Gratis uitproberenzonder verplichtingen
Home » Kennisbank » Wat er écht gebeurt na een datalek

Wat er écht gebeurt na een datalek

AVG datalek-header

Bij AVG-support.nl volgen we het nieuws over privacy en datalekken op de voet. Ook de afgelopen maand was het weer raak: Sunweb, de provincie Utrecht, Discord: allemaal getroffen door een datalek.

Maar ook bij onze gebruikers overkomt het: datalekken gebeuren nou eenmaal niet alleen bij grote organisaties. En wie het ooit heeft meegemaakt, weet: de schrik is groot.

Een datalek lijkt op papier iets wat je “even meldt” bij de Autoriteit Persoonsgegevens (AP). In de praktijk voelt het meer als een kleine crisis. De AVG schrijft voor dat je binnen 72 uur actie moet ondernemen, maar dat is kort. Zeker als je niet precies weet wie wat moet doen.

1. De sportvereniging die een ledenlijst mailde

Het was vrijdagmiddag. De communicatievrijwilliger van een hockeyvereniging wilde nog snel even de nieuwsbrief versturen. Per ongeluk voegde ze het verkeerde Excel-bestand toe: de complete ledenlijst, met namen, geboortedata en e-mailadressen. Een paar minuten later stond het bestand al in een oudergroepsapp.

Toen het bestuur de fout ontdekte, sloeg de paniek toe. Wie moest dit melden? En aan wie? Uiteindelijk bleek het een meldplichtig datalek: de gegevens betroffen honderden kinderen. De vereniging moest melding doen bij de AP én de ouders informeren.

De vrijwilliger voelde zich vreselijk schuldig. Een menselijke fout, maar met grote gevolgen voor vertrouwen én reputatie.

2. Het bouwbedrijf dat platging door een phishingmail

In juli kreeg een administratief medewerker van een klein bouwbedrijf een mail van wat leek op de bank. “Je zakelijke rekening wordt binnenkort geblokkeerd. Klik hier om te verifiëren.” Binnen een kwartier lag het systeem plat.

De volgende ochtend bleken alle klantgegevens, offertes en facturen versleuteld. De hacker eiste 10.000 euro losgeld.
Het bedrijf meldde het incident bij de verzekering en de AP, maar liep dagen omzet mis. De directeur:

“Ik dacht dat dit alleen grote bedrijven overkwam. Tot het bij ons gebeurde.”

Het simpele sluiten van de e-mail had genoeg geweest om de aanval te voorkomen, maar er was nooit training geweest over phishing.

3. De zelfstandige zorgverlener met een gestolen laptop

Ellen, een zzp’er in de thuiszorg, werkte met een eigen laptop waarop ze zorgdossiers bijhield. Na een huisbezoek liet ze haar tas in de auto liggen. Binnen tien minuten was de ruit ingeslagen. De laptop weg.
Ze dacht: ik heb toch een wachtwoord? Maar de documenten waren niet versleuteld, dus de persoonsgegevens waren toegankelijk.

De AP beschouwde dit als een ernstig datalek, omdat het ging om medische informatie. Ellen moest alle cliënten informeren en kreeg van haar opdrachtgever tijdelijk geen nieuwe opdrachten meer “tot haar beveiliging op orde was”.

De vraag is niet óf het gebeurt, maar hoe goed je bent voorbereid als het gebeurt.

Of je nu een multinational bent of een stichting met vrijwilligers: datalekken ontstaan meestal niet door hackers, maar door menselijke fouten, onduidelijke afspraken of een klein moment van onoplettendheid.

Wat kun je nú doen

  1. Maak een duidelijk datalek-protocol.
    Leg vast wie beoordeelt of iets een datalek is, wie het meldt, en hoe betrokkenen worden geïnformeerd.
  2. Train medewerkers.
    Veel lekken ontstaan door onwetendheid. De 20 privacyvideo’s in AVG-support.nl helpen medewerkers om risico’s te herkennen.
  3. Gebruik het datalek-stappenplan in AVG-support.nl.
    Daarin staat precies wat je binnen 72 uur moet doen, inclusief voorbeeldmails en meldprocedures.

Een datalek kun je niet altijd voorkomen, maar chaos wél.

Dit is hét moment om in actie te komen

De AP zal naar verwachting scherper gaan toezien op hoe organisaties zich beschermen tegen cyberaanvallen. Organisaties die hun AVG op orde hebben – inclusief documentatie en bewustwording – staan dan een stuk sterker.

Dit kun je nu doen:

Bekijk je AVG-verklaring: Log in op AVG-support.nl

Geen klant? Maak een gratis proefaccount aan.

Download de checklist: “Ben ik AVG-proof?”

Lees ook: 5 inzichten uit het AP datalekonderzoek

Wist je dat in ons platform een complete AVG-opleiding zit?

Met 20 korte, duidelijke video’s leren jij én je medewerkers precies wat wel en niet mag met persoonsgegevens. Geen jargon, maar herkenbare situaties uit de praktijk, van e-mails tot foto’s op social media.

In een paar minuten per video ben je weer helemaal up-to-date en voorkom je fouten die kunnen leiden tot een datalek of klacht bij de Autoriteit Persoonsgegevens. Ideaal voor nieuwe medewerkers, vrijwilligers of gewoon als opfrisser.

Log in op je AVG-support.nl omgeving en start vandaag nog met de training!
Nog geen toegang? Maak dan een gratis proefaccount aan.

30 dagen vrijblijven proberen

Meer nieuws

Hoe ga je om met de privacy van overledenen?

De AVG stopt bij overlijden, maar zorgvuldigheid blijft belangrijk. Mag je gegevens of foto’s van overleden leden bewaren of delen? Onze expert legt uit wat de regels zijn en hoe je dit netjes vastlegt in jouw AVG-beleid. Lees meer

Nieuwe EU-plannen over data en AI zorgen voor verdeeldheid

De Europese Commissie werkt aan het Digital Omnibus-voorstel om regels rond data en AI te vereenvoudigen. Critici waarschuwen dat dit de AVG verzwakt en persoonsgegevens breder inzetbaar maakt voor AI-training. Lees meer

€6000 boete voor negeren van inzageverzoek

Een recruitmentbureau kreeg een boete van € 6.000 omdat het te laat reageerde op een verzoek tot verwijdering van persoonsgegevens. De Raad van State oordeelde dat ook kleine organisaties onder de AVG moeten voldoen aan inzage- en verwijderverzoeken Lees meer