Skip to content
Beveiliging calendar_today Bijgewerkt: 7 april 2026 schedule 7 min leestijd

Datalek: Wat is het en Wat Moet je Doen?

Een datalek kan elk bedrijf overkomen, van een verkeerd verstuurde e-mail tot een hackaanval. Dit artikel legt uit wat een datalek is, wanneer je het moet melden, en welke stappen je moet volgen.

summarize Kernpunten
  • check_circle Een datalek is elke inbreuk op de beveiliging die leidt tot verlies, wijziging of ongeautoriseerde toegang tot persoonsgegevens
  • check_circle Je moet een datalek binnen 72 uur melden bij de toezichthouder als er risico is voor betrokkenen
  • check_circle Bij hoog risico moet je ook de betrokkenen zelf informeren
  • check_circle Documenteer elk datalek in je datalekregister, ook als je besluit niet te melden

Wat is een datalek?

Een datalek (of “inbreuk in verband met persoonsgegevens”) is elke inbreuk op de beveiliging die leidt tot:

  • Vernietiging van persoonsgegevens (bijv. ransomware die je database versleutelt)
  • Verlies van persoonsgegevens (bijv. een gestolen laptop, een zoekgeraakte USB-stick)
  • Wijziging van persoonsgegevens (bijv. een hacker die klantgegevens aanpast)
  • Ongeautoriseerde verstrekking of toegang (bijv. een verkeerd verstuurde e-mail, een hack van je CRM)

Het hoeft geen spectaculaire hackaanval te zijn. De meest voorkomende datalekken bij MKB-bedrijven zijn alledaags:

  • Een medewerker stuurt een klantlijst naar het verkeerde e-mailadres
  • Een laptop met onversleutelde personeelsdossiers wordt gestolen uit een auto
  • Een oud-medewerker behoudt toegang tot het CRM-systeem na vertrek
  • Klantgegevens worden gedeeld in een WhatsApp-groep met medewerkers
  • Een phishingmail leidt tot gelekte inloggegevens

De drie stappen bij een datalek

Stap 1: Beoordeel het risico

Niet elk datalek hoeft gemeld te worden. De cruciale vraag is: vormt dit datalek waarschijnlijk een risico voor de rechten en vrijheden van de betrokkenen?

Waarschijnlijk WEL melden:

  • Gelekte financiele gegevens, medische dossiers, BSN-nummers
  • Gelekte inloggegevens (wachtwoorden, accounts)
  • Persoonsgegevens van kwetsbare groepen (kinderen, patienten)
  • Grote aantallen betrokkenen
  • Gegevens die misbruikt kunnen worden voor identiteitsfraude

Waarschijnlijk NIET melden:

  • Verloren USB-stick met volledig versleutelde gegevens (de gegevens zijn onleesbaar)
  • Korte, ongeautoriseerde toegang waarbij geen gegevens zijn gekopieerd of gewijzigd
  • Intern datalek dat direct is hersteld en geen externe gevolgen heeft

Twijfel je? Meld het. Een onterechte melding heeft geen gevolgen; een gemiste melding kan een boete opleveren.

Stap 2: Meld bij de toezichthouder (binnen 72 uur)

Als je besluit te melden, heb je maximaal 72 uur na ontdekking. Niet na het incident zelf, maar na het moment dat je het ontdekt. Als je meer informatie nodig hebt, kun je in fasen melden: eerste melding binnen 72 uur, aanvulling later.

Waar meld je het?

LandToezichthouderHoe
BelgieGegevensbeschermingsautoriteit (GBA)Online formulier op gegevensbeschermingsautoriteit.be
NederlandAutoriteit Persoonsgegevens (AP)Meldloket datalekken op autoriteitpersoonsgegevens.nl
DuitslandBfDI / LandesbehordeVerschilt per deelstaat
FrankrijkCNILOnline formulier op cnil.fr
description

Sjabloon: Datalekmelding aan de Toezichthouder

Een meldingsformulier met alle verplichte velden, plus een sjabloon voor de kennisgeving aan betrokkenen.

Bekijk het sjabloon arrow_forward

Stap 3: Informeer betrokkenen (bij hoog risico)

Als het datalek een hoog risico vormt, moet je naast de toezichthouder ook de betrokkenen zelf informeren. Vertel hen:

  • Wat er is gebeurd
  • Welke gegevens betrokken zijn
  • Wat je hebt gedaan om het te verhelpen
  • Wat zij zelf kunnen doen (wachtwoord wijzigen, alert zijn op phishing)

Het datalekregister

Elk datalek, ook als je het niet meldt bij de toezichthouder, moet je vastleggen in een datalekregister. De toezichthouder kan dit register op elk moment opvragen.

Per incident documenteer je:

  • Datum van ontdekking en datum van het incident
  • Beschrijving van wat er is gebeurd
  • Welke gegevens en hoeveel betrokkenen geraakt zijn
  • Gevolgen en genomen maatregelen
  • Of je het hebt gemeld bij de toezichthouder (en zo nee, waarom niet)
  • Of je de betrokkenen hebt geinformeerd (en zo nee, waarom niet)

Veelgemaakte fouten

  • “Het was maar een e-mail” - ook een verkeerd verstuurde e-mail met persoonsgegevens is een datalek
  • Intern onderzoek boven melding stellen - begin de melding binnen 72 uur, je kunt later aanvullen met onderzoeksresultaten
  • Betrokkenen niet informeren bij hoog risico - dit is een aparte verplichting
  • Geen datalekregister bijhouden - ook niet-gemelde datalekken moeten gedocumenteerd worden
  • WhatsApp-groepen als veilig beschouwen - het delen van klantgegevens in een WhatsApp-groep met medewerkers is riskant; je hebt geen controle over wie de gegevens ziet of bewaart

Voorkomen is beter dan melden

De beste datalekprocedure is er een die je zelden hoeft te gebruiken:

  • Versleutel laptops, USB-sticks en mobiele apparaten
  • Beperk toegang tot persoonsgegevens op basis van noodzaak (niet iedereen hoeft alles te zien)
  • Gebruik sterke wachtwoorden en 2FA voor alle systemen met persoonsgegevens
  • Train je medewerkers - de meeste datalekken ontstaan door menselijke fouten
  • Verwijder accounts van vertrekkende medewerkers direct
  • Gebruik geen WhatsApp voor het delen van klant- of personeelsgegevens
auto_awesome Weet je welke gegevens je verwerkt?

GDPRWise brengt automatisch in kaart welke persoonsgegevens je verzamelt en met wie je ze deelt. Zo weet je bij een datalek precies wat er geraakt is.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.