AVG meldplicht datalekken: wanneer moet je melden?
Voor wie is dit? Voor ZZP’ers, kleine ondernemers en zorgverleners die persoonsgegevens verwerken en willen weten wanneer een incident meldplichtig is bij de Autoriteit Persoonsgegevens.
AVG meldplicht datalekken: wanneer moet je melden?
Voor wie is dit? Voor ZZP’ers, kleine ondernemers en zorgverleners die persoonsgegevens verwerken en willen weten wanneer een incident meldplichtig is bij de Autoriteit Persoonsgegevens.
Een incident heeft plaatsgevonden. Je laptop is gestolen, een e-mail is naar de verkeerde persoon gestuurd, of je systeem is gehackt. Moet je dit melden?
De AVG verplicht organisaties om datalekken onder bepaalde voorwaarden te melden — aan de Autoriteit Persoonsgegevens (AP) en soms ook aan de betrokkenen zelf. De termijn is 72 uur na ontdekking. De vraag is: wanneer is er sprake van een meldplichtig datalek?
Wat je wint, en wat het kost
Als je deze beslisboom gebruikt, win je meestal:
- sneller overzicht in een situatie waar tijdsdruk direct meespeelt
- minder kans dat je een meldplichtig incident te laat of verkeerd beoordeelt
- een beter onderscheid tussen echt risico, laag risico en paniek zonder grond
Maar het kost ook iets:
- je moet feiten verzamelen terwijl een incident nog gaande kan zijn
- je moet documenteren wat je hebt afgewogen
- bij twijfel kies je soms voor melden terwijl dat administratief extra werk geeft
Voor organisaties die persoonsgegevens verwerken is dat een logische ruil. Overkill wordt het pas wanneer je elk klein technisch incident als juridisch drama behandelt zonder eerst te bepalen of er überhaupt persoonsgegevens en risico voor betrokkenen in het spel zijn.
Wat is een datalek?
Een datalek is elke inbreuk op de beveiliging waarbij persoonsgegevens verloren gaan, worden gewijzigd, of ongeoorloofd worden ingezien, gedeeld of vernietigd.
Voorbeelden die als datalek kwalificeren:
- Gestolen laptop met onversleutelde persoonsgegevens
- Verkeerd geadresseerde e-mail met medische informatie
- Ransomware-aanval die bestanden versleutelt (ook al zijn ze niet gestolen)
- USB-stick met patiëntgegevens die kwijt is geraakt
- Inbraak in een systeem waarbij klantendata is bereikt
- Medewerker die per ongeluk een bestand publiek deelt
Geen datalek:
- Incident waarbij geen persoonsgegevens betrokken zijn
- Gegevens die al publiek beschikbaar waren
- Intern verzonden bestand aan verkeerde medewerker (zelfde organisatie, zelfde bevoegdheid)
De beslisboom
Stap 1: Zijn er persoonsgegevens bij betrokken?
Nee → Geen datalek in de zin van de AVG. Geen meldplicht.
Ja → Ga naar stap 2.
Stap 2: Wat is er precies gebeurd?
| Situatie | Kwalificatie |
|---|---|
| Gegevens zijn verloren of vernietigd (onherstelbaar) | Datalek |
| Gegevens zijn gewijzigd zonder toestemming | Datalek |
| Gegevens zijn ingezien door onbevoegden | Datalek |
| Gegevens zijn gedeeld met verkeerde ontvanger | Datalek |
| Gegevens zijn tijdelijk niet bereikbaar (systeem down) maar intact | Geen datalek |
Stap 3: Is er een risico voor betrokkenen?
Niet elk datalek hoeft gemeld te worden. De drempel is: bestaat er een risico voor de rechten en vrijheden van de betrokkenen?
Altijd melden (hoog risico):
- Bijzondere categorieën persoonsgegevens: gezondheid, BSN, financiële gegevens, strafrechtelijke gegevens, religie, seksuele geaardheid
- Gegevens van kwetsbare groepen: kinderen, patiënten
- Grote hoeveelheden betrokkenen
- Data die identiteitsfraude mogelijk maakt
- Onversleutelde gegevens op een gestolen apparaat
Mogelijk melden (beoordeel per geval):
- Klein aantal betrokkenen, geen bijzondere gegevens
- Verkeerde ontvanger die de gegevens niet heeft gezien of al heeft verwijderd
- Naam + algemeen e-mailadres (lage gevoeligheid)
Geen melding nodig:
- Versleuteld apparaat kwijtgeraakt (sleutel niet beschikbaar voor derden)
- Naam + zakelijk telefoonnummer, geen verdere context
- Incident intern opgelost zonder risico voor betrokkenen
Vuistregel: Twijfel je? Meld altijd. De AP stelt geen sancties op goede-trouw meldingen van grensgevallen.
Stap 4: Wie ben jij in deze verwerking?
Verwerkingsverantwoordelijke (jij beslist waarvoor en hoe de data wordt gebruikt): → Meld aan de AP binnen 72 uur → Beoordeel of je ook de betrokkenen moet informeren (bij hoog risico: ja, verplicht)
Verwerker (jij verwerkt data in opdracht van een andere organisatie): → Meld aan de verwerkingsverantwoordelijke zo snel mogelijk — zij moeten binnen 72 uur melden bij de AP → Meld niet zelf aan de AP (tenzij de verwerkingsovereenkomst dat voorschrijft)
De 72-uur termijn
De klok start op het moment van ontdekking, niet op het moment van het incident. Als een datalek op maandag heeft plaatsgevonden maar jij het vrijdag ontdekt, begint de 72 uur op vrijdag.
De melding hoeft niet compleet te zijn op het moment van melden — je kunt een initiële melding doen en aanvullen.
Melden bij de AP: via autoriteitpersoonsgegevens.nl → Meldloket datalekken.
Betrokkenen informeren
Naast de AP-melding moet je in sommige gevallen ook de betrokkenen (de personen van wie je data zijn gelekt) informeren.
Verplicht als:
- Het datalek waarschijnlijk hoog risico oplevert voor hun rechten en vrijheden
- Bijzondere categorieën gegevens zijn gelekt
- Identiteitsfraude of andere ernstige schade is te verwachten
Niet verplicht als:
- De data versleuteld was en de sleutel niet is gelekt
- De AP oordeelt dat melding aan betrokkenen te veel inspanning vergt en zelf een publieke mededeling heeft gedaan
- Er geen of verwaarloosbaar risico is
Informeer betrokkenen zo snel mogelijk na ontdekking — wacht niet tot na de AP-melding.
Specifiek voor zorgverleners
Zorgverleners verwerken bijzondere persoonsgegevens (gezondheidsgegevens). De drempel voor meldplicht is daardoor lager:
- Elke onbedoelde inzage in patiëntgegevens door onbevoegden is een datalek
- Een gestolen laptop met patiëntdossiers — ook al versleuteld — is meldingswaardig als niet zeker is of de versleuteling afdoende was
- E-mail met medische informatie naar verkeerd adres: vrijwel altijd meldplichtig
Meld bij:
- Als je in een organisatie werkt: de functionaris gegevensbescherming (FG)
- Als ZZP’er: direct bij de AP via het meldloket
- Als zorgorganisatie: ook bij Z-CERT (z-cert.nl) voor technische ondersteuning
Register bijhouden
De AVG verplicht je ook om alle datalekken bij te houden in een intern register — ook de lekken die je niet hoeft te melden aan de AP. Dit register moet beschikbaar zijn bij een eventuele controle.
Minimale registratie per incident:
- Datum ontdekking
- Beschrijving van wat er is gebeurd
- Welke gegevens, hoeveel betrokkenen
- Genomen maatregelen
- Waarom wel/niet gemeld
Volgende stap
Rolverdeling en contracten
- Verwerkersovereenkomst uitgelegd — wie is verwerkingsverantwoordelijke en wie is verwerker?
Per situatie
- Profiel: zorgverlener — AVG-verplichtingen voor de zorg
- Profiel: kleine ondernemer — AVG voor ZZP’ers
Preventie
- Back-up implementeren — datalekken door verlies voorkomen
- Spyware detecteren — bij vermoeden van een gecompromitteerd apparaat