Artikel

AP datalek melden 2026: meldplicht, 72 uur en stappenplan

Een datalek melden bij de Autoriteit Persoonsgegevens (AP) is verplicht zodra het lek risico oplevert voor betrokkenen (AVG art. 33). De termijn is 72 uur na ontdekking. Betrokkenen informeren verplicht bij hoog risico (AVG art. 34). Dit stappenplan leidt je door het meldproces.

Kort antwoord
  • Een datalek melden bij de AP is verplicht als de inbreuk waarschijnlijk risico oplevert voor de rechten en vrijheden van betrokkenen (AVG art. 33 lid 1). De termijn is 72 uur na ontdekking, niet na verificatie. Twijfel je over de meldplicht? Meld toch: een niet-gemeld lek levert hogere risico's op dan een meldingsoverschot. Gebruik het meldportaal op meldportaal.autoriteitpersoonsgegevens.nl.
  • Betrokkenen informeren verplicht bij hoog risico (AVG art. 34 lid 1): wanneer de inbreuk waarschijnlijk een hoog risico vormt voor hun rechten en vrijheden. Criteria voor hoog risico: bijzondere categorieën persoonsgegevens (gezondheid, BSN, ras, religie, seksuele geaardheid, biometrie, strafrechtelijke veroordelingen), financiële gegevens, grote aantallen betrokkenen, combinatie van gegevens die identiteitsfraude mogelijk maakt, of kwetsbare doelgroepen (kinderen, zorgpatiënten).
  • Documentatieplicht geldt altijd (AVG art. 33 lid 5): ook als u besluit het lek niet te melden, moet u het bijhouden in uw interne datalekregister met de feiten, gevolgen en genomen maatregelen. AP kan dit register bij controle opvragen. Boetes voor niet-naleving van de meldplicht: tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet (AVG art. 83 lid 4).

Wat is een datalek?

Een datalek (AVG art. 4 lid 12) is een inbreuk op de beveiliging van persoonsgegevens die leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, onbevoegde verstrekking of toegang tot persoonsgegevens. Er zijn drie typen: vertrouwelijkheidsinbreuk (onbevoegde toegang of openbaarmaking), integriteitsbreuk (onbevoegde wijziging) en beschikbaarheidsinbreuk (verlies of ontoegankelijkheid). Voorbeelden: ransomware die patientgegevens versleutelt, een medewerker die per ongeluk een e-mail stuurt naar een verkeerde ontvanger met klantenlijst, of een inbraak in een CRM-systeem. Verlies van een niet-versleutelde USB-stick met klantgegevens is ook een meldplichtig datalek. Niet elk beveiligingsincident is een datalek: een DDoS-aanval op uw website zonder gegevensinbreuk is dat niet.

Vertrouwelijkheidsinbreuk

Onbevoegde of onbedoelde openbaarmaking van of toegang tot persoonsgegevens. Voorbeelden: phishing-aanval waarbij een aanvaller toegang krijgt tot een mailbox met klantgegevens, e-mail met klantenlijst naar verkeerd adres, gehackt CRM-systeem, diefstal van laptop met niet-versleutelde klantdata.

Integriteitsbreuk

Onbevoegde of onbedoelde wijziging van persoonsgegevens. Voorbeelden: malware die medische dossiers aanpast, medewerker die klantgegevens wijzigt, softwarebug die gegevens overschrijft.

Beschikbaarheidsinbreuk

Onbedoeld verlies of ontoegankelijkheid van persoonsgegevens. Voorbeelden: ransomware die bestanden versleutelt zonder back-up, brand of overstroming die server vernietigt, accidentele verwijdering van database zonder back-up.

Wanneer is melden verplicht?

Niet elk datalek hoeft gemeld te worden bij de AP. AVG art. 33 stelt de melddrempel op waarschijnlijk risico voor de rechten en vrijheden van betrokkenen. AVG art. 34 stelt de hogere drempel voor melding aan betrokkenen op hoog risico. Praktische vuistregel: bij twijfel, meld.

Drempel AP-melding (art. 33 AVG): risico

Meldplicht bij AP als de inbreuk waarschijnlijk risico oplevert voor de rechten en vrijheden van betrokkenen. Geen meldplicht als het risico niet waarschijnlijk is, bijv. versleutelde data die gestolen is (aanvaller kan data niet lezen), of een e-mail die per ongeluk intern naar een collega gestuurd is met niet-gevoelige informatie. Termijn: 72 uur na ontdekking. Overschrijd je de 72 uur? Meld alsnog en verklaar de vertraging.

Drempel betrokkenen informeren (art. 34 AVG): hoog risico

Meldplicht aan betrokkenen bij hoog risico. Indicatoren: bijzondere categorieën persoonsgegevens (gezondheid, BSN, ras, religie, seksuele geaardheid, biometrie, strafrechtelijke veroordelingen), financiële gegevens, grote aantallen betrokkenen, combinatie van gegevens die identiteitsfraude of financiële schade mogelijk maakt, of kwetsbare doelgroepen (kinderen, zorgpatiënten). Uitzonderingen art. 34 lid 3 AVG: data was versleuteld, voldoende maatregelen genomen waardoor hoog risico verdwenen is, of melding zou onevenredige inspanning vergen (dan openbare mededeling).

Altijd: interne documentatieplicht (art. 33 lid 5 AVG)

Ook als het lek niet meldplichtig is bij de AP of betrokkenen, verplicht AVG art. 33 lid 5 u tot interne documentatie in een datalekregister: de feiten van de inbreuk, de gevolgen, en de maatregelen die genomen zijn om de inbreuk aan te pakken en herhaling te voorkomen. De AP kan dit register opvragen bij een audit of klacht.

Stappenplan

Vijf stappen om een datalek correct te melden

Dit stappenplan volgt de AVG-vereisten: ontdekking, risicobeoordeling, AP-melding binnen 72 uur, betrokkenen informeren en interne documentatie.

Stap 1: Constateer en bevries het lek

Zodra u een mogelijk datalek ontdekt, onderneem onmiddellijk actie om verdere schade te beperken: isoleer getroffen systemen (verwijder ze van het netwerk, trek sessies in), bevries logs en bewaar digitaal bewijs (overschrijf of verwijder niets), noteer datum en tijdstip van ontdekking (start 72-uurstermijn), en informeer intern uw DPO (Functionaris Gegevensbescherming) of privacy-contactpersoon direct.

Stap 2: Beoordeel risico en meldplicht

Beoordeel de ernst: welke categorieën persoonsgegevens en hoeveel betrokkenen zijn geraakt? Zijn er bijzondere categorieën (gezondheid, BSN) of financiële gegevens bij betrokken? Wat is de kans op misbruik? Is de data versleuteld? Gebruik de ENISA-risicoscoremethode of AP-richtsnoeren voor de beoordeling. Registreer uw afweging schriftelijk, ook als u concludeert dat melden niet nodig is.

Stap 3: Meld bij de AP binnen 72 uur

Meld via meldportaal.autoriteitpersoonsgegevens.nl. Vermeld: aard van de inbreuk, categorieën en geschat aantal betrokkenen, categorieën en geschat aantal persoonsgegevensrecords, contactgegevens DPO of contactpersoon, vermoedelijke gevolgen van de inbreuk, en maatregelen die zijn of worden genomen. Voorlopige melding met aanvulling is toegestaan als niet alle informatie binnen 72 uur beschikbaar is, vermeld dit expliciet.

Stap 4: Informeer betrokkenen (bij hoog risico)

Is er sprake van hoog risico? Informeer betrokkenen dan onverwijld via een direct communicatiekanaal: e-mail, brief of telefonisch. Gebruik heldere, niet-technische taal (AVG art. 34 lid 2): beschrijf de aard van de inbreuk, naam en contactgegevens DPO, vermoedelijke gevolgen, genomen of te nemen maatregelen, en aanbevolen acties voor betrokkenen (wachtwoord wijzigen, creditcard blokkeren, identiteitsfraude melden).

Stap 5: Documenteer intern en evalueer

Leg alle details vast in uw datalekregister (verplicht op grond van AVG art. 33 lid 5): feiten, tijdlijn, betrokken gegevens, oorzaakanalyse, gevolgen, genomen maatregelen en betrokken systemen. Evalueer achteraf de oorzaak en pas uw beveiligingsbeleid aan. Laat uw DPO de registratie valideren. Bewaar het dossier minimaal 3 jaar, AP-onderzoeken kunnen jaren na het incident plaatsvinden.

Boetes en handhaving door de AP

De AP hanteert twee boetecategorieën op grond van AVG art. 83. Naast boetes kan de AP ook een verwerkingsverbod opleggen of publieke berisping uitvaardigen.

Niet-naleven meldplicht (art. 83 lid 4 AVG)

Maximumboete voor schending van de meldplicht (art. 33 AVG) of de meldingsplicht aan betrokkenen (art. 34 AVG): EUR 10.000.000 of 2% van de wereldwijde jaaromzet, het hoogste bedrag geldt. De AP toetst proportionaliteit: aard, ernst, duur van de inbreuk, mate van schuld, eerdere overtredingen en samenwerking met de AP.

Ernstige inbreuken (art. 83 lid 5 AVG)

Schendingen van kernbeginselen (art. 5 AVG), rechtsgronden (art. 6 AVG) of rechten van betrokkenen kennen een hoger boeteplafond: EUR 20.000.000 of 4% van de wereldwijde jaaromzet. Als het datalek ook een inbreuk inhoudt op art. 5 (integriteit en vertrouwelijkheid als beginselen), kan de AP de hogere categorie toepassen.

AP-handhavingspraktijk in Nederland

De AP heeft boetes opgelegd voor te late of afwezige meldingen, waaronder aan Booking.com (EUR 475.000, 2020) en diverse zorgorganisaties. Let op: ook verwerkingsverantwoordelijken die het lek veroorzaakten via een verwerker kunnen aansprakelijk zijn. Controleer altijd uw verwerkersovereenkomsten (art. 28 AVG): deze moeten de meldtermijn voor verwerkers regelen (in de praktijk: 24 uur of eerder).

Veelgestelde vragen

Veelgestelde vragen over datalekken melden

Geldt de 72-uurstermijn vanaf het datalek of vanaf ontdekking?
Vanaf ontdekking. AVG art. 33 lid 1 stelt de termijn op 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen. U hoeft niet te wachten tot u alle details hebt: een voorlopige melding met aanvulling later is toegestaan (art. 33 lid 4 AVG). Noteer het tijdstip van ontdekking precies, dit is het startpunt van de termijn. De AP beoordeelt ook wanneer u redelijkerwijs had kunnen ontdekken dat er een lek was.
Moet ik elk datalek melden, ook kleine incidenten?
Nee. Alleen als het lek waarschijnlijk risico oplevert voor de rechten en vrijheden van betrokkenen (AVG art. 33 lid 1). Een onbeveiligde e-mail intern verzonden met niet-gevoelige informatie hoeft doorgaans niet gemeld te worden. Maar u moet elk incident, ook de niet-meldplichtige, documenteren in uw datalekregister (art. 33 lid 5 AVG). Bij twijfel: meld. Een te voorzichtig gemeld lek brengt minder risico mee dan een gemist lek.
Wat als het datalek bij een verwerker plaatsvindt?
Uw verwerker (bijv. een clouddienst of SaaS-leverancier) is verplicht u onverwijld te informeren zodra ze een lek ontdekken (AVG art. 33 lid 2). De meldplicht bij de AP rust op u als verwerkingsverantwoordelijke, niet op de verwerker. Controleer uw verwerkersovereenkomsten (art. 28 AVG): deze moeten de meldtermijn voor verwerkers regelen. De 72-uurstermijn begint te lopen zodra u als verwerkingsverantwoordelijke van het lek weet.
Wat als het datalek ook een NIS2-melding vereist?
Als de inbreuk ook de dienstverlening verstoort of valt onder NIS2-verplichtingen, zijn twee meldingen nodig: een AVG-datalekmelding bij de AP (binnen 72 uur, via meldportaal.autoriteitpersoonsgegevens.nl) en een NIS2-incidentmelding bij de NCSC of sectorspecifieke toezichthouder (eerste vroegmelding binnen 24 uur). Een ransomware-aanval die patientgegevens treft in een zorgsetting, is typisch dubbel meldplichtig.
Hoe informeer ik betrokkenen als ik hun contactgegevens niet heb?
AVG art. 34 lid 3 sub c voorziet in dit geval: als rechtstreekse communicatie een onevenredige inspanning zou vergen, kunt u een openbare mededeling doen in plaats van individuele notificatie. Publiceer de mededeling op een prominente plek op uw website of in een dagblad, en beschrijf wat betrokkenen kunnen doen. Documenteer waarom directe communicatie niet mogelijk was.
Hoe lang moet ik een datalekdossier bewaren?
AVG stelt geen specifieke bewaartermijn voor datalekdossiers. De AP hanteert als richtlijn minimaal 3 jaar, omdat AP-onderzoeken jaren na het incident kunnen starten. In de praktijk wordt 5 jaar aanbevolen, aansluitend op de algemene AVG-principes van dataminimalisatie en opslagbeperking (art. 5 lid 1 sub e AVG). Bewaar: tijdlijn, oorzaakanalyse, betrokken gegevens, meldingen, correspondentie met AP en betrokkenen, en genomen maatregelen.

Wil je jouw AVG-compliance laten doorlichten en weten of je processen meldplicht-klaar zijn?

Plan een gratis gesprek. We bekijken samen uw verwerkersovereenkomsten, datalekprocedures en interne registers, en adviseren welke stappen het meest urgent zijn voor uw situatie.

Plan een gratis gesprek →

Gratis en vrijblijvend · Reactie binnen een werkdag · Vaste prijs vooraf, geen verrassingen