AVG

Datalek door verloren USB: stappenplan voor de eerste week

28 mei 2026 · 8 min lezen · DeSnipperaar

Een collega meldt vanmiddag dat ze een USB-stick met klantgegevens niet meer kan vinden. Misschien gisteren in de trein gebleven, misschien bij een klant op de balie, misschien ergens onderweg gevallen. Wat nu? De volgende uren bepalen of dit een hanteerbaar incident wordt of een melding-meldplicht-incident met meer hoofdpijn dan nodig.

Eerste uur: feit vaststellen

1. Wat zat erop? Welke documenten, hoeveel records, welke categorieen persoonsgegevens? Vaak weet de medewerker het globaal, niet exact.
2. Was het versleuteld? Met BitLocker To Go, VeraCrypt, of een hardware-versleuteld stick (IronKey, Kingston DT4000, etc.)?
3. Wanneer voor het laatst gezien? Tijdslijn helpt bij zoeken en bij meldingsbeoordeling.
4. Waar laatst gezien? Trein, klant-balie, in eigen tas, op eigen bureau.
5. Is er een back-up? Voor de bedrijfsoperationele kant: kunnen we het werk voortzetten?

Versleuteld? Dan ben je vaak meldvrij

Als de USB hardware-versleuteld is met goede crypto en de PIN/wachtwoord niet samen met de stick is verloren, voldoet de versleuteling als ‘passende technische maatregel'. De AP heeft eerder geoordeeld dat een verloren versleuteld device meestal geen meldenswaardig datalek is, mits de versleuteling daadwerkelijk werkt en de sleutel apart bewaard wordt.

Documenteer:

• Type encryptie (AES-256 hardware, BitLocker To Go).
• Wanneer wachtwoord laatst gewijzigd.
• Bewijs dat sleutel niet bij de stick lag.

Niet versleuteld? Volg de meldplicht

Een onversleutelde USB met persoonsgegevens is een datalek dat (vrijwel altijd) meldplicht-waardig is. Volg ons gedetailleerde datalek 72-uur stappenplan:

1. Bepaal aard en omvang.
2. Risicobeoordeling: zijn er gevolgen voor betrokkenen?
3. Meld bij Autoriteit Persoonsgegevens binnen 72 uur.
4. Beoordeel of betrokkenen geïnformeerd moeten worden (artikel 34 AVG).
5. Documenteer alles in datalek-register.

Eerste 24 uur: zoekactie en mitigatie

Zoekactie

• Vraag medewerker laatst-gezien-traject opnieuw te lopen.
• Bel klant-balie waar laatst gebruikt.
• Meld bij gevonden voorwerpen NS / openbaar vervoer als relevant.
• Controleer eigen kantoorruimtes.

Mitigatie

• Wachtwoorden klanten (indien bekend) waarschuwen of resetten.
• Bankgegevens: bij klant melden, eventueel pinpas blokkeren via fraudemelder.
• Identiteitsgegevens: betrokkene informeren over alertness voor identity fraud.
• BSN-kopieen: extra alertheid; lees over BSN- en patientgegevens voor de zorgcomponent.

Dag 2-3: melding

1. Online formulier op autoriteitpersoonsgegevens.nl invullen.
2. Datalek-register update: nieuw incident plus stappen.
3. Interne communicatie naar betrokken afdelingen.
4. Beoordelen of melding aan betrokkenen verplicht is (bij hoog risico op rechten en vrijheden).

Dag 3-7: lessen en preventie

Hier komt het preventie-component. Een datalek is een aanleiding om vergelijkbare risico's elders te elimineren:

1. Inventariseer alle USB-sticks in de organisatie. Veel medewerkers hebben er één in de bureaula die ze allang vergeten zijn.
2. Bepaal beleid: mogen medewerkers nog persoonsgegevens op USB? Of alleen versleutelde sticks? Of helemaal niet?
3. Vernietig oude USB-sticks. Lees over USB-sticks afvoeren voor de DIN E-route.
4. Stel encryptie verplicht via groepsbeleid.
5. Documenteer in datalek-register dat preventieve actie is ondernomen.

De grootste fout na een datalek is alleen melden en niet preventief handelen. Een AP-bezoek vraagt naar ‘wat heb je gedaan om herhaling te voorkomen?'

De rol van mobiele vernietiging na een lek

Na een verloren USB is een groepsvernietiging van vergelijkbare dragers bijna verplicht. Het levert je twee dingen:

• Bewijs dat je preventief hebt gehandeld (voor AP-onderzoek).
• Daadwerkelijk minder risico op herhaling.

Wij doen dit op locatie binnen 5 werkdagen na aanvraag. De medewerker leveren hun USB-sticks in een afgesloten zak; wij vernietigen ter plekke op DIN E-4. Voor de bredere context van wat niet in de papierbak hoort, zie wat hoort niet in de papiercontainer.

Voorkomen voor de volgende keer

1. Beleid: geen onversleutelde USB's met persoonsgegevens.
2. Hardware-versleutelde sticks uitdelen vanaf de werkgever.
3. Cloud-alternatief promoten: SharePoint, OneDrive, Box voor bestandsdeling in plaats van fysiek.
4. Jaarlijks USB-inventariseren en oude vernietigen.
5. Bij uit dienst: standaard alle USBs inleveren als onderdeel van off-boarding.

Eindverhaal: wat is reeel risico?

De meeste verloren USB's belanden niet in handen van iemand die ze opzettelijk uitleest. Een gevonden USB op straat wordt vaak in een gewone vuilcontainer gegooid of als eigen vondst gebruikt zonder de eerdere inhoud te bekijken. Het reele scenario is meestal niet ‘data in handen van vijand' maar ‘onbekend lot'. Onder de AVG telt dat laatste even hard: je kunt het niet uitsluiten, dus voorzichtigheid is geboden.

---

Datalek gehad? Mail ons via desnipperaar.nl binnen werkuren voor spoedplanning van vergelijkbare hardware-vernietiging.