Start de generator Start →
Rechten & procedures 2 min lezen

Datalek

Kort gezegd

Een inbreuk in verband met persoonsgegevens - binnen 72 uur melden bij de Autoriteit Persoonsgegevens.

⚖️
Wettelijke basis AVG art. 33-34
⏱️
Melden bij AP Binnen 72 uur
🧑
Betrokkenen Bij hoog risico informeren

Een datalek is een inbreuk op de beveiliging die leidt tot verlies, onrechtmatige toegang, vernietiging of wijziging van persoonsgegevens (AVG art. 4 lid 12). Het hoeft niet om een hack te gaan.

Voorbeelden

  • Een e-mail met alle adressen in de cc in plaats van bcc.
  • Een verloren of gestolen laptop of telefoon.
  • Een gehackt account of website.
  • Een verkeerd verzonden brief of factuur.

De 72-uursregel

Levert het lek waarschijnlijk risico op voor betrokkenen, dan meld je het binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens. Bij hoog risico informeer je ook de betrokkenen zelf.

Altijd registreren

Houd een intern datalekregister bij van álle lekken, ook de niet-gemelde, en analyseer wat misging om herhaling te voorkomen.

Hoe meld je een datalek?

Ontdek je een datalek, doorloop dan deze vijf stappen. Bij risico voor betrokkenen meld je binnen 72 uur.

  1. Dam het lek direct in. Trek toegang in, reset wachtwoorden of haal het lek offline, en probeer verloren gegevens te wissen of terug te halen.
  2. Schat het risico in. Bepaal of het lek waarschijnlijk risico oplevert: om welke gegevens gaat het, hoeveel mensen, en wat kan er misgaan?
  3. Meld binnen 72 uur bij de AP. Is er risico, meld het datalek dan binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens via het meldloket.
  4. Informeer de betrokkenen. Bij hoog risico licht je ook de getroffen personen in, in duidelijke taal en met wat zij zelf kunnen doen.
  5. Registreer en leer. Noteer elk lek in je interne datalekregister en pas je beveiliging aan om herhaling te voorkomen.

Waarom dit begrip ertoe doet

Goed begrip van Datalek is belangrijk voor iedere ondernemer die persoonsgegevens verwerkt. Een verkeerde inschatting leidt in de praktijk tot een onvolledige privacyverklaring, klachten van betrokkenen of een onderzoek van de Autoriteit Persoonsgegevens. Met de juiste uitleg leg je een betrouwbare privacy-basis.

Praktisch gebruik

In onze gratis privacy policy generator is dit principe verwerkt in vragen en clausules die op jouw situatie aansluiten. Bekijk ook de voorbeelden per beroep.

Gerelateerde begrippen

Voor meer begrippen: bekijk de volledige kennisbank. Praktijkverhalen en stappenplannen vind je in ons blog.

Direct toepassen

Verwerk dit correct in jouw voorwaarden

Onze generator stelt dit soort clausules automatisch op - juridisch correct in 3 minuten.

Start de generator →
Veelgestelde vragen

Veelgestelde vragen over datalek

Concrete antwoorden op de vragen die ondernemers hier het vaakst over stellen.

Moet ik elk datalek melden bij de Autoriteit Persoonsgegevens?
Je meldt een datalek binnen 72 uur bij de AP, tenzij het waarschijnlijk geen risico voor betrokkenen oplevert. Bij een hoog risico moet je ook de betrokkenen zelf informeren.
Wat is een voorbeeld van een datalek?
Een gestolen laptop met klantgegevens, een e-mail met de adressenlijst in het CC-veld in plaats van BCC, of een hack waarbij gegevens uitlekken. Ook per ongeluk wissen kan een datalek zijn.
Verder lezen

Gerelateerde begrippen

📄
Rechten & procedures

Autoriteit Persoonsgegevens

De Nederlandse toezichthouder op de privacywetgeving, met boetes tot 20 miljoen euro.

 📄
Rechten & procedures

Verwerkingsregister

Een verwerkingsregister is een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. Het is je interne administratie…

 📄
Rechten & procedures

Recht op vergetelheid

Het recht op vergetelheid (recht op gegevenswissing) geeft betrokkenen het recht om hun persoonsgegevens te laten verwijderen in…

 📄
Rechten & procedures

Rechten van betrokkenen

Inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar (AVG art. 15-22).
Bekijk alle 34 begrippen →