Vergroot contrast
  1. Beveiliging
  2. Meldplicht datalekken

Meldplicht datalekken

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). 

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.

Datalek melden

Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldformulier datalekken. In de privacyverklaring datalek melden staat hoe de AP omgaat met de persoonsgegevens van degene die een datalek meldt.

Datalekmelding voorbereiden

De vragen uit het online meldformulier datalekken staan in de Vragenlijst meldformulier datalekken (in English: Questionnaire personal data breach notification form). Dit document helpt organisaties om vóór het invullen van het online formulier de vragen alvast in te zien. Zo kunnen zij de benodigde informatie alvast verzamelen.

Daarnaast kan de vragenlijst organisaties helpen om een stappenplan op te stellen waarmee zij een (toekomstig) datalek zo tijdig en volledig mogelijk kunnen melden.

Overige acties bij een datalek

Bij een datalek is het dus belangrijk om na te gaan of u verplicht bent om het datalek te melden. Maar dat is niet het enige. Meer weten over wat u moet doen? Zie het stappenplan 'Kom in actie bij een datalek' en dossier Acties bij datalekken.

Overzichten meldingen datalekken

De AP publiceert elk jaar een totaaloverzicht van alle gemelde datalekken. Zie: Overzichten datalekken.

Delen gegevens

De AP kan datalekmeldingen delen met andere organisaties voor wetenschappelijke of statistisch onderzoek. De AP treft daarbij maatregelen om:

  • niet onnodig persoonsgegevens te verstrekken;
  • de vertrouwelijkheid van de datalekmeldingen te waarborgen.

Slachtoffer van een datalek?

Heeft u bericht gekregen van een organisatie dat uw persoonsgegevens zijn getroffen door een datalek? Lees dan: Slachtoffer van een datalek? Dit kunt u doen.

Vragen over datalekken?

  • Heeft u een vraag over het melden van datalekken of over datalekken in het algemeen? Kijk dan eerst bij veelgestelde vragen over de meldplicht datalekken.
  • Kunt u de informatie niet op onze website vinden? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten. Let op: dit nummer is alleen bedoeld voor organisaties die vragen hebben over de meldplicht datalekken.
  • Bent u een burger en heeft u een algemene vraag over een datalek of over de AVG? Dan kunt u contact opnemen met het Informatie- en Meldpunt Privacy.
  • Bent u een functionaris gegevensbescherming (FG)? En heeft u een vraag over datalekken? Dan kunt u contact opnemen via onze onze speciale FG-contactkanalen.

Nieuws

Alle nieuwsberichten over het onderwerp 'Meldplicht datalekken'

Alle antwoorden op mijn vragenAlgemene vragen over datalekken en de meldplicht

  • Wat is een datalek precies?

    Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.

    De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.

    Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (artikel 4, punt 12, AVG).

    Categorieën datalekken

    Er zijn 3 categorieën datalekken te onderscheiden:

    • Inbreuk op de vertrouwelijkheid
      Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
    • Inbreuk op de integriteit
      Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
    • Inbreuk op de beschikbaarheid
      Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

    Een datalek kan, afhankelijk van de omstandigheden, in meer dan 1 van deze 3 categorieën vallen.

    Voorbeelden datalekken

    Voorbeelden van datalekken zijn:

    • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
    • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
    • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

    Kom in actie bij een datalek

    Is er bij uw organisatie sprake van een datalek? Kom dan snel in actie om grotere problemen voor te zijn. Voor meer informatie, zie het stappenplan Kom in actie bij een datalek.

  • Wat betekent de meldplicht datalekken voor mij als organisatie?

    Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens (AP).

    Of u een datalek wel of niet bij de AP moet melden, hangt af van de waarschijnlijkheid en de mogelijke ernst van het datalek voor de betrokken personen.

    U zult daarom een risico-inschatting moeten maken. Wanneer het datalek waarschijnlijk een hoog risico oplevert, moet u ook de betrokkenen informeren over het datalek.

    Overtreding meldplicht datalekken

    Meldt u een datalek ten onrechte niet bij de AP? Dan kan de AP u een boete geven. U kunt ook een boete krijgen als u ten onrechte een datalek met een hoog risico verzwijgt voor de betrokkenen.

    Meldplicht datalekken Telecommunicatiewet

    Biedt u openbare elektronische communicatiediensten aan? Dan doet u uw datalekmelding ook bij de AP.

    U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.

Alle antwoorden op mijn vragenVragen van organisaties over het wel/niet moeten melden van een datalek

  • Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

    Nee. Of u een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

    U hoeft een datalek niet te melden als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.

    Guidelines meldplicht datalekken

    De Guidelines meldplicht datalekken, en dan met name hoofdstuk IV, kunnen u helpen te bepalen of u een datalek moet melden aan de Autoriteit Persoonsgegevens.

    Registreer wel in uw datalekregister

    Let op: ook wanneer u het datalek niet hoeft te melden aan de AP, dan moet u het wel registreren in uw interne datalekregister.

  • Moet ik alle datalekken melden aan betrokkenen?

    Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kunt u aannemelijk maken dat dit niet zo is? Dan hoeft u het datalek niet aan de betrokkenen te melden.

    Let op: u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geeft u in uw melding aan dat u het datalek niet heeft gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeldt u welke redenen u heeft om de betrokkenen niet te informeren.

    Hoog risico

    Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

    Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht datalekken.

  • Wanneer hoef ik een datalek níet te melden aan de AP en de betrokken personen?

    U hoeft niet alle datalekken te melden. De privacywet eist dat organisaties een datalek melden bij de AP, ténzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen informeert u alleen als er sprake is van een hoog risico.

    Melden aan de AP en aan de betrokkenen niet verplicht

    U hoeft het datalek niet te melden aan de AP of aan de betrokkenen in de volgende gevallen.

    1. Maatregelen vooraf
    U heeft voordat het datalek plaatsvond passende maatregelen getroffen. Hierdoor zijn de gelekte persoonsgegevens onbegrijpelijk voor onbevoegden. Bijvoorbeeld doordat de gegevens goed zijn versleuteld of vervangen door een hashwaarde.

    Let op: deze uitzondering geldt alleen als:

    • de gegevens nog volledig intact zijn.
    • u nog steeds de volledige controle over de gegevens heeft.
    • de sleutel die voor de encryptie of voor de hashing is gebruikt geen gevaar heeft gelopen bij het datalek. En deze ook met de beschikbare technologie niet vindbaar is voor onbevoegden

    2. De onjuiste ontvanger is betrouwbaar
    Zijn de persoonsgegevens verzonden aan een verkeerde maar betrouwbare ontvanger? Dan betekent dit mogelijk dat het niet langer waarschijnlijk is dat het datalek een risico oplevert. In dat geval hoeft u het datalek dus niet te melden aan de AP of aan de getroffen personen.

    Melden aan de betrokkenen niet verplicht

    Wanneer u een datalek niet hoeft te melden aan de AP, hoeft u het ook niet te melden aan de betrokken personen. Verder hoeft u het datalek ook niet aan de betrokken personen te melden in de volgende gevallen:

    1. Maatregelen achteraf
    U heeft, onmiddellijk nadat het datalek plaatsvond, maatregelen getroffen. Het hoge risico voor de rechten en vrijheden van betrokkenen zal zich hierdoor waarschijnlijk niet meer voordoen. Bijvoorbeeld wanneer u de persoon die toegang tot de persoonsgegevens heeft gehad onmiddellijk heeft geïdentificeerd en dat u actie heeft ondernomen voordat die persoon iets met de persoonsgegevens kon doen.

    2. Uitzonderingen UAVG
    Daarnaast noemt de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) een aantal gevallen waarin u een melding aan betrokkenen achterwege mag laten:

    • Wanneer dat noodzakelijk en evenredig is om een zwaarwegend belang te waarborgen. Zoals de nationale of openbare veiligheid. Of de bescherming van de privacy van anderen. Bijvoorbeeld wanneer kinderen een hulpvraag hebben gedaan zonder dat hun ouders dat weten.
    • Is uw organisatie een financiële onderneming als bedoeld in de Wet op het financieel toezicht (Wft)? Dan geldt de meldplicht aan de betrokken personen niet voor u. Wel geldt de meldplicht aan de AP.

    Informeren door openbare mededeling

    Zou het individueel informeren van de betrokkenen een onevenredige inspanning vergen? Bijvoorbeeld omdat u de contactgegevens van de betrokkenen bent verloren door het datalek?

    Dan mag u de betrokkenen ook informeren met een openbare mededeling of een soortgelijke maatregel, waarbij zij even doeltreffend worden geïnformeerd.

  • Hoe beoordeel ik de risico's van een datalek?

    U moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens (AP). Ténzij het niet waarschijnlijk is dat er een risico is. De betrokken personen informeert u alleen als er sprake is van een hoog risico.

    Bij het inschatten van het risico kijkt u naar hoe waarschijnlijk het is dat een risico zich voordoet. En wat de impact is als het inderdaad gebeurt.

    Objectief beoordelen risico’s datalek

    Soms is het risico heel duidelijk. Bijvoorbeeld wanneer er volledige medische dossiers zijn gelekt. Maar vaker is het een inschatting. Ook dan moet u de situatie objectief beoordelen. Onderstaande factoren helpen om uw afweging objectief te maken:

    De aard van de inbreuk
    Zijn er persoonsgegevens gewist, gewijzigd of gelekt? Voorbeeld: het lekken van medische persoonsgegevens aan een onbevoegde, heeft andere gevolgen dan wanneer deze gegevens verloren zijn gegaan.

    De aard, gevoeligheid en omvang van de persoonsgegevens
    Hoe gevoeliger de gegevens, hoe groter het risico op schade. Houd ook rekening met persoonsgegevens die al (openbaar) beschikbaar zijn. Want juist een combinatie van gegevens kan de impact groter maken.

    Gemak waarmee personen kunnen worden geïdentificeerd
    Kun je op basis van het datalek eenvoudig zien om wie het gaat?

    Ernst van gevolgen voor personen
    De gevolgen van een datalek kunnen ernstig zijn. Vooral wanneer het datalek kan leiden tot bijvoorbeeld identiteitsdiefstal of reputatieschade. Het risico wordt kleiner wanneer de gegevens in handen zijn gekomen van een betrouwbare ontvanger die er niet op uit is om schade te veroorzaken.

    Bijzondere kenmerken van de persoon
    Wanneer gegevens van kwetsbare personen betrokken zijn bij het datalek, kunnen zij een groter risico op schade lopen. Bijvoorbeeld kinderen.

    Bijzondere kenmerken van uw organisatie
    Ter illustratie: de risico’s bij een datalek van een ziekenhuis zullen groter zijn dan bij een datalek met een mailinglijst van een krant.

    Het aantal getroffen personen
    Over het algemeen kan een datalek grotere gevolgen hebben naarmate er meer personen bij betrokken zijn. Een inbreuk kan echter zelfs voor één persoon ernstige gevolgen hebben.

    Hulpmiddel: voorbeeldlijst wel/niet melden

    Het is uw eigen verantwoordelijkheid om het risico van een datalek in te schatten. Dat kan de AP zonder onderzoek niet voor u doen.

    Wel bieden wij praktische informatie om u te helpen zelf een goede afweging te maken. Zoals de voorbeeldlijst wel/niet melden aan de AP en betrokken personen.

    Zie ook

  • Wanneer levert een datalek een hoog risico op?

    Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. In deze gevallen moet u ervan uit gaan dat u het datalek moet melden aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen. Tenzij er sprake is van een uitzondering op de meldplicht.

    Fysieke schade
    Bijvoorbeeld wanneer cruciale medische gegevens zijn gewist waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt. Of bij doorbreking van het beroepsgeheim.

    Materiële schade
    Bijvoorbeeld wanneer de kans bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander. Of andere vormen van financieel verlies of identiteitsdiefstal of -fraude.

    Immateriële schade
    Zoals kans op discriminatie, reputatieschade of inbreuk op iemands persoonlijke levenssfeer.

    Voorbeelden hoog risico

    Van een hoog risico is sprake als een datalek kan leiden tot:

    • Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
    • Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
    • Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
    • Reputatieschade: bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
    • Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische gegevens.

    Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:

    • Het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens. 
    • Een aanzienlijk economisch of maatschappelijk nadeel.
    • Een situatie waarbij de betrokken personen hun rechten en vrijheden niet kunnen uitoefenen. Of geen controle over hun persoonsgegevens kunnen uitoefenen.

    Andere voorbeelden van datalekken met een hoog risico:

    • Datalek met bijzondere persoonsgegevens.
    • Datalek met strafrechtelijke persoonsgegevens.
    • Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Met name als het gaat om profiling op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
    • Datalek met persoonsgegevens van kwetsbare groepen. Zoals gehandicapten, mensen die ziek zijn, kinderen en bejaarden. 
    • Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor een hele grote groep mensen.

    Hulpmiddel: voorbeeldlijst wel/niet melden

    Los van deze situaties kan er ook in andere gevallen een hoog risico zijn. En/of kunt u verplicht zijn het datalek te melden aan de Autoriteit Persoonsgegevens. Het is uw verantwoordelijkheid als organisatie om dat in te schatten. Om u hierbij te helpen hebben wij een voorbeeldlijst opgesteld.

    Zie ook

  • Ik heb persoonsgegevens gelekt aan een betrouwbare partij. Moet ik dit melden aan de AP en de betrokken personen?

    Heeft u persoonsgegevens gelekt aan een verkeerde ontvanger? Maar gaat het om een ‘betrouwbare ontvanger’? Dan kan dit betekenen dat het onwaarschijnlijk is dat het datalek een risico oplevert voor de betrokken personen. U hoeft het datalek dan niet te melden aan de Autoriteit Persoonsgegevens (AP) en de betrokken personen.

    Wat is betrouwbaar?

    ‘Betrouwbaar’ houdt in dat u er redelijk zeker van kunt zijn dat de onjuiste ontvanger geen kwaad in de zin heeft. Dus dat hij verder niets doet met de per ongeluk ontvangen gegevens. En dat hij zich houdt aan uw eventuele instructies. Bijvoorbeeld om de persoonsgegevens terug te sturen of te vernietigen.

    Voorbeelden van betrouwbare ontvangers

    Voorbeelden van betrouwbare ontvangers kunnen zijn:

    • partijen met wie u een zakelijke relatie heeft. Bijvoorbeeld een vaste leverancier;
    • partijen die een wettelijk beroepsgeheim hebben. Zoals een huisarts of andere zorgverlener.

    Meewegen in het beoordelen van de risico’s

    Is de verkeerde ontvanger een betrouwbare partij? Dan kunt u dit meewegen in het beoordelen van de risico’s van het datalek. Wanneer de ontvanger kan worden vertrouwd, kan dit namelijk de risico’s van het datalek wegnemen. U hoeft het datalek dan niet te melden aan de AP of de betrokken personen.

    Twijfelt u of u het datalek moet melden? Dan kunt het beste het zekere voor het onzekere nemen en het datalek wél melden.

    Wel registreren in datalekregister

    Registreer een datalek wel altijd in uw datalekkenregister. Ook wanneer u het datalek niet hoeft te melden aan de AP en de betrokken personen.

Alle antwoorden op mijn vragenVragen over de melding bij de AP

  • Hoe snel moet ik een datalek melden aan de AP?

    U moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Wanneer u dat niet doet bent u waarschijnlijk in overtreding.

    Wanneer u te laat bent moet u dit motiveren. Alleen in uitzonderlijke gevallen accepteert de AP een vertraagde melding na 72 uur.

    Ter illustratie: een vakantie, ziekte, drukte of ‘het was weekend’ is geen geldig excuus om te laat te melden. Ook de motivatie ‘de FG is te laat geïnformeerd over datalek’ is geen geldig excuus. Het is namelijk uw verantwoordelijkheid om ervoor te zorgen dat uw medewerkers incidenten op tijd melden bij de juiste persoon binnen uw organisatie.

    Vervolgmelding

    Gaat het om een complexe inbreuk, zoals digitale hacks of phishing? En heeft u nog niet alle informatie? Dan moet u de eerste melding nog steeds binnen 72 uur doen. Bij nieuwe informatie kunt u dan een vervolgmelding doen.

    Grensoverschrijdende datalekken

    Let op: bij grensoverschrijdende datalekken is het meestal aan te raden om het datalek te melden aan de toezichthouder in de Europese lidstaat waar uw hoofdkantoor gevestigd.

  • Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?

    U kunt een datalek melden via het meldformulier datalekken.

    Datalekmelding voorbereiden

    In de Vragenlijst meldformulier datalekken staan de vragen uit het online meldformulier datalekken. Dit document helpt u om vóór het invullen van het online formulier de vragen alvast in te zien. Zo kunt u de benodigde informatie alvast verzamelen.

    Daarnaast kan de vragenlijst u helpen om een stappenplan op te stellen waarmee u een (toekomstig) datalek zo tijdig en volledig mogelijk kunt melden.

    De vragenlijst is ook in het Engels beschikbaar: Questionnaire personal data breach notification form.

  • Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?

    De Autoriteit Persoonsgegevens (AP) kijkt zorgvuldig naar alle ontvangen meldingen van datalekken. Gelet op het grote aantal meldingen dat wij jaarlijks ontvangen, kunnen wij niet alle meldingen even uitgebreid onderzoeken.

    Meestal krijgt u geen reactie. Tenzij we inhoudelijke vragen hebben over uw melding. Dan nemen we binnen 2 weken contact met u op.

    Acties naar aanleiding van een datalek

    Afhankelijk van de situatie kunnen wij besluiten om het volgende te doen na melding van een datalek:

    • u verplichten om de betrokken personen te informeren wanneer u dat onterecht niet heeft gedaan;
    • een kortlopend onderzoek starten bij een mogelijke overtreding van de meldplicht. Bijvoorbeeld wanneer u een datalek niet heeft gemeld. Of te laat heeft gemeld. 
    • een inlichtingenverzoek doen. Bijvoorbeeld om het rapport van uw onderzoek naar het datalek op te vragen;
    • u bellen voor meer informatie over het datalek;
    • u bellen om u extra uitleg en advies te geven;
    • u een brief sturen met extra uitleg over de normen en hoe te handelen bij datalekken;
    • de melding sluiten. Wanneer uit uw melding blijkt dat u de meldplicht goed heeft nageleefd en voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen.

    Onderzoek AP

    Uw datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving.

    AP-register met alle datalekken

    De AP slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.

  • Kan ik een datalek melden bij de FG van mijn organisatie?

    Nee, u kunt een datalek niet melden bij de functionaris gegevensbescherming (FG). U moet het datalek melden bij de Autoriteit Persoonsgegevens.

    Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan u bijvoorbeeld adviseren bij het informeren van de betrokkenen.

  • Wanneer krijg ik een reactie van de Autoriteit Persoonsgegevens als ik een datalek heb gemeld?

    Meestal krijgt u geen reactie. Tenzij de Autoriteit Persoonsgegevens (AP) inhoudelijke vragen heeft over uw melding. Dan neemt de AP binnen 1-2 twee weken na ontvangst van uw melding contact met u op.

    Informeren betrokkenen

    Heeft u de betrokkenen niet geïnformeerd over het datalek? Maar is dat volgens de wet wel noodzakelijk? Dan kan de AP u verplichten om dat alsnog te doen.

    De wet zegt dat u de betrokkenen direct moet informeren. De AP neemt in dit geval daarom zo snel mogelijk contact met u op.

  • Maakt de Autoriteit Persoonsgegevens gemelde datalekken openbaar?

    Nee, dat doet de Autoriteit Persoonsgegevens (AP) niet. Het is namelijk belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens vertrouwelijk blijven.

    • De AP kan wel op basis van de meldingen in jaarverslagen of andere publicaties aandacht besteden aan datalekken.
    • Verder kan een datalekmelding relevant zijn voor een onderzoek dat de AP doet. Het kan dan nodig zijn om informatie uit de melding op te nemen in het onderzoeksrapport.
    • Tot slot kan de AP, als dat nodig is, informatie uit de ontvangen datalekmeldingen delen met andere toezichthouders waarmee het een samenwerkingsovereenkomst heeft.

Alle antwoorden op mijn vragenVragen over de melding aan betrokkenen

  • Welke informatie moet ik de betrokken personen geven bij een datalek?

    Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.

    U moet daarom ten minste antwoord geven op de volgende vragen:

    Wat is er gebeurd?

    Geef onder meer antwoord op de volgende vragen: 

    • Zijn de gegevens in handen gekomen van een onbevoegde? Of zijn de persoonsgegevens tijdelijk of permanent ontoegankelijk of verloren geraakt?
    • Waren de persoonsgegevens onjuist of onvolledig? Of een combinatie?
    • Om welke gegevens ging het? Wat is er met deze gegevens gebeurd?

    Wat zijn de waarschijnlijke gevolgen?

    Geef onder meer antwoord op de volgende vragen: 

    • Is alleen de privacy geschonden van de betrokken persoon? Of is er ook sprake van (een hoog risico op) lichamelijke of materiële (financiële) schade?
    • Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? Zo ja, is er een (hoog) risico dat de betrokken persoon als gevolg van het datalek phishing mails ontvangt? Of het slachtoffer wordt van (identiteits)fraude?
    • Zijn de persoonsgegevens inmiddels teruggestuurd of vernietigd door de partij die de gegevens onterecht heeft ontvangen?

    Welke maatregelen stelt u voor of heeft u al getroffen?

    Inclusief eventuele maatregelen om de risico’s te verkleinen of de nadelige gevolgen te beperken. Hierbij moet u ook vermelden of u externe partijen om advies heeft gevraagd. En zo ja, wat dat advies inhoudt.

    Kan de getroffen persoon zelf iets doen?

    Bijvoorbeeld om het risico op identiteitsfraude te verkleinen.

    Waar terecht met vragen?

    Geef de naam en contactgegevens van de functionaris gegevensbescherming (FG), als uw organisatie die heeft. Of van iemand uit uw organisatie waar de getroffen personen terechtkunnen voor meer informatie. Bijvoorbeeld de directeur of een privacycontactpersoon.

  • Wat kan ik bij een datalek adviseren over het voorkomen van identiteitsfraude?

    Er zijn datalekken die kunnen leiden tot identiteitsfraude. Informeert u de betrokkenen over zo’n datalek, dan geeft u aan dat zij alert moeten zijn op identiteitsfraude. U kunt de betrokkenen daarbij verwijzen naar:

    informatie van de politie over identiteitsfraude;
    informatie van de Rijksoverheid over identiteitsfraude.

    Deze pagina’s geven informatie over hoe betrokkenen identiteitsfraude kunnen herkennen en wat zij kunnen doen.

Alle antwoorden op mijn vragenVragen over wie een datalek moet melden

  • Wie in een samenwerkingsverband moet een datalek melden bij de Autoriteit Persoonsgegevens?

    De algemene regel is dat de verwerkingsverantwoordelijke een datalek moet melden. Werkt u in een samenwerkingsverband? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen.

    Afspraken meldplicht datalekken

    Bij het maken van afspraken over het melden van datalekken kunt u aansluiten bij de bestaande afspraken die u, los van de meldplicht datalekken, heeft gemaakt over de naleving van de Algemene verordening gegevensbescherming (AVG).

    Welke samenwerkingspartner zorgt er bijvoorbeeld voor dat betrokkenen hun rechten kunnen uitoefenen, zoals het recht op inzage en rectificatie?

    Ook is het van belang dat u bekijkt hoe de gezamenlijke gegevenshuishouding eruitziet. Waar kunnen eventueel datalekken optreden, welke samenwerkingspartners moeten dat weten en hoe zorgt u dat ze tijdig op de hoogte worden gesteld? Maak ook hier afspraken over.

  • Moet de verwerkingsverantwoordelijke of de verwerker een datalek melden?

    Maakt u als verwerkingsverantwoordelijke gebruik van een dienst van een andere organisatie? En is die organisatie een verwerker? Dan moet u de melding doen als er een datalek is. Tenzij u expliciet afspraken maakt met de verwerker - bijvoorbeeld in de verwerkersovereenkomst - dat die namens u datalekken meldt aan de Autoriteit Persoonsgegevens (AP).

    Let op: onder de Algemene verordening gegevensbescherming (AVG) is de verwerker verplicht om de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra de verwerker weet heeft van een datalek.

    Bent u als verwerkingsverantwoordelijke verplicht om het datalek aan de betrokkenen te melden? Dan kunt u niet afspreken dat de verwerker dit namens u doet. U moet in die gevallen altijd zelf de betrokkenen informeren.

    Zie ook

  • Hoe meld ik als verwerker een datalek namens een of meerdere verwerkingsverantwoordelijken?

    Als verwerker kunt u met uw opdrachtgever(s) - de verwerkingsverantwoordelijke(n) - hebben afgesproken dat u datalekken meldt bij de Autoriteit Persoonsgegevens (AP). Hier leest u welke regels daarvoor gelden.

    Namens één verwerkingsverantwoordelijke

    Meldt u als verwerker een datalek namens één verwerkingsverantwoordelijke? Let dan hierop:

    • U meldt het datalek op naam van de verwerkingsverantwoordelijke.
    • U geeft onder '1.2 Betrokkenheid andere organisatie' de naam van uw organisatie op. Geef ook aan dat u schriftelijk gemachtigd bent om namens de verwerkingsverantwoordelijke de melding te doen.
    • De gegevens van de melder zijn die van een medewerker van uw organisatie.
    • De contactpersoon in de melding is een medewerker van de verwerkingsverantwoordelijke.

    Namens meerdere verwerkingsverantwoordelijken

    Meldt u als verwerker een datalek namens meerdere verwerkingsverantwoordelijken? Let dan hierop:

    • U doet namens elke verwerkingsverantwoordelijke een aparte datalekmelding bij de AP.
    • U doet elke datalekmelding op naam van de betreffende verwerkingsverantwoordelijke.
    • U geeft onder '1.2 Betrokkenheid andere organisatie' de naam van uw organisatie op.
      Geef ook aan dat u schriftelijk gemachtigd bent om namens de verwerkingsverantwoordelijke de melding te doen.
      Geef tot slot aan voor hoeveel andere verwerkingsverantwoordelijken het gemelde datalek geldt, bijvoorbeeld met een volgnummer.
    • De gegevens van de melder zijn die van een medewerker van uw organisatie.
    • De contactpersoon in de melding is een medewerker van de verwerkingsverantwoordelijke.

Alle antwoorden op mijn vragenPraktische vragen over het meldformulier datalekken

  • Hoe laat ik mijn melding bij de AP zo goed mogelijk verlopen?

    Om uw melding van een datalek aan de Autoriteit Persoonsgegevens (AP) via het meldloket datalekken zo goed mogelijk te laten verlopen, zijn er de volgende tips.

    Moderne browser gebruiken

    Gebruik bij het invullen van het meldformulier een moderne browserversie.

    Ontvangstbevestiging printen

    Is het versturen van de melding goed verlopen, dan krijgt u op uw scherm meteen een ontvangstbevestiging te zien. In de ontvangstbevestiging staan de gegevens die u heeft ingevoerd met daarbij een meldingsnummer.

    U kunt de melding niet online raadplegen. Maak daarom meteen een print voor uw eigen administratie voordat u het browservenster afsluit.

    Meldingsnummer gebruiken

    De melding is bekend bij de AP onder het meldingsnummer dat in de ontvangstbevestiging staat.

    U heeft het meldingsnummer nodig om de melding te kunnen aanpassen of intrekken. Let op: vul daarbij het meldingsnummer exact in zoals het op de ontvangstbevestiging staat. Neem alle tekens over en zet geen spaties tussen de tekens.

    Vermeld het meldingsnummer bij eventuele correspondentie over uw melding met de AP.

  • Wat wordt bedoeld met 'gegevensrecords' in het meldformulier?

    In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.

    Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term 'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een regel in een Excel-bestand. Eén regel in de lijst is dan één gegevensrecord.

    Voorbeelden van gegevensrecords

    Aankoop bij een webwinkel
    Een aankoop bij een webwinkel is één gegevensrecord. Dit gegevensrecord kan onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de aankoop.

    Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben.
     
    Kopie paspoort
    Een kopie van een paspoort is één gegevensrecord. Daarop staan naast naam en geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
     
    Gebruik van logfiles
    Gebruikt een ziekenhuis logfiles om vast te leggen wie wanneer inzage heeft gehad in een medisch dossier? Dan is elke log één gegevensrecord.

    En gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product heeft toegevoegd aan een winkelmandje? Dan is elke logregel één gegevensrecord.

  • Wat moet ik doen als ik op versturen heb geklikt maar geen ontvangstbevestiging en meldingsnummer zie?

    Het kan zijn dat u niet alle gegevens (goed) heeft ingevuld en dat daardoor het versturen niet is gelukt. Het kan ook gebeuren dat uw melding door een technisch probleem niet is verwerkt.

    Niet goed ingevuld

    Heeft u nog niet alle gegevens correct ingevuld, dan lukt het niet om de melding te versturen.

    U lost dit op door de ontbrekende gegevens aan te vullen en de onjuiste gegevens te corrigeren. In het meldformulier ziet u foutmeldingen bij de gegevens waar het om gaat.

    Technisch probleem

    Ziet u na het versturen van het formulier een foutmelding of een leeg formulier? Dan is uw melding door een technisch probleem niet verwerkt. U moet dan de melding opnieuw invullen en versturen.

  • Kan ik mijn melding van een datalek aanvullen of intrekken?

    Ja, u kunt de melding die u gedaan heeft aanvullen of intrekken. Dit doet u via het meldloket datalekken. U heeft daarbij uw meldingsnummer nodig.

    Let op: vul het meldingsnummer exact in zoals het op de ontvangstbevestiging van uw melding staat. Neem alle tekens over en zet geen spaties tussen de tekens.

  • Waarom moet ik bij het aanvullen of intrekken van een datalekmelding de gegevens opnieuw invullen?

    Uw melding van een datalek wordt verstuurd naar een beveiligde, afgesloten omgeving. U kunt de gegevens daarna niet meer inzien of aanpassen via het meldloket. Dit is zo ingericht om ongeoorloofde toegang tot datalekmeldingen te voorkomen.

    Dit betekent dat u bij het aanvullen of intrekken van een datalekmelding de verplichte gegevens in het formulier nogmaals moet invullen.

    Bij velden met vrije tekst, zoals de samenvatting van het incident, kunt u verwijzen naar de oorspronkelijke melding. U hoeft dan niet de volledige tekst opnieuw in te vullen.

Alle antwoorden op mijn vragenVragen van organisaties over datalekken door ransomware

  • Wat is ransomware?

    Ransomware is malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin.

    Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken.

    Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.

  • Is er na besmetting met ransomware sprake van een datalek?

    Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

    De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

    Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

  • Wat kan ik doen nadat er een aanval met ransomware is vastgesteld?

    U kunt de omvang van de inbreuk achteraf (laten) onderzoeken. Een van de meest gangbare manieren hiervoor is digitaal forensisch onderzoek.

    Onderzoek niet verplicht

    U bent vanuit de meldplicht datalekken niet verplicht zo'n (digitaal forensisch) onderzoek te (laten) doen. Het is aan u om te besluiten of u de omvang van de inbreuk wilt (laten) onderzoeken of niet.

    Zonder onderzoek zal de onzekerheid over de omvang van de besmetting echter blijven bestaan. Dit betekent dat u niet redelijkerwijs kunt uitsluiten dat persoonsgegevens door een derde zijn ingezien, gekopieerd, gestolen of veranderd.

    Andere manieren dan onderzoek

    Andere manieren dan onderzoek (laten) doen zijn ook mogelijk. U kunt bijvoorbeeld functionaliteiten van de malware (laten) analyseren als achterhaald kan worden met welke malware de inbreuk is gepleegd.

    Logging en controle op de logging kunnen ook helpen bij het bepalen van de omvang van de inbreuk. Dit is mogelijk als het systeem zo is ingericht dat alle manieren worden gelogd waarop gegevens benaderd kunnen worden.

  • Kan ik ervan uitgaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of deel van het systeem?

    Nee. De besmetting door ransomware kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

    Om de daadwerkelijke omvang van het datalek te bepalen, kunt u onderzoek (laten) doen. Hiermee kunt u bepalen tot welke persoonsgegevens onbevoegde toegang is geweest en of de gegevens bijvoorbeeld zijn verkocht.

    Als u geen onderzoek doet, moet u ervan uitgaan dat alle gegevens in gekoppelde bestanden of systemen door de besmetting getroffen kunnen zijn.

  • Kunnen bestanden zijn versleuteld zonder eerst geopend te zijn?

    Nee. Voordat bestanden kunnen worden versleuteld, moeten ze eerst worden geopend. Pas daarna kan de ransomware de gegevens versleutelen en vervolgens de versleutelde inhoud opslaan.

    Als u de bestanden versleuteld aantreft, is het dus zeker dat een derde toegang heeft gehad tot deze bestanden en deze heeft geopend. En dat betekent ook dat deze derde de gegevens in die bestanden heeft kunnen inzien en kopiëren.

  • Is de inbreuk beëindigd als ik de bestanden heb teruggezet uit de backups en de ransomware is verwijderd?

    Nee. Als u niet heeft onderzocht wat de omvang van de inbreuk is geweest, kunt u niet aannemen dat de inbreuk beperkt is gebleven tot het versleutelen van de betreffende bestanden.

    Bij inbreuken waarbij ransomware is aangetroffen, is de controle over het systeem in ieder geval gedeeltelijk verloren gegaan.

    U moet er rekening mee houden dat een derde toegang heeft gehad tot het hele systeem en alle gekoppelde bestanden en systemen.

    Dat betekent dat u ervan uit moet gaan dat alle gegevens in het systeem en ook in daaraan gekoppelde bestanden en systemen hebben blootgestaan aan de inbreuk. Daarmee kan het datalek groter zijn dan het op het eerste gezicht lijkt.

Alle antwoorden op mijn vragenVragen over het melden van een datalek door ransomware

  • Moet ik een datalek als gevolg van ransomware melden bij de Autoriteit Persoonsgegevens?

    Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat u het datalek bij de Autoriteit Persoonsgegevens moet melden als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.

    U kunt er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken.

    Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.

  • Moet ik een datalek als gevolg van ransomware melden aan de betrokkenen?

    U moet de betrokkenen informeren als het datalek door ransomware waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen.

  • Moet ik het datalek melden aan de betrokkenen als de gegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden?

    Heeft u door encryptie de (mogelijk) gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor onbevoegden? Dan kunt u de melding aan de betrokkenen eventueel achterwege laten.

    Dit is een strenge norm, die u van geval tot geval moet toepassen op basis van de actuele stand van de techniek. Bovendien geldt deze uitzondering alleen maar als:

    • de gegevens nog volledig intact zijn;
    • u nog steeds de volledige controle over de gegevens heeft;
    • de sleutel die voor de encryptie of voor de hashing is gebruikt bij de inbreuk geen gevaar heeft gelopen en voor onbevoegden met de beschikbare technologische middelen niet te vinden is.

    Wel melden

    Twijfelt u over de adequaatheid van de technische beschermingsmaatregelen die u heeft getroffen? Dan moet u het datalek melden aan de betrokkenen.

    Zijn de gegevens door de ransomware niet meer toegankelijk voor u en voor de betrokkenen? En is er geen back-up voorhanden? Dan moet u dit mogelijk wél aan de betrokkenen melden.

    In dat geval is namelijk sprake van verlies van persoonsgegevens. Ook als u de gegevens had geëncrypt.

    Criteria melden datalek aan betrokkenen

    U moet de betrokkenen informeren als het datalek door ransomware waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen.

    Hiervoor moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

    Meer informatie vindt u in hoofdstuk III en IV van de Guidelines meldplicht datalekken.

Alle antwoorden op mijn vragenVragen over risico's verkleinen bij malware en ransomware

  • Wat kan ik doen om het risico op een datalek door malware te verkleinen?

    Belangrijke maatregelen waarmee u het risico op een datalek door malware (bijvoorbeeld door ransomware) verkleint, zijn onder meer:

    • op tijd software-updates installeren;
    • geen verouderde (netwerk)protocollen gebruiken;
    • computernetwerken en -systemen segmenteren (scheiden).

    Praktische hulp bij technische maatregelen

    Meer praktische informatie over technische maatregelen vindt u in deze documenten:

    Melden bij de AP

    Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens getroffen zijn? Dan hoeft u alleen niet te melden als het niet waarschijnlijk is dat de besmetting leidt tot een risico voor de rechten en vrijheden van betrokkenen.

    Bij dit onderzoek moet u onder andere kijken naar de kans dat de malware zich verspreidt via uw computernetwerk. Blijkt uit uw onderzoek dat er waarschijnlijk een risico is voor de rechten en vrijheden van betrokkenen? Dan moet u de besmetting met malware als datalek melden bij de AP.

    Melden aan betrokkenen

    Is uw organisatie getroffen door malware waarbij (mogelijk) persoonsgegevens getroffen zijn? Dan moet u onderzoeken of de inbreuk waarschijnlijk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen.

    U kunt daarvoor technisch onderzoek (laten) uitvoeren, zoals analyse van logbestanden. Blijkt uit dit onderzoek dat het niet waarschijnlijk is dat de inbreuk leidt tot een hoog risico voor de rechten en vrijheden van de betrokkenen? Dan hoeft u hen niet te informeren.

  • Wat kan ik doen om de omvang van een eventuele (toekomstige) inbreuk te beperken?

    U kunt de omvang van een inbreuk beperken door gegevens offline te bewaren en door netwerksegmentatie toe te passen.

    Bij netwerksegmentatie (het scheiden van interne netwerken) kan een inbreuk beperkt worden gehouden tot het direct getroffen netwerk.

    Het is van belang om de toegang tot gegevens goed bij te houden (loggen) en te monitoren. Hierdoor kan de tijdsduur van een inbreuk beperkt blijven en kunt u snel actie ondernemen.

Hulpmiddelen voor professionals

Privacyverhalen

Lees deze privacyverhalen

Gerrit (72) werd slachtoffer van een datalek én een auto-inbraak. Toeval?

Bij Onno’s administratiekantoor ontstond een datalek door een verkeerd geadresseerde mail

Meer privacyverhalen

Praktische hulpmiddelen

Stappenplan 'Kom in actie bij een datalek'

Voorbeeldlijst wel/niet melden datalek

10 tips voor datalekregistratie

Guidelines meldplicht datalekken

Vragenlijst meldformulier datalekken

Questionnaire personal data breach notification form

Publicaties

Al het onderzoek over het onderwerp 'Meldplicht datalekken'Alle wetgevingsadviezen over het onderwerp 'Meldplicht datalekken'