Hoe bereidt u zich voor op een controle van de Autoriteit Persoonsgegevens? Het korte antwoord: zorg dat uw verwerkingsregister compleet en actueel is, want dat is het eerste document dat de AP opvraagt. Een AP-onderzoek verloopt in vaste stappen — informatieverzoek, beoordeling, eventueel onderzoek ter plaatse, voorlopige bevindingen, zienswijze en besluit — en de organisaties die er goed uitkomen, hebben hun documentatie vooraf op orde. Deze gids legt uit hoe een onderzoek verloopt, wat de AP als eerste vraagt, en geeft een concrete 10-punts voorbereidingschecklist.
1. Waarom start een AP-onderzoek?
De Autoriteit Persoonsgegevens start een onderzoek doorgaans om een van deze redenen:
- Klachten van betrokkenen (art. 77 AVG).
- Datalekmeldingen — een gemeld of gesignaleerd datalek kan tot verdiepend onderzoek leiden.
- Focusgebieden uit de toezichtsagenda van de AP (bijvoorbeeld cookiebanners, algoritmen, datahandel).
- Signalen uit de media of van andere toezichthouders.
De AP heeft beperkte capaciteit en prioriteert; niet elke klacht leidt tot een onderzoek. Maar wie in een focusgebied opereert, of wie meerdere datalekken meldt, verhoogt de kans op aandacht.
2. Zo verloopt een onderzoek
Een AP-onderzoek doorloopt in de praktijk deze fasen:
| Fase | Wat gebeurt er |
|---|---|
| Informatieverzoek | De AP vraagt schriftelijk documentatie en uitleg op |
| Onderzoek | Beoordeling van de aangeleverde stukken, eventueel ter plaatse |
| Voorlopige bevindingen | De AP stelt een conceptrapport op |
| Zienswijze | U mag reageren op de bevindingen |
| Besluit | Definitief rapport, eventueel met sanctie |
Bij een sanctie kan de AP een last onder dwangsom opleggen of een boete op grond van artikel 83 van de AVG (EUR-Lex, CELEX 32016R0679). De boetehoogte volgt uit de boetebeleidsregels, die per overtreding bandbreedtes hanteren. Voor het overzicht van categorieën en bedragen zie het overzicht van AVG-boetes en categorieën en de sectorale analyse in AP-boetes per sector.
3. Wat de AP als eerste opvraagt
Vrijwel elk onderzoek begint met dezelfde vraag: lever uw verwerkingsregister aan. Het register van verwerkingsactiviteiten (art. 30 AVG) is de ruggengraat van uw verantwoording. Ontbreekt het, is het onvolledig of achterhaald, dan is dat direct een negatief signaal — het duidt op structureel gebrekkige accountability.
Naast het register vraagt de AP vaak:
- De grondslag per verwerking en de onderbouwing daarvan.
- Uitgevoerde DPIA’s voor risicovolle verwerkingen.
- Het datalekregister en de meldprocedure.
- Verwerkersovereenkomsten met leveranciers.
- De privacyverklaring en informatievoorziening aan betrokkenen.
- Het bewaarbeleid en de bewaartermijnen.
Wie deze stukken op orde en vindbaar heeft, doorstaat de eerste fase van een onderzoek doorgaans zonder grote problemen.
4. De 10-punts voorbereidingschecklist
Gebruik deze checklist om uw organisatie AP-proof te maken:
- Verwerkingsregister compleet, actueel en direct opvraagbaar.
- Grondslag per verwerking bepaald en onderbouwd (art. 6, en art. 9 bij bijzondere gegevens).
- DPIA’s uitgevoerd en gedocumenteerd voor hoogrisicoverwerkingen.
- Bewaartermijnen vastgelegd per categorie, met een echte verwijderroutine.
- Verwerkersovereenkomsten met alle leveranciers onder artikel 28.
- Datalekregister en -procedure met de 72-uursmelding ingeregeld.
- Privacyverklaring actueel, volledig en in begrijpelijke taal.
- Rechtenafhandeling — een proces voor inzage-, correctie- en verwijderverzoeken binnen één maand.
- Beveiliging — passende maatregelen conform artikel 32, met toegangsbeheer en logging.
- Governance — een functionaris voor gegevensbescherming waar vereist, en aantoonbare bestuurlijke betrokkenheid.
Deze punten sluiten aan op de bredere checklist voor AVG-naleving. Loop ze periodiek na, niet pas als de AP aan de deur staat.
5. Tijdens het onderzoek: houding en tempo
Als het informatieverzoek binnenkomt, telt de aanpak:
- Reageer tijdig en volledig — de AP stelt termijnen; die overschrijden geeft een slecht beeld.
- Wees transparant — verhullen of onvolledig aanleveren werkt tegen u en kan als zelfstandige overtreding wegen.
- Coördineer intern — één aanspreekpunt (vaak de functionaris voor gegevensbescherming) die de communicatie stroomlijnt.
- Gebruik de zienswijze — de fase van voorlopige bevindingen is uw kans om feitelijke onjuistheden recht te zetten en context te geven.
Meewerken en aantoonbaar willen verbeteren weegt mee in het uiteindelijke besluit. De rol en bevoegdheden van de toezichthouder werk ik uit in de gids over de Autoriteit Persoonsgegevens; een blik op de AP-boetes van 2025 laat zien welke tekortkomingen de AP het zwaarst beoordeelt.
Een veelgemaakte fout is om pas bij het informatieverzoek te beginnen met het op orde brengen van documentatie. De AP herkent achteraf opgestelde stukken vaak — een verwerkingsregister met een aanmaakdatum van vorige week, of een DPIA die verdacht recent is, ondergraaft juist het beeld dat u de AVG structureel naleeft. De verantwoordingsplicht vraagt om documentatie die meegroeit met uw verwerkingen, niet om een dossier dat onder tijdsdruk wordt gefabriceerd. Even belangrijk is realistische verwachtingen scheppen binnen de organisatie: een onderzoek kan maanden duren, en de communicatie moet consistent zijn. Laat niet verschillende afdelingen los van elkaar met de AP corresponderen, want tegenstrijdige antwoorden wekken de indruk dat niemand het overzicht heeft. Eén gecoördineerd aanspreekpunt dat de feiten kent en de stukken beheert, is de belangrijkste organisatorische maatregel die u kunt nemen.
6. Voorbereiding is documentatie
De rode draad: een AP-controle test niet of u perfect bent, maar of u kunt aantonen dat u de AVG serieus neemt. Dat is de kern van de verantwoordingsplicht (art. 5 lid 2 AVG). Documentatie die verspreid staat over afdelingen en spreadsheets is bij een onderzoek een risico. Een compliance-platform zoals Legiscope houdt register, grondslagen, DPIA’s en verwerkersovereenkomsten centraal en actueel, zodat u bij een informatieverzoek binnen dagen kunt leveren in plaats van weken te moeten reconstrueren.
FAQ
Wat vraagt de Autoriteit Persoonsgegevens als eerste op bij een controle?
Vrijwel altijd het verwerkingsregister (art. 30 AVG). Het is het startpunt van elk onderzoek en de ruggengraat van uw verantwoording. Een ontbrekend of onvolledig register is direct een negatief signaal. Daarna volgen doorgaans de grondslagen, DPIA’s, verwerkersovereenkomsten en het datalekregister.
Hoe verloopt een onderzoek van de AP?
In vaste fasen: een schriftelijk informatieverzoek, beoordeling van de stukken (eventueel met onderzoek ter plaatse), een conceptrapport met voorlopige bevindingen, de gelegenheid tot een zienswijze, en ten slotte een definitief besluit dat een last onder dwangsom of een boete kan bevatten.
Kan ik een boete krijgen als ik meewerk aan het onderzoek?
Meewerken sluit een boete niet uit, maar het weegt mee in uw voordeel. De AP kijkt naar de ernst van de overtreding, maar ook naar houding, transparantie en herstelbereidheid. Niet of onvolledig meewerken kan juist als zelfstandige overtreding zwaarder uitpakken.
Hoe lang van tevoren moet ik me voorbereiden op een AP-controle?
Voorbereiding is geen eenmalige actie vlak voor een controle, maar doorlopend onderhoud. Houd het register, de grondslagen, DPIA’s en bewaartermijnen continu actueel. Wie zijn documentatie standaard op orde heeft, kan een informatieverzoek binnen de gestelde termijn beantwoorden; wie moet reconstrueren, komt in de knel.
Conclusie
Een AP-controle voorbereiden draait om één principe: aantoonbaarheid. Het verwerkingsregister is het eerste wat de AP opvraagt, dus dat moet compleet en actueel zijn — gevolgd door grondslagen, DPIA’s, verwerkersovereenkomsten en een werkend datalekproces. Loop de 10-punts checklist periodiek na, wijs één aanspreekpunt aan, en reageer tijdig en transparant als een onderzoek start. Organisaties die hun documentatie doorlopend bijhouden, doorstaan een controle zonder paniek; wie moet reconstrueren, loopt onnodig risico.
Zie een AP-controle daarom niet als een bedreiging maar als de externe toets van iets wat u sowieso op orde hoort te hebben. De verantwoordingsplicht bestaat niet omdat de AP langskomt; ze bestaat omdat de AVG van elke organisatie verwacht dat ze kan aantonen hoe en waarom ze persoonsgegevens verwerkt. Een organisatie die dat principe internaliseert, hoeft zich niet speciaal voor te bereiden op een controle — de voorbereiding is de dagelijkse praktijk. De 10-punts checklist in deze gids is dan geen noodplan maar een periodieke gezondheidscheck. Loop hem twee keer per jaar na, wijs de verantwoordelijkheid duidelijk toe, en u verandert een potentieel stressvol onderzoek in een routineuze bevestiging dat uw huis op orde is.
Zie ook: de Wet bescherming klokkenluiders.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial