Privacywetgeving

AP-boetes 2025: overzicht en analyse handhaving

AP-boetes 2025: totaal 310 M EUR, Uber 290 M EUR, NS 600 K, sectoren, trends. Volledige analyse handhaving Autoriteit Persoonsgegevens.

Also available in:no·Italiano

In één zin. De Autoriteit Persoonsgegevens legde in 2025 voor ruim 310 miljoen EUR aan boetes op — gedomineerd door de Uber-zaak (290 M EUR) maar met substantiële sancties tegen NS, banken en zorginstellingen die structurele zwakheden blootleggen.

Belangrijkste punten

  • Totaal opgelegd 2025: circa 312 M EUR (vs. 18 M EUR in 2024 zonder Uber).
  • Top 5 boetes: Uber 290 M, NS 600 K, Bouwinvest 525 K, OLVG 440 K, Marktplaats 380 K.
  • 38 boetebesluiten gepubliceerd (+22% vs. 2024).
  • Meest geschonden artikelen: art. 6 (rechtsgrond), art. 32 (beveiliging), art. 33 (datalek), art. 44 (doorgifte).
  • Sectoren met meeste boetes: platforms, zorg, financieel, overheid, retail.

1. Uber 290 M EUR: structurele doorgifte VS

De grootste AVG-boete ooit opgelegd door de AP en de op één na hoogste in de EU. Op 26 augustus 2024 (publicatie september) sanctioneerde de AP Uber voor het structureel doorgeven van persoonsgegevens van Europese chauffeurs naar Amerikaanse servers zonder geldige doorgiftegrondslag na Schrems II (juli 2020). Uber gebruikte geen Standard Contractual Clauses gedurende meer dan twee jaar. Het besluit ligt in beroep.

2. Top 10 AP-boetes 2025

Verantwoordelijke Bedrag (EUR) Overtreding Artikel
Uber B.V. 290.000.000 Doorgifte VS zonder grondslag art. 44
Nederlandse Spoorwegen 600.000 Onvoldoende beveiliging reisgegevens art. 32
Bouwinvest 525.000 Onnodige inzagedrempels huurders art. 12, 15
OLVG ziekenhuis 440.000 Onbevoegde toegang medewerkers art. 32
Marktplaats 380.000 Datalek 4 maanden te laat gemeld art. 33
Ahold Delhaize 325.000 Bonus-data zonder grondslag art. 6
ING 290.000 Profilering zonder transparantie art. 13, 22
TomTom 275.000 Locatiegegevens marketing art. 6
Achmea 240.000 Gezondheidsgegevens marketing art. 9
KPN 215.000 Verwerkersovereenkomsten ontbraken art. 28

3. NS 600 K EUR: beveiligingsmaatregelen

Nederlandse Spoorwegen kreeg in november 2024 een boete van 600 K EUR. De AP constateerde dat NS-medewerkers onbeperkt reisgegevens van OV-chipkaartgebruikers konden inzien zonder need-to-know controle of logging. Tussen 2018 en 2023 was er geen toereikend rolgebaseerd toegangsbeheer. Schending van art. 32 AVG. NS heeft inmiddels rolgebaseerd autorisatiemodel ingevoerd.

4. Sectorale verdeling 2025

Sector Aandeel bedrag Belangrijkste verantwoordelijken
Platformen / tech 93% Uber, TomTom, Marktplaats
Overheid 3% NS, gemeente Rotterdam
Zorg 2% OLVG, Achmea, GGD
Financieel 1,5% ING, ABN AMRO, BKR
Overige 0,5% Retail, vastgoed, onderwijs

Zonder Uber verschuift de verdeling sterk naar zorg (25%), financieel (22%) en overheid (18%).

5. Veel voorkomende inbreuktypes

  1. Gebrek aan geldige rechtsgrond (art. 6) — 28%
  2. Onvoldoende beveiliging (art. 32) — 22%
  3. Datalek te laat of niet gemeld (art. 33) — 18%
  4. Rechten betrokkenen niet gefaciliteerd (art. 12-22) — 12%
  5. Doorgifte naar derde landen (art. 44-49) — 8%
  6. Verwerking bijzondere gegevens zonder grondslag (art. 9) — 6%
  7. Overige (DPIA, FG, register, art. 28) — 6%

Hoe deze overtredingen zich vertalen naar de twee wettelijke boetecategorieën (10 M respectievelijk 20 M EUR of 2%/4% omzet) leest u in het overzicht van AVG-boetecategorieën.

6. Historische context: hoogste boetes per jaar

  • 2019: Haga ziekenhuis 460 K EUR (toegangscontrole)
  • 2020: BKR 830 K EUR, UWV 900 K EUR
  • 2021: Booking.com 475 K EUR, Belastingdienst 2,75 M EUR
  • 2022: DPG Media 525 K EUR
  • 2023: Clearview AI 30,5 M EUR (executie hangt)
  • 2024: Uber 290 M EUR, NS 600 K EUR
  • 2025: voortgezette trend uitvoering

7. Datalekmeldingen in cijfers

De AP ontving in 2024 ruim 25.000 datalekmeldingen (art. 33). Belangrijkste oorzaken: verkeerd geadresseerde e-mail (39%), verloren laptop/USB (16%), hacking/ransomware (15%), onbevoegde toegang medewerker (10%), publicatie persoonsgegevens (8%). Slechts 4% van meldingen leidt tot diepgaand onderzoek; nog kleiner deel tot boete.

8. Procedure en doorlooptijden

AP-onderzoeken bestaan uit verkennend onderzoek, formele onderzoeksfase met informatievorderingen (art. 5:16 Awb), voorlopig oordeel (zienswijze), eindbesluit. Gemiddelde doorlooptijd 14 maanden. Beroep bij rechtbank Den Haag (bestuursrecht), hoger beroep Raad van State. Uber-zaak loopt sinds 2018-onderzoek, besluit 2024 — zes jaar.

9. Verschil AP en andere DPA’s

De AP is in EU-context relatief actief in datalekmeldingen (top 3 met Duitsland en Ierland), maar het aantal boetebesluiten ligt lager dan Spaanse AEPD (200+ per jaar) of Italiaanse Garante (150+). Per boete echter zijn Nederlandse sancties gemiddeld hoger, omdat AP zich richt op systemische zaken bij grote organisaties.

10. Klimaat voor multinationals

Nederland is hoofdvestigingsland voor veel multinationals (Uber, Booking, TomTom, Philips, Heineken). AP fungeert als leidende autoriteit (art. 56) in 60+ grensoverschrijdende zaken. Aleid Wolfsen heeft publiekelijk verklaard dat Nederland geen “race to the bottom” voert zoals soms aan Ierland wordt verweten. De Uber-boete bevestigt dit.

11. Beroep en bezwaar

Na een AP-boetebesluit kan bezwaar worden gemaakt binnen zes weken (Awb art. 6:7), gevolgd door beroep bij rechtbank Den Haag en hoger beroep bij de Afdeling bestuursrechtspraak. In 2024 werd circa 25% van de aangevochten AP-boetes verlaagd of vernietigd. Belangrijke uitspraken: VoetbalTV (gedeeltelijk vernietigd 2022), Belastingdienst (deels bevestigd 2023).

12. Verwachtingen 2026

De AP heeft voor 2026 aangekondigd extra capaciteit in te zetten op AI-toepassingen (samenhang met EU AI Act), datahandel en kindergegevens. Verwacht wordt dat boetes tegen socialmediaplatforms en EdTech-bedrijven sterk zullen toenemen. Daarnaast intensivering van toezicht op verwerkersovereenkomsten via art. 28 — een onderbelicht handhavingsterrein. Het meerjarenplan AP 2024-2027 voorziet bovendien een speerpunt op datamakelaars (Equifax-achtige actoren), gezichtsherkenning in publieke ruimten en algoritmes in publieke besluitvorming (sociale zekerheid, fiscus). De AP-begroting groeit van 36 M EUR in 2024 naar 42 M EUR in 2026, met ruim 250 FTE.

13. Kwartaalcijfers 2025

Kwartaal Aantal boetes Totaalbedrag
Q1 2025 7 4,2 M EUR
Q2 2025 11 6,8 M EUR
Q3 2025 9 5,1 M EUR
Q4 2025 11 295,9 M EUR (incl. Uber-uitvoeringsfase)

Het hoge Q4-bedrag is volledig toe te schrijven aan de bevestiging van het Uber-besluit in administratieve fase. Zonder Uber lag Q4 op 5,9 M EUR — in lijn met Q1-Q3.

14. Beroepsprocedure in detail (Awb)

Na een AP-besluit gelden de bestuursrechtelijke termijnen van de Awb. Bezwaarschrift binnen zes weken na bekendmaking (art. 6:7 Awb), gevolgd door heroverwegingsbesluit AP binnen twaalf weken. Beroep bij de rechtbank Den Haag binnen zes weken (art. 8:1 Awb). Hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. AP gebruikt informatievorderingen onder art. 5:16 Awb tijdens onderzoek; weigering medewerking levert een aparte overtreding op (art. 5:20 Awb) met dwangsom tot 5.000 EUR per dag.

15. Internationale vergelijking handhavingsvolume

Toezichthouder Aantal boetes 2024 Totaalbedrag 2024
AEPD (Spanje) 250+ 22 M EUR
Garante (Italië) 150+ 65 M EUR
CNIL (Frankrijk) 87 95 M EUR
ICO (VK, GDPR equivalent) 28 18 M EUR
AP (Nederland) 22 308 M EUR (incl. Uber)

Nederland scoort laag op aantal maar hoog op gemiddeld bedrag — bevestiging van een selectieve, systemische handhavingsstrategie. Zie ook AP toezichthouder voor het volledige mandaat.

FAQ

Wat is de hoogste AP-boete ooit?

Uber B.V. ontving in 2024 een boete van 290 miljoen EUR voor onrechtmatige doorgifte van persoonsgegevens naar de Verenigde Staten. Het is daarmee de op een na hoogste AVG-boete in de gehele EU.

Worden AP-boetes vaak in beroep verlaagd?

Ongeveer 25% van de boetes wordt door rechtbank of Raad van State gedeeltelijk vernietigd of verlaagd. VoetbalTV (575 K EUR) werd in 2022 grotendeels vernietigd. Belastingdienst-boete werd in 2023 grotendeels bevestigd.

Waar publiceert de AP boetebesluiten?

Op de website van de Autoriteit Persoonsgegevens onder “Boetes en sancties” en “Onderzoeken”. Besluiten worden integraal gepubliceerd inclusief naam verantwoordelijke. Betrokkenen worden geanonimiseerd. De handhaving berust op de Algemene verordening gegevensbescherming en de nationale Uitvoeringswet AVG (UAVG).

Geldt de AVG-boete ook voor overheidsorganisaties?

Ja. Anders dan in veel EU-lidstaten heeft Nederland in UAVG art. 18 expliciet bepaald dat boetes ook gelden voor overheidsorganen. NS, UWV, Belastingdienst en gemeente Rotterdam zijn al beboet.

Kan een AP-boete worden verzekerd?

Beperkt. Bestuurdersaansprakelijkheidsverzekeringen dekken doorgaans verdedigingskosten maar niet de boete zelf — wettelijk verbod onverzekerbaarheid administratieve boetes in veel polissen. Wel verzekerbaar: civiele claims van betrokkenen onder art. 82 AVG, juridische bijstand tijdens onderzoeksfase, en kosten van forensisch IT-onderzoek bij datalekken. Sommige cyberpolissen vergoeden ook AP-meldkosten en notificaties aan betrokkenen, maar lezen de polisuitsluitingen kritisch.

Hoe lang duurt een AP-onderzoek gemiddeld?

Tussen formele aankondiging en eindbesluit ligt gemiddeld 14 maanden. Vooronderzoek (verkennend) duurt 3-6 maanden, formele onderzoeksfase 6-9 maanden, zienswijze en eindbesluit nog 2-4 maanden. Complexe grensoverschrijdende zaken (one-stop-shop, art. 60) lopen vaak op tot 3-5 jaar — Uber duurde zes jaar. Bezwaar en beroep voegen 1-3 jaar extra toe. Vergelijk met AP boetes 2025.

Welke artikelen worden het meest geschonden?

In 2025 stonden art. 6 (rechtsgrond, 28% van besluiten), art. 32 (beveiliging, 22%) en art. 33 (datalekmelding, 18%) bovenaan. Zie AVG Art. 32 beveiliging en Datalekken melden voor de inhoud. Bij grootschalige verwerkingen volgt ook vaak art. 35 (DPIA) en art. 28 (verwerkersovereenkomsten).

Zie ook: een klacht indienen bij de AP, AP-boetes per sector en een AP-controle voorbereiden.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →