+31 40 369 06 80
[email protected]

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Afspraak

Law & More Logo

Nieuws, Ondernemingsrecht, Privacy

Datalek melden: wanneer bent u daartoe verplicht? Alles over uw meldplicht

oktober 19, 2025

Een datalek kan elke organisatie treffen. Maar wanneer bent u nou echt verplicht om dit te melden?

U moet een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico oplevert voor de rechten en vrijheden van betrokkenen.

Deze verplichting geldt onder de AVG-wetgeving. Het kan flinke gevolgen hebben voor uw organisatie.

Een groep professionals in een kantoor bespreekt gegevens op een digitaal scherm met waarschuwingstekens.

Het bepalen of een datalek meldingsplichtig is, vraagt om een zorgvuldige risico-inschatting. Denk aan factoren zoals de aard van de gelekte gegevens, het aantal betrokkenen en de omstandigheden van het lek.

Gevoelige informatie zoals medische gegevens of creditcardgegevens brengt vaak een groter risico met zich mee. Het is dus niet altijd zwart-wit.

Wat is een datalek en wanneer is het sprake?

Een IT-professional zit achter een bureau met meerdere computerschermen waarop beveiligingswaarschuwingen en code te zien zijn, met op de achtergrond een digitaal symbool van een gebroken schild dat een datalek voorstelt.

Een datalek ontstaat wanneer persoonsgegevens onbedoeld toegankelijk worden of verloren gaan door een beveiligingsprobleem. De AVG heeft daar duidelijke regels over.

Definitie van een datalek volgens de AVG

De Algemene Verordening Gegevensbescherming noemt een datalek een inbreuk op de beveiliging. Dat kan leiden tot verlies, ongeoorloofde wijziging, verstrekking, inzage of andere verwerking van persoonsgegevens.

Er is sprake van een datalek zodra er iets gebeurt met persoonsgegevens terwijl dat niet de bedoeling was. De oorzaak? Altijd een beveiligingsprobleem, hoe klein ook.

Drie hoofdvormen van datalekken:

  • Vertrouwelijkheid: Onbevoegde toegang tot gegevens
  • Integriteit: Ongeoorloofde wijziging van gegevens
  • Beschikbaarheid: Verlies of ontoegankelijkheid van gegevens

De AVG maakt geen onderscheid tussen opzettelijke en onopzettelijke inbreuken. Beide vormen vallen gewoon onder de definitie van een datalek.

Voorbeelden van datalekken in de praktijk

Datalekken kunnen op allerlei manieren ontstaan. Zowel digitale als papieren persoonsgegevens kunnen betrokken zijn.

Veelvoorkomende voorbeelden:

  • Email met persoonsgegevens naar de verkeerde ontvanger
  • CC gebruiken in plaats van BCC bij een groepsemail
  • Verkeerde salarisstrook naar een werknemer sturen
  • Hackers die inbreken in databases
  • Gestolen laptop met klantgegevens
  • Verloren USB-stick met persoonlijke info

Een werknemer die per ongeluk toegang krijgt tot andermans medisch dossier? Dat telt ook als datalek, zelfs als hij de info meteen weer sluit.

Bijzondere persoonsgegevens zoals medische gegevens of etnische afkomst maken een datalek meestal ernstiger. Die gegevens verdienen extra bescherming onder de AVG.

Verschillende typen datalekken

Datalekken kun je indelen naar oorzaak en ernst. Zo kan een organisatie beter bepalen wat te doen.

Indeling naar oorzaak:

  • Menselijke fouten: Verkeerd verzenden of delen
  • Technische problemen: Systeemfouten, bugs in software
  • Kwaadwillende aanvallen: Hacking, malware, phishing
  • Fysieke incidenten: Diefstal of verlies van apparaten

Indeling naar ernst:

  • Kwantitatief ernstig: Grote hoeveelheden persoonsgegevens
  • Kwalitatief ernstig: Gevoelige data zoals financiële of medische informatie

De combinatie van type en ernst bepaalt of je het datalek moet melden. Privacy van betrokkenen blijft het belangrijkste in die afweging.

Wanneer bent u verplicht een datalek te melden?

Een groep zakelijke professionals bespreekt gegevensbeveiliging in een moderne kantooromgeving met een digitaal scherm waarop beveiligingssymbolen te zien zijn.

De meldplicht datalekken geldt alleen als een datalek waarschijnlijk risico’s oplevert voor betrokkenen. Niet elk datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens.

Criteria voor meldplicht onder de AVG

Een verwerkingsverantwoordelijke moet een datalek melden als het waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen. Dus niet alles hoeft automatisch gemeld te worden.

Melden moet binnen 72 uur na ontdekking van het datalek. Die termijn begint zodra u weet, of eigenlijk had moeten weten, dat er een datalek is.

U meldt via het formulier op de site van de AP. De verwerkingsverantwoordelijke moet dit doen, ook als een verwerker het lek veroorzaakte.

Belangrijke factoren bij de beoordeling:

  • Type persoonsgegevens die zijn gelekt
  • Aantal betrokkenen
  • Mogelijke gevolgen voor betrokkenen
  • Beveiligingsmaatregelen die al waren getroffen

Risico-inschatting voor betrokkenen

De ernst van het risico bepaalt of melding verplicht is. U moet inschatten of betrokkenen schade kunnen ondervinden door het datalek.

Voorbeelden van hoog risico situaties:

  • Financiële gegevens zoals creditcardnummers
  • Medische of gezondheidsgegevens
  • Identiteitsdocumenten of BSN-nummers
  • Grote aantallen betrokkenen

Laag risico kan bijvoorbeeld zijn:

  • Versleutelde gegevens waarvan de sleutel veilig is
  • Beperkte toegang tot bekende, betrouwbare ontvangers
  • Gegevens die al openbaar waren

Een functionaris gegevensbescherming kan helpen bij deze risico-inschatting. Hun advies is vaak waardevol voor een juiste beoordeling.

Uitzonderingen op de meldplicht

Geen meldplicht geldt als het datalek waarschijnlijk geen risico oplevert voor de rechten en vrijheden van betrokkenen. U moet dat wel goed kunnen onderbouwen.

Voorbeelden van geen meldplicht:

  • Volledig versleutelde gegevens
  • Interne doorsturing naar een bevoegde medewerker
  • Gegevens die al openbaar beschikbaar waren
  • Technische fout die direct is hersteld zonder dat onbevoegden toegang hadden

Alle datalekken moet u wel registreren in het interne datalekregister, ook als u ze niet aan de AP meldt. Zo leert u van incidenten en voorkomt u herhaling.

De organisatie moet kunnen aantonen waarom een datalek niet is gemeld. Goede documentatie van die keuze is echt essentieel.

De procedure voor het melden van een datalek

Ontdekt u een datalek? Dan moet u een duidelijke procedure volgen.

Die procedure bestaat uit concrete stappen, het verzamelen van specifieke informatie en het naleven van wettelijke termijnen.

Stappenplan bij constatering van een datalek

Zodra een organisatie een datalek ontdekt, moet ze direct aan de slag. De eerste stap? Leg het incident vast in het interne datalekregister.

Daarna moet je snel uitzoeken wat er precies is misgegaan. Welke gegevens zijn geraakt, en hoeveel mensen zijn de dupe?

Belangrijke eerste acties:

  • Stop het datalek als dat nog kan
  • Noteer alle details in het datalekregister
  • Voer een risicobeoordeling uit

Na die risicobeoordeling kijk je of een melding verplicht is. Dit hangt af van het risico voor de rechten en vrijheden van betrokkenen.

Zijn gegevens versleuteld of is het lek heel klein? Dan hoeft melden vaak niet. Leg deze keuze wel goed uit en documenteer alles.

Vereiste informatie bij een melding

Wil je melden bij de Autoriteit Persoonsgegevens (AP)? Dan heb je specifieke info nodig. Het meldformulier op de AP-site vraagt om duidelijke details.

Verplichte gegevens voor de melding:

  • Aard van het datalek
  • Aantal getroffen personen
  • Soort persoonsgegevens die zijn gelekt
  • Welke maatregelen je hebt genomen
  • Mogelijke gevolgen voor betrokkenen

Je moet ook uitleggen hoe het datalek ontstond. Dat kan door een technisch probleem, een menselijke fout, of een externe aanval zijn.

Heb je nog niet alle info? Dien dan een voorlopige melding in. Later kun je de ontbrekende gegevens alsnog toevoegen.

Termijnen en deadlines

De AVG is streng: binnen 72 uur na ontdekking moet je het datalek melden bij de AP. Dit geldt alleen als er waarschijnlijk risico’s zijn voor betrokkenen.

Is er geen risico? Dan hoef je niet te melden.

Tijdlijn voor datalekmeldingen:

  • 0-24 uur: Interne registratie en risicobeoordeling
  • 24-48 uur: Besluit over meldingsplicht
  • 48-72 uur: Melding indienen bij AP indien nodig

Bij ingewikkelde datalekken kun je binnen 72 uur alvast een voorlopige melding doen. Je levert de rest van de info later aan.

Zijn de risico’s voor betrokkenen hoog? Dan moet je hen zo snel mogelijk informeren. Wacht daar niet te lang mee.

Gevolgen van het niet of niet tijdig melden

Als je een datalek niet of te laat meldt, krijg je serieuze problemen. Denk aan flinke boetes en blijvend verlies van vertrouwen bij je klanten.

Juridische en financiële consequenties

De Autoriteit Persoonsgegevens (AP) kan forse boetes opleggen als je niet meldt. Vaak zijn die boetes hoger dan wanneer je op tijd bent.

Boetehoogte onder de AVG:

  • Tot 4% van de jaaromzet
  • Maximaal 20 miljoen euro
  • Afhankelijk van ernst en impact

De AP kijkt naar verschillende factoren bij het bepalen van de boete. Hoe groot is de organisatie en hoeveel mensen zijn geraakt?

Niet melden is een aparte overtreding. Je kunt zelfs een dubbele boete krijgen.

Naast boetes kun je civiele claims verwachten. Getroffenen kunnen schadevergoeding eisen, vooral bij financiële schade door het lek.

Reputatieschade voor organisaties

Reputatieschade ontstaat snel als een datalek bekend wordt. Vooral als je niet tijdig hebt gemeld bij de AP.

De media duiken er meteen bovenop. Organisaties die niet melden, krijgen extra negatieve publiciteit. Klanten haken dan vaak af.

Gevolgen voor het bedrijf:

  • Verlies van klanten
  • Dalende omzet
  • Moeilijkheden bij werving
  • Lagere waardering

Reputatieschade herstellen kost veel tijd en geld. Sommige bedrijven komen er nooit helemaal bovenop. Kleine organisaties zijn vaak extra kwetsbaar.

Klanten willen tegenwoordig transparantie. Als je open bent over datalekken, blijft het vertrouwen meestal beter. Verstoppen werkt bijna altijd averechts.

Risico’s op identiteitsfraude

Meld je niet op tijd? Dan kunnen slachtoffers zich niet beschermen. De kans op identiteitsfraude schiet dan omhoog.

Vaak weten mensen niet eens dat hun gegevens zijn gelekt. Ze nemen dus geen maatregelen, en criminelen krijgen vrij spel.

Veel voorkomende vormen van misbruik:

  • Neprekeningen openen
  • Online bestellingen plaatsen
  • Krediet aanvragen
  • Belastingfraude plegen

BSN-nummers samen met andere gegevens zijn extra risicovol. Criminelen stelen hiermee makkelijk identiteiten. Ook creditcardgegevens zorgen snel voor financiële schade.

De schade voor slachtoffers stapelt zich op. Hoe langer ze in het ongewisse blijven, hoe erger het wordt. Organisaties kunnen dan aansprakelijk worden gehouden voor alle gevolgen.

Specifieke aandachtspunten bij persoonsgegevens

De aard en gevoeligheid van gelekte persoonsgegevens zijn cruciaal bij de meldplicht. Bijzondere persoonsgegevens vragen om extra oplettendheid, maar zelfs ogenschijnlijk onschuldige gegevens zoals e-mailadressen kunnen risico’s opleveren.

Omgaan met bijzondere persoonsgegevens

Bijzondere persoonsgegevens brengen altijd extra risico’s met zich mee. De AVG beschermt deze gegevens strenger.

Tot bijzondere persoonsgegevens horen onder meer:

  • Gezondheidsgegevens (zoals medische dossiers)
  • Gegevens over ras of etnische afkomst
  • Politieke opvattingen en religieuze overtuigingen
  • Seksuele geaardheid en leven
  • Genetische en biometrische gegevens

Bij een lek van deze gegevens loopt het risico voor betrokkenen snel op. Denk aan discriminatie of reputatieschade.

Organisaties moeten deze gegevens altijd als hoog-risico behandelen. Melden bij de AP is dan meestal verplicht. Ook betrokkenen informeren hoort er vaak bij.

E-mailadressen en andere gevoelige gegevens

E-mailadressen lijken onschuldig, maar kunnen flink wat risico’s opleveren. Cybercriminelen gebruiken ze voor phishing-aanvallen.

Andere gevoelige gegevens zijn bijvoorbeeld:

  • Telefoonnummers
  • BSN samen met NAW-gegevens
  • Kopieën van identiteitsdocumenten
  • Creditcardgegevens

De context maakt uit. Een e-mailadres van een therapeut is gevoeliger dan dat van een nieuwsbrief. Organisaties moeten altijd goed naar die context kijken.

Datalekken bij verwerkers en verwerkersovereenkomsten

Werk je met externe verwerkers? Dan blijf je als verwerkingsverantwoordelijke eindverantwoordelijk voor de melding van datalekken.

Verwerkersovereenkomsten moeten duidelijke afspraken bevatten over:

  • Meldingstermijnen bij datalekken
  • Informatie aan de verwerkingsverantwoordelijke
  • Beveiligingsmaatregelen

De verwerker moet het datalek direct melden aan de verwerkingsverantwoordelijke. Die beoordeelt of een melding bij de AP nodig is.

Leg deze afspraken vooraf duidelijk vast. Onduidelijkheid leidt al snel tot te late meldingen of boetes.

Praktische tips voor het voorkomen en beheersen van datalekken

Goede voorbereiding en stevige beveiligingsmaatregelen voorkomen de meeste datalekken. Een goed datalekregister helpt om incidenten bij te houden.

Specifieke maatregelen tegen cyberaanvallen en ransomware bieden extra bescherming. Dat klinkt logisch, maar in de praktijk schiet het hier nog wel eens tekort.

Beveiligingsmaatregelen en protocollen

Zorg dat je basisbeveiliging op orde is. Begin bijvoorbeeld met het beperken van wie software mag installeren op bedrijfsapparatuur.

Als medewerkers zelf programma’s downloaden, wordt het systeem kwetsbaar. Geef alleen IT-beheerders die rechten—dat voorkomt een hoop ellende.

Essentiële beveiligingsmaatregelen:

  • Regelmatig alle software en systemen updaten
  • Sterke wachtwoorden gebruiken en tweefactorauthenticatie instellen
  • Gevoelige gegevens versleutelen
  • Back-ups op veilige, externe locaties bewaren
  • Toegangsrechten per medewerker beperken

Geef medewerkers training over privacy en gegevensbeveiliging. Laat ze zien hoe ze verdachte e-mails herkennen en wat ze moeten doen bij een mogelijk datalek.

Een duidelijk protocol is onmisbaar. Leg daarin vast welke stappen je neemt om het lek te stoppen, risico’s in te schatten en bij welke instanties je moet melden.

Het belang van een datalekregister

Met een datalekregister houd je alle incidenten bij, ook die je niet hoeft te melden bij de AP. Zo zie je sneller patronen en ontdek je zwakke plekken.

Noteer per incident deze info:

  • Datum en tijd van ontdekking
  • Oorzaak van het datalek
  • Soort gegevens die betrokken waren
  • Aantal betrokkenen
  • Welke maatregelen je hebt genomen

Voordelen van een goed register:

  • Je reageert sneller bij nieuwe incidenten
  • Je toont zorgvuldigheid aan richting de AP
  • Je krijgt inzicht in terugkerende problemen
  • Het vormt de basis voor verbeteringen

Kijk regelmatig kritisch naar het register. Zo zie je trends en kun je preventief handelen.

Bewaar het register veilig en geef alleen bevoegde personen toegang. Het is tenslotte gevoelige informatie.

Voorbereiden op cyberaanvallen en ransomware

Ransomware is een grote bedreiging voor elke organisatie. Zo’n aanval kan in een paar uur alles platleggen en data versleutelen.

Voorbereiden begint bij goede back-ups. Bewaar ze offline, zodat ransomware er niet bij kan. Test geregeld of ze daadwerkelijk werken.

Belangrijke maatregelen tegen ransomware:

  • Scheid netwerken van verschillende systemen
  • Monitor verdachte activiteiten
  • Maak een incident response plan met duidelijke rollen
  • Houd contactgegevens van experts en instanties bij de hand

Bij een cyberaanval telt elke minuut. Medewerkers moeten weten wanneer ze systemen moeten uitzetten en wie ze moeten waarschuwen.

Bepaal van tevoren of je losgeld zou betalen. De meeste experts raden dat af, want het biedt geen enkele garantie.

Een goede cyberverzekering kan het verschil maken na een aanval. Check wel of de polis ook datalekken dekt—dat wordt nog wel eens vergeten.

Veelgestelde vragen

De AVG-regels voor het melden van datalekken roepen vaak vragen op. Vooral over criteria, termijnen en de juiste procedure.

Wat zijn de criteria om een datalek te moeten melden bij de Autoriteit Persoonsgegevens?

Je moet een datalek melden bij de AP als het waarschijnlijk is dat het een risico vormt voor de rechten en vrijheden van betrokkenen. Denk aan schade aan privacy, veiligheid of andere belangen.

Je hoeft niet te melden als de gelekte gegevens technisch onleesbaar zijn voor onbevoegden. Versleuteling of hashing kan dit voorkomen.

Daarvoor gelden drie voorwaarden: de gegevens moeten volledig intact zijn, de organisatie moet nog volledige controle hebben en de encryptiesleutel mag niet in gevaar zijn gekomen.

Binnen welke termijn moet een datalek gemeld worden volgens de AVG?

Meld een datalek binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Dit geldt alleen als het lek risico oplevert voor betrokkenen.

De 72 uur gaan lopen zodra je weet van het datalek, ook al heb je nog niet alle details. Lukt melden niet binnen die termijn? Licht dan toe waarom het langer duurde.

Liever te laat melden dan helemaal niet, trouwens.

Welke stappen moet ik ondernemen als er een datalek bij mijn organisatie is geconstateerd?

Stop het datalek zo snel mogelijk en voorkom verdere schade. Soms betekent dat systemen afsluiten of toegangen blokkeren.

Maak daarna een risico-inschatting. Kijk naar de gevolgen voor betrokkenen, de gevoeligheid van de gegevens en het aantal slachtoffers.

Op basis daarvan bepaal je of je moet melden bij de AP. Bij twijfel: gewoon melden. Check ook of je betrokkenen moet informeren.

Registreer elk datalek, ook als je niet hoeft te melden bij de AP. Die registratie helpt bij het aantonen van compliance en voorkomt herhaling.

Aan welke vereisten moet een melding van een datalek voldoen?

Een melding moet feitelijke informatie bevatten over het incident. Denk aan de oorzaak, wat er precies is gebeurd en om welke persoonsgegevens het gaat.

Vermeld het aantal getroffen personen en beschrijf de mogelijke gevolgen. Geef ook aan welke maatregelen je al hebt genomen.

Heb je niet direct alle informatie? Dien dan een eerste melding in en vul die later aan. Houd de AP op de hoogte van nieuwe ontwikkelingen.

Hoe bepaal ik de ernst van een datalek en de noodzaak tot melding?

De ernst van een datalek hangt af van verschillende factoren. Kijk naar de aard van de inbreuk: zijn gegevens gelekt, gewist of gewijzigd?

De gevoeligheid van de gegevens is belangrijk. Gezondheidsgegevens, strafrechtelijke gegevens of BSN-nummers brengen meer risico met zich mee. Creditcardgegevens en identiteitsdocumenten zijn ook erg gevoelig.

Hoe makkelijk kun je personen identificeren? Versleuteling of pseudonimisering verlaagt het risico. Weeg ook de gevolgen voor slachtoffers mee.

Kijk naar de ontvanger van de gegevens. Een collega vormt minder risico dan een onbekende derde. Het aantal getroffen personen telt natuurlijk ook mee.

Wat zijn de mogelijke gevolgen van het niet melden van een datalek?

De Autoriteit Persoonsgegevens deelt boetes uit aan organisaties die verplichte datalekken niet melden. Die boetes kunnen flink oplopen, soms tot miljoenen euro’s, afhankelijk van hoe groot je organisatie is.

Het niet melden van een datalek schaadt ook je reputatie. Betrokkenen kunnen zelfs schadevergoeding eisen als ze nadeel ondervinden door een niet-gemeld datalek.

De AP grijpt soms op andere manieren in. Denk aan een waarschuwing, een berisping, of extra verplichtingen.

In serieuze gevallen verbiedt de AP de gegevensverwerking tijdelijk of zelfs helemaal. Dat wil je natuurlijk liever voorkomen.

Previous
Werken in Nederland met een buitenlands arbeidscontract: Belangrijkste aandachtspunten
Next
Procederen tegen een Buitenlands Bedrijf: Hoe Werkt Dat in Nederland
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Google Maps
Consent to display content from - Google
Spotify
Consent to display content from - Spotify
Sound Cloud
Consent to display content from - Sound
Save

facebook lawandmore.nl   instagram lawandmore.nl   linkedin lawandmore.nl   twitter lawandmore.nl

Ma/Vrij 08.00-22.00
Za/Zo 9.00-17.00
[email protected]
+31 40 369 06 80