Compliance

AVG artikel 33: datalek melden binnen 72 uur

Datalek melden AP binnen 72 uur (art. 33 AVG): procedure, uitzonderingen, Booking-boete 475 K EUR, Marktplaats 380 K. Praktische gids 2026.

Also available in:Italiano·et

In één zin. Elk datalek met risico voor betrokkenen moet binnen 72 uur na ontdekking gemeld worden bij de Autoriteit Persoonsgegevens — Nederland is met 25.000+ meldingen in 2024 een van de meest actieve EU-jurisdicties qua handhaving van deze norm.

Belangrijkste punten

  • Meldtermijn: 72 uur na ontdekking, niet na incident.
  • Drempel: risico voor rechten en vrijheden betrokkenen.
  • Booking.com 475 K EUR (2021): melding 22 dagen te laat.
  • Marktplaats 380 K EUR (2025): 4 maanden te laat.
  • Bij hoog risico ook melding aan betrokkenen (art. 34).
  • Intern datalekregister verplicht ongeacht meldingsplicht.

1. Definitie datalek (art. 4 lid 12)

Inbreuk in verband met persoonsgegevens: door incident verloren, vernietigd, gewijzigd, onrechtmatig verstrekt of onbevoegd toegankelijk. Dus niet alleen hacking — verkeerd geadresseerde e-mail, verloren USB-stick, onbevoegde toegang door medewerker, ransomware (zelfs zonder exfiltratie) zijn datalekken.

2. Meldingsplicht aan AP (art. 33)

Verantwoordelijke meldt zonder onnodige vertraging, “indien mogelijk” binnen 72 uur na ontdekking. Onthouding alleen toegestaan wanneer onwaarschijnlijk is dat inbreuk risico oplevert voor rechten en vrijheden betrokkenen. Bewijslast voor “geen risico” ligt bij verantwoordelijke. AP-praktijk: bij twijfel melden.

3. Wat in melding opnemen

Art. 33 lid 3 vereist:

  • Aard inbreuk, betrokken categorieën en aantal betrokkenen.
  • Categorieën en aantal persoonsgegevensrecords.
  • Naam en contact FG of contactpunt.
  • Waarschijnlijke gevolgen inbreuk.
  • Genomen of voorgestelde maatregelen.

Fasering toegestaan: eerste melding binnen 72 uur, vervolginformatie later.

4. Wanneer 72-uurs termijn begint

Termijn loopt vanaf “ontdekking” — moment waarop verantwoordelijke redelijke zekerheid heeft dat inbreuk heeft plaatsgevonden. Niet vanaf het incident. EDPB Guidelines 9/2022: verantwoordelijke heeft korte verificatieperiode (24-48 uur) om incident te bevestigen. Daarna start klok.

5. Melding aan betrokkenen (art. 34)

Bij waarschijnlijk hoog risico ook melding aan betrokkenen, in begrijpelijke taal. Uitzonderingen lid 3:

  • Gegevens waren versleuteld met sterke encryptie.
  • Maatregelen genomen die hoog risico wegnemen.
  • Disproportionele inspanning — dan publieke kennisgeving.
Risiconiveau AP-melding Betrokkene-melding
Geen risico Nee (register intern) Nee
Risico Ja, 72u Nee
Hoog risico Ja, 72u Ja, zonder vertraging

6. Risicobeoordeling: drempelcriteria

EDPB Guidelines noemen factoren: type inbreuk (vertrouwelijkheid/integriteit/beschikbaarheid), aard gegevens (bijzondere = hoger), gemak heridentificatie, ernst gevolgen (financieel, reputatie, discriminatie, identiteitsfraude), kenmerken betrokkenen (kinderen = hoger), aantal betrokkenen, eigenschappen verantwoordelijke. Bijzondere gegevens → bijna altijd melden.

7. Booking.com-boete 475 K EUR (2021)

In 2018-2019 werden gegevens van 4.109 klanten gestolen via medewerkers van een hotel in de VAE. Booking ontdekte op 13 januari 2019, meldde pas op 7 februari 2019 — 22 dagen vertraging. AP-boete: 475 K EUR uitsluitend wegens overschrijding 72-uurs termijn. Onderliggend beveiligingsdefect werd niet gesanctioneerd.

8. Marktplaats-boete 380 K EUR (2025)

Datalek door datascraping in 2024, ontdekt mei 2024, gemeld september 2024 — vier maanden te laat. Cumulatieve schending art. 32 (beveiliging API) en art. 33 (meldtermijn). Boetebepaling: hoger dan Booking wegens grootschaligheid (190.000 gebruikers) en eerdere waarschuwingen AP aan platforms over scrapingmaatregelen.

9. Intern datalekregister

Art. 33 lid 5: verantwoordelijke documenteert alle datalekken, ook niet-meldingsplichtige. Inhoud per incident: datum, aard, betrokkenen, gegevens, gevolgen, herstelmaatregelen, melding ja/nee + onderbouwing. AP toetst dit register bij elk onderzoek. Ontbreken = zelfstandige overtreding accountability (art. 5 lid 2).

10. Verwerker en datalekken

Verwerker meldt incident aan verantwoordelijke “onverwijld” (art. 33 lid 2). Verantwoordelijke meldt vervolgens aan AP. Verwerkersovereenkomst moet meldtermijn aan verantwoordelijke specificeren — best practice 24 uur of korter om 72-uurs deadline haalbaar te houden. Verwerker meldt zelf niet aan AP.

11. Praktisch incident response plan

  1. Detectie (SOC, klacht, technische monitoring).
  2. Triage (verantwoordelijke CISO/FG, IT-incident manager).
  3. Containment (afsluiten getroffen systeem, wachtwoorden resetten).
  4. Onderzoek (forensics, scope bepaling, betrokkenen, gegevens).
  5. Risicobeoordeling (EDPB-criteria, schriftelijk).
  6. Melding AP (binnen 72u indien risico).
  7. Melding betrokkenen (bij hoog risico).
  8. Documentatie (intern register).
  9. Lessons learned en verbetering controls.

12. Sancties bij niet-melding

Art. 33-schending valt onder art. 83 lid 4: tot 10 M EUR of 2% wereldwijde omzet. AP-boetebeleidsregels categorie II (basis 310 K EUR) voor “kleine” overschrijdingen, categorie III (525 K EUR) bij grove vertraging of grote scope. Cumulatie met art. 32 (beveiliging) en art. 34 (betrokkene-melding) is gangbaar.

“De verwerkingsverantwoordelijke meldt een inbreuk in verband met persoonsgegevens uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de toezichthoudende autoriteit (…), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.” (art. 33 lid 1 AVG)

13. Statistieken datalekmeldingen Nederland

Jaar Aantal meldingen Belangrijkste oorzaak
2021 24.866 Verkeerd geadresseerde post/e-mail
2022 21.151 Hacking en ransomware (stijgend)
2023 25.694 Phishing en compromittering accounts
2024 25.247 Ransomware (sectoren zorg + onderwijs)
2025 27.000 (raming) Supply-chain incidenten

Nederland staat met Duitsland en Ierland in de Europese top 3 voor datalekmeldingen per capita. Slechts 4% van meldingen leidt tot diepgaand AP-onderzoek; minder dan 0,5% tot boete. Toch is melden van groot belang voor accountability (art. 5 lid 2) en als verzachtende factor bij eventuele AP boetes 2025.

14. Sectorale cases datalekken

  • NS (2024, 600 K EUR): niet primair art. 33 maar wel art. 32 — gebrek aan logging maakte detectie onmogelijk.
  • OLVG (2022/2025, 440 K EUR): onbevoegde toegang patientendossiers, datalek tijdig gemeld maar onderliggende beveiliging tekortgeschoten.
  • UWV (2024, 900 K EUR cumulatief): meerdere incidenten via werkgeversportaal.
  • Belastingdienst (meerdere): discriminatoire FSV-lijst, hoewel boete deels op art. 5 + 6 gebaseerd, niet art. 33.

Zie ook AVG Art. 32 beveiliging voor onderliggende technische normen.

15. Melding indienen bij het AP-loket

Een melding dient u in via het online meldloket van de Autoriteit Persoonsgegevens. U beschrijft het incident volgens de vereisten van artikel 33 AVG en ontvangt na verzending een meldnummer. Bewaar dat nummer in uw datalekregister als bewijs van tijdige melding. De richtsnoeren van de European Data Protection Board bevatten uitgewerkte voorbeeldscenario’s — van gestolen laptop tot ransomware — die helpen bepalen of, wanneer en aan wie u moet melden. Voor de operationele afhandelingsstappen ná de melding, inclusief interne communicatie en nazorg richting betrokkenen, verwijzen we naar de praktische gids datalek melden bij de AP. Onderschat die nazorgfase niet: de AP beoordeelt achteraf of de getroffen maatregelen daadwerkelijk zijn doorgevoerd en of de betrokkenen in begrijpelijke taal zijn geïnformeerd.

FAQ

Wat is een datalek precies?

Elke inbreuk waarbij persoonsgegevens verloren, vernietigd, gewijzigd, ongeoorloofd verstrekt of toegankelijk worden. Niet alleen hacks — ook verkeerde e-mail, verloren laptop, onbevoegde inzage door medewerker.

Moet ik elk datalek melden?

Nee, alleen datalekken met risico voor betrokkenen. Verkeerd geadresseerde e-mail aan één bekende collega zonder gevoelige inhoud hoeft niet. Inbreuk met gezondheidsgegevens van 1.000 patiënten wel. Documenteer altijd intern.

Wanneer begint de 72-uurs termijn?

Vanaf ontdekking — het moment waarop u redelijke zekerheid heeft dat een datalek heeft plaatsgevonden. Korte verificatieperiode (24-48u) toegestaan om incident te bevestigen, daarna start klok.

Wat als ik niet alle informatie binnen 72 uur heb?

Meld in fases. Eerste melding binnen 72 uur met beschikbare informatie. Vervolgmelding(en) zodra meer bekend is. AP accepteert fasering expliciet (art. 33 lid 4).

Kan ik beboet worden alleen voor te late melding?

Ja. Booking.com (475 K EUR, 2021) werd beboet uitsluitend wegens 22 dagen vertraging — onderliggende beveiliging was niet aan de orde. Tijdige melding is een zelfstandige verplichting.

Wat als mijn verwerker het datalek meldt?

Verwerker meldt onverwijld aan u (art. 33 lid 2); ú meldt aan AP. Verwerker meldt zelf niet rechtstreeks aan AP. Praktisch: verwerkersovereenkomst moet meldtermijn aan u specificeren — best practice 24 uur of korter. Zie Verwerkersovereenkomst template. Bij vertraagde melding door verwerker blijft u als verantwoordelijke aansprakelijk maar kunt regresvordering instellen.

Moet ik betrokkenen ook altijd informeren?

Alleen bij waarschijnlijk hoog risico (art. 34). Niet nodig wanneer: gegevens versleuteld met sterke encryptie, opvolgmaatregelen hoog risico hebben weggenomen, of individuele kennisgeving onevenredige inspanning vergt (dan publieke kennisgeving via website/krant).

Hoe documenteer ik incidenten die ik niet meld?

Intern datalekregister verplicht (art. 33 lid 5). Per incident: datum ontdekking, beschrijving, gegevens en aantal betrokkenen, beoordeling waarom geen risico bestaat, getroffen maatregelen. AP toetst dit register bij elk onderzoek; ontbreken is zelfstandige overtreding accountability onder AVG Art. 5 beginselen.

Zie ook: een model datalekregister en een procedure voor datalekken.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →