Agnes volgt een duidelijk stappenplan na het ontdekken van een datalek

Wat moet je doen als je een datalek ontdekt? (Stappenplan AVG)

GDPR, Compliance, MKB

Een datalek ontdekt? Dit doe je nu

Je collega belt: "Ik heb per ongeluk een klantenlijst naar het verkeerde e-mailadres gestuurd." Of je IT-leverancier meldt dat er ongeautoriseerde toegang is geweest tot een server. Of een medewerker verliest een laptop met onversleutelde bestanden.

Dit soort situaties voelen als een brandoefening waar je nooit voor hebt geoefend. Maar met een helder stappenplan hoeft het geen chaos te worden.

In dit artikel lopen we door wat je precies moet doen als je een datalek ontdekt. Stap voor stap, volgens de AVG.

Wil je eerst opfrissen wat precies als datalek telt? Lees dan dat artikel eerst.

Eerst: wat kwalificeert als een datalek?

Kort gezegd: een datalek is elke situatie waarbij persoonsgegevens worden blootgesteld, verloren, gewijzigd of toegankelijk gemaakt voor iemand die daar geen recht op had.

Dat hoeft geen hack te zijn. Een paar veelvoorkomende voorbeelden:

  • Een e-mail met persoonsgegevens naar de verkeerde ontvanger
  • Een USB-stick kwijtraken met klantbestanden
  • Een medewerker die toegang heeft tot systemen die niet bij de functie horen
  • Een ransomware-aanval die bestanden versleutelt
  • Een cloudmap die per ongeluk op "openbaar" stond

Het maakt niet uit of het opzettelijk was. Als er persoonsgegevens bij betrokken zijn en er iets misgaat met de vertrouwelijkheid, integriteit of beschikbaarheid ervan, dan is het een datalek.

De 72-uursregel: wat de AVG vereist

De AVG (Artikel 33) is hier heel duidelijk: als een datalek waarschijnlijk een risico vormt voor de rechten en vrijheden van betrokkenen, moet je het binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP).

Twee belangrijke punten:

  1. De klok start bij ontdekking. Niet bij het moment van het lek zelf. Als het lek maandag plaatsvond maar je het woensdag ontdekt, heb je tot zaterdag.
  2. 72 uur is inclusief weekenden. Ontdek je het op vrijdagmiddag? Dan heb je tot maandagmiddag. De AP verwacht niet dat je alle antwoorden hebt, maar wel dat je de melding op tijd doet.

Als je na 72 uur nog niet alle informatie hebt, kun je de melding aanvullen. Maar de eerste melding moet op tijd zijn.

Stap 1: Stop de oorzaak en beperk de schade

Voordat je gaat melden, beperk je eerst de schade. Dat is logisch en de AP verwacht het ook.

Wat dat er in de praktijk uitziet, hangt af van het type incident. Bij een verkeerd verstuurde e-mail: vraag de ontvanger om het bericht te verwijderen en laat dat bevestigen. Bij ongeautoriseerde toegang: blokkeer het account en wijzig wachtwoorden. Een verloren apparaat? Probeer het op afstand te wissen als dat kan. Bij een kwetsbaarheid in een systeem: schakel het tijdelijk uit of beperk de toegang totdat het is opgelost.

De kern: voorkom dat het lek groter wordt. Doe wat je kunt, en leg vast wat je hebt gedaan.

Als je data was versleuteld, is dat goed nieuws. Encryptie kan de meldplicht naar betrokkenen wegnemen, omdat de data voor de ontvanger onleesbaar is.

Stap 2: Bepaal of melding bij de AP verplicht is

Niet elk datalek hoeft gemeld te worden bij de AP. De vraag is: vormt het lek waarschijnlijk een risico voor de rechten en vrijheden van de betrokken personen?

Vuistregels:

| Situatie | Melding bij AP? | |----------|----------------| | E-mail met namen naar verkeerde collega, direct verwijderd | Waarschijnlijk niet | | Klantenlijst met contactgegevens naar externe partij | Waarschijnlijk wel | | Laptop kwijt met versleutelde harde schijf | Waarschijnlijk niet (data onleesbaar) | | Laptop kwijt met onversleutelde klantdata | Ja | | Ransomware-aanval op server met persoonsgegevens | Ja | | Medewerker bekeek dossier waar die geen toegang toe had | Hangt af van het type data |

Bij twijfel: meld. De AP geeft de voorkeur aan een melding die achteraf niet nodig bleek, boven een gemist lek.

Stap 3: Meld het aan de Autoriteit Persoonsgegevens

De melding doe je via het meldformulier op de website van de AP (autoriteitpersoonsgegevens.nl). Het formulier vraagt om een beschrijving van wat er is gebeurd, welke persoonsgegevens betrokken zijn (namen, adressen, financiele gegevens, etc.), hoeveel personen geraakt zijn (een schatting is voldoende), wat de mogelijke gevolgen zijn, welke maatregelen je hebt genomen, en de contactgegevens van je privacyverantwoordelijke of functionaris gegevensbescherming.

Je hoeft niet alles in een keer compleet te hebben. Je kunt de melding later aanvullen. Maar de eerste melding moet binnen 72 uur.

Stap 4: Bepaal of betrokkenen geinformeerd moeten worden

Na de melding bij de AP is er een tweede vraag: moeten de personen van wie de data is gelekt, zelf geinformeerd worden?

Dat is verplicht als het lek waarschijnlijk een hoog risico oplevert voor hen. Denk aan:

  • Financiele gegevens die misbruikt kunnen worden
  • Medische gegevens die openbaar zijn geworden
  • Inloggegevens die toegang geven tot andere diensten
  • BSN-nummers of identiteitsdocumenten

Informeer betrokkenen in begrijpelijke taal. Vertel:

  • Wat er is gebeurd
  • Welke data betrokken is
  • Wat zij zelf kunnen doen (wachtwoord wijzigen, alert zijn op phishing)
  • Waar ze terecht kunnen met vragen

Stap 5: Documenteer alles (ook als je niet meldt)

Hier wordt het vaak vergeten, maar de AVG verplicht je om elk datalek te documenteren. Ook als je het niet meldt bij de AP.

In je documentatie hoort:

  • Datum en tijdstip van ontdekking
  • Beschrijving van het incident
  • Welke data en hoeveel personen betrokken waren
  • Beoordeling van het risico (en waarom je wel of niet hebt gemeld)
  • Genomen maatregelen
  • Datum van melding bij AP (indien van toepassing)
  • Datum van melding aan betrokkenen (indien van toepassing)

Dit dossier moet je kunnen tonen bij een audit of controle. Niet over drie weken uit je geheugen reconstrueren, maar direct vastleggen terwijl de details nog vers zijn.

Hoe je je voorbereidt zodat dit geen chaos wordt

De beste manier om een datalek goed af te handelen? Voorbereid zijn voordat het gebeurt. Een paar dingen die je nu al kunt regelen:

Stel een incidentresponsproces op. Dat klinkt formeel, maar het komt neer op drie vragen: wie wordt gebeld als er een lek wordt ontdekt? Wie beoordeelt of melding nodig is? En wie doet de daadwerkelijke melding? Leg dit vast zodat mensen niet hoeven na te denken in het moment.

Houd daarnaast een incidentenregister bij. Niet alleen voor echte datalekken, maar ook voor bijna-incidenten. Dat helpt je patronen te herkennen.

Train je team. Dat hoeft geen dagvullende sessie te zijn. Een kwartier uitleg over wat een datalek is, en een duidelijk contactpunt bij wie ze terecht kunnen, is al genoeg.

En test je proces een keer per jaar. Loop een fictief scenario door, niet als bureaucratische oefening, maar om te controleren of je proces in de praktijk werkt.

Lees ook: de AVG-checklist voor tech-mkb's voor een breder overzicht van je compliance-basis.

Geen paniek, wel actie

Een datalek is vervelend. Maar het hoeft geen ramp te zijn als je weet wat je moet doen. De AVG verwacht geen perfectie. Wel dat je voorbereid bent, snel handelt en eerlijk documenteert wat er is gebeurd.

De grootste fout die bedrijven maken is niet het datalek zelf. Het is dat er geen proces is om het goed af te handelen.

ComplianceHive helpt je de basis op orde te houden: verwerkingsregister, leveranciersbeheer en AVG-documentatie in één overzicht. Probeer 30 dagen gratis.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis