Autoriteit Persoonsgegevens
Sluit menu

Jaarplan 2025

Heldere communicatie en uitleg om burgers beter te beschermen in een digitale wereld

Het beschermen van mensen in een digitale wereld: daar maakt de Autoriteit Persoonsgegevens (AP) zich sterk voor. Maatschappelijke, technologische en politieke ontwikkelingen - zowel binnen als buiten - hebben direct effect op ons werk. Organisaties verzamelen, verwerken en delen persoonsgegevens op grote schaal, en dit neemt alleen maar toe. Onder de juiste voorwaarden draagt dat bij aan innovatie en maatschappelijke vooruitgang. Het gebruiken van persoonsgegevens moet wel altijd rechtmatig, eerlijk en transparant gebeuren.

Mensen moeten grip kunnen houden op hun persoonlijke gegevens. Want als dat niet gebeurt, dan kunnen mensen –bedoeld of onbedoeld- risico lopen op uitsluiting, manipulatie of discriminatie. Als AP houden we toezicht op de naleving van de regels door organisaties. Wij leggen uit wat er wél kan. Zo helpen we organisaties én burgers vooruit.

Toezicht houden betekent ook keuzes maken: ons toezichtveld wordt steeds groter en onze middelen zijn beperkt. Daarom hebben we onze fundamentele waarden bij het beschermen van persoonsgegevens vastgelegd: non-discriminatie, persoonlijke autonomie en vrijheid, en controleerbare en transparante macht. Door deze bril kijken we naar ons toezicht.

Begin 2025 verscheen de AP-evaluatie met aanbevelingen en adviezen voor onze plannen voor de komende jaren. Daar zijn we mee aan de slag gegaan. We zetten meer in op alternatieve interventies, zoals het uitleggen van de wet aan organisaties, en voorlichting. We leggen alleen boetes op als het nodig is. Zo beschermen we mensen in een digitale wereld.

In 2025 besteden we, net als vorig jaar, extra aandacht aan deze vijf thema's:

Jaarplan_2024_iconen

Algoritmes & AI

Onze wereld wordt steeds digitaler en de mogelijkheden van algoritmes en artificiële intelligentie (AI) nemen snel toe. Dit biedt een hoop kansen, maar kan ook leiden tot onrechtmatige verwerking van gegevens, discriminatie, willekeur, gebrek aan transparantie of misleiding en manipulatie. We willen deze risico’s voorkomen door onze grondrechten goed en proactief te beschermen. In 2025 verwachten we een intensivering van onze werkzaamheden op het gebied van algoritmes en AI. Hieraan werkt onder meer de Directie Coördinatie Algoritmes. Lees de Werkagenda coördinerend AI- en algoritmetoezicht 2025 voor meer informatie.

Icoon_algoritmes 2

Wat doen we onder andere in 2025?

  • We publiceren de halfjaarlijkse Rapportage AI- & Algoritmerisico’s Nederland (RAN) waarin we nieuwe ontwikkelingen voor AI en algoritmes duiden, risico’s benoemen en inzoomen op specifieke toepassingen. We besteden extra aandacht aan het bereiken van specifieke doelgroepen, zoals bedrijven die algoritmes ontwikkelen of inzetten, onder meer door het organiseren van roadshows.
  • Wij richten een wetenschappelijke commissie op, met onder andere expertise op het gebied van AI en algoritmes.
  • We starten een netwerk van meldpunten om informatie over incidenten rond algoritmes en AI op te halen bij meldpunten en belangenorganisaties.
  • We werken samen met andere toezichthouders in de voorbereiding op het toezicht op de AI-verordening en de lancering van de AI regulatory sandbox in 2026, waar organisaties AI-systemen in wording kunnen testen.
  • We betrekken stakeholders via oproepen tot input en dialoogbijeenkomsten.
  • Vanuit het gegevensbeschermingstoezicht ligt de focus op algoritmes en AI op verschillende aspecten van geautomatiseerde besluitvorming, zoals betekenisvolle menselijke tussenkomst, de rechten van betrokkenen, en de relatie met leveranciers van software. Hierover verwachten we informatie te publiceren met concrete handvaten voor organisaties om verantwoord met algoritmes en AI om te gaan.

Big Tech

Grote techbedrijven gebruiken de gegevens van hun gebruikers als brandstof. En dat is vaak niet in lijn met de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens worden gebruikt om gericht reclames te kunnen aanbieden, AI-modellen te trainen en om gepersonaliseerde inhoud aan te bieden zodat gebruikers langer online blijven. Daarom is het van groot belang om hier scherp toezicht op te blijven houden. Burgers moeten de regie kunnen houden over hun persoonsgegevens. De AP blijft hier in 2025 aan werken, samen met andere (internationale) toezichthouders.

Icoon_bigtech

Wat doen we onder andere in 2025?

