Nederlandse wetgeving inzake gegevensbescherming: AVG, UAVG en de Autoriteit Persoonsgegevens (2026)

De Nederlandse wetgeving inzake gegevensprivacy berust op twee instrumenten: de Europese AVG (Verordening (EU) 2016/679) en de nationale UAVG (Uitvoeringswet Algemene verordening gegevensbescherming, Stb. 2018, 144), beide van kracht sinds 25 mei 2018 en gehandhaafd door de Autoriteit Persoonsgegevens op grond van artikel 10 van de Grondwet.
Nederland handhaaft een van de meest actieve gegevensbeschermingsregimes van de Europese Unie. Het Nederlandse recht past de Algemene Verordening Gegevensbescherming rechtstreeks toe als Europees recht, vult deze aan met nationale wetgeving die op verschillende punten verder gaat dan de AVG, en ondersteunt beide instrumenten met een toezichthouder die heeft laten zien bereid te zijn enkele van de hoogste boetes uit de geschiedenis van de AVG op te leggen.
Deze gids behandelt het volledige juridische kader, de constitutionele grondslag, de verantwoordelijke toezichthouder, opvallende boetes en handhavingstrends, specifiek Nederlandse regels voor BSN-nummers, werknemersgegevens en cookies, plus de opkomende EU AI-verordening die de werkwijze van de AP ingrijpend verandert.
Informatie voor het laatst geverifieerd op 19 mei 2026. Dit artikel is nog niet beoordeeld door een advocaat.
Reikwijdte: Dit artikel behandelt de Nederlandse wetgeving inzake gegevensbescherming onder de Europese AVG (Verordening (EU) 2016/679) en de Nederlandse UAVG (Uitvoeringswet Algemene verordening gegevensbescherming, Stb. 2018, 144), met een toelichting op de EU AI-verordening en de Telecommunicatiewet. Het gaat niet uitgebreid in op sectorspecifiek Nederlands gezondheidsgegevensrecht. Voor het bredere EU-kader, zie onze gids over Europese wetgeving inzake gegevensbescherming.
Kort antwoord: welke wetgeving inzake gegevensbescherming geldt in Nederland?
Twee instrumenten vormen de kern van de Nederlandse wetgeving inzake gegevensbescherming. Ten eerste is de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679) rechtstreeks van toepassing als Europees recht in heel Nederland, zonder dat daarvoor een nationale omzettingsstap nodig is. Ten tweede vult de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) de onderdelen aan waarop de AVG de lidstaten ruimte laat om eigen regels vast te stellen. Beide instrumenten zijn op 25 mei 2018 in werking getreden. De Autoriteit Persoonsgegevens (AP), gevestigd in Den Haag, handhaaft beide. De AP handhaaft ook de Telecommunicatiewet (cookie- en trackingtoestemming), de Wet politiegegevens, en sinds 2025 de verboden praktijken onder de EU AI-verordening.
Constitutionele grondslag: artikel 10 van de Grondwet
Het recht op privacy is in Nederland een grondrecht, verankerd in artikel 10 van de Grondwet. Artikel 10 lid 1 waarborgt ieders recht op eerbiediging van zijn persoonlijke levenssfeer, behoudens bij of krachtens de wet te stellen beperkingen. Artikel 10 lid 2 verplicht de wetgever regels te stellen ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Artikel 10 lid 3 verplicht tot regels over het recht van betrokkenen om kennis te nemen van over hen vastgelegde gegevens en deze te laten verbeteren.
Deze grondwettelijke bepalingen betekenen dat elke beperking van het recht op privacy in Nederland moet berusten op een formele wettelijke grondslag. Zij hebben de vormgeving van de UAVG bepaald en verklaren waarom het Nederlandse recht voor de verwerking van het BSN wettelijke machtiging vereist, ook waar toestemming anders wellicht zou volstaan.
Nederland past daarnaast artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) en artikel 8 van het EU-Handvest van de grondrechten toe, die beide persoonsgegevens beschermen. Het Hof van Justitie van de EU heeft artikel 8 van het Handvest uitgelegd als een zelfstandig grondrecht op gegevensbescherming, los van het bredere recht op privacy.
De AVG en de UAVG: kader en samenhang
De AVG
De AVG vormt de basis voor alle verwerking van persoonsgegevens in Nederland. De kernvereisten omvatten:
- Rechtmatigheid, behoorlijkheid en transparantie (artikel 5 lid 1 sub a): verwerking moet berusten op een geldige grondslag en transparant zijn voor betrokkenen.
- Doelbinding (artikel 5 lid 1 sub b): voor één doel verzamelde gegevens mogen niet worden gebruikt voor onverenigbare doelen.
- Minimale gegevensverwerking (artikel 5 lid 1 sub c): alleen gegevens die noodzakelijk zijn voor het gestelde doel mogen worden verzameld.
- Juistheid (artikel 5 lid 1 sub d): persoonsgegevens moeten actueel worden gehouden en onjuistheden moeten worden gecorrigeerd.
- Opslagbeperking (artikel 5 lid 1 sub e): gegevens mogen niet langer worden bewaard dan noodzakelijk.
- Integriteit en vertrouwelijkheid (artikel 5 lid 1 sub f): passende beveiligingsmaatregelen zijn vereist.
- Verantwoordingsplicht (artikel 5 lid 2): verwerkingsverantwoordelijken moeten kunnen aantonen dat aan al het bovenstaande wordt voldaan.
De AVG onderscheidt zes rechtsgronden voor de verwerking van persoonsgegevens: toestemming (artikel 6 lid 1 sub a); uitvoering van een overeenkomst (artikel 6 lid 1 sub b); nakoming van een wettelijke verplichting (artikel 6 lid 1 sub c); bescherming van vitale belangen (artikel 6 lid 1 sub d); vervulling van een taak van algemeen belang (artikel 6 lid 1 sub e); en gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde (artikel 6 lid 1 sub f).
Waar de UAVG verder gaat
De AVG biedt de lidstaten op een aantal bepaalde punten ruimte, en Nederland heeft die ruimte gebruikt om strengere regels toe te voegen.
Toestemmingsleeftijd voor kinderen. Artikel 8 van de AVG staat lidstaten toe de digitale toestemmingsleeftijd vast te stellen tussen 13 en 16 jaar. Nederland koos voor het maximum: 16 jaar. Kinderen onder de 16 jaar kunnen niet zelf toestemming geven voor gegevensverwerking bij onlinediensten; een ouder of voogd moet die toestemming geven. Een voorstel tot wijziging van de UAVG zou kinderen vanaf 12 jaar de mogelijkheid geven om zelfstandig verzoeken als betrokkene in te dienen.
Beperkingen op het BSN. De UAVG voegt specifieke beperkingen toe aan de verwerking van het burgerservicenummer (BSN) die niet in de AVG voorkomen. Voor de verwerking van het BSN is uitdrukkelijke wettelijke machtiging vereist; individuele toestemming kan een ontbrekende wettelijke grondslag niet vervangen.
Bijzondere categorieën van gegevens. De artikelen 22 tot en met 30 van de UAVG bieden aanvullende uitzonderingen en waarborgen voor de verwerking van gevoelige gegevens, waaronder gezondheidsgegevens, biometrische gegevens en strafrechtelijke gegevens. Deze vullen het kader van artikel 9 van de AVG aan met Nederlandse wetgevende keuzes over evenredigheid.
Biometrische gegevens van werknemers. De UAVG staat werkgevers toe biometrische gegevens te verwerken, maar alleen wanneer dit noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Uitdrukkelijke toestemming alleen is in een arbeidsrelatie onvoldoende, omdat de machtsongelijkheid tussen werkgever en werknemer werkelijk vrije toestemming twijfelachtig maakt.
Zorg. De Wet gebruik burgerservicenummer in de zorg machtigt zorgaanbieders om het BSN te gebruiken voor patiëntidentificatie en sluit aan bij de AVG-verplichtingen, waardoor een gelaagd beschermingsregime voor zorggegevens ontstaat.
De Autoriteit Persoonsgegevens: structuur en bevoegdheden
De Autoriteit Persoonsgegevens (AP) is de Nederlandse nationale toezichthouder, ingesteld als onafhankelijk bestuursorgaan op grond van artikel 51 van de AVG. Zij heette voorheen het College bescherming persoonsgegevens (CBP), voordat zij in 2016 werd hernoemd, op een moment dat de AVG als verordening nog niet van toepassing was.
De AP houdt toezicht op: de AVG, de UAVG, de Telecommunicatiewet (ePrivacy / cookies), de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens, de bepalingen over verboden praktijken van de EU AI-verordening, en een reeks sectorspecifieke wetten.
Handhavingsbevoegdheden
De boetebevoegdheden van de AP volgen de tweeledige structuur van de AVG:
- Tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor schendingen van organisatorische verplichtingen, waaronder het niet aanstellen van een functionaris voor gegevensbescherming (FG), het niet bijhouden van een verwerkingsregister, en het niet uitvoeren van een verplichte gegevensbeschermingseffectbeoordeling (DPIA).
- Tot 20 miljoen euro of 4% van de wereldwijde jaaromzet voor schendingen van de kernbeginselen van gegevensbescherming, waaronder verwerking zonder rechtsgrondslag, schending van de rechten van betrokkenen, of internationale doorgifte van gegevens zonder passende waarborgen.
Naast boetes kan de AP waarschuwingen en berispingen geven, bindende bevelen opleggen om de verwerking in overeenstemming te brengen met de wet, en tijdelijke of permanente verwerkingsverboden opleggen. Zij kan ook dwangsommen opleggen bij voortdurende niet-naleving.
Handhavingsprioriteiten van de AP: 2024-2026
De AP organiseert haar toezicht rond vijf strategische aandachtsgebieden, die consistent zijn gebleven van 2024 tot en met haar strategisch plan 2026-2028:
- Algoritmes en kunstmatige intelligentie -- geautomatiseerde besluitvorming, algoritmische discriminatie en naleving van de AI-verordening.
- Big tech -- verantwoordingsplicht van grote technologiebedrijven, onder meer als leidende toezichthouder voor in de EU gevestigde multinationals.
- Vrijheid en veiligheid -- het afwegen van toezicht door overheid en particuliere partijen tegen privacyrechten.
- Datahandel en digitale overheid -- databrokers, onlinetracking en overheidsgegevenspraktijken.
- Digitale overheid -- doorlopend toezicht op algoritmes in de publieke sector.
De AP heeft onlinetracking in haar strategisch plan 2026-2028 expliciet geherclassificeerd als een vorm van massasurveillance. Zij heeft een geautomatiseerd scansysteem gebouwd dat jaarlijks ongeveer 10.000 Nederlandse websites controleert op naleving van de cookieregels en is van plan jaarlijks 500 organisaties te waarschuwen.
AP-jaarverslag 2025: kerncijfers
Het begin 2026 gepubliceerde jaarverslag 2025 van de AP laat een aanzienlijke toename van de handhavingsvraag zien:
- 44.374 meldingen van datalekken ontvangen in 2025, tegenover 37.839 in 2024.
- 13.000+ klachten en signalen van Nederlandse burgers, meer dan het dubbele van de 7.100 die in 2024 werden ontvangen.
- 83 nieuwe beroepszaken in 2025, een record, tegenover 72 in 2024 en 48 in 2023.
- Vier boetes opgelegd in 2025, tegenover zes in 2024, wat een strategische verschuiving naar alternatieve interventies weerspiegelt.
- Negen berispingen uitgevaardigd in 2025, tegenover zeven in 2024.
De AP merkte op dat de wachttijden voor de behandeling van klachten toenemen en dat structurele capaciteitsgroei nodig is om effectieve digitale rechtsbescherming voor Nederlandse ingezetenen te waarborgen.

Rechtsgronden en toestemming
Voor de verwerking van persoonsgegevens in Nederland is een van de zes rechtsgronden van artikel 6 AVG vereist. Voor de verwerking van bijzondere categorieën van gegevens (gezondheid, biometrische gegevens, genetische gegevens, raciale of etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van een vakbond, seksueel leven, of strafrechtelijke veroordelingen) is een aanvullende voorwaarde vereist op grond van artikel 9 van de AVG en de artikelen 22 tot en met 30 van de UAVG.
Toestemming moet naar Nederlands recht vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven. Waar toestemming de rechtsgrondslag is, moet het intrekken van toestemming even eenvoudig zijn als het geven ervan (artikel 7 lid 3 AVG). De AP heeft consequent geoordeeld dat vooraf aangevinkte hokjes, toestemming verkregen via cookiewalls, en gebundelde toestemming voor meerdere doeleinden niet aan deze norm voldoen.
Gerechtvaardigd belang (artikel 6 lid 1 sub f) vereist een drieledige toets: de verwerkingsverantwoordelijke moet een gerechtvaardigd belang nastreven; de verwerking moet noodzakelijk zijn voor dat belang; en het belang mag niet worden overschaduwd door de grondrechten en fundamentele vrijheden van de betrokkene. Deze belangenafweging is feitelijk van aard. Nederlandse rechters en de AP hebben benadrukt dat de grondslag gerechtvaardigd belang niet mag worden gebruikt om verplichtingen te omzeilen die onder andere grondslagen zouden gelden.
Algemeen belang (artikel 6 lid 1 sub e) is van toepassing op verwerking door de overheid. Nederlandse overheidsinstanties beroepen zich vaak op deze grondslag, maar de toeslagenaffaire toonde aan dat een beroep op de vervulling van een taak van algemeen belang de verwerking niet vrijwaart van toetsing aan de AVG wanneer de onderliggende verwerking discriminerend of disproportioneel is, of onvoldoende transparant.
Rechten van betrokkenen
Personen in Nederland beschikken over het volledige kader van AVG-rechten van betrokkenen, gehandhaafd door de AP:
- Recht op inzage (artikel 15 AVG): personen kunnen een kopie opvragen van alle persoonsgegevens die een organisatie over hen bewaart, en informatie over verwerkingsdoeleinden, ontvangers en bewaartermijnen.
- Recht op rectificatie (artikel 16 AVG): onjuiste persoonsgegevens moeten zonder onredelijke vertraging worden gecorrigeerd.
- Recht op vergetelheid (artikel 17 AVG): gegevens moeten worden gewist wanneer ze niet langer noodzakelijk zijn, wanneer toestemming wordt ingetrokken, of wanneer de verwerking onrechtmatig was.
- Recht op beperking van de verwerking (artikel 18 AVG): verwerking kan worden beperkt hangende een geschil over juistheid of rechtmatigheid.
- Recht op overdraagbaarheid van gegevens (artikel 20 AVG): personen kunnen hun gegevens ontvangen in een gestructureerd, machineleesbaar formaat wanneer de verwerking berust op toestemming of een overeenkomst.
- Recht van bezwaar (artikel 21 AVG): personen kunnen bezwaar maken tegen verwerking op grond van gerechtvaardigd belang of algemeen belang, en hebben een onvoorwaardelijk recht om bezwaar te maken tegen direct marketing.
- Rechten met betrekking tot geautomatiseerde besluitvorming (artikel 22 AVG): personen mogen niet worden onderworpen aan besluiten die uitsluitend zijn gebaseerd op geautomatiseerde verwerking en die rechtsgevolgen hebben of hen op vergelijkbare wijze in aanmerkelijke mate treffen, tenzij een van de uitzonderingen van artikel 22 van toepassing is.
Verwerkingsverantwoordelijken moeten binnen een maand reageren op verzoeken van betrokkenen. Het voorgenomen wijzigingsvoorstel voor de UAVG zou kinderen van 12 tot 15 jaar in staat stellen hun rechten als betrokkene zelfstandig uit te oefenen, zonder tussenkomst van hun ouders.
Meldplicht datalekken
Termijn en reikwijdte
Verwerkingsverantwoordelijken moeten de AP zonder onredelijke vertraging en uiterlijk binnen 72 uur na het ontdekken van een datalek op de hoogte stellen (artikel 33 AVG). Vindt de melding plaats na afloop van de termijn van 72 uur, dan moet de verwerkingsverantwoordelijke de redenen voor de vertraging toelichten.
Bij complexe incidenten, zoals ransomware-aanvallen, aanvaardt de AP eerste meldingen voordat het volledige beeld duidelijk is, met vervolgmeldingen zodra nieuwe informatie beschikbaar komt.
Melding aan de AP is verplicht, tenzij het datalek onwaarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In de praktijk moeten de meeste datalekken met onversleutelde persoonsgegevens worden gemeld. Indien het datalek een hoog risico inhoudt voor betrokkenen, moet de verwerkingsverantwoordelijke ook die betrokkenen zonder onredelijke vertraging rechtstreeks informeren (artikel 34 AVG).
Nederlandse meldingsvolumes
Nederland kent consequent een van de hoogste aantallen meldingen van datalekken binnen de EU. De 44.374 meldingen die de AP in 2025 ontving, vormen een aanzienlijke toename ten opzichte van 37.839 in 2024 en de ruim 33.000 die in eerdere jaren werden gemeld. Dit volume weerspiegelt zowel een sterke meldingscultuur als de handhaving door de AP tegen te late of onvolledige meldingen, het meest zichtbaar in de boete van 475.000 euro tegen Booking.com in 2021 wegens een vertraging van 22 dagen.

Vereisten voor de functionaris voor gegevensbescherming (FG)
Wanneer is een FG verplicht?
Bepaalde organisaties moeten een functionaris voor gegevensbescherming aanstellen op grond van artikel 37 van de AVG. In Nederland heeft de AP deze verplichte categorieën nader uitgewerkt:
- Overheidsorganen en publiekrechtelijke organisaties: alle centrale overheidsdiensten, gemeenten, provincies, zorginstellingen en onderwijsinstellingen. Rechtbanken zijn vrijgesteld op grond van artikel 37 lid 3.
- Organisaties waarvan de kernactiviteiten bestaan uit stelselmatige, grootschalige observatie van personen: hieronder vallen het exploiteren van camerabewakingssystemen, gps-trackingsystemen, personeelsmonitoringplatforms, gedragsprofilering voor commerciële doeleinden, en het op grote schaal monitoren van gezondheidsgegevens via wearables.
- Organisaties waarvan de kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens: gezondheidsgegevens, biometrische gegevens, strafrechtelijke gegevens, genetische gegevens, of gegevens waaruit ras of etnische afkomst blijkt.
Onafhankelijkheid en registratie van de FG
De FG moet zijn taken onafhankelijk kunnen uitvoeren. De AP specificeert dat de functies van financieel directeur, hoofd IT, hoofd HR, hoofd marketing en chief information security officer onverenigbaar zijn met de FG-functie, omdat zij betrokken zijn bij het bepalen van de doeleinden of middelen van de verwerking.
Organisaties die een FG aanstellen, moeten die aanstelling registreren bij de AP. De contactgegevens van de FG moeten worden gepubliceerd en worden meegedeeld aan de AP op grond van artikel 37 lid 7 AVG.
Internationale doorgifte van gegevens
Adequaatheidsbesluiten
Voor de doorgifte van persoonsgegevens vanuit Nederland naar derde landen is een doorgiftemechanisme vereist op grond van hoofdstuk V van de AVG. Voor doorgiften naar landen waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen, zijn geen aanvullende waarborgen vereist. Vanaf 2026 behoren hiertoe: Andorra, Argentinië, Canada (commerciële organisaties onder PIPEDA), de Faeröer, Guernsey, Israël, het eiland Man, Japan, Jersey, Nieuw-Zeeland, Zuid-Korea, Zwitserland, het Verenigd Koninkrijk, Uruguay, en de Verenigde Staten onder het EU-VS Data Privacy Framework.
Standaardcontractbepalingen
Voor doorgiften naar landen zonder adequaatheidsbesluit gebruiken organisaties doorgaans de standaardcontractbepalingen (SCC's) die de Europese Commissie op 4 juni 2021 heeft vastgesteld. De SCC's van 2021 omvatten vier modulaire sets voor doorgiften van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke, van verwerkingsverantwoordelijke naar verwerker, van verwerker naar verwerkingsverantwoordelijke, en van verwerker naar verwerker.
Transfer impact assessments
Naar aanleiding van het Schrems II-arrest (Data Protection Commissioner v Facebook Ireland Ltd, zaak C-311/18, HvJ EU 2020) moeten organisaties die zich op SCC's beroepen, transfer impact assessments (TIA's) uitvoeren om te beoordelen of de wetgeving van het ontvangende land bescherming biedt die in wezen gelijkwaardig is aan de EU-norm. De boete van 290 miljoen euro tegen Uber toont aan dat de AP schendingen bij doorgifte beschouwt als een van de ernstigste AVG-overtredingen.
Belangrijke handhavingsacties van de AP
Uber: 290 miljoen euro (2024)
Op 26 augustus 2024 kondigde de AP een boete van 290 miljoen euro tegen Uber Technologies Inc. aan wegens het overdragen van persoonsgegevens van Europese chauffeurs naar de Verenigde Staten zonder passende waarborgen, gedurende meer dan twee jaar nadat het Hof van Justitie in 2020 het Privacy Shield ongeldig had verklaard. De gegevens omvatten accountgegevens, taxivergunningen, locatiegegevens, foto's, betaalgegevens, identiteitsdocumenten en in sommige gevallen strafrechtelijke en medische gegevens van chauffeurs.
Uber stopte vanaf augustus 2021 met het gebruik van standaardcontractbepalingen, waardoor de doorgegeven gegevens zonder enig AVG-conform doorgiftemechanisme kwamen te staan. De AP trad op als leidende toezichthouder omdat het Europese hoofdkantoor van Uber in Amsterdam is gevestigd. Dit was de derde boete van de Nederlandse toezichthouder voor Uber: 600.000 euro in 2018 en 10 miljoen euro in 2023 gingen aan de boete van 2024 vooraf.
Clearview AI: 30,5 miljoen euro (2024)
De AP legde Clearview AI een boete van 30,5 miljoen euro op op 3 september 2024 wegens het opbouwen van een illegale gezichtsherkenningsdatabase. Clearview verzamelde meer dan 30 miljard foto's van internet en zette elk gezicht om in een unieke biometrische code, zonder toestemming of rechtsgrondslag. De AP stelde schendingen vast van het verbod op het verwerken van biometrische gegevens zonder een geldige grondslag onder artikel 9, tekortkomingen in de transparantie naar betrokkenen, en een weigering om mee te werken aan verzoeken om inzage. Naast de boete legde de AP dwangsommen op tot 5,1 miljoen euro bij voortdurende niet-naleving en vaardigde zij vier handhavingsbevelen uit die Clearview verplichtten haar activiteiten in de EU te staken. De Library of Congress meldde het besluit als een van de hoogste boetes ooit opgelegd voor schendingen met betrekking tot biometrische gegevens in de EU.
Netflix: 4,75 miljoen euro (2024)
De AP legde Netflix een boete van 4,75 miljoen euro op wegens het niet voldoende informeren van klanten over haar gegevensverwerkingspraktijken tussen 2018 en 2020. Netflix legde niet duidelijk uit wat de rechtsgrondslag was voor het verzamelen van persoonsgegevens, welke derde partijen gegevens ontvingen, of hoe persoonsgegevens die buiten Europa werden doorgegeven, werden beschermd. Het onderzoek kwam voort uit klachten van de Oostenrijkse privacyorganisatie noyb. Netflix, dat voor Europese doeleinden in Amsterdam is gevestigd, ging in beroep tegen het besluit.
A.S. Watson: 600.000 euro (2025)
De AP legde A.S. Watson een boete van 600.000 euro op wegens het plaatsen van trackingcookies zonder toestemming op webpagina's over persoonlijke gezondheidsproducten. Deze handhavingsactie maakt deel uit van de systematische cookienalevingscampagne van de AP, waarbij zij jaarlijks ongeveer 10.000 Nederlandse websites controleert en oplopende waarschuwingen geeft voordat zij boetes oplegt.
Coolblue: 40.000 euro (2025)
De AP legde Coolblue een boete van 40.000 euro op wegens het plaatsen van trackingcookies en het verzamelen van persoonsgegevens zonder geldige toestemming. De boete weerspiegelt het gedifferentieerde handhavingsmodel van de AP, afgestemd op de omvang en ernst van de organisatie.
Belastingdienst: 3,7 miljoen euro (2022) en 2,75 miljoen euro (2021)
De AP legde haar destijds hoogste boete van 3,7 miljoen euro op aan de Belastingdienst wegens het bijhouden van een illegale zwarte lijst voor fraudedetectie, en een aparte boete van 2,75 miljoen euro wegens discriminerende verwerking van gegevens over dubbele nationaliteit in het kinderopvangtoeslagensysteem.
Experian: 2,7 miljoen euro (2025)
De AP legde Experian een boete op wegens het samenstellen van kredietwaardigheidsrapporten met behulp van grote hoeveelheden persoonsgegevens zonder personen te informeren dat zij werden beoordeeld, en stelde zowel het ontbreken van een geldige rechtsgrondslag als het niet voldoen aan de transparantieverplichting van artikel 14 vast.
Booking.com: 475.000 euro (2021)
De AP legde Booking.com een boete van 475.000 euro op wegens het 22 dagen te laat melden van een datalek na de termijn van 72 uur.
Boetes in een oogopslag
| Organisatie | Boete | Jaar | Overtreding |
|---|---|---|---|
| Uber | 290 miljoen euro | 2024 | Internationale doorgifte zonder waarborgen |
| Clearview AI | 30,5 miljoen euro | 2024 | Illegale biometrische database |
| Uber | 10 miljoen euro | 2023 | Schendingen van gegevensbescherming |
| Netflix | 4,75 miljoen euro | 2024 | Onvoldoende transparantie |
| Belastingdienst | 3,7 miljoen euro | 2022 | Illegale zwarte lijst voor fraudedetectie |
| Belastingdienst | 2,75 miljoen euro | 2021 | Discriminerende verwerking op basis van nationaliteit |
| Experian | 2,7 miljoen euro | 2025 | Onrechtmatige kredietprofilering |
| A.S. Watson | 600.000 euro | 2025 | Trackingcookies op gezondheidspagina's zonder toestemming |
| Uber | 600.000 euro | 2018 | Nalatigheid bij meldplicht datalekken |
| Booking.com | 475.000 euro | 2021 | Te late melding van datalek (22 dagen) |
| KNLTB | 250.000 euro | 2025 | Onrechtmatige gegevensdeling (geschikt) |
| Coolblue | 40.000 euro | 2025 | Trackingcookies zonder toestemming |
De toeslagenaffaire: algoritmische discriminatie en overheidsmisbruik van gegevens
De Nederlandse kinderopvangtoeslagenaffaire, de toeslagenaffaire, is een van de ernstigste voorbeelden van overheidsmisbruik van gegevens in de Europese geschiedenis. De Belastingdienst gebruikte een machine-learningalgoritme om aanvragers van kinderopvangtoeslag als mogelijke fraudeurs aan te merken. Het model steunde deels op nationaliteit als risico-indicator, waardoor personen met een dubbele nationaliteit, met name met een Turkse, Marokkaanse of Oost-Europese achtergrond, te maken kregen met een controle die niet in verhouding stond tot enig werkelijk fraurisico.
Tienduizenden gezinnen werden ten onrechte van fraude beschuldigd en gedwongen om toeslagen volledig terug te betalen. De terugvorderingen bedroegen gemiddeld 20.000 tot 60.000 euro en moesten onmiddellijk en volledig worden voldaan, zonder betalingsregelingen. Veel gezinnen kwamen in ernstige financiële problemen. Sommige ouders verloren de voogdij over hun kinderen. Meerdere zelfdodingen werden met de affaire in verband gebracht.
Een parlementaire enquête eind 2020 constateerde stelselmatige discriminatie en grootschalig onrecht onder opeenvolgende kabinetten. Het voltallige kabinet onder premier Mark Rutte trad op 15 januari 2021 af. In februari 2026 werden de Belastingdienst en de politie uitgeroepen tot de grootste privacyschenders van 2025, waarbij de AP vaststelde dat meer dan 50 algoritmes van de Belastingdienst nog altijd in strijd zijn met de AVG.
De toeslagenaffaire heeft rechtstreeks bijgedragen aan het besluit van de AP om een specifieke structuur voor algoritmisch toezicht op te zetten, en is een van de redenen waarom Nederland voorop loopt bij zowel de implementatie van de AI-verordening als de vereisten voor algoritmische effectbeoordelingen.

De EU AI-verordening en algoritmisch toezicht door de AP
De Directie Coördinatie Algoritmetoezicht (DCA)
Sinds 2023 beheert de AP een eigen Directie Coördinatie Algoritmetoezicht (DCA). De DCA brengt sectoroverstijgende algoritmische en AI-risico's in kaart, werkt samen met de Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders zoals de AFM (financiële markten) en DNB (centrale bank), en publiceert tweejaarlijks een Algoritmerisicorapport voor Nederland.
Het AP-rapport over algoritmes en AI uit 2024 riep op tot een nationaal masterplan om de toenemende algoritmische risico's te beheersen naarmate het gebruik van AI versnelt. Het rapport concludeerde dat AI- en algoritmerisico's waren toegenomen door het groeiende gebruik ervan, en riep op tot sterkere transparantieverplichtingen, verplichte auditkaders en duidelijkere governancenormen.
In 2025 richtte de DCA zich op: transparante algoritme-governance, standaardisatie van AI-risicobeoordelingen, nalevingsaudits, non-discriminatie bij geautomatiseerde besluiten, en AI-geletterdheid binnen Nederlandse organisaties.
Tijdlijn voor de implementatie van de EU AI-verordening
De EU AI-verordening (Verordening (EU) 2024/1689) is op 1 augustus 2024 in werking getreden. De implementatie volgt een gefaseerd schema:
- 2 februari 2025: verboden AI-praktijken worden EU-breed verboden. Dit omvat social scoring door overheidsinstanties, realtime biometrische identificatie op afstand in openbare ruimten door rechtshandhavingsinstanties (met beperkte uitzonderingen), subliminale manipulatie, en het uitbuiten van kwetsbaarheden. Ook verplichtingen op het gebied van AI-geletterdheid gaan gelden voor alle organisaties die AI-systemen inzetten.
- 2 augustus 2025: vereisten voor AI-modellen voor algemene doeleinden (GPAI's), waaronder grote taalmodellen. Aanbieders moeten technische documentatie bijhouden, voldoen aan het EU-auteursrecht, en samenvattingen van trainingsgegevens publiceren.
- 2 augustus 2026 (oorspronkelijk) / 2 december 2027 (verwacht): vereisten voor hoogrisico-AI-systemen. Het Europees Parlement heeft op 26 maart 2026 de Digital Omnibus aangenomen, met een voorstel om deze termijn uit te stellen van 2 augustus 2026 naar 2 december 2027 voor zelfstandige hoogrisico-AI en naar 2 augustus 2028 voor hoogrisico-AI die is ingebed in producten. De Raad en het Parlement bereikten in mei 2026 een voorlopig akkoord.
Nederlandse toezichtstructuur
Nederland heeft gekozen voor een hybride toezichtmodel met ongeveer tien marktoezichthouders, waarbij de AP de coördinatie via de DCA voert. Op 20 april 2026 is een voorstel voor een Nederlandse Uitvoeringswet AI-verordening gepubliceerd voor openbare consultatie. Nederland heeft de EU-deadline van augustus 2025 voor het formeel aanwijzen van nationale toezichthouders niet gehaald.
Aanbieders van hoogrisico-AI-systemen moeten risicobeheersystemen invoeren, technische documentatie en gebeurtenislogboeken bijhouden, en voldoen aan vereisten op het gebied van transparantie, nauwkeurigheid en cyberbeveiliging. Gebruikers van hoogrisico-AI moeten voorafgaand aan de inzet effectbeoordelingen op het gebied van grondrechten (FRIA's) uitvoeren, verplichtingen die overlappen met de DPIA-verplichting van de AVG.
Bescherming van het burgerservicenummer (BSN)
Het burgerservicenummer (BSN) is het nummer dat wordt toegekend aan iedere persoon die in Nederland is geregistreerd. Omdat het gegevens over overheid, zorg, belastingen en uitkeringen aan elkaar kan koppelen, behandelt het Nederlandse recht het als een gegeven dat bijzondere wettelijke bescherming behoeft.
Wettelijke machtiging vereist
Op grond van de Wet algemene bepalingen burgerservicenummer en de UAVG mag het BSN alleen worden verwerkt wanneer een specifieke Nederlandse wet daartoe machtigt. Individuele toestemming is niet voldoende om een rechtmatige grondslag te scheppen, ook niet als deze vrijwillig wordt gegeven.
Gemachtigde gebruikers zijn onder meer:
- Overheidsinstanties, wanneer noodzakelijk voor publieke taken, op grond van artikel 10 van de Wet algemene bepalingen burgerservicenummer.
- Zorgorganisaties, op grond van de Wet gebruik burgerservicenummer in de zorg.
- Onderwijsinstellingen, op grond van de toepasselijke onderwijswetgeving.
- Digitale verkoopplatforms (sinds januari 2024), op grond van EU-regelgeving die het verzamelen van identificatiegegevens van verkopers, waaronder het BSN, voor belastingrapportage vereist, onder verzwaarde vereisten voor beveiliging en doelbinding.
Particuliere bedrijven buiten deze categorieën hebben geen rechtsgrondslag om het BSN op te vragen, vast te leggen of op te slaan. De AP heeft richtsnoeren gepubliceerd waarin wordt gespecificeerd dat zelfs als een persoon vrijwillig zijn BSN aanbiedt, een organisatie zonder de vereiste wettelijke machtiging dit niet mag verwerken.
Werknemersgegevens en privacy op de werkvloer
Het Nederlandse recht stelt specifieke grenzen aan gegevensverzameling en monitoring door werkgevers.
Monitoring en toezicht
Werkgevers mogen werknemers monitoren alleen wanneer een legitiem zakelijk belang zwaarder weegt dan de privacybelangen van de werknemers. Kernvereisten:
- Voorafgaande kennisgeving: werknemers moeten worden geïnformeerd voordat de monitoring begint, met inbegrip van het doel, de omvang en de gebruikte methoden.
- Proportionaliteit: minder ingrijpende alternatieven moeten de voorkeur krijgen.
- DPIA: grootschalige of stelselmatige monitoring, waaronder gps-tracking, e-mailmonitoring en cameratoezicht, vereist doorgaans een gegevensbeschermingseffectbeoordeling.
- Instemming van de ondernemingsraad: als de organisatie een ondernemingsraad heeft, moet deze instemmen met regelingen voor monitoring. Zonder die instemming is monitoring ontoelaatbaar, ongeacht andere rechtvaardigingen.
Camerabeelden voor het beoordelen van de prestaties van werknemers zijn verboden. Verborgen camera's zijn in het algemeen onrechtmatig, tenzij ernstige diefstal of fraude wordt onderzocht, en zelfs dan alleen onder strikte voorwaarden. Beelden moeten binnen ongeveer vier weken worden gewist. Gps-systemen in bedrijfsvoertuigen mogen worden gebruikt voor routeplanning of voertuigbeveiliging, maar moeten worden beperkt tot werktijd, tenzij een rechtvaardiging voor 24-uurs monitoring bestaat.
Gezondheids- en biometrische gegevens
Werkgevers mogen gezondheidsgegevens van werknemers alleen verwerken wanneer dit noodzakelijk is voor re-integratie en begeleiding in verband met ziekte of arbeidsongeschiktheid. Een werkgever mag niet vragen waarom een werknemer ziek is; die informatie loopt via de bedrijfsarts, die alleen de aanpassingsinformatie meldt die de werkgever nodig heeft.
De UAVG staat werkgevers toe biometrische gegevens te verwerken, zoals vingerafdrukscanners voor toegang tot gebouwen, alleen wanneer dit noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Bestaat er een minder ingrijpend alternatief, zoals een badgesysteem, dan moet de werkgever dat alternatief gebruiken. Een DPIA en, waar van toepassing, instemming van de ondernemingsraad zijn vereist.
Cookietoestemming en de Telecommunicatiewet
De Telecommunicatiewet implementeert de Europese ePrivacy-richtlijn en regelt cookie- en trackingtoestemming in Nederland.
Voorafgaande, geïnformeerde toestemming is vereist voordat een niet-noodzakelijke cookie of vergelijkbare trackingtechnologie wordt geplaatst. Functionele cookies die noodzakelijk zijn voor communicatie of een aangevraagde dienst zijn vrijgesteld. Analytische cookies met een minimale impact op de privacy kunnen in aanmerking komen voor een vrijstelling wanneer zij op de juiste wijze zijn geconfigureerd en gegevens niet met derden worden gedeeld.
De AP heeft consequent geoordeeld dat cookiewalls, waarbij de toegang tot een website wordt geblokkeerd tenzij de gebruiker alle cookies accepteert, geen geldige toestemming vormen. Haar handhavingscampagne van 2025 waarschuwde meer dan 200 organisaties over niet-conforme cookiebanners; eind 2025 had driekwart daarvan de banners aangepast. De geautomatiseerde scaninfrastructuur van de AP controleert jaarlijks ongeveer 10.000 Nederlandse websites, met 500 beoogde waarschuwingen per jaar en boetes voor wie niet meewerkt.
De AP heeft specifieke richtsnoeren uitgevaardigd over Google Analytics, met de waarschuwing dat standaardconfiguraties zowel de Telecommunicatiewet als de AVG kunnen schenden vanwege gegevensdoorgiften naar de Verenigde Staten. Organisaties moeten analysetools zo configureren dat IP-adressen worden geanonimiseerd, functies voor gegevensdeling worden uitgeschakeld, en persoonsgegevens de EER niet zonder passende waarborgen verlaten.
Overtredingen van de cookie- en trackingregels onder de Telecommunicatiewet kunnen leiden tot boetes tot 900.000 euro of 10% van de jaaromzet. De boete van 600.000 euro tegen A.S. Watson in 2025 voor gezondheidsgerelateerde tracking toont actieve handhaving aan.
Recente ontwikkelingen (2024-2026)
Handhavingsgolf 2024: De AP legde in één jaar tijd boetes op van 290 miljoen euro aan Uber, 30,5 miljoen euro aan Clearview AI, en 4,75 miljoen euro aan Netflix, waarmee Nederland zich vestigde als een van de meest actieve AVG-handhavingsjurisdicties binnen de EU.
Cookienalevingscampagne (2025): De AP waarschuwde meer dan 200 organisaties over misleidende cookiebanners, legde A.S. Watson een boete van 600.000 euro en Coolblue een boete van 40.000 euro op, en breidde haar geautomatiseerde toezichtinfrastructuur verder uit tot 10.000 Nederlandse websites per jaar.
Cijfers uit het AP-jaarverslag 2025: 44.374 meldingen van datalekken (een stijging van 17% ten opzichte van 2024), 13.000+ klachten van burgers (het dubbele van het cijfer over 2024), en 83 beroepszaken (een record). De AP legde in 2025 slechts vier boetes op, maar maakte vaker gebruik van bindende bevelen en berispingen, wat wijst op een verschuiving naar snellere, bredere interventies in plaats van tijdrovende boeteprocedures.
Wijzigingsvoorstel UAVG (2026): de Nederlandse regering publiceerde een voorstel om de UAVG op 16 belangrijke punten te wijzigen, waaronder: het geven van de mogelijkheid aan kinderen van 12 tot 15 jaar om zelfstandig verzoeken als betrokkene in te dienen; het versmallen van het begrip strafrechtelijke persoonsgegevens naar aanleiding van een rechterlijke uitspraak; en het creëren van een nieuwe uitzondering voor accountants die bijzondere gegevens verwerken tijdens wettelijke controles. Het voorstel was in april 2026 in openbare consultatie.
Digital Omnibus van de EU AI-verordening (maart-mei 2026): het Europees Parlement heeft op 26 maart 2026 de Digital Omnibus aangenomen, met een voorstel om de toepassing van de vereisten voor hoogrisico-AI uit te stellen van 2 augustus 2026 naar 2 december 2027. De Raad en het Parlement bereikten in mei 2026 een voorlopig akkoord. Nederland, dat de deadline van augustus 2025 voor het formeel aanwijzen van AI-toezichthouders niet haalde, publiceerde op 20 april 2026 een conceptwetsvoorstel voor de nationale Uitvoeringswet AI-verordening voor consultatie.
Voortdurend toezicht op de Belastingdienst (2026): meer dan 50 algoritmes van de Belastingdienst blijven onder toezicht van de AP staan wat betreft naleving van de AVG. De Belastingdienst en de politie werden in februari 2026 uitgeroepen tot de grootste privacyschenders van 2025.
Zakelijke naleving: kernverplichtingen
Voor organisaties die in of gericht op Nederland actief zijn, gelden de volgende kernverplichtingen op het gebied van naleving:
- Verwerkingsregister: leg elke verwerkingsactiviteit vast met rechtsgrondslag, doel, categorieën van gegevens, ontvangers en bewaartermijn (artikel 30 AVG).
- Privacyverklaring: verstrek duidelijke, toegankelijke transparantie-informatie op grond van de artikelen 13-14 AVG.
- Procedure voor rechten van betrokkenen: een proces om verzoeken om inzage, rectificatie, wissing en overdraagbaarheid binnen een maand te behandelen.
- Melding van datalekken binnen 72 uur: een incidentresponsproces dat een eerste melding aan de AP binnen 72 uur mogelijk maakt.
- Aanstelling van een FG: beoordeel of een FG verplicht is; registreer elke aanstelling bij de AP.
- DPIA bij hoogrisicoverwerking: voer een gegevensbeschermingseffectbeoordeling uit voordat verwerking plaatsvindt die waarschijnlijk een hoog risico voor personen inhoudt. De AP publiceert een lijst van verwerkingstypen waarvoor altijd een DPIA vereist is.
- Doorgiftemechanisme voor doorgiften buiten de EER: controleer of elke internationale doorgifte een conform mechanisme heeft (adequaatheidsbesluit, SCC's, bindende bedrijfsvoorschriften) en bewaar TIA-documentatie.
- Naleving op het gebied van cookies: implementeer een conform platform voor toestemmingsbeheer; vermijd cookiewalls; configureer analysetools volgens de richtsnoeren van de AP.
- BSN-beperking: vraag, registreer of bewaar het BSN niet, tenzij een specifieke Nederlandse wet dit voor uw activiteit toestaat.
- Governance van AI en algoritmes: documenteer geautomatiseerde besluitvorming, voer DPIA's uit voor geautomatiseerde besluiten met aanmerkelijke gevolgen, en voldoe aan de rechten van artikel 22 AVG.
Voor een diepgaandere analyse van het EU-kader, zie ons overzicht van de Europese wetgeving inzake gegevensbescherming. Voor de regels voor toestemming bij opnames in Nederland, zie Nederlandse opnamewetgeving.
Geen juridisch advies. Dit artikel bevat algemene juridische informatie over de Nederlandse wetgeving inzake gegevensbescherming onder de AVG en de UAVG, geverifieerd op 19 mei 2026. De wetgeving verandert regelmatig en de AP publiceert doorlopend nieuwe richtsnoeren en handhavingsbesluiten. Raadpleeg een advocaat of privacyspecialist die in Nederland is toegelaten voor advies over uw specifieke situatie.
Frequently Asked Questions
Is de AVG rechtstreeks van toepassing in Nederland, of vervangt Nederlands recht deze?
De AVG is rechtstreeks van toepassing in Nederland als Europees recht en vereist geen nationale omzetting. De Nederlandse UAVG vult de AVG aan door gebruik te maken van de keuzevrijheid die de verordening aan de lidstaten biedt, zoals het vaststellen van de digitale toestemmingsleeftijd op 16 jaar (hoger dan het AVG-minimum van 13 jaar), het stellen van eisen van wettelijke machtiging voor de verwerking van het BSN, en het toevoegen van waarborgen voor biometrische gegevens van werknemers. Beide instrumenten worden gelijktijdig gehandhaafd door de Autoriteit Persoonsgegevens.
Wat is de AP, en welke bevoegdheden heeft zij?
De Autoriteit Persoonsgegevens (AP) is de Nederlandse nationale toezichthouder voor gegevensbescherming, ingesteld als onafhankelijk orgaan op grond van artikel 51 van de AVG. Zij onderzoekt klachten, controleert organisaties op eigen initiatief, geeft waarschuwingen, berispingen en bindende nalevingsbevelen, en legt boetes op tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De AP coördineert ook het algoritmisch en AI-toezicht via haar DCA-directie en handhaaft sinds februari 2025 de bepalingen over verboden praktijken van de EU AI-verordening.
Kan een Nederlandse werkgever werknemers verplichten vingerafdrukscanners te gebruiken?
Alleen onder strikte voorwaarden. De UAVG staat werkgevers toe biometrische gegevens te verwerken, maar alleen wanneer dit noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Bestaat er een minder ingrijpend alternatief, zoals een toegangssysteem op basis van een badge, dan moet de werkgever dat alternatief gebruiken. Een Nederlandse rechter legde een bedrijf een boete op omdat het vingerafdrukscans verplichtte terwijl badges beschikbaar waren. De werkgever moet ook een DPIA uitvoeren en, waar van toepassing, instemming van de ondernemingsraad verkrijgen voordat biometrische systemen worden ingevoerd.
Wat is het BSN, en wie mag het in Nederland verwerken?
Het burgerservicenummer (BSN) is het Nederlandse nummer dat wordt gebruikt binnen overheid, zorg, belastingen en uitkeringssystemen. Omdat het gegevens uit meerdere databases aan elkaar kan koppelen, beperkt het Nederlandse recht de verwerking ervan tot organisaties die daartoe door een specifieke wet zijn gemachtigd. Overheidsinstanties, zorgaanbieders, onderwijsinstellingen en (sinds januari 2024) digitale verkoopplatforms voor belastingrapportage zijn gemachtigd. Particuliere bedrijven buiten deze categorieën mogen het BSN niet opvragen of bewaren, ook niet als een persoon dit vrijwillig aanbiedt; individuele toestemming kan de ontbrekende wettelijke machtiging niet vervangen.
Wat zijn de regels voor de meldplicht datalekken in Nederland?
Verwerkingsverantwoordelijken moeten de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking van een datalek op de hoogte stellen, tenzij het datalek geen risico inhoudt voor de rechten en vrijheden van personen (artikel 33 AVG). Vindt de melding later dan 72 uur plaats, dan moet de verwerkingsverantwoordelijke de vertraging rechtvaardigen. Houdt het datalek een hoog risico voor personen in, dan moeten die personen ook rechtstreeks en zonder onredelijke vertraging worden geïnformeerd. De AP ontving in 2025 44.374 meldingen van datalekken, een van de hoogste aantallen binnen de EU. Booking.com kreeg een boete van 475.000 euro voor het 22 dagen te laat melden van een datalek.
Hoe reguleert Nederland cookietoestemming?
De Telecommunicatiewet (die de Europese ePrivacy-richtlijn implementeert) vereist voorafgaande, geïnformeerde toestemming voordat niet-noodzakelijke cookies worden geplaatst. Functionele cookies en op de juiste wijze geconfigureerde, privacyvriendelijke analysetools zijn vrijgesteld. Cookiewalls die toegang tot een website afhankelijk stellen van het accepteren van alle cookies, vormen volgens de richtsnoeren van de AP geen geldige toestemming. De AP controleert jaarlijks ongeveer 10.000 Nederlandse websites op naleving en waarschuwde in 2025 meer dan 200 organisaties. Overtredingen kunnen leiden tot boetes tot 900.000 euro of 10% van de jaaromzet.
Wat is het effect van de EU AI-verordening op Nederlandse organisaties?
De EU AI-verordening is in Nederland van toepassing als rechtstreeks werkend Europees recht. Verboden AI-praktijken zijn sinds 2 februari 2025 verboden. Vereisten voor AI-modellen voor algemene doeleinden gelden vanaf 2 augustus 2025. Vereisten voor hoogrisico-AI-systemen zouden oorspronkelijk vanaf 2 augustus 2026 gelden, maar de Digital Omnibus, waarover in mei 2026 een voorlopig akkoord werd bereikt, stelt uitstel voor tot 2 december 2027. De AP beheert de DCA, die het algoritmisch en AI-toezicht bij Nederlandse toezichthouders coördineert.
Wat is de toeslagenaffaire en wat betekende deze voor de Nederlandse gegevensbescherming?
De toeslagenaffaire is het Nederlandse kinderopvangtoeslagenschandaal waarbij de Belastingdienst een machine-learningalgoritme gebruikte dat personen met een dubbele nationaliteit aanmerkte als een hoger fraude risico, waardoor tienduizenden gezinnen ten onrechte werden verplicht toeslagen terug te betalen. Een parlementaire enquête leidde ertoe dat het kabinet-Rutte in januari 2021 aftrad. De AP legde de Belastingdienst een boete van 3,7 miljoen euro op wegens het bijhouden van een illegale zwarte lijst en een boete van 2,75 miljoen euro wegens discriminerende verwerking op basis van nationaliteit. In 2026 staan nog altijd meer dan 50 algoritmes van de Belastingdienst onder toezicht van de AP.
Sources and References
- EUR-Lex -- Algemene Verordening Gegevensbescherming (AVG)(eur-lex.europa.eu).gov
- Overheid.nl -- volledige tekst UAVG(wetten.overheid.nl).gov
- Autoriteit Persoonsgegevens -- overzicht privacywetgeving(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- boetes en andere sancties(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- jaarverslag 2025(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- boete Clearview AI (30,5 miljoen euro, 2024)(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- boete Uber 290 miljoen euro (2024)(autoriteitpersoonsgegevens.nl).gov
- EDPB -- Nederlandse toezichthouder legt Uber boete van 290 miljoen euro op(edpb.europa.eu).gov
- Autoriteit Persoonsgegevens -- boete Netflix 4,75 miljoen euro (2024)(autoriteitpersoonsgegevens.nl).gov
- EDPB -- Nederlandse toezichthouder beboet Booking.com voor te late melding datalek(edpb.europa.eu).gov
- Autoriteit Persoonsgegevens -- Belastingdienst onrechtmatig en discriminerend(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- melding van een datalek(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- vereisten functionaris voor gegevensbescherming(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- vereisten voor gebruik van het BSN(autoriteitpersoonsgegevens.nl).gov
- Rijksoverheid -- burgerservicenummer (BSN)(government.nl).gov
- Autoriteit Persoonsgegevens -- monitoring van werknemers(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- EU AI-verordening(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- DCA, Directie Coördinatie Algoritmetoezicht(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- eerste Algoritmerisicorapport Nederland(autoriteitpersoonsgegevens.nl).gov
- Autoriteit Persoonsgegevens -- internationale doorgiften: standaardcontractbepalingen(autoriteitpersoonsgegevens.nl).gov
- Library of Congress -- Nederland: Clearview AI beboet (2024)(loc.gov).gov
- Library of Congress -- Nederland: Uber zwaar beboet (2024)(loc.gov).gov
- EDPB -- Nederlandse toezichthouder legt Clearview boete op wegens illegale gegevens (2024)(edpb.europa.eu).gov
- Rijksoverheid -- kinderopvangtoeslagenaffaire(government.nl).gov
- NL Times -- Belastingdienst grootste privacyschender 2025 (februari 2026)(nltimes.nl)
- Raad van de EU -- akkoord over de Digital Omnibus van de AI-verordening (mei 2026)(consilium.europa.eu).gov
- Autoriteit Persoonsgegevens -- melding van een datalek(autoriteitpersoonsgegevens.nl).gov