Wat houdt de meldplicht van de AVG in?
Wat houdt de meldplicht van de AVG in?
De AVG verplicht organisaties in veel situaties om een melding te maken, wanneer er sprake is van een datalek. Wat een datalek is, wanneer je aan de meldplicht moet voldoen en wat deze plicht inhoudt, wordt in dit artikel beschreven.
Datalek
Voordat je kan voldoen aan de meldplicht die de AVG voorschrijft, dien je eerst te weten wat een datalek is. Een datalek wordt in de AVG omschreven als een inbreuk in verband met persoonsgegevens.
Daarvan is sprake wanneer een inbreuk op de beveiliging per ongeluk of op onrechtmatig wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Het woord ‘datalek’ komt overigens niet voor in de AVG. De term datalek kan namelijk verwarrend zijn, als je leest welke soorten inbreuken er zijn.
Categorieën inbreuken
De inbreuken in verband met persoonsgegevens kunnen worden gecategoriseerd in drie categorieën:
-
Schending van de vertrouwelijkheid. Wanneer er sprake is van ongeoorloofde of onbedoelde openbaarmaking van, of toegang tot persoonlijke gegevens.
- Integriteitsschending. Wanneer er sprake is van een ongeoorloofde of onopzettelijke wijziging van persoonlijke gegevens.
- Schending van de beschikbaarheid. Wanneer de toegang tot of vernietiging van persoonsgegevens.
Afhankelijk van de omstandigheden kan een inbreuk in één of meer van die categorieën vallen.
In de volksmond wordt een datalek meestal gezien als een ‘schending van de vertrouwelijkheid’. Zolang je bij het woord datalek maar blijft denken aan alle drie de genoemde soorten inbreuken, dan is het niet erg om het over datalekken te hebben.
Meldplicht
Zodra de verwerkingsverantwoordelijke bewust is van een datalek, dient hij na te gaan of in het specifieke geval de meldplicht geldt. Hierbij moet je letten op drie punten:
- De documentatie van het datalek intern.
- het melden van het datalek aan de bevoegde nationale toezichthoudende autoriteit.
- het melden van het datalek aan de betrokken personen.
Download gratis onze checklist AVG opzetten

Inhoud melding
De melding van het datalek moet in ieder geval de volgende elementen bevatten:
- Een beschrijving van de feiten die leidde tot het datalek.
- Een beschrijving van de waarschijnlijke gevolgen van het datalek.
- Een beschrijving van de genomen corrigerende maatregelen.
Interne documentatie
Het is, ongeacht de risico’s, verplicht en ook zeer raadzaam om alle inbreuken in verband met persoonsgegevens intern te documenteren. Wanneer later wordt gevraagd waarom het datalek niet werd gemeld, is het belangrijk om te kunnen aantonen dat er na een uitvoerige analyse van het datalek een welbewuste keuze is gemaakt over het al dan niet melden ervan. Ook draagt de interne documentatie bij aan de bewustwording, hetgeen van belang is ter preventie van mogelijke toekomstige datalekken.
Meldplicht aan de Autoriteit Persoonsgegevens
In Nederland is de bevoegde nationale toezichthoudende autoriteit de Autoriteit Persoonsgegevens (AP). Het datalek moet aan de AP worden gemeld, tenzij het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen.
Meldplicht aan de betrokken personen
Het datalek moet aan de betrokken personen worden vermeld, wanneer het datalek een hoog risico voor de rechten en vrijheden van betrokken personen inhoudt. Of er sprake is van een hoog risico, hangt af van de mogelijke gevolgen van het datalek.
Bepalen risico
Aan de hand van het vastgestelde risico, bepaalt de verwerkingsverantwoordelijke aan wie hij melding doet. Ook bepaalt de verwerkingsverantwoordelijke na de risicobeoordeling welke maatregelen er dienen worden genomen om een volgend datalek te voorkomen.
De verwerkingsverantwoordelijke analyseert op het moment dat er sprake is van een datalek in hoeverre het datalek een risico oplevert voor de rechten en vrijheden van de betrokken personen.
De impact van een datalek verschilt per geval. Het datalek kan grote gevolgen hebben voor de betrokken personen. Daarbij moet worden gedacht aan fysieke, materiële of immateriële schade.
Ter illustratie kan het verlies van de controle over persoonsgegevens een beperking van de rechten, discriminatie, identiteitsdiefstal, fraude, financieel verlies, reputatieschade, economisch of een sociaal nadeel opleveren.
In onze specials over datalekken hebben we ook geschreven over:
👉 Datalek en vereerd bezorgde post.
👉 Gestolen apparatuur en datalekken
Onze training Basis kennis AVG geeft je direct de inzichten om het professioneel aan te pakken.

Lees ook:
Dit zijn de boetes en reputatieschade door een datalek
In dit blog behandelen we de boetes en reputatieschade als gevolg van een datalek en de consequenties als je niet voldoet aan de AVG.
Datalek door verkeerd bezorgde post
Een datalek door verkeerd bezorgde post valt helaas niet uit te sluiten. Wel is het mogelijk om het datalek zo goed mogelijk aan te pakken.