Wat is de hoogste AVG-boete in Nederland?

Uber ontving in 2024 een boete van 290 miljoen euro voor het onbeschermd doorgeven van persoonsgegevens van Europese chauffeurs naar de VS. Daarnaast ontving Clearview AI 30,5 miljoen euro boete voor het opbouwen van een illegale gezichtsherkenningsdatabase. Exclusief die twee uitschieters liggen de Nederlandse boetes tussen de 7.500 en 4,75 miljoen euro.

Kan de AP een ZZP'er of eenmanszaak beboeten?

Ja. De AP maakt geen uitzondering voor bedrijfsgrootte. Een orthodontiepraktijk kreeg 12.000 euro boete voor een onbeveiligde website. Bij de bepaling van de boetehoogte houdt de AP rekening met de omzet: een bedrijf met 2 miljoen omzet betaalt procentueel, niet het maximum. De AP begint bij kleine organisaties meestal met voorlichting en waarschuwingen, maar kan direct beboeten bij ernstige overtredingen.

Hoe berekent de AP de hoogte van een boete?

De AP volgt een vijfstappenmodel op basis van EDPB-richtsnoeren. Ze bepalen eerst de ernst (laag, midden, hoog), passen verzwarende of verzachtende omstandigheden toe, toetsen aan de wettelijke maxima en controleren of de boete afschrikwekkend genoeg is. De omzet van het bedrijf speelt een rol: bij een jaaromzet onder 2 miljoen euro ligt het boetebedrag tussen 0,2% en 4% van het basisbedrag.

Welk type overtreding leidt het vaakst tot een boete?

Onvoldoende beveiliging is de meest voorkomende reden voor boetes bij het MKB. Daarnaast: datalekken te laat melden, inzageverzoeken belemmeren, cookies plaatsen zonder toestemming en ontbrekende DPIA's. Het patroon is duidelijk: de basisverplichtingen niet op orde hebben leidt tot sancties.

Wordt er in 2026 strenger gehandhaafd?

De AP groeit: van 43 miljoen euro budget in 2025 naar 49 miljoen in 2026. Ze investeren in geautomatiseerde tools en hebben drie speerpunten: massasurveillance, AI en digitale weerbaarheid. De EDPB voert in 2026 een gecoördineerde handhavingsactie uit op transparantie. De richting is duidelijk: meer controles, meer capaciteit, snellere sancties.

AVG-boetes in Nederland: overzicht en lessen

Sinds de AVG van kracht werd in 2018 heeft de Autoriteit Persoonsgegevens voor meer dan 349 miljoen euro aan boetes opgelegd. Het merendeel viel in 2024: 338,6 miljoen euro, tegenover 180.000 euro in 2023. Die explosieve stijging werd gedomineerd door Uber (290 miljoen), maar ook zonder die ene zaak was 2024 een recordjaar voor handhaving.

Dit overzicht laat zien welke boetes zijn opgelegd, welke patronen zichtbaar zijn en wat het MKB ervan kan leren.

De boetes op een rij

De grootste en meest leerzame zaken:

Uber (2024): 290 miljoen euro. Europese persoonsgegevens van chauffeurs twee jaar lang naar de VS doorgegeven zonder adequate waarborgen. Grootste Nederlandse AVG-boete ooit. Les: internationale doorgifte zonder juiste grondslag is een tijdbom.

Clearview AI (2024): 30,5 miljoen euro. Illegale gezichtsherkenningsdatabase opgebouwd door ongericht foto's te scrapen van internet. Plus een dwangsom van maximaal 5,1 miljoen euro. Les: biometrie zonder grondslag is verboden.

Netflix (2024): 4,75 miljoen euro. Onvoldoende transparantie over welke gegevens worden verzameld en waarvoor. Les: een onduidelijke privacyverklaring is een overtreding.

Uber privacyrechten (2024): 10 miljoen euro. Chauffeurs konden hun privacyrechten niet goed uitoefenen. Les: rechten van betrokkenen belemmeren wordt beboet.

Belastingdienst FSV (2022): 3,7 miljoen euro. Fraude Signalering Voorziening discrimineerde op nationaliteit. Les: profilering zonder waarborgen leidt tot de hoogste boetecategorie.

BKR (2020): 830.000 euro. Kosten in rekening gebracht voor digitale inzage. Gratis inzage alleen per post, maximaal eens per jaar. Les: inzage moet kosteloos en laagdrempelig zijn.

Kruidvat (2024): 600.000 euro. Tracking cookies geplaatst zonder toestemming, met vooraf aangevinkte vakjes. Les: de AP controleert cookiebanners actief en beboet overtredingen.

DPG Media (2022): 525.000 euro. Standaard een kopie van het identiteitsbewijs eisen bij inzageverzoeken. Les: disproportionele identiteitsverificatie is een overtreding.

Booking.com (2021): 475.000 euro. Datalek 22 dagen te laat gemeld bij de AP. Les: de 72-uurstermijn is serieus.

ICS creditcard (2024): 150.000 euro. Geen DPIA uitgevoerd bij grootschalige verwerking van klantgegevens. Les: een ontbrekende DPIA is op zichzelf een beboetbare overtreding.

Orthodontiepraktijk (2021): 12.000 euro. Patiëntenregistratiewebsite zonder HTTPS. Formulier verzamelde BSN, gezondheidsgegevens en gegevens van kinderen via onversleutelde verbinding. Boete in hoger beroep bevestigd. Les: onvoldoende beveiliging treft ook kleine organisaties.

De patronen

Uit het totaaloverzicht van alle AP-boetes ontstaan vijf categorieën:

Onvoldoende beveiliging. HagaZiekenhuis, OLVG, UWV, Transavia, Ministerie van Buitenlandse Zaken, orthodontiepraktijk. Steeds hetzelfde: technische maatregelen die niet passen bij het risico. Ontbrekende logging, onversleutelde verbindingen, onvoldoende toegangscontrole.

Datalekken te laat of niet melden. Booking.com (22 dagen vertraging), PVV Overijssel (niet gemeld). De AP beschouwt te laat melden als een aparte overtreding, los van het lek zelf.

Privacyrechten belemmeren. BKR (kosten voor inzage), DPG Media (ID-eisen), Ambitious People Group (verzoeken genegeerd), Uber (rechten chauffeurs). De AP handhaaft actief op het faciliteren van betrokkenenrechten.

Cookies en tracking zonder toestemming. Kruidvat, gemeente Enschede (wifi-tracking). De AP stuurt jaarlijks 500 waarschuwingsbrieven en heeft een geautomatiseerde scanner.

Doorgifte buiten de EU zonder waarborgen. Uber (290 miljoen). De zwaarste boetecategorie. Internationaal: Meta's boete van 1,2 miljard euro door de Ierse toezichthouder was om dezelfde reden.

Hoe de AP de hoogte bepaalt

De AP volgt een vijfstappenmodel op basis van EDPB-richtsnoeren:

Identificeer de overtreding en classificeer de ernst. Twee categorieën: categorie I (procedureel, max 10 miljoen of 2% omzet) en categorie II (inhoudelijk, max 20 miljoen of 4% omzet).
Bepaal de ernst. Laag (0-10% van maximum), midden (10-20%) of hoog (20-100%).
Pas verzwarende of verzachtende omstandigheden toe. Opzet, eerdere overtredingen, samenwerking met de AP, genomen maatregelen.
Toets aan wettelijke maxima.
Controleer afschrikwekkende werking.

De omzet speelt een expliciete rol. Bij een jaaromzet onder 2 miljoen euro ligt het boetebedrag tussen 0,2% en 4% van het basisbedrag. Dat betekent: een klein bedrijf betaalt minder, maar betaalt wel.

Wat het MKB hiervan leert

Beveiliging is het grootste risico. De meeste MKB-boetes gaan over technische maatregelen die niet op orde zijn. HTTPS, tweefactorauthenticatie, versleuteling, toegangscontrole. Het zijn geen dure maatregelen, maar het ontbreken ervan is beboetbaar.

De 72-uurstermijn is echt. Booking.com betaalde 475.000 euro voor 22 dagen vertraging. Bij een datalek telt elke dag. Meld op tijd, ook als je nog niet alles weet.

Inzageverzoeken serieus nemen. Kosten vragen, ID-eisen stellen of verzoeken negeren: het leidt allemaal tot boetes. Reageer binnen een maand, gratis, met de minst ingrijpende verificatie.

Een ontbrekende DPIA is op zichzelf een overtreding. ICS betaalde 150.000 euro. Niet omdat er iets misging met de data, maar omdat de risicoanalyse niet was gedaan. Controleer of je verwerkingen een DPIA vereisen.

Cookies zijn laaghangende vruchten voor de AP. De geautomatiseerde scanner maakt het makkelijk om te controleren. 600.000 euro voor Kruidvat laat zien dat het de AP ernst is.

De AP begint met waarschuwingen, maar niet altijd. Bij ernstige overtredingen (gezondheidsgegevens, kinderdata, opzettelijke schendingen) volgt direct een boete. De orthodontiepraktijk kreeg 12.000 euro zonder voorafgaande waarschuwing.

Wil je weten waar jouw organisatie AVG-risico loopt? Doe de Privacy Scan en ontdek binnen 2 minuten je verbeterpunten.

De trend: meer controles, snellere sancties

Het AP-budget groeit van 43 naar 49 miljoen euro. De organisatie investeert in geautomatiseerde controletools. De EDPB voert in 2026 een gecoördineerde handhavingsactie uit op transparantie (privacyverklaringen). De AI Act brengt nieuwe toezichtstaken.

De richting is helder: privacy-compliance wordt niet zwaarder, maar zichtbaarder. De kans om onopgemerkt te blijven wordt kleiner. En de kosten van niet-compliance zijn altijd hoger dan de kosten van compliance. De orthodontiepraktijk had voor minder dan honderd euro per jaar een SSL-certificaat kunnen regelen. Ze betaalden 12.000 euro.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.

AVG-boetes in Nederland: overzicht en lessen

De boetes op een rij

De patronen

Hoe de AP de hoogte bepaalt

Wat het MKB hiervan leert

De trend: meer controles, snellere sancties

Privacy Scan

Veelgestelde vragen

Gerelateerde artikelen