Privacywetgeving

Procedure datalekken: model stappenplan voor bedrijven

Procedure datalekken: model stappenplan van detectie tot melding binnen 72 uur bij de AP, met RACI-rollen en de les uit de Booking.com-boete van 475.000 euro.

Also available in:Français

Een procedure datalekken is het draaiboek dat uw organisatie doorloopt zodra een datalek wordt vermoed: van detectie en beoordeling van het risico, via melding bij de AP binnen 72 uur, tot communicatie met betrokkenen en evaluatie. Zonder vast stappenplan verliest u de kostbare eerste uren, en juist die tellen: de meldtermijn van artikel 33 AVG begint te lopen zodra u van het lek op de hoogte bent. Hieronder vindt u een compleet procedure datalekken-model met de vijf fasen, de rolverdeling en escalatieafspraken met verwerkers.

Booking.com kreeg in 2021 een boete van 475.000 euro van de AP omdat het een datalek 22 dagen te laat meldde. Het lek zelf was niet het probleem — het te trage proces wel. Een vastgelegde procedure is precies wat zo’n boete voorkomt.

Key Takeaways

  • De 72-uursklok start bij bekendwording van het lek, niet bij het afronden van uw onderzoek.
  • Vijf fasen: detectie → beoordeling → melding AP → communicatie betrokkenen → evaluatie.
  • Bij een hoog risico moet u ook de betrokkenen informeren (art. 34 AVG).
  • Leg RACI-rollen vast: wie beoordeelt, wie meldt, wie communiceert.
  • Verwerkers moeten u onverwijld informeren — verankerd in de verwerkersovereenkomst.

Fase 1 — Detectie en melding intern

Een lek kan van overal komen: een medewerker, een verwerker, een beveiligingssysteem of een externe melder. Zorg voor één duidelijk intern meldpunt (bijvoorbeeld een e-mailadres of formulier) dat iedereen kent. Elke medewerker moet weten: bij twijfel, melden.

Vanaf het moment van interne melding loopt de klok. Registreer direct datum en tijd in het datalekregister.

Fase 2 — Beoordeling van het risico

Beoordeel of het lek waarschijnlijk een risico voor betrokkenen inhoudt. Weeg de aard van de gegevens, het aantal betrokkenen, de gevoeligheid en of de gegevens versleuteld waren.

Risiconiveau Actie Basis
Geen risico Alleen registreren Art. 33 lid 5
Waarschijnlijk risico Melden bij AP < 72 uur Art. 33 lid 1
Hoog risico Ook betrokkenen informeren Art. 34

Twijfelt u tussen “geen” en “wel” risico, meld dan bij de AP — een onterechte melding is minder riskant dan een gemiste. De grondslagen en gegevenscategorieën die u hierbij weegt, vindt u in de gids over artikel 6 AVG.

Fase 3 — Melding bij de AP binnen 72 uur

Meld via het meldloket van de Autoriteit Persoonsgegevens. Kunt u nog niet alle informatie geven, meld dan tijdig en vul later aan — een gefaseerde melding is toegestaan (art. 33 lid 4). Beter een onvolledige melding binnen 72 uur dan een complete melding te laat. De volledige meldroute staat in de gids over een datalek melden bij de AP.

Overschrijdt u de 72 uur, dan moet u de vertraging motiveren. De Booking.com-zaak laat zien hoe zwaar de AP tilt aan te laat melden.

Fase 4 — Communicatie met betrokkenen

Bij een hoog risico informeert u de betrokkenen onverwijld en in duidelijke, eenvoudige taal (art. 34 lid 2): wat is er gebeurd, welke gegevens, wat zijn de gevolgen, wat kunnen zij zelf doen (bijvoorbeeld wachtwoord wijzigen) en waar kunnen zij terecht met vragen.

Vermijd juridisch jargon. De communicatie moet de betrokkene in staat stellen zichzelf te beschermen. Bereid deze communicatie voor vóórdat u haar nodig heeft: een conceptbrief en een korte lijst met veelgestelde vragen liggen dan klaar, zodat u onder tijdsdruk niet hoeft te improviseren. Kies bovendien bewust het kanaal — e-mail, brief of een bericht in de klantomgeving — dat de betrokkenen daadwerkelijk bereikt.

Fase 5 — Evaluatie en verbetering

Na afhandeling: wat ging er mis, en hoe voorkomt u herhaling? Pas zo nodig de beveiligingsmaatregelen aan. Structurele lekken uit dezelfde bron wegen zwaar mee als de AP later toch handhaaft.

Leg de evaluatie kort schriftelijk vast en neem hem op in het datalekregister. Zo bouwt u een dossier op dat laat zien dat uw organisatie leert. Dat dossier is dubbel waardevol: het stuurt uw beveiligingsinvesteringen én het toont bij een eventueel onderzoek dat u incidenten serieus behandelt.

Veelgemaakte fouten in de afhandeling

De drie klassieke fouten zijn steeds dezelfde. Ten eerste: te lang intern rondpompen voordat iemand de beoordeling maakt — elke dag die intern verloren gaat, gaat af van uw 72 uur. Ten tweede: wachten met melden tot het onderzoek helemaal rond is, terwijl een gefaseerde melding juist is toegestaan. En ten derde: de betrokkenen niet of te laat informeren bij een hoog risico, waardoor zij zichzelf niet tijdig kunnen beschermen.

Een vierde, subtielere fout is het onderschatten van de verwerkersketen. Als een subverwerker van uw leverancier een lek veroorzaakt, moet die informatie via meerdere schakels bij u terechtkomen — en dat kost tijd die u niet heeft. Contractuele meldtermijnen door de hele keten zijn daarom geen formaliteit maar een randvoorwaarde om de wettelijke termijn te halen.

Oefenen en actueel houden

Een procedure die in een la ligt, werkt niet onder druk. Oefen het draaiboek minstens één keer per jaar met een realistisch scenario — bijvoorbeeld een verloren laptop met klantgegevens of ransomware op een fileserver. Zo’n oefening legt de zwakke plekken bloot: weet iedereen waar het meldpunt is, wie beslist over melden, en hoe u binnen een uur de betrokken verwerkingen in beeld heeft?

Actualiseer de procedure bij elke wijziging in uw systemen, leveranciers of organisatie. Een nieuw CRM, een nieuwe cloudleverancier of een reorganisatie kan de meldketen breken zonder dat iemand het merkt. Koppel de review aan de jaarlijkse actualisatie van uw verwerkingsregister, zodat beide documenten synchroon blijven lopen.

RACI en verwerkers

Leg de rollen vast zodat niemand op iemand anders wacht:

  • Verantwoordelijk ®: privacycoördinator / FG voert de beoordeling uit;
  • Eindverantwoordelijk (A): directie/bestuur;
  • Geraadpleegd ©: IT-beveiliging, juridisch;
  • Geïnformeerd (I): communicatie, betrokken afdeling.

Verwerkt een leverancier gegevens voor u, dan moet die u onverwijld melden bij een lek. Neem een concrete termijn (bijvoorbeeld 24 uur) op in de verwerkersovereenkomst, anders haalt u de 72-uurstermijn nooit.

Hoe Legiscope hierbij helpt

De zwakste schakel in de meldketen is tijd. Legiscope structureert de risicobeoordeling, bewaakt de 72-uursklok en koppelt elk incident aan de betrokken verwerkingen en verwerkers, zodat u weet wie te informeren en welke termijn geldt.

FAQ

Wanneer begint de termijn van 72 uur te lopen?

Op het moment dat u van het datalek op de hoogte bent — niet wanneer u uw onderzoek heeft afgerond. Daarom is snelle interne detectie cruciaal: elke dag intern talmen gaat af van uw 72 uur richting de AP.

Wat als ik binnen 72 uur nog niet alles weet?

Meld dan gefaseerd (art. 33 lid 4 AVG). Doe eerst een melding met de bekende informatie en vul die later aan. De AP accepteert een gefaseerde melding; een te late complete melding is een overtreding.

Moet ik altijd de betrokkenen informeren?

Nee, alleen bij een hoog risico voor hun rechten en vrijheden (art. 34 AVG). Bij enkel een melding aan de AP zonder hoog risico hoeft u de betrokkenen niet apart te informeren. Documenteer de afweging wel in uw register.

Wat leert de Booking.com-boete ons?

Dat het proces telt, niet alleen het lek. Booking.com meldde 22 dagen te laat en kreeg 475.000 euro boete (AP, 2021). Een vastgelegde procedure met duidelijke rollen en interne meldtermijnen voorkomt precies deze vertraging. De les is niet dat het lek voorkomen had moeten worden — lekken gebeuren — maar dat de organisatie te traag reageerde toen het lek eenmaal bekend was. Snelheid in de eerste uren is het enige waar u bij een datalek echt grip op heeft.


Bronnen: de AVG-tekst op EUR-Lex en het datalekloket van de Autoriteit Persoonsgegevens.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →