Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat moet je melden bij een cyberincident en binnen welke termijn?

15 juni 2026

Bij een cyberincident moet je dit melden bij de relevante toezichthouder, en de eerste melding moet in veel gevallen al binnen 24 uur plaatsvinden. Welke wet van toepassing is, bepaalt zowel de meldtermijn als de ontvangende instantie: de AVG geldt bij datalekken met persoonsgegevens, terwijl de Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) van toepassing is op organisaties in aangewezen sectoren. In dit artikel beantwoorden we de meest gestelde vragen over de meldplicht, zodat je precies weet wat je moet doen als het misgaat.

Welke incidenten vallen onder de meldplicht?

Niet elk IT-probleem is meldplichtig, maar twee wetten bepalen samen een breed scala aan situaties. Onder de AVG moet je een datalek melden wanneer persoonsgegevens per ongeluk of onrechtmatig worden vernietigd, verloren, gewijzigd, openbaar gemaakt of toegankelijk gemaakt. Onder de Cyberbeveiligingswet geldt een meldplicht voor elk significant beveiligingsincident dat de continuïteit van je dienstverlening verstoort of kan verstoren.

Een incident is “significant” als het leidt tot ernstige operationele verstoring, financiële schade, reputatieschade of gevaar voor anderen. Denk aan:

  • Ransomware-aanvallen die systemen versleutelen en bedrijfsprocessen stilleggen
  • Ongeautoriseerde toegang tot bedrijfsnetwerken of klantdata
  • DDoS-aanvallen die dienstverlening onbereikbaar maken
  • Datalekken waarbij klant- of medewerkergegevens zijn blootgesteld
  • Gecompromitteerde accounts die toegang geven tot gevoelige systemen
  • Uitval van kritieke IT-infrastructuur door een aanval van buitenaf

Een belangrijk verschil: de AVG-meldplicht geldt voor vrijwel elke organisatie die persoonsgegevens verwerkt. De meldplicht onder de Cyberbeveiligingswet geldt specifiek voor organisaties in de 18 aangewezen sectoren die voldoen aan de omvangsdrempel (50 of meer medewerkers, of meer dan 10 miljoen euro omzet). Kleine technische storingen zonder impact op persoonsgegevens of dienstverlening vallen doorgaans buiten de meldplicht, maar documenteer ze altijd intern voor het geval de impact later groter blijkt dan aanvankelijk gedacht.

Binnen welke termijn moet je een cyberincident melden?

De meldtermijn hangt af van welke wet van toepassing is. Onder de AVG heb je 72 uur om een datalek te melden bij de Autoriteit Persoonsgegevens. Onder de Cyberbeveiligingswet moet de eerste melding al binnen 24 uur plaatsvinden, gevolgd door een volledige melding binnen 72 uur en een eindrapport binnen een maand.

Meldtermijnen onder de AVG

Zodra je een datalek ontdekt waarbij persoonsgegevens betrokken zijn, start de 72-uurtermijn. Dit is een harde deadline: je hoeft niet te wachten totdat je de volledige omvang kent. Meld zo snel als je kunt met de informatie die op dat moment beschikbaar is, en vul de melding later aan. Als betrokkenen een hoog risico lopen (denk aan financiële gegevens, medische informatie of BSN-nummers), moet je hen ook direct informeren.

Meldtermijnen onder de Cyberbeveiligingswet

De Cyberbeveiligingswet hanteert een drietrapsraket voor significante incidenten:

  1. Vroege melding binnen 24 uur: Geef een eerste signaal af zodra je een significant incident constateert. Dit hoeft nog geen volledige analyse te zijn, maar moet de toezichthouder informeren dat er iets speelt.
  2. Volledige melding binnen 72 uur: Lever een uitgebreidere melding met de aard van het incident, de eerste inschattingen van de impact en de maatregelen die je al hebt genomen.
  3. Eindrapport binnen één maand: Sluit af met een volledig rapport inclusief oorzaakanalyse, getroffen maatregelen en lessen voor de toekomst.

De kortere eerste termijn van 24 uur onder de Cyberbeveiligingswet is bewust strenger dan de AVG. Toezichthouders willen bij incidenten die kritieke sectoren raken zo snel mogelijk op de hoogte zijn om bredere schade te beperken. Onwetendheid of wachten op zekerheid is geen geldig excuus om de termijn te overschrijden.


Hi, how are you doing?
Can I ask you something?
👋 Hoi! Ik zie dat je meer wilt weten over de meldplicht bij cyberincidenten. Veel MKB-organisaties worstelen hier ook mee. Hoe zou jij jullie huidige situatie omschrijven?
Dat klinkt urgent. Goed dat je actie onderneemt — elke minuut telt bij de meldtermijnen. Hoeveel medewerkers heeft jullie organisatie?
Slim om dit nu al aan te pakken — organisaties die zich vooraf voorbereiden halen de meldtermijnen aanzienlijk makkelijker. Hoeveel medewerkers heeft jullie organisatie?
Begrepen. Laat je gegevens achter, dan neemt ons team zo snel mogelijk contact met je op om te bespreken wat er nu nodig is.
Goed bezig. Veel MKB-organisaties zoals die van jou laten NTNT helpen met een incident response plan, monitoring en NIS2-readiness — zodat je bij een incident direct weet wat je moet doen. Laat je gegevens achter en ons team bespreekt graag jouw situatie.
✅ Bedankt! Je gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om jouw situatie te bespreken. Fijn dat je de stap hebt gezet!

Waar en bij wie moet je een cyberincident melden?

De meldlocatie hangt af van het type incident en de toepasselijke wet. Bij een datalek met persoonsgegevens meld je bij de Autoriteit Persoonsgegevens (AP). Bij een significant beveiligingsincident onder de Cyberbeveiligingswet meld je bij de sectorale toezichthouder die verantwoordelijk is voor jouw sector, en in veel gevallen ook bij het Nationaal Cyber Security Centrum (NCSC).

Welke toezichthouder voor jouw sector verantwoordelijk is, verschilt per branche. Voorbeelden:

  • Financiële sector: De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM)
  • Gezondheidszorg: Inspectie Gezondheidszorg en Jeugd (IGJ)
  • Energie en transport: Rijksinspectie Digitale Infrastructuur (RDI)
  • Digitale dienstverleners en ICT: RDI
  • Overheidsorganisaties: NCSC

Naast de wettelijke meldplicht kan het verstandig zijn om ook aangifte te doen bij de politie, zeker bij gerichte cyberaanvallen of ransomware. Dit vergroot de kans op opsporing en kan relevant zijn voor eventuele verzekeringsclaims. Informeer ook je cyberverzekering zo vroeg mogelijk, want veel polissen bevatten eigen meldtermijnen.

Wat moet je precies opnemen in een melding?

Een goede melding bevat de basisfeiten van het incident, de impact en de maatregelen die je hebt genomen. Je hoeft bij de eerste melding nog niet alles te weten, maar de melding moet voldoende informatie bevatten om de toezichthouder een beeld te geven van wat er speelt.

Voor een AVG-melding bij de Autoriteit Persoonsgegevens neem je op:

  • De aard van het datalek (wat is er precies gebeurd?)
  • De categorieën en het (geschatte) aantal betrokkenen
  • De categorieën en het (geschatte) aantal betrokken persoonsgegevensrecords
  • De naam en contactgegevens van de Functionaris Gegevensbescherming (FG) of een andere contactpersoon
  • De waarschijnlijke gevolgen van het datalek
  • De maatregelen die je hebt genomen of zult nemen om het lek te dichten en de gevolgen te beperken

Voor een melding onder de Cyberbeveiligingswet gelden vergelijkbare vereisten, aangevuld met:

  • De getroffen systemen, netwerken of diensten
  • De vermoedelijke oorzaak of aanvalsvector
  • De impact op de continuïteit van je dienstverlening
  • Of het incident grensoverschrijdende effecten heeft (relevant voor andere EU-lidstaten)
  • De technische indicatoren die op het incident wijzen

Documenteer alles wat je intern doet vanaf het moment van ontdekking. Tijdstempels, genomen beslissingen, gecommuniceerde berichten en uitgevoerde technische acties vormen samen het bewijs dat je adequaat hebt gehandeld. Dit beschermt je ook bij eventueel toezichtonderzoek achteraf.

Wat zijn de gevolgen van te laat of niet melden?

Te laat of niet melden kan leiden tot aanzienlijke boetes, reputatieschade en persoonlijke aansprakelijkheid voor bestuurders. De toezichthouders hebben actieve handhavingsbevoegdheden en zijn bevoegd om bij overtredingen forse sancties op te leggen.

Onder de AVG kan de Autoriteit Persoonsgegevens boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Onder de Cyberbeveiligingswet gelden vergelijkbare boeteplafonds. Een belangrijk verschil: bij de AVG is de organisatie primair aansprakelijk, maar onder de Cyberbeveiligingswet kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Dit kan leiden tot persoonlijke boetes, juridische procedures of reputatieschade voor de bestuurder zelf, en in uiterste gevallen tot tijdelijke schorsing als verantwoordelijke.

Naast financiële sancties zijn er andere gevolgen om rekening mee te houden:

  • Verplichte aanwijzingen van de toezichthouder om maatregelen te treffen
  • Publicatie van handhavingsbesluiten, wat reputatieschade veroorzaakt
  • Verlies van vertrouwen bij klanten, partners en aanbestedende partijen
  • Problemen met cyberverzekeringen als je de meldplicht in de polis niet bent nagekomen
  • Verhoogd toezicht en frequentere audits in de toekomst

Onwetendheid over de meldplicht is geen verzachtende omstandigheid. Toezichthouders verwachten dat organisaties in scope actief kennis nemen van hun verplichtingen.

Hoe bereid je je organisatie voor op de meldplicht?

Je bereidt je voor op de meldplicht door een schriftelijk incident response plan op te stellen, rollen en verantwoordelijkheden vast te leggen, en dit plan regelmatig te oefenen. Organisaties die dit vooraf regelen, halen de meldtermijnen aanzienlijk makkelijker dan organisaties die pas tijdens een incident uitzoeken wat ze moeten doen.

Concrete stappen om je voor te bereiden:

  1. Stel een incident response plan op: Beschrijf stap voor stap wat er moet gebeuren bij een incident, wie wat doet en wie de communicatie verzorgt naar toezichthouders, klanten en medewerkers.
  2. Wijs een meldverantwoordelijke aan: Zorg dat één persoon (of een kleine groep) weet hoe en waar te melden, en dat deze persoon de contactgegevens van de relevante toezichthouder bij de hand heeft.
  3. Oefen met scenario’s: Voer tabletop exercises uit waarbij je een gesimuleerd incident doorloopt. Dit onthult gaten in je plan voordat een echte aanval dat doet.
  4. Documenteer je beveiligingsmaatregelen: Zorg dat je aantoonbaar kunt maken welke maatregelen je hebt getroffen. Denk aan patchmanagement-logs, back-up-testrapportages en trainingsregisters van medewerkers.
  5. Train medewerkers en bestuurders: Medewerkers die phishing herkennen en bestuurders die cyberrisico’s en digitale beveiliging begrijpen, verkleinen de kans op een incident én versnellen de respons als het toch misgaat.
  6. Controleer je supply chain: Als je leverancier bent van NIS2-plichtige organisaties, verwachten die klanten van jou dat je beveiligingsvragenlijsten kunt beantwoorden en contractuele beveiligingseisen kunt naleven.

Een goed incident response plan is geen eenmalig document. Evalueer het na elk incident, na organisatiewijzigingen en minimaal één keer per jaar. De Cyberbeveiligingswet treedt naar verwachting in werking op 1 juli 2026, zonder overgangstermijn. Dat betekent dat alle verplichtingen direct gelden zodra de wet van kracht is.

Hoe wij helpen met de meldplicht bij cyberincidenten

De meldplicht nakomen begint lang voor er een incident plaatsvindt. NTNT helpt MKB-organisaties om de juiste voorbereidingen te treffen, zodat je bij een incident snel en correct kunt handelen in plaats van te zoeken naar wie wat moet doen.

Wat we voor je kunnen regelen:

  • Incident response plan opstellen: We helpen je een schriftelijk plan te maken met duidelijke rolverdeling, escalatiepaden en meldprocedures die aansluiten op zowel de AVG als de Cyberbeveiligingswet.
  • Continue monitoring met Huntress: We bewaken je systemen proactief op verdachte activiteiten, zodat incidenten vroeg worden gesignaleerd en de 24-uurtermijn haalbaar blijft.
  • Awareness training via Phished: We trainen je medewerkers maandelijks met phishing-simulaties en korte trainingsepisodes, zodat het risico op een incident kleiner wordt.
  • Documentatie en bewijs opbouwen: We helpen je de technische bewijsstukken bijhouden die toezichthouders verwachten, van patchmanagement-logs tot back-up-testrapportages.
  • Begeleiding bij NIS2-readiness: We beoordelen of jouw organisatie binnen de scope van de Cyberbeveiligingswet valt en welke stappen je nog moet zetten om compliant te zijn.

Wil je weten hoe goed jouw organisatie er nu voor staat? Neem contact op met ons team voor een vrijblijvend gesprek over jouw situatie en wat er nodig is om de meldplicht goed in te richten.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.