Datalek melden bij de Autoriteit Persoonsgegevens: complete gids
Veel ondernemers weten niet dat een ransomware-aanval bijna altijd een meldingsplichtig datalek is. Onder de AVG moet u dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Te laat of niet melden kan boetes opleveren tot 4% van uw wereldwijde jaaromzet — voor de meeste MKB-bedrijven dus tonnen tot miljoenen.
Wanneer is een ransomware-aanval een datalek?
Bijna altijd. Onder de AVG is er sprake van een datalek bij elke 'inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of toegang tot persoonsgegevens'. Bij ransomware geldt:
- Vernietiging: bestanden zijn versleuteld en niet toegankelijk → datalek
- Toegang: criminelen hadden toegang tot systemen met persoonsgegevens → datalek
- Verlies: data is gestolen voor 'double extortion' → datalek én meldingsplichtig aan betrokkenen
De 72-uurs klok tikt vanaf het moment van ontdekking
De 72 uur begint te lopen vanaf het moment dat uw organisatie 'redelijkerwijs' van de inbreuk op de hoogte was — niet vanaf het moment dat u alles uitgezocht heeft. Bij twijfel: alvast een voorlopige melding doen en later aanvullen is beter dan te laat melden.
Wat moet u melden?
De melding aan de AP bevat:
- Aard van de inbreuk (ransomware-aanval, datadiefstal, etc.)
- Categorieën en aantal betrokken personen
- Categorieën en aantal getroffen persoonsgegevens
- Te verwachten gevolgen voor betrokkenen
- Genomen en voorgenomen maatregelen om de inbreuk aan te pakken en de gevolgen te beperken
- Contactpersoon (Functionaris voor Gegevensbescherming of vergelijkbare rol)
Moet u betrokkenen ook informeren?
Als het datalek 'waarschijnlijk een hoog risico' oplevert voor betrokkenen (bijvoorbeeld bij diefstal van BSN, financiële gegevens of medische data), bent u verplicht om óók de getroffen personen rechtstreeks te informeren. Dit is een aparte verplichting náást de melding aan de AP.
Hoe meldt u (technisch)?
Meld online via het Meldloket Datalekken van de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Bewaar het meldingsnummer en alle bevestigingen. Documenteer intern wát u wanneer heeft gemeld — bij latere vragen of inspectie is dit essentieel bewijs.
Datalek-meldingen zijn juridisch complex en de tijdsdruk is hoog. Bij Van Rosmalen Automatisering helpen wij niet alleen bij het technisch herstel maar ook bij de juiste meldingen. Meer over onze incident response op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
AVG en ransomware: uw wettelijke verplichtingen op een rij
De Algemene Verordening Gegevensbescherming (AVG) raakt elk bedrijf dat met persoonsgegevens werkt. Bij een ransomware-aanval gelden specifieke verplichtingen. Dit moet u weten.
Lees meerWat moet u doen tijdens een ransomware aanval? Stap voor stap
U ziet een melding dat uw bestanden versleuteld zijn. Wat nu? Dit zijn de eerste 60 minuten — de belangrijkste minuten — uitgelegd in heldere stappen.
Lees meerIncident response plan: wat erin moet (sjabloon voor MKB)
Bij een aanval zoekt niemand naar een PDF met procedures. Een goed incident response plan bestaat uit korte, glasheldere stappen — en is van tevoren geoefend.
Lees meer