Boetes en andere sancties van de AP

De Autoriteit Persoonsgegevens (AP) is bevoegd om sancties op te leggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. Op deze pagina leest u meer over de boetes en andere sancties die de AP kan opleggen.

Op deze pagina

Boete

De AP kan een boete opleggen aan organisaties die de AVG overtreden. De bevoegdheid om boetes op te leggen heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.

Een besluit om een organisatie te beboeten, kan uit meerdere boetes bestaan voor verschillende (deel)overtredingen. Een deel van de boetes die de AP heeft opgelegd, is nog niet openbaar. Pas als een boete openbaar is, kan de AP de boete publiceren op deze website.

Hoogte van boetes

Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Innen van boetes

Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. De AP houdt het geld uit de boetes niet zelf, maar zorgt dat het terechtkomt in de schatkist. Het geld gaat dus naar de algemene middelen van de overheid.

Internationale boetes

Voor de boetes die de andere privacytoezichthouders in de Europese Unie hebben opgelegd, zie National news op de website van de EDPB.

Last onder dwangsom

De AP kan organisaties die de AVG overtreden een last onder dwangsom opleggen. De organisatie moet de dwangsom betalen als de overtreding na een bepaalde termijn niet is gestopt. De last onder dwangsom bestond ook al vóór de AVG, onder de Wet bescherming persoonsgegevens.

Verwerkingsverbod

De AP kan een verwerkingsverbod opleggen. Hiermee bepaalt de AP dat een organisatie bepaalde (categorieën van) persoonsgegevens niet mag verwerken.

Berisping

De AP kan een organisatie een berisping geven wanneer die organisatie inbreuk maakt op de AVG. Met de berisping stelt de AP de inbreuk vast en laat de AP blijken deze af te keuren.

De AP legt een berisping op als dat passender is dan een bestuurlijke boete. Bijvoorbeeld bij een kleine inbreuk. Of daar sprake van is, beoordeelt de AP door naar relevante omstandigheden te kijken.

Zoals de aard, ernst en duur van de inbreuk, de vraag of de overtreding een incidenteel karakter had, of de rechten van de betrokken personen alsnog konden worden gewaarborgd en of er sprake was van opzet.

Is er sprake van een zwaardere inbreuk? Dan kiest de AP voor een passender maatregel, zoals een bestuurlijke boete. Overweging 148 van de AVG geeft inzicht in de factoren die een rol spelen bij de keuze voor een berisping.

Register berispingen

In het register van berispingen staan de berispingen die de AP tot nu toe heeft opgelegd. De AP maakt berispingen niet openbaar. Daarom staan er geen namen van organisaties bij.

Waarschuwing

De AP kan een formele waarschuwing geven over een voorgenomen verwerking. Dat is een verwerking die een organisatie van plan is te gaan doen.

Gepubliceerde boetes en sancties

De meeste opgelegde en gepubliceerde boetes en sancties staan in dit overzicht en in het register van berispingen.

Sommige boetes en sancties zijn op een andere manier gepubliceerd. Namelijk:

  • Boete VoetbalTV voor opnemen en verspreiden videobeelden amateurvoetbalwedstrijden via app en analysetools, 575.000 euro (16 juli 2020). Deze boete is vernietigd door de Rechtbank Midden-Nederland (ECLI:NL:RBMNE:2020:5111) en die uitspraak is in hoger beroep door de Raad van State bevestigd (ECLI:NL:RVS:2022:2173).
  • Internationale boetes. Voor de boetes die de andere privacytoezichthouders in de Europese Unie hebben opgelegd, zie National news op de website van de European Data Protection Board (EDPB).
  • Last onder dwangsom voor zorgverzekeraar CZ vanwege de verwerking van meer medische gegevens dan noodzakelijk voor de beoordeling van machtigingsaanvragen. Bedrag niet openbaar gemaakt - overtreding op tijd gestopt (14 februari 2020).
  • Formele waarschuwing aan supermarkt om gezichtsherkenning (15 december 2020).