Handhaving en boetes AP

Wat zijn verzachtende omstandigheden die een boete van de AP kunnen verlagen?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je zit rustig achter je computer, je drinkt een koffie, en dan valt er een brief op de mat.

Inhoudsopgave
  1. Waarom de AP soms coulant is
  2. Samenwerking en transparantie: de sleutel
  3. Geen opzet, maar een fout
  4. Maatregelen die je al had getroffen
  5. De grootte van je organisatie en financiële draagkracht
  6. De impact op derden en je reputatie
  7. Hoe je een beroep doet op verzachtende omstandigheden
  8. Conclusie: Neem het serieus, maar niet panisch

Een brief van de Autoriteit Persoonsgegevens (AP). Je hartslag gaat omhoog. Het woord ‘boete’ springt eruit. Je hoofd gaat direct op tilt.

Gaat dit veel geld kosten? Is mijn bedrijf de sjaak?

Het voelt vaak als een oneerlijk gevecht tegen een enorme bureaucratie. Maar hier is het goede nieuws: een boete is niet altijd een voldongen feit.

De AP kijkt namelijk niet alleen naar wat er fout ging, ze kijken ook naar hoe het ging. Er bestaat zoiets als verzachtende omstandigheden. En als je die slim speelt, kun je de pijn flink verlagen.

Veel ondernemers denken dat ze bij een AP-boete meteen het hoogste bod moeten betalen. Dat is niet zo.

De wetgeving rondom de Algemene Verordening Gegevensbescherming (AVG) is streng, maar de toepassing ervan is menselijk. Er is ruimte voor nuance. In dit artikel leg ik je uit hoe je die ruimte optimaal benut. Geen ingewikkelde juridische taal, maar gewoon helder wat er speelt en wat jij kunt doen.

Waarom de AP soms coulant is

De Autoriteit Persoonsgegevens heeft een belangrijke taak: ze moeten ons beschermen tegen datalekken en privacy-schendingen.

Maar ze zijn ook een toezichthouder die rekening moet houden met proportionaliteit. Dit betekent dat de boete passend moet zijn bij de fout.

Een megaboete voor een kleine, onbedoelde vergissing? Dat voelt voor de rechter ook niet altijd goed. Daarom kijkt de AP naar verzachtende omstandigheden. Dit zijn factoren die laten zien dat jij niet met opzet rottigheid uithaalde, of dat je er alles aan deed om het goed te maken.

Denk hierbij aan het verschil tussen een bewuste overtreding en een stomme vergissing.

Of aan de vraag: had je als organisatie wel echt kwaad in de zin? De AP beoordeelt elke zaak op maat. Ze kijken naar je intenties, je maatregelen en je samenwerking. Laten we de belangrijkste factoren induiken.

Samenwerking en transparantie: de sleutel

Een van de grootste verzachtende factoren is hoe je reageert als de AP bij je op de stoep staat – of in je mailbox. Als je als organisatie direct meewerkt, open kaart speelt en geen informatie achterhoudt, dan telt dat zwaar mee.

Stel er is een datalek. Je ontdekt het, je meldt het direct bij de AP (zoals verplicht) en je geeft ze alle documenten die ze nodig hebben. Je bent coöperatief.

Je bent niet aan het ontwijken. Dat wordt gewaardeerd. Als je als bedrijf gaat liggen draaien, documenten ‘kwijt’ raakt of onnodig ingewikkelde juridische muren optrekt, dan zal de AP veel harder optreden. Transparantie is dus je vriend.

Het belang van een proactieve houding

Het toont aan dat je niets te verbergen hebt en dat je de fout serieus neemt. Proactief zijn betekent niet alleen meewerken, maar ook zelf initiatief tonen. Heb je zelf al onderzoek gedaan naar de oorzaak van het lek? Heb je al stappen gezet om het te repareren voordat de AP er echt bovenop zat?

Dit soort acties laat zien dat je een verantwoordelijke partij bent. Het is het verschil tussen een organisatie die betrapt wordt en een organisatie die zelf de verantwoordelijkheid neemt.

Geen opzet, maar een fout

De AP maakt een onderscheid tussen opzettelijke overtredingen en onopzettelijke fouten. Dit is cruciaal. Als je per ongeluk een verkeerde database openzet of een medewerker klikt per ongeluk op een verkeerde link, dan is dat heel anders dan bewust gegevens verkopen aan derden, wat in het verleden al heeft geleid tot de hoogste AVG-boetes van de AP.

Natuurlijk, onopzettelijk betekent niet dat je vrijuit gaat. Je bent nog steeds verantwoordelijk voor je systemen.

Maar de boete zal een stuk lager uitvallen als je kunt aantonen dat het een menselijke fout was binnen een organisatie die verder wél goed draait. Zorg dat je kunt bewijzen dat je beleid hebt, dat je werknemers zijn getraind en dat dit echt een uitzondering was. Het klinkt misschien zweverig, maar je intentie telt.

De rol van goede bedoelingen

Had je als doel om klanten te helpen, maar ging het technisch mis? Of was het een slordigheidsfout?

De AP kijkt naar de context. Als je kunt laten zien dat je probeerde iets goeds te doen voor je klanten, maar dat de uitvoering niet waterdicht was, dan is dat vaak een stuk beter dan wanneer je nalatig bent geweest.

Maatregelen die je al had getroffen

Een veelgemaakte fout is denken dat je pas veilig bent als de AP langskomt. Dat is niet waar. Als je al vóór het incident serieuze maatregelen had getroffen, is dat een enorme plus. Denk aan:

  • Je had al een Functionaris Gegevensbescherming (FG) aangesteld.
  • Je had al een privacyverklaring opgesteld die (grotendeels) klopte.
  • Je had al technische beveiligingsmaatregelen zoals tweefactorauthenticatie ingevoerd.
  • Je werknemers waren al getraind in AVG-bewustzijn.

Als de AP ziet dat je het serieus neemt en al stappen hebt gezet, zien ze het incident als een tijdelijke terugval in plaats van een structureel probleem.

Dit maakt een wereld van verschil in de hoogte van de boete.

De grootte van je organisatie en financiële draagkracht

Hier is een eerlijk feit: een boete van 10.000 euro doet een zzp’er veel meer pijn dan een multinational. Benieuwd naar de AVG-boete voor een klein bedrijf? De AP is zich hier bewust van.

Hoewel ze officieel niet ‘naar draagkracht’ mogen kijken bij de boete zelf, speelt het wel een rol in de totale afhandeling en de proportionaliteit van de sanctie.

Voor kleinere ondernemers is er vaak meer begrip voor het feit dat ze geen dure IT-afdeling hebben. Natuurlijk, je moet je aan de wet houden, maar als je kunt aantonen dat je met beperkte middelen toch je best hebt gedaan om zaken op orde te krijgen, dan kan dat meewegen. Het gaat erom dat je geen geld over de balk smijt, maar dat je investeert in passende maatregelen voor jouw schaal.

De impact op derden en je reputatie

Een boete is niet alleen een financiële klap. Het is ook een reputatieslag.

Als je kunt aantonen dat het incident al flinke reputatieschade heeft opgeleverd, of dat je klanten hier direct hinder van hebben ondervonden, kan de AP besluiten om de boete iets te matigen. Dit is geen garantie, maar het laat zien dat de maatregel al genoeg pijn doet zonder dat de AP extra gewicht in de schaal hoeft te leggen. Denk aan de angst bij je klanten of de negatieve reacties op social media. Als je hier transparant over bent en laat zien hoe je dit herstelt, toont dit wederom verantwoordelijkheid. Mocht je het niet eens zijn met de opgelegde sanctie, dan kun je formeel bezwaar maken tegen een besluit van de AP.

Hoe je een beroep doet op verzachtende omstandigheden

Het helpt niet om pas op het laatste moment te roepen: "Maar het was een ongelukje!" Je moet dit onderbouwen.

Als je een concept-besluit ontvangt van de AP, heb je vaak de kans om hierop te reageren. Dit is hét moment om je kaarten op tafel te leggen.

  1. Wat is er gebeurd? Houd het feitelijk zonder excuses.
  2. Wat was de oorzaak? Leg de technische of organisatorische reden uit.
  3. Wat heb je gedaan om het te herstellen? Noem directe acties na het lek.
  4. Wat ga je doen om het in de toekomst te voorkomen? Dit is cruciaal.
  5. Welke maatregelen had je al? Bewijs dat je niet stilzat.

Zorg voor een overzichtelijke lijst met feiten: Door dit gestructureerd en rustig aan te bieden, help je de AP om een volledig beeld te krijgen. Een AP-medewerker is ook maar een mens; als jij het hen makkelijk maakt om jouw kant van het verhaal te zien, is de kans op een lagere boete groter.

Conclusie: Neem het serieus, maar niet panisch

Een AP-boete is geen pretje, maar het is niet het einde van de wereld.

De sleutel ligt in hoe je reageert. Wees niet defensief, maar open. Wees niet slordig, maar zorgvuldig. En bovenal: bewijs dat je een betrouwbare partij bent die toevallig een fout maakte, niet een partij die systematisch de regels negeert.

Verzachtende omstandigheden zijn er om recht te doen aan de realiteit. Geen bedrijf is perfect, en de AP weet dat.

Als jij kunt laten zien dat je je best doet, je verantwoordelijkheid neemt en leert van je fouten, dan sta je veel sterker.

Dus, mocht die brief ooit op de mat vallen: adem diep in, pak je documentatie erbij en speel open kaart. Het loont.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →