Is elke brief van de AP een boete?

Nee. De meeste brieven zijn informatievragen of waarschuwingen. Een boete is het zwaarste middel en komt pas na een volledig onderzoek. Een waarschuwingsbrief is een kans om het te fixen voordat het escaleert.

Moet ik meteen een advocaat bellen?

Bij een waarschuwingsbrief of simpele informatievraag: niet per se. Kun je de fix zelf regelen (cookiebanner aanpassen, verwerkingsregister aanmaken), doe dat. Bij een voornemen tot handhaving, last onder dwangsom, boetebesluit, of een informatievraag over bijzondere persoonsgegevens of AI-verwerkingen: ja, juridische hulp is sterk aan te raden. Een verkeerd geformuleerde reactie kan later tegen je worden gebruikt.

Hoe lang heb ik om bezwaar te maken?

Zes weken na dagtekening van het besluit. Bij twijfel of tijdnood: dien een pro-forma bezwaar in binnen die termijn ("dit bezwaar is ingediend ter behoud van rechten, inhoudelijke onderbouwing volgt"). De AP stelt je dan een nieuwe termijn voor de gronden.

Moet ik een boete betalen tijdens bezwaar?

Bij AP-boetes heeft bezwaar en beroep in de praktijk schorsende werking: de boete is pas opeisbaar na de einduitspraak. Dat is een uitzondering op de hoofdregel in het bestuursrecht. Check altijd de exacte formulering in het boetebesluit zelf.

Kan de AP zomaar mijn bedrijf binnenvallen?

De AP heeft bevoegdheid om bedrijfsruimtes te betreden voor onderzoek (art. 58 AVG), maar dat is zeldzaam bij het MKB. In de praktijk begint bijna alles met een brief of informatieverzoek. Een fysiek bezoek komt vrijwel alleen voor bij grote organisaties of ernstige verdenkingen.

Hoeveel kans heb ik als ZZP’er op een brief van de AP?

Structureel klein, maar niet nul. De AP ontving in 2024 ruim 7.500 klachten en deed circa 20 uitgebreide onderzoeken. Het risico zit vooral in klachten van klanten (bijv. genegeerde inzage- of verwijderverzoeken) en in thematische campagnes, zoals de lopende cookiebanner-actie waarin de AP 500 organisaties per jaar aanschrijft.

Brief van de Autoriteit Persoonsgegevens ontvangen? Dit moet je doen

Je runt een webshop. Dinsdagochtend, tussen twee facturen door, zie je een brief op logo-papier van de Autoriteit Persoonsgegevens. Onderwerp: je cookiebanner. Termijn om te reageren: drie maanden. Je leest het drie keer. Eerste reflex: paniek, of wegstoppen onder de stapel.

Allebei kansloos. De meeste brieven van de AP zijn geen boete, maar negeren is de enige fout die altijd tegen je werkt. Dit is wat je concreet doet, in welke volgorde, en wanneer je beter niets zelf kunt schrijven.

In het kort

Niet elke brief is een sanctie. 80% van wat de AP naar MKB stuurt is een informatievraag of waarschuwing.
Reageer niet direct inhoudelijk. Identificeer eerst het type brief en de exacte termijn.
Waarschuwing: zelf fixen en bevestigen. Formeel besluit: juridische hulp voordat je iets op papier zet.
Bezwaar tegen een AP-boete: 6 weken vanaf dagtekening. Een pro-forma bezwaar redt je als je meer tijd nodig hebt.

Wat je in de eerste 24 uur doet (en vooral niet)

Voordat je iets schrijft of belt, doe je dit:

Bewaar de brief fysiek en digitaal. Scan de envelop én de brief. De datum op de envelop kan later relevant zijn voor termijnen.
Noteer de dagtekening en de uiterste reactiedatum. Zet hem in je agenda, minus één week als buffer.
Lees de hele brief. Twee keer. Onderstreep de exacte vraag, het genoemde wetsartikel en de genoemde verwerking.
Zoek of je brief onderdeel is van een campagne. Google de eerste zin van de brief tussen aanhalingstekens. Krijg je tientallen hits, dan is het een branchebrede actie (bijvoorbeeld de lopende cookiebanner-campagne).
Verzamel bewijs voordat je beloftes doet. Wat staat er nu op je site, in je systeem, in je verwerkingsregister? Screenshots en exports, gedateerd.

En nu wat je niet doet:

Niet meteen de AP bellen om "te vragen wat ze bedoelen." Alles wat je zegt kan later worden gebruikt.
Niet in paniek je website aanpassen zonder het te documenteren. Je hebt straks de oude situatie nodig om te laten zien wat er is veranderd.
Geen toegevingen doen in een snelle e-mailreactie. Een zin als "ja dat klopt, we doen het fout" staat jarenlang in je dossier.

Vijf brieftypes: hoe je ze herkent

De AP gebruikt vaste categorieën. Het woord bovenaan de brief (of in de eerste alinea) vertelt je welke:

1. Informatieverzoek. "Wij verzoeken u op grond van artikel 5:16 Awb om..." De AP wil feiten, geen oordeel. Bijvoorbeeld: je verwerkingsregister, je cookiebeleid, of een logfile. Termijn doorgaans 2 tot 6 weken. Meewerken is verplicht, maar je hebt het recht je reactie zorgvuldig te formuleren. Geen sanctie, geen oordeel, wel meetelbaar voor vervolgstappen.

2. Waarschuwingsbrief (ook: "brandbrief"). De AP geeft aan dat ze iets hebben geconstateerd en geeft je tijd om het te fixen. In 2025 begon de AP met een meerjarige cookiebanner-campagne waarin zij jaarlijks 500 organisaties aanschrijft (de eerste tranche was 50). Termijn: meestal drie maanden. Geen boete, wel een duidelijk signaal dat het anders moet.

3. Voornemen tot handhaving. De AP kondigt aan dat ze een sanctie wil opleggen en geeft je het recht op een zienswijze. Meestal 2 tot 4 weken. Dit is formeel. Wat je hier zegt (of niet zegt) wordt de kern van het uiteindelijke besluit. Juridische hulp is vanaf dit moment sterk aan te raden.

4. Last onder dwangsom. Een concreet bevel: stop met X, of regel Y binnen Z weken. Niet voldoen betekent geld betalen per dag, week of overtreding. Bezwaartermijn: 6 weken. Ook hier hoort juridische toetsing voor je reageert.

5. Boetebesluit. Een besluit tot oplegging van een bestuurlijke boete. Bezwaar binnen 6 weken. Bij AP-boetes werkt bezwaar en beroep in de praktijk schorsend: de boete is pas opeisbaar na einduitspraak. Dat is de uitzondering op de hoofdregel in het bestuursrecht, en het is reden om nooit klakkeloos te betalen voordat je juridisch advies hebt.

Veelgemaakte fout

Een voornemen tot handhaving verwarren met een boete. Het voornemen is nog geen besluit. Je kunt het daar nog keren met een goede zienswijze. Wie direct een advocaat betaalt om bezwaar te maken tegen een voornemen, is te vroeg. Wie pas een advocaat zoekt na het boetebesluit, is te laat.

Reageer op tijd: het risico van stilzitten

De termijn in de brief is hard. Niet-reageren wordt als verzwarende omstandigheid gezien en betekent bij een voornemen dat je je zienswijze verspeelt. Ook bij een pure informatievraag kun je niet zwijgen: de AP kan dan op basis van wat ze zelf hebben een oordeel vellen, en dat oordeel is zelden in jouw voordeel.

Kom je er inhoudelijk niet op tijd uit? Dien een pro-forma reactie in, uiterlijk op de laatste dag van de termijn. Dit werkt:

Voorbeeld: pro-forma reactie

"Geachte heer/mevrouw,

Hierbij bevestig ik ontvangst van uw brief van [datum] met kenmerk [nummer]. Deze reactie wordt ingediend ter behoud van rechten. Gezien de complexiteit van de gestelde vragen en het belang van een zorgvuldige reactie verzoek ik u om een termijn van [X weken] voor de inhoudelijke onderbouwing. Inhoudelijke reactie volgt uiterlijk [datum]."

Stuur dit per aangetekende post of via het officiële AP-reactieformulier. Bewaar een kopie met verzendbewijs. In de meeste gevallen bevestigt de AP de nieuwe termijn per brief.

Zelf oplossen of juridische hulp?

Niet elke brief heeft een advocaat nodig. De vuistregel: als de fix technisch is, kun je het zelf. Als de fix juridisch is, laat je het toetsen.

Waarschijnlijk zelf te doen:

Waarschuwing over een cookiebanner: banner vervangen, weigeropties op gelijk niveau, placeholder voor tracking tot toestemming. Bevestigen met screenshots en een korte toelichting.
Informatievraag over je verwerkingsregister: stuur het register, licht eventuele gaten eerlijk toe met een tijdpad om ze te dichten.
Vraag over een afgehandeld datalek: tijdlijn reconstrueren, bewijs van meldingen bijvoegen, geleerde lessen benoemen.

Beter laten toetsen:

Elke vraag over bijzondere persoonsgegevens (gezondheid, biometrisch, strafrechtelijk).
Internationale doorgifte naar buiten de EU, AI-verwerkingen met klantdata, profiling.
Alles wat "voornemen", "last" of "besluit" heet.
Situaties waar meerdere klachten tegelijk spelen of de brief naar grove nalatigheid verwijst.

Een uur consult bij een privacy-advocaat kost typisch tussen de 200 en 400 euro. Dat is doorgaans goedkoper dan de tijd die je verliest door een verkeerd geformuleerde zienswijze te herstellen.

Hoe de AP prioriteert (en waarom dat voor jou telt)

De AP ontving in 2024 ruim 7.500 klachten en 37.839 datalekmeldingen. In datzelfde jaar rondde de AP rond de 20 uitgebreide onderzoeken af. De rekensom is helder: het overgrote deel leidt niet tot een formeel onderzoek of boete. Dat is geen toeval maar beleid.

De AP selecteert welke klachten verder worden onderzocht aan de hand van drie criteria. Ze zijn niet-cumulatief: één hoge score kan genoeg zijn, meerdere hoge scores maken verder onderzoek waarschijnlijker.

Impact voor het individu. Hoe ernstig is de overtreding, gaat het om gevoelige gegevens?
Impact voor de maatschappij. Hoeveel mensen zijn betrokken, is er een grensoverschrijdend element?
Doelmatigheid. Kan de AP met haar capaciteit hier structureel iets veranderen?

Concreet voor ZZP'ers en kleine MKB'ers: één incident rond één klant scoort op die drie criteria meestal laag. Dat verandert als je een patroon laat zien. Een klant die klaagt dat zijn inzageverzoek is genegeerd, en de AP ziet in jouw reactie dat dat bij meer klanten speelt, belandt ineens wél op de stapel.

De contra-intuïtieve les: de beste bescherming tegen een brief van de AP is niet laag-bij-de-gronds blijven. Het is verzoeken van klanten serieus nemen. Negen van de tien AP-dossiers tegen kleine organisaties beginnen als klacht, niet als eigen onderzoek.

Drie veelgemaakte fouten

Fout 1: te veel vertellen. De AP heeft iets specifieks gevraagd. Beantwoord dat, niet meer. Wie spontaan drie andere verwerkingen erbij gooit, geeft de AP nieuwe onderwerpen. Schrijf feitelijk en beknopt. Laat de context door je bewijsstukken doen, niet door extra alinea's.

Fout 2: zwijgrecht vergeten. Zodra de AP een bevoegdheid inzet met het oog op een boete (dus vanaf een voornemen), heb je zwijgrecht voor bestraffende vragen. De AP is verplicht je daarop te wijzen. Gebeurt dat niet, dan is dat een procedureel punt dat je bij bezwaar kunt gebruiken.

Fout 3: alleen herstellen, niet bewijzen. Je banner fixen is 20% van het werk. De andere 80% is aantonen dat je het structureel hebt opgelost: nieuwe policy, datum van implementatie, screenshot, verantwoordelijke binnen het bedrijf, en een check hoe je dit in de toekomst voorkomt. De AP sluit dossiers op structurele verbetering, niet op eenmalige lapwerk.

De eerlijke inschatting

Voor een gemiddelde ZZP'er of klein MKB is de kans op een boete in een willekeurig jaar klein. Het risico zit op twee plekken: in een klacht van een eigen klant, en in meedoen aan een branchebrede campagne (cookies, nieuwsbrieven, inzageverzoeken). Beide risico's zijn te managen.

Als er een brief ligt: lees rustig, identificeer het type, reageer binnen de termijn, en fix het onderliggende probleem met bewijs. Dat is in de meeste gevallen het einde van het verhaal.

Wil je voorkomen dat er ooit een komt? Zorg dat je AVG-basis op orde is, behandel klantverzoeken binnen een maand, en meld datalekken op tijd. Wie die drie dingen goed doet, zit zelden in het dossier van de AP.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.