+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws

Aansprakelijkheid bij datalekken: wie betaalt de schade? Uitleg, claims en preventie

november 8, 2025

Een datalek kan iedereen overkomen, of je nu een klein bedrijf runt of bij een grote overheid werkt. Zodra het gebeurt, popt de grote vraag op: wie draait er eigenlijk op voor de kosten?

De organisatie die verantwoordelijk is voor het datalek moet meestal de volledige schade vergoeden aan alle getroffen partijen. Denk aan boetes, imagoschade, crisismanagement en soms ook schadevergoedingen aan slachtoffers van identiteitsfraude.

Twee zakelijke professionals bespreken digitale beveiliging bij een laptop in een kantooromgeving.

Wie aansprakelijk is, hangt af van allerlei factoren. De getroffen beveiligingsmaatregelen en de relatie tussen bijvoorbeeld verwerkingsverantwoordelijken en verwerkers spelen een grote rol.

Dit is een lastige materie. Je hebt kennis nodig van regelgeving, verzekeringen en juridische procedures.

Organisaties moeten weten hoe ze hun risico’s beperken. Slachtoffers willen vooral weten wat hun opties zijn voor schadevergoeding.

Wat is een datalek en wat zijn de gevolgen?

Een bezorgde zakenpersoon kijkt naar een laptop met een digitaal waarschuwingssymbool, omgeven door digitale codes en juridische documenten op een bureau.

Een datalek ontstaat als persoonsgegevens in verkeerde handen vallen of onbedoeld openbaar worden. Bedrijven kunnen hierdoor flinke financiële en juridische problemen krijgen, terwijl betrokkenen grote privacyrisico’s lopen.

Verschillende soorten datalekken

Een datalek betekent dat persoonsgegevens toegankelijk worden voor mensen die dat niet mogen. Het gaat om gegevens die direct of indirect naar iemand te herleiden zijn.

Digitale datalekken zie je het vaakst. Hackers breken in en stelen klantgegevens uit systemen. Maar soms stuurt een medewerker per ongeluk een bestand naar de verkeerde persoon.

Fysieke datalekken gebeuren ook. Denk aan een gestolen laptop met klantgegevens, een verloren USB-stick of papieren die door het raam waaien.

Interne datalekken ontstaan binnen organisaties zelf. Werknemers bekijken gegevens waar ze eigenlijk niet bij mogen. Of nemen data mee als ze naar een andere werkgever gaan.

Het hoeft niet altijd om criminelen te gaan. Soms veroorzaken technische problemen of gewoon een stomme fout het lek.

Impact op privacy en bedrijven

Datalekken raken mensen en bedrijven hard. Voor mensen betekent het dat hun privacy onder druk staat en hun gegevens misbruikt kunnen worden.

Gevolgen voor personen zijn soms heftig. Hun data kan gebruikt worden voor identiteitsfraude of phishing. Medische of financiële info kan zomaar op straat komen te liggen.

Bedrijven krijgen te maken met hoge boetes van de Autoriteit Persoonsgegevens. Die boetes kunnen echt flink oplopen.

Ze moeten soms ook schadevergoedingen betalen aan klanten die getroffen zijn. De reputatieschade doet vaak nog meer pijn.

Klanten raken hun vertrouwen kwijt als hun gegevens niet veilig zijn. Dat kost bedrijven klanten en omzet.

Ondernemers moeten datalekken binnen 72 uur melden aan de toezichthouder. Bij ernstig risico moeten ze ook de betrokkenen op de hoogte brengen.

Voorbeelden van datalekken

Recente datalekken laten zien hoe groot de gevolgen zijn. Clinical Diagnostics, een laboratorium voor bevolkingsonderzoek, werd gehackt en veel vrouwen raakten hun gegevens kwijt.

Grote internationale voorbeelden spreken tot de verbeelding. Facebook verloor gegevens van 87 miljoen mensen. Equifax, een kredietbureau, zag 147 miljoen mensen getroffen worden.

Nederlandse voorbeelden zijn er ook genoeg. Ziekenhuizen, gemeenten en webshops melden elk jaar honderden datalekken.

De oorzaken lopen uiteen. Soms zijn het hackers, maar soms ook simpele menselijke fouten, zoals een database per ongeluk openbaar zetten.

Niemand is immuun. Je kunt nog zo goed je best doen, maar het blijft opletten geblazen.

Regelgeving en verplichtingen rondom datalekken

Een groep zakelijke professionals bespreekt gegevensbeveiliging en aansprakelijkheid rond datalekken in een moderne kantoorruimte.

Organisaties moeten zich bij datalekken aan strenge regels houden onder de AVG. De Autoriteit Persoonsgegevens houdt toezicht.

Aansprakelijkheid bij datalekken: wie is verantwoordelijk?

Bij datalekken hangt aansprakelijkheid af van de rol die je hebt in het verwerken van gegevens. De verwerkingsverantwoordelijke is meestal de hoofdverantwoordelijke, terwijl de verwerker een beperktere rol heeft.

Verwerkingsverantwoordelijke en verwerker

De verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens verwerkt worden. Die partij is dus ook verantwoordelijk voor beveiliging en naleving van de AVG.

Een verwerkingsverantwoordelijke is aansprakelijk als:

  • Er onvoldoende beveiligingsmaatregelen zijn genomen
  • Er geen goede contracten met verwerkers zijn
  • Het datalek niet op tijd wordt gemeld aan de AP

De verwerker verwerkt gegevens in opdracht van de verwerkingsverantwoordelijke. Die is meestal alleen aansprakelijk als hij zich niet aan het contract houdt.

Verwerkers zijn aansprakelijk als ze:

  • Buiten hun opdracht handelen
  • Beveiligingsinstructies negeren
  • Eigen beveiligingsverplichtingen schenden

Aansprakelijkheid van bedrijven en ondernemers

Bedrijven en ondernemers die als verwerkingsverantwoordelijke optreden, dragen de volledige aansprakelijkheid voor schade door datalekken. Het bestuur van de organisatie is verantwoordelijk, niet de individuele medewerkers.

Aansprakelijkheid ontstaat bij:

  • Slechte of ontbrekende beveiligingsmaatregelen
  • Onnodig lang bewaren van persoonsgegevens
  • Geen schriftelijke afspraken met verwerkers
  • Te laat melden van datalekken

Hoeveel risico je loopt, hangt af van de beveiliging die je hebt geregeld. Als je kunt aantonen dat je alles op orde had, kom je er vaak beter vanaf.

Een datalek betekent trouwens niet automatisch dat je aansprakelijk bent. Slachtoffers moeten bewijzen dat ze schade hebben door jouw nalatigheid.

Rolverdeling bij samenwerkingen

Samenwerkingen maken het ingewikkelder. Wie waarvoor verantwoordelijk is, hangt af van de rolverdeling bij het verwerken van gegevens.

Gezamenlijke verwerkingsverantwoordelijken delen de verantwoordelijkheid als ze samen bepalen waarom en hoe ze gegevens verwerken. Ze moeten onderling afspraken maken over wie wat doet.

Bij doorgeefluiken zoals bezorgdiensten wordt het vaag. Die zijn soms geen verwerker en geen verwerkingsverantwoordelijke, waardoor de oorspronkelijke partij vaak aansprakelijk blijft.

ICT-leveranciers en clouddiensten hebben hun eigen afspraken. Toch blijft de verwerkingsverantwoordelijke eindverantwoordelijk voor goede beveiliging.

Schade en vergoedingen na een datalek

Na een datalek kunnen slachtoffers verschillende soorten schade lijden. De wet biedt mogelijkheden voor schadevergoeding, maar in de praktijk vallen de bedragen meestal tegen.

Soorten schade door datalekken

Materiële schade is het directe financiële verlies. Denk aan geld dat je kwijtraakt door identiteitsfraude of de kosten voor nieuwe documenten.

Immateriële schade is lastiger te bewijzen. Stress, angst of reputatieschade tellen ook mee.

Als gevoelige gegevens zoals medische info of identiteitsbewijzen uitlekken, is de schade vaak groter dan bij gewone contactgegevens. De ernst hangt af van wat er precies is gelekt.

Voorbeelden van schade:

  • Kosten voor nieuwe paspoorten of rijbewijzen
  • Bankkosten door fraude
  • Psychische klachten na een privacy-inbreuk
  • Tijd kwijt aan het oplossen van ellende

De impact verschilt enorm. De een slaapt er slecht van, de ander merkt er nauwelijks iets van.

Wie komt in aanmerking voor schadevergoeding?

Iedereen van wie persoonsgegevens zijn gelekt, kan aanspraak maken op schadevergoeding volgens artikel 82 van de AVG. Dit geldt voor zowel materiële als immateriële schade.

Slachtoffers mogen schadeclaims indienen bij de verantwoordelijke organisatie. Bedrijven en ondernemers die hun beveiliging niet op orde hadden, zijn aansprakelijk.

Voorwaarden voor vergoeding:

  • Persoonsgegevens zijn daadwerkelijk gelekt
  • Er is schade ontstaan door het datalek
  • De organisatie heeft regels overtreden

Je hoeft niet voor elke euro schade bewijs te leveren. Bij gevoelige gegevens nemen rechters schade vaak sneller aan.

Collectieve acties zijn mogelijk als veel mensen door hetzelfde lek zijn getroffen.

Hoogte van de schadevergoeding

Vergoedingen bij datalekken blijven meestal aan de lage kant. Zo kreeg een student onlangs €300 uitgekeerd.

Factoren die de hoogte bepalen:

  • Type gelekte gegevens (medisch, financieel, gewoon)
  • Aantal getroffen personen
  • Duur van het datalek
  • Mate van nalatigheid door het bedrijf

Bij gevoelige informatie zoals medische gegevens valt de vergoeding meestal hoger uit dan bij gewone contactgegevens. Hoe breed de data verspreid is, telt ook mee.

Rechters kijken naar de impact op het slachtoffer. Kosten voor nieuwe documenten worden meestal volledig vergoed.

Typische bedragen:

  • Gewone gegevens: €100 – €500
  • Gevoelige gegevens: €300 – €1.500
  • Bewezen materiële schade: volledige vergoeding

Nederlandse rechters blijven voorzichtig met hoge bedragen voor immateriële schade.

Het instellen van een schadeclaim bij een datalek

Slachtoffers van een datalek kunnen verschillende stappen zetten om schadevergoeding te krijgen. Ze kunnen zelf een claim indienen of meedoen aan een collectieve actie tegen de verantwoordelijke organisatie.

Stappen voor slachtoffers

Begin met het verzamelen van bewijs van het datalek en de geleden schade. Vraag bij de organisatie na welke gegevens zijn gelekt en welke maatregelen ze hebben genomen.

Het helpt om te vragen bij wie de gegevens zijn beland. Laat ook uitleggen welke risico’s je loopt door het datalek.

Benodigde documenten:

  • Bewijs van het datalek
  • Schade die is ontstaan
  • Correspondentie met de organisatie
  • Medische rapporten (bij psychische schade)

Je kunt een advocaat inschakelen die thuis is in privacy en datalekken. Die kan helpen bij het opstellen van de schadeclaim en contact leggen met de organisatie.

De Autoriteit Persoonsgegevens bemoeit zich niet met individuele schadeclaims. Wel kun je daar een klacht indienen als je privacy is geschonden.

Collectieve acties

Bij grote datalekken kunnen slachtoffers samen optrekken in een collectieve actie. Dit werkt vaak efficiënter omdat je de kosten deelt.

Stichtingen kunnen namens een groep slachtoffers een rechtszaak starten. Zulke organisaties hebben ervaring met privacy-zaken en weten beter te onderhandelen.

Voordelen van collectieve acties:

  • Lagere kosten per persoon
  • Meer druk op het bedrijf
  • Gedeelde juridische expertise
  • Snellere afhandeling

Meestal hoef je je alleen aan te melden bij de stichting. Zelf een advocaat zoeken of procedures starten is dan niet nodig.

De uitkomst geldt voor iedereen die meedoet. Iedereen krijgt hetzelfde bedrag, of niemand krijgt iets.

Rol van de rechter en procedures

De rechter beoordeelt of de organisatie nalatig was. Het bedrijf moet echt gefaald hebben in het beschermen van persoonsgegevens.

Rechters letten op verschillende factoren bij het bepalen van de schadevergoeding. De ernst van het datalek weegt zwaar.

Factoren die rechters meenemen:

  • Type gelekte gegevens (medisch, financieel)
  • Aantal getroffen personen
  • Duur van het lek
  • Maatregelen van het bedrijf

Bij gevoelige informatie zoals medische gegevens ligt de vergoeding hoger. De impact op de privacy van slachtoffers telt ook mee.

Procedures kunnen lang duren, soms wel jaren. Bedrijven proberen vaak buiten de rechter om een regeling te treffen.

Schadevergoedingen blijven meestal beperkt. Bedragen van een paar honderd euro per slachtoffer zijn in Nederland normaal bij datalekken.

Boetes en verzekeringen bij datalekken

Organisaties kunnen flinke boetes krijgen van de toezichthouder na een datalek. Gewone bedrijfsverzekeringen dekken deze kosten meestal niet. Een cyberverzekering biedt betere bescherming tegen dit soort risico’s.

Boetes opgelegd door de toezichthouder

De Autoriteit Persoonsgegevens (AP) kan forse boetes uitdelen aan bedrijven die hun beveiliging niet op orde hebben. Die boetes komen bovenop de kosten voor schadevergoeding aan slachtoffers.

De AP kijkt naar of het bedrijf passende technische en organisatorische maatregelen heeft genomen. Alleen dan kun je een boete voorkomen.

De hoogte van de boete hangt af van:

  • Grootte van het bedrijf
  • Ernst van het datalek
  • Aantal getroffen personen
  • Genomen beveiligingsmaatregelen

Ondernemers kunnen boetes voorkomen door te investeren in IT-beveiliging en training van medewerkers.

Beperkingen van de bedrijfsaansprakelijkheidsverzekering

Gewone bedrijfsverzekeringen dekken vaak geen cyberaanvallen of datalekken. Ze zijn vooral bedoeld voor traditionele risico’s, zoals brand of diefstal.

Belangrijke uitsluitingen in standaard verzekeringen:

  • Schade door hackers
  • Kosten van dataherstel
  • Boetes van toezichthouders
  • Verlies van bedrijfsgegevens

Als je geen goede basismaatregelen neemt, kan de verzekeraar zelfs weigeren uit te betalen. Je raakt dan je dekking kwijt.

Het bestuur van de organisatie draagt de eindverantwoordelijkheid. Zij moeten zorgen dat medewerkers de juiste middelen krijgen om datalekken te voorkomen.

Voordelen van een cyberverzekering

Een cyberverzekering dekt juist de kosten van cyberaanvallen en datalekken. Zo’n verzekering vult de gaten op die gewone bedrijfsverzekeringen laten.

Wat dekt een cyberverzekering:

  • Kosten van forensisch onderzoek
  • Herstel van IT-systemen
  • Juridische kosten
  • Schadevergoeding aan klanten
  • Communicatie naar media

Cyberverzekeringen bieden ook preventieve diensten. Denk aan beveiligingstraining voor personeel en periodieke veiligheidschecks.

Voor ondernemers wordt een cyberverzekering steeds belangrijker. Na een groot datalek kan het net het verschil maken tussen overleven of niet.

Preventie van datalekken en beperking van aansprakelijkheid

Ondernemers kunnen hun aansprakelijkheid bij datalekken verkleinen door preventieve maatregelen te nemen en duidelijke contractuele afspraken te maken. Technische beveiliging, training voor medewerkers en verzekeringen zijn allemaal belangrijk.

Technische en organisatorische maatregelen

Organisaties moeten passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Daarmee verklein je de kans op een datalek en beperk je je aansprakelijkheid.

Technische maatregelen zijn bijvoorbeeld:

  • Versleuteling van gevoelige data
  • Firewalls en antivirussoftware
  • Regelmatige beveiligingsupdates
  • Toegangscontrole met sterke wachtwoorden
  • Back-upsystemen

Organisatorische maatregelen:

  • Privacybeleid en procedures
  • Toegangsrechten per functie
  • Logging van dataverwerking
  • Incident response plan

Bedrijven die deze maatregelen serieus nemen, lopen minder risico om volledig aansprakelijk te worden gesteld. Rechters kijken bij een lek altijd naar wat je hebt gedaan om schade te voorkomen.

Medewerkers en bewustwording

Medewerkers zijn vaak het zwakke punt in de beveiliging. Veel datalekken ontstaan gewoon door menselijke fouten of onoplettendheid.

Zorg voor regelmatige training. Medewerkers moeten verdachte e-mails en phishing-pogingen leren herkennen. Geef ze duidelijke instructies over veilig omgaan met wachtwoorden en gevoelige informatie.

Belangrijke onderwerpen voor training:

  • Herkennen van phishing-mails
  • Veilig gebruik van USB-sticks
  • Rapporteren van verdachte activiteiten
  • Omgaan met vertrouwelijke data

Documenteer deze trainingen goed. Zo kun je bij een datalek aantonen dat je medewerkers hebt voorgelicht over de risico’s.

Inzet van phishing-tests en cybersecurity

Phishing-tests zijn handig om te meten hoe kwetsbaar je organisatie is. Zo’n test simuleert een echte aanval, maar zonder schade.

Met regelmatige phishing-tests zie je snel wie extra training nodig heeft. Je ontdekt je zwakke plekken voordat een echte hacker toeslaat.

Cybersecurity maatregelen:

  • Penetratietests door externe experts
  • 24/7 monitoring van netwerken
  • Incident response teams
  • Regelmatige beveiligingsaudits

Een cyberverzekering geeft extra zekerheid tegen financiële schade. Vaak dekt deze verzekering de kosten van onderzoek, herstel en claims van slachtoffers.

Verzekeraars stellen wel eisen aan je beveiliging. Je moet kunnen laten zien dat je adequate maatregelen hebt genomen.

Contractuele afspraken tussen partijen

Contractuele afspraken verdelen de aansprakelijkheid tussen partijen. Zeker als je samenwerkt met externe verwerkers, is dat cruciaal.

Verwerkersovereenkomsten moeten bevatten:

  • Duidelijke verdeling van verantwoordelijkheden
  • Beveiligingseisen voor beide partijen
  • Aansprakelijkheidsbeperkingen
  • Procedures bij datalekken

Organisaties kunnen hun aansprakelijkheid beperken door een maximumbedrag af te spreken. Ze mogen ook bepaalde soorten schade, zoals boetes, uitsluiten.

Deze beperkingen werken alleen tussen de contractpartijen. Getroffen personen kunnen nog steeds volledige schadevergoeding eisen van de verwerkingsverantwoordelijke.

Verzekeringsdekking moet passen bij de afspraken in het contract. Anders draait de organisatie alsnog zelf op voor schade die niet gedekt is.

Veelgestelde Vragen

Mensen hebben vaak vragen over aansprakelijkheid en de financiële gevolgen van datalekken. De juridische kant van databeveiliging blijft voor veel organisaties een grijs gebied.

Wat zijn de juridische gevolgen van een datalek voor een organisatie?

De Autoriteit Persoonsgegevens kan forse boetes uitdelen als een datalek plaatsvindt. Die boetes kunnen makkelijk in de miljoenen lopen, afhankelijk van hoe ernstig het lek is.

Getroffen personen mogen daarnaast schadeclaims indienen. Artikel 82 van de AVG geeft slachtoffers het recht op compensatie.

Imagoschade is misschien nog wel het pijnlijkst. Klanten zullen minder vertrouwen hebben in bedrijven die hun gegevens niet serieus nemen.

Hoe wordt de schadevergoeding bepaald na een datalek?

De hoogte van de vergoeding hangt af van allerlei factoren. Vooral het soort gegevens dat op straat ligt, speelt een grote rol.

Gaat het om medische of andere gevoelige informatie? Dan ligt de schadevergoeding meestal hoger. Nederlandse rechters zijn daar vrij duidelijk over.

Heeft de organisatie genoeg gedaan om het lek te voorkomen? Wie steken heeft laten vallen, kan hogere claims verwachten.

Wie is verantwoordelijk voor het melden van een datalek?

De verwerkingsverantwoordelijke moet het datalek melden bij de Autoriteit Persoonsgegevens. Dit moet binnen 72 uur na ontdekking gebeuren.

Als het lek risico’s oplevert voor betrokkenen, moeten zij ook geïnformeerd worden. Die taak ligt bij de verwerkingsverantwoordelijke.

Bij een datalek door een verwerker kunnen beide partijen aansprakelijk zijn. Betrokkenen kunnen zowel de verantwoordelijke als de verwerker aanspreken.

Welke preventieve maatregelen moeten organisaties nemen om datalekken te voorkomen?

Organisaties moeten technische maatregelen nemen om persoonsgegevens te beschermen. ISO 27001 certificering geeft een stevig fundament voor informatiebeveiliging.

Goede training van medewerkers is minstens zo belangrijk. Iedereen moet weten wat er van hem of haar verwacht wordt.

Het bestuur is aan zet om middelen beschikbaar te stellen voor databeveiliging. Directieleden moeten het onderwerp echt prioriteit geven.

In hoeverre zijn individuele medewerkers aansprakelijk bij een datalek veroorzaakt door hun acties?

Medewerkers zijn alleen persoonlijk aansprakelijk als er sprake is van opzet of bewuste roekeloosheid. Dat is in de praktijk lastig te bewijzen.

Het bestuur draagt de hoofdverantwoordelijkheid voor datalekken. Klanten hebben immers een contract met de organisatie, niet met de individuele medewerker.

De mogelijkheden om medewerkers aansprakelijk te stellen zijn dus heel beperkt. Het blijft de taak van de organisatie om voor goede training en middelen te zorgen.

Wat zijn de consequenties van het niet naleven van de AVG bij een datalek?

Als organisaties te weinig doen om gegevens te beschermen, kunnen ze aansprakelijk worden gesteld voor alle schade. Dat gaat om zowel materiële als immateriële schade.

Slachtoffers van identiteitsfraude mogen de organisatie verantwoordelijk houden voor wat ze zijn kwijtgeraakt. Zulke claims lopen soms flink op.

De Autoriteit Persoonsgegevens deelt hogere boetes uit als organisaties de AVG steeds opnieuw overtreden. Bij herhaald gedrag worden de sancties alleen maar strenger.

Previous
Profilering en discriminatie door algoritmes: wat zegt de wet?
Next
Influencer marketing en reclamerecht: waar ligt de grens?
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80