Wat is een datalek en wat te doen?

Bij een datalek denk je wellicht aan iets “spannends”, zoals een grootschalige hack. Bij deze ga ik je even wakkerschudden. Een lek hoeft helemaal niet iets groots te zijn. Ook hoeft het niet veel impact te hebben. Sterker nog: Er kan bij jou best al eens een datalek voorgekomen zijn.

Datalek in de AVG

In de AVG komt het woord “datalek” eigenlijk helemaal niet voor. Het wordt daar “inbreuk in verband met persoonsgegevens” genoemd. Volgens de AVG is dat:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens

Zoals je kunt lezen, is er dus al heel snel sprake van een gegevenslek.

Voorbeelden datalek

Als er al zo snel sprake is van een datalek, dan wil je vast wel wat voorbeelden lezen die zelfs jóu kunnen overkomen.

  • Je stuurt een mailtje waarbij je iedereen per ongeluk in de CC zet in plaats van de BCC. Je verstrekt dus per ongeluk e-mailadressen aan mensen die die niet behoren te zien.
  • Je stuurt per ongeluk een Excellijst met persoonsgegevens naar mensen die niet bevoegd zijn de informatie te zien. Dit overkwam een projectontwikkelaar van nieuwbouwhuizen. Hij had per ongeluk een Excellijst doorgestuurd met alle 1100 (!) mensen die zich hadden ingeschreven voor het project. In deze lijst stonden niet alleen adresgegevens, maar ook bijvoorbeeld het jaarinkomen.
  • Je fotocamera is gestolen (ja, ook foto’s zijn persoonsgegevens).
  • Je raakt je USB-stick kwijt waar persoonsgegevens op staan.
  • Je huis vliegt in brand, samen met je archiefkast waar informatie in staat over je klanten.

Datalek melden

Soms ben je verplicht om een gegevenslek te melden, aan zowel de Autoriteit Persoonsgegevens als aan de betrokkenen (degenen waarvan de gegevens gelekt zijn).

Aan de Autoriteit Persoonsgegevens

Wanneer er sprake is van een hoog risico voor de rechten en vrijheden van de personen waarvan de gegevens gelekt zijn, moet je de datalek binnen 72 uur nadat je het hebt ontdekt, melden aan de Autoriteit Persoonsgegevens. Iemand kan namelijk fysieke, materiële of immateriële schade lijden door de lek. Om in te schatten of er sprake is van een hoog risico, kun je kijken naar de volgende factoren:

  • De aard van de inbreuk
  • De aard, de gevoeligheid en omvang van persoonsgegevens
  • Het gemak waarmee personen kunnen worden geïdentificeerd aan de hand van de gelekte gegevens
  • Wanneer er bijzondere kenmerken zijn van personen
  • Hoeveel mensen getroffen zijn
  • Of de personen schade lijden (fysiek, materieel of immaterieel)


Voorbeelden die de Autoriteit Persoonsgegevens noemt waarbij er in ieder geval sprake is van een hoog risico, zijn:

  • Wanneer er data wordt gelekt over ras, geloof of seksuele geaardheid. Dit soort gegevens zijn “bijzondere persoonsgegevens”. Bijzondere persoonsgegevens worden extra beschermd in de AVG.
  • Wanneer er sprake is van identiteitsfraude.
  • Wanneer medische gegevens worden gelekt. Ook medische gegevens zijn bijzondere persoonsgegevens.
  • Wanneer data wordt gelekt die de reputatie schaden, zoals gegevens over verslaving.
  • Wanneer creditcardgegevens gelekt worden. Hierdoor ontstaat financiële schade.

Aan de betrokkenen

Wanneer er een hoog risico bestaat voor de betrokkene, moet je dit ook aan hem melden. Dit moet op een begrijpelijke en toegankelijke manier. Je moet in ieder geval het volgende melden:

  • De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen.
  • De waarschijnlijke gevolgen van de datalek.
  • De maatregelen die je hebt voorgesteld of die je hebt genomen om de datalek en de nadelige gevolgen ervan aan te pakken.


Een lek hoeft echter niet gemeld te worden aan de betrokkene als;

  • je beveiligingsmaatregelen hebt genomen vóór de lek, om de persoonsgegevens die zijn gelekt, onbegrijpelijk te maken voor onbevoegden (zoals versleuteling);
  • je ná de datalek maatregelen hebt genomen zodat het hoge risico zich waarschijnlijk niet meer zal voordoen;
  • de mededeling aan de betrokkene onevenredige inspanningen vergt. In dat geval moet je een openbare mededeling of soortgelijke maatregel treffen zodat de betrokkene alsnog wordt geïnformeerd.

Datalek registreren

Of je een gegevenslek nu moet melden of niet, je bent altijd verplicht om een datalek te registreren in een datalekregister. Dit register houd je zelf bij. De Autoriteit Persoonsgegevens kan hier altijd om vragen! Wat moet er dan in zo’n register staan? De AVG noemt de volgende dingen:

  • De feiten omtrent de datalek
  • De gevolgen van de datalek
  • De genomen corrigerende maatregelen


Dat klinkt nogal summier, en dat is het ook. Mijn voorbeeld datalekregister is een stuk uitgebreider en brengt alles meer concreet in kaart.

Jurist auteursrecht

Heb je een vraag als ondernemer/bedrijf ?

Stel ‘m gerust!

Misschien vind je deze blogs ook interessant:

Wekelijks al die handige juridische tips in je mailbox?

Abonneer je op mijn nieuwsbrief!