Inhoud bewerken
Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat moet ik doen bij een datalek volgens AVG?

19 april 2025

Bij een inbreuk op persoonsgegevens onder de privacywetgeving moet je snel handelen. Eerst documenteer je het incident, inclusief aard en omvang. Daarna bepaal je of je binnen 72 uur melding moet maken bij de Autoriteit Persoonsgegevens. In sommige gevallen moet je ook betrokkenen informeren. Belangrijk is het nemen van maatregelen om verdere schade te beperken en herhaling te voorkomen. Zorg voor een goed actieplan zodat je voorbereid bent als het gebeurt.

Wat moet ik doen bij een datalek volgens AVG?

Als verwerkingsverantwoordelijke heb je specifieke verplichtingen wanneer er een datalek optreedt. Het is belangrijk om systematisch te handelen zodra je een mogelijk datalek constateert. Begin met het vastleggen van alle relevante informatie: wanneer vond het lek plaats, welke gegevens zijn betrokken en wie zijn mogelijk getroffen?

Na detectie moet je bepalen of het incident gemeld moet worden bij de Autoriteit Persoonsgegevens. Niet elk datalek is meldplichtig, maar je moet wel elk incident documenteren. Daarnaast moet je beoordelen of de betrokkenen geïnformeerd moeten worden. Zorg ook voor directe maatregelen om het lek te dichten en verdere schade te beperken.

De wetgeving vereist dat je binnen 72 uur melding maakt bij ernstige datalekken. Te laat of niet melden kan leiden tot boetes. Daarom is het verstandig om een duidelijk protocol klaar te hebben liggen zodat je weet wat te doen wanneer een datalek zich voordoet.

Wanneer is er sprake van een datalek volgens de AVG?

De AVG definieert een datalek als een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of waarbij onrechtmatige verwerking niet kan worden uitgesloten. Dit is een breed begrip dat verschillende situaties omvat.

Voorbeelden van datalekken zijn:

  • Een gestolen of verloren laptop met onversleutelde klantgegevens
  • Een hack waarbij persoonsgegevens zijn buitgemaakt
  • Een e-mail met privacygevoelige informatie die naar een verkeerde ontvanger is gestuurd
  • Een ransomware-aanval waarbij gegevens ontoegankelijk zijn gemaakt
  • Een papieren dossier met persoonsgegevens dat kwijtgeraakt is

Niet alle incidenten zijn echter datalekken. Als een versleutelde USB-stick verloren gaat en de sleutel veilig is, is er meestal geen sprake van een datalek. Ook een poging tot inbraak in je systeem die tijdig is afgeslagen, kwalificeert doorgaans niet als datalek.

De AVG maakt onderscheid tussen verschillende typen datalekken, van laag tot hoog risico, afhankelijk van factoren zoals het type gegevens en het aantal betrokkenen. Bijzondere persoonsgegevens zoals gezondheidsgegevens of BSN-nummers leiden tot een hogere risico-inschatting.

Binnen welke termijn moet ik een datalek melden?

De AVG stelt duidelijk dat een meldplichtig datalek uiterlijk binnen 72 uur na ontdekking gemeld moet worden bij de Autoriteit Persoonsgegevens. Deze termijn gaat in zodra je redelijkerwijs kan vaststellen dat er sprake is van een beveiligingsincident waarbij persoonsgegevens betrokken zijn.

De 72-uurtermijn geldt ook in weekenden en op feestdagen. In de praktijk betekent dit dat je organisatie snel moet kunnen handelen. Het is verstandig om een incidentresponsplan te hebben met duidelijke escalatieprocedures.

Als je voorziet dat je de deadline niet haalt, bijvoorbeeld omdat je nog niet alle informatie over het datalek hebt, kun je een voorlopige melding doen. Je geeft dan de informatie die je al hebt en vult deze later aan. Let op: je moet wel uitleggen waarom je de melding in delen doet.

In uitzonderlijke gevallen kun je gemotiveerd uitstel krijgen, bijvoorbeeld wanneer melding een lopend strafrechtelijk onderzoek zou schaden. Dit moet je wel expliciet aangeven bij je melding.

Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Nee, niet elk datalek moet worden gemeld. Je hoeft alleen melding te maken van datalekken die waarschijnlijk een risico inhouden voor de rechten en vrijheden van natuurlijke personen. Dit vereist een zorgvuldige risicoanalyse van elke situatie.

Bij deze analyse moet je factoren overwegen zoals:

  • Aard en omvang van de getroffen persoonsgegevens
  • Aantal getroffen personen
  • Mogelijke gevolgen voor betrokkenen
  • Effectiviteit van genomen beveiligingsmaatregelen (zoals versleuteling)

Ook niet-meldplichtige datalekken moeten wel intern worden gedocumenteerd. De AVG verplicht je om een register bij te houden van alle beveiligingsincidenten met persoonsgegevens. Dit register kan bij een controle worden opgevraagd door de Autoriteit Persoonsgegevens.

Een praktisch voorbeeld: als een medewerker per ongeluk een e-mail met alleen namen (zonder andere identificerende gegevens) naar een verkeerde ontvanger stuurt, en deze e-mail direct wordt verwijderd, is melding vaak niet nodig. Je moet dit incident wel documenteren.

Wanneer moet ik betrokkenen informeren over een datalek?

Je moet betrokkenen informeren over een datalek wanneer het incident waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Dit is een zwaardere toets dan voor de melding aan de Autoriteit Persoonsgegevens.

Factoren die wijzen op een hoog risico zijn:

  • Het lek betreft gevoelige gegevens zoals financiële informatie, medische gegevens of BSN-nummers
  • Er is risico op identiteitsfraude of financiële schade
  • De gegevens zijn in handen gekomen van personen met kwaadwillende intenties
  • De gelekte gegevens waren niet versleuteld of anderszins beveiligd

In je communicatie naar betrokkenen moet je duidelijk uitleggen:

  1. Wat er is gebeurd (in duidelijke taal)
  2. Welke gegevens betrokken zijn
  3. Wat de mogelijke gevolgen zijn
  4. Welke maatregelen je hebt genomen
  5. Contactgegevens voor meer informatie
  6. Eventuele adviezen om risico’s te beperken

Kies een communicatiemethode die past bij de situatie. Voor een klein aantal betrokkenen kan een persoonlijke brief of telefoongesprek passend zijn. Bij grotere incidenten kun je denken aan e-mail, een bericht op je website of zelfs een persbericht bij zeer omvangrijke datalekken.

Welke informatie moet ik verzamelen bij een datalek?

Bij een datalek moet je systematisch informatie verzamelen voor je eigen administratie, eventuele melding bij de Autoriteit Persoonsgegevens en communicatie naar betrokkenen. Verzamel minimaal de volgende essentiële gegevens:

  • Aard en omvang van het incident: wat is er precies gebeurd en wanneer?
  • Getroffen persoonsgegevens: welke categorieën gegevens zijn betrokken?
  • Aantal betrokkenen: hoeveel personen zijn getroffen?
  • Mogelijke gevolgen: wat zijn de potentiële risico’s voor betrokkenen?
  • Genomen maatregelen: wat heb je gedaan om het lek te dichten?
  • Vervolgmaatregelen: welke stappen neem je om herhaling te voorkomen?
  • Tijdlijn: wanneer is het incident ontdekt, wanneer is actie ondernomen?
  • Betrokken partijen: welke interne en externe partijen zijn betrokken?

Documenteer deze informatie zorgvuldig in je datalekregister. Dit register is niet alleen een wettelijke verplichting, maar helpt je ook bij het verbeteren van je beveiligingsmaatregelen en bij eventuele vragen van de toezichthouder.

Wat zijn de gevolgen als ik een datalek niet (tijdig) meld?

Het niet of te laat melden van een datalek kan ernstige consequenties hebben. De Autoriteit Persoonsgegevens kan boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

De hoogte van een eventuele boete hangt af van verschillende factoren:

  • Ernst van de overtreding
  • Duur van het niet-naleven
  • Opzettelijk of nalatig handelen
  • Genomen maatregelen om schade te beperken
  • Eerdere overtredingen
  • Mate van samenwerking met de toezichthouder

Naast boetes kan niet-naleving leiden tot reputatieschade en verlies van klantenvertrouwen. De Autoriteit Persoonsgegevens heeft in het verleden al meerdere boetes opgelegd voor het niet tijdig melden van datalekken, waaronder een boete van €460.000 aan een zorginstelling en €725.000 aan een bedrijf in de medische sector.

Hoe kan ik datalekken voorkomen?

Preventie is altijd beter dan herstel. Door proactieve maatregelen te nemen, verklein je de kans op datalekken aanzienlijk. Overweeg de volgende technische en organisatorische maatregelen:

Technische maatregelen:

  • Versleutel gevoelige gegevens (zowel opgeslagen data als data in transit)
  • Implementeer een robuust wachtwoordbeleid met multi-factor authenticatie
  • Houd software en systemen up-to-date met beveiligingsupdates
  • Beperk toegangsrechten volgens het principe ‘need-to-know’
  • Gebruik beveiligde verbindingen (VPN) voor externe toegang
  • Voer regelmatig beveiligingstests en kwetsbaarheidsscans uit

Organisatorische maatregelen:

  • Train medewerkers regelmatig over privacy en informatiebeveiliging
  • Ontwikkel een duidelijk incidentresponsplan voor datalekken
  • Voer regelmatig privacy-impactanalyses (PIA’s) uit
  • Maak duidelijke afspraken met verwerkers en leg deze vast
  • Controleer regelmatig of bestaande beveiligingsmaatregelen nog adequaat zijn

Bewustwording bij medewerkers is cruciaal, aangezien menselijke fouten een veelvoorkomende oorzaak zijn van datalekken. Regelmatige training en oefening van het datalek-responsplan helpen om de impact te minimaliseren als er toch een incident plaatsvindt.

Datalek volgens AVG: Actieplan voor snelle compliance

Een effectieve reactie op een datalek vereist een gestructureerde aanpak. Hier is een beknopt actieplan dat je kunt volgen:

  1. Detecteer en beoordeel: Stel vast of er sprake is van een datalek
  2. Beheers: Neem directe maatregelen om het lek te dichten
  3. Documenteer: Leg alle relevante informatie vast
  4. Analyseer: Bepaal of melding noodzakelijk is
  5. Meld: Informeer de Autoriteit Persoonsgegevens binnen 72 uur indien nodig
  6. Informeer: Stel betrokkenen op de hoogte bij hoog risico
  7. Evalueer: Leer van het incident om herhaling te voorkomen

De aanwezigheid van een privacy officer of Functionaris Gegevensbescherming (FG) kan het proces versnellen en verbeteren. Deze persoon overziet de afhandeling van het incident en zorgt voor naleving van alle wettelijke vereisten.

Bij NTNT begrijpen we de complexiteit van databeveiliging en privacywetgeving. We ondersteunen je bij het opzetten van de juiste preventieve maatregelen en helpen je bij het ontwikkelen van een effectief responsplan voor datalekken. Van beveiligingsassessments tot implementatie van beschermende technologieën – we zorgen ervoor dat je goed voorbereid bent om datalekken te voorkomen en adequaat te reageren als het toch mis gaat.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.