Wanneer is iets een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens (art. 4 lid 12 AVG): vernietiging, verlies, wijziging of ongeoorloofde verstrekking/toegang. Voorbeelden: gestolen laptop, hack van database, verkeerde geadresseerde van e-mail, ransomware. Een interne medewerker die per ongeluk gegevens van collega's ziet die niet voor hem bestemd zijn, kan ook een datalek zijn.

Moet ik elk datalek melden bij de AP?

Nee, alleen datalekken die waarschijnlijk een risico voor betrokkenen opleveren moeten binnen 72 uur worden gemeld. Bij een verloren usb-stick met versleutelde gegevens en sterk wachtwoord is het risico bijvoorbeeld zeer beperkt; melding kan achterwege blijven. Bij twijfel adviseert de AP wel te melden, maar je moet de afweging documenteren in je incidentenregister.

Wat als ik de 72-uurstermijn niet haal?

Je moet alsnog melden, maar de vertraging in je melding motiveren (art. 33 lid 1 AVG slotzin). De 72-uur loopt vanaf het moment van ontdekking, dus niet vanaf het moment dat je het volledig hebt geanalyseerd. Een voorlopige melding op basis van de op dat moment beschikbare informatie is toegestaan en wordt door de AP aangemoedigd boven een te late maar volledige melding.

Wat moet er in het incidentenregister staan?

Per datalek: datum ontdekking, gegevenscategorie, aantal betrokkenen, oorzaak, getroffen maatregelen, uitkomst risicobeoordeling, eventuele meldingen aan AP en betrokkenen. Het register is intern en hoeft niet gepubliceerd te worden, maar moet wel op verzoek van de AP overlegd kunnen worden. Bewaartermijn is minimaal 5 jaar.

Geldt de meldplicht ook voor mijn ICT-leverancier?

Ja, op grond van art. 33 lid 2 AVG moet een verwerker (zoals een hosting-leverancier of SaaS-aanbieder) een datalek onverwijld melden aan de verwerkingsverantwoordelijke. Deze meldverplichting wordt contractueel vastgelegd in de verwerkersovereenkomst (VWO), met een expliciete termijn van bijvoorbeeld 24 uur en de informatie die de verwerker moet aanleveren.

Moet ik betrokkenen ook informeren bij een gemeld datalek?

Alleen wanneer het datalek waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen oplevert (art. 34 AVG). Bij een gewone "risicovolle" melding aan de AP hoef je betrokkenen niet apart te informeren. Bij hoge risico's (bijv. lekken van bankgegevens, gezondheidsgegevens, BSN) moet je betrokkenen zo snel mogelijk in begrijpelijke taal informeren met praktische adviezen.

Hoe vaak moet ik mijn datalekprotocol evalueren?

De AVG schrijft geen vaste frequentie voor, maar best practice is jaarlijks te evalueren en altijd na een groot incident. Bij elk datalek voer je een lessons-learned uit: was de detectie op tijd? Werkten de meldkanalen? Was de respons effectief? Verbeteracties leg je vast en verwerkt je in een nieuwe versie van het protocol.

Wat is het verschil tussen FG en AVG-coördinator?

Een Functionaris Gegevensbescherming (FG) is een wettelijke functie die verplicht is voor overheidsorganisaties en organisaties die op grote schaal bijzondere gegevens verwerken (art. 37 AVG). De FG heeft strenge onafhankelijkheidsvereisten en moet bij de AP worden gemeld. Een AVG-coördinator is een interne aanspreekpunt zonder wettelijke status — zinvol voor kleinere organisaties die geen FG verplicht zijn maar wel structuur willen.

AVG & PrivacyNederland

Gratis datalekprotocol sjabloon voor Nederland

Een datalek moet binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld als er een risico is voor betrokkenen. Met dit datalekprotocol leg je vast hoe je organisatie datalekken detecteert, beoordeelt, meldt en registreert — conform AVG art. 33 en 34. Klaar om als PDF te downloaden.

Create Your Datalekprotocol AVG

Free to useInstant PDFNo account required

DATALEKPROTOCOL

Praktijk Welzijn B.V. — AVG Art. 33–34 · Versie 2.1

ORGANISATIE EN FUNCTIONARIS

VERWERKINGSVERANTWOORDELIJKE	Praktijk Welzijn B.V.
KVK-NUMMER	34567890
FUNCTIONARIS GEGEVENSBESCHERMING	Mw. J. de Bruin
E-MAIL FG	fg@praktijkwelzijn.nl
TELEFOON FG	+31 20 555 1234
VERSIE / INGANGSDATUM	2.1 · 1 mei 2026

Dit datalekprotocol beschrijft hoe Praktijk Welzijn B.V. (hierna: "de organisatie") omgaat met (potentiële) datalekken in de zin van art. 4 lid 12 AVG. Het protocol borgt de naleving van de meldplicht aan de Autoriteit Persoonsgegevens (AP) binnen 72 uur (art. 33 AVG) en de mededeling aan betrokkenen wanneer een datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden (art. 34 AVG).

DEFINITIE EN REIKWIJDTE

Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (art. 4 lid 12 AVG).

Voorbeelden: verlies van een laptop met klantgegevens, hacking van een database, verkeerde geadresseerde van een e-mail met persoonsgegevens, ransomware-besmetting met versleuteling van persoonsgegevens, kwijtraken van een usb-stick.

DETECTIE EN MELDING INTERN

2.1 Iedere medewerker, ingehuurde kracht of verwerker die kennis krijgt van een (mogelijk) datalek, meldt dit onmiddellijk via: fg@praktijkwelzijn.nl, telefonisch via +31 20 555 1234, of via het interne incidentenformulier op het intranet (24/7 beschikbaar).

2.2 Detectie verloopt via (i) automatische monitoring van toegangslogs en endpoint-detection systemen die de IT-leverancier 24/7 bewaakt, (ii) interne meldingen door medewerkers, (iii) klachten van klanten of derden. Verdachte signalen worden binnen 1 uur geverifieerd.

2.3 De FG of (bij afwezigheid) de IT-coördinator opent een incidentenregister en start de beoordeling binnen 4 uur na de melding.

BEOORDELING RISICO

3.1 Voor elk gemeld incident wordt een risicobeoordeling uitgevoerd. Beoordelingscriteria:
Beoordeling vindt plaats aan de hand van de WP29-richtlijnen voor datalekken (WP250rev.01) en het AP-beleid: gegevenscategorieën, aantal betrokkenen, kwetsbaarheid van betrokkenen (bijv. minderjarigen), kans op identiteitsdiefstal, financiële schade en reputatieschade.

3.2 Bij de beoordeling worden in elk geval de volgende factoren meegewogen:

Aard, gevoeligheid en omvang van de betrokken persoonsgegevens (bijv. BSN, gezondheidsgegevens, bankgegevens);
Aantal getroffen betrokkenen;
Identificeerbaarheid van betrokkenen via gelekte data;
Ernst van mogelijke gevolgen (financieel verlies, reputatieschade, identiteitsdiefstal);
Of er sprake is van vertrouwelijke gegevens (art. 9 of 10 AVG bijzondere categorieën).

3.3 De uitkomst wordt vastgelegd: geen risico (geen meldplicht), laag risico (alleen registreren) of hoog risico (mededeling betrokkenen verplicht).

MELDING AAN AUTORITEIT PERSOONSGEGEVENS

4.1 Indien het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, meldt de organisatie het datalek binnen 72 uur na ontdekking aan de AP via het meldformulier op autoriteitpersoonsgegevens.nl (art. 33 lid 1 AVG).

4.2 Termijnregeling: Melding aan de AP geschiedt binnen 72 uur na ontdekking. Bij twijfel over meldingsplicht wordt de melding op tijd ingediend met de status "voorlopig", die binnen 14 dagen wordt aangevuld met de definitieve bevindingen..

4.3 De melding bevat ten minste:

Aard van het datalek (gegevenscategorieën, aantal betrokkenen, aantal records);
Naam en contactgegevens van de FG;
Waarschijnlijke gevolgen van het datalek;
Genomen of voorgestelde maatregelen om de gevolgen te beperken.

4.4 Indien de 72-uurstermijn niet wordt gehaald, wordt de vertraging gemotiveerd in de melding (art. 33 lid 1 AVG, slotzin).

MEDEDELING AAN BETROKKENEN

5.1 Indien het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, worden zij onverwijld geïnformeerd in duidelijke en eenvoudige taal (art. 34 AVG).

5.2 Termijnregeling betrokkenen: Mededeling aan betrokkenen volgt zo spoedig mogelijk en uiterlijk 7 werkdagen na vaststelling van het hoge risico, schriftelijk of per e-mail in begrijpelijke taal, met concrete handelingsadviezen (bijv. wachtwoord wijzigen)..

5.3 De mededeling bevat een omschrijving van de aard van het datalek, contactgegevens van de FG, de waarschijnlijke gevolgen en de getroffen maatregelen.

5.4 Mededeling kan achterwege blijven indien (art. 34 lid 3 AVG): de organisatie passende technische maatregelen heeft getroffen die de gegevens onbegrijpelijk maakten (zoals encryptie); maatregelen het hoge risico inmiddels hebben weggenomen; of een individuele kennisgeving onevenredig veel inspanning zou kosten — in dat geval volgt een openbare mededeling.

REGISTRATIE EN INCIDENTENREGISTER

6.1 Alle datalekken — meldenswaardig of niet — worden vastgelegd in het interne incidentenregister, conform de documentatieplicht van art. 33 lid 5 AVG.

6.2 Locatie register: Het incidentenregister wordt elektronisch bijgehouden in het AVG-portaal van de organisatie en is alleen toegankelijk voor de FG, het bestuur en (op aanvraag) de IT-coördinator. Back-up wordt dagelijks gemaakt en versleuteld bewaard..

6.3 Het register bevat per datalek: datum ontdekking, betrokken gegevens, aantal betrokkenen, oorzaak, getroffen maatregelen, beoordeling risico, eventuele meldingen aan AP/betrokkenen.

6.4 Het register wordt bij audits en bij toetsing door de AP overlegd.

VERWERKERS EN EXTERNE PARTIJEN

De volgende verwerkers verwerken persoonsgegevens namens de organisatie en zijn contractueel verplicht datalekken binnen 24 uur te melden: hostingleverancier (IT Solutions B.V.), salarisadministratie (Payroll Direct), e-mailmarketing (Mailcamp).

Verwerkers zijn op grond van art. 33 lid 2 AVG verplicht een datalek onverwijld aan de organisatie als verwerkingsverantwoordelijke te melden. Deze meldplicht wordt contractueel vastgelegd in de verwerkersovereenkomst, met expliciete termijn (vaak 24 uur) en de te leveren informatie.

TRAINING EN BEWUSTWORDING

Alle medewerkers volgen jaarlijks een verplichte e-learning over AVG en datalekken. Nieuwe medewerkers ontvangen de training in week 1 van het dienstverband. Tweemaal per jaar voert de organisatie een phishing-simulatie uit als awareness-test.

Periodieke training waarborgt dat medewerkers datalekken herkennen en correct melden. Awareness wordt jaarlijks geverifieerd via interne audits of phishing-simulaties.

EVALUATIE EN HERZIENING

Het protocol wordt jaarlijks geëvalueerd in december en bij elk groot incident. Wijzigingen worden vastgesteld door het bestuur na advies van de FG en gecommuniceerd via een nieuwsbrief aan alle medewerkers.

Bij elk gemeld datalek wordt een lessons-learned opgesteld waarin oorzaak, snelheid van detectie en effectiviteit van de respons worden geanalyseerd. Verbeteracties worden vastgelegd en opgenomen in het kwaliteitssysteem.

10.

BOETES EN AANSPRAKELIJKHEID

7.1 Het niet (tijdig) melden van een datalek kan op grond van art. 83 lid 4 sub a AVG worden bestraft met een boete tot € 10 miljoen of 2% van de wereldwijde jaaromzet (de hoogste).

7.2 Daarnaast kunnen betrokkenen schadevergoeding eisen op grond van art. 82 AVG.

7.3 Het strikte naleven van dit protocol vormt een belangrijk onderdeel van het verantwoordingsplicht (art. 5 lid 2 AVG) en is een mitigerende factor bij eventuele handhaving door de AP.

11.

INWERKINGTREDING

Dit protocol treedt in werking op 1 mei 2026 en blijft van kracht tot een herziene versie wordt vastgesteld. De FG is verantwoordelijk voor naleving en periodieke evaluatie.

BESTUUR

Praktijk Welzijn B.V.

Datum: ____________________

FUNCTIONARIS GEGEVENSBESCHERMING

Mw. J. de Bruin

Datum: ____________________

Wat is een datalekprotocol?

Een datalekprotocol is een interne procedure die beschrijft hoe je organisatie omgaat met (mogelijke) datalekken. Onder de AVG (art. 4 lid 12) is een datalek een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens. Klassieke voorbeelden zijn een gestolen laptop, een hack van je klantendatabase, een verkeerd geadresseerde e-mail met persoonsgegevens of een ransomware-aanval.

Het protocol borgt de naleving van twee cruciale verplichtingen: de meldplicht aan de Autoriteit Persoonsgegevens binnen 72 uur (art. 33 AVG) wanneer er een risico is voor betrokkenen, en de mededeling aan de betrokkenen zelf (art. 34 AVG) wanneer het risico hoog is. Daarnaast verplicht art. 33 lid 5 AVG je om elk datalek — meldenswaardig of niet — vast te leggen in een intern incidentenregister, dat door de AP kan worden opgevraagd bij toezicht.

Een goed datalekprotocol is meer dan een formaliteit: het is je belangrijkste praktische verdedigingslinie bij een incident. Het verkort detectietijd, voorkomt paniekreacties, zorgt dat de juiste mensen worden ingeschakeld en levert binnen 72 uur de juiste informatie aan de AP. Bij een AP-onderzoek kijkt de toezichthouder eerst naar je protocol en je incidentenregister; ontbreken deze, dan loop je een aanzienlijk hoger boete-risico (tot € 10 miljoen of 2% van de wereldwijde jaaromzet, art. 83 AVG).

Wat omvat dit sjabloon

Het Doxuno datalekprotocol-sjabloon dekt alle onderdelen die de AVG vereist en die de AP in haar handleiding voor verwerkingsverantwoordelijken adviseert.

Definitie datalek

AVG art. 4 lid 12 met praktische voorbeelden

Meldkanalen intern

Hoe medewerkers (mogelijke) datalekken melden — 24/7 bereikbaar

Detectieprocedure

Automatische monitoring, interne meldingen, externe signalen

Risicobeoordeling

Criteria voor laag, gemiddeld of hoog risico per WP250-richtlijn

Melding AP (72-uur)

Procedure en inhoud van de melding aan de AP

Mededeling betrokkenen

Wanneer en hoe betrokkenen worden geïnformeerd (art. 34 AVG)

Incidentenregister

Documentatieplicht art. 33 lid 5 AVG, toegankelijk voor AP

Verwerkers

Meldverplichting verwerkers (art. 33 lid 2 AVG) en VWO-clausule

Training en awareness

Periodieke e-learning en phishing-simulaties

Evaluatie en herziening

Frequentie van protocolherziening en lessons learned

Boetes en aansprakelijkheid

Risico's bij niet (tijdig) melden — tot € 10 mln of 2% omzet

Inwerkingtreding

Versiebeheer, ingangsdatum en goedkeuring bestuur en FG

Hoe stel je een datalekprotocol op

Volg de onderstaande stappen om je datalekprotocol AVG-proof te maken.

1
Wijs een Functionaris Gegevensbescherming of contactpersoon AVG aan
De FG (verplicht voor overheidsorganisaties en organisaties die op grote schaal bijzondere gegevens verwerken — art. 37 AVG) of een interne AVG-coördinator is verantwoordelijk voor het protocol en de uitvoering. Leg naam, bereikbaarheid en bevoegdheden vast in het protocol zodat iedere medewerker weet bij wie te melden.
2
Definieer interne meldkanalen
Zorg dat medewerkers 24/7 een datalek kunnen melden — via e-mail, telefoon en/of een intranetformulier. Maak duidelijk dat ook vermoedens van een datalek gemeld moeten worden; achteraf blijkt dat veel meldingen vals alarm zijn, maar één gemiste echte melding kan rampzalig zijn voor de meldtermijn.
3
Stel beoordelingscriteria op voor risico
Niet elk incident is een datalek dat aan de AP gemeld moet worden. Volg de WP250-richtlijnen: weeg gegevenscategorie (BSN, gezondheid, kinderdata zijn extra gevoelig), aantal betrokkenen, kans op identiteitsdiefstal en mogelijke schade. Bij twijfel: melden — de AP staat positief tegenover voorzichtige meldingen, maar niet tegenover gemiste meldingen.
4
Werk het 72-uurproces uit
Beschrijf wie verantwoordelijk is voor de melding aan de AP, welke informatie wordt verzameld (gegevenscategorieën, aantal betrokkenen, gevolgen, getroffen maatregelen) en hoe een voorlopige melding kan worden ingediend wanneer informatie nog ontbreekt. De 72-uurstermijn loopt vanaf het moment van ontdekking, niet vanaf bevestiging.
5
Richt het incidentenregister in
Op grond van art. 33 lid 5 AVG moet je elk datalek vastleggen — ook als het niet gemeld wordt. Zorg voor een digitaal register met datum, gegevenscategorie, aantal betrokkenen, oorzaak, maatregelen en uitkomst beoordeling. Dit register is jouw bewijs van naleving bij een AP-onderzoek en moet minimaal 5 jaar bewaard worden.

Juridische aandachtspunten in Nederland

De AVG-meldverplichtingen zijn streng en de AP handhaaft actief. Deze juridische aspecten zijn cruciaal.

Dit sjabloon vormt geen juridisch advies. Bij een concreet datalek of vragen over interpretatie van de AVG raadpleeg je een privacy-jurist of de FG. Bij grote of complexe lekken neem je contact op met de AP via de officiële kanalen.

Beoordeeld door juridische professionals. De clausules en structuur van dit sjabloon zijn beoordeeld door in Nederland praktiserende juristen privacy en gegevensbescherming.

72-uur meldplicht aan de AP (art. 33 AVG)

De meldtermijn van 72 uur loopt vanaf het moment van ontdekking — niet vanaf het moment van bevestiging of volledige analyse. Bij twijfel over de feiten is het beleid van de AP om een voorlopige melding te accepteren die later wordt aangevuld. De melding gebeurt via het meldformulier op autoriteitpersoonsgegevens.nl. Een te late melding moet in de melding zelf worden gemotiveerd; dit is bij latere handhaving een verzwarende factor.

Mededeling aan betrokkenen (art. 34 AVG)

Bij een datalek dat waarschijnlijk een hoog risico voor betrokkenen oplevert, moeten zij onverwijld worden geïnformeerd in duidelijke en eenvoudige taal. Mededeling kan achterwege blijven indien de gegevens onbegrijpelijk waren door versleuteling, indien de risico's inmiddels zijn weggenomen, of indien een individuele kennisgeving onevenredig veel inspanning kost (in dat geval een openbare mededeling). De AP toetst deze vrijstellingen kritisch.

Documentatieplicht (art. 33 lid 5 AVG)

Elk datalek — gemeld of niet — moet worden vastgelegd in een intern register. Dit register is een onderdeel van de verantwoordingsplicht (art. 5 lid 2 AVG) en moet op verzoek van de AP worden overgelegd. Het ontbreken van een goed bijgehouden register is bij AP-onderzoeken een belastende factor en kan zelfstandig leiden tot een handhavingsmaatregel.

Boetes en aansprakelijkheid

Niet (tijdig) melden of een onvolledige melding kan op grond van art. 83 lid 4 sub a AVG worden bestraft met een boete tot € 10 miljoen of 2% van de wereldwijde jaaromzet (de hoogste). Daarnaast kunnen betrokkenen zich op art. 82 AVG beroepen voor schadevergoeding (zowel materieel als immaterieel). Een goed gedocumenteerd protocol is een mitigerende factor bij handhaving.

Veelgestelde vragen

Klaar om je datalekprotocol op te stellen?

Vul de organisatiegegevens in en download een AVG-conform datalekprotocol klaar voor implementatie. Met 72-uur meldprocedure en incidentenregister.

Create Your Datalekprotocol AVG Browse All Templates

Free · Instant PDF · No account required

Gratis datalekprotocol sjabloon voor Nederland

Wat is een datalekprotocol?

Wat omvat dit sjabloon

Definitie datalek

Meldkanalen intern

Detectieprocedure

Risicobeoordeling

Melding AP (72-uur)

Mededeling betrokkenen

Incidentenregister

Verwerkers

Training en awareness

Evaluatie en herziening

Boetes en aansprakelijkheid

Inwerkingtreding

Hoe stel je een datalekprotocol op

Wijs een Functionaris Gegevensbescherming of contactpersoon AVG aan

Definieer interne meldkanalen

Stel beoordelingscriteria op voor risico

Werk het 72-uurproces uit

Richt het incidentenregister in

Juridische aandachtspunten in Nederland

72-uur meldplicht aan de AP (art. 33 AVG)

Mededeling aan betrokkenen (art. 34 AVG)

Documentatieplicht (art. 33 lid 5 AVG)

Boetes en aansprakelijkheid

Veelgestelde vragen

Wanneer is iets een datalek?

Moet ik elk datalek melden bij de AP?

Wat als ik de 72-uurstermijn niet haal?

Wat moet er in het incidentenregister staan?

Geldt de meldplicht ook voor mijn ICT-leverancier?

Moet ik betrokkenen ook informeren bij een gemeld datalek?

Hoe vaak moet ik mijn datalekprotocol evalueren?

Wat is het verschil tussen FG en AVG-coördinator?

Klaar om je datalekprotocol op te stellen?