Ja, u moet een datalek melden als het incident waarschijnlijk risico oplevert voor de rechten en vrijheden van betrokkenen. In dat geval meldt u het meestal binnen 72 uur bij de Autoriteit Persoonsgegevens. Is het risico hoog, dan informeert u ook de mensen van wie de gegevens zijn geraakt. De praktische aanpak is steeds hetzelfde: stop het lek, onderzoek wat er is gebeurd, beoordeel het risico, meld op tijd en leg alles vast. In dit artikel leest u stap voor stap hoe dat werkt.
- Een incident met persoonsgegevens is niet altijd meldplichtig, maar moet wel altijd beoordeeld en meestal geregistreerd worden.
- De 72 uur-termijn start zodra uw organisatie redelijkerwijs weet dat persoonsgegevens zijn geraakt.
- Bij een waarschijnlijk risico meldt u het incident bij de Autoriteit Persoonsgegevens.
- Bij een hoog risico moet u ook betrokkenen duidelijk en snel informeren.
- Goede documentatie, een intern draaiboek en snelle besluitvorming beperken schade en compliance-risico’s.
Wat is een datalek?
Een datalek is een inbreuk op persoonsgegevens. Dat betekent dat persoonsgegevens zijn verloren, gewijzigd, vernietigd of ingezien door iemand die daar geen recht op had. Het gaat dus om meer dan alleen een hack of cyberaanval.
Volgens de AVG is sprake van een datalek wanneer de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens is aangetast. Dat kan technisch ontstaan, maar ook door een menselijke fout of een slecht proces.
Voorbeelden van datalekken
Veelvoorkomende situaties zijn:
- een medewerker verstuurt een e-mail met persoonsgegevens naar de verkeerde ontvanger;
- een laptop, usb-stick of telefoon met klant- of personeelsgegevens raakt kwijt of wordt gestolen;
- een aanvaller krijgt toegang tot een database met klantinformatie;
- een systeemfout maakt dossiers zichtbaar voor onbevoegden;
- back-ups zijn niet bruikbaar na ransomware of onbedoelde verwijdering van data;
- een online map met medische, financiële of HR-gegevens staat openbaar;
- een oud account van een ex-medewerker geeft nog toegang tot gevoelige informatie;
- persoonsgegevens worden per ongeluk gedeeld in een groepsmail of open cc.
Wanneer is het een datalek volgens de AVG?
De kernvraag is eenvoudig: zijn er persoonsgegevens betrokken en zijn die gegevens blootgesteld aan verlies, ongeoorloofde toegang, wijziging of onbeschikbaarheid? Als het antwoord ja is, dan is er in beginsel sprake van een datalek.
Niet elk beveiligingsincident raakt persoonsgegevens. Een storing zonder impact op persoonsgegevens is bijvoorbeeld geen datalek. Maar zodra namen, e-mailadressen, financiële gegevens, medische data of andere herleidbare informatie betrokken zijn, moet u verder beoordelen of melden nodig is.
Moet u dit datalek melden?
U meldt een datalek aan de Autoriteit Persoonsgegevens als het waarschijnlijk risico oplevert voor de rechten en vrijheden van betrokkenen. Dat is de juridische hoofdregel. De afweging draait dus om de mogelijke gevolgen voor mensen.
Denk daarbij aan identiteitsfraude, financiële schade, discriminatie, reputatieschade, verlies van vertrouwelijkheid of ongewenste openbaarmaking van gevoelige informatie. Hoe ernstiger die gevolgen kunnen zijn, hoe sneller melden in beeld komt.
Criteria voor meldplicht
Bij de beoordeling kijkt u onder meer naar:
- de aard van de persoonsgegevens;
- de gevoeligheid van de gegevens;
- het aantal betrokken personen;
- de mate waarin personen direct identificeerbaar zijn;
- de vraag of de gegevens beveiligd of versleuteld waren;
- de duur van het incident;
- de kans op misbruik;
- de mogelijke gevolgen voor betrokkenen.
Gaat het om bijzondere persoonsgegevens, zoals medische gegevens, informatie over minderjarigen, financiële data of kopieën van identiteitsdocumenten, dan ligt het risico vaak hoger. In zulke gevallen is melden aan de toezichthouder sneller aan de orde en moet u mogelijk ook de betrokkenen informeren.
Wanneer melden niet verplicht is
Niet elk datalek hoeft te worden gemeld. Als het onwaarschijnlijk is dat het incident een risico oplevert voor betrokkenen, hoeft u geen melding te doen bij de Autoriteit Persoonsgegevens.
Denk aan een verloren laptop met sterke schijfversleuteling of een intern document dat heel kort zichtbaar was voor iemand die feitelijk al bevoegd was om soortgelijke gegevens te zien. Ook dan blijft registratie wel belangrijk. U moet kunnen aantonen hoe u tot uw besluit bent gekomen.
Termijn: binnen 72 uur — wat betekent dat?
De regel dat u binnen 72 uur moet handelen, is bekend, maar wordt vaak verkeerd begrepen. Die termijn begint niet pas nadat het hele onderzoek is afgerond. De klok gaat lopen zodra uw organisatie redelijkerwijs weet dat een incident met persoonsgegevens heeft plaatsgevonden.
Startpunt van de termijn
Het startmoment is het moment waarop voldoende duidelijk is dat er waarschijnlijk sprake is van een inbreuk op persoonsgegevens. U hoeft dan nog niet elk detail te kennen. Juist daarom is snelle interne opschaling belangrijk.
Wacht dus niet op volledige zekerheid. Als u te laat bent, moet u kunnen uitleggen waarom. Zonder goede reden kan dat nadelig uitpakken bij toezicht en handhaving.
Wat als nog niet alle informatie bekend is?
Dan doet u eerst een voorlopige melding met de informatie die al beschikbaar is. Daarna vult u deze later aan. Dat is normaal en vaak noodzakelijk bij grotere incidenten of technisch onderzoek.
Belangrijk is dat u laat zien dat u grip heeft op de situatie: wat is er gebeurd, welke gegevens zijn geraakt, wat is het vermoedelijke risico en welke maatregelen zijn al genomen?
Stap voor stap: hoe meldt u een datalek?
Wie zoekt naar hoe een incident met persoonsgegevens gemeld moet worden, zoekt vooral een praktisch stappenplan. Onderstaande aanpak helpt u om snel en zorgvuldig te handelen.
1. Stop het lek en beperk de schade
Neem meteen maatregelen om verdere schade te voorkomen. Trek toegangsrechten in, wijzig wachtwoorden, blokkeer accounts, haal systemen zo nodig offline en stel logbestanden veilig. Bij een verkeerd verzonden e-mail probeert u het bericht terug te halen en vraagt u de ontvanger het direct te verwijderen.
Documenteer vanaf het eerste moment wat er gebeurt. Noteer tijdstippen, betrokken systemen, genomen acties en verantwoordelijke personen. Deze eerste vastlegging is later belangrijk voor de melding en de interne evaluatie.
2. Onderzoek wat er precies is gebeurd
Breng de feiten in kaart. Welke persoonsgegevens zijn geraakt? Van hoeveel mensen? Hoe lang duurde het incident? Was er echt toegang door onbevoegden of alleen een vermoeden? Ging het om verlies, openbaarmaking, wijziging of onbeschikbaarheid?
Laat IT, security, privacy en management samen optrekken. Bij complexere incidenten kan forensisch onderzoek nodig zijn, bijvoorbeeld om logbestanden, tijdstempels, accounts en exports te analyseren.
3. Maak een risicoanalyse voor betrokkenen
Beoordeel wat de gevolgen voor de betrokken personen kunnen zijn. Kunnen zij slachtoffer worden van phishing, identiteitsfraude, financieel misbruik, reputatieschade of verlies van vertrouwelijkheid? Zijn de gegevens gevoelig of eenvoudig te koppelen aan een persoon?
Deze stap bepaalt of sprake is van een meldplichtig incident. Twijfelt u, leg dan goed vast welke factoren u heeft meegewogen. Een onderbouwde afweging is essentieel, ook als u besluit niet te melden.
4. Meld het incident bij de Autoriteit Persoonsgegevens als dat nodig is
Blijkt uit uw beoordeling dat er waarschijnlijk risico is voor betrokkenen, dan meldt u het datalek bij de toezichthouder. Deze melding bevat in elk geval de aard van het incident, de categorieën persoonsgegevens, het aantal betrokkenen of een schatting, de vermoedelijke gevolgen en de maatregelen die al zijn genomen of nog volgen.
Ook vermeldt u de contactgegevens van de functionaris gegevensbescherming of een andere contactpersoon binnen de organisatie. Kunt u nog niet alles invullen, dan volgt later een aanvulling.
5. Informeer betrokkenen bij een hoog risico
Is er sprake van een hoog risico voor de mensen van wie de gegevens zijn geraakt, dan moet u hen rechtstreeks en in duidelijke taal informeren. Leg kort uit wat er is gebeurd, welke gegevens mogelijk betrokken zijn, wat de gevolgen kunnen zijn en wat zij zelf kunnen doen om schade te beperken.
Denk aan het wijzigen van wachtwoorden, extra alert zijn op phishing, het blokkeren van betaalmiddelen of contact opnemen met een helpdesk. Vermijd juridisch jargon en wees eerlijk over wat u al weet en wat nog onderzocht wordt.
6. Registreer alles en voer verbeteringen door
Na de acute fase registreert u het volledige incident intern. Beschrijf wat er gebeurde, hoe de beoordeling is gemaakt, welke besluiten zijn genomen en welke maatregelen volgen. Dit is niet alleen belangrijk voor aantoonbare naleving, maar ook voor structurele verbetering.
Kijk daarna welke technische, organisatorische en contractuele maatregelen nodig zijn. Denk aan training, betere toegangsrechten, extra logging, versleuteling, aanscherping van procedures of updates van afspraken met leveranciers. Relevante achtergrond leest u ook op onze pagina’s over websitebeveiliging en de verwerkersovereenkomst.
Melding aan de Autoriteit Persoonsgegevens: wat moet erin staan?
Een goede melding is feitelijk, duidelijk en volledig voor zover mogelijk. U hoeft niet alles zeker te weten, maar u moet wel laten zien dat u het incident serieus onderzoekt en beheerst.
Verplichte onderdelen van de melding
- datum en tijd van ontdekking;
- datum en tijd van het incident, als bekend;
- beschrijving van het incident;
- categorieën persoonsgegevens die zijn geraakt;
- aantal betrokken personen of een redelijke schatting;
- waarschijnlijke gevolgen voor betrokkenen;
- maatregelen die direct zijn genomen;
- geplande vervolgstappen;
- contactgegevens van de privacycontactpersoon of FG.
Bij grensoverschrijdende situaties of complexe cyberincidenten kunnen ook andere partijen relevant zijn, zoals buitenlandse toezichthouders, het NCSC of de politie. Dat staat naast uw verplichtingen uit de AVG.
Voorbeeldsjablonen en praktische formats
Voorbeeldtekst voor melding aan de toezichthouder
Op [datum] heeft onze organisatie een incident met persoonsgegevens vastgesteld. Het betreft [korte omschrijving van het incident]. Mogelijk zijn persoonsgegevens van [aantal] betrokkenen geraakt, waaronder [soorten gegevens]. De vermoedelijke oorzaak is [oorzaak]. Wij hebben direct maatregelen genomen, waaronder [maatregelen]. Op basis van onze eerste beoordeling bestaat er waarschijnlijk een risico voor de rechten en vrijheden van betrokkenen. Aanvullende informatie volgt zodra het onderzoek is afgerond. Contactpersoon: [naam en contactgegevens].
Voorbeeldtekst voor bericht aan betrokkenen
Op [datum] hebben wij ontdekt dat onbevoegden mogelijk toegang hebben gehad tot een deel van uw persoonsgegevens. Het gaat mogelijk om [soorten gegevens]. Wij hebben direct maatregelen genomen om het incident te stoppen en onderzoeken de precieze omvang. Mogelijke gevolgen voor u zijn [korte toelichting]. Wij adviseren u om [concrete acties]. Heeft u vragen, neem dan contact op via [contactgegevens].
Voorbeeld van intern incidentrapport
Leg intern vast: datum en tijd, aard van het incident, betrokken systemen, categorieën persoonsgegevens, eerste bevindingen, risicoafweging, genomen maatregelen, besluit over melden, communicatie naar betrokkenen en verbeteracties. Dit is de basis voor aantoonbaarheid en evaluatie.
Ondersteunende documentatie, zoals een actueel gegevensbeleid en duidelijke privacyprocessen, helpt om sneller en consistenter te reageren.
Twee praktijkvoorbeelden
Casus 1: verkeerd verzonden klantbestand
Een medewerker verstuurt een Excel-bestand met namen, adressen en openstaande facturen naar de verkeerde klant. De ontvanger meldt dit direct en verwijdert het bestand op verzoek.
Dit is een datalek, omdat persoonsgegevens bij een onbevoegde terecht zijn gekomen. Of melden verplicht is, hangt af van het risico. Als het om beperkte gegevens gaat en de ontvanger betrouwbaar en coöperatief is, kan de impact lager zijn. Toch moet de organisatie het incident registreren en motiveren waarom wel of niet is gemeld.
Casus 2: gestolen laptop in de zorg
Een laptop van een zorgmedewerker wordt gestolen uit een auto. Op de laptop staan patiëntgegevens en de schijf is niet versleuteld.
Dit is vrijwel zeker een meldplichtig datalek. Medische gegevens zijn zeer gevoelig en het risico voor betrokkenen is hoog. In deze situatie ligt zowel een melding aan de Autoriteit Persoonsgegevens als communicatie naar betrokkenen voor de hand.
Sector-specifieke aandachtspunten
Zorg en medische gegevens
In de zorg is de impact vaak groter omdat medische gegevens bijzondere persoonsgegevens zijn. De drempel voor een lage risico-inschatting ligt daarom hoog. Zorginstellingen moeten snel, zorgvuldig en menselijk communiceren, met extra aandacht voor vertrouwelijkheid en continuïteit van zorg.
Financiële dienstverlening
Bij financiële gegevens bestaat sneller kans op fraude, misbruik of identiteitsdiefstal. Denk aan rekeningnummers, looninformatie, transactiedata of kopieën van legitimatie. Hierdoor zal een melding vaak eerder noodzakelijk zijn.
Onderwijs en gegevens van minderjarigen
Bij scholen en onderwijsinstellingen gaat het regelmatig om gegevens van kinderen en jongeren. Dat maakt incidenten extra gevoelig. Wees daarom voorzichtig met het inschatten van een laag risico en documenteer uw besluitvorming zeer nauwkeurig.
Veelvoorkomende fouten en hoe u die voorkomt
De grootste fout is wachten op volledige zekerheid. De AVG vraagt om snelle beoordeling en, als dat nodig is, snelle melding. Andere veelgemaakte fouten zijn:
- geen vast aanspreekpunt of incidentteam hebben;
- de gevolgen voor betrokkenen onderschatten;
- technische informatie en loggegevens onvoldoende vastleggen;
- wel oplossen, maar niet registreren;
- betrokkenen te laat, te vaag of te juridisch informeren;
- geen onderscheid maken tussen risico en hoog risico.
Een duidelijk draaiboek, vaste verantwoordelijkheden en periodieke oefeningen voorkomen veel van deze problemen.
Wat zijn de gevolgen als u niet meldt?
Boetes en juridische risico’s
Wanneer u een meldplichtig datalek niet meldt, kan de Autoriteit Persoonsgegevens handhavend optreden. Dat kan leiden tot onderzoek, sancties en boetes. Daarnaast kunnen betrokkenen schade claimen als zij nadeel ondervinden door het incident of door te late communicatie.
Reputatieschade en operationele gevolgen
Naast juridische gevolgen speelt vertrouwen een grote rol. Klanten, medewerkers, patiënten en partners verwachten dat u zorgvuldig omgaat met persoonsgegevens. Een trage of onduidelijke reactie kan meer reputatieschade opleveren dan het incident zelf.
Voorbereiden op een datalek
De beste reactie begint vóór het incident. Organisaties die vooraf processen, verantwoordelijkheden en formats hebben ingericht, kunnen sneller handelen en beter motiveren waarom wel of niet is gemeld.
Stel een draaiboek op
Zorg voor een praktische procedure met rollen, contactgegevens, escalatiemomenten, beoordelingscriteria en voorbeeldteksten. Bepaal wie in het eerste uur betrokken moet zijn, wie de risicoafweging maakt en wie extern communiceert.
Oefen en train regelmatig
Voer simulaties uit met IT, management, privacy en communicatie. Test of teams elkaar snel vinden, of logging op orde is en of besluitvorming binnen de vereiste termijn haalbaar is.
Verbeter uw technische basis
Beveiliging verkleint de kans op incidenten en verlaagt vaak ook het risico als er iets misgaat. Denk aan versleuteling, multifactor-authenticatie, patchmanagement, toegangsbeheer, back-ups en monitoring. Lees ook onze tips over HTTPS, WordPress beveiligen en bredere maatregelen voor informatiebeveiliging.
Veelgestelde vragen
Een meldplichtig incident moet in principe binnen 72 uur worden gemeld, gerekend vanaf het moment dat uw organisatie weet dat persoonsgegevens zijn geraakt.
Nee. Dat is alleen verplicht als het incident waarschijnlijk een hoog risico oplevert voor de mensen van wie de gegevens zijn geraakt.
Ja, als daarin persoonsgegevens staan en de ontvanger geen recht had om die gegevens te ontvangen.
Ja, meestal wel. U moet achteraf kunnen aantonen hoe u de beoordeling heeft gemaakt en waarom u wel of niet heeft gemeld.
Dan kan het risico aanzienlijk lager zijn. Sterke versleuteling is een belangrijke factor in de beoordeling of aanvullende communicatie nodig is.
De verwerkingsverantwoordelijke is verantwoordelijk voor de uiteindelijke melding. Een verwerker moet incidenten wel direct doorgeven aan zijn opdrachtgever.
U doet de melding via het officiële meldloket van de Autoriteit Persoonsgegevens.
Een beveiligingsincident is breder. Pas als persoonsgegevens zijn geraakt, spreekt u van een datalek.
Soms wel, bijvoorbeeld bij strafbare feiten, afpersing, ransomware of ernstige cyberincidenten. Dat staat los van uw verplichtingen onder de AVG.
Conclusie
Een datalek melden vraagt om snelheid, een goede risicoafweging en duidelijke documentatie. De hoofdregel is eenvoudig: zodra een incident met persoonsgegevens waarschijnlijk risico oplevert voor betrokkenen, moet u tijdig melden bij de Autoriteit Persoonsgegevens. Is het risico hoog, dan informeert u ook de betrokkenen zelf.
Niet elk incident is meldplichtig, maar elk incident moet serieus worden beoordeeld. Met een goed draaiboek, duidelijke verantwoordelijkheden en sterke beveiligingsmaatregelen beperkt u schade en voldoet u beter aan de AVG.
Wilt u uw processen verder aanscherpen, kijk dan ook naar onderwerpen zoals de verwerkersovereenkomst, AI privacy en datagebruik en een sterk intern incidentproces. Zo houdt u grip op incidenten en bouwt u aan vertrouwen.
