Waar handhaaft de Autoriteit Persoonsgegevens het hardst? Als je alle AP-boetes sinds 2018 op een rij legt, tekent zich een duidelijk patroon af: techbedrijven en platforms krijgen de hoogste bedragen, de overheid de meest principiële boetes, en de zorg de meeste boetes voor toegangsbeveiliging. Deze analyse groepeert de belangrijkste AP-boetes per sector, met per zaak wat de boete triggerde en welke les eruit volgt. Het is een aanvulling op ons jaaroverzicht van AP-boetes 2025; hier kijken we sectoraal.
Tech en platforms: de topbedragen
De hoogste Nederlandse boetes vallen in de techsector, vaak wegens internationale doorgifte of grootschalige verwerking zonder grondslag.
| Organisatie | Jaar | Bedrag | Trigger |
|---|---|---|---|
| Uber | 2024 | 290 miljoen euro | Doorgifte chauffeursgegevens naar VS zonder waarborgen |
| Clearview AI | 2024 | 30,5 miljoen euro | Ongevraagd gezichtsherkenningsdatabase |
| TikTok | 2021 | 750.000 euro | Nederlandse privacyverklaring alleen in het Engels, gericht op kinderen |
De les: internationale doorgifte na Schrems II is het duurste risico. Uber gaf gegevens door naar de Verenigde Staten zonder passend mechanisme — precies waar de regels voor internationale doorgifte op zien. Clearview toont dat het scrapen van gezichten zonder grondslag onder geen enkele uitzondering valt. TikTok laat zien dat transparantie in de taal van de doelgroep — zeker bij kinderen — geen formaliteit is.
Overheid: de principiële boetes
De AP beboet ook de overheid, en die zaken raken vaak fundamentele beginselen zoals doelbinding en behoorlijkheid.
- Belastingdienst — 3,75 miljoen euro (2021): de Fraude Signalering Voorziening (FSV), een zwarte lijst waarin honderdduizenden mensen jarenlang onrechtmatig stonden. Onder meer schending van grondslag, doelbinding en bewaartermijnen.
- Belastingdienst — 2,75 miljoen euro (2022): discriminerende verwerking van (dubbele) nationaliteit in het toeslagendossier.
De les: bij de overheid draait handhaving om de grondbeginselen. De FSV-affaire is het canonieke voorbeeld van wat er misgaat als doelbinding en dataminimalisatie worden losgelaten. Voor de bredere uitleg van die beginselen zie de beginselen van artikel 5 AVG.
Zorg: toegangsbeveiliging als achilleshiel
In de zorg draaien de boetes bijna allemaal om hetzelfde: onbevoegde toegang tot medische dossiers.
| Organisatie | Jaar | Bedrag | Trigger |
|---|---|---|---|
| HagaZiekenhuis | 2019 | 460.000 euro | Onvoldoende toegangsbeveiliging (o.a. bekende patiënt) |
| OLVG | 2022 | 440.000 euro | Onbevoegde inzage door medewerkers |
De les: in de zorg is beveiliging onder artikel 32 AVG — met logging en toegang op need-to-know — de kernverplichting. Wie niet kan controleren wie welk dossier inziet, loopt direct risico. Dit patroon geldt voor ziekenhuizen, huisartsen en apotheken gelijk.
Finance: melden en zorgvuldigheid
De financiële sector wordt afgerekend op procesdiscipline: op tijd melden en zorgvuldig verwerken.
- Booking.com — 475.000 euro (2021): een datalek 22 dagen te laat gemeld bij de AP, ruim voorbij de 72-uurstermijn.
- International Card Services (ICS) — 150.000 euro (2024): tekortkomingen rond identiteitsverificatie en verzoeken van betrokkenen.
De les: de 72-uurstermijn voor het melden van datalekken bij de AP is hard. Booking.com had het datalek wél gedetecteerd maar te laat gemeld — het detecteren is niet genoeg, de melding moet tijdig gebeuren.
Sport en verenigingen: gegevens verkopen loopt slecht af
Ook verenigingen ontkomen niet aan handhaving.
- KNLTB — 525.000 euro (2020): de tennisbond verkocht persoonsgegevens van leden aan sponsoren voor direct marketing en beriep zich daarbij op een gerechtvaardigd belang. In de vervolgprocedure stelde de rechtbank prejudiciële vragen; het Hof van Justitie oordeelde in oktober 2024 (C-621/22) dat een zuiver commercieel belang op zichzelf een gerechtvaardigd belang kán zijn, maar dat de verwerking dan wel noodzakelijk moet zijn. Omdat de leden ook om toestemming had kunnen worden gevraagd — een minder ingrijpend alternatief — sneuvelde de verwerking op die noodzakelijkheidstoets. De AP en de KNLTB rondden de zaak daarna af met een verlaagde boete van 250.000 euro.
De les: ledengegevens verkopen mag niet worden weggezet als “gewoon een gerechtvaardigd belang”. Sinds C-621/22 kan een commercieel doel wél kwalificeren, maar de belangenafweging strandt zodra er een minder ingrijpend middel bestaat — en bij ledenmarketing is dat vrijwel altijd toestemming. De kern is dus de noodzakelijkheids- en belangenafweging, niet een categorisch verbod op commercieel gebruik.
Wat het sectorpatroon leert
De boetebevoegdheid volgt uit artikel 83 van de AVG (EUR-Lex, CELEX 32016R0679). Over alle sectoren heen zijn er drie terugkerende triggers:
- Geen of verkeerde grondslag — van FSV tot KNLTB tot Clearview.
- Beveiliging en toegang — de hele zorgsector, plus datalekken.
- Doorgifte en termijnen — Uber (doorgifte), Booking.com (meldtermijn).
Wat verder opvalt, is dat de AP steeds vaker naar de duur en structurele aard van een overtreding kijkt in plaats van naar een eenmalig incident. De FSV-boete draaide niet om één fout maar om jaren onrechtmatig registreren; de zorgboetes gingen over structureel gebrekkige toegangscontrole, niet om één nieuwsgierige medewerker. Dat betekent voor organisaties dat een geïsoleerd foutje minder risico oplevert dan een aantoonbaar patroon van nalatigheid. De AP weegt bovendien de houding mee: meewerken en herstellen verzacht, terwijl obstructie of het negeren van eerdere waarschuwingen verzwaart.
Een tweede observatie: de bedragen lopen sterk uiteen omdat de AVG twee boetecategorieën kent (tot 10 miljoen euro of 2 procent, en tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet). De hoogste techboetes benutten het omzetgerelateerde plafond, terwijl boetes in de zorg of bij verenigingen doorgaans binnen de vaste bandbreedtes van de boetebeleidsregels blijven. Voor een concrete organisatie is de absolute hoogte minder relevant dan de vraag welke categorie overtreding zij loopt — en die categorie hangt vrijwel altijd samen met een van de drie triggers hierboven.
Deze drie dekken het overgrote deel van alle AP-boetes. Voor een organisatie betekent dat: begin met een correcte grondslag per verwerking, richt toegang en logging goed in, en houd meld- en bewaartermijnen strak. De boetesystematiek zelf — de categorieën en maxima — behandel ik in het overzicht van AVG-boetes en categorieën, en de rol en werkwijze van de toezichthouder in de gids over de Autoriteit Persoonsgegevens.
Wie wil weten of de eigen organisatie op deze risico’s kwetsbaar is, kan een gestructureerde nulmeting doen; een platform als Legiscope koppelt grondslagen, beveiligingsmaatregelen en meldprocessen aan elkaar zodat de gaten zichtbaar worden voordat de AP ze vindt.
FAQ
Welke sector krijgt de hoogste AP-boetes?
De techsector. De hoogste Nederlandse boetes vielen tegen platforms: Uber (290 miljoen euro, 2024) en Clearview AI (30,5 miljoen euro, 2024). Dit komt door grootschalige verwerking en internationale doorgifte zonder passende waarborgen. In andere sectoren liggen de bedragen doorgaans in de honderdduizenden.
Wat was de belangrijkste boete voor de overheid?
De boete van 3,75 miljoen euro tegen de Belastingdienst (2021) voor de Fraude Signalering Voorziening (FSV) — een onrechtmatige zwarte lijst. Het is de canonieke Nederlandse zaak over schending van grondslag, doelbinding en bewaartermijnen, gevolgd door een tweede boete van 2,75 miljoen euro (2022) voor discriminerende verwerking.
Waarom krijgt de zorg zo vaak boetes voor beveiliging?
Omdat medische dossiers bijzonder gevoelig zijn en zorginstellingen veel medewerkers toegang geven. De boetes tegen HagaZiekenhuis (460.000 euro) en OLVG (440.000 euro) draaiden beide om onbevoegde inzage. Zonder toegang op need-to-know en logging kan een instelling niet aantonen dat alleen bevoegden dossiers inzagen.
Kan een vereniging een AP-boete krijgen?
Ja. De KNLTB kreeg 525.000 euro (2020) voor het verkopen van ledengegevens aan sponsoren. In de rechtszaak daarna oordeelde het Hof van Justitie (C-621/22, oktober 2024) dat een commercieel belang op zich een gerechtvaardigd belang kan zijn, maar dat de verwerking noodzakelijk moet zijn — en toestemming was hier een minder ingrijpend alternatief. AP en KNLTB rondden de zaak vervolgens af met een verlaagde boete van 250.000 euro. De AVG geldt onverkort voor verenigingen en stichtingen; ledengegevens mogen niet zomaar worden gedeeld of verkocht.
Conclusie
De AP-boetes per sector laten een consistent beeld zien: tech betaalt het meest wegens doorgifte en grootschalige verwerking, de overheid krijgt de principiële boetes over doelbinding, de zorg struikelt over toegangsbeveiliging, en finance over meldtermijnen. Achter vrijwel elke boete zit een van drie oorzaken — geen grondslag, zwakke beveiliging, of te laat melden. Wie die drie op orde heeft, dekt het grootste deel van het handhavingsrisico af.
Het is verleidelijk om naar de spectaculaire miljoenenboetes te kijken en te denken “dat overkomt ons niet”. Maar de meeste boetes vallen in de honderdduizenden en treffen doodgewone organisaties: ziekenhuizen, verenigingen, financiële dienstverleners. De rode draad is niet de omvang van de organisatie maar de aard van de tekortkoming. Een kleine vereniging die ledengegevens verkoopt, loopt hetzelfde type risico als een groot platform dat gegevens zonder grondslag verwerkt. Gebruik deze sectoranalyse daarom niet als geruststelling maar als spiegel: welke van de drie triggers is in uw eigen organisatie het minst goed afgedekt?
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial