Handhaving en boetes AP

Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven?

Eva de Vries Eva de Vries
· · 5 min leestijd

Stel je voor: je bent lekker aan het werk, je bedrijf draait goed, en opeens staat de Autoriteit Persoonsgegevens (AP) op de stoep. Of erger: je krijgt een brief met een boetebedrag waar je spontaan misselijk van wordt.

Inhoudsopgave
  1. Waarom boetet de AP eigenlijk?
  2. 1. Booking.com: Een miljoenenflater door een datalek
  3. 2. Philips: Babyfoons en veiligheidsrisico’s
  4. 3. VodafoneZiggo: Een kwestie van toegang
  5. Wat zijn de rode draad in deze boetes?
  6. Wat kunnen bedrijven hieruit leren?
  7. Een wake-up call

Sinds de Algemene Verordening Gegevensbescherming (AVG) in 2018 van kracht werd, is de kans op zo’n onaangename verrassing helaas een stuk groter geworden. De AP, de Nederlandse toezichthouder, heeft flink huisgehouden de afgelopen jaren. In dit artikel duiken we in de diepste zakken van Nederlandse bedrijven en bekijken we welke bedrijven de pijnlijkste financiële tik op de vingers kregen.

Waarom boetet de AP eigenlijk?

Voordat we naar de cijfers kijken, is het goed om te weten waarom die boetes er zijn. De AVG is er niet om bedrijven te pesten, maar om jouw en mijn privacy te beschermen. Bedrijven moeten zorgvuldig omgaan met persoonsgegevens.

Denk aan namen, adressen, financiële data of gezondheidsinformatie. De AP handhaaft deze regels.

Ze kijken niet alleen of er een datalek is, maar vooral of een bedrijf er alles aan heeft gedaan om dat te voorkomen. De hoogte van een boete hangt af van de ernst van de fout, hoeveel mensen er last van hebben en of het bedrijf nalatig is geweest. Laten we eens kijken naar de drie duurste gevallen tot nu toe.

1. Booking.com: Een miljoenenflater door een datalek

De absolute topper in de lijst van duurste boetes is Booking.com. In 2021 kreeg het wereldberoemde reisplatform een boete van maar liefst €6,8 miljoen opgelegd.

Hoe zat het ook alweer?

Terug in 2018 vond er een groot datalek plaats bij Booking.com. Medewerkers van het hotel in kwestie in Dubai hadden inloggegevens gedeeld, waardoor hackers toegang kregen tot de persoonlijke en financiële gegevens van maar liefst 9,4 miljoen gasten. Denk aan namen, adressen en zelfs paspoortnummers. Waarom was de boete zo hoog?

De AP was niet boos om het feit dat er überhaupt een lek was (hackers zijn soms slimmer dan we willen), maar om de manier waarop Booking.com ermee omging. Het bedrijf had onvoldoende maatregelen genomen om de gegevens te beveiligen en het lek werd pas veel later ontdekt en gemeld.

Bovendien had Booking.com niet aangetoond dat ze de risico’s goed in kaart hadden gebracht.

Het was een pijnlijke les in digitale hygiëne voor een van de grootste spelers in de reiswereld.

2. Philips: Babyfoons en veiligheidsrisico’s

Op de tweede plaats staat een bedrijf dat we allemaal kennen: Philips. In 2022 legde de AP het techbedrijf een boete op van €4,95 miljoen.

De fout

De problemen draaiden om slimme apparaten, zoals babyfoons en stofzuigers die verbonden zijn met het internet (IoT).

Een veiligheidslek zorgde ervoor dat onbevoegden toegang konden krijgen tot de video- en geluidsbeelden van gebruikers. Voor ouders is het idee dat vreemden kunnen meekijken met hun slapende kindje natuurlijk een nachtmerrie. De AP oordeelde streng: Philips had onvoldoende maatregelen genomen om deze gegevens te beschermen.

De beveiliging was niet op orde en het bedrijf had de risico’s niet goed genoeg geanalyseerd. Hoewel Philips de boete betwistte, bleef de AP bij haar standpunt. Het toont aan dat veiligheid niet alleen gaat om wachtwoorden, maar ook om hoe je software ontwerpt en updates uitrolt.

3. VodafoneZiggo: Een kwestie van toegang

Op de derde plek vinden we VodafoneZiggo, een van de grootste telecomaanbieders van Nederland. In 2023 kreeg het bedrijf een boete van €2,65 miljoen.

Wat ging er mis?

De boete had te maken met de manier waarop medewerkers toegang kregen tot klantgegevens. Bij VodafoneZiggo bleek dat niet iedereen die toegang had tot gegevens, deze ook echt nodig had voor zijn of haar werk. Dit principe heet ‘need-to-know’ en is een hoeksteen van privacybescherming.

De AP ontdekte dat er teveel medewerkers onnodig bij privacygevoelige klantgegevens konden.

Dit verhoogde het risico op misbruik aanzienlijk. Hoewel VodafoneZiggo de boete betwistte, vond de AP dat het bedrijf de risico’s onvoldoende had beheerst. Het is een dure herinnering dat je interne toegangscontroles op orde moet hebben, zelfs als je denkt dat je personeel te vertrouwen is.

Wat zijn de rode draad in deze boetes?

Als je naar deze drie gevallen kijkt, vallen een aantal dingen op.

Het gaat niet per se om kwade opzet, maar vaak om onoplettendheid of slechte procedures. Allereerst is er het gebrek aan risico-analyse.

Bedrijven weten vaak niet precies welke gegevens ze verwerken en welke risico’s daaraan kleven. Ten tweede gaat het vaak mis bij de beveiligingsmaatregelen. Denk aan encryptie (het versleutelen van data) en sterke toegangscontroles. Tot slot is trage reactie een veelvoorkomend probleem.

Zodra er een lek is, moet je direct actie ondernemen en de betrokkenen informeren.

Wachten helpt niet, het maakt de boete alleen maar hoger.

Wat kunnen bedrijven hieruit leren?

Deze miljoenenboetes zijn vervelend voor de bedrijven zelf, maar ze dienen ook als waarschuwing voor andere ondernemers. Je hoeft geen tech-gigant te zijn om slachtoffer te worden van een datalek. Elke organisatie die persoonsgegevens verwerkt, moet aan de bak. Hier zijn een paar concrete tips die je direct kunt toepassen:

  • Investeer in beveiliging: Zorg voor sterke versleuteling en goede firewalls. Dit is vaak goedkoper dan een boete van een paar miljoen.
  • Ken je data: Weet welke gegevens je hebt en waar ze liggen. Je kunt ze niet beschermen als je niet weet dat ze er zijn.
  • Wees transparant: Vertel je klanten duidelijk wat je met hun gegevens doet. Een helder privacybeleid is essentieel.
  • Train je mensen: De menselijke factor is vaak de zwakste schakel. Zorg dat medewerkers weten hoe ze veilig moeten werken.
  • Reageer snel: Als het misgaat, handel dan direct. Meld het bij de AP en informeer je klanten.

Een wake-up call

De hoogste AVG-boetes die de AP heeft opgelegd, laten zien dat privacy geen sluitpost is, maar een kernonderdeel van je bedrijfsvoering.

Of je nu een reisplatform runt, medische apparaten maakt of internet levert: de regels zijn voor iedereen hetzelfde. De AP toont geen genade met bedrijven die de veiligheid van hun klanten niet serieus nemen.

Door proactief te werken aan privacy en beveiliging, leer je van eerdere AP-boetes en voorkom je niet alleen sancties, maar bouw je ook vertrouwen op bij je klanten. En dat vertrouwen is op de lange termijn veel meer waard dan het bedrag dat op een boeterapport staat.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert? Wat zijn de nieuwe handhavingsprioriteiten van de AP voor 2026?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →