Skip to content
TrustYourWebsite
AVG & PrivacyBeveiliging

Datalek melden bij de AP: beslisboom en 72-uur checklist

Steven | TrustYourWebsite · 20 april 2026 · Laatst bijgewerkt: april 2026

Je ontdekt dat er iets mis is. Klantgegevens zijn gelekt, je website is gehackt, of een medewerker heeft per ongeluk een bestand met persoonsgegevens naar de verkeerde persoon gestuurd. De AVG geeft je 72 uur om te beslissen of je dit moet melden bij de Autoriteit Persoonsgegevens. Dat is drie werkdagen. In de praktijk is het minder, want de klok begint te tikken op het moment van ontdekking.

Dit artikel geeft je een beslisboom in 4 stappen, een 72-uur checklist en 5 concrete scenario's. Geen juridisch advies, wel een praktisch framework om snel de juiste beslissing te nemen.

Hoe goed is jouw website beveiligd?

Onze scanner controleert SSL, beveiligingsheaders, verouderde software en 150+ andere punten.

Scannen voor:

Wat is een datalek onder de AVG?

Artikel 4 lid 12 AVG definieert een datalek (officieel: "inbreuk in verband met persoonsgegevens") als een beveiligingsincident dat leidt tot:

  • Vernietiging van persoonsgegevens (data permanent kwijt)
  • Verlies van persoonsgegevens (je hebt geen toegang meer)
  • Wijziging van persoonsgegevens (data is aangepast door een onbevoegde)
  • Ongeoorloofde verstrekking of ongeoorloofde toegang (iemand die de data niet mag zien, ziet het toch)

Voorbeelden die de meeste mensen niet als datalek herkennen:

  • Een nieuwsbrief versturen met alle ontvangers in het "Aan"-veld in plaats van "BCC"
  • Een onversleutelde laptop met klantgegevens verliezen in de trein
  • Een medewerker die klantgegevens opzoekt zonder zakelijke reden
  • Een back-up die niet meer terug te zetten is na een servercrash

Beslisboom: moet je melden?

Doorloop deze 4 stappen in volgorde.

Stap 1: Is er sprake van een beveiligingsincident?

Is er ongeoorloofde toegang tot, verlies van, vernietiging van of wijziging van persoonsgegevens? Als het antwoord nee is, is er geen datalek en hoef je niet te melden. Documenteer het incident wel in je interne log.

Stap 2: Zijn er persoonsgegevens betrokken?

Niet elk beveiligingsincident is een datalek. Als je website wordt gehackt maar er geen persoonsgegevens zijn blootgesteld (bijvoorbeeld alleen statische HTML-pagina's zonder formulieren of databases), is er geen AVG-meldplicht. Je hebt wel een beveiligingsprobleem dat je moet oplossen.

Stap 3: Vormt het een risico voor betrokkenen?

Artikel 33 AVG zegt: meld bij de AP, tenzij het onwaarschijnlijk is dat het risico oplevert voor de rechten en vrijheden van de betrokkenen.

Hoog risico (melden bij AP):

  • Financiele gegevens (creditcardnummers, bankrekeningnummers)
  • Wachtwoorden (ongehasht of met zwakke hash)
  • BSN-nummers of kopie-ID
  • Medische gegevens
  • Combinatie van naam + adres + geboortedatum (identiteitsfraude)

Laag risico (waarschijnlijk niet melden):

  • Naam + zakelijk e-mailadres (al publiek beschikbaar)
  • Versleutelde data waarvan de sleutel niet is gecompromitteerd
  • Gegevens van een enkele persoon die al publiek waren

Twijfel je? Meld. De AP heeft liever een melding te veel dan een te weinig. Een onterechte melding heeft geen gevolgen. Een gemiste melding kan een boete opleveren.

Stap 4: Moeten betrokkenen persoonlijk geinformeerd worden?

Artikel 34 AVG vereist dat je betrokkenen direct informeert als het datalek een hoog risico vormt voor hun rechten en vrijheden. Dat is een hogere drempel dan de AP-melding.

Persoonlijk informeren bij:

  • Gelekte wachtwoorden (vertel ze hun wachtwoord te wijzigen)
  • Gelekte financiele gegevens (vertel ze hun bank te waarschuwen)
  • Gelekte BSN of identiteitsdocumenten
  • Gelekte medische gegevens

Niet persoonlijk informeren als:

  • De data was versleuteld en de sleutel is veilig
  • Je hebt onmiddellijk maatregelen genomen die het risico wegnemen
  • Het onredelijk veel moeite zou kosten (dan: openbare mededeling)

De 72-uur checklist

De klok begint op het moment dat je redelijkerwijs op de hoogte bent van het datalek. Niet het moment waarop het plaatsvond.

Uur 0-4: Eerste respons

  • Stel vast wat er is gebeurd (type incident, welke systemen, welke data)
  • Beperk de schade (wachtwoorden resetten, toegang intrekken, systeem offline halen)
  • Documenteer het tijdstip van ontdekking (dit is je startpunt)
  • Informeer intern: wie is verantwoordelijk voor de AVG-melding?

Uur 4-24: Beoordeling

  • Bepaal welke persoonsgegevens zijn getroffen
  • Bepaal hoeveel betrokkenen er zijn (of een schatting)
  • Beoordeel het risico (gebruik de beslisboom hierboven)
  • Besluit: AP-melding ja of nee? Betrokkenen informeren ja of nee?
  • Begin met het opstellen van de melding als die nodig is

Uur 24-72: Melding en communicatie

  • Dien de melding in bij de AP via het meldloket datalekken
  • Informeer betrokkenen als dat nodig is (per e-mail, brief of openbare mededeling)
  • Documenteer alle genomen maatregelen
  • Plan een evaluatie: hoe voorkom je dit in de toekomst?

Wat moet je melden bij de AP?

De AP vraagt bij een melding:

  1. De aard van het datalek (wat is er gebeurd)
  2. De categorieen en het aantal betrokkenen
  3. De categorieen en het aantal persoonsgegevensrecords
  4. Contactgegevens van je functionaris voor gegevensbescherming of ander contactpunt
  5. De waarschijnlijke gevolgen van het datalek
  6. De maatregelen die je hebt genomen of gaat nemen

Je hoeft niet alles in een keer te melden. Als je na 72 uur nog niet alle informatie hebt, kun je een voorlopige melding doen en later aanvullen. De AP accepteert dit.

5 scenario's voor MKB-webshops

1. Contactformulier gehackt: namen en e-mailadressen gelekt

Situatie: Je WordPress-site is gehackt via een verouderde plugin. De aanvaller heeft de database gedownload met 300 contactformulierinzendingen (naam, e-mailadres, bericht).

Beoordeling: Melden bij AP. Namen + e-mailadressen + berichtinhoud vormen een risico. Betrokkenen hoeven waarschijnlijk niet individueel geinformeerd te worden, tenzij de berichten gevoelige informatie bevatten (medische vragen, financiele situatie).

Actie: Melding bij AP, website-beveiligingsaudit, plugin updaten, wachtwoorden wijzigen.

2. Nieuwsbrief-BCC fout: 200 e-mailadressen zichtbaar

Situatie: Je stuurt een nieuwsbrief met 200 ontvangers in het "Aan"-veld in plaats van "BCC". Alle ontvangers zien elkaars e-mailadres.

Beoordeling: Melden bij AP. Dit is een van de meest voorkomende datalekken. De AP heeft richtlijnen die dit type expliciet als meldingsplichtig noemen.

Actie: Melding bij AP, e-mail naar alle ontvangers met uitleg en excuses, overstappen op een professioneel e-mailmarketingplatform.

3. Laptop verloren met klantbestand

Situatie: Een medewerker verliest een laptop in het OV. Op de laptop staat een Excel-bestand met 50 klantgegevens (naam, adres, telefoonnummer, bestelgeschiedenis).

Beoordeling: Was de laptop versleuteld (BitLocker/FileVault)? Zo ja: waarschijnlijk geen melding nodig (data is ontoegankelijk). Zo nee: melden bij AP en betrokkenen informeren (naam + adres + bestelgeschiedenis is identiteitsfrauderisico).

Actie: Laptop op afstand wissen als mogelijk, melding bij AP (als onversleuteld), betrokkenen informeren.

4. Ransomware-aanval op webshop

Situatie: Je webshop wordt getroffen door ransomware. Alle bestanden zijn versleuteld. Je hebt een back-up van gisteren.

Beoordeling: Melden bij AP, ook als je de back-up kunt terugzetten. De aanvaller had toegang tot je systeem en kon persoonsgegevens hebben gekopieerd voor de versleuteling. "Geen bewijs van datadiefstal" is niet hetzelfde als "geen datadiefstal".

Actie: Melding bij AP, systeem herstellen vanaf back-up, beveiligingsaudit, alle wachtwoorden wijzigen, betrokkenen informeren als klantgegevens waarschijnlijk zijn gekopieerd.

5. Medewerker stuurt klantgegevens naar verkeerd adres

Situatie: Een medewerker stuurt per ongeluk een factuur met naam, adres en bestelgegevens van klant A naar klant B.

Beoordeling: Klein datalek, maar wel melden bij AP als de factuur persoonlijke details bevat die klant B normaal niet zou zien. Vraag klant B om de e-mail te verwijderen.

Actie: Klant B vragen de e-mail te verwijderen, klant A informeren, melding bij AP, interne afspraken aanscherpen.

Boetes voor niet-melden

De AP kan boetes opleggen voor het niet of te laat melden van datalekken. Artikel 83 AVG kent twee categorieen:

  • Tot €10 miljoen of 2% van de wereldwijde jaaromzet voor schendingen van de meldplicht (Art. 33/34)
  • Tot €20 miljoen of 4% van de wereldwijde jaaromzet voor schendingen van de verwerkingsbeginselen

In de praktijk voor MKB:

  • Booking.com (2021): €475.000 boete van de AP voor 22 dagen te laat melden van een datalek waarbij gegevens van 4.109 klanten waren gelekt
  • Veel MKB-bedrijven: de AP stuurt eerst een waarschuwing of last onder dwangsom. Directe boetes zijn zeldzaam bij kleine bedrijven die te goeder trouw handelen en snel corrigeren

Voorkomen is beter dan melden

De meeste datalekken bij MKB-webshops komen door vermijdbare beveiligingsproblemen:

  1. Verouderde WordPress-plugins met bekende kwetsbaarheden
  2. Zwakke of hergebruikte wachtwoorden
  3. Ontbrekende SSL-certificaten of beveiligingsheaders
  4. Geen tweefactorauthenticatie op het CMS
  5. Geen back-upstrategie

Een gratis websitescan controleert in 60 seconden of je website de basisbeveiligingsmaatregelen heeft die de meeste datalekken voorkomen.

Veelgestelde vragen

Moet elk datalek bij de AP gemeld worden?

Nee. Alleen als het datalek een risico vormt voor de rechten en vrijheden van betrokkenen. Een gehackt contactformulier met namen en e-mailadressen moet wel. Een verloren USB-stick met versleutelde data hoeft waarschijnlijk niet. Twijfel je? Meld.

Wanneer begint de 72-uur termijn?

De klok begint op het moment dat je redelijkerwijs van het datalek op de hoogte bent. Niet het moment waarop het plaatsvond. Als je hostingprovider je op dinsdag informeert over een lek dat zondag plaatsvond, tellen de 72 uur vanaf dinsdag.

Wat gebeurt er als ik te laat meld?

De AP kan een boete opleggen. Booking.com kreeg €475.000 boete voor 22 dagen te laat melden. De AP beoordeelt of de vertraging gerechtvaardigd was en of je daarna adequaat hebt gehandeld.

Moet ik ook de betrokkenen informeren?

Alleen als het datalek een hoog risico vormt voor hun rechten en vrijheden. Gelekte wachtwoorden, betaalgegevens of BSN-nummers vereisen persoonlijke melding. Gelekte e-mailadressen zonder verdere context meestal niet.

Telt een phishing-mail aan mijn klanten als datalek?

Als de phishing-mail is verstuurd via jouw gehackte systeem en daardoor klantgegevens zijn blootgesteld, ja. Als iemand jouw domeinnaam spooft zonder je systemen te compromitteren, is het geen datalek van jouw kant. Wel een reden om je e-mailauthenticatie (SPF, DKIM, DMARC) te controleren.

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.

Check je website nu

Scan je website op AVG & Privacy-problemen en 30+ andere checks.

Scan je site gratis

Website-handleidingen

Website Gehackt? Dit Moet Je Nu Doen [Stappenplan 2026]

Je website is gehackt. Volg dit 6-stappen actieplan: van offline halen tot AVG-melding bij de AP binnen 72 uur. Met checklist en voorbeelden.

Website-beveiligingschecklist: 10 punten voor MKB

10-punts beveiligingschecklist voor mkb-websites. Van SSL-certificaat tot verouderde plugins. Fix de basis in 30 minuten, voorkom een hack van €270.000.

Is Jouw Website Veilig? Checklist voor Ondernemers

Controleer of je website veilig is met deze checklist. SSL, updates, wachtwoorden, beveiligingsheaders en meer. 15 minuten werk voor een veilige website.