Privacywetgeving

Datalek melden bij de AP (2026): 72 uur, art. 33 AVG — stappenplan

Datalek melden bij de Autoriteit Persoonsgegevens: wanneer melden, de 72-uurstermijn van art. 33 AVG, wat de melding moet bevatten en wanneer u ook betrokkenen informeert.

Also available in:English·Français·Deutsch·Español·et

Een datalek meldt u bij de Autoriteit Persoonsgegevens (AP) binnen 72 uur na ontdekking, tenzij het niet waarschijnlijk is dat het lek een risico oplevert voor de rechten en vrijheden van betrokkenen — zo bepaalt artikel 33 AVG. De klok begint te lopen op het moment dat uw organisatie “bekend raakt” met het lek, niet op het moment dat u de oorzaak volledig kent. Levert het lek een hoog risico op, dan informeert u óók de betrokkenen zelf (artikel 34). Elk datalek — ook een gemeld of niet-gemeld lek — legt u vast in een intern datalekregister. Nederland is Europees koploper in het aantal meldingen: jaarlijks ontvangt de AP ruim 20.000 datalekmeldingen. Hieronder het stappenplan.

Deze pagina is de praktische meldgids. Voor de juridische achtergrond van de bepaling verwijzen we naar onze gids AVG artikel 33: datalekken melden.

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot persoonsgegevens. Dat is breder dan een hack. Voorbeelden:

  • Een e-mail met alle geadresseerden in het cc-veld in plaats van bcc.
  • Een verloren of gestolen laptop of usb-stick met persoonsgegevens.
  • Een verkeerd geadresseerde brief of factuur.
  • Ransomware die gegevens versleutelt (verlies van beschikbaarheid).
  • Een medewerker die zonder grondslag patiëntendossiers inziet.

Niet elk incident is meldplichtig, maar elk incident moet wél worden beoordeeld en geregistreerd.

De beoordeling: melden, ja of nee?

Beoordeel na ontdekking het risico voor betrokkenen:

Uitkomst risicobeoordeling Actie
Geen waarschijnlijk risico Alleen intern registreren, niet melden
Waarschijnlijk risico Melden bij de AP binnen 72 uur
Hoog risico Melden bij de AP én betrokkenen informeren (art. 34)

De risicobeoordeling weegt onder meer de aard van de gegevens (zijn er bijzondere categorieën of BSN’s bij betrokken?), de omvang, en of de gegevens versleuteld waren. Documenteer deze afweging altijd — ook als u besluit niet te melden, moet u die keuze kunnen onderbouwen.

De 72-uurstermijn in de praktijk

De 72 uur beginnen bij ontdekking, niet bij volledige duidelijkheid. Kent u nog niet alle feiten, dan meldt u toch binnen de termijn en vult u later aan (een melding in fasen is toegestaan, art. 33 lid 4). Te laat melden is een zelfstandige overtreding: de AP legde in 2022 aan PVV Overijssel een boete van 7.500 euro op — de eerste boete specifiek voor het niet (tijdig) melden van een datalek, nadat een e-mail met zichtbare adressen van aanmelders niet was gemeld.

Wat de melding aan de AP moet bevatten (art. 33 lid 3)

De melding via het meldloket van de AP bevat minimaal:

  • De aard van het datalek, met waar mogelijk de categorieën en het aantal betrokkenen en gegevens.
  • De naam en contactgegevens van de FG of het contactpunt.
  • De waarschijnlijke gevolgen van het datalek.
  • De genomen en voorgestelde maatregelen om het lek aan te pakken en de gevolgen te beperken.

Wanneer moet u betrokkenen informeren (art. 34)?

Bij een hoog risico informeert u ook de betrokkenen zelf, in duidelijke en eenvoudige taal. Dat is niet nodig als u passende maatregelen had genomen (bijvoorbeeld sterke encryptie waardoor de gegevens onleesbaar zijn), of als u achteraf maatregelen heeft getroffen die het hoge risico wegnemen, of als het informeren onevenredige inspanning zou vergen (dan volstaat een openbare mededeling). De grote datalekken in de Nederlandse zorg — waaronder de zaak bij het HagaZiekenhuis rond onbevoegde inzage in een patiëntendossier — laten zien hoe zwaar de AP tilt aan gebrekkige toegangsbeveiliging en de informatie aan betrokkenen.

Het datalekregister

Artikel 33 lid 5 verplicht u álle datalekken te documenteren — gemeld én niet-gemeld — met de feiten, de gevolgen en de genomen maatregelen. Dit register stelt de AP in staat de naleving te controleren. Koppel het aan uw verwerkingsregister, zodat u per incident ziet welke verwerking is geraakt. Een tool zoals Legiscope begeleidt de meldworkflow met een lopende 72-uursklok en houdt het datalekregister automatisch bij.

Voorbereiding: het verschil tussen een boete en een voetnoot

De meeste boetes vallen niet vanwege het lek zelf, maar vanwege de reactie erop: te laat melden, geen register, geen procedure. Bereid u voor:

  1. Leg een meldprocedure vast met een duidelijk startpunt van de 72-uursklok en verantwoordelijkheden.
  2. Train medewerkers een vermoed lek direct te melden aan het interne meldpunt.
  3. Regel de verwerkersketen: laat verwerkers u onverwijld informeren — leg dat vast in de verwerkersovereenkomst.
  4. Oefen een keer met een fictief lek, zodat de 72 uur geen chaos worden.

Veelgemaakte fouten bij datalekken

De meeste organisaties struikelen niet over de melding zelf, maar over de voorbereiding en de nazorg:

  • De 72-uursklok te laat laten starten. De termijn begint bij ontdekking, niet bij volledige duidelijkheid over de oorzaak.
  • Twijfelgevallen niet registreren. Ook niet-meldplichtige lekken moeten in het datalekregister; het ontbreken ervan is een zelfstandige overtreding.
  • De risicobeoordeling niet documenteren. Besluit u niet te melden, dan moet u die afweging kunnen onderbouwen.
  • Betrokkenen vergeten. Bij een hoog risico is melding aan de AP niet genoeg; ook de betrokkenen moeten worden geïnformeerd (art. 34).
  • Geen afspraken met verwerkers. Als uw verwerker een lek te laat doorgeeft, haalt u de 72 uur niet — en blijft u toch verantwoordelijk.

Na de melding: leren en verbeteren

Een datalekmelding is geen eindpunt. De AP kan na de melding om aanvullende informatie vragen, en verwacht dat u structurele maatregelen treft om herhaling te voorkomen. Analyseer daarom na elk lek de oorzaak: was het menselijk (verkeerde adressering, verloren apparaat) of technisch (kwetsbaarheid, ontoereikende toegangscontrole)? Menselijke lekken vragen om training en betere processen; technische om betere beveiligingsmaatregelen. Een organisatie die na een lek aantoonbaar verbetert, staat er bij de AP aanzienlijk beter voor dan een organisatie die hetzelfde type lek herhaaldelijk meldt zonder iets te veranderen. Het datalekregister is daarbij niet alleen een verplichting, maar ook uw beste bron om patronen te herkennen.

Veelgestelde vragen

Binnen hoeveel tijd moet ik een datalek melden bij de AP?

Binnen 72 uur nadat uw organisatie bekend is geworden met het lek, tenzij het niet waarschijnlijk een risico voor betrokkenen oplevert. Kent u nog niet alle feiten, meld dan toch binnen de termijn en vul later aan. Te laat melden is een zelfstandige overtreding.

Moet ik elk datalek melden?

Nee. Alleen datalekken die waarschijnlijk een risico voor de rechten en vrijheden van betrokkenen opleveren, meldt u bij de AP. Levert het lek een hoog risico op, dan informeert u ook de betrokkenen. Álle datalekken — ook de niet-meldplichtige — legt u vast in uw interne datalekregister.

Wat gebeurt er als ik een datalek niet meld?

Niet of te laat melden is een zelfstandige overtreding. De AP beboette PVV Overijssel in 2022 met 7.500 euro voor het niet melden van een datalek. Bij grotere organisaties of ernstiger lekken kunnen de boetes fors oplopen op grond van artikel 83 AVG.

Wie meldt bij een lek bij mijn verwerker?

De verwerkingsverantwoordelijke meldt bij de AP. De verwerker moet u als verantwoordelijke onverwijld informeren zodra hij een lek ontdekt, zodat u de 72-uurstermijn haalt. Leg die meldingsplicht expliciet vast in de verwerkersovereenkomst.

Conclusie

Een datalek melden bij de AP draait om drie dingen: snel beoordelen, binnen 72 uur melden bij een waarschijnlijk risico, en bij een hoog risico ook de betrokkenen informeren — alles onderbouwd en vastgelegd in uw datalekregister. De praktijk leert dat boetes zelden vallen om het lek zelf, maar om de reactie: te laat melden, geen register, geen procedure, zoals de zaak PVV Overijssel illustreert. Bereid u daarom vooraf voor met een heldere meldprocedure, getrainde medewerkers en waterdichte afspraken met uw verwerkers — bij een groeiend aantal verwerkingen loont software die de 72-uursklok bewaakt en het register automatisch bijhoudt.

Zie ook: een model datalekregister.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →