Wanneer ben ik verplicht een datalek te melden bij de Autoriteit Persoonsgegevens?

U bent verplicht een datalek te melden bij de Autoriteit Persoonsgegevens (AP) conform AVG art. 33 lid 1 wanneer sprake is van een inbreuk op de beveiliging van persoonsgegevens die waarschijnlijk een risico oplevert voor de rechten en vrijheden van natuurlijke personen. De melding moet uiterlijk 72 uur na ontdekking worden gedaan. Geen meldplicht bestaat als de inbreuk waarschijnlijk geen risico voor betrokkenen oplevert (bijv. verlies van versleutelde gegevens waarbij de sleutel veilig is). Bij hoog risico (gevoelige gegevens, grote groepen betrokkenen, risico op identiteitsfraude of financiële schade) moet niet alleen de AP maar ook de betrokkenen zelf onverwijld worden geïnformeerd (AVG art. 34). Alle inbreuken — ook die zonder meldplicht aan de AP — moeten intern worden gedocumenteerd in een datalekkenregister (AVG art. 33 lid 5). De AP hanteert bij twijfelgevallen het uitgangspunt: meld als u twijfelt. Een te late of ontbrekende melding kan leiden tot een bestuurlijke boete van de AP tot € 10.000.000 (AVG art. 83 lid 4).

Wat moet ik doen als ik niet alle informatie binnen 72 uur heb?

AVG art. 33 lid 4 staat een gefaseerde melding toe: als niet alle vereiste informatie binnen 72 uur beschikbaar is, kunt u een eerste, incomplete melding doen bij de AP en de aanvullende informatie zo spoedig mogelijk daarna indienen. In de eerste melding vermeldt u waarom de informatie nog niet beschikbaar is en wanneer u verwacht de aanvulling te kunnen doen. De AP accepteert gefaseerde meldingen; wat zij niet accepteert is wachten totdat alle informatie beschikbaar is als dat meer dan 72 uur duurt. Meld direct na ontdekking, ook met beperkte informatie: aard van de inbreuk, geschat aantal betrokkenen, en de contactgegevens van uw FG of contactpersoon. Voeg aanvullingen toe via het meldloket van de AP zodra u meer weet. Documenteer in uw interne datalekkenregister waarom de aanvulling later plaatsvond. De AP beoordeelt de vertraging op basis van de omstandigheden en uw medewerking.

Wanneer moet ik ook betrokkenen informeren over het datalek?

Betrokkenen moeten onverwijld worden geïnformeerd conform AVG art. 34 wanneer de inbreuk waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden. Hoog risico is aanwezig bij: bijzondere categorieën persoonsgegevens (medische gegevens, biometrische gegevens, BSN-nummers, financiële gegevens, strafrechtelijke gegevens); grote aantallen betrokkenen; risico op identiteitsfraude, financiële schade, discriminatie, of reputatieschade; of als criminelen actief gebruik maken van de gelekte gegevens. Uitzonderingen op de communicatieplicht (AVG art. 34 lid 3): (1) de betrokken persoonsgegevens zijn versleuteld met sterke encryptie en de sleutel is niet gelekt; (2) passende maatregelen zijn genomen waardoor het hoge risico waarschijnlijk niet meer bestaat; (3) communicatie naar alle betrokkenen onevenredige inspanning vereist — in dat geval een openbare mededeling via website of media. De communicatie aan betrokkenen moet duidelijk en begrijpelijk zijn: wat is er gebeurd, welke gegevens zijn betrokken, welke risico's bestaan voor betrokkenen, welke maatregelen zijn genomen, en hoe betrokkenen contact kunnen opnemen.

Moet mijn verwerker (cloud-dienst, IT-leverancier) het datalek aan de AP melden?

Nee, verwerkers (cloud-dienstverleners, IT-leveranciers, salarisverwerkers) zijn niet verplicht datalekken rechtstreeks te melden aan de AP. De meldplicht aan de AP rust op de verwerkingsverantwoordelijke (AVG art. 33 lid 1). Verwerkers zijn op grond van AVG art. 28 lid 3 sub f verplicht de inbreuk onverwijld te melden aan de verwerkingsverantwoordelijke, zodat die de beoordeling kan doen of AP-melding nodig is. De verwerkersovereenkomst (AVG art. 28) moet een expliciete bepaling bevatten over de termijn waarbinnen de verwerker de verwerkingsverantwoordelijke informeert (in de praktijk 24 uur). Als de verwerker een inbreuk te laat of niet meldt aan de verwerkingsverantwoordelijke, kan de verwerkingsverantwoordelijke de vertraging als reden opgeven bij de AP-melding. Bij ernstige tekortkomingen van de verwerker kan de verwerkingsverantwoordelijke schadeverhaal claimen op basis van de verwerkersovereenkomst. Zie het model verwerkersovereenkomst op forms-legal.com voor de juiste contractuele bepaling over datalekkenmelding.

Hoeveel boete kan de AP opleggen bij een niet-gemelde datalek?

De Autoriteit Persoonsgegevens (AP) kan bij een niet-tijdig of niet-gemeld datalek een bestuurlijke boete opleggen op grond van AVG art. 83. Bij overtreding van de meldplicht (AVG art. 33) of de communicatieplicht aan betrokkenen (AVG art. 34): maximale boete van € 10.000.000 of 2% van de wereldwijde jaaromzet van de voorgaande twaalf maanden, het hoogste bedrag. Bij ernstigere overtredingen (bijv. structurele nalatigheid, doelbewust verzwijgen, of inbreuk op de beveiligingsplicht AVG art. 32): maximale boete van € 20.000.000 of 4% van de wereldwijde jaaromzet. De AP hanteert het Boetebeleid AVG van 2018 (herzien 2022): factoren die de boete verhogen zijn de ernst en duur van de overtreding, de schade voor betrokkenen, opzettelijkheid of nalatigheid, eerdere overtredingen, medewerking met het toezicht, en de financiële draagkracht van de organisatie. Eerste overtreders die actief meewerkten aan het onderzoek en snel actie hebben ondernomen, ontvangen doorgaans een lagere boete of een bindende aanwijzing in plaats van een boete.

Is een datalek melding bij de AP ook verplicht voor kleine bedrijven en zzp'ers?

Ja, de meldplicht datalekken van AVG art. 33 geldt voor alle verwerkingsverantwoordelijken, ongeacht de omvang van de organisatie. Dit omvat grote bedrijven, MKB, kleine bedrijven, eenmanszaken, ZZP'ers, en zelfs particulieren die persoonsgegevens verwerken in het kader van beroepsactiviteiten. De AVG kent geen uitzondering voor kleine organisaties bij de meldplicht. Wel bestaat er een uitzondering van de aanstellingsplicht van een Functionaris Gegevensbescherming (FG) voor kleine bedrijven (AVG art. 37 stelt de aanstelling verplicht voor overheidsorganen en organisaties die grootschalige verwerking van bijzondere gegevens verrichten). Kleine organisaties die incidenteel een BSN-nummer verwerken of een klantenbestand bijhouden, vallen ook onder de meldplicht als er een inbreuk plaatsvindt die risico oplevert voor betrokkenen. Praktische tip voor kleine bedrijven: stel een eenvoudig datalekkenprotocol op met de contactgegevens van de AP en een stappenplan voor incidenten. forms-legal.com biedt de melding-template als startpunt.

Hoe meld ik een datalek bij de Autoriteit Persoonsgegevens?

Een datalek meldt u bij de Autoriteit Persoonsgegevens (AP) via het online meldloket op autoriteitpersoonsgegevens.nl, rubriek Meldloket datalekken. U heeft daarvoor twee opties: melden met een organisatieaccount (aanbevolen voor meerdere meldingen vanuit dezelfde organisatie, met eenvoudige toegang tot lopende meldingen) of melden als gast (voor incidentele meldingen, zonder account). Het online formulier leidt u stap voor stap door de vereiste informatie conform AVG art. 33 lid 3: aard van de inbreuk, categorieën en aantallen betrokkenen en gegevens, gevolgen, en maatregelen. U kunt aanvullende documenten (forensisch rapport, incidentrapport) uploaden als bijlage. Na indiening ontvangt u een meldingsnummer van de AP; bewaar dit voor uw interne documentatie en voor eventuele aanvullingen. De AP bevestigt ontvangst per e-mail. Als u meer tijd nodig heeft dan 72 uur: dien een eerste incomplete melding in (gefaseerde melding, AVG art. 33 lid 4) en vul aan zodra meer informatie beschikbaar is. forms-legal.com biedt de AP Dataleak Melding als voorbereiding voor de definitieve indiening via het AP-meldloket.

AP Dataleak Melding Nederland

MELDING DATALEK — AUTORITEIT PERSOONSGEGEVENS NEDERLAND

Op grond van AVG art. 33 en Uitvoeringswet AVG (UAVG) art. 15

INTERN CONCEPT — Definitieve melding via meldloket op autoriteitpersoonsgegevens.nl

Gegevens verwerkingsverantwoordelijke

1. GEGEVENS VERWERKINGSVERANTWOORDELIJKE

Naam organisatie: [Organisatie Naam]

KVK-nummer: [Kvk Nummer]

Adres: [Organisatie Adres]

FG / contactpersoon gegevensbescherming: [Contactpersoon Naam]

E-mail contactpersoon: [Contactpersoon Email]

Telefoon contactpersoon: [Contactpersoon Telefoon]

Aard van de inbreuk

2. AARD EN OMSTANDIGHEDEN VAN DE INBREUK (AVG art. 33 lid 3 sub a)

Aard van de inbreuk: [Aard Inbreuk]

Omschrijving: [Omschrijving Inbreuk]

Datum inbreuk: [Datum Inbreuk]

Datum ontdekking: [Datum Ontdekking]

Inbreuk gedicht: [Inbreuk Gedicht]

Betrokkenen en persoonsgegevens

3. BETROKKENEN EN PERSOONSGEGEVENS (AVG art. 33 lid 3 sub b en c)

Categorieën betrokkenen: [Categorieen Betrokkenen]

Geschat aantal betrokkenen: [Aantal Betrokkenen]

Categorieën persoonsgegevens: [Categorieen Gegevens]

Bijzondere categorieën betrokken (AVG art. 9): [Bijzondere Categorieen]

Gevolgen en maatregelen

4. GEVOLGEN EN MAATREGELEN (AVG art. 33 lid 3 sub d en e)

Risico-inschatting voor betrokkenen: [Risico Niveau Betrokkenen]

Waarschijnlijke gevolgen: [Waarschijnlijke Gevolgen]

Genomen maatregelen: [Genome Maatregelen]

Geplande verdere maatregelen: [Geplande Verdere Maatregelen]

5. VERKLARING EN ONDERTEKENING

Ondergetekende verklaart dat de bovenstaande informatie naar waarheid en volledig is ingevuld. De definitieve melding wordt ingediend via het meldloket datalekken van de Autoriteit Persoonsgegevens op autoriteitpersoonsgegevens.nl.

Plaats: [Plaats Melding]

Datum: [Datum Melding]

Naam contactpersoon: [Contactpersoon Naam]

Handtekening: __________________________

NB: Alle inbreuken moeten intern worden gedocumenteerd in een datalekkenregister (AVG art. 33 lid 5), ook als geen melding aan de AP is vereist.

FG / Contactpersoon gegevensbescherming

________________

Signature

Onderhouden door Vladislav Sergienko, Oprichter·Sjabloon laatst gewijzigd: 2026-06-23·Een fout melden

Wat is AP Dataleak Melding Nederland?

De AP Dataleak Melding in Nederland is de melding waarmee een verwerkingsverantwoordelijke een inbreuk op de beveiliging van persoonsgegevens aan de Autoriteit Persoonsgegevens doorgeeft, op grond van AVG art. 33 en de Uitvoeringswet AVG. De melding moet binnen tweeënzeventig uur na ontdekking worden gedaan tenzij het datalek waarschijnlijk geen risico voor betrokkenen oplevert; bij een hoog risico moeten op grond van AVG art. 34 ook de betrokkenen zelf worden geïnformeerd, en elk datalek moet intern worden gedocumenteerd ongeacht of melding nodig was.

De meldplicht datalekken is vastgelegd in AVG art. 33 lid 1: een inbreuk op de beveiliging van persoonsgegevens moet uiterlijk 72 uur na ontdekking worden gemeld bij de bevoegde toezichthoudende autoriteit, tenzij de inbreuk waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Bij een groot risico voor betrokkenen (AVG art. 34) moet ook de betrokkenen zelf onverwijld worden geïnformeerd. De verwerkingsverantwoordelijke is verplicht alle inbreuken te documenteren conform AVG art. 33 lid 5, ook als geen melding aan de AP is vereist.

