+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws

Databreach melden: wanneer bent u daartoe verplicht? Alles over de meldplicht datalekken

december 15, 2025

Een datalek kan elke organisatie treffen, groot of klein. Wanneer dit gebeurt, ontstaat vaak direct de vraag of het lek gemeld moet worden aan de Autoriteit Persoonsgegevens.

Deze vraag is niet altijd eenvoudig te beantwoorden.

Een groep professionals in een moderne kantoorruimte bespreekt gegevensbeveiliging rond een tafel met laptops en schermen.

Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico oplevert voor de rechten en vrijheden van betrokkenen. De organisatie moet zelf een risico-inschatting maken op basis van verschillende factoren, zoals de aard van de gelekte gegevens en de mogelijke gevolgen voor slachtoffers.

Bij twijfel is het verstandig om het datalek wel te melden.

Dit artikel legt uit wanneer een meldplicht geldt en welke criteria daarbij een rol spelen. Ook komt aan bod welke stappen een organisatie moet nemen bij een datalek, hoe schade beperkt kan worden, en welke maatregelen het risico op datalekken kunnen verkleinen.

Wat is een datalek en wanneer is er sprake van meldplicht?

Een zakelijke professional werkt geconcentreerd op een laptop in een moderne kantooromgeving met digitale beveiligingssymbolen op een scherm op de achtergrond.

Een datalek betekent dat persoonsgegevens ongewenst toegankelijk zijn geworden of verloren zijn gegaan door een beveiligingsprobleem. De Algemene Verordening Gegevensbescherming (AVG) legt vast wanneer organisaties dit moeten melden aan de autoriteiten en betrokkenen.

Definitie van datalek volgens de AVG

De AVG definieert een datalek als een inbreuk op de beveiliging waarbij persoonsgegevens onbedoeld of onrechtmatig toegankelijk worden. Dit omvat situaties waarin gegevens verloren gaan, vernietigd worden, gewijzigd worden of verstrekt worden aan onbevoegden.

Een datalek treedt alleen op wanneer persoonsgegevens betrokken zijn. Bedrijfsgegevens zoals productieprocessen of marketingstrategieën vallen niet onder de AVG-definitie, tenzij deze gegevens ook persoonlijke informatie bevatten.

Voorbeelden van datalekken zijn:

  • Medische dossiers die door onbevoegde medewerkers worden bekeken
  • USB-sticks met niet-versleutelde persoonsgegevens die verloren raken
  • Cyberaanvallen waarbij hackers toegang krijgen tot klantenbestanden
  • E-mails met persoonlijke gegevens die naar verkeerde ontvangers worden gestuurd
  • Ransomware-aanvallen die persoonsgegevens ontoegankelijk maken

Inbreuk op de beveiliging en persoonsgegevens

De AVG onderscheidt drie soorten inbreuken op de beveiliging. Een inbreuk op de vertrouwelijkheid ontstaat wanneer onbevoegden toegang krijgen tot persoonsgegevens of wanneer deze gegevens per ongeluk openbaar worden gemaakt.

Een inbreuk op de integriteit vindt plaats als persoonsgegevens worden gewijzigd door iemand die daartoe niet bevoegd is. Dit kan opzettelijk gebeuren of per ongeluk.

Bij een inbreuk op de beschikbaarheid kan de organisatie niet meer bij de persoonsgegevens komen. De gegevens kunnen vernietigd zijn of ontoegankelijk gemaakt door onbevoegden.

Een datalek kan in meerdere categorieën tegelijk vallen, afhankelijk van de specifieke omstandigheden.

Meldplicht datalekken: wettelijke basis

De General Data Protection Regulation (GDPR) verplicht organisaties om datalekken te melden bij de Autoriteit Persoonsgegevens wanneer de inbreuk waarschijnlijk risico’s oplevert voor de rechten en vrijheden van personen. Deze meldplicht geldt voor alle organisaties die persoonsgegevens verwerken.

De organisatie moet het datalek binnen 72 uur na ontdekking melden. Als het datalek een hoog risico oplevert voor betrokkenen, moet de organisatie ook de getroffen personen direct informeren.

De privacywet schrijft voor dat organisaties documenteren welke stappen zij nemen bij een datalek. Dit geldt ook voor datalekken die niet gemeld hoeven te worden.

De organisatie moet kunnen aantonen waarom een datalek geen melding vereiste. Bij twijfel of een datalek meldplichtig is, adviseert de Autoriteit Persoonsgegevens om wel te melden.

Criteria voor het melden van een datalek

Een groep zakelijke professionals bespreekt gegevensbeveiliging in een moderne kantooromgeving.

Het melden van een datalek is niet in alle gevallen verplicht. De beslissing hangt af van het risico dat het datalek oplevert voor de betrokkenen en de specifieke omstandigheden van het incident.

Risico-inschatting: rechten en vrijheden van betrokkenen

Organisaties moeten een risico-inschatting maken om te bepalen of een datalek gemeld moet worden. Deze inschatting richt zich op de mogelijke gevolgen voor de rechten en vrijheden van betrokkenen, zoals de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.

Bij de beoordeling spelen verschillende factoren een rol. De aard van de inbreuk maakt uit: zijn gegevens gelekt, gewist of gewijzigd?

Ook de gevoeligheid van de gelekte gegevens is belangrijk. Bijzondere persoonsgegevens zoals gezondheidsgegevens, strafrechtelijke gegevens of burgerservicenummers vormen een hoger risico.

De hoeveelheid gegevens en het gemak waarmee personen te identificeren zijn, beïnvloeden het risico. Maatregelen zoals versleuteling of pseudonimisering kunnen het risico verminderen.

Ook het aantal slachtoffers en hun kwetsbaarheid, zoals bij kinderen of ouderen, tellen mee in de inschatting.

Wanneer is melden aan de Autoriteit Persoonsgegevens verplicht?

Volgens artikel 33 AVG moet een organisatie een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van betrokkenen. Bij twijfel verdient het aanbeveling om het datalek wel te melden.

Er bestaat een uitzondering op de meldplicht datalekken. Wanneer een organisatie vooraf passende maatregelen heeft getroffen die de persoonsgegevens onbegrijpelijk maken voor onbevoegden, hoeft het datalek niet gemeld te worden.

Dit geldt alleen als de gegevens volledig intact zijn, de organisatie volledige controle behoudt en de encryptiesleutel geen gevaar heeft gelopen.

Organisaties moeten elk datalek intern registreren, ook als het niet wordt gemeld aan de AP. Deze registratieplicht geldt voor alle datalekken zonder uitzondering.

Hoog risico: wanneer moeten betrokkenen geïnformeerd worden?

Artikel 34 AVG schrijft voor dat betrokkenen persoonlijk geïnformeerd moeten worden wanneer een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Een hoog risico ontstaat bijvoorbeeld bij datalekken met medische dossiers, creditcardgegevens of complete kopieën van identiteitsbewijzen.

Betrokkenen hoeven niet altijd geïnformeerd te worden. Dit geldt wanneer de organisatie vooraf passende maatregelen zoals versleuteling heeft toegepast.

Ook achteraf genomen maatregelen die het hoge risico wegnemen, kunnen een uitzondering vormen. De gegevensbeschermingsautoriteit moet wel geïnformeerd worden over de beslissing om betrokkenen niet te informeren.

In de melding aan de AP moet de organisatie uitleggen waarom betrokkenen niet persoonlijk zijn geïnformeerd over het datalek.

Soorten persoonsgegevens en impact van een datalek

De impact van een datalek hangt sterk af van het type persoonsgegevens dat gelekt is. Gevoelige gegevens zoals medische informatie of NAW-gegevens kunnen leiden tot ernstige gevolgen zoals identiteitsfraude, discriminatie, financiële schade en reputatieschade.

Gewone versus bijzondere persoonsgegevens

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Gewone persoonsgegevens zijn basisgegevens zoals naam, adres, telefoonnummer en e-mailadres.

Bijzondere persoonsgegevens zijn extra beschermd omdat ze een hoger risico met zich meebrengen. Tot bijzondere persoonsgegevens behoren gegevens over:

  • Gezondheid en medische gegevens
  • Ras of etnische afkomst
  • Politieke opvattingen
  • Religieuze of levensbeschouwelijke overtuigingen
  • Lidmaatschap van vakbonden
  • Genetische gegevens
  • Biometrische gegevens
  • Seksuele geaardheid of gedrag

Ook strafrechtelijke persoonsgegevens vallen onder deze extra beschermde categorie. Bij een datalek met bijzondere persoonsgegevens is het risico op ernstige schade voor betrokkenen meestal hoog.

Dit betekent dat een organisatie het datalek moet melden bij de Autoriteit Persoonsgegevens.

Voorbeelden van gevoelige gegevens

Bepaalde combinaties van gegevens zijn bijzonder risicovol bij een datalek. NAW-gegevens (naam, adres, woonplaats) in combinatie met een burgerservicenummer vormen een gevaarlijke mix.

Criminelen kunnen deze informatie gebruiken voor identiteitsfraude.

Hoogrisico gegevens:

  • Creditcardgegevens en bankrekeningnummers
  • Kopieën van identiteitsbewijzen (paspoort, rijbewijs)
  • Inloggegevens en wachtwoorden
  • Burgerservicenummer gecombineerd met andere persoonsgegevens
  • Medische informatie en gezondheidsdossiers

Zelfs ogenschijnlijk onschuldige gegevens kunnen risicovol zijn. Een telefoonnummer of e-mailadres lijkt niet gevoelig, maar in handen van criminelen dienen deze voor gerichte phishing-acties.

De context bepaalt vaak het risico.

Profielgegevens over beroepsprestaties, economische situatie of persoonlijke voorkeuren zijn ook gevoelig. Deze informatie kan misbruikt worden voor profilering en gerichte aanvallen.

Risico’s: identiteitsfraude, discriminatie en financiële schade

Identiteitsfraude is een van de meest voorkomende gevolgen van datalekken. Criminelen gebruiken gestolen persoonsgegevens om namens het slachtoffer te handelen.

Ze kunnen online bestellingen plaatsen, leningen afsluiten of valse identiteitsbewijzen maken.

Financiële schade treedt op wanneer creditcardgegevens of bankinformatie worden gestolen. Het slachtoffer kan ongewenste kosten krijgen of geld verliezen door frauduleuze transacties.

Ook complete kopieën van identiteitsbewijzen vormen een risico voor financieel misbruik.

Discriminatie is een reëel gevaar bij lekken van bijzondere persoonsgegevens. Informatie over iemands geloof, etniciteit, seksuele geaardheid of gezondheid kan leiden tot stigmatisering.

Dit kan gevolgen hebben voor iemands werk, sociale leven en veiligheid.

Kwetsbare groepen lopen extra risico. Kinderen, ouderen en mensen met een beperking of ziekte zijn vaak moeilijker in staat om adequaat op een datalek te reageren.

Reputatieschade en gevolgen voor de persoonlijke levenssfeer

Reputatieschade ontstaat wanneer privé-informatie openbaar wordt. Denk aan gegevens over problematische schulden, verslavingen of werkprestaties.

Deze informatie kan iemands professionele of persoonlijke reputatie beschadigen.

Medische gegevens vallen onder de meest privé-informatie. Wanneer medische informatie uitlekt, raakt dit de kern van iemands persoonlijke levenssfeer.

Het kan leiden tot gevoelens van vernedering en schaamte.

De gevolgen voor de persoonlijke levenssfeer zijn vooral immaterieel. Psychisch leed, angst en verlies van controle over eigen gegevens kunnen langdurige impact hebben.

Zelfs na een datalek blijft de schade vaak voelbaar. Betrokkenen maken zich zorgen over wat er met hun gegevens gebeurt.

Ze kunnen het gevoel hebben dat hun privacy permanent is geschonden.

Stappenplan: hoe en bij wie een datalek melden?

Bij een datalek moet een organisatie handelen volgens vaste procedures. De melding gaat naar de Autoriteit Persoonsgegevens en in bepaalde gevallen ook naar de betrokkenen zelf.

Melding aan de Autoriteit Persoonsgegevens

Een organisatie moet een datalek melden bij de Autoriteit Persoonsgegevens (AP), de Nederlandse gegevensbeschermingsautoriteit. Dit is verplicht volgens artikel 33 AVG wanneer het datalek een risico vormt voor de rechten en vrijheden van personen.

De melding gebeurt via het officiële meldformulier op de website van de AP. Het formulier vraagt specifieke informatie over het datalek, zoals de aard van het incident en het aantal getroffen personen.

Organisaties kunnen ook een eerdere melding aanvullen of aanpassen via hetzelfde systeem. De AP beoordeelt de melding en kan vervolgstappen ondernemen.

Bij twijfel of een datalek gemeld moet worden, is het verstandig om contact op te nemen met de AP. Zij kunnen advies geven over de meldplicht in specifieke situaties.

Melding aan betrokkenen

Naast de melding aan de AP moet een organisatie ook de betrokkenen informeren wanneer het datalek een hoog risico voor hen oplevert. Dit staat beschreven in artikel 34 AVG.

Een hoog risico betekent dat het datalek ernstige gevolgen kan hebben voor de persoonlijke levenssfeer van mensen. Voorbeelden zijn identiteitsdiefstal, financiële schade of reputatieschade.

De melding aan betrokkenen moet duidelijke informatie bevatten:

  • Beschrijving van de aard van het datalek
  • Contactgegevens van de functionaris voor gegevensbescherming of andere contactpersoon
  • Mogelijke gevolgen van het datalek
  • Maatregelen die de organisatie heeft genomen of voorstelt om de gevolgen te beperken

De organisatie moet begrijpelijke taal gebruiken en duidelijk uitleggen welke stappen betrokkenen kunnen nemen. Directe communicatie is noodzakelijk om mensen te waarschuwen en te beschermen.

Termijnen: binnen 72 uur melden

De wet verplicht organisaties om een datalek binnen 72 uur na ontdekking te melden bij de AP. Deze termijn geldt vanaf het moment dat de organisatie weet heeft van het datalek.

Wanneer een organisatie de melding later indient, moet zij dit uitleggen. Er moet een goede reden zijn voor de vertraging, die vermeld wordt op het meldingsformulier.

Het is belangrijk om snel te handelen. De eerste 72 uur zijn bedoeld om de situatie in kaart te brengen en de melding voor te bereiden.

Organisaties moeten direct beginnen met het verzamelen van informatie zodra zij een datalek ontdekken.

Benodigde informatie bij melding

De AP vraagt om specifieke informatie bij het melden van een datalek. Organisaties moeten deze gegevens bij de hand hebben om de melding compleet te maken.

Vereiste informatie voor de melding:

Categorie Details
Incident Wat is er precies gebeurd en hoe is het ontdekt
Persoonsgegevens Welke categorieën gegevens zijn gelekt
Aantal betrokkenen Hoeveel personen zijn getroffen
Gevolgen Welke risico’s zijn er voor betrokkenen
Maatregelen Welke stappen zijn genomen om het lek te stoppen

De organisatie moet beschrijven hoe het datalek is ontstaan. Ook moet zij aangeven welke beveiligingsmaatregelen getroffen zijn om herhaling te voorkomen.

Gedetailleerde informatie helpt de AP om de ernst van het datalek te beoordelen.

Praktische afhandeling en documentatie van datalekken

Elke organisatie moet datalekken systematisch vastleggen en afhandelen volgens duidelijke procedures. Een goed ingericht datalekregister en heldere verantwoordelijkheidsverdeling zorgen ervoor dat datalekken correct worden behandeld en toekomstige incidenten worden voorkomen.

Het bijhouden van een datalekregister

Volgens de AVG is elke organisatie verplicht een datalekregister bij te houden. Dit register moet álle datalekken bevatten, ook die niet bij de Autoriteit Persoonsgegevens zijn gemeld.

Het datalekregister moet minimaal drie elementen bevatten:

  • De feiten over het datalek (oorzaak, wat er gebeurd is, welke persoonsgegevens betrokken zijn)
  • De gevolgen van het datalek
  • De genomen corrigerende maatregelen

De wet schrijft geen specifieke vorm voor het register voor. Een organisatie mag zelf kiezen hoe het register eruitziet.

Het kan een spreadsheet zijn, een database of een ander systeem.

Het datalekregister helpt organisaties leren van eerdere incidenten. Door patronen te herkennen kan een organisatie gerichte maatregelen nemen.

Het register dient ook als bewijs dat de organisatie de meldplicht correct naleeft.

Belangrijk is dat de registratie helder en volledig is. Vage omschrijvingen maken het moeilijk om later de juiste lessen te trekken.

Ook moet het register vermelden of het datalek gemeld is bij de AP en de betrokkenen, inclusief motivering voor deze keuze.

Interne procedures en verantwoordelijkheden

Een organisatie moet duidelijke procedures hebben voor het omgaan met datalekken. Deze procedures bepalen wie wat doet bij een datalek.

De eerste stap is altijd overzicht krijgen op de situatie. Medewerkers moeten weten bij wie ze een datalek kunnen melden.

Vervolgens moet iemand snel inschatten wat de oorzaak is, welke gegevens betrokken zijn en hoeveel personen getroffen zijn.

Daarna volgen onmiddellijk maatregelen om het lek te stoppen en schade te beperken. Dit kan betekenen:

  • Een verkeerd verzonden e-mail laten verwijderen
  • Toegang tot een gehackt account blokkeren
  • Een per ongeluk gepubliceerd document offline halen
  • Een verloren apparaat op afstand wissen

De verantwoordelijkheid voor deze stappen moet van tevoren vastliggen. Wie beslist of een datalek gemeld moet worden?

Wie neemt contact op met de AP? Wie informeert de betrokkenen?

Een gedocumenteerde procedure voorkomt verwarring tijdens een incident. Medewerkers weten dan precies wat ze moeten doen.

Dit verkleint de kans op fouten onder druk.

Rollen: verwerkingsverantwoordelijke, verwerker en FG

Bij gegevensverwerking zijn vaak meerdere partijen betrokken. De rollen en verantwoordelijkheden bij een datalek hangen af van deze verdeling.

De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de gegevensverwerking. Deze partij draagt de eindverantwoordelijkheid voor het melden van datalekken aan de AP en het informeren van betrokkenen.

Als een datalek zich voordoet, moet de verwerkingsverantwoordelijke de risico’s inschatten en besluiten over melding.

Een verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke. Wanneer een verwerker een datalek ontdekt, moet deze de verwerkingsverantwoordelijke onverwijld informeren.

De verwerker meldt niet zelf aan de AP. Die verplichting ligt bij de verwerkingsverantwoordelijke.

De functionaris gegevensbescherming (FG) speelt een adviserende rol. Deze functionaris moet betrokken worden bij de behandeling van datalekken.

De FG kan helpen bij het inschatten van risico’s en het bepalen of melding verplicht is.

Het datalekregister moet per incident vastleggen welke partijen betrokken waren en of de FG geraadpleegd is. Dit geeft inzicht in de samenwerking en helpt bij toekomstige verwerkersovereenkomsten.

Preventie van datalekken en beveiligingsmaatregelen

Een organisatie moet preventieve maatregelen nemen om datalekken te voorkomen. Versleuteling, bewustzijn bij medewerkers en duidelijke afspraken met verwerkers vormen samen een stevige basis voor gegevensbescherming.

Beveiligingsmaatregelen en versleuteling

Technische beveiligingsmaatregelen vormen de eerste verdedigingslinie tegen datalekken. Een organisatie moet persoonsgegevens versleutelen, zowel bij opslag als tijdens verzending.

Versleutelde gegevens zijn onleesbaar voor onbevoegden, zelfs bij een beveiligingsincident.

Belangrijke technische maatregelen zijn:

  • Toegangsbeveiliging: Alleen geautoriseerde medewerkers krijgen toegang tot persoonsgegevens
  • Sterke authenticatie: Gebruik van meerfactorauthenticatie en veilige wachtwoorden
  • Firewalls en antivirussoftware: Bescherming tegen externe bedreigingen
  • Regelmatige updates: Software en systemen altijd up-to-date houden
  • Back-ups: Regelmatige back-ups maken en veilig opslaan

Een organisatie die versleuteling toepast, hoeft een datalek niet te melden als de gegevens intact blijven en de sleutel veilig is. De cybersecurity moet voortdurend worden geëvalueerd en aangepast aan nieuwe dreigingen.

Bewustwording, training en cultuur

Medewerkers vormen vaak de zwakste schakel in de beveiliging van persoonsgegevens. Een organisatie moet daarom investeren in training en bewustwording.

Regelmatige scholing helpt medewerkers om phishing-pogingen te herkennen en veilig om te gaan met persoonsgegevens. Trainingen moeten praktisch en regelmatig plaatsvinden.

Medewerkers leren hoe zij een beveiligingsincident herkennen en melden. Ze krijgen instructies over het veilig werken met gevoelige gegevens en het gebruik van sterke wachtwoorden.

Een sterke privacycultuur begint bij het management. Wanneer leidinggevenden het belang van gegevensbescherming uitdragen, nemen medewerkers dit serieuzer.

De organisatie moet duidelijke procedures en richtlijnen opstellen die voor iedereen toegankelijk zijn.

Samenwerking met verwerkers en verwerkersovereenkomsten

Een organisatie werkt vaak samen met externe partijen die persoonsgegevens verwerken. De verantwoordelijkheid voor de beveiliging blijft bij de organisatie liggen, ook als een verwerker de gegevens beheert.

Een verwerkersovereenkomst moet schriftelijk worden vastgelegd voordat de samenwerking start. Deze overeenkomst bevat concrete afspraken over beveiligingsmaatregelen, geheimhouding en de meldplicht bij datalekken.

De verwerker mag alleen handelen volgens instructies van de organisatie.

Belangrijke onderdelen van een verwerkersovereenkomst:

  • Doel en duur van de verwerking
  • Type persoonsgegevens en categorieën betrokkenen
  • Concrete beveiligingsmaatregelen die de verwerker neemt
  • Procedure bij een beveiligingsincident
  • Controle- en auditmogelijkheden

De organisatie moet controleren of de verwerker de afgesproken maatregelen daadwerkelijk uitvoert. Regelmatige evaluaties en audits zijn noodzakelijk om te zorgen dat de verwerker voldoet aan de eisen.

Veelvoorkomende oorzaken en voorbeelden van datalekken

Datalekken ontstaan door verschillende oorzaken, van gerichte cyberaanvallen tot simpele menselijke fouten. Zowel externe bedreigingen zoals phishing en ransomware als interne vergissingen kunnen leiden tot ongeoorloofde toegang tot persoonsgegevens.

Phishing en ransomware

Phishing is een veelgebruikte methode waarbij criminelen zich voordoen als betrouwbare partijen. Ze sturen bijvoorbeeld valse e-mails die lijken te komen van banken of leveranciers.

Medewerkers die op links klikken of inloggegevens invoeren, geven onbedoeld toegang tot systemen.

Ransomware vergrendelt gegevens en systemen door middel van versleuteling. Criminelen eisen losgeld om de gegevens weer vrij te geven.

Dit type beveiligingsincident treft regelmatig organisaties van alle groottes. Gestolen persoonsgegevens kunnen worden misbruikt voor identiteitsfraude of worden doorverkocht aan andere criminelen.

Organisaties moeten werknemers trainen om verdachte berichten te herkennen en sterke beveiligingsmaatregelen implementeren.

Onopzettelijk gegevensverlies of onbevoegde toegang

Veel datalekken gebeuren zonder kwaad opzet. Een medewerker stuurt bijvoorbeeld een e-mail met persoonsgegevens naar een verkeerde ontvanger.

Of iemand plaatst een document met klantgegevens op een openbaar toegankelijke server.

Voorbeelden van onopzettelijk gegevensverlies:

  • E-mails naar verkeerde ontvangers
  • Verlies van onversleutelde USB-sticks of laptops
  • Documenten in de verkeerde map opslaan
  • Niet-afgeschermde gedeelde mappen

Onbevoegde toegang ontstaat ook wanneer oud-medewerkers nog steeds toegang hebben tot systemen. Of wanneer externe partijen meer gegevens kunnen inzien dan noodzakelijk is voor hun werkzaamheden.

Strikte toegangscontroles en regelmatige controles van gebruikersrechten helpen deze risico’s te beperken.

Technische fouten en menselijke vergissingen

Technische storingen kunnen leiden tot datalekken zonder menselijke betrokkenheid. Softwarefouten zorgen soms voor onbedoelde toegang tot databases.

Servers zonder updates zijn kwetsbaar voor bekende beveiligingslekken.

Menselijke vergissingen bij de configuratie van systemen creëren eveneens risico’s. Een administrator die een database per ongeluk publiek toegankelijk maakt, veroorzaakt een ernstig datalek.

Ook het niet goed beveiligen van back-ups of cloudopslag leidt tot ongeoorloofde toegang.

Veelvoorkomende technische oorzaken:

  • Verouderde software zonder beveiligingsupdates
  • Verkeerde instellingen van privacy-opties
  • Gebrekkige versleuteling van opgeslagen gegevens
  • Onvoldoende toegangsbescherming op systemen

Regelmatig onderhoud van systemen en grondige testen van nieuwe configuraties verkleinen de kans op deze beveiligingsincidenten aanzienlijk.

Frequently Asked Questions

De AVG stelt specifieke eisen aan het melden van datalekken. Organisaties moeten weten wanneer ze moeten melden, welke informatie ze moeten verstrekken en wat hun verantwoordelijkheden zijn.

Wat zijn de criteria voor het melden van een datalek onder de AVG?

Een organisatie moet een datalek melden bij de Autoriteit Persoonsgegevens wanneer het waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van betrokkenen. Dit omvat de bescherming van persoonsgegevens en de persoonlijke levenssfeer.

De organisatie hoeft het datalek niet te melden als het niet waarschijnlijk is dat er een risico bestaat. Een risico-inschatting is nodig om deze beslissing te nemen.

De organisatie kijkt hierbij naar de omstandigheden van het datalek en de mogelijke gevolgen voor slachtoffers. Bij de beoordeling spelen verschillende factoren een rol.

De aard van de inbreuk, de gevoeligheid van de gegevens en de hoeveelheid gelekte gegevens zijn belangrijk. Ook telt mee hoe makkelijk personen te identificeren zijn en hoe ernstig de gevolgen kunnen zijn.

Een uitzondering geldt wanneer de organisatie vooraf passende maatregelen heeft getroffen. Versleuteling of hashing kan ervoor zorgen dat gelekte gegevens onbegrijpelijk zijn voor onbevoegden.

De gegevens moeten dan wel intact zijn, de organisatie moet volledige controle houden en de versleutelingssleutel mag niet gevaar hebben gelopen.

Binnen welke termijn moet ik een datalek melden bij de Autoriteit Persoonsgegevens?

Een organisatie moet een datalek zonder onnodige vertraging melden bij de Autoriteit Persoonsgegevens. De maximale termijn is 72 uur na de ontdekking van het datalek.

Deze termijn begint te lopen vanaf het moment dat de organisatie het datalek ontdekt. Het maakt niet uit of het datalek al is opgelost.

De organisatie moet ook melden als het onderzoek naar het datalek nog loopt.

Welke informatie moet ik verstrekken bij het melden van een datalek?

De organisatie moet basisgegevens van de inbreuk verstrekken aan de Autoriteit Persoonsgegevens. Dit omvat een beschrijving van de aard van het datalek en de omstandigheden waarin het is ontstaan.

De melding moet informatie bevatten over welke persoonsgegevens zijn gelekt. De organisatie moet aangeven hoeveel betrokkenen het datalek treft.

Ook moet ze uitleggen welke gevolgen het datalek kan hebben voor de slachtoffers. De organisatie moet beschrijven welke maatregelen ze heeft genomen of gaat nemen.

Deze maatregelen moeten de gevolgen van het datalek beperken. Als de organisatie de betrokkenen niet informeert, moet ze uitleggen waarom niet.

De organisatie moet alle inbreuken intern registreren. Dit geldt ook voor datalekken die niet aan de Autoriteit Persoonsgegevens worden gemeld.

De registratie bevat de basisgegevens, de beoordeling, de gevolgen en de genomen maatregelen.

Wat zijn de gevolgen van het niet melden van een datalek?

De Autoriteit Persoonsgegevens kan boetes opleggen wanneer een organisatie een meldplichtig datalek niet meldt. De AVG verplicht organisaties om datalekken te melden wanneer daar aanleiding toe is.

De organisatie loopt ook andere risico’s. Slachtoffers kunnen financiële schade lijden door identiteitsfraude of andere vormen van misbruik.

De organisatie kan aansprakelijk worden gesteld voor deze schade. Het niet melden kan leiden tot reputatieschade voor de organisatie.

Betrokkenen en zakenpartners kunnen het vertrouwen in de organisatie verliezen. Dit kan langdurige gevolgen hebben voor de bedrijfsvoering.

Hoe kan ik een datalek het beste intern documenteren?

De organisatie moet voor alle inbreuken een interne registratie bijhouden. Deze verplichting geldt zelfs voor datalekken die niet aan de Autoriteit Persoonsgegevens worden gemeld.

De documentatie moet minimaal de basisgegevens van de inbreuk bevatten. De organisatie legt vast wat er precies is gebeurd en wanneer het datalek is ontdekt.

Ook moet ze de omvang van het datalek beschrijven. De registratie bevat de risico-inschatting die de organisatie heeft gemaakt.

Ze legt uit welke factoren ze heeft meegewogen in haar beslissing. De organisatie documenteert ook of ze heeft besloten het datalek wel of niet te melden.

De organisatie moet vastleggen welke gevolgen het datalek heeft of kan hebben. Ook beschrijft ze welke maatregelen ze heeft genomen om het datalek te stoppen.

Daarnaast legt ze vast welke maatregelen ze neemt om herhaling te voorkomen.

Wat zijn de verantwoordelijkheden van verwerkers bij een datalek?

Een verwerker die persoonsgegevens verwerkt namens een organisatie heeft specifieke verplichtingen. De verwerker moet de organisatie direct informeren wanneer hij een datalek ontdekt.

Deze meldplicht staat los van de meldplicht aan de Autoriteit Persoonsgegevens. De verantwoordelijkheid voor het melden aan de Autoriteit Persoonsgegevens ligt bij de organisatie zelf.

De organisatie moet beoordelen of het datalek gemeld moet worden. De verwerker moet wel alle nodige informatie aanleveren voor deze beoordeling.

De verwerker moet maatregelen nemen om het datalek te stoppen en de gevolgen te beperken.

Previous
Nederlandse arbeidscontracten voor expats: wat moet erin staan?
Next
Internationale incasso: hoe werkt een Europese betalingsbevelprocedure?
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80