Datalekken herkennen en melden

Wat is het verschil tussen een beveiligingsincident en een meldplichtig datalek?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je werkt op kantoor, pakt een koffie en als je terugkomt op je scherm zie je een waarschuwing. Iets klopt niet.

Inhoudsopgave
  1. Wat is een beveiligingsincident?
  2. Wat is een (meldplichtig) datalek?
  3. De cruciale verschillen op een rij
  4. Wanneer moet je melden? De 72-uursregel
  5. Preventie en aanpak: hoe bescherm je jezelf?
  6. Conclusie

Misschien is je computer traag, of heb je een verdachte e-mail geopend. Je hartslag gaat iets omhoog. Is dit nu een beveiligingsincident? Of gaat het hier om een datalek waar je de overheid over moet informeren?

Het zijn termen die we vaak door elkaar gebruiken, maar in de wereld van cybersecurity en privacywetgeving maken ze een wereld van verschil. In dit artikel leg ik je, in helder Nederlands, precies uit wat het verschil is, waarom het belangrijk is en wat jij moet weten voor je eigen bedrijf of organisatie.

Wat is een beveiligingsincident?

Een beveiligingsincident is een brede term. Je kunt het zien als een paraplu die over allerlei soorten problemen met beveiliging wordt gespannen.

Simpel gezegd: het is elke ongewenste of ongeautoriseerde gebeurtenis die de veiligheid van je systemen of data bedreigt. Denk hierbij niet alleen aan hackers die inbreken via de achterdeur.

Veelvoorkomende soorten incidenten

  • Malware en ransomware: Denk aan virussen of de beruchte WannaCry-aanval van 2017, die computers wereldwijd lamlegde. Als schadelijke software je systemen infecteert, is dat een incident.
  • Phishing: Medewerkers die per ongeluk op een link klikken in een nepmail, waardoor inloggegevens worden gestolen. Volgens onderzoek (zoals het Verizon DBIR) is dit nog steeds een topoorzaak van problemen.
  • Insider threats: Een werknemer die per ongeluk (of expres) belangrijke bestanden wist of naar een USB-stick kopieert.
  • DDoS-aanvallen: Een aanval die je website of netwerk overlaadt met verkeer, zodat deze niet meer bereikbaar is voor echte klanten.
  • Ongeautoriseerde toegang: Iemand die inbreekt in een systeem zonder dat die persoon daar toegang toe heeft.

Een beveiligingsincident kan veel vormen aannemen: Belangrijk om te onthouden: een beveiligingsincident betekent niet automatisch dat er data is gestolen. Het kan bijvoorbeeld ook gaan om een tijdelijke systeemstoring. Het is een incident zodra de beveiliging in het geding is, ongeacht de uitkomst.

Wat is een (meldplichtig) datalek?

Hier wordt het specifieker. Een datalek is een subtype van een beveiligingsincident, maar met een duidelijke focus: persoonsgegevens.

Volgens de Algemene Verordening Gegevensbescherming (AVG) is een datalek een inbreuk op de beveiliging van persoonsgegevens. Dit kan leiden tot (mogelijke) schade bij mensen, zoals identiteitsfraude of schending van hun privacy. De AVG definieert het als een "ongeoorloofde of ongelukkige vernietiging, verlies, wijziging of vrijgave van persoonsgegevens".

Voorbeelden van datalekken

  • Verlies van apparatuur: Een laptop of USB-stick met klantgegevens die in de trein wordt achtergelaten of gestolen.
  • Versturen naar verkeerde ontvanger: Een e-mail met gevoelige bijlagen versturen naar de verkeerde persoon (bijvoorbeeld door een tikfout in het e-mailadres).
  • Gegevens op straat: Een database die per ongeluk openbaar wordt gezet op internet, bijvoorbeeld door een foutieve serverinstelling.
  • Ransomware met datadiefstal: Niet alleen het versleutelen van data (een incident), maar ook het buitmaken van persoonsgegevens door criminelen (een datalek).

Een datalek is dus altijd een beveiligingsincident, maar een beveiligingsincident is niet altijd een datalek.

Als je website door een DDoS-aanval platligt maar er worden geen persoonsgegevens geraakt, is het een incident, maar geen datalek.

De cruciale verschillen op een rij

Om het verschil scherp te krijgen, kijken we naar de kern van de zaak: wat is er precies aan de hand en wat is de impact? Bij een beveiligingsincident ligt de focus op de techniek en de bedrijfscontinuïteit.

De focus: systeem vs. persoon

Is het systeem nog beschikbaar? Is de integriteit van de data nog okay? Bij een datalek draait het om de privacy van de betrokkene.

De vereisten

Is er persoonsgegevens vrijgekomen die niet vrij had mogen komen? Voor een beveiligingsincident hoef je geen persoonsgegevens te verliezen.

Vergelijkingstabel

Een computervirus dat je productieproces stillegt, is al een incident. Voor een meldplichtig datalek moet er daadwerkelijk sprake zijn van het vrijkomen, verlies of stelen van persoonsgegevens. Hieronder een snel overzicht om de verschillen helder te maken: Zoals je ziet: elk datalek is een beveiligingsincident, maar niet elk incident is een datalek. Het onderscheid zit hem in de aard van de data die geraakt wordt.

Kenmerk Beveiligingsincident Datalek
Definitie Een ongeautoriseerde gebeurtenis die de beveiliging van systemen raakt. Een inbreuk op de beveiliging van persoonsgegevens (verlies, diefstal of vrijgave).
Focus Techniek, beschikbaarheid en bedrijfsvoering. Privacy van de betrokkene en bescherming van data.
Voorwaarde Persoonsgegevens hoeven niet betrokken te zijn. Persoonsgegevens moeten wel betrokken zijn.
Voorbeeld Een website is 2 uur niet bereikbaar door een aanval. Adressenlijst van klanten gelekt via een onveilige website.

Wanneer moet je melden? De 72-uursregel

Als organisatie mag je best een beveiligingsincident hebben. Dat gebeurt de beste bedrijven.

Maar zodra een incident kwalificeert als een datalek, verandert er iets belangrijks: de meldplicht.

Wat telt als persoonsgegevens?

De AVG stelt strenge eisen. Als er persoonsgegevens zijn gelekt, moet je dit melden bij de Autoriteit Persoonsgegevens (AP). Dit moet gebeuren binnen 72 uur nadat je het datalek heeft ontdekt.

  • Namen en adressen
  • E-mailadressen en telefoonnummers
  • Geboortedata
  • IP-adressen (in sommige gevallen)
  • Bankrekeningnummers

Ja, je leest het goed: 72 uur. Dat klinkt kort, en dat is het ook.

Wanneer hoef je niet te melden?

De term "persoonsgegevens" is breder dan veel mensen denken. Het gaat niet alleen om burgerservicenummers (BSN) of medische dossiers. Denk ook aan: Als deze gegevens op straat komen te liggen door een lek, start de teller van 72 uur. Er is een uitzondering.

Als het datalek geen risico oplevert voor de privacy van de betrokkenen, hoef je het niet te melden bij de AP.

Een voorbeeld: een datalek door een verkeerd verstuurde e-mail naar een collega in plaats van een klant, waarbij geen gevoelige data in de bijlage zat. Of een versleutelde bestandsmap die is gevonden, waarvan de encryptie onbreekbaar is. Maar wees voorzichtig: de bewijslast ligt bij jou als organisatie.

Naast de melding aan de AP, kan het ook nodig zijn om de betrokkenen zelf te informeren. Dit is verplicht als het datalek een hoog risico inhoudt voor hun rechten en vrijheden. Denk aan identiteitsfraude of financiële schade.

Preventie en aanpak: hoe bescherm je jezelf?

Het beste scenario is natuurlijk helemaal geen incident hebben. Hoewel 100% veiligheid niet bestaat, kun je de kans op een datalek wel verkleinen.

Technische maatregelen

  • Firewalls en antivirus: Zorg voor een goede basisbeveiliging van je netwerk.
  • Updates en patches: Houd je software up-to-date. Oude systemen zijn vaak de zwakste schakel.
  • Encryptie: Versleutel data die je opslaat (in rust) en data die je verstuurt (in transit).
  • Toegangscontrole: Geef medewerkers alleen toegang tot de data die ze echt nodig hebben (need-to-know-principe).

Organisatorische maatregelen

  • Training: Leer je medewerkers phishing herkennen. Een simpele klik kan een groot lek veroorzaken.
  • Incident response plan: Heb een plan klaarliggen voor als het misgaat. Wie belt wie? Hoe schakel je experts in?
  • Back-ups: Zorg voor regelmatige back-ups die offline staan, zodat je niet ontvankelijk bent voor ransomware.

De kosten van een datalek

Hier zijn praktische maatregelen die je direct kunt toepassen: Waarom zou je hier tijd in investeren?

De gevolgen van een datalek kunnen enorm zijn. Naast reputatieschade en het verlies van klantvertrouwen, zijn er de financiële kosten. Denk aan boetes van de Autoriteit Persoonsgegevens, die kunnen oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen euro (het hoogste bedrag). Maar ook de interne kosten voor het opruimen van de rotzooi, juridische hulp en communicatie naar klanten lopen snel op.

Volgens diverse cybersecurity-rapportages kost een datalek een gemiddeld MKB-bedrijf al snel tienduizenden euro's.

Een goede beveiliging is dus geen kostenpost, maar een investering in continuïteit.

Conclusie

Het onderscheid tussen een beveiligingsincident en een meldplichtig datalek is helder: een incident gaat over de veiligheid van systemen, een datalek gaat over de veiligheid van persoonsgegevens. Als er persoonsgegevens op het spel staan, verandert een incident in een situatie waarbij je een datalek moet melden met strakke deadlines.

Door alert te zijn, goede technische maatregelen te nemen en je medewerkers te trainen, verlaag je niet alleen de kans op een lek, maar ben je er ook beter op voorbereid als het toch gebeurt.

Want als je weet wat het verschil is, weet je ook precies wat je moet doen. En dat geeft rust in een digitale wereld die soms voelt als een wildwest.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →