Brief ontvangen van de Autoriteit Persoonsgegevens? Wanneer je als organisatie een brief ontvangt van de AP, is de eerste reactie vaak paniek. Begrijpelijk, want zo’n brief van de AP gaat meestal over onrechtmatige verwerking van persoonsgegevens of het ontbreken van geldige toestemming voor cookies en trackers.
Het voelt direct urgent en je wilt geen fouten maken in je reactie. Een verkeerde aanpak kan leiden tot hoge boetes, reputatieschade of vervolgonderzoek door de Autoriteit Persoonsgegevens.
In dit artikel leggen we uit wat je moet doen in de eerste dagen na het ontvangen van een AP brief, welke stappen cruciaal zijn en hoe je voorkomt dat je situatie verslechtert.
Stap 1: Begrijp de ontvangen brief van de Autoriteit Persoonsgegevens
Lees de brief zorgvuldig. De Autoriteit Persoonsgegevens gebruikt specifieke juridische termen die direct verwijzen naar overtredingen:
- “Toestemming ontbreekt” – Je website plaatst cookies zonder dat bezoekers hiervoor toestemming hebben gegeven
- “Onrechtmatige verwerking” – Persoonsgegevens worden verwerkt zonder geldige rechtsgrond
- “Cookies geplaatst zonder geldige keuze” – Je cookie banner werkt niet correct of misleidt gebruikers
Praktische tip: Maak een lijst van alle termen uit de brief en zorg dat je begrijpt wat ze betekenen voor jouw website. Dit helpt bij het formuleren van je reactie aan de AP.
Stap 2: Stel een crisisteam samen
Voordat je de Autoriteit Persoonsgegevens beantwoordt, moet je weten wat er feitelijk speelt op je website. Een AP brief vereist een interdisciplinaire aanpak:
IT/Marketing team:
- Controleert welke cookies en trackers actief zijn
- Test of de cookie banner correct werkt (vooral de “Weiger alles”-knop)
- Analyseert wanneer scripts en externe domeinen laden
Legal/Privacy Officer:
- Vertaalt de juridische terminologie van de Autoriteit Persoonsgegevens
- Controleert of er juridische grondslagen zijn voor gegevensverwerking
- Beoordeelt de ernst van de overtredingen
Communicatie/Management:
- Bewaakt de juiste toon in de reactie naar de AP
- Coördineert interne communicatie over de brief
- Besluit over externe juridische ondersteuning
Stap 3: Verzamel technisch bewijs en documentatie
De Autoriteit Persoonsgegevens wil concrete bewijzen, niet alleen verklaringen. Zorg dat je deze documenten snel verzamelt:
Technische documentatie:
- Screenshots van je cookie banner (verschillende browsers en mobiele devices)
- Audit rapporten die tonen welke cookies en trackers actief zijn
- Logs of analytics over wanneer scripts laden (vóór of na toestemming)
- Documentatie van je Tag Manager of CMS-instellingen
Juridische documentatie:
- Privacy beleid en cookie verklaring
- Verwerkersovereenkomsten met externe partijen (Google, Meta, etc.)
- Toestemmingsregistratie (indien beschikbaar)
Tip: Start met een website privacy audit zodra je een AP-brief ontvangt. Het rapport geeft je vooraf inzicht in de ernst van de situatie, een duidelijke to-do lijst én na afloop bewijs dat verbeteringen zijn doorgevoerd. Dit weegt mee bij de Autoriteit Persoonsgegevens.
Stap 4: Formuleer een zorgvuldige reactie
Een te snelle reactie kan meer schade veroorzaken. De Autoriteit Persoonsgegevens beoordeelt niet alleen wat je schrijft, maar ook of je de situatie écht begrijpt.
Structuur voor je AP reactie:
Erken de bevindingen (zonder meteen schuld toe te geven)
- “Wij hebben kennis genomen van uw bevindingen betreffende…”
Toon inzicht in het probleem
- Leg uit wat er technisch fout ging en waarom
Beschrijf uitgevoerde acties
- Welke concrete stappen heb je al genomen?
Presenteer je verbeterplan
- Hoe ga je herhaling voorkomen?
- Welke structurele maatregelen implementeer je?
Veelgemaakte fouten in AP reacties:
- Te defensieve toon zonder bewijs
- Vage beloftes zonder concrete planning
- Ontkennen zonder technische onderbouwing
- Te technische uitleg zonder duidelijke samenvatting
Stap 5: Implementeer duurzame compliance maatregelen
Een brief van de Autoriteit Persoonsgegevens is geen eenmalige gebeurtenis. De AP voert structureel hercontroles uit om te zien of organisaties hun problemen daadwerkelijk hebben opgelost.
Waarom één fix niet genoeg is:
- Websites veranderen continu door updates, nieuwe tools en marketingcampagnes
- Cookie banners kunnen breken na CMS- of Tag Manager-updates
- De AP monitort 10.000+ Nederlandse websites en kan je opnieuw controleren
Duurzame maatregelen:
- Periodieke audits (minimaal per kwartaal)
- Monitoring bij website wijzigingen
- Documentatie van alle compliance acties
- Training van je team over privacy compliance
Duurzame maatregelen:
- Periodieke audits (minimaal per kwartaal)
- Monitoring bij website wijzigingen
- Documentatie van alle compliance acties
- Training van je team over privacy compliance
Conclusie: Van paniek naar professionele aanpak
Ter conclusie, een brief ontvangen van de Autoriteit Persoonsgegevens is geen reden tot paniek, maar wel een duidelijk signaal dat je privacy processen aandacht nodig hebben.
Door systematisch te werk te gaan, van het begrijpen van de AP terminologie tot het implementeren van duurzame compliance, voorkom je dat de situatie escaleert tot een boete.
De sleutel tot succes: Toon de Autoriteit Persoonsgegevens dat je de problemen begrijpt, concrete acties onderneemt en structurele verbeteringen implementeert. Hulp nodig? Bekijk dan hier onze aanpak of plan vrijblijvend een gesprek met één van onze website privacy experts.
Wil je direct weten wat er speelt op jouw website? Start een gratis website privacy audit en krijg binnen 2 minuten een compleet overzicht van alle cookies, trackers en andere mogelijke privacy overtredingen die de AP op jouw website zou kunnen constateren.
Veel gestelde vragen over AP brieven (FAQ)
Hoeveel tijd heb ik om te reageren op een brief van de Autoriteit Persoonsgegevens?
In onze ervaring geeft de AP geeft meestal 3 maanden de tijd om aanpassingen door te voeren en te reageren. Dit kan echter korter zijn in sommige gevallen. De exacte deadline staat altijd in de brief vermeld. Overschrijding kan leiden tot extra druk of sancties.
Moet ik direct een advocaat inschakelen na een AP brief?
Niet altijd nodig. Voor technische problemen en praktische compliance volstaat vaak een privacy consultant. Bij complexe juridische zaken of dreigende boetes kan juridische ondersteuning wel waardevol zijn.
Wat gebeurt er als ik niet reageer op een brief van de AP?
Niet reageren wordt gezien als gebrek aan medewerking en vergroot de kans op een boete aanzienlijk. De AP kan dan direct overgaan tot formeel onderzoek.
Kan een website audit helpen bij mijn reactie aan de Autoriteit Persoonsgegevens?
Ja, een professionele audit geeft je concrete bewijzen over je website status. Dit kun je gebruiken in je reactie én het toont aan de AP dat je de situatie serieus neemt.