Een inbreuk op de beveiliging van persoonsgegevens (datalek) is conform AVG art. 4 lid 12 een inbreuk op de beveiliging die leidt tot de onopzettelijke of onrechtmatige vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Voorbeelden: ransomware-aanval op systemen met persoonsgegevens, verlies van een laptop of USB-stick met niet-versleutelde persoonsgegevens, onbedoelde e-mailverzending van persoonsgegevens naar de verkeerde ontvanger, diefstal van papieren dossiers, en ongeautoriseerde toegang door een medewerker of externe partij.

De meldplicht datalekken geldt voor alle verwerkingsverantwoordelijken in Nederland: bedrijven, overheidsorganen, zorginstellingen, scholen, verenigingen, en eenmanszaken die persoonsgegevens verwerken. Verwerkers (bijv. cloud-dienstverleners, IT-leveranciers) zijn niet rechtstreeks meldplichtig aan de AP; zij moeten de inbreuk onverwijld melden aan de verwerkingsverantwoordelijke (AVG art. 28 lid 3 sub f), die vervolgens beoordeelt of melding aan de AP vereist is.

De AP controleert de naleving van de meldplicht actief en kan bij niet-tijdige of onjuiste melding een bestuurlijke boete opleggen tot € 10.000.000 of 2% van de wereldwijde jaaromzet (AVG art. 83 lid 4) of bij ernstige overtredingen tot € 20.000.000 of 4% van de wereldwijde jaaromzet (AVG art. 83 lid 5 en 6). De AP publiceert elk jaar een datalekkenrapport met statistieken over gemelde incidenten.

De meldprocedure verloopt via het meldloket datalekken van de AP op autoriteitpersoonsgegevens.nl. Meldingen worden ingediend via het online meldformulier met een organisatieaccount of als gast. forms-legal.com biedt een gestructureerd model voor de interne voorbereiding en documentatie van de melding; de definitieve melding wordt ingediend via het officiële AP-meldloket. Het is essentieel dat de organisatie een verwerkersovereenkomst heeft met alle verwerkers die persoonsgegevens verwerken (AVG art. 28).

Bij internationale inbreuken (organisaties actief in meerdere EU-lidstaten): de leidende toezichthoudende autoriteit (Lead Supervisory Authority) is bevoegd conform AVG art. 56. Voor in Nederland gevestigde verwerkingsverantwoordelijken is de AP in principe de leidende autoriteit. Bij grensoverschrijdende inbreuken in andere EU-lidstaten kunnen ook de andere nationale toezichthouders worden geïnformeerd via het one-stop-shop mechanisme van AVG art. 60.

Wanneer heeft u AP Dataleak Melding Nederland nodig?

De AP Dataleak Melding Nederland is verplicht in de volgende situaties.

Ransomware-aanval waarbij persoonsgegevens zijn versleuteld of gestolen. Bij een ransomware-aanval waarbij systemen met persoonsgegevens zijn versleuteld en/of de criminelen persoonsgegevens hebben buitgemaakt, is melding aan de AP verplicht als er een risico bestaat voor betrokkenen (AVG art. 33). Ransomware-aanvallen waarbij persoonsgegevens worden geëxfiltreerd (gestolen) vormen doorgaans een hoog risico; dan is ook communicatie aan de betrokkenen verplicht (AVG art. 34). Melding uiterlijk 72 uur na ontdekking.

Verlies of diefstal van apparaat met onversleutelde persoonsgegevens. Als een laptop, smartphone, USB-stick, of externe harde schijf met niet-versleutelde persoonsgegevens wordt gestolen of verloren gaat, is melding aan de AP in beginsel verplicht. Bij versleutelde gegevens (encryptie met sterk wachtwoord) is melding doorgaans niet vereist als de sleutel niet ook verloren of gestolen is. Indien bijzondere categorieën persoonsgegevens (medische gegevens, financiële gegevens, BSN-nummers) zijn betrokken: hoog risico, communicatie aan betrokkenen vereist.

Onbedoelde e-mailverzending van persoonsgegevens. Als een e-mail met persoonsgegevens (klantenlijst, salarisoverzicht, medische dossiers) per ongeluk naar de verkeerde ontvanger is gestuurd, is in beginsel sprake van een datalek. Of melding aan de AP verplicht is, hangt af van de omvang, het soort gegevens, en de risico's voor betrokkenen. Bij gevoelige persoonsgegevens of grote groepen betrokkenen: melding verplicht.

Hack van een webshop of klantendatabase. Als een webshop, klantenportaal, of database met klantgegevens (namen, adressen, e-mails, betaalgegevens) is gehackt of ongeautoriseerd toegankelijk is geweest, is melding aan de AP verplicht als er een risico bestaat voor betrokkenen. Bij betaalkaartnummers, wachtwoorden, of BSN-nummers: hoog risico, communicatie aan betrokkenen vereist.

Ongeautoriseerde toegang door medewerker of externe partij. Als een medewerker zonder bevoegdheid toegang heeft gehad tot persoonsgegevens (bijv. door verkeerde rechten of opzettelijk misbruik), is in beginsel sprake van een inbreuk conform AVG art. 4 lid 12. Of melding vereist is, hangt af van de aard van de gegevens en de waarschijnlijkheid van schade voor betrokkenen.

Inbreuk bij een verwerker (subverwerker). Als een verwerker (IT-leverancier, cloud-dienst, salarisverwerker) aan de verwerkingsverantwoordelijke meldt dat bij hen een inbreuk heeft plaatsgevonden waarbij persoonsgegevens van de verwerkingsverantwoordelijke zijn betrokken, is de verwerkingsverantwoordelijke verplicht te beoordelen of melding aan de AP nodig is. De verwerker meldt aan de verwerkingsverantwoordelijke, niet direct aan de AP (AVG art. 28 lid 3 sub f).

Diefstal van papieren dossiers of post. Als papieren dossiers met persoonsgegevens worden gestolen (uit kantoor, auto, postkast) of verloren gaan, is sprake van een datalek. Bij vertrouwelijke documenten (medische dossiers, belastingdocumenten, personeelsdossiers) is melding aan de AP en eventueel communicatie aan betrokkenen vereist.

Wat moet er in uw AP Dataleak Melding Nederland staan?

De AP Dataleak Melding Nederland bevat de volgende verplichte onderdelen conform AVG art. 33 lid 3 en de richtlijnen van de Europese Gegevensbeschermingsraad (EDPB Guidelines 01/2021).

Identificatie van de verwerkingsverantwoordelijke. Naam van de organisatie, adres, KVK-nummer, en contactgegevens van de Functionaris Gegevensbescherming (FG) indien aangesteld (AVG art. 37-39). Bij kleinere organisaties zonder FG: contactpersoon gegevensbescherming. De AP stuurt eventuele vervolgvragen naar de FG of contactpersoon.

Aard van de inbreuk (AVG art. 33 lid 3 sub a). Beschrijving van de aard van de inbreuk: vernietiging, verlies, wijziging, ongeoorloofde verstrekking, of ongeoorloofde toegang. Oorzaak: cyberaanval, menselijke fout, systeemfout, verlies/diefstal, onopzettelijke handeling. Datum en tijdstip van de inbreuk (of schatting), datum en tijdstip van ontdekking, en duur van de inbreuk.

Categorieën en aantal betrokkenen (AVG art. 33 lid 3 sub c). Categorieën van betrokkenen: klanten, medewerkers, patiënten, leerlingen, websitebezoekers, etc. Geschat aantal betrokkenen (in Nederland of EU). Bij bijzondere categorieën persoonsgegevens (AVG art. 9: gezondheid, ras/etniciteit, politieke opvattingen, religie, seksuele gerichtheid, biometrische gegevens, genetische gegevens, strafrechtelijke gegevens): vermeld dit expliciet — hoog risico factor. forms-legal.com biedt de structuur voor deze beoordeling; de definitieve melding wordt via het AP-meldloket ingediend. Zie ook de verwerkersovereenkomst als onderliggend document voor de relatie met verwerkers.

Categorieën en aantal persoonsgegevens (AVG art. 33 lid 3 sub b). Categorieën van betrokken persoonsgegevens: naam, adres, e-mail, BSN, financiële gegevens, medische gegevens, biometrische gegevens, IP-adressen, gebruikersnamen en wachtwoorden. Geschat aantal betrokken gegevensrecords. Hoe gevoeliger de gegevens, hoe zwaarder de meldplicht.

Gevolgen van de inbreuk (AVG art. 33 lid 3 sub d). Waarschijnlijke gevolgen van de inbreuk voor betrokkenen: identiteitsfraude, financiële schade, reputatieschade, discriminatie, verlies van vertrouwelijke gegevens. Risico-inschatting op basis van de EDPB richtlijn 01/2021: geen risico (geen melding), risico (melding aan AP), hoog risico (melding aan AP én communicatie betrokkenen).

Genomen en voorgestelde maatregelen (AVG art. 33 lid 3 sub e). Beschrijving van de maatregelen die zijn genomen om de inbreuk in te dammen (containment), de schade te beperken (remediation), en herhaling te voorkomen. Bijv.: systemen offline gehaald, wachtwoorden gereset, versleuteling aangebracht, IT-forensisch onderzoek gestart, betrokkenen geïnformeerd. Maatregelen die nog worden genomen (geplande acties).

Communicatie aan betrokkenen (AVG art. 34). Bij hoog risico: beschrijving van de communicatie aan betrokkenen: inhoud van de communicatie (welke gegevens, welk risico, welke maatregelen), kanaal (e-mail, brief, website), tijdstip. De communicatie aan betrokkenen is verplicht bij hoog risico tenzij uitzonderingen (AVG art. 34 lid 3) van toepassing zijn (gegevens al versleuteld, passende technische maatregelen genomen, communicatie onevenredig inspanning vereist).

Hoe vult u uw AP Dataleak Melding Nederland in?

De AP Dataleak Melding Nederland wordt stap voor stap als volgt ingevuld en ingediend.

Stap 1 - Ontdek en documenteer de inbreuk onmiddellijk. Zodra een datalek wordt ontdekt, start u de 72-uur klok (AVG art. 33 lid 1). Noteer het tijdstip van ontdekking, de aard van de inbreuk, en de eerste feiten. Roep het crisisprotocol in werking als uw organisatie er een heeft. De 72 uur begint op het moment van ontdekking, ook als het niet zeker is of sprake is van een meldplichtig lek.

Stap 2 - Beoordeel of melding aan de AP verplicht is. Beantwoord de vraag: levert de inbreuk een risico op voor de rechten en vrijheden van betrokkenen? Geen risico (kleine interne fout, geen externe toegang, versleutelde gegevens): documenteer maar meld niet aan de AP (AVG art. 33 lid 1). Risico aanwezig: meld aan de AP binnen 72 uur. Hoog risico (gevoelige gegevens, grote groep betrokkenen, identiteitsfraude mogelijk): meld aan de AP én communiceer naar betrokkenen (AVG art. 34).

Stap 3 - Vul de identificatiegegevens in. Naam van uw organisatie, adres, KVK-nummer, naam en contactgegevens van de FG of contactpersoon gegevensbescherming.

Stap 4 - Beschrijf de inbreuk. Aard van de inbreuk (ransomware, hack, verlies, menselijke fout), tijdstip en datum van de inbreuk (of schatting), tijdstip van ontdekking, duur, en hoe de inbreuk werd ontdekt. Vermeld ook of de inbreuk is gedicht.

Stap 5 - Beschrijf de betrokkenen en gegevens. Categorieën betrokkenen (klanten, medewerkers, patiënten) en geschat aantal. Categorieën betrokken persoonsgegevens (naam, adres, BSN, financieel, medisch) en geschat aantal records. Vermeld expliciet of bijzondere categorieën persoonsgegevens (AVG art. 9) zijn betrokken.

Stap 6 - Beschrijf de gevolgen en het risico. Waarschijnlijke gevolgen voor betrokkenen: financiële schade, identiteitsfraude, reputatieschade, discriminatie. Risico-inschatting: laag, gemiddeld, of hoog.

Stap 7 - Beschrijf de genomen en geplande maatregelen. Containment-maatregelen (systemen offline, toegang geblokkeerd, wachtwoorden gereset), remediation-maatregelen (IT-forensisch onderzoek, back-up hersteld), preventieve maatregelen voor de toekomst (extra encryptie, training medewerkers, MFA).

Stap 8 - Dien de melding in bij de AP. Log in op autoriteitpersoonsgegevens.nl en gebruik het online meldloket. U kunt ook melden als gast zonder account. Voeg eventuele aanvullende documenten toe (forensisch rapport, incidentrapport). Bewaar de ontvangstbevestiging met het meldingsnummer van de AP.

Stap 9 - Communiceer naar betrokkenen (indien hoog risico). Bij hoog risico: informeer betrokkenen via e-mail, brief, of website-melding. Vermeld: wat er is gebeurd, welke gegevens betrokken zijn, welke risico's voor betrokkenen, welke maatregelen zijn genomen, en hoe betrokkenen contact kunnen opnemen.

Stap 10 - Documenteer de inbreuk intern. Alle inbreuken moeten intern worden gedocumenteerd in een datalekkenregister (AVG art. 33 lid 5), ook als geen melding aan de AP is vereist. Bewaar het intern rapport minimaal drie jaar.

Wettelijke vereisten voor AP Dataleak Melding Nederland

De AP Dataleak Melding Nederland is onderworpen aan de volgende wettelijke vereisten.

Meldplicht en termijn (AVG art. 33 lid 1; UAVG art. 15). Melding aan de AP is verplicht uiterlijk 72 uur na ontdekking van een inbreuk die een risico oplevert voor betrokkenen. Bij melding na 72 uur moet de vertraging worden gemotiveerd. Meerdere gerelateerde incidenten kunnen als één melding worden gedaan als de omstandigheden vergelijkbaar zijn. Geen risico: geen meldplicht, maar documentatieplicht (AVG art. 33 lid 5).

Inhoudsplicht van de melding (AVG art. 33 lid 3). De melding moet bevatten: (a) aard van de inbreuk; (b) categorieën en geschat aantal betrokkenen; (c) categorieën en geschat aantal betrokken persoonsgegevens; (d) naam en contactgegevens van de FG; (e) waarschijnlijke gevolgen van de inbreuk; (f) genomen en voorgestelde maatregelen. Als niet alle informatie beschikbaar is binnen 72 uur: melding kan in fasen worden aangevuld (gefaseerde melding, AVG art. 33 lid 4).

Communicatieplicht aan betrokkenen (AVG art. 34). Bij hoog risico moeten betrokkenen onverwijld worden geïnformeerd. Uitzonderingen: (1) passende technische en organisatorische beveiligingsmaatregelen zijn getroffen (bijv. sterke encryptie); (2) maatregelen zijn genomen waardoor het risico zich waarschijnlijk niet meer voordoet; (3) communicatie onevenredige inspanning vereist (dan openbare mededeling of vergelijkbare maatregel). De AP kan de organisatie verplichten betrokkenen te informeren als zij dat zelf nalaat.

Sanctions bij niet-naleving (AVG art. 83 lid 4 en 5). De AP kan een bestuurlijke boete opleggen van maximaal € 10.000.000 of 2% van de wereldwijde jaaromzet bij niet-tijdige melding (AVG art. 83 lid 4). Bij ernstigere overtredingen (bijv. structurele nalatigheid, doelbewust verzwijgen) tot € 20.000.000 of 4% van de wereldwijde jaaromzet (AVG art. 83 lid 5). De AP hanteert boetebeleidsregels die rekening houden met ernst, duur, schade, medewerking, en eerder toezicht.

Documentatieplicht (AVG art. 33 lid 5; AVG art. 5 lid 2 accountability). Alle inbreuken moeten worden gedocumenteerd in een intern datalekkenregister, ongeacht of melding aan de AP vereist is. Het register moet bevatten: aard inbreuk, gevolgen, genomen maatregelen. Bewaarplicht: de AP geeft aan minimaal drie jaar te bewaren; in de praktijk zeven jaar conform AWR art. 52 voor zakelijke gegevens.

Verwerker-verwerkingsverantwoordelijke meldplicht (AVG art. 28 lid 3 sub f). Verwerkers (cloud-diensten, IT-leveranciers, salarisverwerkers) zijn verplicht de verwerkingsverantwoordelijke onverwijld te informeren over inbreuken. De verwerkersovereenkomst (AVG art. 28 lid 3) moet expliciet de meldprocedure bij datalekken beschrijven. De verwerkingsverantwoordelijke is verantwoordelijk voor de uiteindelijke melding aan de AP.

Veelgemaakte fouten bij uw AP Dataleak Melding Nederland

Bij de AP Dataleak Melding Nederland worden de volgende fouten regelmatig gemaakt.

Fout 1 - Te laat melden (na de 72-uur termijn). De meest voorkomende fout: organisaties stellen de melding uit totdat alle informatie beschikbaar is. AVG art. 33 staat echter een gefaseerde melding toe: de eerste melding hoeft niet compleet te zijn; aanvullingen kunnen later worden ingediend. Bij vertraging na 72 uur moet de reden worden gemotiveerd; de AP kan hiervoor een boete opleggen. Meld altijd zo snel mogelijk, ook met beperkte informatie.

Fout 2 - Geen melding doen omdat het incident intern lijkt. Organisaties die intern hebben geconstateerd dat een medewerker onbevoegd toegang had tot persoonsgegevens (maar dat de gegevens niet zijn gelekt), doen soms geen melding aan de AP. Ongeoorloofde toegang door een interne medewerker is echter ook een datalek conform AVG art. 4 lid 12. Beoordeel altijd objectief of er een risico bestaat voor betrokkenen.

Fout 3 - Betrokkenen niet informeren bij hoog risico. Organisaties stellen de communicatie aan betrokkenen uit of laten het na (AVG art. 34). De AP kan de organisatie verplichten betrokkenen alsnog te informeren en kan een afzonderlijke boete opleggen voor het niet-informeren. Bij hoog risico (bijzondere categorieën gegevens, identiteitsfraude, financiële schade) moet onverwijld worden gecommuniceerd.

Fout 4 - Incomplete documentatie in het datalekkenregister. Organisaties die geen intern datalekkenregister bijhouden of die incidenten niet documenteren waarvoor geen AP-melding is vereist, overtredenen de documentatieplicht van AVG art. 33 lid 5. De AP vraagt bij onderzoeken altijd het interne register op. Een compleet register toont ook de accountability van de organisatie.

Fout 5 - Verwerker weet niet dat hij inbreuk moet melden aan verwerkingsverantwoordelijke. Als de verwerkersovereenkomst (AVG art. 28) geen duidelijke meldprocedure bevat, weet de verwerker (cloud-dienst, IT-leverancier) niet binnen welke termijn hij de verwerkingsverantwoordelijke moet informeren. Zorg dat de verwerkersovereenkomst een expliciete bepaling bevat over de meldplicht bij datalekken, inclusief termijn en contactpersoon.

Fout 6 - Melding bij de AP vergelijken met melding aan politie. Een datalek melding bij de AP is verplicht bij risico voor betrokkenen (AVG art. 33). Aangifte bij de politie is een aparte procedure die facultatief is bij cybercriminaliteit. Beide procedures zijn onafhankelijk van elkaar; een aangifte bij de politie vervangt niet de melding bij de AP.

Fout 7 - Na de melding geen contact houden met de AP. Na de initiële melding bij de AP kunnen aanvullende vragen volgen. Organisaties die de AP-correspondentie negeren of te laat beantwoorden, riskeren een boete wegens belemmering van het toezicht (AVG art. 83 lid 4 sub a).

Citeer deze pagina

Verwijs naar dit gratis sjabloon in een artikel, lesplan of onderzoeksnotitie:

APA

Forms Legal. (2026). AP Dataleak Melding Nederland (Nederland) [Legal document template]. Forms Legal. https://forms-legal.com/nl/netherlands/government/declarations/melding-dataleak-ap

MLA

"AP Dataleak Melding Nederland (Nederland)." Forms Legal, 2026, https://forms-legal.com/nl/netherlands/government/declarations/melding-dataleak-ap.

BibTeX

@misc{formslegal-melding-dataleak-ap,
  author       = {{Forms Legal}},
  title        = {AP Dataleak Melding Nederland (Nederland)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/nl/netherlands/government/declarations/melding-dataleak-ap}},
  note         = {Free legal document template}
}

Veelgestelde vragen

Sjabloon met wetsverwijzingen — Sjabloon laatst gewijzigd in juni 2026

Dit sjabloon wordt uitsluitend ter informatie verstrekt en vormt geen juridisch advies. Wetten verschillen per rechtsgebied en veranderen in de loop van de tijd. Raadpleeg een gekwalificeerde advocaat voor advies dat is afgestemd op uw situatie.Volledige disclaimer

Een fout gevonden? Laat het ons weten