Start de generator Start →
Rechten & procedures 1 min lezen

Datalek

⚖️
Wettelijke basis AVG art. 33-34
⏱️
Melden bij AP Binnen 72 uur
🧑
Betrokkenen Bij hoog risico informeren

Een datalek is een inbreuk op de beveiliging die leidt tot verlies, ongeoorloofde toegang, wijziging of vernietiging van persoonsgegevens. Het hoeft geen hack te zijn: een gestolen laptop, een verkeerd geadresseerde mailing, een kwijtgeraakte usb-stick of een e-mail met alle adressen in het cc-veld zijn net zo goed datalekken.

Drie soorten inbreuken

  • Vertrouwelijkheid: onbevoegden krijgen toegang.
  • Integriteit: gegevens worden ongewild gewijzigd.
  • Beschikbaarheid: gegevens raken kwijt of ontoegankelijk.

Moet je melden? Een snelle wegwijzer

Situatie Melden bij AP? Betrokkenen informeren?
Geen risico (bijv. versleutelde, gewiste data) Nee, wel intern vastleggen Nee
Risico voor betrokkenen Ja, binnen 72 uur Niet altijd
Hoog risico (BSN, financiële data) Ja, binnen 72 uur Ja, rechtstreeks

Melden bij de AP

Levert het lek een risico op voor de betrokkenen, dan meld je het binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens via het online meldloket. Weet je nog niet alles, meld dan gefaseerd. Is er waarschijnlijk geen risico, dan hoef je niet te melden, maar je legt het wel intern vast.

Tip: houd een intern datalekregister bij van elk lek, ook de niet-meldingsplichtige. Zo laat je aan de AP zien dat je gestructureerd handelt.

Hoe pak je een datalek aan?

Loopt er iets mis met persoonsgegevens, werk dan deze vijf stappen af. Levert het lek risico op, dan heb je 72 uur om te melden.

  1. Stop het lek meteen. Sluit de toegang af, reset wachtwoorden of haal de betrokken dienst tijdelijk offline, zodat het lek niet groter wordt.
  2. Weeg het risico af. Kijk welke gegevens zijn geraakt, om hoeveel mensen het gaat en wat de gevolgen voor hen kunnen zijn.
  3. Meld op tijd bij de AP. Is er een reëel risico, geef het datalek dan binnen 72 uur na ontdekking door via het meldloket van de Autoriteit Persoonsgegevens.
  4. Waarschuw de betrokkenen. Bij een hoog risico breng je de getroffen personen zelf op de hoogte, in begrijpelijke taal en met een handelingsperspectief.
  5. Vastleggen en verbeteren. Zet elk lek in je interne register en scherp je beveiliging aan, zodat dezelfde fout niet opnieuw gebeurt.
Direct toepassen

Verwerk dit correct in jouw voorwaarden

Onze generator stelt dit soort clausules automatisch op - juridisch correct in 3 minuten.

Start de generator →
Veelgestelde vragen

Veelgestelde vragen over datalek

Concrete antwoorden op de vragen die ondernemers hier het vaakst over stellen.

Moet ik elk datalek bij de AP melden?
Je meldt een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens, tenzij het waarschijnlijk geen risico voor betrokkenen oplevert. Bij een hoog risico informeer je ook de betrokkenen zelf.
Geef eens een voorbeeld van een datalek?
Een gestolen laptop met klantgegevens, een mail met de adressenlijst in het cc-veld in plaats van bcc, of een hack waarbij gegevens uitlekken. Ook per ongeluk wissen kan een datalek zijn.
Verder lezen

Gerelateerde begrippen

📄
Rechten & procedures

Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder voor gegevensbescherming. Ze ziet erop toe dat organisaties de AVG…

 📄
Rechten & procedures

Bewaartermijn

Een bewaartermijn is de periode waarin je persoonsgegevens mag bewaren. De AVG legt geen vaste termijnen op, maar…

 📄
Rechten & procedures

Rechten van de betrokkene

De AVG geeft elke betrokkene, de persoon van wie je gegevens verwerkt, een aantal rechten over die gegevens.…
Bekijk alle 15 begrippen →