Handhaving en boetes AP

Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je bent lekker bezig met je bedrijf. Klanten zijn blij, de omzet groeit en je focust op wat je het beste kunt: ondernemen.

Inhoudsopgave
  1. Waarom de AP jouw bedrijf serieus neemt
  2. De top 5 meest voorkomende overtredingen
  3. Waarom kleine bedrijven vaker de fout in gaan
  4. Hoe je je bedrijf kunt beschermen
  5. Conclusie

Maar dan is er die ene brief op de mat of een mailtje in je inbox.

Het is de Autoriteit Persoonsgegevens (AP). Ze kondigen een controle aan. Je voelt meteen een steek in je maag. Wat willen ze?

En, belangrijker nog: wat heb je misschien over het hoofd gezien? Veel kleine ondernemers in Nederland denken dat de AP alleen achter de grote jongens aan gaat. Niets is minder waar. Ook als zzp’er of als klein team ben je verplicht je te houden aan de privacywetgeving.

De AP houdt toezicht op iedereen die persoonsgegevens verwerkt. En dat zijn we allemaal.

In dit artikel lees je welke overtredingen het vaakst voorkomen bij kleine bedrijven, zodat jij precies weet waar je op moet letten. Want voorkomen is beter dan genezen.

Waarom de AP jouw bedrijf serieus neemt

De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder die ervoor zorgt dat organisaties zorgvuldig omgaan met persoonsgegevens. Denk aan namen, adressen, e-mailadressen, maar ook aan burgerservicenummers (BSN) of financiële gegevens.

De Algemene Verordening Gegevensbescherming (AVG) is de wet die dit regelt. Veel ondernemers geloven dat de AP alleen boetes geeft aan bedrijven die honderden klantgegevens lekken. De realiteit is dat de AP vaak begint met signalen van burgers of meldingen van datalekken.

Voor kleine bedrijven gaat het vaak niet om gigantische hacks, maar om simpele fouten in de dagelijkse bedrijfsvoering.

Een vergeten update, een onbeveiligde laptop of een verkeerd ingestelde website. Juist die kleine fouten zorgen voor de meeste klachten en dus voor aandacht van de toezichthouder.

De top 5 meest voorkomende overtredingen

De AP ziet in de praktijk dat kleine bedrijven vaak tegen dezelfde problemen aanlopen. Het gaat hierbij zelden om kwade opzet, maar meestal om onwetendheid of een tekort aan tijd.

1. Geen of een onveilige website

Hieronder de overtredingen die het vaakst voorkomen. Dit is een klassieker. Veel kleine bedrijven hebben een website waar bezoekers een contactformulier kunnen invullen.

Op het moment dat iemand zijn naam, e-mailadres of telefoonnummer invult, verwerk je als bedrijf persoonsgegevens.

2. Te veel en te lang bewaren van data

De AP controleert streng of deze gegevens goed worden beschermd. Een veelvoorkomende overtreding is het ontbreken van een SSL-certificaat. Dat is het slotje in de adresbalk van je browser.

Zonder dat slotje (dus met http in plaats van https) worden gegevens onverslefeld verzonden. Iemand kan deze gegevens makkelijk aftappen.

De AP ziet dit als een ernstig beveiligingslek. Daarnaast vergeten veel bedrijven een duidelijk privacybeleid op hun site te zetten.

Bezoekers moeten weten wat er met hun gegevens gebeurt. Zonder die informatie ben je direct in overtreding. Een andere veelvoorkomende fout is dat bedrijven persoonsgegevens langer bewaren dan nodig is. Veel ondernemers zijn bang om iets kwijt te raken en bewaren daarom alles.

3. Gebrek aan toestemming bij marketing

Van offertes van vijf jaar geleden tot e-mailadressen van mensen die ooit een brochure hebben aangevraagd. De AVG stelt een heldere eis: je mag gegevens alleen bewaren zo lang als het echt nodig is voor het doel waarvoor je ze hebt gekregen.

Is het doel bereikt? Dan moet je de gegevens verwijderen of anonimiseren. De AP treedt op tegen bedrijven die een 'gegevenskerkhof' onderhouden.

Het bewaren van klantgegevens zonder duidelijke reden is een overtreding die makkelijk te voorkomen is met een goede bewaartermijnenbeleid. Je wilt je klanten graag informeren over nieuwe producten of diensten.

Een nieuwsbrief lijkt een uitstekend middel. Maar let op: je mag niet zomaar iedereen een commerciële e-mail sturen. De regel is dat je expliciete toestemming (opt-in) nodig hebt van de ontvanger.

4. Geen verwerkersovereenkomsten met derden

Een valkuil voor kleine bedrijven is het verzamelen van visitekaartjes op een beurs en deze later massaal mailen.

Of het toevoegen van zakelijke contacten aan een nieuwsbrief zonder dat ze daarom hebben gevraagd. De AP controleert hier streng op, vaak naar aanleiding van klachten van ontvangers. Zonder duidelijke toestemming mag je geen marketingmails versturen.

Een 'uitstrekend vakje' in een contactformulier volstaat niet; het moet een actieve handeling zijn door de klant. Veel kleine bedrijven werken met externe partijen.

Denk aan een boekhouder, een cloudopslagdienst, een e-mailmarketingtool of een webhoster. Als deze partijen persoonsgegevens van jouw klanten verwerken, ben je wettelijk verplicht een verwerkersovereenkomst af te sluiten.

5. Datalekken niet melden

Dit is een veel voorkomende overtreding. Ondernemers denken vaak: "Ik gebruik alleen Google Drive of Dropbox, dat is wel veilig genoeg." Maar zonder een officiële overeenkomst waarin afspraken staan over beveiliging en vertrouwelijkheid, voldoe je niet aan de AVG. De AP kan hierop handhaven, zelfs als de cloudprovider zelf veilig is. Een simpele handtekening op een standaardcontract is vaak al voldoende.

Een datalek is een beveiligingsincident waarbij persoonsgegevens zijn blootgesteld, verloren zijn gegaan of zijn vernietigd. Denk aan een laptop die wordt gestolen, een onbeveiligde e-mail met bijlagen of een wachtwoord dat op straat komt te liggen.

De wet verplicht bedrijven om datalekken binnen 72 uur te melden bij de AP. Veel kleine ondernemers weten dit niet of schrikken en proberen het stil te houden. Dit is een vergissing.

De AP is streng als het gaat om het melden van lekken. Als je te laat bent of het bewust verzwijgt, kan dat leiden tot hoge boetes. Het gaat hierbij niet alleen om het lek zelf, maar vooral om het niet voldoen aan de meldplicht, wat vaak voorkomt in sectoren die de meeste boetes krijgen.

Waarom kleine bedrijven vaker de fout in gaan

Waarom lopen kleine bedrijven vaker tegen de lamp dan grote organisaties? De reden is simpel: gebrek aan tijd en middelen.

Grote bedrijven hebben een eigen juridische afdeling of een Functionaris Gegevensbescherming (FG).

Kleine ondernemers dragen vaak alle petten tegelijk: ze zijn verkoper, boekhouder, marketeer en IT’er in één. Daarnaast is de wetgeving complex. De AVG is niet altijd even duidelijk voor ondernemers die dagelijks met andere zaken bezig zijn.

Toch is onwetendheid geen excuus. De AP verwacht dat iedere ondernemer de basisregels kent en naleeft. Gelukkig hoef je geen IT-expert te zijn om je bedrijf op orde te brengen.

Hoe je je bedrijf kunt beschermen

Je hoeft niet te wachten tot de AP op de stoep staat. Er zijn concrete stappen die je nu kunt nemen om overtredingen te voorkomen. Zorg dat je website beveiligd is met een SSL-certificaat.

Check je website en formulieren

Controleer of je een privacyverklaring hebt die up-to-date is. Leg uit welke gegevens je verzamelt en waarom.

Maak schoon in je bestanden

Als je een contactformulier hebt, sla de gegevens dan niet langer op dan nodig is. Loop je digitale mappen na.

Sluit verwerkersovereenkomsten af

Verwijder oude klantgegevens die je niet meer nodig hebt. Stel een bewaartermijn in en zorg dat deze wordt nageleefd. Dit verkleint niet alleen het risico op een boete, maar zorgt ook voor een overzichtelijke administratie.

Train jezelf en je medewerkers

Maak een lijst van alle partijen die voor jou werken en waarbij persoonsgegevens betrokken zijn.

Neem contact op met deze partijen en vraag om een verwerkersovereenkomst. De meeste grote dienstverleners hebben een standaardcontract beschikbaar. Zorg dat iedereen die bij jouw bedrijf werkt, weet hoe om te gaan met persoonsgegevens. Leer hoe je een phishing-mail herkent en hoe je gegevens veilig verstuurt. Een simpele training of een checklist kan al veel problemen voorkomen.

Conclusie

De Autoriteit Persoonsgegevens is er niet om ondernemers het leven zuur te maken, maar om de privacy van burgers te beschermen. Voor kleine bedrijven betekent dit dat je klaar moet zijn voor AVG-handhaving in de dagelijkse praktijk.

De meeste overtredingen zijn te voorkomen door basismaatregelen te nemen: een veilige website, een goede administratie en duidelijke afspraken met derden. Door proactief te werken aan privacy en beveiliging, loop je minder risico op een bezoek van de AP. Bovendien geeft het je klanten vertrouwen.

Zij weten dat hun gegevens in goede handen zijn. En dat is niet alleen wettelijk verplicht, maar ook gewoon goed voor je bedrijf.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert? Wat zijn de nieuwe handhavingsprioriteiten van de AP voor 2026?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →