De meldplicht datalekken is de afgelopen jaren uitgegroeid tot één van de meest besproken onderdelen van de privacywetgeving. Incidenten rondom ransomware, cyberaanvallen, maar ook menselijke fouten maken duidelijk dat datalekken geen uitzondering meer zijn. De meldplicht dwingt organisaties niet alleen tot transparantie richting de toezichthouder en betrokkenen, maar vormt ook een essentieel onderdeel van verantwoord datamanagement binnen de digitale samenleving.

Van Wbp naar AVG

De vroegere Europese Privacyrichtlijn kende geen verplichting om datalekken te melden. Nederland liep in 2016 vooruit op de komst van de AVG door de meldplicht op te nemen in de Wet bescherming persoonsgegevens (Wbp). Sinds de invoering van de AVG in 2018 geldt deze verplichting rechtstreeks uit artikel 33 en 34 AVG. Daarmee is de meldplicht geharmoniseerd binnen de EU en gelden in alle lidstaten dezelfde regels en termijnen.

Wat is een datalek?

De AVG gebruikt de term inbreuk in verband met persoonsgegevens. Volgens artikel 4 lid 12 AVG is dat “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot persoonsgegevens.” In de praktijk wordt dit aangeduid als een datalek.
Voorbeelden zijn:

• Een cyberaanval of ransomware waarbij persoonsgegevens worden buitgemaakt.

• Een verkeerd geadresseerde e-mail met vertrouwelijke klantinformatie.

• Onbevoegde toegang van werknemers tot persoonsgegevens binnen hun organisatie.

Meldplicht aan Autoriteit Persoonsgegevens

Verwerkingsverantwoordelijken moeten een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens (AP), tenzij het niet waarschijnlijk is dat het incident een risico inhoudt voor de rechten en vrijheden van betrokkenen. Wanneer nog niet alle gegevens bekend zijn, mag eerst een voorlopige melding worden gedaan. De definitieve informatie moet vervolgens binnen vier weken worden aangevuld.

Meldplicht aan betrokkenen

Als een datalek waarschijnlijk een hoog risico vormt voor de rechten en vrijheden van natuurlijke personen, moeten ook de betrokkenen onmiddellijk worden geïnformeerd (artikel 34 AVG). Dat is bijvoorbeeld aan de orde bij verlies van niet-versleutelde medische gegevens of inloggegevens.
Een melding aan betrokkenen mag achterwege blijven als:

• de gegevens effectief waren versleuteld of anderszins onbegrijpelijk voor onbevoegden;

• maatregelen zijn genomen die het risico hebben weggenomen; of

• een individuele melding een onevenredige inspanning vergt, in welk geval een publieke mededeling volstaat.

Verantwoordelijkheden van verwerkers

Wanneer een verwerker (zoals een clouddienst of IT-leverancier) een datalek ontdekt, moet deze het incident onverwijld melden aan de verwerkingsverantwoordelijke, conform artikel 33 lid 2 AVG. De verwerker meldt zelf niet aan de AP of aan betrokkenen, maar er moet wél contractueel zijn vastgelegd binnen welke termijn en op welke manier melding wordt gedaan.

Handhaving en toezicht

De Autoriteit Persoonsgegevens houdt actief toezicht op naleving van de meldplicht. Overtreding kan leiden tot hoge boetes: maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet (artikel 83 lid 4 AVG). Naast financiële sancties kan de AP ook andere maatregelen opleggen, zoals aanwijzingen of dwangsommen.

Actuele aandachtspunten

Anno 2025 zien organisaties een stijging van het aantal gemelde datalekken, mede door toegenomen cybercriminaliteit, gebruik van AI-tools en complexere ketenverwerkingen. Transparantie en snelle interne opvolging zijn cruciaal. De meldplicht is daarmee niet slechts een juridische eis, maar een toetssteen voor het gegevensbewustzijn en de weerbaarheid van organisaties in een steeds digitaler Europa.

Verder leren

Cursus Datalekken: voorbereiden, herkennen en reageren