AVG Boetes in Nederland: Echte Zaken en Bedragen

De AVG is sinds mei 2018 van kracht. In de eerste jaren was de Autoriteit Persoonsgegevens (AP) terughoudend met boetes. Die tijd is voorbij. Sinds 2021 deelt de AP structureel boetes uit, ook aan kleinere organisaties. In 2025 alleen al legde de AP meer dan 200 waarschuwingen op aan websites met verkeerde cookiebanners.

Dit artikel geeft je een compleet overzicht: hoe de AP boetes bepaalt, welke bedragen er zijn uitgedeeld en wat de meestvoorkomende overtredingen zijn bij mkb-websites. Geen juridisch jargon, maar concrete zaken en bedragen.

Hoe de AP boetes bepaalt

De Autoriteit Persoonsgegevens volgt de boeterichtsnoeren van het Europees Comite voor gegevensbescherming (EDPB). Ze kijken naar een reeks factoren om de hoogte van een boete vast te stellen.

Ernst van de overtreding

De zwaarste factor. Gaat het om een verkeerd geplaatste cookie of om het lekken van medische dossiers? Hoe gevoeliger de gegevens en hoe meer mensen geraakt, hoe hoger de boete.

Duur van de overtreding

Een probleem dat al twee jaar speelt weegt zwaarder dan iets dat vorige week is ontstaan. De AP kijkt naar wanneer de overtreding begon en of je redelijkerwijs eerder had kunnen ingrijpen.

Opzet of nalatigheid

Was het een bewuste keuze om de regels te negeren, of een onbewuste fout? Opzettelijke overtredingen leiden tot hogere boetes. Onwetendheid is geen excuus: als ondernemer word je geacht de regels te kennen.

Medewerking aan het onderzoek

Werk je mee met de AP en los je problemen proactief op? Dan kan dat de boete verlagen. Werk je tegen of reageer je niet op brieven? Dan gaat het bedrag omhoog.

Eerdere overtredingen

Een eerste overtreding leidt meestal tot een waarschuwing. Bij herhaling wordt de AP strenger. Ze houden een dossier bij van elk bedrijf dat ze hebben aangesproken.

Categorie persoonsgegevens

Bijzondere persoonsgegevens (gezondheid, religie, strafrechtelijke gegevens) worden zwaarder bestraft dan reguliere gegevens zoals naam en e-mailadres.

Boetecategorieen: licht vs. zwaar

De AVG kent twee categorieen overtredingen, elk met een eigen maximumboete.

Categorie 1: tot 10 miljoen euro of 2% van de jaaromzet

Dit zijn overtredingen van de organisatorische verplichtingen:

• Geen verwerkingsregister bijhouden
• Geen verwerkersovereenkomst met leveranciers
• Geen functionaris gegevensbescherming aangesteld terwijl dat verplicht is
• Niet melden van een datalek bij de AP (binnen 72 uur)
• Onvoldoende beveiligingsmaatregelen

Categorie 2: tot 20 miljoen euro of 4% van de jaaromzet

Dit zijn overtredingen van de kernbeginselen en rechten van betrokkenen:

• Verwerking zonder rechtmatige grondslag (geen toestemming, geen gerechtvaardigd belang)
• Schending van de rechten van betrokkenen (inzage, verwijdering, correctie)
• Onrechtmatige doorgifte van persoonsgegevens naar landen buiten de EU
• Ontbrekende of ontoereikende privacyverklaring
• Cookies plaatsen zonder geldige toestemming

In de praktijk liggen boetes voor mkb-bedrijven ver onder deze maxima. Maar "ver onder" is relatief: een boete van 25.000 euro is voor een klein bedrijf een flinke klap.

Echte Nederlandse boetes: 10 zaken

Hieronder staan tien concrete zaken van de Autoriteit Persoonsgegevens. Dit zijn geen theoretische voorbeelden, maar echte boetes en sancties.

1. Tandartspraktijk - 12.000 euro

Een tandartspraktijk in Den Haag kreeg een boete van 12.000 euro. De praktijk had geen afdoende privacybeleid en geen verwerkingsregister. Patientgegevens werden gedeeld met een externe partij zonder verwerkersovereenkomst. De AP concludeerde dat de praktijk onvoldoende maatregelen had genomen om medische gegevens te beschermen.

2. OLVG ziekenhuis - 440.000 euro

Het OLVG in Amsterdam kreeg in 2021 een boete van 440.000 euro. De reden: onvoldoende controle op wie toegang had tot patientendossiers. Tientallen medewerkers konden dossiers inzien van patienten die ze niet behandelden. Het ziekenhuis had geen adequaat autorisatiebeleid en controleerde de logbestanden onvoldoende.

3. HagaZiekenhuis - 460.000 euro

Het HagaZiekenhuis in Den Haag kreeg een vergelijkbare boete: onvoldoende beveiliging van patientendossiers. Medewerkers bekeken het dossier van een realityster zonder medische noodzaak. Geen tweefactorauthenticatie, geen controle op toegangslogboeken.

4. Belastingdienst (zwarte lijst) - dwangsom tot 600.000 euro

De Belastingdienst hield jarenlang een onrechtmatige zwarte lijst bij met dubbele nationaliteiten als fraude-indicator. De AP legde een last onder dwangsom op van 100.000 euro per twee weken, tot een maximum van 600.000 euro.

5. Webshop zonder cookie consent - 15.000 euro dwangsom

Een Nederlandse webshop plaatste tracking-cookies van Google Analytics en Facebook zonder toestemming te vragen. Na een klacht van een consument startte de AP een onderzoek. De webshop kreeg een last onder dwangsom van 15.000 euro en een termijn van zes weken om een deugdelijke cookiebanner te plaatsen.

6. DPG Media - 525.000 euro

DPG Media (Volkskrant, AD) kreeg 525.000 euro boete. Het bedrijf vroeg lezers toestemming voor het delen van gegevens met adverteerders, maar weigerde dienstverlening als je niet akkoord ging. Dat is geen vrije toestemming. De AVG vereist een echte keuze.

7. Gemeente Enschede - 600.000 euro

De gemeente gebruikte wifi-tracking in het stadscentrum om bezoekersstromen te meten. MAC-adressen van telefoons van voorbijgangers werden verzameld zonder toestemming. Geen geldige grondslag, oordeelde de AP. Boete: 600.000 euro.

8. VoetbalTV - 575.000 euro

VoetbalTV filmde amateurvoetbalwedstrijden en zette beelden online. Geen rechtmatige grondslag voor het verwerken van beelden van herkenbare spelers en toeschouwers. De boete was 575.000 euro. Later door de rechter vernietigd op procedurele gronden, maar het toont de bereidheid van de AP om fors te beboeten.

9. Creditcard-betaalverwerker - 150.000 euro

Een creditcardbedrijf meldde een datalek te laat. Gegevens van meer dan 1.500 personen waren betrokken. De AVG schrijft voor dat je een datalek binnen 72 uur meldt. Het bedrijf wachtte weken. Boete: 150.000 euro.

10. Bureau Krediet Registratie - waarschuwing

Het BKR kreeg een formele waarschuwing voor het onvoldoende faciliteren van inzageverzoeken. Consumenten kregen onvolledig of traag antwoord. Ook bekende organisaties worden aangepakt.

Waarschuwingen vs. boetes: het handhavingsproces

De AP springt niet meteen naar een boete. Het handhavingsproces verloopt in stappen.

Stap 1: Signaal of klacht

Het begint met een klacht van een consument, een melding van een datalek of een eigen onderzoek. De AP voert ook steekproeven uit, met name op cookiebanners en privacyverklaringen.

Stap 2: Informeel contact

De AP neemt contact op, geeft aan wat er mis is en biedt de kans om het op te lossen. Nog geen formele sanctie, maar neem het serieus. De AP noteert alles in je dossier.

Stap 3: Formele waarschuwing

Als het probleem niet wordt opgelost of als de AP vindt dat de overtreding serieus genoeg is, volgt een formele waarschuwing met een hersteltermijn. Meestal krijg je drie tot zes maanden om de boel op orde te brengen. In 2025 stuurde de AP meer dan 200 van deze waarschuwingen voor verkeerde cookiebanners.

Stap 4: Last onder dwangsom

Doe je na de waarschuwing nog niets? Dan legt de AP een last onder dwangsom op: een bedrag per dag of per week zolang je niet voldoet, tot een vastgesteld maximum.

Stap 5: Boete

In het uiterste geval volgt een boete. Dit gebeurt bij herhaalde overtredingen, bewuste nalatigheid of ernstige schendingen die veel mensen raken.

Bezwaar en beroep

Je kunt bezwaar maken bij de AP en daarna in beroep bij de rechter. Dat werkt soms (zie VoetbalTV), maar het is kostbaar en tijdrovend. Voorkomen is beter.

Meestvoorkomende overtredingen bij mkb-websites

De grote boetes halen het nieuws, maar de AP richt zich steeds meer op het mkb. Dit zijn de overtredingen die het vaakst voorkomen bij kleinere bedrijven.

1. Verkeerde cookiebanner

De nummer een. Je cookiebanner moet voldoen aan drie eisen: cookies worden pas geplaatst na toestemming, weigeren moet net zo makkelijk zijn als accepteren en vooraf aangevinkte opties tellen niet als toestemming. Lees meer in ons artikel over of je een cookiebanner nodig hebt.

2. Ontbrekende of onvolledige privacyverklaring

Veel mkb-websites hebben geen privacyverklaring, of een verklaring die onvolledig is. De meestvoorkomende gebreken: geen vermelding van bewaartermijnen, geen uitleg over de rechten van betrokkenen en geen vermelding van derde partijen die gegevens ontvangen.

3. Google Fonts extern laden

Laad je Google Fonts via de servers van Google? Dan stuurt elke bezoeker automatisch zijn IP-adres naar Google in de VS. Dat is een doorgifte van persoonsgegevens naar een derde land zonder geldige grondslag. De oplossing is simpel: host de fonts lokaal. In Duitsland zijn hiervoor al boetes uitgedeeld. De AP heeft dit punt op de radar.

4. Contactformulier zonder privacyverwijzing

Elk formulier dat persoonsgegevens verzamelt moet linken naar je privacyverklaring. Een kleine aanpassing die je in vijf minuten maakt.

5. Geen SSL-certificaat

Zonder HTTPS worden gegevens onversleuteld verstuurd. Artikel 32 van de AVG schrijft "passende technische maatregelen" voor. HTTPS is het absolute minimum.

6. Tracking zonder toestemming

Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight Tag: zonder voorafgaande toestemming mag je ze niet laden. Toch gebeurt het op de meerderheid van de Nederlandse mkb-websites.

7. Niet melden van datalekken

Een datalek hoeft geen hack te zijn. Een e-mail met klantgegevens naar de verkeerde persoon of een onbeveiligde back-up telt ook. Je moet elk datalek beoordelen en bij een hoog risico binnen 72 uur melden bij de AP.

Hoe je jezelf beschermt

Je hoeft geen privacyjurist in te huren om de basis op orde te krijgen. De meeste overtredingen gaan over zaken die je zelf kunt oplossen.

Stap 1: Scan je website

Begin met een scan die controleert op de meestvoorkomende problemen: cookies die te vroeg laden, ontbrekende privacyverklaring, onveilige verbindingen, externe fonts en tracking-scripts. Dat geeft je een concreet overzicht van wat er moet gebeuren.

Stap 2: Fix je cookiebanner

Zorg dat je cookiebanner correct werkt. Dat betekent: geen cookies voor toestemming, een duidelijke weiger-optie en geen dark patterns. Dit is het eerste waar de AP naar kijkt. Lees onze gids over cookiebanners voor de exacte eisen.

Stap 3: Schrijf een privacyverklaring

Gebruik onze gratis privacyverklaring generator of schrijf er zelf een op basis van de checklist wat erin moet staan. Zorg dat die bereikbaar is via de footer van elke pagina.

Stap 4: Controleer je derde partijen

Inventariseer alle externe scripts op je website. Staat elk in je privacyverklaring? Heb je verwerkersovereenkomsten? Wordt alles pas geladen na toestemming?

Stap 5: Neem de AVG-checklist door

Onze complete AVG-checklist voor ondernemers loopt alle verplichtingen af. In een halfuur weet je waar je staat. Gebruik die checklist elk kwartaal opnieuw.

Vergelijk: hoe doen andere landen het?

Benieuwd hoe AVG-boetes in Nederland zich verhouden tot de rest van Europa? In ons Engelstalige artikel over GDPR fines for small businesses vergelijken we de aanpak per land.

Veelgestelde vragen

Hoe hoog zijn AVG-boetes in Nederland?

De AVG kent boetes tot 20 miljoen euro of 4% van de jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk liggen boetes voor mkb-bedrijven tussen 1.000 en 50.000 euro. De AP begint vrijwel altijd met een waarschuwing voordat ze een boete opleggen. Maar die waarschuwing is geen vrijbrief om rustig aan te doen: als je niet binnen de gestelde termijn actie onderneemt, volgt een sanctie.

Heeft de AP ooit een klein bedrijf beboet?

Ja. Een tandartspraktijk in Den Haag kreeg 12.000 euro boete voor het ontbreken van een adequaat privacybeleid en verwerkingsregister. Een webshop kreeg een last onder dwangsom van 15.000 euro omdat tracking-cookies werden geplaatst zonder toestemming. De AP maakt geen onderscheid naar bedrijfsgrootte. Als je persoonsgegevens verwerkt, moet je aan de regels voldoen.

Kan ik een AVG-boete voorkomen?

Ja. De overgrote meerderheid van de boetes gaat over basiszaken die je zelf kunt oplossen: een ontbrekende of onvolledige privacyverklaring, een cookiebanner die niet correct werkt, tracking-scripts die laden zonder toestemming of onvoldoende beveiliging. Een scan van je website laat binnen een minuut zien waar de risico's zitten. De AP waardeert het als bedrijven proactief handelen. Dat kan het verschil maken tussen een waarschuwing en een boete.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.

Wil je weten of jouw website risico loopt op een AVG-boete? Scan je website gratis en krijg direct inzicht in cookies, tracking, privacyverklaring en beveiliging. Geen account nodig, resultaat in 60 seconden.