Datalek melden — stappenplan voor het MKB.

Een datalek is geen abstract privacy-onderwerp meer — het is een operationeel risico dat elk MKB met klantgegevens, personeelsdossiers of facturen raakt. De AVG (en in Nederland de Uitvoeringswet AVG) verplicht u om datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Doet u dat niet of te laat, dan kunnen er boetes volgen tot 4% van uw wereldwijde omzet.

Wat is een datalek volgens AVG?

Een datalek is elk incident waarbij persoonsgegevens onbedoeld toegankelijk worden voor iemand die er geen recht op heeft — of waarbij persoonsgegevens verloren gaan, vernietigd of gewijzigd worden zonder toestemming. Het hoeft dus niet altijd om een hack te gaan. Voorbeelden uit de praktijk:

• Ransomware-aanval waarbij klantdata versleuteld of gestolen wordt.
• Verloren laptop of USB-stick zonder versleuteling.
• Mailadres-fout: een bijlage met persoonsgegevens naar de verkeerde ontvanger.
• Phishing-incident waarbij credentials zijn buitgemaakt.
• Onbedoelde publicatie van een klantenlijst op een openbare site.
• Onrechtmatige toegang door een ex-medewerker die nog actieve credentials had.

Wanneer moet u melden bij de AP?

U moet melden bij de Autoriteit Persoonsgegevens binnen 72 uur nadat u kennis heeft genomen van het lek — tenzij het lek aantoonbaar geen risico vormt voor de betrokkenen. Daarnaast moet u betrokkenen zelf informeren als het lek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden (denk aan financiële schade, identiteitsdiefstal, discriminatie).

De 72-uur termijn loopt vanaf het moment dat u kennis neemt — niet vanaf het moment dat het lek ontstaat. Maar voor een geïnformeerde melding heeft u tijd nodig om vast te stellen wat er precies is gebeurd, welke data en hoeveel betrokkenen het raakt.

Het 72-uur stappenplan

1. Uur 0-2: Detectie + isolatie. Sluit het lek af. Bij ransomware: isoleer de getroffen machines van het netwerk. Bij verkeerd verstuurde mail: probeer terug te halen, vraag de ontvanger te wissen.
2. Uur 2-12: Scope bepalen. Welke data is gelekt? Hoeveel betrokkenen? Wat is de gevoeligheid (BSN, financieel, gezondheid)? Documenteer alles.
3. Uur 12-48: Risico-analyse. Vormt het lek een risico voor betrokkenen? Hoog risico? Dan ook hen informeren.
4. Uur 48-72: Melding bij AP. Via datalek melden bij de Autoriteit Persoonsgegevens. Inclusief: wat, wanneer, hoeveel, welke maatregelen genomen.
5. Na uur 72: Documentatie + nazorg. Update register van datalekken, communiceer met betrokkenen indien nodig, evalueer en pas beleid aan.

Datalek voorkomen — 5 maatregelen die nu kunnen

De beste melding is geen melding — omdat er niets gelekt is. Vijf maatregelen die het MKB direct kan implementeren:

1. MFA op alle accounts. Multi-factor authenticatie voorkomt 99,9% van credential-gebaseerde lekken.
2. Endpoint-versleuteling. BitLocker (Windows) of FileVault (Mac) op elke laptop. Verloren laptop = geen lek als hij versleuteld is.
3. Sensitivity labels (Microsoft Purview). Voorkom dat gevoelige documenten extern gedeeld worden.
4. Awareness training. Phishing-simulaties + 20-minuten klik-training werken aantoonbaar.
5. Offboarding-checklist. Direct accounts blokkeren bij medewerker-vertrek. Stale credentials zijn een veelvoorkomende oorzaak.

De rol van uw IT-partner

Een goede MSP doet niet alleen technische maatregelen, maar levert ook de documentatie en het register dat u onder NIS2 en AVG moet bijhouden. Bij Corda IT zit dat in onze cybersecurity-aanpak: incident-response procedures, een datalek-runbook, en koppeling naar onze SentinelOne EDR die mogelijk lekken detecteert vóór ze worden uitgebuit. Onder NIS2 wordt dit zelfs verplicht voor veel organisaties — zie onze NIS2-aanpak.