Datalekken herkennen en melden

Wat doet de Autoriteit Persoonsgegevens nadat je een datalek hebt gemeld?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je ontdekt het. Een foutje in je systeem, een kwetsbaarheid of een kwaadwillende aanvaller.

Inhoudsopgave
  1. De ontvangstbevestiging: het startschot
  2. De eerste evaluatie: is het echt een datalek?
  3. De dossierbehandelaar neemt het over
  4. De beslissing: onderzoek of afhandeling?
  5. Hoe verloopt een formeel onderzoek?
  6. Het einde van het onderzoek: de uitkomst
  7. Hoe lang duurt dit allemaal?
  8. Wat kun jij doen tijdens dit proces?
  9. Conclusie

Er zijn persoonsgegevens op straat komen te liggen. Je hebt het datalek netjes gemeld bij de Autoriteit Persoonsgegevens (AP). En nu? Het wachten is begonnen. Wat gebeurt er achter die gesloten deuren van de toezichthouder? In dit artikel lees je precies wat de AP doet na jouw melding, zonder ingewikkelde juridische taal, maar wel met de feiten op een rij.

De ontvangstbevestiging: het startschot

Zodra je jouw melding hebt ingediend via het meldloket van de Autoriteit Persoonsgegevens, ontvang je bijna direct een ontvangstbevestiging.

Dit is het officiële startschot. Het is een automatisme, maar wel een belangrijk. Vanaf dit moment sta je in het systeem en begint de officiële looptijd.

De AP geeft in deze bevestiging vaak al aan dat ze contact met je opnemen als dat nodig is. Meestal is dit binnen 72 uur, de wettelijke termijn voor een melding, maar in de praktijk kan het iets langer duren voordat er echt actie wordt ondernomen.

De eerste evaluatie: is het echt een datalek?

De AP gaat niet zomaar vanuit dat jouw melding klopt of dat het om een ernstig incident gaat. De eerste stap is een snelle screening.

De drie kernvragen van de AP

Een medewerker van de AP kijkt naar de informatie die je hebt aangeleverd.

  1. Is er sprake van een datalek volgens de AVG? Niet elke fout is direct een datalek. Er moet sprake zijn van een inbreuk op de beveiliging van persoonsgegevens.
  2. Is het risico groot genoeg? Als er gegevens zijn gelekt, maar het risico voor de betrokkenen is nihil, dan is een melding aan de AP soms niet verplicht (hoewel het wel altijd slim is om het te documenteren).
  3. Wie is er verantwoordelijk? Is de organisatie die meldt daadwerkelijk de verantwoordelijke partij, of gaat het om een verwerker?

Is het duidelijk wat er is gebeurd? Welke soort gegevens zijn betrokken? Hoeveel mensen zijn getroffen?

Tijdens deze eerste evaluatie stelt de AP zich drie simpele maar cruciale vragen: Als de AP na deze screening besluit dat het een serieuze zaak is, gaat het dossier naar een dossierbehandelaar. Dit is een specifieke medewerker die jouw zaak verder oppakt.

De dossierbehandelaar neemt het over

Vanaf nu heb je te maken met een vast aanspreekpunt bij de AP.

Het verzoek om aanvullende informatie

Deze dossierbehandelaar is je gids door het proces. Hij of zij bekijkt jouw melding volledig en beoordeelt of er voldoende informatie is. Vaak is dit niet het geval.

Organisaties geven in hun eerste melding vaak te weinig details. De kans is groot dat je binnen enkele dagen een e-mail of telefoontje krijgt met de vraag om meer informatie.

  • Hoe is het lek ontstaan?
  • Welke maatregelen zijn er al genomen om het lek te dichten?
  • Welke impact heeft het lek op de betrokkenen?
  • Is het lek al gerapporteerd aan de betrokkenen zelf?

De AP wil weten: Het is belangrijk om hier snel en volledig op te reageren.

De AP houdt van duidelijkheid. Hoe meer informatie je geeft, hoe beter ze kunnen beoordelen of verder onderzoek nodig is.

De beslissing: onderzoek of afhandeling?

Nadat alle informatie binnen is, neemt de AP een beslissing. Er zijn grofweg drie uitkomsten:

1. Geen verder onderzoek nodig

Als het lek klein is, snel is gedicht en de impact op betrokkenen minimaal is, kan de AP besluiten om de zaak administratief af te handelen. Je krijgt een brief waarin staat dat de melding is verwerkt en dat er geen vervolgonderzoek komt. Voor jou is dit het einde van het verhaal, tenzij je natuurlijk zelf nog maatregelen moet nemen. Soms ziet de AP dat er structurele problemen zijn, maar dat er geen sprake is van een ernstige overtreding.

2. Een waarschuwing of advies

In dat geval kan de AP een waarschuwing geven of een advies uitbrengen. Dit is geen boete, maar wel een signaal dat je zaken beter moet regelen.

3. Een formeel onderzoek

Denk aan het verbeteren van je beveiligingsbeleid of het trainen van medewerkers.

Als de AP vermoedt dat er sprake is van een ernstige overtreding van de AVG, start er een formeel onderzoek. Dit gebeurt vaak bij grote datalekken waarbij veel persoonsgegevens zijn betrokken, zoals gevoelige medische data of financiële informatie. In dergelijke gevallen is het essentieel om te bepalen of je de betrokkenen moet informeren.

Hoe verloopt een formeel onderzoek?

Een formeel onderzoek door de AP is serieus. De toezichthouder krijgt dan extra bevoegdheden.

Wat kan de AP tijdens een onderzoek doen?

Ze kunnen documenten opvragen, systemen inzien en medewerkers horen. Dit proces kan maanden duren, soms wel een jaar of langer. De AP mag tijdens een onderzoek:

  • Bij jou op kantoor komen om systemen te inspecteren.
  • Documenten en e-mails opvragen.
  • Medewerkers (en soms ook klanten) interviewen.
  • Tijdelijke maatregelen opleggen, zoals het stopzetten van een bepaalde verwerking.

De AP werkt hierbij samen met de betrokken organisatie. Het is geen politieonderzoek, maar het is wel streng.

Je hebt als organisatie een medewerkingsplicht.

Het einde van het onderzoek: de uitkomst

Na afloop van het onderzoek doet de AP een uitspraak. Er zijn verschillende mogelijke uitkomsten:

Geen overtreding

De AP concludeert dat je je aan de regels hebt gehouden. Het onderzoek wordt gesloten zonder verdere maatregelen. De AP kan een boete opleggen als er een overtreding is vastgesteld.

Een last onder dwangsom

Dit is niet altijd direct een fikse geldboete. Soms is het een 'last onder dwangsom': je krijgt de opdracht om iets te verbeteren en als je dat niet doet, moet je een bedrag betalen.

Een bindende aanwijzing

De hoogte van de boete hangt af van de aard van de overtreding, de duur en het aantal betrokkenen. Dit is een officiële opdracht van de AP om bepaalde handelingen te stoppen of juist te starten. Je bent verplicht om hier gehoor aan te geven.

Hoe lang duurt dit allemaal?

De wettelijke termijn voor de AP om een melding te verwerken is 72 uur, maar dat is alleen voor de eerste beoordeling.

Een volledig onderzoek duurt veel langer. Gemiddeld kan een zaak bij de AP tussen de 6 en 18 maanden duren, afhankelijk van de complexiteit. Grote zaken, zoals die van grote techbedrijven, kunnen jaren duren.

Wat kun jij doen tijdens dit proces?

Terwijl de AP jouw zaak behandelt, zit je natuurlijk niet stil. Het is belangrijk om:

  • Je eigen onderzoek voort te zetten.
  • De betrokkenen te informeren als dat nog niet is gebeurd.
  • Maatregelen te nemen om herhaling te voorkomen.
  • Goed samen te werken met de AP. Wees transparant en eerlijk.

De AP waardeert het als organisaties meewerken en laten zien dat ze het serieus nemen.

Dit kan helpen bij de uiteindelijke beslissing.

Conclusie

Het melden van een datalek bij de Autoriteit Persoonsgegevens is pas het begin. De AP beoordeelt je melding zorgvuldig, van een snelle screening tot een eventueel langdurig onderzoek.

De uitkomst hangt af van de ernst van het lek en hoe je als organisatie reageert. Door open en volledig mee te werken, zorg je voor een zo soepel mogelijk proces. En onthoud: weten wanneer je een datalek moet melden is vervelend, maar het is ook een kans om je beveiliging te verbeteren.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →