Datalek

Datalek melden in 72 uur: het complete stappenplan

27 februari 2026 · 8 min lezen · DeSnipperaar

Een gestolen laptop, een verkeerd verzonden e-mail, een archiefdoos die onderweg verdwijnt, een gehackte database. Een datalek kan elke organisatie overkomen, en de klok tikt vanaf het moment dat je ervan weet. Artikel 33 AVG geeft 72 uur om de Autoriteit Persoonsgegevens te informeren. Artikel 34 gaat over wanneer je ook de betrokkenen moet inlichten. Dit artikel is een werkend stappenplan voor de eerste drie dagen na ontdekking.

Doelgroep: DPO's, CISO's, privacycoordinatoren en iedereen die bij incidenten direct betrokken raakt.

Wat is een datalek volgens de AVG?

Artikel 4 lid 12 definieert het als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.

Dat betekent: niet elk informatiebeveiligingsincident is automatisch een datalek. Er moeten persoonsgegevens in het geding zijn. Een DDoS-aanval zonder data-verlies: geen datalek. Een gestolen laptop met versleutelde data en sterke wachtwoord: twijfelachtig, maar vaak geen datalek omdat de data onleesbaar zijn.

Uur 0 tot 4: vaststellen en isoleren

1. Ontvang de melding (van medewerker, klant, leverancier, toezichthouder, media).
2. Noteer tijdstip en bron. Dit is je T-0.
3. Activeer het incident response team (DPO, IT, communicatie, juridisch).
4. Beoordeel in hoofdlijnen: is er sprake van persoonsgegevens?
5. Isoleer het lek. Blokkeer accounts, verbreek netwerkverbindingen, verzegel fysieke locaties.
6. Bewaar bewijs. Maak forensische kopieen of beelden zodra mogelijk.

De klok begint bij ‘kennisname’, niet bij ‘volledige duidelijkheid’. Wachten tot alles helder is, is een kostbare fout.

Uur 4 tot 24: impact bepalen

1. Welke persoonsgegevens zijn betrokken? Namen, adressen, BSN, medisch, financieel?
2. Hoeveel betrokkenen? Schat breed in het begin, verfijn later.
3. Welke bijzondere categorieen (AVG art. 9) zijn geraakt?
4. Welke gevolgen zijn denkbaar voor betrokkenen? Identiteitsfraude, chantage, discriminatie, financieel verlies, smaad?
5. Is de data versleuteld of anderszins beschermd? Dat kan leiden tot conclusie dat geen melding nodig is.
6. Informeer interne belanghebbenden (directie, raad van commissarissen, audit).

Uur 24 tot 48: beslissen en opstellen

Nu volgt de kernbeslissing: wel of niet melden bij de AP?

• Niet melden: mag als het onwaarschijnlijk is dat het lek een risico oplevert voor de rechten en vrijheden van betrokkenen. Leg deze afweging schriftelijk vast in het verwerkingsregister (AVG art. 33 lid 5). Bij twijfel: wel melden.
• Wel melden: bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. Digitaal formulier.

Bij de melding zet je:

1. Aard van het lek (diefstal, verzending, hack, verlies)
2. Categorieen en aantal betrokkenen
3. Categorieen en aantal persoonsgegevens
4. Waarschijnlijke gevolgen
5. Getroffen maatregelen
6. Contactgegevens DPO of verantwoordelijke

Nog niet alle informatie klaar? Mag. Je doet een gefaseerde melding: eerste melding met beschikbare info binnen 72 uur, aanvullingen later. Dat is expliciet toegestaan onder AVG art. 33 lid 4.

Betrokkenen informeren: wanneer?

Artikel 34 verplicht je de betrokkenen te informeren als het lek een hoog risico oplevert. Dat betekent in de praktijk:

• Betrokken BSN, identiteitsbewijzen, creditcardgegevens: ja.
• Betrokken medische of financiele data: ja.
• Enkel e-mailadressen zonder wachtwoorden en zonder gevoelige context: vaak niet.
• Versleutelde data onbekende sleutel: vaak niet.

Informatie aan betrokkenen bevat: aard van het lek, te verwachten gevolgen, maatregelen die je neemt, contactpersoon, advies aan de betrokkene (bijvoorbeeld wachtwoorden wijzigen, bank waarschuwen).

Uur 48 tot 72: indienen en communiceren

1. Indienen van de melding bij AP.
2. Indien nodig betrokkenen informeren per brief, e-mail of publicatie.
3. Interne communicatie: wat mag en niet worden gedeeld door medewerkers.
4. Afstemming met verwerkers betrokken bij het lek. Aansprakelijkheid checken in de verwerkersovereenkomst.
5. Voorbereiding op mogelijke media-aandacht.
6. Logboek bijhouden van alle beslissingen en acties.

Na uur 72: nazorg en leren

Een datalekmelding is geen eindpunt. De AP kan aanvullende vragen stellen, een onderzoek starten, boetes opleggen. Zorg dat je:

• Binnen 7 dagen een impact-rapport klaar hebt voor intern gebruik
• Binnen 30 dagen een root-cause analyse doet
• Binnen 60 dagen maatregelen implementeert die herhaling voorkomen
• Het incident toevoegt aan je verwerkingsregister en het meeneemt in je audit-ready archief als ‘incident’-bijlage

Specifieke scenario's rond vernietiging

Datalekken door slechte vernietiging gebeuren regelmatig:

Dozen met papier bij het oud papier

Een medewerker zet per ongeluk archiefdozen bij de papiercontainer. Zodra iemand leesbare data terugvindt, is het een datalek. Directe actie: proberen dozen terug te halen, incident analyseren, melding doen, beleid verscherpen.

Onversleutelde laptop gestolen

Laptop met bedrijfsdata onversleuteld. Lek tenzij bewezen kan worden dat dief geen toegang kreeg (zeldzaam). Meld en informeer betrokkenen.

Vernietigingscontainer weggeraakt tijdens transport

Een onverzegelde container verdwijnt onderweg tussen opdrachtgever en centrale shreddervoorziening. Vraag in dat geval om zegelnummers op het vernietigingscertificaat. Datalek. Daarom pleit mobiele vernietiging: dan verlaat niets het pand voor het vernietigd is. Zie mobiele vs offsite shredding.

USB-stick achtergelaten

Stick met klantdata in taxi, restaurant, trein. Tenzij versleuteld: lek. Zie ons artikel over USB en SD veilig afvoeren.

Intern meldpunt en draaiboek

Een organisatie zonder draaiboek verliest uren in de eerste fase. Aanbevelingen:

1. Een e-mailadres zoals datalek@uwbedrijf.nl, 24/7 gemonitord.
2. Een draaiboek met rollen, telefoonnummers en escalatiepaden.
3. Een templatemelding voor AP met vaste invulvelden.
4. Een communicatieplan naar betrokkenen en media.
5. Jaarlijkse oefening van een fictief incident.

Boete-risico

De AP heeft meermaals boetes opgelegd van 500.000 tot 1 miljoen euro voor niet tijdige melding of voor het lek zelf. In 2020 werd Booking.com beboet met 475.000 euro omdat een incident pas na 22 dagen was gemeld. Belangrijkste verwijt: niet de 72-uurstermijn gehaald. De les: meld liever te vroeg dan te laat.

---

Lek voorkomen door vernietiging op locatie? Bel ons of vraag een offerte aan via desnipperaar.nl. Wij zijn 24/7 bereikbaar voor spoedopdrachten.