Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Niet elk datalek moet je melden bij de Autoriteit Persoonsgegevens. De AVG meldplicht geldt alleen wanneer het datalek waarschijnlijk een risico vormt voor de rechten en vrijheden van betrokkenen. Bij lage risico’s of wanneer technische beschermingsmaatregelen zoals encryptie de data onbruikbaar maken, vervalt de meldplicht. Deze vragen helpen je bepalen wanneer melden verplicht is en hoe je de juiste afweging maakt.

Wat is een datalek volgens de Autoriteit Persoonsgegevens? #

Een datalek is volgens de AVG een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. Het gaat om situaties waarbij persoonsgegevens per ongeluk of onrechtmatig zijn blootgesteld aan onbevoegden. De Autoriteit Persoonsgegevens hanteert drie kernvoorwaarden: er moet sprake zijn van ongeoorloofde toegang tot, verlies van of vernietiging van persoonsgegevens.

Niet elk beveiligingsincident is automatisch een datalek. Een poging tot hacken waarbij geen toegang is verkregen tot persoonsgegevens valt bijvoorbeeld niet onder de definitie. Ook het tijdelijk niet beschikbaar zijn van gegevens door een technische storing is geen datalek, tenzij dit tot permanent verlies leidt.

Voorbeelden van meldplichtige datalekken zijn: een gestolen laptop met klantgegevens, een verkeerd geadresseerde e-mail met medische informatie, of een hack waarbij criminelen toegang krijgen tot een database. Situaties die niet als datalek gelden zijn bijvoorbeeld een phishingmail die door niemand is geopend, of een beveiligingsupdate die succesvol een kwetsbaarheid heeft verholpen voordat misbruik plaatsvond.

Wanneer moet je een datalek verplicht melden bij de AP? #

Je moet een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens wanneer het waarschijnlijk een risico vormt voor de rechten en vrijheden van natuurlijke personen. Deze termijn gaat in zodra je kennis hebt genomen van het datalek. De meldplicht geldt niet voor alle datalekken, maar alleen voor die incidenten waarbij schade voor betrokkenen aannemelijk is.

De risicoanalyse is cruciaal voor het bepalen van de meldplicht. Je beoordeelt hierbij de waarschijnlijkheid en ernst van mogelijke gevolgen voor betrokkenen. Denk aan identiteitsfraude, financiële schade, reputatieschade of discriminatie. Ook psychische schade zoals stress of angst telt mee in deze afweging.

Factoren die de meldplicht bepalen zijn onder andere de aard van de gelekte gegevens (gewone contactgegevens versus bijzondere persoonsgegevens), het aantal betrokkenen, de kwetsbaarheid van de doelgroep (kinderen of ouderen), en de context waarin het lek plaatsvond. Een datalek met BSN-nummers of medische gegevens zal bijvoorbeeld sneller tot een meldplicht leiden dan een lek met alleen e-mailadressen.

Welke datalekken hoef je niet te melden aan de Autoriteit Persoonsgegevens? #

Datalekken waarbij het risico voor betrokkenen verwaarloosbaar is, hoef je niet te melden. Dit geldt bijvoorbeeld wanneer de gelekte gegevens sterk versleuteld zijn met actuele encryptietechnieken en de sleutel niet is gecompromitteerd. Ook wanneer je direct maatregelen hebt genomen die het risico volledig wegnemen, zoals het op afstand wissen van een gestolen apparaat voordat toegang mogelijk was.

Voorbeelden van lage-risico incidenten zijn het per ongeluk versturen van een nieuwsbrief waarbij e-mailadressen in CC staan in plaats van BCC, mits het om algemene zakelijke adressen gaat. Of een tijdelijk toegankelijke testomgeving met fictieve testdata. Ook het verlies van een USB-stick met alleen publiek beschikbare informatie valt hieronder.

Technische beschermingsmaatregelen spelen een belangrijke rol bij het bepalen van de meldplicht. Sterke encryptie, tokenisatie of pseudonimisering kunnen het risico zodanig verlagen dat melding niet nodig is. Let wel op dat deze maatregelen correct geïmplementeerd moeten zijn en dat de beschermingssleutels niet mee gelekt zijn.

Hoe bepaal je het risico van een datalek voor de meldplicht? #

Een risicoanalyse voor datalekken start met het in kaart brengen van de gelekte gegevens, het aantal betrokkenen en de mogelijke gevolgen. Beoordeel systematisch de waarschijnlijkheid dat het lek tot schade leidt en de ernst van die mogelijke schade. Deze twee factoren samen bepalen het risiconiveau en daarmee of melding verplicht is.

Belangrijke factoren in je analyse zijn de aard van de gelekte gegevens (gewone versus bijzondere persoonsgegevens), de hoeveelheid informatie per persoon, de identificeerbaarheid van betrokkenen, en de context van het lek. Ook de vraag of de data al in verkeerde handen zijn gevallen en of misbruik al heeft plaatsgevonden weegt mee.

Voor MKB-ondernemers zijn risicomatrices en beslisbomen handige hulpmiddelen. Een eenvoudige matrix kruist de waarschijnlijkheid (laag, gemiddeld, hoog) met de impact (beperkt, aanzienlijk, ernstig). Bij een gemiddelde tot hoge score is melding meestal verplicht. Documenteer je afwegingen zorgvuldig, zodat je later kunt aantonen dat je een gedegen analyse hebt uitgevoerd.

Wat zijn de stappen voor het melden van een datalek bij de AP? #

Het melden van een datalek gebeurt via het online meldformulier op de website van de Autoriteit Persoonsgegevens. Start direct met het verzamelen van informatie zodra je een datalek constateert. Je hebt 72 uur de tijd, maar begin zo snel mogelijk met de melding. Het formulier vraagt om specifieke details die je stapsgewijs invult.

De verplichte informatie omvat de aard van het incident, wanneer het plaatsvond en wanneer je het ontdekte. Beschrijf welke categorieën persoonsgegevens zijn gelekt (namen, adressen, BSN-nummers, gezondheidsgegevens) en hoeveel betrokkenen het betreft. Ook moet je aangeven welke maatregelen je hebt genomen om het lek te dichten en verdere schade te beperken.

Tips voor het tijdig verzamelen van documentatie: richt een intern meldprotocol in waarbij medewerkers weten wie ze moeten informeren. Houd een logboek bij van alle acties en beslissingen. Verzamel bewijsmateriaal zoals screenshots of logbestanden. Schat aantallen in als exacte cijfers nog niet bekend zijn, je kunt deze later aanvullen. Bewaar een kopie van je melding voor je eigen administratie.

Moet je betrokkenen ook informeren over een datalek? #

Naast de melding aan de AP moet je soms ook de betrokkenen zelf informeren. Deze dubbele meldplicht geldt wanneer het datalek waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden. De lat ligt hier hoger dan bij de AP-melding: niet elk gemeld datalek vereist ook communicatie naar betrokkenen.

Criteria voor deze aanvullende verplichting zijn onder andere of er gevoelige gegevens zijn gelekt, of criminelen mogelijk misbruik kunnen maken van de data, en of betrokkenen zelf actie moeten ondernemen. Bij diefstal van wachtwoorden of creditcardgegevens moeten betrokkenen bijvoorbeeld snel handelen om schade te voorkomen.

Communicatie naar betrokkenen moet duidelijk en begrijpelijk zijn. Vermeld wat er is gebeurd, welke gegevens het betreft, wat de mogelijke gevolgen zijn en welke maatregelen je hebt genomen. Geef concrete adviezen wat betrokkenen zelf kunnen doen, zoals wachtwoorden wijzigen of extra alert zijn op phishing. Gebruik bij voorkeur directe communicatiekanalen zoals e-mail of brief, geen algemene website-melding.

Wat zijn de gevolgen als je een meldplichtig datalek niet meldt? #

Het niet melden van een meldplichtig datalek kan leiden tot forse boetes. De Autoriteit Persoonsgegevens kan sancties opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. Voor MKB-bedrijven worden boetes proportioneel vastgesteld, maar kunnen nog steeds substantieel zijn.

De AP houdt rekening met verzwarende en verzachtende omstandigheden. Verzwarend werken het bewust achterhouden van informatie, het niet meewerken aan onderzoek, of eerdere overtredingen. Verzachtend zijn snelle actie na ontdekking, transparante communicatie, goede samenwerking met de AP, en het hebben van adequate beveiligingsmaatregelen vooraf.

Een goede administratie en transparante houding zijn cruciaal. Documenteer alle datalekken, ook die je niet meldt, inclusief je risicoanalyse en genomen maatregelen. Deze datalekadministratie moet je kunnen overleggen bij een controle. Proactieve melding en openheid over incidenten tonen aan dat je privacy serieus neemt, wat positief meeweegt bij eventuele handhaving.

Hoe voorkom je datalekken en verminder je de meldplicht? #

Preventie van datalekken begint met bewustwording in je organisatie. Train medewerkers regelmatig over veilig werken met persoonsgegevens, herkennen van phishing, en het juist omgaan met wachtwoorden. Technische maatregelen zoals encryptie van apparaten en databases, twee-factor authenticatie, en regelmatige software-updates vormen je tweede verdedigingslinie.

Organisatorische maatregelen zijn net zo belangrijk. Werk volgens het principe van minimale toegang: geef medewerkers alleen toegang tot gegevens die ze nodig hebben. Implementeer een clean desk policy en sluit ruimtes met gevoelige informatie af. Het werken met een managed service provider kan je ICT-beveiliging naar een professioneel niveau tillen met proactieve monitoring en beheer.

Een incident response plan is onmisbaar voor snelle en adequate reactie op incidenten. Beschrijf wie wat doet bij een vermoeden van een datalek, hoe de communicatielijnen lopen, en welke stappen je doorloopt. Oefen dit plan regelmatig met je team. Voer periodieke security audits uit om kwetsbaarheden te ontdekken voordat kwaadwillenden dat doen. Deze preventieve aanpak vermindert niet alleen de kans op datalekken, maar zorgt ook dat eventuele incidenten minder ernstig zijn en mogelijk niet gemeld hoeven worden. Voor ondersteuning bij het opzetten van een waterdichte gegevensbescherming voor jouw MKB-bedrijf, neem gerust contact met ons op.