  • We blijven (internationaal) onderzoek doen naar mogelijke overtredingen door grote techbedrijven.
  • Klachten over deze techbedrijven behandelen we met voorrang.
  • Samen met de andere Europese toezichthouders voorkomen we dat grote techbedrijven misbruik maken van de persoonsgegevens van Europese burgers bij het ontwikkelen en aanbieden van AI-modellen.
  • In 2025 werken wij, samen met de Autoriteit Consument & Markt (ACM), aan het verder vormgeven van het toezicht op de Digitaledienstenverordening (DSA). Zo kunnen we de fundamentele rechten van burgers nog beter beschermen.
  • Persoonsgegevens zijn niet overal zo veilig als in de Europese Economische Ruimte (EER). Bedrijven die persoonsgegevens doorgeven naar buiten de EER moeten maatregelen treffen om een vergelijkbare bescherming te garanderen. De AP besteedt aandacht aan internationale doorgiften in onderzoeken, en werkt samen met Europese collega’s om te controleren of bedrijven voldoende maatregelen hebben getroffen.

Vrijheid & veiligheid

Wij willen bijdragen aan een verdedigbare balans tussen vrijheid en veiligheid. Het zijn twee kanten van dezelfde medaille, waarbij veiligheid de vrijheid bevordert. Om de veiligheid te bewaken worden soms maatregelen genomen die de vrijheid inperken, zoals het delen van gegevens voor opsporing van strafbare feiten.

Icoon_vrijheidveiligheid

Wat doen we onder andere in 2025?

  • Wij bouwen verder aan een meerjarig programma Vrijheid en veiligheid. Het gebruiken van gegevens is nodig om goed onderzoek uit te voeren bij de opsporing van strafbare feiten, het bewaken van de openbare orde en onze buitengrenzen. Dit moet zorgvuldig en binnen de grenzen van de wet gebeuren.

  • Bij de inzet van nieuwe, risicovolle technologieën in het veiligheidsdomein adviseren we gevraagd en ongevraagd over wat wel en niet mag.

  • We versterken ons toezicht op de politie om vanuit onze positie als toezichthouder te zorgen voor een verbeterde registratie, bewaring en rechtmatig gebruik van persoonsgegevens door de politie.

  • We ontvangen al jaren veel klachten en tips over deurbelcamera’s van particulieren. Burgers geven aan dat er inbreuk wordt gemaakt op hun persoonlijke levenssfeer. Daarom gaan we hier extra aandacht aan besteden en praktische handvaten voor veilig gebruik geven.

  • We zetten een programma op om intensiever onderzoek te doen naar en toezicht te houden op grote Europese systemen en databases voor de bescherming van de buitengrenzen van het Schengengebied.

  • We zijn nauw betrokken bij de implementatie van de nieuwe Europese anti-witwas regels.

Datahandel

Slimme producten en diensten genereren bergen waardevolle data, wat kan leiden tot de ongeoorloofde doorverkoop van persoonsgegevens. Dat gebeurt niet alleen in Nederland, maar ook internationaal. Dat mag niet en willen we een halt toe roepen.

Icoon_datahandel

Wat doen we onder andere in 2025?

  • We zetten extra in op naleving van de regels voor datahandel. En geven voorlichting en uitleg over de juiste manier om met gegevens om te gaan, vooral gericht op het MKB.

  • We zetten ook in op meer voorlichting aan consumenten over wat er met hun gegevens gebeurt en hoe ze hun privacyrechten kunnen uitoefenen.

  • We geven prioriteit aan onderzoek naar klachten en datalekmeldingen die een duidelijke link hebben met datahandel.

  • We komen dit jaar met de eerste resultaten van onze inspanningen op het gebied van datahandel.

  • We blijven het ongeoorloofd online volgen van mensen, bijvoorbeeld via cookies en andere trackingmogelijkheden, op verschillende fronten aanpakken.

Digitale overheid

Centrale en lokale overheden, uitvoeringsorganisaties en politie en justitie beschikken over grote hoeveelheden - vaak gevoelige en bijzondere - persoonsgegevens van Nederlanders en maken hier veel gebruik van. Het risico dat burgers in de knel komen is groot als de overheid verkeerd omgaat met je persoonsgegevens. Vooral omdat het vaak verplicht is om gegevens af te staan aan de overheid. Bovendien heeft de overheid een voorbeeldfunctie als het gaat om de verantwoorde omgang met persoonsgegevens. Daarom zien we hier komend jaar extra op toe. 

Icoon_digitaleoverheid

Wat doen we onder andere in 2025?

  • We delen gevraagd en ongevraagd kennis over gegevensuitwisseling in het sociaal domein, daar waar mensen vaak geen andere keuze hebben dan het delen van hun gegevens. We besteden extra aandacht aan de bescherming van de persoonsgegevens van kinderen.

  • We gaan in 2025 door met het reserveren van extra capaciteit om onderzoek te doen naar overheden en uitvoeringsorganisaties die persoonsgegevens van burgers gebruiken in algoritmes.

  • De AP heeft het toezicht op de Belastingdienst geïntensiveerd. Daarmee verwacht de AP bij te dragen aan een duurzame verbetering van de bescherming van persoonsgegevens van Nederlandse burgers door de Belastingdienst. Onder meer wordt nagegaan of risicoselecties zorgvuldig plaatsvinden en discriminatie wordt voorkomen. En of de privacyorganisatie toereikend is ingericht.

  • We besteden opnieuw aandacht aan het delen van gegevens tussen verschillende onderdelen van de overheid en andere organisaties. Ook de risico’s van het gebruik van algoritmes bij de overheid blijven we in de gaten houden, zoals discriminatie.

Wat doen we niet?

Keuzes maken betekent ook dat we andere dingen niet kunnen. Het budget en de capaciteit van de AP zijn immers beperkt. Dit kunnen we in 2025 niet optimaal:

  • Alle datalekken de aandacht geven die ze verdienen, ondanks de mogelijke gevolgen voor de slachtoffers van deze datalekken.

  • Alle klachten sneller afhandelen. Het duurt vaak meer dan een halfjaar voordat we een klacht kunnen oppakken. Ook snel inspringen op actuele issues lukt niet altijd.

  • Proactief advies geven over wetgeving, zodat persoonsgegevens goed zijn beschermd in de wet.

  • Sectoren die veel persoonsgegevens verwerken, zoals de zorg, onderwijs, energie, overheid en financiën, de aandacht geven die nodig is.

Financiering bij toenemend datagebruik

Het budget van de AP is afgelopen jaren telkens licht gegroeid, tot ca. €49 miljoen voor 2025 en verder. De financiering van het toezicht van de AP blijft daarmee echter ver achter op de hoge mate van digitalisering van Nederland.

De ernst van de situatie bepaalt de actie die we ondernemen. Daarvoor hebben wij een breed toezichtsinstrumentarium. Bij voorkeur gaan we eerst in gesprek, of geven we uitleg over de wet. Daar waar het nodig is, leggen we boetes op. Welk middel we kiezen, hangt af van de ernst van het probleem, de urgentie en het oordeel van onze professionals. Dit vraagt wel om de financiële, bestuurlijke en operationele armslag om steeds de juiste mensen, middelen en methodes te kunnen inzetten bij onze taak. De Parlementaire Enquêtecommissie Fraudebeleid en Dienstverlening kwam eerder ook tot deze conclusie.

Om onze taken goed te kunnen vervullen moet ons structurele budget groeien.

AP in vergelijking met andere toezichthouders

Gerealiseerd budget in 2024:

APAFMNLAACM
47.4142.7 (geraamd)222115.1

Cijfers uit 2024, bedragen in miljoenen euro. 
AP= Autoriteit Persoonsgegevens, AFM = Autoriteit Financiële Markten, NLA = Nederlandse arbeidsinspectie, ACM = Autoriteit Consument & Markt.

Aanbevelingen en adviezen AP-evaluatie uitvoeren

In 2024 heeft een commissie van externe deskundigen, onder leiding van onafhankelijk voorzitter Paul Schnabel een breed evaluatieonderzoek uitgevoerd over de periode 2018-2024. In 2025 gaan we met de aanbevelingen en de adviezen van de AP-evaluatie aan de slag.

Er is een nadrukkelijke verduidelijking nodig van het AP-beleid over normen en handhaving. Met andere woorden: meer en helderdere communicatie over wat wel en niet mag. Dat betekent luisteren, en in gesprek gaan op een manier die rekening houdt met het eigen karakter en de identiteit van de partijen waar wij ons op richten. Een concreet voorbeeld van hoe we dat gesprek beter kunnen voeren, is het vaker uitzetten van consultaties. Zo kunnen we de ideeën en verwachtingen van de bij ons werkveld betrokken actoren in acht nemen in de uitvoering van ons toezicht.

De belangrijkste aanbeveling van de commissie herkennen wij goed: een andere tijd vraagt om een andere houding. Met inachtneming van de uitdagingen die we hebben ervaren in de eerste jaren van de AVG en de Richtlijn gegevensbescherming bij rechtshandhaving (RGR). We zijn hier in 2024 mee aan de slag gegaan, met name via een verbeterde informatievoorziening en actievere voorlichting naar organisaties, burgers en collega-experts. In 2025 zullen we nog meer investeren in onze lopende inspanningen, bijvoorbeeld in het verbeteren van de samenwerking met de functionarissen gegevensbescherming (FG’s) van gegevens verzamelende en verwerkende organisaties en in de verdere ontwikkelingen van onze contacten met burgers.

De evaluatie laat zien dat de meeste winst is te boeken op het verder verbeteren en versnellen van het persoonlijk contact ‘op ooghoogte’, in onze toon en toelichting. Dat vertalen wij als ‘helder op de inhoud, benaderbaar op de persoon’. Zo hebben we recent met VNO-NCW afgesproken dat we het komende jaar intensiever met brancheverenigingen zullen overleggen, zoals we ook al doen met de burger- en consumentenorganisaties.

Zo kunnen we de komende jaren zo goed mogelijk werk maken van het beschermen van mensen in een digitale wereld. En organisaties uitleggen wat er wél kan en stimuleren bij privacyvriendelijke innovaties. Zo helpen we de samenleving vooruit.