De Autoriteit Persoonsgegevens is niet meer het bescheiden toetserend instituut van jaren terug. In 2026 is de AP een gebitelde handhaver geworden, voorzien van een uitgebreid budget, meer medewerkers en een expliciet doel: niet-naleving van de GDPR moet pijnlijk worden. Wereldwijd zijn GDPR-boetes inmiddels uitgegroeid tot meer dan 7,1 miljard euro. Nederland draagt daar flink aan bij.
Dit is een jaar waarin compliance niet langer iets is voor achteraf. De AP controleert actiever, waarschuwt sneller en gaat eerder over naar boetes. Organisaties die denken dat hun website en privacyprocessen wel “goed genoeg” zijn, zullen dat illlusie moeten loslaten.
De Autoriteit Persoonsgegevens handhaaft actiever
De Nederlandse Autoriteit Persoonsgegevens heeft in de afgelopen jaren aanzienlijk aan invloed en middelen gewonnen. Het budget is verhoogd, het personeelsbestand is uitgebreid en de ambitie is kristalhelder: effectief toezicht houden op naleving van de GDPR. Dit is geen theoretische posturing. De AP publiceert jaarlijks een enforcement roadmap waarin staat precies welke onderwerpen onder de loep gaan nemen.
Voor 2026 zijn de prioriteiten scherp gesteld. De AP gaat zich bijzonder concentreren op drie pijlers: transparantie (artikelen 12-14 GDPR), pre-consent tracking en cookie compliance. Dit zijn geen willekeurige keuzes. Dit zijn de gebieden waar organisaties massaal fout gaan. Een website met een onduidelijke privacyverklaring, scripts die al laden voordat iemand toestemming geeft, een Reject All knop die niet werkt? De AP ziet dit als speelwerk en handelt ernaar.
Het verschil met vorig decennium is voelbaar. Toen waren waarschuwingen en educatie het belangrijkste wapen. Nu is het duidelijk dat de AP veel eerder gaat escaleren naar formele handhavingsacties en daarmee gepaard gaande boetes.
Wat controleert de AP daadwerkelijk?
Laten we concreet worden. Een AP-onderzoeker bezoekt uw website. Wat gebeurt er?
Allereerst controleert men of scripts laden voordat er toestemming is gegeven. Dit noemen we pre-consent tracking. Als Google Analytics, Facebook Pixel, Hotjar of welk tracking-script dan ook al gegevens verzamelt voordat een bezoeker op “accepteren” klikt, dan is er sprake van een GDPR-schending. De AP kijkt naar de broncode van uw pagina. Scripts die load op page-init zijn een rode vlag.
Vervolgens wordt de Reject All knop getest. Werkt deze daadwerkelijk? Kan een bezoeker alle tracking en marketing cookies weigeren met één klik? Of moet men zich door een doolhof van keuzes heen klikken? Als afwijzen even makkelijk moet zijn als accepteren, maar uw cookie-bannner maakt afwijzen ingewikkelder, dan bent u niet compliant.
Een derde aandachtspunt is de actualiteit van uw privacyverklaring. Veel organisaties hebben een verklaring staan die drie jaar oud is. Inzake als welke gegevens voor welk doel worden verwerkt, hoe lang ze worden opgeslagen en op welke juridische basis dit gebeurt, moet up-to-date zijn. Verouderde privacyverklaringen zijn voor de AP een teken van verwaarlozing.
Ook kijkt men naar de basis voor gegevensverwerking. Is er echt toestemming, of hebt u die gewoon aangenomen? Voor marketingdoeleinden en tracking moet toestemming uitdrukkelijk worden gegeven. Stilzwijgende toestemming, of het aanvinken van voorgecheckte vakjes, is sinds de GDPR in werking trad al problematisch.
Ten slotte controleert de AP of ondernemingen daadwerkelijk kunnen voldoen aan verzoeken van personen: het recht op inzage, het recht op wissing, het recht op bezwaar. Dit zijn geen administratieve noodjes. Dit zijn kernrechten van de GDPR.
Recente AP-handhaving in Nederland
De AP handelt niet zomaar. Recente zaken laten zien hoe serieus dit is gemeend. In de telecomsector zijn aanzienlijke onderzoeken gestart naar contractuele datasturing en ongeautoriseerde verwerking. De AP heeft zich ook gericht op websites van gemeenten en publieke instellingen. De AP heeft meerdere onderzoeken afgerond waarbij websites en organisaties werden gewaarschuwd voor onvoldoende zorgvuldige verwerking van persoonsgegevens.
Dit zijn geen incidenten. Dit zijn signalen van een handhaver die zijn grip aantrekt. Voor elke waarschuwing die de AP uitspreekt, volgen vervolgacties. De huidige AP-voorzitter laat zich niet onbetuigd: naleving is geen kwestie van goedegeloof, naleving is een verplichting die wordt gecontroleerd en waar nodig afgedwongen.
Van waarschuwing naar boete
Hoe werkt het handhavingsproces eigenlijk? Meestal begint het met onderzoek. De AP stuurt een onderzoek in en eist informatie op. Organisaties hebben dan een bepaalde periode om te antwoorden. Deze periode gebruiken veel bedrijven veel te passief. Ze geven informatief antwoord, maar ondernemen geen daadwerkelijke maatregelen.
Vervolgens kan de AP een waarschuwing uitsturen. Dit is nog geen boete, maar wel een formele oproep om binnen bijvoorbeeld twee maanden zaken recht te zetten. Dit is het moment om echt in actie te komen. Organisaties die nu gaan denken “we kijken er volgende maand naar” begaan een fout.
Als er geen afdoende verbetering is wanneer de termijn verstrijkt, dan volgt een boete. Deze boete is niet een paar duizend euro. Voor grotere inbreuken kan dit uitlopen tot miljoenen. De GDPR voorziet boetes tot 20 miljoen euro of vier procent van de jaarlijkse wereldwijde omzet, welke van beide het grootst is.
Dit is niet theoretisch. Nederlandse bedrijven hebben al boetes gekregen van honderdduizenden tot miljoenen euro’s. En dit was met de AP van vijf jaar terug. De AP van nu is sterker en assertiever.
Hoe je in 2026 compliant wordt en blijft
Compliance is geen eenmalige checklist. Het is een continu proces. Dit begint bij uw technische implementatie. De cookie-banner moet rechtmatig zijn geconfigureerd. Scripts die tracking doen, mogen pas laden na daadwerkelijke toestemming. Uw privacyverklaring moet actueel zijn en de gegevensverwerking moet transparant zijn uitgelegd.
Het gaat echter veel verder. Uw organisatie moet een compliantiekultuur hebben. Dit betekent dat personen verantwoordelijk zijn voor naleving. Een Data Protection Officer is niet voldoende. Compliance moet ingebakken zitten in hoe uw website werkt, hoe uw marketing gebeurt, hoe u gegevens opslaat.
Nixon Platform helpt organisaties dit inzicht te verwezenlijken. Het platform geeft realtime inzicht in hoe uw gegevensverwerking plaatsvindt, waar risico’s liggen en welke stappen nodig zijn om compliant te zijn. Dit is geen eenmalige rapportage. Dit is een doorlopend systeem dat u helpt compliant te blijven.
Specifiek voor websites is Nixon Pro ontworpen. Met Nixon Pro kunt u uw website als de AP testen. Laadt die Google Analytics script al voordat toestemming is gegeven? Werkt de Reject All knop? Is uw privacyverklaring actueel? Nixon Pro geeft antwoord. Dit geeft u de kans om problemen te vinden voordat de AP dat doet.
Het wordt serieus in 2026
De boodschap is helder: compliance is geen optie meer in 2026. De AP krijgt meer middelen, meer bevoegdheden en een expliciete agenda. Organisaties die denken dat ze onder de radar kunnen varen, misleiden zichzelf.
Transparantie in de manier waarop u gegevens verwerkt is niet langer een nice-to-have. Het is een legal requirement waarvan naleving daadwerkelijk wordt gecontroleerd. De vraag is niet langer of u een handhavingsactie van de AP zult ondergaan. De vraag is enkel wanneer.
Begin vandaag. Controleer uw website. Zorg dat uw privacy-setup rechtmatig is. Maak uw privacyverklaring actueel. Zorg dat toestemming echt betekent toestemming. De AP kijkt. En in 2026 wordt het meer dan ooit nodig om dit serieus te nemen.
De Autoriteit Persoonsgegevens publiceert haar handhavingsprioriteiten en richtsnoeren op haar website. Het is de eerste plek om te kijken als u wilt begrijpen waar de AP zich op richt.
Lees ook: Cookie banner audit: werkt jouw banner echt? | GDPR privacyverklaring vereisten | Tracking before consent: waarom de meeste websites het fout doen
