Welke sancties heeft de AP opgelegd voor ontbrekende of foute privacyverklaringen?

Een privacyverklaring. Vaak is het een saai blok tekst waar je snel overheen scrolt.

Maar voor bedrijven is het bloedserieus. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de privacywetgeving in Nederland en ziet erop toe dat bedrijven zich aan de regels houden. En geloof het of niet: een verkeerde of ontbrekende privacyverklaring is een van de meest voorkomende redenen voor een boete.

In dit artikel lees je precies welke sancties de AP oplegt als je privacyverklaring niet op orde is.

We houden het simpel, scherp en zonder ingewikkelde juridische taal.

Waarom is een privacyverklaring zo belangrijk?

Een privacyverklaring is eigenlijk een belofte aan je bezoekers. Het is het document waarin je uitlegt welke persoonsgegevens je verzamelt, waarom je dat doet en wat je ermee doet. Onder de Algemene Verordening Gegevensbescherming (AVG) ben je verplicht om dit helder en transparant te communiceren.

De AP controleert hier streng op. Als je verklaring ontbreekt, onduidelijk is of essentiële informatie mist, loop je het risico op een sanctie.

Het doel van de AP is niet om bedrijven te pesten, maar om de privacy van burgers te beschermen. Een goede privacyverklaring zorgt ervoor dat mensen weten waar ze aan toe zijn en hun rechten kunnen uitoefenen.

Welke sancties kan de AP opleggen?

De AP heeft verschillende middelen om overtredingen aan te pakken. De sancties zijn onder te verdelen in een aantal categorieën, variërend van een waarschuwing tot flinke boetes en zelfs een verbod op het verwerken van gegevens. Het is belangrijk om te weten dat de AP niet zomaar een boete uitschrijft.

Er wordt gekeken naar de ernst van de overtreding, de duur ervan en of het bedrijf nalatig is geweest.

De waarschuwing

Een simpele vergissing kan soms met een waarschuwing aflopen, maar structurele fouten of het bewust negeren van de regels leiden tot harde sancties. Soms begint het met een waarschuwing.

De last onder dwangsom

De AP informeert het bedrijf dat de privacyverklaring niet voldoet en geeft de tijd om dit te herstellen. Dit gebeurt vooral als de overtreding niet ernstig is en er geen directe schade is voor betrokkenen. Het is een vriendelijk maar streng duwtje in de rug.

Als een waarschuwing niet helpt of als de overtreding serieuzer is, kan de AP een last onder dwangsom opleggen.

De boete: het pijnpunt

Dit betekent dat het bedrijf een bepaalde tijd krijgt om de privacyverklaring te verbeteren. Lukt dat niet? Dan moet er een geldbedrag worden betaald. Dit bedrag kan flink oplopen en hangt af van hoe lang de overtreding duurt. De meest bekende sanctie is de boete.

De AP kan boetes opleggen tot een maximum van 10 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor de meeste bedrijven in Nederland zijn de boetes die daadwerkelijk worden opgelegd lager, maar nog steeds pijnlijk.

Voor het niet hebben of incorrect opstellen van een privacyverklaring heeft de AP in de afgelopen jaren diverse boetes uitgedeeld.

Het gaat hier vaak om bedragen tussen de € 5.000 en € 50.000, afhankelijk van de grootte van het bedrijf en de impact van de fout.

Concrete voorbeelden van sancties

Om te laten zien hoe serieus de AP dit neemt, kijken we naar recente voorbeelden.

Stichting Oud Lemmer (2024)

Dit zijn geen hypothetische situaties, maar reële boetes die zijn opgelegd. Een van de opvallende zaken in 2024 was de boete voor Stichting Oud Lemmer.

Nationaal Archief (2024)

De AP legde een boete op van € 45.000. Waarom? Omdat de privacyverklaring onvolledig was. Er werd niet duidelijk uitgelegd hoe persoonsgegevens werden verwerkt. Voor een stichting is dit een enorm bedrag, wat aangeeft dat de AP geen genoegen neemt met vage of incomplete teksten.

AS Watson (Kruidvat) (2024)

Ook het Nationaal Archief kreeg een sanctie opgelegd, namelijk een boete van € 30.000.

Uber en Netflix (2024)

Hier was het probleem dat de privacyverklaring te complex en onduidelijk was voor de gemiddelde burger. De AP eist dat een verklaring voor iedereen te begrijpen is, niet alleen voor juristen. AS Watson, het moederbedrijf van Kruidvat, kreeg een boete van € 15.000.

De reden was een onvolledige privacyverklaring waarin cruciale informatie over de verwerking van gegevens ontbrak. Dit toont aan dat ook grote, bekende merken niet vrij zijn van controle.

Ook internationale giganten als Uber en Netflix kregen sancties. Uber kreeg een boete vanwege onduidelijkheden over doorgifte van gegevens naar de Verenigde Staten.

Netflix kreeg een boete omdat de verklaring te algemeen was en niet specifiek genoeg inging op het gebruik van persoonsgegevens. Beide boetes lagen in de tienduizenden euro’s. Deze voorbeelden laten zien dat de AP geen onderscheid maakt tussen kleine stichtingen en wereldwijde bedrijven. Een fout is een fout.

Hoe bepaalt de AP de hoogte van de boete?

De AP kijkt naar verschillende factoren bij het bepalen van de sanctie. Het is niet zomaar een loterij. Hier zijn de belangrijkste criteria:

• De ernst van de overtreding: Is het een simpele typefout of een structureel probleem?
• De duur van de overtreding: Hoe lang heeft de foute privacyverklaring online gestaan?
• De impact op betrokkenen: Is er daadwerkelijk schade ontstaan voor mensen?
• De houding van het bedrijf: Heeft het bedrijf meegewerkt aan het onderzoek en direct actie ondernomen?
• De grootte van het bedrijf: Een groot bedrijf met veel omzet krijgt vaak een hogere boete dan een kleine onderneming.

Als een bedrijf direct actie onderneemt zodra de AP aan de bel trekt, kan dat de boete verlagen.

Maar als een bedrijf traag reageert of de regels negeert, kan de boete juist hoger uitvallen.

Wat staat er in een goede privacyverklaring?

Om boetes te voorkomen, is het slim om je privacyverklaring regelmatig te checken. Zorg er daarbij voor dat je privacyverklaring ook op mobiel goed leesbaar is. Een goede verklaring bevat in ieder geval de volgende punten:

• Welke persoonsgegevens worden verzameld (zoals naam, e-mail, IP-adres).
• Wat het doel is van de verwerking (bijvoorbeeld voor een nieuwsbrief of bestelling).
• Op welke juridische grondslag je dit doet (toestemming of een contract).
• Hoelang de gegevens worden bewaard.
• Met wie de gegevens worden gedeeld (bijvoorbeeld een betaalprovider).
• Hoe mensen hun rechten kunnen uitoefenen (inzage, correctie, verwijdering).

De taal moet helder en begrijpelijk zijn. Geen jargon, maar gewoon Nederlands op B1-niveau. De AP controleert hier streng op.

Hoe kun je sancties voorkomen?

Het beste medicijn tegen boetes is preventie. De AP biedt zelf hulpmiddelen aan, zoals richtlijnen en sjablonen. Maar het is aan jou om dit toe te passen.

Zorg dat je privacyverklaring en cookiebeleid up-to-date zijn. Verandert er iets in je bedrijfsvoering?

Pas dan ook je verklaring aan. Laat de tekst regelmatig nakijken door iemand die er verstand van heeft, of gebruik een juridische tool die je helpt bij het opstellen.

Een andere tip is om transparant te zijn. Als je een fout maakt, geef dit dan toe en los het op. De AP waardeert een proactieve houding. Bedrijven die direct handelen wanneer ze op een fout worden gewezen, krijgen vaak een mildere straf.

Conclusie: wees scherp en transparant

De Autoriteit Persoonsgegevens is streng maar rechtvaardig. Sancties voor ontbrekende of foute privacyverklaringen zijn er om jou en je klanten te beschermen. Het gaat hier niet alleen om geld, maar om vertrouwen. Wil je weten waar de Autoriteit Persoonsgegevens als eerste op controleert?

Door een heldere privacyverklaring te schrijven en deze regelmatig te controleren, loop je geen onnodige risico’s.

De voorbeelden van boetes aan stichtingen en grote bedrijven laten zien dat niemand te groot of te klein is om gecontroleerd te worden. Zorg dat je verhaal klopt, dan slaap je ook een stuk rustiger.