Start de generator Start →
Rechten & procedures 1 min lezen

Datalek

⚖️
Wettelijke basis GDPR art. 33-34
⏱️
Melden bij GBA Binnen 72 uur
🧑
Betrokkenen Bij hoog risico informeren

Een datalek is een inbreuk op de beveiliging die leidt tot verlies, ongeoorloofde toegang tot, wijziging of vernietiging van persoonsgegevens. Het hoeft niet om een hack te gaan: een gestolen laptop, een verkeerd geadresseerde mailing, een verloren usb-stick of een e-mail met alle adressen in het cc-veld zijn evengoed datalekken.

Drie soorten inbreuken

  • Vertrouwelijkheid: onbevoegden krijgen toegang.
  • Integriteit: gegevens worden ongewild gewijzigd.
  • Beschikbaarheid: gegevens raken verloren of ontoegankelijk.

Melden bij de GBA

Levert het lek een risico op voor de betrokkenen, dan meld je het binnen 72 uur na ontdekking bij de Gegevensbeschermingsautoriteit via haar online meldingsformulier. Lukt het niet om binnen die termijn alles te weten, meld dan gefaseerd. Levert het lek waarschijnlijk geen risico op, dan hoef je niet te melden, maar je registreert het wel intern.

Betrokkenen informeren

Bij een hoog risico, bijvoorbeeld bij een lek van rijksregisternummers of financiële gegevens, breng je ook de getroffen personen rechtstreeks en in duidelijke taal op de hoogte, met wat zij zelf kunnen doen, zoals een wachtwoord wijzigen.

Praktijktip: hou een intern datalekregister bij van élk lek, ook de niet-meldingsplichtige. Zo toon je tegenover de GBA aan dat je gestructureerd handelt en leer je uit incidenten.

Hoe meld je een datalek?

Ontdek je een datalek, doorloop dan deze vijf stappen. Bij risico voor betrokkenen meld je binnen 72 uur.

  1. Dam het lek direct in. Trek toegang in, reset wachtwoorden of haal het lek offline, en probeer verloren gegevens te wissen of terug te halen.
  2. Schat het risico in. Bepaal of het lek waarschijnlijk risico oplevert: om welke gegevens gaat het, hoeveel mensen, en wat kan er misgaan?
  3. Meld binnen 72 uur bij de GBA. Is er risico, meld het datalek dan binnen 72 uur na ontdekking bij de Gegevensbeschermingsautoriteit (GBA) via het online meldingsformulier.
  4. Informeer de betrokkenen. Bij hoog risico licht je ook de getroffen personen in, in duidelijke taal en met wat zij zelf kunnen doen.
  5. Registreer en leer. Noteer elk lek in je interne datalekregister en pas je beveiliging aan om herhaling te voorkomen.
Direct toepassen

Verwerk dit correct in jouw voorwaarden

Onze generator stelt dit soort clausules automatisch op - juridisch correct in 3 minuten.

Start de generator →
Veelgestelde vragen

Veelgestelde vragen over datalek

Concrete antwoorden op de vragen die ondernemers hier het vaakst over stellen.

Moet ik elk datalek melden bij de Gegevensbeschermingsautoriteit?
Je meldt een datalek binnen 72 uur bij de GBA, tenzij het waarschijnlijk geen risico voor betrokkenen oplevert. Bij een hoog risico moet je ook de betrokkenen zelf informeren.
Wat is een voorbeeld van een datalek?
Een gestolen laptop met klantgegevens, een e-mail met de adressenlijst in het CC-veld in plaats van BCC, of een hack waarbij gegevens uitlekken. Ook per ongeluk wissen kan een datalek zijn.
Verder lezen

Gerelateerde begrippen

📄
Rechten & procedures

Bewaartermijn

Een bewaartermijn is de periode waarin je persoonsgegevens mag bijhouden. De GDPR legt geen vaste termijnen op, maar…

 📄
Rechten & procedures

Rechten van de betrokkene

De GDPR geeft elke betrokkene, de persoon van wie je gegevens verwerkt, een reeks rechten over die gegevens.…

 📄
Rechten & procedures

Recht op gegevenswissing (vergetelheid)

Het recht op gegevenswissing, ook recht op vergetelheid genoemd, laat een betrokkene toe te vragen dat je zijn…

 📄
Rechten & procedures

Verwerkingsregister

Het verwerkingsregister is een gestructureerd overzicht van alle verwerkingen van persoonsgegevens die je organisatie uitvoert. Artikel 30 van…
Bekijk alle 34 begrippen →