Datalekken herkennen en melden

Hoe maak je een intern datalek-protocol voor een klein bedrijf zonder IT-afdeling?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je werkt rustig achter je laptop, en opeens merk je iets geks.

Inhoudsopgave
  1. Waarom je nú moet beginnen met een datalek-protocol
  2. Stap 1: Wat heb je eigenlijk in huis? (Risicoanalyse)
  3. Stap 2: Wijs verantwoordelijkheden toe (ook zonder IT’er)
  4. Stap 3: De actieprocedure (wat te doen bij een lek)
  5. Stap 4: Training en bewustwording (de menselijke factor)
  6. Stap 5: Documenteren en testen
  7. Stap 6: AVG/GDPR compliance (de juridische kant)
  8. Conclusie: Jouw rust in storm

Een onbekend bestand, een vreemde pop-up of een collega die zegt: “Hey, is dit jouw e-mail?” Het kan zomaar betekenen dat je slachtoffer bent van een datalek. Voor grote bedrijven is dit soms vervelend, maar voor een klein bedrijf zonder een eigen IT-afdeling kan het een complete chaos betekenen. Toch hoef je geen tech-expert te zijn om hier goed op te anticiperen. Een goed datalek-protocol is je reddingsboei.

In dit artikel leg ik je in heldere taal uit hoe je zo’n protocol opzet, zonder ingewikkelde termen of dure consultants. Gewoon praktisch, direct en voor elkaar te krijgen.

Waarom je nú moet beginnen met een datalek-protocol

Denk je dat een datalek alleen overkomt bij de giganten als Google of Microsoft? Think again.

Kleine bedrijven zijn vaak een makkelijker doelwit omdat de beveiliging minder strak is. De impact is echter net zo groot. Een datalek kan leiden tot flinke boetes onder de AVG (GDPR), juridische rompslomp en een flinke deuk in je reputatie.

Klanten vertrouwen je niet meer als hun persoonlijke gegevens op straat liggen. Er is een oud rapport van Verizon dat nog steeds als een trein gaat: ongeveer 83% van de datalekken komt door menselijke fouten.

Dus niet door een hacker die via een spectaculaire hack je systeem binnenkomt, maar door een verkeerd doorgestuurde e-mail of een zwak wachtwoord.

Een protocol helpt niet alleen om te reageren als het misgaat, maar zorgt ook voor bewustwording. Het maakt je bedrijf weerbaarder en geeft je gemoedsrust.

Stap 1: Wat heb je eigenlijk in huis? (Risicoanalyse)

Voordat je een plan trekt, moet je weten welke schatten (en geheimen) je bewaart. Je hoeft geen ingewikkelde software te gebruiken; een simpel Excel-overzicht volstaat om te beginnen.

De gegevens inventariseren

Loop door je bedrijf heen en tel op welke data je hebt. Denk aan: Kijk vervolgens naar hoe je deze data opslaat. Gebruik je Excel-bestanden op een laptop zonder wachtwoord?

  • Klantgegevens: namen, adressen, e-mailadressen, telefoonnummers.
  • Financiële data: bankrekeningnummers, facturen, loonstrookjes.
  • Medewerkersdata: BSN-nummers, contracten, verzuimregistratie.
  • Bedrijfsgeheimen: offertes, strategieplannen, leverancierscontracten.

De kwetsbare plekken vinden

Bewaar je klantdata in de cloud via Google Workspace of Microsoft 365?

Stuur je persoonsgegevens per e-mail zonder versleuteling? Maak een lijstje van deze plekken. Een risicomatrix (hoog, midden, laag) helpt om prioriteiten te stellen. Wat is de kans dat het misgaat en hoe groot is de schade als het gebeurt? Dit hoeft geen perfect wetenschappelijk onderzoek te zijn; een inschatting is beter dan niets.

Stap 2: Wijs verantwoordelijkheden toe (ook zonder IT’er)

Zonder IT-afdeling betekent niet dat niemand verantwoordelijk is. Integendeel. Iedereen moet weten wat zijn of haar rol is als de brand alarm slaat.

  • De Datalekcoördinator: Dit is de persoon die het overzicht bewaart. Meestal is dit de eigenaar of een betrouwbare manager. Deze persoon besluit wat er gebeurt, wie er ingelicht moeten worden en houdt de tijdlijn in de gaten.
  • De Technische Vliegkeeper: Iemand met een beetje basis IT-kennis (vaak de “computerpersoon” op kantoor). Deze persoon kan simpele dingen doen zoals een wachtwoord resetten, een account blokkeren of een back-up terugzetten.
  • De Communicatieverantwoordelijke: Iemand die duidelijk en rustig kan praten. Deze persoon spreekt met betrokken medewerkers, klanten of eventuele toezichthouders.

Je hoeft geen formele functies te creëren, maar wijs taken toe op basis van wie wat kan. Leg deze rollen vast in een simpel document. Zorg dat iedereen weet wie ze moeten bellen als ze iets verdachts zien.

Stap 3: De actieprocedure (wat te doen bij een lek)

Als het eenmaal gebeurt, is paniek je grootste vijand. Daarom werk je met een vaste volgorde van handelen.

1. Detectie en Melden

Maak hiervan een checklist die je kunt uitprinten en ophangen. Medewerkers moeten weten dat ze direct moeten melden als ze iets verdachts zien. Geen “ik kijk morgen wel even”.

2. Beëindigen van het lek

Direct melden bij de Datalekcoördinator. Stop de bloeding.

3. Beperken van de schade

Is er een account gehackt? Wachtwoord direct wijzigen. Is er een virus? Trek de stekker uit de computer (of schakel internet uit). Is er een verkeerd gestuurde e-mail? Volg bij een datalek de stappen voor de eerste 24 uur.

4. Herstel en Back-up

Probeer deze terug te roepen (recall-functie) of vraag de ontvanger deze te verwijderen. Probeer te achterhalen welke data precies is gelekt.

Is het alleen een e-mailadres of ook een BSN-nummer? Dit bepaalt hoe ernstig het is. Maak een schatting van het aantal betrokkenen.

5. Rapportage en Meldplicht

Gebruik schone back-ups om verloren of beschadigde data terug te zetten. Test of het systeem weer veilig is voordat je het weer in gebruik neemt.

In Nederland moet je een datalek melden bij de Autoriteit Persoonsgegevens (AP) als er sprake is van een “risico voor de rechten en vrijheden van personen”. Doe dit binnen 72 uur nadat je het lek ontdekt hebt. Ook moet je de betrokkenen (bijv. klanten) informeren als het risico groot is.

6. Communicatieplan

Bedenk vooraf al hoe je communiceert. Wat zeg je tegen een boze klant?

Wat zeg je tegen je team? Houd het feitelijk, rustig en eerlijk. Geen excuses, maar oplossingen.

Stap 4: Training en bewustwording (de menselijke factor)

Je protocol werkt alleen als je mensen het snappen en toepassen. Je hoeft geen dagenlange trainingen te organiseren, maar houd korte, regelmatige sessies.

  • Phishing: Leer medewerkers om valse e-mails te herkennen. Test ze af en toe met een nep-phishingmail (er zijn tools voor zoals KnowBe4, maar je kunt ook zelf een testje bouwen).
  • Wachtwoorden: Gebruik sterke wachtwoorden en wissel ze regelmatig. Gebruik een wachtwoordmanager zoals 1Password of LastPass om het makkelijk te maken.
  • Schoon bureau beleid: Geen papiertjes met wachtwoorden op je bureau laten slingeren.

Een jaarlijkse check of een korte quiz helpt om de kennis scherp te houden.

Stap 5: Documenteren en testen

Schrijf alles op. Gebruik een simpel document of een sjabloon (er zijn veel gratis sjablonen te vinden voor datalek-protocollen). Dit document moet:

Test je protocol minimaal één keer per jaar. Doe een tafeloefening: “Stel, de laptop van Jan is gestolen met daarin klantgegevens. Wat doen we?” Doorloop de stappen.

  • De stappen bevatten die je moet zetten.
  • De contactgegevens bevatten van de verantwoordelijke personen.
  • De contactgegevens bevatten van externe hulp (bijv. een juridisch adviseur of een externe IT’er voor noodgevallen).

Wat loopt er stroef? Pas het protocol aan.

Het is beter om nu fouten te maken dan tijdens een echt incident.

Stap 6: AVG/GDPR compliance (de juridische kant)

De Algemene Verordening Gegevensbescherming (AVG) is streng, maar niet onoverkomelijk. Zorg dat je voldoet aan de basisprincipes:

  • Doelbinding: Verwerk alleen gegevens die je echt nodig hebt.
  • Minimale gegevens: Bewaar niet meer data dan nodig is.
  • Beveiliging: Zorg voor passende technische maatregelen (versleuteling, firewalls, updates).

Hoewel je geen DPO (Data Protection Officer) hoeft aan te stellen als je minder dan 250 medewerkers hebt (tenzij je gevoelige data verwerkt op grote schaal), is het verstandig om iemand aan te wijzen die de privacytaken op zich neemt. Overweeg juridisch advies in te winnen om je protocol te laten toetsen. De boetes voor het niet melden van een lek kunnen oplopen tot 4% van de jaaromset of 20 miljoen euro, dus zorg dat jouw bedrijf voorbereid is op een datalek in 2026 en neem dit serieus.

Conclusie: Jouw rust in storm

Een datalek-protocol opzetten zonder IT-afdeling is niet alleen mogelijk, het is essentieel. Het draait allemaal om structuur, bewustzijn en eenvoud. Door je data in kaart te brengen, rollen toe te wijzen en je medewerkers te trainen in het herkennen van datalekken, ben je niet meer afhankelijk van technische kennis alleen.

Je creëert een cultuur waarin iedereen weet wat te doen. Dus, pak vandaag nog een notitieblok, start met inventariseren en zet die eerste stap.

Je bedrijf, je klanten en je gemoedsrust zullen je dankbaar zijn.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →