Een datalekregister is de interne administratie waarin u alle datalekken vastlegt — óók de lekken die u niet bij de Autoriteit Persoonsgegevens hoeft te melden. Deze registratieplicht volgt uit artikel 33 lid 5 AVG: u documenteert de feiten rond het lek, de gevolgen en de genomen maatregelen. Zo kan de AP controleren of u de meldplicht correct naleeft. Hieronder vindt u een datalekregister-model met de verplichte velden en de beoordelingslogica voor melden of niet melden.
Nederland is koploper in Europa: de AP ontvangt jaarlijks in de orde van 25.000 datalekmeldingen — per hoofd van de bevolking het hoogste aantal van de EU. Dat maakt een sluitend register geen luxe maar staande praktijk.
Key Takeaways
- Alle datalekken registreren, ook niet-gemelde — dat is een zelfstandige plicht (art. 33 lid 5 AVG).
- Verplichte velden: feiten, gevolgen en genomen maatregelen per lek.
- Melden bij de AP moet binnen 72 uur als het lek waarschijnlijk een risico voor betrokkenen inhoudt (art. 33 lid 1).
- Bij een hoog risico moet u ook de betrokkenen zelf informeren (art. 34 AVG).
- De AP gebruikt het register bij onderzoeken om te toetsen of u terecht niet heeft gemeld.
Waarom een intern register verplicht is
De meldplicht (art. 33 lid 1) en de registratieplicht (art. 33 lid 5) zijn twee aparte verplichtingen. U meldt alleen de lekken met risico bij de AP, maar u registreert ze allemaal — juist ook de lekken die u niet meldt. Het register is uw bewijs dat de beoordeling “niet melden” gefundeerd was.
Bij een onderzoek vraagt de AP het register op. Ontbreekt het, of staan er lekken in die wél gemeld hadden moeten worden, dan is dat een zelfstandige overtreding — los van het oorspronkelijke lek.
Model — verplichte velden
Onderstaande velden dekken de eis van art. 33 lid 5 en de praktijk van de AP. Vul ze per incident in.
| Veld | Wat u vastlegt |
|---|---|
| Volgnummer / datum | Uniek ID en datum ontdekking |
| Beschrijving | Wat is er gebeurd, hoe ontdekt |
| Type lek | Vertrouwelijkheid, integriteit of beschikbaarheid |
| Betrokken gegevens | Categorieën en (bijzondere) gegevens |
| Aantal betrokkenen | Geschat aantal |
| Gevolgen | Risico-inschatting voor betrokkenen |
| Genomen maatregelen | Indamming en herstel |
| Melding AP | Ja/nee + datum + referentienummer |
| Melding betrokkenen | Ja/nee + wijze |
| Onderbouwing besluit | Waarom wel/niet gemeld |
Het veld “onderbouwing besluit” is het belangrijkste. Daar legt u vast waarom een lek geen risico vormde. Zonder die motivering kan de AP uw beslissing om niet te melden niet toetsen — en dat telt in uw nadeel.
De beslislogica: melden of niet?
De kernvraag is: levert het lek waarschijnlijk een risico op voor de rechten en vrijheden van betrokkenen?
- Geen risico → alleen registreren (bijvoorbeeld een verkeerd geadresseerde e-mail die direct is teruggeroepen en niet is geopend).
- Wel risico → melden bij de AP binnen 72 uur.
- Hoog risico → ook de betrokkenen informeren (bijvoorbeeld gelekte wachtwoorden of medische gegevens).
Weeg mee: de aard van de gegevens (zijn het bijzondere gegevens?), het aantal betrokkenen, en of de gegevens versleuteld waren. De volledige meldprocedure staat in de gids over een datalek melden bij de AP.
Versleuteling verdient bijzondere aandacht. Raakt een goed versleuteld apparaat kwijt waarvan de sleutel veilig is, dan is het risico voor betrokkenen laag: de gegevens zijn feitelijk onleesbaar. Dat kan het verschil maken tussen wel en niet melden aan de betrokkenen (art. 34 lid 3 sub a AVG). Leg die redenering vast in het veld “onderbouwing besluit”, inclusief het gegeven dát de gegevens versleuteld waren en dat de sleutel niet is gecompromitteerd. Zonder die vastlegging kunt u achteraf niet aantonen waarom u de betrokkenen niet heeft geïnformeerd, en juist die onderbouwing is wat een beoordeling “niet melden” verdedigbaar maakt tegenover de AP.
Samenhang met beveiliging en verwerkers
Een register vult zich alleen als lekken ook gedetecteerd worden. Dat vergt passende beveiliging conform artikel 32 AVG. Verwerkt een leverancier gegevens voor u, dan moet die u onverwijld informeren bij een lek — leg dat vast in de verwerkersovereenkomst, zodat u de 72-uurstermijn kunt halen.
Voor de operationele afhandeling van een incident biedt het stappenplan voor de datalekprocedure een compleet draaiboek.
Hoe de AP het register gebruikt
Het register is niet alleen uw interne administratie — het is bewijsmateriaal. Bij een onderzoek naar de omgang met datalekken vraagt de AP het register op en bekijkt drie dingen. Ten eerste: registreert u structureel, of duiken lekken alleen op als er toevallig een klacht komt? Ten tweede: kloppen de risicobeoordelingen, of staan er lekken in die duidelijk gemeld hadden moeten worden? En ten derde: leidt een lek tot verbetering, of ziet de AP dezelfde oorzaak keer op keer terugkomen?
Een verzorgd register werkt daarom in uw voordeel. Het laat zien dat uw organisatie incidenten serieus neemt, ze beoordeelt en ervan leert. Een leeg of chaotisch register wekt het omgekeerde vermoeden: dat lekken ongezien blijven. Bij het bepalen van de hoogte van een eventuele boete weegt de AP deze houding mee als verzachtende of verzwarende omstandigheid.
Van register naar structurele verbetering
Behandel het register niet als afvinklijst maar als stuurinformatie. Analyseer periodiek de patronen: komen de meeste lekken voort uit verkeerd geadresseerde e-mail, uit verloren apparaten, of uit fouten bij een specifieke verwerker? Die analyse vertelt u waar uw beveiliging het zwakst is en waar training of technische maatregelen het meeste effect hebben.
Verkeerd geadresseerde e-mail is in Nederland veruit de meest gemelde oorzaak. Een simpele maatregel als een vertraagde verzending of een waarschuwing bij externe geadresseerden voorkomt een groot deel van deze lekken. Zo wordt het register een instrument dat het aantal incidenten terugdringt, in plaats van een dossier dat ze slechts vastlegt. Koppel de bevindingen terug aan uw beveiligingsmaatregelen en aan de bewustwording binnen de organisatie.
Hoe Legiscope hierbij helpt
Een datalekregister in Excel raakt snel incompleet: meldingen belanden in mailboxen, onderbouwingen ontbreken, en de 72-uursklok wordt niet bewaakt. Legiscope structureert de registratie en de risicobeoordeling, koppelt lekken aan de betrokken verwerkingen en houdt de meldtermijnen in de gaten.
FAQ
Moet ik ieder datalek in het register opnemen?
Ja. Artikel 33 lid 5 AVG verplicht u alle datalekken te documenteren, ongeacht of u ze bij de AP meldt. Juist de niet-gemelde lekken moeten met een onderbouwing in het register staan, zodat de AP uw beoordeling kan toetsen.
Hoelang moet ik het datalekregister bewaren?
De AVG noemt geen vaste termijn. Als praktijknorm geldt: bewaar de registratie zolang zij relevant kan zijn voor toezicht en aansprakelijkheid — in de regel minimaal drie jaar. Neem de termijn op in uw bewaartermijnenbeleid.
Wat als ik een lek ten onrechte niet heb gemeld?
Als de AP bij een onderzoek constateert dat een geregistreerd lek gemeld had moeten worden, is het niet-melden een zelfstandige overtreding. Een goed onderbouwd register beschermt u juist: het toont dat u de afweging zorgvuldig heeft gemaakt.
Wie is verantwoordelijk voor het register?
De verwerkingsverantwoordelijke. In de praktijk beheert de functionaris voor gegevensbescherming of een aangewezen privacycoördinator het register, maar de eindverantwoordelijkheid ligt bij de organisatie zelf. Zorg dat één persoon het overzicht houdt en dat medewerkers weten waar zij een vermoedelijk lek melden — een register vult zich alleen als incidenten daadwerkelijk bij die persoon terechtkomen. Een duidelijk intern meldpunt is daarom de eerste voorwaarde voor een sluitend register.
Bronnen: de AVG-tekst op EUR-Lex en de datalek-informatie van de Autoriteit Persoonsgegevens.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial