In één zin. De Autoriteit Persoonsgegevens is de Nederlandse onafhankelijke toezichthouder voor de AVG en UAVG, met een budget van circa 47 miljoen EUR, ruim 290 medewerkers en bevoegdheid tot boetes van 20 miljoen EUR of 4% wereldwijde jaaromzet.
Belangrijkste punten
- Voorzitter sinds 2016: Aleid Wolfsen (PvdA-burgemeester, voorheen rechter Rotterdam).
- Hoofdzetel Den Haag, opgericht in 2001 (toen College bescherming persoonsgegevens).
- Wettelijke basis: UAVG hoofdstuk 5, AVG art. 51-59.
- 2024: 25.000+ datalekmeldingen, 27.000 klachten betrokkenen.
- Hoogste boete: Uber 290 M EUR (2024).
1. Wettelijke basis en onafhankelijkheid
De AP is opgericht onder de Wet bescherming persoonsgegevens (Wbp) in 2001 als College bescherming persoonsgegevens. Sinds inwerkingtreding van de UAVG op 25 mei 2018 heet het orgaan Autoriteit Persoonsgegevens. De onafhankelijkheid is verankerd in AVG art. 52 en UAVG art. 6 — de AP rapporteert aan het ministerie van Justitie en Veiligheid maar ontvangt geen inhoudelijke aanwijzingen. De volledige verordeningstekst is te raadplegen via EUR-Lex (AVG, CELEX 32016R0679); de nationale uitwerking staat in de Uitvoeringswet AVG en op de website van de Autoriteit Persoonsgegevens.
2. Leiding en organisatiestructuur
De AP wordt geleid door een collegiaal bestuur van drie personen. Voorzitter is Aleid Wolfsen sinds 1 augustus 2016, herbenoemd in 2021. Eerdere voorzitter was Jacob Kohnstamm (2004-2016). Het bestuur wordt ondersteund door vier directies: Beleid, Toezicht, Communicatie en Bedrijfsvoering.
| Functie | Naam | Termijn |
|---|---|---|
| Voorzitter | Aleid Wolfsen | 2016-heden |
| Bestuurslid | Katja Mur | sinds 2020 |
| Bestuurslid | Monique Verdier | sinds 2018 |
3. Budget en personeel
Het AP-budget steeg van 8,5 M EUR in 2018 naar circa 47 M EUR in 2025. Het personeelsbestand groeide van 72 naar ruim 290 FTE. Wolfsen pleit jaarlijks publiekelijk voor verdere uitbreiding — Nederland heeft per hoofd minder DPA-capaciteit dan Duitsland of Frankrijk.
4. Bevoegdheden onder de AVG
De AP heeft onderzoeksbevoegdheden (art. 58 lid 1): toegang tot ruimten, documenten, IT-systemen, verhoor van personen. Corrigerende bevoegdheden (art. 58 lid 2): waarschuwing, berisping, last onder dwangsom, verwerkingsverbod, gegevenswissing, certificeringsintrekking, boete. Onder UAVG aanvullend: toezicht op cookies (samen met ACM) en aanwijzingsbevoegdheid jegens overheid.
5. Boetebevoegdheid en categorieën
De AP kan boetes opleggen tot 10 M EUR of 2% wereldwijde omzet (art. 83 lid 4) of 20 M EUR of 4% (art. 83 lid 5) — zie het overzicht van AVG-boetecategorieën voor de indeling per overtreding. De Boetebeleidsregels AP 2019 hanteren vier categorieën met basisboetes van 100 K, 310 K, 525 K en 750 K EUR. UAVG art. 18 verklaart art. 83 AVG van toepassing op overheid — uniek in Europa.
6. Belangrijkste handhavingszaken
| Organisatie | Jaar | Bedrag | Reden |
|---|---|---|---|
| Uber | 2024 | 290 M EUR | Doorgifte VS zonder geldige grondslag |
| BKR | 2020 | 830 K EUR | Onnodige drempels inzagerecht |
| UWV | 2020 | 900 K EUR | Onveilig portaal werkgevers |
| NS | 2024 | 600 K EUR | Onvoldoende beveiliging |
| VoetbalTV | 2020 | 575 K EUR | Geen grondslag amateurvoetbal |
| Booking.com | 2021 | 475 K EUR | Datalek niet tijdig gemeld |
| Belastingdienst | 2021 | 2,75 M EUR | Discriminerende fraudeselectie |
7. Klachtprocedure en datalekmeldingen
Betrokkenen kunnen klachten indienen via het AP-klachtenformulier (art. 77 AVG), vaak nadat een organisatie een verzoek op grond van het inzagerecht van artikel 15 niet of te laat heeft beantwoord. In 2024 ontving de AP ruim 27.000 klachten — circa 8% leidt tot inhoudelijk onderzoek. Datalekmeldingen via aparte portal (art. 33) bereikten in 2024 25.000+. Niet elke melding leidt tot sanctie; AP prioriteert grootschalige of ernstige gevallen.
8. Handhavingsprioriteiten 2026
Officiële AP-focusgebieden voor 2026:
- AI-systemen, generatieve AI en trainingsdata.
- Datahandel en datamakelaars.
- Kindergegevens online (social media, gaming, edtech).
- Biometrische surveillance in publieke en private ruimte.
- Cyberveiligheid kritieke sectoren (raakvlak NIS2 / Cyberbeveiligingswet).
- Werkgever-werknemer monitoring (productiviteitssoftware).
9. Samenwerking met andere toezichthouders
De AP werkt nauw samen met ACM (cookies, telecom), DNB en AFM (financiële sector), IGJ (zorg), Onderwijsinspectie en de Algemene Rekenkamer. Internationaal coördineert de AP via de European Data Protection Board (EDPB) — Aleid Wolfsen was vicevoorzitter EDPB 2018-2022.
10. One-stop-shop en grensoverschrijdende zaken
Bij grensoverschrijdende verwerkingen geldt het loketmechanisme (art. 56). Hoofdvestiging bepaalt leidende autoriteit. Voor Nederland-gevestigde multinationals (Uber EMEA, Booking.com, TomTom) is AP leidend. AP coördineert dan met betrokken autoriteiten via de consistency procedure (art. 60-65).
11. Adviesrol bij wetgeving
De AP brengt verplicht advies uit bij voorgenomen wet- en regelgeving die persoonsgegevens raakt (UAVG art. 36 lid 4). In 2024 publiceerde de AP 78 wetgevingsadviezen, vaak kritisch — opvallende dossiers: SyRI-opvolger, digitaal identiteitsstelsel, NIS2-omzetting.
12. Hoe contact opnemen met de AP
- Klacht indienen: www.autoriteitpersoonsgegevens.nl/klacht
- Datalek melden: meldloket-datalekken (binnen 72 uur)
- FG aanmelden: aparte module via AP-portal
- Voorafgaande raadpleging DPIA (art. 36): mailadres voor risicovolle verwerkingen
- Bezoekadres: Hoge Nieuwstraat 8, Den Haag
13. Bezwaar en beroep tegen AP-besluiten
AP-besluiten zijn besluiten in de zin van de Awb. Bezwaar binnen zes weken (art. 6:7 Awb) bij de AP zelf, gevolgd door een heroverwegingsbesluit. Beroep bij de rechtbank Den Haag (art. 8:1 Awb), hoger beroep bij de Afdeling bestuursrechtspraak Raad van State. Circa 25% van aangevochten boetes wordt verlaagd of vernietigd — bekende uitspraak: VoetbalTV (gedeeltelijk vernietigd 2022) waarbij gerechtvaardigd belang voor commerciële doeleinden ruimer werd erkend dan de AP-lijn. Tijdens bezwaar geldt schorsende werking voor boete-incasso indien voorlopige voorziening wordt gevraagd.
14. AP-richtsnoeren en publicaties
De AP publiceert geregeld richtsnoeren die als toetsingskader gelden, zelfs zonder formele rechtskracht. Belangrijke recente publicaties: Richtsnoer werkgever-werknemer (2024), Normuitleg cookies en cookiewalls (2023), Beleidsregels datalekken (2018, herzien 2022), Advies AI-systemen risicoclassificatie (2024). Daarnaast jaarverslagen, focusagenda’s en circa 80 wetgevingsadviezen per jaar. Zie ook AP boetes 2025 voor de handhavingscijfers en AVG Art. 5 beginselen als interpretatiekader.
FAQ
Wie is de huidige voorzitter van de AP?
Aleid Wolfsen, sinds 1 augustus 2016, herbenoemd in 2021 voor een tweede termijn van vijf jaar. Eerder burgemeester van Utrecht en rechter te Rotterdam.
Wat is het verschil tussen AP en College bescherming persoonsgegevens?
Hetzelfde orgaan. De naam wijzigde op 1 januari 2016 van College bescherming persoonsgegevens (CBP) naar Autoriteit Persoonsgegevens, vooruitlopend op de AVG.
Hoe groot is het AP-budget?
Circa 47 M EUR in 2025, met ruim 290 medewerkers. Wolfsen vraagt elk jaar publiekelijk om meer middelen.
Kan ik anoniem een klacht indienen?
Nee, de AP vraagt persoonsgegevens van de klager om de melding te kunnen behandelen. De AP behandelt deze gegevens vertrouwelijk en geeft ze niet door aan de beklaagde organisatie zonder toestemming.
Hoe lang duurt een AP-onderzoek?
Gemiddeld 14 maanden van melding tot besluit. Complexe grensoverschrijdende zaken (zoals Uber) kunnen 3-5 jaar duren door coördinatie met andere DPA’s. Bezwaar en beroep voegen 1-3 jaar toe; Raad van State-uitspraken in AVG-zaken duren gemiddeld nog eens 18 maanden.
Werkt de AP samen met buitenlandse toezichthouders?
Ja, intensief. Binnen de EDPB (art. 68 AVG) wisselt de AP informatie uit, neemt deel aan plenair en is leidend in 60+ one-stop-shop-zaken voor Nederlandse multinationals (Uber, Booking.com, TomTom, Philips). Buiten de EU heeft de AP MoU’s met DPA’s in onder meer het VK (ICO), Canada (OPC) en Israël. Bij grensoverschrijdende onderzoeken kan AP joint operations uitvoeren met andere DPA’s (art. 62 AVG).
Wat doet de AP bij overheidsinbreuken?
Anders dan in veel EU-lidstaten heeft Nederland in UAVG art. 18 boetes ook van toepassing verklaard op overheidsorganen. De AP heeft NS, UWV, Belastingdienst, gemeente Rotterdam en meerdere ministeries beboet. Bij ernstige inbreuken volgt vaak een verwerkingsverbod of bindende aanwijzing (art. 58 lid 2). Politieke gevoeligheid leidt soms tot verlate publicatie maar niet tot mildere sancties.
Welke rol speelt de AP bij de NIS2-omzetting?
Bij digitale incidenten met persoonsgegevenslek geldt zowel meldplicht aan AP (art. 33 AVG) als aan de NIS2-toezichthouder onder de Cyberbeveiligingswet. AP coördineert met het Nationaal Cyber Security Centrum (NCSC) en de Rijksinspectie Digitale Infrastructuur. Bij overlappende boetes geldt het ne bis in idem-beginsel; AP en NIS2-toezichthouder stemmen vooraf af welke sanctie wordt opgelegd voor welk feit.
Zie ook: een klacht indienen bij de AP, de Uitvoeringswet AVG (UAVG) en een AP-controle voorbereiden.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial