Een datalek is zo gebeurd: een gestolen laptop, een mail met alle adressen in het cc-veld of een hack. Levert het lek risico op, dan meld je het binnen 72 uur bij de Autoriteit Persoonsgegevens (AP). Dit stappenplan helpt je rustig te reageren.
Stap 1: dam het lek in
Beperk eerst de schade: trek toegang in, reset wachtwoorden, haal een lekkende pagina offline en probeer gegevens te herstellen of te wissen. Snel ingrijpen verkleint het risico.
Stap 2: schat het risico in
Beoordeel of het lek waarschijnlijk risico oplevert. Kijk naar de aard van de gegevens, het aantal personen en de mogelijke gevolgen. Een lek van BSN of financiële gegevens weegt zwaarder dan alleen een voornaam.
Stap 3: meld binnen 72 uur
Is er risico, meld het lek dan binnen 72 uur na ontdekking bij de AP via het online meldloket. Heb je nog niet alle informatie, meld dan gefaseerd en vul later aan.
Stap 4: informeer de betrokkenen
Bij een hoog risico licht je ook de getroffen personen rechtstreeks in, in duidelijke taal, met uitleg over wat er gebeurde en wat zij zelf kunnen doen.
Stap 5: registreer en leer
Noteer elk lek in je interne datalekregister, ook de lekken die je niet hoeft te melden. Analyseer de oorzaak en pas je beveiliging aan.
Moet je melden? Snelle wegwijzer
| Situatie | Melden bij AP? | Betrokkenen informeren? |
|---|---|---|
| Geen risico (versleuteld, hersteld) | Nee, wel intern vastleggen | Nee |
| Risico voor betrokkenen | Ja, binnen 72 uur | Afhankelijk van risico |
| Hoog risico (BSN, financieel, gezondheid) | Ja, binnen 72 uur | Ja, rechtstreeks |
Voorbereid zijn loont
Leg vooraf vast wie binnen je organisatie een lek beoordeelt en meldt. Een korte interne procedure zorgt dat de klok van 72 uur je niet verrast.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis