Datalekken herkennen en melden

Welke boetes heeft de AP opgelegd voor te laat melden van datalekken?

Eva de Vries Eva de Vries
· · 6 min leestijd

Je kent het wel: die ene waarschuwing in je mailbox dat je wachtwoord is gewijzigd. Of erger: een bericht dat een bedrijf is gehackt.

Inhoudsopgave
  1. Waarom is melden zo belangrijk?
  2. De boete: een pijnlijke financiële tik
  3. Hoe de AP de boetes berekent
  4. Wat kun je zelf doen?
  5. Conclusie

Veel bedrijven hebben te maken met datalekken. Het gebeurt sneller dan je denkt.

Maar wat veel mensen niet weten, is dat het niet alleen gaat om het lek zelf. Het gaat vooral om de snelheid waarmee je het meldt. De Autoriteit Persoonsgegevens (AP) houdt hier scherp toezicht op.

En als je te laat bent, dan voel je dat in je portemonnee. In dit artikel lees je precies welke boetes de AP heeft opgelegd voor het te laat melden van datalekken en waarom die snelheid zo cruciaal is.

Waarom is melden zo belangrijk?

Stel je voor: er is een inbraak bij een bedrijf. Niet fysiek, maar digitaal.

Klantgegevens liggen op straat. Namen, adressen, misschien zelfs betalingsgegevens. De eerste zorg is natuurlijk om het lek te dichten.

Maar de tweede zorg is net zo belangrijk: de mensen informeren. In de Algemene Verordening Gegevensbescherming (AVG) staat een duidelijke regel.

Een datalek moet binnen 72 uur worden gemeld bij de AP. Die termijn is niet zomaar ingesteld. Het gaat om het beschermen van mensen. Hoe sneller een bedrijf melding maakt, hoe sneller mensen zich kunnen beschermen tegen misbruik.

Denk aan identiteitsfraude of oplichting. De AP controleert streng op naleving van deze termijn.

Het is niet alleen een advies; het is een wettelijke verplichting. En de toezichthouder laat zich niet onbetuigd. De afgelopen jaren heeft de AP laten zien dat het geen blaffende hond is die niet bijt.

Regelmatig worden boetes uitgedeeld aan organisaties die te laat zijn met melden.

Soms gaat het om uren te laat, soms om dagen. Maar altijd is het gevolg een financiële tik op de vingers.

De boete: een pijnlijke financiële tik

De boetes voor het te laat melden van een datalek kunnen flink oplopen. De hoogte van de boete hangt af van verschillende factoren.

Denk aan de ernst van het lek, het aantal mensen dat getroffen is en de mate van verwijtbaarheid.

Een bedrijf dat direct na het ontdekken van een lek melding maakt, maar door een technische fout net over de 72-uursgrens gaat, krijgt mogelijk een lagere boete dan een bedrijf dat bewust wacht met melden. Een van de bekendste voorbeelden is de boete aan een grote telecomprovider. In 2019 kreeg deze provider een boete van 250.000 euro. De reden?

Boetes per sector

Een datalek waarbij persoonsgegevens van duizenden klanten op straat lagen, maar de melding bij de AP was veel te laat. De provider had het lek ontdekt, maar wachtte te lang met het doorgeven aan de toezichthouder.

Het gevolg was een forse boete en een hoop negatieve publiciteit. Een ander voorbeeld is de boete aan een zorginstelling. In 2020 kreeg een zorgorganisatie een boete van 150.000 euro. Het lek ontstond door een fout in de beveiliging van een online portaal.

Patiëntgegevens waren toegankelijk voor onbevoegden. De zorginstelling had het lek snel ontdekt, maar de melding aan de AP werd pas veel later gedaan.

De AP vond dat de organisatie onvoldoende had gedaan om de schade te beperken en de meldplicht tijdig na te komen. De AP houdt niet alleen rekening met de grootte van het bedrijf, maar ook met de sector. Sectoren met gevoelige gegevens, zoals zorg en financiële dienstverlening, krijgen vaak hogere boetes.

  • Telecombedrijven
  • Zorginstellingen
  • Verzekeraars
  • Webshops
  • Uitzendbureaus

Dit komt omdat de impact van een datalek in deze sectoren groter is. Een lek bij een bank kan leiden tot financiële schade voor klanten, terwijl een lek in de zorg kan leiden tot schending van de privacy van patiënten.

De AP heeft in de afgelopen jaren boetes opgelegd aan verschillende sectoren. Zo zijn er boetes uitgedeeld aan: Elke sector heeft zijn eigen uitdagingen, maar de kern blijft hetzelfde: tijdig melden is essentieel.

Hoe de AP de boetes berekent

De AP hanteert een duidelijke methodiek voor het berekenen van boetes. Allereerst kijkt de toezichthouder naar de aard en ernst van de overtreding.

Een datalek waarbij gevoelige medische gegevens zijn gelekt, weegt zwaarder dan een lek waarbij alleen e-mailadressen zijn betrokken. Vervolgens wordt gekeken naar de duur van de overtreding.

Hoe langer een bedrijf te laat is met melden, hoe hoger de boete. Daarnaast speelt de mate van verwijtbaarheid een rol. Als een bedrijf had kunnen weten dat het lek ernstig was en toch niet tijdig meldde, wordt dat zwaar meegewogen. Tot slot kijkt de AP naar de financiële positie van het bedrijf.

Een kleine onderneming krijgt mogelijk een lagere boete dan een groot concern.

De impact van een boete op een bedrijf

Maar ondanks deze afwegingen, blijft de boete altijd een signaal dat de meldplicht serieus moet worden genomen. Een boete is meer dan alleen een financiële klap. Het kan ook reputatieschade opleveren.

Klanten vertrouwen een bedrijf minder snel als ze horen dat persoonsgegevens niet goed zijn beschermd. Bovendien kan een boete leiden tot extra kosten, zoals het inhuren van beveiligingsexperts of het aanpassen van systemen.

Veel bedrijven kiezen ervoor om proactief te handelen. Ze investeren in beveiliging en zorgen dat hun processen rondom datalekken op orde zijn.

Dit helpt niet alleen om boetes te voorkomen, maar ook om het vertrouwen van klanten te behouden.

Wat kun je zelf doen?

Ben je zelf ondernemer of verantwoordelijk voor de privacy bij een organisatie?

  • Ken de regels: Lees de AVG en zorg dat je weet wat de meldplicht inhoudt.
  • Maak een plan: Zorg voor een duidelijk stappenplan bij een datalek. Wie doet wat en wanneer?
  • Train je team: Zorg dat medewerkers weten hoe ze een datalek moeten herkennen en melden.
  • Test je systemen: Regelmatig testen van beveiliging helpt om lekken te voorkomen.
  • Documenteer alles: Houd bij hoe en wanneer een lek is ontdekt en gemeld.

Zorg dan dat je weet wat je moet doen bij een datalek. Hier zijn een paar praktische tips: Door de juiste datalek meldtermijn te hanteren, verklein je de kans op een boete en zorg je voor een betere bescherming van persoonsgegevens.

Conclusie

De Autoriteit Persoonsgegevens laat er geen gras over groeien: te laat melden van een datalek leidt tot boetes.

De afgelopen jaren zijn er verschillende boetes uitgedeeld, variërend van tienduizenden tot tonnen euro's. De hoogte hangt af van de ernst van het lek, de sector en de mate van verwijtbaarheid.

Het is duidelijk dat tijdig melden niet alleen een wettelijke verplichting is, maar ook een morele plicht. Bedrijven die serieus werk maken van privacybescherming, zijn beter af. Zij voorkomen boetes, behouden het vertrouwen van klanten en dragen bij aan een veiligere digitale wereld. Dus, als je een datalek ontdekt, wacht niet.

Meld het direct bij de AP en informeer de betrokkenen. Het is beter om te vroeg te melden dan te laat.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →