nl
Klanten
staan centraal
40+ jaar
juridisch expert
Nationaal
en internationaal
Neem contact op

Wat moet ik doen bij een datalek?

Een datalek kan iedereen overkomen, ook uw organisatie. Het is daarom van groot belang goed voorbereid te zijn. In dit artikel leest u welke stappen uw bedrijf dient te nemen in geval van een datalek.

Wanneer is er sprake van een datalek?

In de Algemene Verordening Gegevensbescherming (“AVG”) is vastgelegd wanneer een datalek gemeld dient te worden. Er is sprake van een datalek indien er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden. De AVG definieert zo’n inbreuk als volgt:

“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Dat is dus niet alleen wanneer een onbevoegde toegang heeft gekregen tot persoonsgegevens, maar ook wanneer gegevens per ongeluk zijn verwijderd.

Stappenplan

  1. Vaststellen van de feiten
  • Bepaal wat de aard is geweest van de inbreuk: gaat het om vernietigde of gelekte gegevens?

Bij bijvoorbeeld een gestolen laptop waarop persoonsgegevens zijn opgeslagen kan er ook sprake zijn van een datalek.

  • Om wat voor persoonsgegevens gaat het?

Gaat het enkel om contactgegevens of gaat het ook om gevoeligere gegevens (bv. creditcardgegevens of patiëntgegevens)

  • Wat kunnen mogelijke gevolgen zijn van het datalek? Gaat het om een hoog of juist laag risico?

De gevolgen van een datalek hangen af van de omstandigheden. In de meeste gevallen hebben gelekte gegevens verdergaande gevolgen dan per ongeluk verwijderde gegevens. Dat kan anders zijn indien het gaat om bijvoorbeeld patiëntgegevens.

  • Stel vast wie toegang heeft gehad tot de persoonsgegevens.

 

  1. Neem schadebeperkende maatregelen

Ga na welke maatregelen u kunt treffen om de schade zoveel mogelijk te beperken. Welke maatregelen u kunt treffen hangt van de omstandigheden van het geval. Voorbeelden van maatregelen kunnen zijn:

  • het wijzigen van wachtwoorden;
  • blokkeren van toegang tot een gegevensdrager zoals een laptop;
  • informeer werknemers over het datalek en geef duidelijke instructies hoe ermee om te gaan;

 

  1. Indien vereist – meld het datalek bij de autoriteit persoonsgegevens

U bent verplicht een datalek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens indien het datalek. Dit kunt u doen via het meldformulier op de website van de Autoriteit Persoonsgegevens: Meldformulier datalekken.

Een datalek hoeft niet bij de Autoriteit Persoonsgegevens te worden gemeld als het onwaarschijnlijk is dat er een risico bestaat voor de betrokkenen. Een voorbeeld: een werknemer stuurt een versleuteld document met persoonsgegevens bevat door naar een verkeerde ontvanger. Het is onwaarschijnlijk dat de ontvanger daadwerkelijk toegang krijgt tot de persoonsgegevens.

 

  1. Indien vereist – meld het datalek bij de betrokkenen

 Indien u vaststelt dat het datalek een groot risico vormt voor de rechten van een betrokkene, bent u tevens verplicht het datalek aan de betrokkene zelf te melden.

Bij de beoordeling of een datalek aan de betrokkenen moet worden gemeld, dient u zich af te vragen of het datalek mogelijke ernstige gevolgen kan hebben voor de betrokkenen (zoals bijvoorbeeld identiteitsfraude, discriminatie of reputatieschade). Er kan al snel sprake zijn van een hoog risico. Zo kan het lekken van namen en e-mailadressen kunnen in sommige gevallen al een hoog risico opleveren, omdat deze gegevens kunnen worden misbruikt voor phishing.

Het lekken van gegevens zoals BSN-nummers, wachtwoorden, creditcardgegevens of medische gegevens kwalificeren over het algemeen als een hoog risico.

 

  1. Registreren datalek in datalekregister

 Organisaties zijn verplicht datalekken te registreren in een intern datalekregister (art. 33 lid 5 AVG). U bent zelf verantwoordelijk van het bijhouden van zo een register. In het register meldt u alle datalekken, ook de datalekken die u niet bij de Autoriteit Persoonsgegevens hoefde te melden. U registreert in ieder geval het volgende:

  • De feiten in verband met het datalek (wat is er gebeurd?);
  • De gevolgen van het datalek;
  • De maatregelen die zijn getroffen.

 

  1. Neem maatregelen te voorkoming van toekomstige datalekken

 Voorkomen is beter dan genezen. Voorbeelden van maatregelen die kunnen worden genomen zijn:

  • Interne trainingen van personeel;
  • Het beveiligingsbeleid reëvalueren;
  • Sla onnodige persoonsgegevens niet op;
  • Activeer multi-factor authenticatie.

Vragen?

Heeft u hulp nodig bij de afweging of u een datalek moet melden of bij een van de andere stappen? Onze advocaten Privacyrecht adviseren u graag.

Meer informatie

Mocht u a.d.h.v. dit artikel nog vragen hebben, neem dan contact op met onze specialisten Privacyrecht:

Artikelen en klantverhalen binnen dit specialisme

AVG Privacyrecht

Introductie tot de AVG – de tien meest gestelde vragen

Schending privacywetgeving

Hoge boete voor TikTok wegens schending privacywetgeving

Recente artikelen

Latente ruimte veehouderijen
Hoe om te gaan met latente ruimte bij veehouderijen? – Provinciale verschillen
15 september 2025
Meldwijzer onveilige levensmiddelen
Aanpassing meldwijzer onveilige levensmiddelen NVWA
15 september 2025
Bouwrecht
Effectief bouwen: het belang van een gedegen voorbereiding en een evenwichtige verdeling van risico’s
29 augustus 2025

Meer specialismen