

Financiële en IT-logs

Voor de Belastingdienst of een financiële toezichthouder zijn transacties heilig. Zorg dat je boekhouding (bijvoorbeeld via Exact Online of SnelStart) waterdicht is. Maar denk ook aan IT-logs. Wie heeft toegang tot welke systemen?

Wanneer zijn er wijzigingen gemaakt in data? Een audit trail is hier essentieel.

Het laat zien dat je data-integriteit serieus neemt. Controleurs kijken graag naar de menselijke kant van het bedrijf. Heb je trainingen gegeven over bijvoorbeeld AVG?

Medewerker- en klantregistraties

Bewaar de aanwezigheidslijsten en certificaten. Hoe handel je klachten af?

Een klachtenregistratie (in welk systeem dan ook) moet bijgehouden worden. Het laat zien dat je leert van fouten en processen verbetert.

Een controleur ziet graag dat een klacht wordt gesloten met een verbeteractie, zeker omdat dit kan helpen bij het aantonen van verzachtende omstandigheden bij een boete.

Contracten en afspraken

Je bestaat niet in een vacuüm. Je werkt met leveranciers, klanten en freelancers.

Contracten zijn vaak de plek waar compliance-eisen verborgen liggen. Zorg dat je contracten met leveranciers up-to-date zijn.

Vooral als het gaat om data-verwerking (zoals een IT-partij of een payroll-dienst). Een verwerkersovereenkomst is hier een klassieker. Ook je algemene voorwaarden en privacyverklaring moeten actueel en beschikbaar zijn. Een controleur zal hier vaak naar vragen om te zien of je je afspraken met derden nakomt.

Specifieke domeinen: waar moet je extra op letten?

Afhankelijk van je branche komen er extra eisen bij kijken. Bekijk hier de meest voorkomende overtredingen bij kleine bedrijven waarop de Autoriteit Persoonsgegevens controleert.

Financieel beheer: de ruggengraat

De Belastingdienst kijkt hier het scherpst naar. Je moet kunnen aantonen dat je boekhouding voldoet aan de Nederlandse wet. Dit betekent: Zorg dat je bankrekeningen gescheiden zijn en dat je boekhoudprogramma een sluitende administratie oplevert.

  • Correcte facturen met alle verplichte gegevens (BTW-nummer, kvk-nummer, etc.).
  • Een duidelijke scheiding tussen privé- en zakelijke kosten.
  • Tijdige belastingaangiften (BTW, loonheffingen, vennootschapsbelasting).

Als je personeel in dienst hebt, komen er extra verplichtingen bij. De controleur wil zien dat je werknemers correct behandeld worden volgens de wet.

Personeelszaken: compliance begint bij de mens

Privacy is niet meer weg te denken. Een controleur van de Autoriteit Persoonsgegevens (AP) kijkt hier streng naar.

  • Arbeidscontracten: Zorg dat deze up-to-date zijn en voldoen aan de CAO of de wet.
  • Verzuimregistratie: Wie is wanneer ziek? Hoe begeleid je terugkeer?
  • Loonadministratie: Zorg dat loonstrookjes kloppen en op tijd verstuurd worden.
  • Evaluaties: Leg vast dat je periodiek spreekt over prestaties en ontwikkeling.

Data-bescherming (AVG/GDPR): de digitale grens

Als je gecertificeerd bent (bijvoorbeeld ISO 9001), is dit een sterk bewijsmiddel. Bewaar het certificaat, maar ook de jaarlijkse rapporten van de auditor. Zorg dat je interne audits uitvoert en vastlegt.

  • Verwerkersovereenkomsten: Heb je deze met alle partijen die jouw data verwerken? (Denk aan Cloudflare, Microsoft 365, of een CRM-systeem).
  • Privacyverklaring: Is deze actueel en vindbaar op je website?
  • Gegevensregister: Een overzicht van welke persoonsgegevens je verwerkt, waarom en hoe lang je ze bewaart.
  • Beveiliging: Technische maatregelen zoals tweefactorauthenticatie (2FA) en versleuteling van gegevens.

Kwaliteitsborging (ISO)

Processen en systemen: de motor erachter

Documentatie is stap één, maar hoe beheer je die documenten? Een controleur kijkt ook naar de processen achter de schermen.

Risicomanagement

Hoe bepaal je wat belangrijk is? Een risicomanagementproces laat zien dat je bedreigingen identificeert en maatregelen neemt. Dit hoeft geen ingewikkeld Excel-sheet te zijn, maar een logische inventarisatie van risico’s en hoe je ze mitigeert. Hoe weet je zeker dat je eigen processen werken?

Interne controles

Door ze te testen. Leg vast dat je interne controles uitvoert, bijvoorbeeld door maandelijks een steekproef te doen op facturen of urenregistratie.

Wijzigingsbeheer

Als je systemen of processen aanpast, moet dit gecontroleerd gebeuren. Log wijzigingen in software of procedures.

Dit voorkomt fouten en toont aan dat je bedrijfsvoering beheerst is.

Hoe lang bewaar je alles?

De bewaartermijn hangt af van de wetgeving. Over het algemeen geldt voor de meeste financiële en fiscale documenten een termijn van 7 jaar. Dit is wettelijk vastgelegd in de Algemene wet inzake rijksbelastingen.

Voor specifieke dossiers, zoals personeelsdossiers, gelden vaak langere termijnen (soms tot 5 jaar na uit dienst treden).

Voor de AVG geldt dat je persoonsgegevens niet langer bewaart dan noodzakelijk, maar er zijn uitzonderingen. Maak een helder bewaarbeleid en voer dit consequent uit. Gebruik bijvoorbeeld een documentmanagementsysteem (DMS) om automatisch te laten verwijderen na de termijn.

Conclusie: wees voorbereid

Een AP-controle bij zzp'ers hoeft geen nachtmerrie te zijn. Door je documentatie op orde te houden, je processen vast te leggen en regelmatig te checken of alles klopt, ben je altijd klaar voor een bezoek van een toezichthouder.

Het geeft rust en professionaliteit. En mocht er onverhoopt iets niet kloppen? Dan toon je aan dat je het proces serieus neemt en direct actie onderneemt. Dat is vaak net zo belangrijk als het perfecte dossier.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →