AVG datalekken melden: procedure en verplichting

Een datalek. Het klinkt als iets wat alleen grote corporaties overkomt, maar de realiteit is anders. Ook bij middelgrote en kleinere organisaties gaan dagelijks gegevens verloren, worden e-mails naar de verkeerde persoon gestuurd of raken systemen gecompromitteerd. Wat veel ondernemers niet weten, is dat de Algemene Verordening Gegevensbescherming (AVG) hen verplicht om bepaalde datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP). In dit artikel lees je wanneer die meldplicht geldt, hoe de procedure verloopt en hoe je je organisatie voorbereidt.

Wat is een datalek volgens de AVG?

De AVG hanteert een brede definitie. Een datalek is elke inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens. Dit gaat dus verder dan puur digitale incidenten.

Concrete voorbeelden van datalekken zijn:

• Een laptop met klantgegevens wordt gestolen uit een auto
• Je stuurt een factuur met BSN-nummers naar het verkeerde e-mailadres
• Ransomware versleutelt je klantenadministratie
• Een medewerker deelt per ongeluk een bestand met te ruime toegangsrechten
• Papieren dossiers raken zoek of worden in de verkeerde bak gegooid

Niet elk incident is automatisch meldplichtig. De AVG maakt onderscheid op basis van het risico voor de betrokkenen.

Wanneer bent je verplicht te melden?

De meldplicht aan de AP geldt wanneer het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokken personen. Dit klinkt abstract, maar de AP heeft concrete richtlijnen gepubliceerd.

Type datalek	Melding aan AP vereist?	Melding aan betrokkenen vereist?
Verlies van versleutelde laptop zonder back-up	Nee (laag risico)	Nee
Onversleutelde gegevens gestolen	Ja	Mogelijk ja
Gehackt systeem met persoonsgegevens	Ja	Ja, bij hoog risico
E-mail naar verkeerde ontvanger (gevoelige data)	Ja	Ja, bij hoog risico
Papieren dossier kwijt geraakt (niet gevoelig)	Nee	Nee

Bij hoog risico voor betrokkenen — denk aan financiële gegevens, gezondheidsgegevens, BSN-nummers of gegevens van kwetsbare groepen — moet je ook de betrokkenen zelf informeren. Dit noemt men de meldplicht aan betrokkenen.

Tip: Twijfelt je of een incident meldplichtig is? Leg de redenering vast, ook als je besluit niet te melden. De AP kan achteraf vragen waarom je geen melding heeft gedaan. Gedocumenteerde onderbouwing beschermt je.

De 72-uurtermijn: wat betekent dat in de praktijk?

Zodra je kennis neemt van een datalek — dat wil zeggen, zodra je organisatie weet dat er een incident heeft plaatsgevonden — begint de klok te lopen. Binnen 72 uur dient je de melding bij de AP in te dienen. Weekenden en feestdagen tellen mee.

Wat als je na 72 uur nog niet alle informatie heeft? Dan meldt je zo snel mogelijk wat je weet en vul je de melding later aan. De AP accepteert gefaseerde meldingen, mits je aangeeft dat de informatie nog niet volledig is en je een aanvulling zult indienen.

De melding doe je via het online meldloket van de AP op autoriteitpersoonsgegevens.nl. Je hebt hiervoor een account nodig. Het is verstandig om dit loket van tevoren te kennen en de toegangsgegevens beschikbaar te hebben — niet pas op het moment dat een incident zich voordoet.

Wat vermeldt je in de melding?

De AP vraagt om specifieke informatie in de melding:

1. Aard van het datalek — wat is er precies gebeurd?
2. Categorieën en aantal betrokkenen — om wiens gegevens gaat het en hoeveel personen zijn geraakt?
3. Categorieën en (bij benadering) aantal persoonsgegevensrecords — welke gegevens zijn betrokken?
4. Naam en contactgegevens van de functionaris voor gegevensbescherming (FG) — of een ander contactpunt
5. Waarschijnlijke gevolgen — wat zijn de verwachte consequenties voor betrokkenen?
6. Genomen maatregelen — wat heb je gedaan of ga je doen om de schade te beperken?

Bij een eerste melding hoef je niet alle vragen volledig te beantwoorden als de informatie er nog niet is. Je geeft dan aan waarom bepaalde informatie ontbreekt en wanneer je aanvulling verwacht.

Interne documentatieplicht: net zo belangrijk

Naast de externe meldplicht verplicht de AVG je ook om intern alle datalekken te registreren, ook de lekken die je niet hoeft te melden bij de AP. Dit geldt voor elk incident, hoe klein ook.

Je interne datalekkenregister bevat per incident minimaal:

• Datum en tijdstip van ontdekking
• Beschrijving van het incident
• Betrokken gegevens en personen
• Beoordeling van het risico
• Beslissing over meldplicht en motivering
• Genomen herstelmaatregelen

Dit register is geen bureaucratische exercitie. Het is je bewijs dat je serieus omgaat met gegevensbescherming. Bij een onderzoek door de AP kun je aantonen dat je incidenten structureel bijhoudt en beoordeelt.

FAQ

Moet ik elk incident intern registreren, ook als er geen meldplicht is?

Ja. De AVG verplicht je om alle inbreuken op beveiliging van persoonsgegevens bij te houden in een intern register, ongeacht of je ze bij de AP moet melden. Zo kun je aantonen dat je incidenten serieus beoordeelt.

Wat zijn de gevolgen als ik een datalek te laat meld?

De AP kan een boete opleggen voor het niet of te laat melden. Boetes lopen op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. In de praktijk houdt de AP bij een eerste overtreding vaak rekening met de omstandigheden, maar een gedocumenteerde nalatigheid kan zwaar tellen.

Heeft mijn organisatie een Functionaris voor Gegevensbescherming nodig?

Dat hangt af van je activiteiten. Organisaties die op grote schaal bijzondere persoonsgegevens verwerken of die verwerkingen uitvoeren die hoog risico opleveren, zijn verplicht een FG aan te stellen. Controleer de AP-richtlijnen of raadpleeg een privacyjurist.

---

Klaar om te starten? Control One begeleidt je stap voor stap.