De Autoriteit Persoonsgegevens (AP) wil burgers beschermen in de huidige digitale wereld, maar dat doet ze niet alleen met het uitdelen van boetes. Ze zoekt nadrukkelijker het gesprek met bedrijven, maatschappelijke organisaties en overheden. Ook probeerde ze vroegtijdig betrokken te zijn bij initiatieven om uitleg te geven over de privacyregels. ‘De AP helpt liever dan dat de AP straft.’
Meer klachten en datalekken, maar minder boetes
Het Jaarverslag 2025 laat zien dat de Autoriteit Persoonsgegevens meer het accent legt op waarschuwen, onderzoek, advies en voorlichting.
Voorbeeldfunctie overheid
De wijze waarop de overheid met persoonsgegevens omgaat, ligt in het bijzonder onder een vergrootglas. Vooral ook omdat het vaak verplicht is om gegevens af te staan aan de overheid. Hiernaast heeft de overheid een voorbeeldfunctie als het gaat om verantwoorde omgang met persoonsgegevens.
De AP waarschuwde dit jaar nadrukkelijk voor de risico’s van wetsvoorstellen die ruimte geven aan het verzamelen van online persoonsgegevens. Volgens de AP kan het leiden tot een ingrijpend en vrijwel volledig beeld van het privéleven van mensen, met grote impact op hun privacy en grondrechten.
Gemeenten konden dit jaar rekenen op steekproefsgewijze inspecties. De AP keek of er een actueel verwerkingsregister aanwezig was, of gemeenten vooraf privacyrisico’s onderzoeken (zoals met een DPIA) én of de verplichte functionaris gegevensbescherming (FG) daadwerkelijk onafhankelijk toezicht houdt.
Onderzoeken
In 2025 rondde de AP meerdere nationale en internationale onderzoeken af. Daarbij waren 22 complexere, grote nationale onderzoeken, waar uitgebreid feitenonderzoek nodig was om tot goed onderbouwde conclusies te komen, meer dan een verdubbeling ten opzichte van 2025. ‘Bij deze (feiten)onderzoeken gaat de AP steeds vaker in gesprek met organisaties, om mogelijke overtredingen van de AVG snel weg te nemen. Als een partij meewerkt en bereid is de nodige aanpassingen te doen, staat de AP open voor een gesprek.’ Wat overigens niet wil zeggen dat er bij ernstige overtredingen geen boetes worden uitgedeeld. Ook als organisaties niet mee willen werken, wordt vaak een boetetraject ingezet.
Aantal onderzoeken
© Jaarverslag AP 2025
Sneller werken door verkorten procedures
In 2025 legde de AP slechts viermaal een boete op; dat waren er in 2024 nog zes. Wel nam het aantal berispingen toe van zeven naar negen. Nieuw is dat drie maal een vereenvoudigde afdoeningsprocedure werd ingezet, waarmee de juridische procedure flink wordt verkort. In dit geval erkent de overtreder de geconstateerde overtreding, berust in het opleggen van een bestuurlijke boete en het feit dat de AP hierover publiceert. In ruil daarvoor verlaagt de AP de boete. De AP verwacht in de toekomst vaker gebruik te maken van dit handhavingsinstrument.
Aantal klachten flink toegenomen
In 2025 heeft de trend van steeds meer klachten en vragen zich doorgezet. De klachten en signalen zijn met 75 procent gestegen ten opzichte van 2024. ‘Mensen in Nederland en Europa weten de AP steeds beter te vinden en vragen hulp bij het uitoefenen van hun AVG-rechten’, schrijft de AP.
Aantal klachten en signalen
© Jaarverslag AP 2025
Om het tempo van afhandeling te verhogen is de AP in 2025 gestart met sneller telefonisch contact opnemen met mensen en organisaties om problemen direct op te lossen en uit te leggen wat de AP voor hen kan betekenen. ‘Ook intervenieert de AP steeds vaker via ‘toezichtbezoeken’ bij organisaties, om situaties die veel mensen raken in één keer te bespreken en op te lossen.’ ‘Ondanks deze inspanningen lopen de wachttijden op’, waarschuwt de AP.
Flink aantal datalekken
Het aantal nationale en internationale gemelde datalekken bij de AP steeg van 37.839 in 2024 naar 44.374 in 2025. Maar de impact van deze datalekken verschilt flink. Bijna driekwart van de datalekken ging over brieven en e-mails die niet bij de juiste personen terechtkwamen. Deze betroffen meestal maar een of enkele slachtoffers.
Aantal datalekken
© Jaarverslag AP 2025
Vijf procent van de datalekken werd veroorzaakt door een cyberaanval. ‘Deze datalekken hebben al gauw honderden tot soms wel meer dan een miljoen slachtoffers. Vanwege de kwade intentie van cyberaanvallers is de impact voor slachtoffers bijna altijd groot. Mensen lopen hierbij een verhoogd risico om slachtoffer te worden van identiteitsfraude of oplichting.’ Deze datalekken plaatst de AP in de categorie “verdiepend toezicht”. In totaal gaat het hier om circa 5300 gevallen.
In 25 van de gevallen heeft de AP nader onderzoek ingesteld. Dat doet de autoriteit alleen bij de datalekken die de grootste risico’s voor slachtoffers met zich meebrengen, bijvoorbeeld bij het lekken van veel financiële gegevens en NAW-gegevens, of als er sprake is van (grote) schade voor slachtoffers. ‘De AP stuurt meestal bij of toetst de te nemen beveiligingsmaatregelen. Soms legt de AP bij overtreding van de wet een boete op. Bijvoorbeeld omdat basismaatregelen niet op orde waren.’
Toename bezwaarprocedures
Een stijging van het aantal klachten gaat uiteraard gepaard met een groei van het aantal bezwaarprocedures. In 2025 heeft de afdeling Bezwaar 213 zaken afgehandeld, dat is een stijging van 26 procent ten opzichte van 2024 en 85 procent ten opzichte van 2023.
Het aantal nieuwe beroepszaken bereikte in 2025 een recordhoogte van 83, schrijft de AP. Ten opzichte van 2024 (72) is dat een stijging van 15 procent en ten opzichte van 2023 (48) een stijging van 73 procent.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.