Wanneer moet je een datalek melden?
Een datalek is elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, ongeautoriseerde verstrekking van of ongeautoriseerde toegang tot persoonsgegevens. Voorbeelden:
- Een medewerker stuurt een bestand met klantgegevens naar het verkeerde e-mailadres
- Je laptop met onversleutelde personeelsdossiers wordt gestolen
- Een hacker krijgt toegang tot je CRM-systeem
- Een USB-stick met klantgegevens raakt zoek
- Een ransomware-aanval versleutelt je database
Niet elk datalek hoeft gemeld te worden. Je meldt alleen bij de toezichthouder als het datalek waarschijnlijk een risico vormt voor de rechten van de betrokkenen. Twijfel je? Meld het. Een onterechte melding heeft geen gevolgen; een gemiste melding wel.
Stap 1: Melding aan de toezichthouder (binnen 72 uur)
Sjabloon: datalekmelding aan toezichthouder
MELDING DATALEK
Datum van ontdekking: [datum en tijdstip]
Datum van het incident (indien anders): [datum en tijdstip, of "onbekend"]
1. BESCHRIJVING VAN HET DATALEK
[Beschrijf wat er is gebeurd, bijv.: "Op [datum] is geconstateerd dat een medewerker per ongeluk een spreadsheet met klantgegevens (namen, e-mailadressen en telefoonnummers) heeft verstuurd naar een extern e-mailadres dat niet bij de organisatie hoort."]
2. CATEGORIEEN BETROKKENEN EN GESCHAT AANTAL
- Categorieen: [bijv. klanten, medewerkers, leveranciers]
- Geschat aantal betrokkenen: [aantal]
- Geschat aantal persoonsgegevensrecords: [aantal]
3. CATEGORIEEN PERSOONSGEGEVENS
[bijv. namen, e-mailadressen, telefoonnummers, adressen, financiele gegevens, BSN-nummers]
4. WAARSCHIJNLIJKE GEVOLGEN
[Beschrijf de mogelijke gevolgen voor de betrokkenen, bijv.: "De betrokkenen lopen risico op ongewenste contactname en mogelijk phishing met hun gegevens."]
5. GENOMEN MAATREGELEN
[Beschrijf welke maatregelen je hebt genomen om het datalek te verhelpen en de gevolgen te beperken, bijv.:
- De ontvanger is gecontacteerd met het verzoek de e-mail en bijlage te verwijderen
- Bevestiging van verwijdering is ontvangen
- Medewerkers zijn herinnerd aan het protocol voor het verzenden van persoonsgegevens]
6. CONTACTGEGEVENS
Naam organisatie: [naam]
Contactpersoon: [naam en functie]
Telefoon: [nummer]
E-mail: [adres]
[Indien van toepassing:]
Functionaris Gegevensbescherming (DPO): [naam en contactgegevens]
Stap 2: Melding aan betrokkenen (bij hoog risico)
Als het datalek een hoog risico vormt voor de betrokkenen, moet je hen ook direct informeren. Gebruik onderstaand sjabloon.
Sjabloon: melding aan betrokkenen
Onderwerp: Melding datalek - [naam organisatie]
Hallo [naam],
We schrijven je om je te informeren over een beveiligingsincident dat je persoonsgegevens betreft.
Wat is er gebeurd?
[Korte beschrijving, bijv.: "Op [datum] hebben wij ontdekt dat onbevoegden mogelijk toegang hebben gehad tot ons klantsysteem waarin je naam, e-mailadres en bestelgeschiedenis zijn opgeslagen."]
Welke gegevens zijn betrokken?
[Lijst van betrokken gegevens, bijv.: naam, e-mailadres, telefoonnummer]
Wat hebben wij gedaan?
[Beschrijf genomen maatregelen, bijv.: "We hebben het beveiligingslek direct gedicht, alle wachtwoorden gereset, en het incident gemeld bij de toezichthouder."]
Wat kun je zelf doen?
- Wijzig je wachtwoord als je hetzelfde wachtwoord ook bij andere diensten gebruikt
- Wees alert op verdachte e-mails of telefoontjes die je persoonlijke gegevens noemen
- Neem contact met ons op als je iets verdachts opmerkt
Onze excuses voor het ongemak. We nemen de bescherming van je gegevens serieus en hebben maatregelen getroffen om herhaling te voorkomen.
Heb je vragen? Neem contact op met [contactpersoon] via [e-mail] of [telefoon].
Met vriendelijke groeten,
[naam organisatie]
Stap 3: Documenteer in je datalekregister
Elk datalek moet je vastleggen in een datalekregister, ook als je besluit het niet te melden bij de toezichthouder. De toezichthouder kan dit register opvragen.
Documenteer per incident:
- Datum van ontdekking en datum van het incident
- Beschrijving van het datalek
- Categorieen en aantallen betrokkenen en gegevens
- Gevolgen en genomen maatregelen
- Of je het hebt gemeld bij de toezichthouder (en zo nee, waarom niet)
- Of je de betrokkenen hebt geinformeerd (en zo nee, waarom niet)
Waar meld je het?
| Land | Toezichthouder | Meldmethode |
|---|---|---|
| Belgie | Gegevensbeschermingsautoriteit (GBA) | Online formulier op gegevensbeschermingsautoriteit.be |
| Nederland | Autoriteit Persoonsgegevens (AP) | Meldloket datalekken op autoriteitpersoonsgegevens.nl |
| Duitsland | BfDI / Landesbehorde | Verschilt per deelstaat |
| Frankrijk | CNIL | Online formulier op cnil.fr |
Veelgemaakte fouten
- Te laat melden omdat je eerst intern wilt onderzoeken - begin de melding binnen 72 uur, je kunt later aanvullen
- Niet melden omdat het “maar” een e-mail was - ook een verkeerd verstuurde e-mail met persoonsgegevens is een datalek
- Betrokkenen niet informeren bij hoog risico - dit is een aparte verplichting naast de melding bij de toezichthouder
- Geen datalekregister bijhouden - ook datalekken die je niet meldt, moet je documenteren
auto_awesome Je GDPR-dossier automatiseren?
GDPRWise scant je website, genereert je verwerkingsregister en privacyverklaring, en geeft je een actielijst op maat. Inclusief procedures voor datalekken.