Bij welke autoriteit moet ik een datalek melden?

Bij de toezichthouder in het land waar je hoofdvestiging staat. Voor Nederland is dat de Autoriteit Persoonsgegevens, voor Belgie de Gegevensbeschermingsautoriteit (GBA). Je moet een meldplichtig datalek binnen 72 uur melden.

Kan een klant in een ander EU-land een klacht over mij indienen?

Ja. Betrokkenen mogen een klacht indienen bij de toezichthouder in hun eigen land, ongeacht waar jouw bedrijf gevestigd is. Die toezichthouder werkt dan samen met de autoriteit in jouw land.

Heb ik met meerdere toezichthouders te maken als ik in meerdere landen actief ben?

Als je vestigingen hebt in meerdere EU-landen, heb je een 'lead authority' op basis van je hoofdvestiging. Die coordineert met de andere autoriteiten. Als je alleen vanuit een land opereert maar klanten hebt in andere landen, is je eigen nationale toezichthouder het primaire aanspreekpunt.

GDPR Autoriteit per Land | Toezichthouder Persoonsgegevens

Elk EU-land heeft een eigen toezichthouder voor de GDPR. Dit artikel geeft je een overzicht van de belangrijkste nationale autoriteiten en legt uit wanneer je met welke te maken krijgt.

Elke lidstaat heeft een eigen toezichthouder

De GDPR is een Europese verordening, maar de handhaving gebeurt op nationaal niveau. Elk EU-land heeft een onafhankelijke toezichthouder (Data Protection Authority, of DPA) die verantwoordelijk is voor het toezicht op de naleving van de wet.

De Benelux

Nederland - Autoriteit Persoonsgegevens (AP)

Website: autoriteitpersoonsgegevens.nl
Datalekken melden: via het meldloket op de website
Klachten indienen: via het klachtenformulier
De AP is actief in handhaving en legt regelmatig boetes op, ook aan het MKB

Belgie - Gegevensbeschermingsautoriteit (GBA)

Website: gegevensbeschermingsautoriteit.be
Datalekken melden: via het meldformulier op de website
Klachten indienen: via de geschillenkamer
De GBA staat bekend om een constructieve maar strenge aanpak

Luxemburg - Commission Nationale pour la Protection des Donnees (CNPD)

Website: cnpd.public.lu
Datalekken melden: via het online meldformulier

Andere belangrijke EU-autoriteiten

Duitsland

Duitsland heeft een unieke structuur met zowel een federale toezichthouder (BfDI) als toezichthouders per deelstaat. De bevoegde autoriteit hangt af van waar je bedrijf gevestigd is.

Frankrijk - CNIL

De Commission Nationale de l’Informatique et des Libertes is een van de meest actieve toezichthouders in Europa en heeft de hoogste boetes opgelegd.

Ierland - Data Protection Commission (DPC)

Relevant omdat veel grote techbedrijven (Google, Meta, Apple) hun Europese hoofdkantoor in Ierland hebben.

Welke autoriteit is relevant voor jou?

De vuistregel: de toezichthouder in het land waar je hoofdvestiging staat, is je primaire aanspreekpunt. Dat is ook de autoriteit waarbij je datalekken moet melden.

Als je alleen in Nederland opereert: de Autoriteit Persoonsgegevens. Als je alleen in Belgie opereert: de GBA. Als je in meerdere landen opereert: de autoriteit waar je hoofdvestiging staat is je lead authority.

Samenwerking tussen autoriteiten

De nationale toezichthouders werken samen via het European Data Protection Board (EDPB). Bij grensoverschrijdende zaken coordineert de lead authority met de andere betrokken autoriteiten. Als ondernemer heb je in de praktijk vooral te maken met je eigen nationale toezichthouder.

auto_awesome Wees voorbereid op de toezichthouder

GDPRWise helpt je om alle documenten klaar te hebben die de toezichthouder kan opvragen: verwerkingsregister, privacyverklaring en meer.

Start je gratis scan