BLOG: AVG in de praktijk: kleine handelingen, grote risico’s in het hoger onderwijs, Nederland versus Duitsland

woensdag 20 mei 2026

499 boetes versus 4. Wat zegt dat over ons?

Stel je twee landen voor die dezelfde privacywet hanteren, maar op heel verschillende manieren. In 2025 legden de gezamenlijke Duitse toezichthouders maar liefst 499 boetes op voor een totaalbedrag van ruim
€48 miljoen. Nederland? Slechts 4 boetes.^1.Dezelfde AVG, hetzelfde juridische kader, maar toch een wereld van verschil in handhaving. Hoe is dit mogelijk?

Nederland: preventie eerst?

Nederland staat bekend om een proactieve benadering van privacy compliance. De nadruk ligt op bewustwording, beleid en het vooraf inrichten van processen. De Autoriteit Persoonsgegevens (AP) benadrukt dat organisaties via het accountability-principe (verantwoordingsplicht) moeten kunnen aantonen dat zij compliant zijn onder andere door middel van verwerkingsregisters, DPIA's en een privacybeleid.² Die boodschap landt in Nederland steeds vaker proactief in beleid en systemen voordat er iets misgaat.

Duitsland: meer handhaving?

Ook Duitsland kent een proactieve privacy cultuur. Net als in de rest van de EU worden organisaties geacht te investeren in interne compliance, documentatie en medewerkerstraining. Zo wijst de Universität Duisburg-Essen erop dat berichtendiensten zoals WhatsApp geen vertrouwelijkheid garanderen en dat gegevens buiten Europese regelgeving kunnen worden verwerkt.³ De Universität Stuttgart stelt dat zij geen invloed heeft op de manier waarop WhatsApp persoonsgegevens verwerkt.⁴
Toch verschilt de aanpak structureel van die in Nederland. Duitsland telt niet één, maar 17 onafhankelijke toezichthouders, één federale en 16 op deelstaatniveau. ^{5 6} Die gedecentraliseerde structuur volgt rechtstreeks uit de federale opbouw van Duitsland en zorgt voor aanzienlijk meer handhavingscapaciteit dan in landen met één centrale toezichthouder zoals Nederland.⁷ Waar Nederland medewerkers actief en expliciet oproept om WhatsApp te vermijden, zoals Leiden University deed in februari 2025,⁸ zijn het in Duitsland vaker de toezichthouders die ingrijpen wanneer regels worden overtreden.

Waar het in de praktijk misgaat

Want ondertussen gaat het in de dagelijkse praktijk van het hoger onderwijs regelmatig mis. Uit gesprekken met professionals in het hoger onderwijs blijkt bijvoorbeeld dat studentgegevens zoals namen, cijfers en inschrijfnummers soms worden opgeslagen op USB-sticks die kwijtraken, en dat medewerkers studenten bespreken via WhatsApp-groepen buiten het zicht van de organisatie. Bestanden worden gedeeld via tools waarvan onduidelijk is wat er met de gegevens gebeurt. Juist omdat dit soort handelingen praktisch en alledaags aanvoelen, worden de privacyrisico's onderschat. Dit speelt in zowel Nederland als Duitsland en de cijfers van de EDPB laten zien dat ook in Duitsland de gevolgen reëel zijn wanneer het misgaat.⁹

Wat vraagt dit van onderwijsinstellingen en andere organisaties?

De vergelijking laat zien dat het verschil niet zozeer in de regels zit, maar in de mogelijkheid om te handhaven. Met 17 toezichthouders heeft Duitsland meer capaciteit om op te treden. Het relatief lage aantal boetes in Nederland hangt mede samen met de beperkte capaciteit van de AP.¹⁰Dat roept een terechte vraag op: is bewustwording alleen voldoende of is ook zichtbare handhaving nodig om echt een verschil te maken?
Voor onderwijsinstellingen en andere organisaties betekent dit in ieder geval dat AVG-compliance niet alleen draait om beleid en documentatie, maar juist om gedrag in de dagelijkse praktijk. Als veilige en gebruiksvriendelijke alternatieven ontbreken, zullen medewerkers sneller terugvallen op oplossingen die praktisch zijn, maar niet altijd zijn toegestaan. Bewustwording hierover binnen organisaties is daarom net zo belangrijk als het hebben van de juiste tools.

Bijlagen
(alle bijlagen zijn geraadpleegd in april 2026)

^{1 European Data Protection Board (EDPB), Annual Report 2025, p. 31. <https://www.edpb.europa.eu/our...>}
^{2 Autoriteit Persoonsgegevens (AP), Verantwoordingsplicht, <https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verantwoordingsplicht>}
^{3 Universität Duisburg-Essen, Privacy Policy <https://www.uni-due.de/agbovensiepen/privacy-policy.php>}
^{4 Universität Stuttgart, WhatsApp notifications. Privacy policy regarding the use of the University of Stuttgart's WhatsApp channel <https://www.uni-stuttgart.de/d...;}
^{5 Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Zuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) <https://www.bfdi.bund.de/DE/Bu...;}
^{6 BfDI, Contact with the state authorities<https://www.bfdi.bund.de/DE/Se...;}
^{7 AP), Organisatie van de AP <https://www.autoriteitpersoons...;}
^{8 Universiteit Leiden, Do not use WhatsApp for business messages, 11 februari 2025 <https://www.staff.universiteit...;}
^{9 EDPB, Annual Report 2025, p. 31. <https://www.edpb.europa.eu/our...;}
^{10 AP, Jaarplan 2025 <https://www.autoriteitpersoons...;}

Wilt u meer weten over hoe uw organisatie omgaat met privacy en informatiebeveiliging?

L2P helpt organisaties om privacyvraagstukken concreet te maken en te vertalen naar de praktijk.

Bel 026 - 848 3118 Stuur een bericht