Datalek melden: wanneer moet het en hoe pak je het aan?
Een datalek overkomt meer bedrijven dan je zou denken, en lang niet altijd door een spectaculaire hack. Een verkeerd geadresseerde e-mail, een verloren laptop, een per ongeluk gedeeld bestand: ook dat zijn datalekken. En bij een datalek met persoonsgegevens kan een wettelijke meldplicht gelden, met korte termijnen. Juist omdat het onder tijdsdruk gebeurt en je dan helder moet handelen, is het verstandig om vóóraf te weten wat een datalek is, wanneer je moet melden, en hoe je reageert.
In dit artikel lees je wat een datalek is, wanneer er een meldplicht geldt, en hoe je je erop voorbereidt zodat je niet in paniek raakt als het gebeurt. Belangrijk vooraf: dit artikel geeft algemene uitleg, geen juridisch advies. De precieze beoordeling of en wat je moet melden in een concreet geval is situatieafhankelijk; bij een echt datalek is snel deskundig advies verstandig. Dit artikel helpt je voorbereid te zijn.
Wat een datalek is
Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, of de ongeoorloofde toegang tot of openbaarmaking van persoonsgegevens. In gewone taal: persoonsgegevens raken kwijt, komen in verkeerde handen, of worden onbedoeld toegankelijk of gewijzigd.
Belangrijk is dat een datalek niet alleen een hack is. Veel datalekken zijn menselijke fouten of ongelukken:
Een e-mail met persoonsgegevens naar de verkeerde ontvanger. Een verloren of gestolen laptop, telefoon of usb-stick met gegevens. Een per ongeluk te breed gedeeld bestand of een verkeerd ingestelde toegang. Een systeem dat gehackt wordt of door ransomware wordt getroffen. Persoonsgegevens die per ongeluk worden vernietigd zonder back-up.
De rode draad: zodra persoonsgegevens kwijtraken, in verkeerde handen komen of onbedoeld toegankelijk worden, is er sprake van een datalek, ongeacht of het door kwade opzet of een ongeluk komt.
Wanneer je moet melden
Niet elk datalek hoeft gemeld te worden, maar de beoordeling daarvan luistert nauw en kent korte termijnen. In grote lijnen werkt het zo, maar de precieze afweging is situatieafhankelijk en juridisch van aard.
Melden bij de toezichthouder. Bij een datalek geldt in veel gevallen een meldplicht bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico voor de betrokkenen oplevert. Hiervoor geldt een korte termijn na ontdekking, wat betekent dat je snel moet kunnen handelen.
Melden aan de betrokkenen. Als een datalek waarschijnlijk een hoog risico voor de betrokken personen oplevert, moet je hen vaak ook zelf informeren, zodat zij maatregelen kunnen nemen.
Vastleggen. Ook datalekken die je niet hoeft te melden, moet je doorgaans intern vastleggen. Zo houd je een overzicht en kun je aantonen dat je zorgvuldig hebt afgewogen.
De kern: of je moet melden, en aan wie, hangt af van het risico dat het lek oplevert voor de betrokkenen. Die inschatting moet je vaak snel maken, en juist daarom is voorbereiding zo waardevol. Bij twijfel of het melden van een concreet lek is snel deskundig advies verstandig, want een verkeerde inschatting onder tijdsdruk is een reëel risico.
Hoe je je voorbereidt
De beste manier om een datalek goed af te handelen, is je erop voorbereiden vóórdat het gebeurt. Onder tijdsdruk improviseren leidt tot fouten. Een paar stappen die je vooraf regelt:
Spreek af wie wat doet. Bepaal vooraf wie je inschakelt en wie de beslissingen neemt als er een datalek is. Helderheid hierover scheelt kostbare tijd.
Maak melden veilig en makkelijk. Zorg dat medewerkers weten dat ze een vermoedelijk datalek direct moeten melden, en dat dit veilig voelt. Wie bang is voor straf, meldt niet, en dat is precies wat je niet wilt, want snel handelen beperkt de schade.
Houd een overzicht bij. Een eenvoudig register waarin je datalekken vastlegt, helpt je om georganiseerd te blijven en je zorgvuldigheid aan te tonen.
Zorg dat de basis op orde is. Goede beveiliging en back-ups verkleinen zowel de kans op een datalek als de schade ervan. Veel datalekken zijn te voorkomen met de basismaatregelen.
Weet waar je advies haalt. Weet vooraf bij wie je terechtkunt voor snel deskundig advies, zodat je niet onder tijdsdruk hoeft te zoeken.
Wat te doen bij een datalek
Gebeurt het toch, dan helpt een helder hoofd. In grote lijnen: stop eerst de oorzaak en beperk de schade (bijvoorbeeld toegang blokkeren of het lek dichten), breng in kaart wat er precies is gebeurd en welke gegevens het betreft, beoordeel het risico voor de betrokkenen, en handel naar die beoordeling: melden waar nodig en binnen de termijn, en vastleggen wat je hebt gedaan. Schakel bij twijfel snel deskundige hulp in. Snelheid en zorgvuldigheid gaan hier hand in hand.
Veelgestelde vragen
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging waardoor persoonsgegevens kwijtraken, in verkeerde handen komen, of onbedoeld toegankelijk of gewijzigd worden. Het is niet alleen een hack: ook een verkeerd verzonden e-mail, een verloren laptop, een te breed gedeeld bestand of per ongeluk vernietigde gegevens zonder back-up zijn datalekken. De oorzaak kan kwade opzet zijn, maar net zo goed een menselijke fout of een ongeluk.
Moet ik elk datalek melden?
Niet per se, maar de beoordeling luistert nauw. Bij een datalek geldt in veel gevallen een meldplicht bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het een risico voor de betrokkenen oplevert. Levert het waarschijnlijk een hoog risico op, dan moet je vaak ook de betrokkenen informeren. Ook niet-gemelde lekken leg je doorgaans intern vast. De afweging hangt af van het risico en kent korte termijnen.
Hoe snel moet ik een datalek melden?
Voor de melding bij de toezichthouder geldt een korte termijn na ontdekking, wat betekent dat je snel moet kunnen handelen. Juist daarom is voorbereiding zo belangrijk: weten wie wat doet en bij wie je advies haalt, scheelt kostbare tijd. De precieze termijn en of melden in jouw geval nodig is, beoordeel je situatieafhankelijk, het liefst met snelle deskundige hulp bij een echt lek.
Hoe bereid ik me voor op een datalek?
Spreek vooraf af wie wat doet en wie beslist, zorg dat medewerkers een vermoedelijk lek veilig en direct kunnen melden, houd een eenvoudig register bij, en zorg dat je basis op orde is met goede beveiliging en back-ups. Weet daarnaast vooraf bij wie je terechtkunt voor snel advies. Voorbereiding voorkomt dat je onder tijdsdruk moet improviseren, wat tot fouten leidt.
Is dit juridisch advies?
Nee. Dit artikel geeft algemene uitleg om je voor te bereiden op datalekken en te begrijpen wanneer een meldplicht kan gelden, geen juridisch advies. De precieze beoordeling of en wat je in een concreet geval moet melden is situatieafhankelijk en juridisch van aard. Bij een echt datalek is snel deskundig advies verstandig, omdat een verkeerde inschatting onder tijdsdruk een reëel risico is.
---