Inloggen
Registreren

Datalek melden voor het MKB: meldplicht, 72-uurregel en je datalekprotocol

INHOUD
    PC Patrol

    Wij regelen je hosting, jij doet de business.

    • Managed webhosting & WordPress
    • Cloud VPS in EU-datacenter
    • Microsoft 365 & e-mail
    • Nederlandse support
    Bekijk onze diensten
    ★★★★★ 5/5 op Hostingvergelijker.nl

    Een datalek melden is geen formaliteit, het is een wettelijke plicht met een strakke deadline. Lekken er bij jouw bedrijf persoonsgegevens, dan moet je dat in veel gevallen binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Voor het MKB is dat vaak precies het moment waarop blijkt dat er geen plan klaarligt. In deze gids lees je wanneer de meldplicht datalekken geldt, hoe je een datalek meldt, wanneer je ook je klanten moet informeren en hoe een praktisch datalekprotocol eruitziet.

    De aanleiding voor een datalek is bij kleinere bedrijven bijna nooit een spectaculaire hack. Het is een gestolen laptop, een verkeerd geadresseerde e-mail met een klantenlijst, een gekaapte mailbox of een WordPress-site die is overgenomen. De gevolgen, en de meldplicht, zijn precies hetzelfde als bij een groot concern.

    Wat is een datalek precies?

    Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Het gaat niet alleen om gegevens die letterlijk op straat liggen, maar om elke situatie waarin de bescherming van persoonsgegevens is doorbroken. De AVG onderscheidt drie soorten:

    • Verlies van vertrouwelijkheid: onbevoegden krijgen toegang tot gegevens, bijvoorbeeld via een gehackte mailbox of een uitgelekte database.
    • Verlies van integriteit: gegevens worden ongeoorloofd gewijzigd, bijvoorbeeld door ransomware of een aanvaller die records aanpast.
    • Verlies van beschikbaarheid: je kunt zelf niet meer bij de gegevens, bijvoorbeeld na een ransomware-aanval of een per ongeluk gewiste back-up.

    Belangrijk: ook een lek dat je zelf veroorzaakt telt mee. Een e-mail met alle adressen in het cc-veld in plaats van bcc is een klassiek datalek, net als een verloren usb-stick of een uitdraai die bij de verkeerde klant belandt.

    Heb je altijd een meldplicht?

    Nee. Je moet een datalek melden bij de AP, tenzij het onwaarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van de betrokkenen. Die afweging maak je per geval, en je legt hem vast.

    Een paar vuistregels. Lekken er gevoelige gegevens zoals een BSN, gezondheids- of financiële gegevens of inloggegevens, dan is melden vrijwel altijd verplicht. Gaat het om een klein aantal niet-gevoelige gegevens dat goed versleuteld was en snel weer onder controle is, dan kan de conclusie zijn dat melden niet hoeft. In dat laatste geval registreer je het lek wel intern, maar meld je het niet bij de AP.

    Twijfel je? Ga uit van melden. De AP rekent het je zwaarder aan als je een meldplichtig lek verzwijgt dan als je een grensgeval voor de zekerheid meldt.

    De 72-uurregel: zo meld je bij de Autoriteit Persoonsgegevens

    Vanaf het moment dat je een datalek ontdekt, heb je 72 uur om het bij de AP te melden. Die klok loopt door in het weekend en op feestdagen. Lukt het niet binnen 72 uur, dan mag je later melden, maar dan moet je motiveren waarom het langer duurde.

    Melden doe je via het meldloket op de website van de Autoriteit Persoonsgegevens. Je hoeft niet meteen alles te weten: een eerste melding met de bekende feiten mag, en je vult later aan. In de melding beschrijf je in elk geval:

    • wat er is gebeurd en wanneer je het ontdekte;
    • welke categorieën persoonsgegevens het betreft en hoeveel mensen;
    • de waarschijnlijke gevolgen van het lek;
    • welke maatregelen je hebt genomen om het lek te dichten en de schade te beperken.

    Ben je zelf verwerker en lekt het bij jou, dan meld je niet rechtstreeks bij de AP, maar informeer je direct de verwerkingsverantwoordelijke (je opdrachtgever). Wie wat doet, leg je vooraf vast in de verwerkersovereenkomst.

    Wanneer moet je je klanten informeren?

    Naast de melding bij de AP is er een tweede vraag: moet je de betrokkenen zelf inlichten? Dat moet zodra het datalek waarschijnlijk een hoog risico vormt voor hun rechten en vrijheden. Denk aan gelekte wachtwoorden, financiële gegevens of gevoelige persoonsgegevens.

    Goede communicatie rond een datalek is helder en zonder jargon. Vertel wat er is gebeurd, welke gegevens het betreft, wat de mogelijke gevolgen zijn en wat de betrokkene zelf kan doen, bijvoorbeeld een wachtwoord wijzigen. Wees op tijd en eerlijk: klanten vergeven een lek sneller dan een doofpot.

    Het datalekregister: ook niet-gemelde lekken vastleggen

    Elke organisatie die persoonsgegevens verwerkt, moet een datalekregister bijhouden. Daarin leg je alle datalekken vast, dus ook de incidenten die je na afweging niet bij de AP hoeft te melden. Per incident noteer je de feiten, je risico-afweging en de genomen maatregelen.

    Dat register is geen bureaucratie om de bureaucratie. Als de AP onderzoek doet, is het je bewijs dat je incidenten serieus afweegt en beheerst. Zonder register sta je met lege handen.

    Wat kost het als je niet meldt?

    De boetes onder de AVG zijn fors: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In Nederland zijn al boetes van anderhalve ton tot meerdere miljoenen opgelegd aan organisaties die hun meldplicht niet nakwamen of hun beveiliging niet op orde hadden. Voor een MKB-bedrijf hoeft een boete niet eens maximaal te zijn om hard aan te komen. Reken daarnaast op reputatieschade en mogelijke claims van gedupeerden.

    Je datalekprotocol: het stappenplan

    De 72 uur gaan snel. Wie vooraf een datalekprotocol klaar heeft liggen, raakt niet in paniek. Dit is de kern:

    1. Detecteer en meld intern. Zorg dat elke medewerker weet bij wie hij een vermoedelijk lek meldt, en dat dat zonder drempel kan.
    2. Dicht het lek. Sluit de toegang af, reset wachtwoorden en isoleer het getroffen systeem. Is je WordPress-site de bron, volg dan het noodprotocol bij een gehackte site.
    3. Beoordeel het risico. Welke gegevens, hoeveel mensen, hoe gevoelig? Leg de afweging schriftelijk vast.
    4. Meld bij de AP binnen 72 uur als er een risico is voor de betrokkenen.
    5. Informeer de betrokkenen als het risico hoog is.
    6. Registreer het incident in je datalekregister.
    7. Evalueer en dicht de oorzaak structureel, zodat hetzelfde lek niet terugkomt.

    Voorkomen is goedkoper dan melden

    De beste datalekmelding is degene die je nooit hoeft te doen. De meeste MKB-lekken zijn te voorkomen met een paar basismaatregelen die je hosting- en IT-omgeving stevig maken:

    • Zet je WordPress-updates en -beveiliging strak en maak je site AVG-proof.
    • Beveilig je zakelijke e-mail tegen phishing en account-takeover, of je nu Outlook en Microsoft 365 of Gmail en Google Workspace gebruikt.
    • Maak betrouwbare, liefst onveranderbare back-ups, zodat een ransomware-lek je niet de beschikbaarheid van je data kost.
    • Leg in je verwerkersovereenkomst vast wie meldt en wie wat doet bij een lek.
    • Overweeg een cyberverzekering die incidentkosten en juridische bijstand dekt.

    Hulp bij je beveiliging of datalekprotocol?

    Wij richten je hosting, back-ups en e-mailbeveiliging zo in dat een datalek veel minder kans krijgt, en helpen je een werkbaar datalekprotocol op te zetten. Eén Nederlands aanspreekpunt, geen jargon.

    Plan een gratis adviesgesprek
    Lees de AVG-checklist

    Veelgestelde vragen over een datalek melden

    Binnen hoeveel tijd moet ik een datalek melden?

    Binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens, als het lek een risico vormt voor de betrokkenen. Lukt dat niet, dan meld je later met een motivering voor de vertraging.

    Moet ik elk datalek bij de AP melden?

    Nee, alleen lekken met een risico voor de rechten en vrijheden van betrokkenen. Lekken zonder dat risico hoef je niet te melden, maar leg je wel vast in je datalekregister.

    Wat als het datalek bij mijn hostingpartner of leverancier gebeurt?

    Dan is die partij meestal verwerker en moet hij jou als verwerkingsverantwoordelijke direct informeren. Jij beoordeelt vervolgens of je bij de AP meldt. Maak hierover vooraf afspraken in je verwerkersovereenkomst.

    Wie moet een datalekregister bijhouden?

    Elke organisatie die persoonsgegevens verwerkt, ongeacht de omvang. Ook een ZZP’er of klein MKB-bedrijf valt hieronder.

    Wat is het verschil tussen melden bij de AP en betrokkenen informeren?

    Melden bij de AP doe je bij een risico voor betrokkenen. Betrokkenen zelf informeren doe je alleen bij een hoog risico. Het kan dus zijn dat je wel bij de AP meldt, maar je klanten niet hoeft te informeren.

    Verder lezen op de PC Patrol blog

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    Blog

    Docker omgeving beveiligen op vps met container hardening en image scanning

    Waarom een Docker omgeving op een vps extra beveiliging nodig heeft Een Docker omgeving op een vps biedt...

    Chris 10 mrt 2026 4 min
    Blog

    Hoe stel je proactieve website monitoring in om downtime en trage laadtijden te voorkomen

    Waarom proactieve monitoring cruciaal is voor je website Als je webshop of bedrijfswebsite even offline is, kan dat...

    Chris 11 dec 2025 3 min
    Blog

    Waarom een lokale ontwikkelomgeving voor WordPress onmisbaar is en hoe je deze opzet

    Waarom ontwikkelen in een lokale WordPress omgeving zoveel voordelen heeft Werken aan een WordPress website direct op je...

    Chris 6 jan 2026 4 min