In 2025 ontving de Autoriteit Persoonsgegevens (AP) meer dan 13.000 klachten en signalen van Nederlanders — bijna twee keer zoveel als het jaar ervoor. De kans dat jouw organisatie ooit te maken krijgt met een klacht van een betrokkene bij de AP is zeer realistisch. Maar wat gebeurt er eigenlijk wanneer de AP een klacht krijgt?
Hiervoor heeft de AP een Handhavingsbeleid opgesteld. Dit beleid is op dit moment nog in consultatie en tot 17 mei 2026 kan iedereen hier nog op reageren. Toch is het handig om nu alvast aandacht te besteden aan de klacht mogelijkheid voor betrokkenen bij de AP.
Wie kan een klacht indienen?
Iedereen, van wie persoonsgegevens worden verwerkt, kan een klacht indienen bij de AP. Dat zijn dus bijvoorbeeld: medewerkers, sollicitanten, burgers, patiënten, klanten, bezoekers van je website, etc. Een klacht kan al worden ingediend wanneer een betrokkene vermoedt dat een organisatie onrechtmatig persoonsgegevens verwerkt. Dit hoeft dus niet te gaan om een ernstige overtreding. Regelmatig is een te trage reactie op een inzageverzoek of een onduidelijke/-volledige privacyverklaring aanleiding.
Wat doet de AP met een klacht?
Na ontvangst beoordeelt de AP of de klacht binnen haar bevoegdheid valt. Vervolgens bekijkt de AP eerst of de betrokkene geklaagd heeft bij de organisatie zelf. Het uitgangspunt is namelijk dat er eerst geklaagd wordt bij de partij waarover een klacht bestaat. De FG (indien aanwezig) heeft hier een belangrijke rol als intern toezichthouder op de naleving van de AVG.
Wanneer de betrokkene, ondanks de interventie door de eigen organisatie of de FG, een klacht indient bij de AP zijn er grofweg drie routes:
- Geen actie: de klacht geeft onvoldoende aanleiding voor nader onderzoek.
- Informatief contact: de AP vraagt de organisatie om een toelichting of aanvullende informatie. Eventueel kan dit uitmonden in een waarschuwing of berisping.
- Formeel onderzoek: de AP start een handhavingsprocedure. Dit kan uitmonden in een last onder dwangsom of een boete.
Wat staat er in het nieuwe handhavingsbeleid?
Het conceptbeleid maakt duidelijk welke overwegingen de AP meeneemt bij de keuze om te handhaven en welke middelen worden ingezet:
- Ernst van de overtreding: worden bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens, religie of strafrechtelijk verleden?
- Aantal betrokkenen: hoe meer mensen geraakt zijn, hoe groter de kans op formele handhaving.
- Verwijtbaarheid: was de overtreding opzettelijk of aantoonbaar nalatig?
- Houding van de organisatie: werkt de organisatie mee en heeft ze maatregelen genomen na de overtreding om opvolgende overtredingen te voorkomen?
Er is dus niet automatisch sprake van een boete na een klacht. Een boete moet evenredig zijn aan de overtreding. Elementen die relevant zijn in het besluit van de AP om wel of niet een boete op te leggen zijn o.a. het op orde hebben van het eigen beleid rondom de AVG, het (tijdig) meewerken aan het informatieverzoek van de AP en het aankunnen tonen dat effectief maatregelen zijn genomen om volgende overtredingen te voorkomen. Dus: wordt er niet tijdig gereageerd op verzoeken van de AP of kan niet worden voldaan aan de verantwoordingsplicht van de AVG, dan wordt de kans op een sanctie aanzienlijk groter. Nalatigheid (zonder kwade opzet) kan al voldoende zijn voor een boete.
Wat kun je nu al doen?
Zorg ervoor dat de minimale vereisten voor de AVG op orde zijn. Hieronder een kleine checklist die je nagelopen kan worden:
|
Punt
|
Geregeld?
|
|
Het verwerkingsregister is actueel en volledig
|
☐
|
|
De privacyverklaring is up-to-date, volledig, doelgroep specifiek en vindbaar
|
☐
|
|
Procedure voor inzageverzoeken en andere rechten van betrokken is ingericht
|
☐
|
|
Er is een intern protocol voor de opvolging van klachten over de naleving van de AVG. De FG (indien aanwezig) is laagdrempelig benaderbaar voor klachten van betrokkenen
|
☐
|
|
Datalekken worden intern gemeld, geregistreerd en waar nodig tijdig gemeld aan de AP
|
☐
|
|
Wanneer een FG verplicht is, is deze aangesteld en geregistreerd bij de AP
|
☐
|
|
Verwerkersovereenkomsten zijn gesloten met leveranciers
|
☐
|
Wat als je een klacht hebt ontvangen?
Reageer altijd actief en op tijd. Betrek de FG indien deze aanwezig is, anders een privacy officer. Laat je zo nodig bijstaan door een privacy jurist. Deze kan de organisatie procedureel en inhoudelijk ondersteunen bij de communicatie richting de AP (en eventueel bij een bezwaarprocedure).
Met meer dan 13.000 klachten in 2025 en een AP die haar handhaving steeds verder aanscherpt, is dit het moment om je huis op orde te brengen — niet nadat de klacht er al ligt.
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.
Wilt u weten of uw organisatie klaar is voor een mogelijke klacht of handhaving door de AP? Neem dan contact op met AVG Juristen. Wij helpen u verder — praktisch, zonder onnodig juridisch jargon. Dat is wat wij bedoelen met: Praktisch met Privacy.
