Datalek: wanneer melden, wanneer niet, binnen 72 uur
Niet elk incident is een datalek. Niet elk datalek hoeft naar de AP. Hier de beslisboom en een voorbeeld-meldingstemplate.
Een datalek (breach) is een inbreuk op de beveiliging waarbij persoonsgegevens zijn vernietigd, verloren, gewijzigd, openbaar gemaakt of toegankelijk voor onbevoegden. Wanneer melden?
Beslisboom
- Is het een datalek? Bij twijfel: ja.
- Risico voor betrokkenen? Gegevens publiek? Financiële schade mogelijk? Identiteitsfraude risico?
- Laag risico (bijv. encrypted device verloren): niet naar AP melden, wel intern registreren in incidenten-log.
- Aanzienlijk risico: binnen 72 uur melden bij AP.
- Hoog risico voor betrokkenen: ook betrokkenen direct informeren.
Wat melden?
- Aard van het datalek.
- Categorieën en aantal betrokkenen.
- Categorieën en aantal persoonsgegevens.
- Gevolgen van het datalek.
- Genomen of voorgestelde maatregelen.
- Contactgegevens FG of contactpersoon.
De 72-uurs-klok
Vanaf het moment dat je er kennis van kreeg — niet vanaf het moment dat het gebeurde. Weekend telt mee. Gedeeltelijke melding mag met aanvulling later.
Waar meld je?
autoriteitpersoonsgegevens.nl — online meldformulier datalekken. Bewaar een kopie.
Wat te doen binnen de organisatie
- Team in actie: security-lead, directeur, communicatie.
- Onderzoek: wat is er precies gebeurd?
- Containment: stop de lek.
- Forensische vastlegging: evidence voor onderzoek.
- Communicatie voorbereiden: intern, extern, media.
Zie ook: incidentenlog opzetten, incident response.
Volledige gids: AVG-compliance voor MKB: het praktische minimum
Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →