Welke inbreuken moet ik melden bij de Autoriteit Persoonsgegevens?

U moet een inbreuk op de beveiliging van persoonsgegevens melden bij de Autoriteit Persoonsgegevens (AP) als het waarschijnlijk is dat de inbreuk een risico oplevert voor de rechten en vrijheden van de betrokkenen, conform AVG art. 33. Dit omvat situaties zoals: een cyberaanval waarbij klantgegevens zijn gestolen, verlies van een laptop met onversleutelde persoonsgegevens, per ongeluk verzenden van een e-mail met persoonsgegevens naar een verkeerd adres, ongeautoriseerde toegang door een medewerker, en verlies van medische of financiële gegevens. U hoeft NIET te melden als de inbreuk geen risico oplevert — bijvoorbeeld als de gestolen laptop volledig was versleuteld met sterke encryptie (AES-256) en de sleutel niet is gecompromitteerd. Twijfelt u? Doe dan altijd een melding; de AP brengt geen sanctie op voor een onnodige melding, maar wel voor het nalaten van een verplichte melding. Alle inbreuken (ook niet-meldingsplichtige) moeten intern worden gedocumenteerd in het datalekregister (AVG art. 33 lid 5).

Wat zijn de gevolgen als ik een datalek te laat meld bij de Autoriteit Persoonsgegevens?

Een te late melding — zonder deugdelijke motivering voor de vertraging — is een overtreding van AVG art. 33 en kan leiden tot een bestuurlijke boete door de Autoriteit Persoonsgegevens (AP). Conform AVG art. 83 lid 4 kunnen boetes voor schending van art. 33 oplopen tot € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke hoger is. De AP houdt bij het vaststellen van de boete rekening met de ernst van de overtreding, of er sprake is van nalatigheid of opzet, welke maatregelen zijn genomen om de schade te beperken, de omvang van de organisatie, en eerdere overtredingen. De AP heeft de bevoegdheid ook corrigerende maatregelen op te leggen naast een boete, zoals het verbod op bepaalde verwerkingsactiviteiten. Meld altijd zo snel mogelijk; als de 72-uur-termijn wordt overschreden, voeg dan in de melding een motivering toe met de reden van de vertraging (bijv. complexiteit van de situatie of beperkte capaciteit van de IT-afdeling in het weekend).

Moet ik ook de betrokkenen zelf informeren over het datalek?

Ja, als het datalek een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen, bent u verplicht ook de betrokkenen zelf te informeren op grond van AVG art. 34. Een hoog risico is aanwezig bij: diefstal van BSN-nummers, medische dossiers, creditcardgegevens, inloggegevens, biometrische data of strafrechtelijke gegevens; of bij een groot aantal betrokkenen gecombineerd met gevoelige categorieën persoonsgegevens. De informatie aan betrokkenen moet: in duidelijke, begrijpelijke taal zijn gesteld, de aard van de inbreuk omschrijven, de contactgegevens van de FG of privacy-officer vermelden, de waarschijnlijke gevolgen beschrijven, en de aanbevolen maatregelen voor betrokkenen beschrijven (bijv. wachtwoord wijzigen, creditcard blokkeren, alert zijn op phishing). Uitzonderingen op de informatieplicht gelden als de data aantoonbaar versleuteld was, als u achteraf onomstotelijk kunt vaststellen dat de data niet zijn bereikt door een onbevoegde, of als informeren onevenredig veel inspanning vergt en een publieke bekendmaking passender is.

Wie is verantwoordelijk voor het melden van een datalek: de verwerkingsverantwoordelijke of de verwerker?

De meldplicht bij de Autoriteit Persoonsgegevens (AP) rust op de verwerkingsverantwoordelijke, de partij die het doel en de middelen van de verwerking bepaalt. De verwerker (een ICT-leverancier, cloudprovider of andere dienstverlener die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke) heeft op grond van AVG art. 33 lid 2 de verplichting de verwerkingsverantwoordelijke onverwijld te informeren nadat hij kennis heeft genomen van een inbreuk. De verwerker meldt dus NIET rechtstreeks bij de AP; dat is de taak van de verwerkingsverantwoordelijke. De samenwerking en informatiestromen bij een incident moeten zijn vastgelegd in de verwerkersovereenkomst (AVG art. 28; zie nl-verwerkersovereenkomst op forms-legal.com). Zorg ervoor dat de verwerkersovereenkomst een concrete reactietermijn voor de verwerker bevat (doorgaans maximaal 24-48 uur na ontdekking) zodat de verwerkingsverantwoordelijke de 72-uur-termijn bij de AP kan halen.

Welke boetes kan de Autoriteit Persoonsgegevens opleggen bij een datalek?

De Autoriteit Persoonsgegevens (AP) kan bij overtreding van de meldplicht of andere AVG-verplichtingen twee soorten boetes opleggen. Boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet (afhankelijk van welke hoger is) voor schendingen van de meldplicht (art. 33), de informatieplicht aan betrokkenen (art. 34), beveiligingsverplichtingen (art. 32) en de verplichtingen van verwerkers (art. 28). Boetes tot € 20 miljoen of 4% van de wereldwijde jaaromzet voor ernstigere schendingen zoals onrechtmatige verwerking, schending van de basisprincipes (rechtmatigheid, doelbinding, dataminimalisatie) en onrechtmatige doorgifte buiten de EU. In de praktijk legt de AP in Nederland jaarlijks tientallen boetes op; de hoogste boetes zijn tot nu toe opgelegd aan Booking.com (€ 475.000 in 2021 voor te late melding) en UWV (€ 900.000 in 2023). De AP publiceert jaarlijks haar handhavingsbeleid en toezichtprioriteiten op autoriteitpersoonsgegevens.nl. Naast de AP kunnen betrokkenen ook civielrechtelijke schadevergoeding vorderen op grond van AVG art. 82.

Hoe bewaar ik datalekken intern als ze niet hoeven te worden gemeld bij de AP?

Ook als een inbreuk niet hoeft te worden gemeld bij de Autoriteit Persoonsgegevens, bent u verplicht de inbreuk intern te documenteren in het datalekregister conform AVG art. 33 lid 5. Het datalekregister moet de volgende informatie bevatten: omstandigheden van de inbreuk (datum, tijdstip, aard), de gevolgen van de inbreuk, de genomen maatregelen, en de motivering waarom niet gemeld is bij de AP. Er is geen verplicht format voor het datalekregister; veel organisaties gebruiken een spreadsheet of een Privacy Management Software-systeem. De AP kan bij een audit het datalekregister opvragen als bewijs van naleving. Ontbreekt het register, dan is dit zelf een overtreding van de AVG. Bewaar het register minimaal 3-5 jaar om een audit-trail te ondersteunen. In geval van een latere procedure (klacht van betrokkene, onderzoek AP) vormt het register bewijs van de bewuste en zorgvuldige omgang met persoonsgegevens. U kunt ook het nl-verwerkersovereenkomst-model op forms-legal.com gebruiken voor het vastleggen van contractuele verplichtingen met verwerkers ten aanzien van incidentrapportage.

Persoonsgegevens Inbreukmelding

AVG art. 33-34; UAVG 2018; Autoriteit Persoonsgegevens

INBREUKMELDING PERSOONSGEGEVENS (DATALEK)

Op grond van AVG (Verordening (EU) 2016/679) art. 33; UAVG 2018

Datum ontdekking inbreuk: [Inbreuk Datum]

Datum melding bij AP: [Melding Datum]

Verwerkingsverantwoordelijke

VERWERKINGSVERANTWOORDELIJKE

Organisatienaam: [Organisatie Naam]

KVK-nummer: [Organisatie K V K]

Adres: [Organisatie Adres]

Contactpersoon / FG: [Contactpersoon Naam]

E-mail: [Contact Email]

Inbreuk Details

DETAILS VAN DE INBREUK

Categorie inbreuk: [Inbreuk Categorie]

Omschrijving: [Inbreuk Omschrijving]

Getroffen persoonsgegevens: [Getroffen Persoonsgegevens]

Geschat aantal betrokkenen: [Aantal Betrokkenen]

Maatregelen

GENOMEN MAATREGELEN

Maatregelen: [Genomen Maatregelen]

Informatie aan betrokkenen: [Informatie Aan Betrokkenen]

Ondertekening namens de verwerkingsverantwoordelijke:

Naam: [Contactpersoon Naam]

Handtekening: _________________________

Datum: [Melding Datum]

Dien dit formulier in via het Meldloket datalekken van de Autoriteit Persoonsgegevens: meldloket.autoriteitpersoonsgegevens.nl

Functionaris Gegevensbescherming / Privacy Officer

________________

Signature

Onderhouden door Vladislav Sergienko, Oprichter·Sjabloon laatst gewijzigd: 2026-06-23·Een fout melden

Wat is Persoonsgegevens Inbreukmelding?

De Persoonsgegevens Inbreukmelding is een formeel meldingsdocument waarmee een verwerkingsverantwoordelijke in Nederland een inbreuk op de beveiliging van persoonsgegevens (datalek) meldt bij de Autoriteit Persoonsgegevens (AP) conform de Algemene verordening gegevensbescherming (AVG), Verordening (EU) 2016/679, art. 33 en de Uitvoeringswet AVG (UAVG) 2018. Nederland heeft de AVG geïmplementeerd via de UAVG 2018, die aanvullende regels bevat voor specifieke sectoren.

Een inbreuk op de beveiliging van persoonsgegevens is in de AVG art. 4 punt 12 gedefinieerd als een inbreuk die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Datalekken kunnen ontstaan door cyberaanvallen (ransomware, hacking, phishing), menselijke fouten (e-mail naar verkeerd adres, verlies van een laptop of USB-stick), systeemfouten of fysieke inbraken.

De meldplicht bij de AP geldt voor alle verwerkingsverantwoordelijken: bedrijven, overheidsorganisaties, non-profitinstellingen, scholen en zorgaanbieders. Een inbreuk hoeft alleen te worden gemeld als het waarschijnlijk is dat de inbreuk risico oplevert voor de rechten en vrijheden van de betrokkenen. Is er geen risico, dan hoeft de AP niet te worden geïnformeerd, maar moet de inbreuk wel intern worden gedocumenteerd in het datalekregister (AVG art. 33 lid 5).

Naast de meldplicht bij de AP geldt een informatieplicht jegens de betrokkenen zelf wanneer de inbreuk een hoog risico oplevert voor hun rechten en vrijheden (AVG art. 34). Betrokkenen moeten 'zonder onnodige vertraging' worden geïnformeerd met een duidelijke omschrijving van de inbreuk, de mogelijke gevolgen en de genomen maatregelen.

Wanneer heeft u Persoonsgegevens Inbreukmelding nodig?

Een inbreukmelding bij de Autoriteit Persoonsgegevens is verplicht in de volgende situaties.

Bij cyberaanvallen waarbij persoonsgegevens zijn getroffen: ransomware-aanvallen die systemen met persoonsgegevens versleutelen, hacking-aanvallen waarbij klant- of werknemersdata worden gestolen, en phishing-aanvallen die leiden tot ongeautoriseerde toegang tot e-mailboxen met privacygevoelige informatie vereisen altijd een melding bij de AP, tenzij onomstotelijk vaststaat dat er geen risico is voor betrokkenen.

Bij verlies of diefstal van gegevensdragers: een verloren of gestolen laptop, smartphone, USB-stick of map met papieren dossiers waarbij persoonsgegevens zijn opgeslagen. Als de gegevens zijn versleuteld en de encryptiestandaard voldoet aan de actuele normen (bijv. AES-256), is het risico lager en kan melding bij de AP achterwege blijven. Is dit niet het geval, dan is melding verplicht.

Bij accidentele verzending naar verkeerd adres: het per e-mail verzenden van een brief of bestand met persoonsgegevens naar een verkeerd e-mailadres, of het per post verzenden van een envelop naar de verkeerde ontvanger waarbij medische, financiële of andere gevoelige gegevens zichtbaar zijn.

Bij ongeautoriseerde interne toegang: een medewerker die zonder autorisatie klantgegevens raadpleegt, exporteert of verspreidt.

Bij verlies van bijzondere persoonsgegevens: de AP behandelt inbreuken waarbij bijzondere categorieën persoonsgegevens (gezondheidsgegevens, biometrische data, strafrechtelijke gegevens conform AVG art. 9-10) zijn betrokken als hoge prioriteit en vereist melding ook bij relatief beperkte aantallen betrokkenen.

Wat moet er in uw Persoonsgegevens Inbreukmelding staan?

Een geldige inbreukmelding bij de Autoriteit Persoonsgegevens bevat de volgende onderdelen conform AVG art. 33 lid 3.

Identificatie van de verwerkingsverantwoordelijke: naam, adres, KVK-nummer en contactgegevens van de Functionaris Gegevensbescherming (FG) of de privacy-officer. Organisaties die op grond van AVG art. 37 verplicht zijn een FG aan te stellen (publieke instanties, grote verwerkingsoperaties, bijzondere categorieën), moeten het contactadres van de FG vermelden.

Datum en aard van de inbreuk: beschrijving van wat er is voorgevallen, wanneer de inbreuk is ontdekt en wanneer de inbreuk heeft plaatsgevonden (indien van toepassing op een ander moment). De 72-uur-termijn voor melding bij de AP (AVG art. 33 lid 1) begint op het moment van ontdekking.

Categorieën en aantallen betrokkenen: een beschrijving van de categorieën getroffen personen (klanten, werknemers, patiënten) en de categorieën en aantallen getroffen persoonsgegevens. Bij bijzondere persoonsgegevens (gezondheid, religie, ras, strafrechtelijke gegevens) is een verhoogde urgentie vereist.

Waarschijnlijke gevolgen: een beoordeling van de waarschijnlijke gevolgen van de inbreuk voor de betrokkenen, met inbegrip van risico op identiteitsfraude, financieel verlies, discriminatie of psychische schade.

Op forms-legal.com kunt u dit model inbreukmelding gratis invullen en downloaden. Zie ook nl-verwerkersovereenkomst voor contractuele verplichtingen met verwerkers (AVG art. 28) en nl-privacybeleid-website voor de transparantieverplichtingen.

Genomen en voorgestelde maatregelen: beschrijving van de maatregelen die zijn genomen om de inbreuk te beëindigen, de schade te beperken en herhaling te voorkomen. Concrete maatregelen zoals wachtwoordresets, systeemherstel, versleuteling en training van medewerkers sterken de beoordeling door de AP.

Hoe vult u uw Persoonsgegevens Inbreukmelding in?

Stap 1 — Bevestig de meldingsplicht. Beoordeel of de inbreuk waarschijnlijk risico oplevert voor de rechten en vrijheden van de betrokkenen. Als het risico verwaarloosbaar is (bijv. volledig versleutelde data zijn kwijtgeraakt waarbij de encryptie onkraakbaar is), hoeft u niet te melden bij de AP maar wel intern te documenteren in het datalekregister.

Stap 2 — Let op de 72-uur-termijn. De melding bij de AP moet uiterlijk 72 uur na ontdekking worden ingediend (AVG art. 33 lid 1). Bereken de deadline precies. Als de 72 uur is verstreken, moet u in de melding uitleggen waarom de melding te laat is (gemotiveerde vertraging).

Stap 3 — Vul de organisatiegegevens in. Noteer de volledige statutaire naam, het KVK-nummer, het vestigingsadres en de contactgegevens van de FG of privacy-officer. De AP gebruikt dit voor de interne behandeling van de melding.

Stap 4 — Beschrijf de inbreuk nauwkeurig. Noteer datum van ontdekking, categorie van de inbreuk, chronologische beschrijving van wat er is voorgevallen en welke systemen zijn betrokken. Hoe nauwkeuriger, hoe sneller de AP de melding kan beoordelen.

Stap 5 — Specificeer de getroffen persoonsgegevens. Noem de categorieën (naam, adres, BSN, medische gegevens, financiële gegevens) en het geschatte aantal betrokkenen. Bij bijzondere persoonsgegevens (AVG art. 9) is directe melding prioritair.

Stap 6 — Beschrijf de genomen maatregelen. Noem concrete acties: incident response, forensisch onderzoek, wachtwoordresets, patchsystemen, communicatie aan betrokkenen. Onvolledige beschrijvingen leiden tot aanvullende vragen van de AP.

Stap 7 — Dien in via het AP-meldloket. Gebruik het online Meldloket datalekken van de AP op meldloket.autoriteitpersoonsgegevens.nl. Dit model dient als voorbereiding en interne documentatie.

Wettelijke vereisten voor Persoonsgegevens Inbreukmelding

AVG art. 33 verplicht de verwerkingsverantwoordelijke een inbreuk op de beveiliging van persoonsgegevens te melden bij de toezichthoudende autoriteit — in Nederland de Autoriteit Persoonsgegevens (AP) — zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat de verantwoordelijke er kennis van heeft genomen. Bij vertraging moet de reden worden gemotiveerd.

Meldloket: de AP heeft een digitaal Meldloket datalekken beschikbaar via meldloket.autoriteitpersoonsgegevens.nl. De melding moet de informatie bevatten conform AVG art. 33 lid 3: aard van de inbreuk, categorieën en aantallen betrokkenen, categorieën en aantallen gegevens, naam en contactgegevens van de FG, waarschijnlijke gevolgen en genomen maatregelen.

Informatieplicht aan betrokkenen (AVG art. 34): als de inbreuk een hoog risico voor de rechten en vrijheden van betrokkenen oplevert, moeten de betrokkenen 'zonder onnodige vertraging' persoonlijk worden geïnformeerd. De AP kan de verplichting tot informatieverstrekking opleggen ook als de verwerkingsverantwoordelijke dit niet vrijwillig doet. De informatie moet duidelijk, in heldere taal en specifiek de inbreuk omschrijven, het privacy-contactpunt vermelden en de aanbevolen maatregelen bevatten.

Sanctieregime: de AP kan bij schending van de meldplicht een bestuurlijke boete opleggen. Conform AVG art. 83 lid 4 zijn boetes voor schending van art. 33 mogelijk tot € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke hoger is. De UAVG 2018 regelt de bevoegdheid van de AP om deze sancties op te leggen in Nederland.

Datalekregister: elke verwerkingsverantwoordelijke moet een intern register bijhouden van alle inbreuken, ook die waarvoor geen meldplicht bij de AP geldt (AVG art. 33 lid 5). Het register moet minimaal bevatten: de feiten omtrent de inbreuk, de gevolgen en de genomen maatregelen.

Veelgemaakte fouten bij uw Persoonsgegevens Inbreukmelding

Een veelgemaakte fout is het overschrijden van de 72-uur-termijn zonder dit te motiveren. De AVG art. 33 lid 1 staat vertraging toe mits gemotiveerd; een melding na 72 uur zonder motivering is een zelfstandige overtreding waarvoor de AP een boete kan opleggen. Stel altijd een intern incident response-team in dat binnen uren kan beoordelen of een melding nodig is.

Onvolledige identificatie van de getroffen gegevens is een tweede fout. 'Klantgegevens zijn gestolen' is onvoldoende; specificeer welke categorieën (naam + BSN, medische dossiers, bankrekeninggegevens) en geef een betrouwbaar minimum voor het aantal betrokkenen. De AP kan aanvullende informatie opvragen; een initieel incomplete melding leidt tot vertraging.

Het niet informeren van betrokkenen bij een hoog-risico-inbreuk is een ernstige nalatigheid. Veel verwerkingsverantwoordelijken melden wel bij de AP maar verzuimen betrokkenen te informeren (AVG art. 34). Bij diefstal van BSN-nummers, creditcardgegevens, medische dossiers of inloggegevens moet u betrokkenen proactief en persoonlijk informeren.

Verwerkers (verwerkers in de zin van AVG art. 28) die een inbreuk ontdekken, vergeten soms de verwerkingsverantwoordelijke tijdig te melden. Op grond van AVG art. 33 lid 2 moet de verwerker de verwerkingsverantwoordelijke onverwijld informeren nadat de inbreuk is ontdekt, zodat de verwerkingsverantwoordelijke de 72-uur-termijn bij de AP kan halen.

Het niet bijhouden van het datalekregister is een veelgemaakte structurele fout. Elke inbreuk — ook als de AP niet hoeft te worden gemeld — moet worden vastgelegd in het interne datalekregister. Bij een audit door de AP is het register het eerste bewijsmiddel van naleving.

Citeer deze pagina

Verwijs naar dit gratis sjabloon in een artikel, lesplan of onderzoeksnotitie:

APA

Forms Legal. (2026). Persoonsgegevens Inbreukmelding (Nederland) [Legal document template]. Forms Legal. https://forms-legal.com/nl/netherlands/personal/legal-declarations/nl-privacy-inbreukmelding

MLA

"Persoonsgegevens Inbreukmelding (Nederland)." Forms Legal, 2026, https://forms-legal.com/nl/netherlands/personal/legal-declarations/nl-privacy-inbreukmelding.

BibTeX

@misc{formslegal-nl-privacy-inbreukmelding,
  author       = {{Forms Legal}},
  title        = {Persoonsgegevens Inbreukmelding (Nederland)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/nl/netherlands/personal/legal-declarations/nl-privacy-inbreukmelding}},
  note         = {Free legal document template}
}

Veelgestelde vragen

Sjabloon met wetsverwijzingen — Sjabloon laatst gewijzigd in juni 2026

Dit sjabloon wordt uitsluitend ter informatie verstrekt en vormt geen juridisch advies. Wetten verschillen per rechtsgebied en veranderen in de loop van de tijd. Raadpleeg een gekwalificeerde advocaat voor advies dat is afgestemd op uw situatie.Volledige disclaimer

Een fout gevonden? Laat het ons weten