Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap

Een datalek, het overkomt je hopelijk nooit, maar als het gebeurt, telt elke seconde.

In 2026 is de privacywetgeving strenger dan ooit en de procedures verfijnd. Het niet (goed) melden van een lek kan je organisatie een boete opleveren die je liever niet op je bordje krijgt.

Geen paniek, maar wel actie. In dit artikel lees je precies hoe je een datalek correct en tijdig meldt bij de Autoriteit Persoonsgegevens (AP), in helder Nederlands en zonder ingewikkelde juridisch jargon.

Wanneer is er sprake van een datalek?

Een datalek is simpelweg een beveiligingsincident waarbij persoonsgegevens zijn blootgesteld, verloren geraakt of gestolen. Denk aan een gehackte klantenlijst, een verloren laptop of een e-mail naar de verkeerde ontvanger. In 2026 wordt de meldplicht nog specifieker.

Je moet melden als er een significant risico is voor de rechten en vrijheden van betrokkenen.

De kernvraag is dus: is er echt gevaar? Om organisaties hierbij te helpen, introduceert de AP in 2026 een nieuwe tool: de Risico-Indicatie Tool (RIT).

Deze online tool helpt je om snel in te schatten of jouw incident een meldplichtig datalek is. Het is een soort digitale checklist die je stap voor stap door de risicoanalyse loodst.

Stap 1: De juiste voorbereiding (Incident Response)

Voordat je überhaupt aan melden denkt, moet je weten wat te doen. Een datalek oplossen zonder plan is als brand blussen zonder blusser.

Je hebt een Incident Response Procedure (IRP) nodig. Dit is je reddingsplan.

• Ontdekking: Hoe merk je het lek op? Automatisch of via een tip?
• Beperking: Hoe stop je de lekkage direct? Denk aan servers uitzetten, wachtwoorden resetten.
• Herstel: Hoe zet je de boel weer veilig terug?
• Communicatie: Wie vertel je wat en wanneer?
• Analyse: Hoe voorkom je dat dit nog een keer gebeurt?

Een goede IRP bevat: Zonder dit plan loop je achter de feiten aan en dat is precies wat de AP niet wil zien. De Privacy Officer (of DPO) is de spil in deze fase.

De rol van de Privacy Officer

In 2026 legt de AP meer nadruk op de proactieve rol van deze functionaris. Hij of zij moet niet alleen waken over de regels, maar ook toezien op een Privacy Impact Assessment (PIA) bij nieuwe projecten. Zo worden risico’s al in de ontwerpfase uitgesloten.

Stap 2: Interne melding en documentatie

Voordat je de AP belt, moet je intern schakelen. Het datalek moet direct gemeld worden bij de directie en de Privacy Officer.

Het is cruciaal om alles te documenteren: datum, tijd, wat er precies is gelekt en welke maatregelen je al hebt genomen. Weet je niet zeker of er sprake is van een datalek met een meldplicht? Documenteer dan in ieder geval je afweging.

Waarom zo gedetailleerd? Omdat de AP dit later exact wil weten. Een slordig intern verslag zorgt voor argwaan. Zorg dat je feiten op een rij hebt voordat je het meldformulier opent.

Stap 3: De melding bij de Autoriteit Persoonsgegevens

De tijd tikt. Je hebt vanaf het moment van ontdekking 72 uur de tijd om de AP te informeren.

In 2026 gebruikt de AP een nieuw, gestandaardiseerd meldformulier in hun digitale loket. Dit werkt volgens een ‘One-Stop-Shop’ model, wat inhoudt dat je alle info in één keer goed aanlevert.

• Organisatiegegevens: Naam, contactpersoon, KvK-nummer.
• Beschrijving van het lek: Hoe is het ontdekt? Wat is er precies gebeurd?
• Type gegevens: Namen, adressen, burgerservicenummers (BSN), of bijzondere gegevens zoals gezondheidsdata?
• Aantal betrokkenen: Hoeveel mensen zijn getroffen? (Denk aan 10 of 10.000, dit maakt verschil).
• Oorzaak: Een technische fout, menselijke fout of een aanval?
• Maatregelen: Wat heb je al gedaan om de schade te beperken?
• Risico-inschatting: Gebruik hier de RIT voor om aan te tonen of er een significant risico is.

Wat moet je invullen? Let op: ook als je na 72 uur nog niet alles weet, meld je het lek al. Je kunt later aanvullen. Wachten tot je alles weet, is een grove fout.

Stap 4: Het onderzoek door de AP

Nadat je de melding hebt verstuurd, begint het werk pas echt. De AP beoordeelt je melding.

In 2026 heeft de AP meer bevoegdheden gekregen om digitaal onderzoek te doen. Ze kunnen vragen om logbestanden, interviews willen met medewerkers of zelfs een bezoek brengen aan je kantoor. De AP kijkt of je voldoende maatregelen hebt genomen. Was je voorbereid?

Was je IRP op orde? Als de AP vindt dat je nalatig bent geweest, kunnen ze een administratieve boete opleggen.

In 2026 kan deze oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Een serieus bedrag dat je organisatie kan raken.

Stap 5: Communicatie met de betrokkenen

Naast de melding aan de AP, moet je in bepaalde gevallen ook de betrokkenen zelf informeren over het datalek.

Dit is verplicht als het risico voor hun persoonlijke situatie groot is. Denk aan identiteitsfraude of financiële schade. De communicatie moet helder en begrijpelijk zijn.

Geen juridisch geneuzel, maar duidelijke taal. In 2026 verwacht de AP dat organisaties proactief zijn.

Wacht niet tot de betrokkene zelf achterdochtig wordt, maar informeer ze actief over wat er is gebeurd en wat ze kunnen doen om zich te beschermen (bijvoorbeeld hun wachtwoorden wijzigen of een melding doen bij de bank).

Tip: Houd je privacyverklaring up-to-date. Transparantie bouwt vertrouwen op, zelfs na een incident.

Conclusie: Wees voorbereid

Het tijdig melden van een datalek bij de Autoriteit Persoonsgegevens in 2026 is een secuur proces dat om snelheid en precisie vraagt. Door een sterke Incident Response Procedure te hebben, intern goed te schakelen en de melding zorgvuldig in te vullen, beperk je de schade voor je organisatie én voor de betrokkenen.

Gebruik de nieuwe Risico-Indicatie Tool, houd de 72-uursgrens in de gaten en communiceer helder.

Zo blijf je niet alleen compliant, maar bescherm je ook je reputatie.