Opengevallen manillaenvelop met rode waarschuwingstag op modern bureau, omringd door officiële documenten en gedeeltelijk zichtbare laptop.

Ben ik verplicht een datalek te melden en bij wie moet ik dat dan doen?

/in /door

Ja, je bent in veel gevallen verplicht een datalek te melden. Op grond van de Algemene Verordening Gegevensbescherming (AVG) moet je een datalek dat een risico oplevert voor de rechten en vrijheden van betrokkenen binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Is het risico hoog, dan moet je ook de betrokkenen zelf informeren. Of een melding verplicht is, hangt af van de aard en de ernst van het lek. In dit artikel beantwoorden we de meest gestelde vragen over de datalekmeldplicht, zodat je weet wat je moet doen als het misgaat.

Wanneer is er officieel sprake van een datalek?

Er is sprake van een datalek wanneer persoonsgegevens verloren gaan, worden gestolen, onbedoeld worden vrijgegeven of op een andere manier worden blootgesteld aan onbevoegde toegang. Dat kan gaan om een gehackt systeem, een verloren laptop, een verkeerd verzonden e-mail of een configuratiefout in een cloudomgeving.

Onder de AVG wordt een datalek officieel omschreven als een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van persoonsgegevens. Let op: het gaat niet alleen om diefstal of hacking. Ook per ongeluk verwijderde gegevens of een bijlage die naar de verkeerde ontvanger is gestuurd, vallen hieronder.

Voorbeelden van situaties die als datalek kwalificeren:

  • Een medewerker stuurt een e-mail met klantgegevens naar een verkeerd adres
  • Een laptop met bedrijfsdata wordt gestolen of verloren
  • Ransomware versleutelt of steelt persoonsgegevens
  • Een cloudopslag is onbedoeld openbaar toegankelijk gemaakt
  • Inloggegevens van medewerkers zijn uitgelekt via een phishingaanval

Niet elk beveiligingsincident is automatisch een datalek. Gaat het om gegevens die volledig versleuteld zijn en waarvan de sleutel niet is gecompromitteerd, dan is er doorgaans geen sprake van een meldplichtig datalek. Twijfel je? Leg het incident dan toch vast in je datalekregister en beoordeel vervolgens of melding noodzakelijk is.

Moet elk datalek worden gemeld bij de Autoriteit Persoonsgegevens?

Nee, niet elk datalek hoeft te worden gemeld bij de Autoriteit Persoonsgegevens. Melding is verplicht wanneer het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokken personen. Is dat risico verwaarloosbaar, dan volstaat het om het incident intern te documenteren in je datalekregister.

De AVG maakt een onderscheid tussen drie situaties:

  1. Geen melding nodig: Het datalek levert geen risico op voor betrokkenen. Documenteer het incident wel intern.
  2. Melden bij de AP verplicht: Er is waarschijnlijk sprake van een risico voor betrokkenen, bijvoorbeeld omdat gevoelige persoonsgegevens zijn uitgelekt.
  3. Melden bij de AP én betrokkenen verplicht: Er is een hoog risico voor betrokkenen. Denk aan financiële gegevens, medische informatie of gegevens die identiteitsfraude mogelijk maken.

Bij de beoordeling spelen factoren als de gevoeligheid van de gegevens, het aantal betrokkenen en de waarschijnlijkheid van misbruik een rol. Hoe gevoeliger de data en hoe groter de groep betrokkenen, hoe eerder melding verplicht is. Zorg daarom dat je als organisatie altijd een solide beveiligingsbeleid hebt waarmee je datalekken snel kunt detecteren en beoordelen.

Binnen welke termijn moet een datalek worden gemeld?

Een meldplichtig datalek moet binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens. Deze termijn geldt ongeacht werkdagen of weekenden. De klok begint te lopen op het moment dat je als organisatie op de hoogte bent van het incident, niet pas wanneer alle details bekend zijn.

Heb je nog niet alle informatie beschikbaar binnen die 72 uur? Meld het datalek dan toch tijdig en geef aan dat het onderzoek nog loopt. Je kunt de melding later aanvullen met aanvullende informatie. Wachten totdat je alles weet, is geen geldige reden om de termijn te overschrijden.

Voor het informeren van de betrokkenen zelf geldt dat dit “zonder onredelijke vertraging” moet gebeuren zodra duidelijk is dat er sprake is van een hoog risico. In de praktijk betekent dit zo snel mogelijk, bij voorkeur binnen enkele dagen na de ontdekking.

Hoe meld je een datalek bij de Autoriteit Persoonsgegevens?

Je meldt een datalek bij de Autoriteit Persoonsgegevens via het officiële meldloket op de website van de AP. Daar vul je een digitaal formulier in. Je hebt hiervoor een DigiD of eHerkenning nodig. De melding is alleen toegankelijk voor de verwerkingsverantwoordelijke van de organisatie.

Bij de melding geef je in ieder geval de volgende informatie op:

  • Een beschrijving van de aard van het datalek (wat is er gebeurd?)
  • De categorieën en het geschatte aantal betrokken personen
  • De categorieën en het geschatte aantal betrokken persoonsgegevens
  • De naam en contactgegevens van de functionaris gegevensbescherming (FG) of een andere contactpersoon
  • De waarschijnlijke gevolgen van het datalek
  • De maatregelen die je hebt genomen of gaat nemen om het lek te dichten en de schade te beperken

Naast de melding bij de AP ben je verplicht elk datalek, ook de niet-meldplichtige, bij te houden in een intern datalekregister. Dit register moet te allen tijde beschikbaar zijn voor de toezichthouder.

Wat zijn de gevolgen als je een datalek niet meldt?

Als je een meldplichtig datalek niet of te laat meldt bij de Autoriteit Persoonsgegevens, riskeer je een aanzienlijke boete. De AP kan op grond van de AVG boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor het niet naleven van de meldplicht, waarbij het hoogste bedrag geldt. Bij ernstige overtredingen kan dat bedrag zelfs oplopen tot 20 miljoen euro of 4% van de jaaromzet.

Naast financiële sancties zijn er ook andere gevolgen om rekening mee te houden:

  • Reputatieschade: Betrokkenen en de markt kunnen het vertrouwen in je organisatie verliezen, zeker als later blijkt dat je een lek bewust of nalatig niet hebt gemeld.
  • Aansprakelijkheid: Betrokkenen kunnen schadevergoeding eisen als zij aantoonbaar schade hebben geleden door het datalek.
  • Toezicht en audit: De AP kan besluiten tot een diepgaand onderzoek naar je privacybeleid en beveiligingsmaatregelen.

Het niet melden van een datalek is daarmee zelden de veilige keuze. Transparantie en snelle actie wegen zwaarder dan de hoop dat het incident onopgemerkt blijft.

Hoe voorkom je dat een datalek meldplichtig wordt?

Je kunt niet altijd een datalek voorkomen, maar je kunt wel maatregelen nemen die ervoor zorgen dat een incident niet automatisch meldplichtig wordt. De sleutel ligt in sterke technische en organisatorische beveiligingsmaatregelen die de impact van een lek beperken.

De meest effectieve maatregelen zijn:

  • Versleuteling van persoonsgegevens: Als gelekte data volledig versleuteld is en de sleutel niet is gecompromitteerd, is het risico voor betrokkenen minimaal en is melding vaak niet verplicht.
  • Toegangsbeheer en least privilege: Zorg dat medewerkers alleen toegang hebben tot de gegevens die zij echt nodig hebben. Dit beperkt de schade bij een incident.
  • Multifactorauthenticatie (MFA): Voorkomt dat gelekte inloggegevens direct leiden tot onbevoegde toegang tot systemen.
  • Regelmatige back-ups: Zorgt dat gegevens bij verlies of ransomware snel hersteld kunnen worden zonder blijvende schade.
  • Bewustwording bij medewerkers: Veel datalekken ontstaan door menselijke fouten. Training en bewustwording verminderen dit risico aanzienlijk.
  • Snelle detectie: Hoe eerder je een incident ontdekt, hoe sneller je kunt ingrijpen en de schade beperken.

Een goed ingericht modern werkplekbeleid met centrale beheermogelijkheden maakt het ook eenvoudiger om apparaten op afstand te wissen bij verlies of diefstal, waardoor een potentieel lek direct wordt ingeperkt.

Hoe Puur ICT helpt bij het voorkomen en afhandelen van datalekken

Een datalek begint vaak bij een zwakke plek in de digitale werkplek: een onbeveiligd apparaat, een medewerker zonder de juiste training of een omgeving zonder adequate toegangscontrole. Wij helpen organisaties om die zwakke plekken structureel aan te pakken, zodat de kans op een meldplichtig datalek aanzienlijk kleiner wordt.

Wat wij voor je kunnen doen:

  • Inrichten van een veilige, beheerde werkplek op basis van Microsoft 365 met versleuteling, MFA en toegangsbeheer
  • Beheer op afstand van apparaten via Microsoft Intune, inclusief de mogelijkheid om apparaten bij verlies of diefstal direct te wissen
  • Monitoring en signalering van verdachte activiteiten binnen je Microsoft-omgeving
  • Begeleiding bij het opstellen van een intern datalekprotocol en datalekregister
  • Bewustwordingstrainingen voor medewerkers rondom privacywetgeving en datalekpreventie

Wil je weten hoe jouw organisatie er nu voor staat op het gebied van beveiliging en privacywetgeving? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We denken graag met je mee in begrijpelijke taal, zonder gedoe.

Gerelateerde artikelen

Gerelateerde artikelen

Misschien ook iets voor u
Laptop op thuiskantoor bureau met koffiemok, papieren en klein hangslot naast het toetsenbord, warm licht en blauw schermgloed.Hoe voorkom je datalekken via privéapparaten van thuiswerkende medewerkers?
Ondernemer bureau met open laptop, hangslot en dampende koffie in koel blauw-wit interieur met zijdelings natuurlijk licht.Hoe houd je je digitale beveiliging op orde als ondernemer zonder dat het je dagelijkse werk stilzet?
Laptop op modern bureau toont gedeeld document met gekleurde cursors, drie koffiebekers en natuurlijk noorderlicht op de achtergrond.Hoe werk je met meerdere mensen tegelijk aan hetzelfde document zonder versiechaos?
Ondernemer beheert Microsoft 365 dashboard op laptop aan opgeruimd bureau met notitieboek en koffiemok, zacht noordelijk licht.Hoe maak je je digitale werkomgeving beheersbaar zonder een grote IT afdeling nodig te hebben?
Bureau vol verouderde papieren en mappen naast een laptop met een overzichtelijke digitale werkruimte, verlicht door noordelijk daglicht.Wat is een betere manier om documenten te delen en samen te bewerken zonder dat je door versies heen rolt?
Laptop met Microsoft 365-dashboard op modern bureau naast een beveiligingsmap en hangslot, kantooromgeving met natuurlijk raamlicht.Wat moet je regelen in Microsoft 365 voor een ISO 27001-certificering?
Professional leant over laptop met ongelezen Teams-meldingen, bureau met sticky notes en documenten, tweede monitor toont teamkalender.Hoe voorkom je dat je steeds achter de feiten aanloopt als je team verspreid werkt?
Professional thuis aan bureau met groot scherm tijdens videovergadering, kopje koffie en headset, warm natuurlijk licht.Hoe zorg je dat medewerkers thuis net zo goed kunnen werken als op kantoor?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden