SOP 07-02 — Datalek-procedure (protocol + meldloket, 72u AP-melding)
| Doel (uitkomst) | Een vermoedelijk datalek is binnen 72 uur na ontdekking beoordeeld, (indien meldplichtig) gemeld bij de Autoriteit Persoonsgegevens en waar nodig bij betrokkenen, en volledig gedocumenteerd — ook als besloten wordt niet te melden. |
| Wanneer | Zodra iemand — medewerker, klant, of extern — een vermoeden van ongeautoriseerde toegang tot, verlies van, of blootstelling van persoonsgegevens meldt of ontdekt. |
| Eigenaar | Eigenaar (fungeert als eindverantwoordelijke voor de AP-melding) |
| Uitvoerder | Wie het lek ontdekt/meldt start; eigenaar beoordeelt en meldt |
| Duur | Beoordeling binnen enkele uren; totale procedure tot AP-melding binnen 72 uur na ontdekking |
| Benodigd vooraf | Contactgegevens Autoriteit Persoonsgegevens, het verwerkingsregister (om te weten welke klant/betrokkenen geraakt zijn), toegang tot logging van de betrokken systemen |
| 🎥 Video | — nog opnemen |
Wettelijke aandachtspunten, geen juridisch advies. Een datalek moet, indien er een risico is voor de rechten en vrijheden van betrokkenen, binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens; zonder protocol mis je deze termijn (Autoriteit Persoonsgegevens). De beoordeling of een incident een meldplichtig datalek is, blijft mensenwerk — deze SOP structureert het proces, maar vervangt geen juridische beoordeling bij twijfelgevallen.
Klaar = (controleerbaar)
- Het incident is binnen 24 uur na ontdekking beoordeeld op meldplicht (wel/niet risico voor betrokkenen).
- Bij meldplicht: melding bij de Autoriteit Persoonsgegevens is binnen 72 uur na ontdekking ingediend (of de vertraging is gemotiveerd vastgelegd, zoals de AVG toestaat).
- Betrokkenen zijn geïnformeerd indien het lek een hoog risico voor hen oplevert.
- Klanten van wie BLURR als verwerker optreedt en die geraakt zijn, zijn onverwijld (streef: binnen 24 uur) geïnformeerd conform de verwerkersovereenkomst, Artikel 5.
- Het incident is volledig gedocumenteerd in het datalekregister, inclusief de motivering van het meld-/niet-meld-besluit.
- Genomen maatregelen om herhaling te voorkomen zijn vastgelegd en opgevolgd.
Stappen
- Meld het vermoeden direct intern. Iedereen die een mogelijk lek ontdekt (verkeerd verstuurde e-mail met persoonsgegevens, gehackt account, verloren apparaat, verkeerd geconfigureerde toegang, datalek bij een gebruikte tool/sub-verwerker) meldt dit direct — niet aan het einde van de dag — aan de eigenaar via [meldkanaal, bijv. Telegram/Slack/telefoon].
- Stel het incident veilig. Beperk direct verdere schade: wachtwoord/toegang intrekken, systeem isoleren, gedeeld bestand terugtrekken. Documenteer wat je hebt gedaan en wanneer.
- Beoordeel: is dit een datalek in de zin van de AVG? Ga na: zijn persoonsgegevens betrokken? Is er sprake van verlies van vertrouwelijkheid, integriteit of beschikbaarheid? Twijfel je? Behandel het voorlopig als datalek totdat het tegendeel is vastgesteld.
Persoonsgegevens betrokken én ongeautoriseerde toegang/verlies/vernietiging? ├─ NEE → geen meldplichtig datalek; documenteer wél de beoordeling (zie stap 7) └─ JA → ga naar stap 4 - Beoordeel het risico voor betrokkenen. Weeg: aard en omvang van de gegevens (bijzondere categorieën/financiële gegevens wegen zwaarder), aantal betrokkenen, waarschijnlijkheid van misbruik, en of de gegevens versleuteld/onleesbaar waren voor de ontvanger.
Risico voor rechten en vrijheden van betrokkenen? ├─ GEEN of onwaarschijnlijk risico → geen AP-melding verplicht, wel documenteren (stap 7) ├─ Risico → AP-melding verplicht binnen 72u (stap 5); betrokkenen informeren NIET automatisch verplicht └─ Hoog risico → AP-melding verplicht (stap 5) ÉN betrokkenen onverwijld informeren (stap 6) - Meld bij de Autoriteit Persoonsgegevens (indien verplicht). Doe de melding via het meldloket op autoriteitpersoonsgegevens.nl, binnen 72 uur na ontdekking. Neem op: aard van de inbreuk, categorieën en geschat aantal betrokkenen/records, waarschijnlijke gevolgen, en de genomen/voorgestelde maatregelen. Is niet alle informatie binnen 72 uur bekend? Meld wat je weet en vul later aan — uitstel van de volledige melding om alles compleet te hebben is geen geldige reden om de termijn te missen.
- Informeer betrokkenen (bij hoog risico). Stel in begrijpelijke taal op: wat er is gebeurd, welke gegevens het betreft, de waarschijnlijke gevolgen, de genomen maatregelen, en een contactpunt voor vragen. Doe dit onverwijld nadat de AP-melding is gedaan (of gelijktijdig).
- Informeer geraakte klanten (bij verwerker-rol). Is het lek ontstaan bij een dienst die BLURR namens een klant verzorgt (bijv. een gehackt CRM-koppeling of e-mailtool)? Informeer die klant onverwijld conform de verwerkersovereenkomst, óók als BLURR zelf niet meldingsplichtig is bij de AP (die beoordeling ligt dan bij de klant als verwerkingsverantwoordelijke).
- Documenteer volledig in het datalekregister. Leg vast: datum ontdekking, aard van het incident, betrokken gegevens/personen, risicobeoordeling met motivering, meld-/niet-meld-besluit, gedane meldingen (AP/betrokkenen/klanten) met datum, en genomen maatregelen. Dit is verplicht ongeacht of is gemeld (art. 33 lid 5 AVG).
- Evalueer en voorkom herhaling. Bepaal de grondoorzaak en leg een concrete maatregel vast (bijv. toegang beperken, 2FA afdwingen, extra controle bij mailings). Volg op of de maatregel daadwerkelijk is doorgevoerd.
Checklist (loop na vóór je "af" zegt)
- Incident direct gestabiliseerd (verdere schade beperkt)
- Meldplicht-beoordeling gedaan en gemotiveerd vastgelegd, ook bij "geen melding nodig"
- AP-melding binnen 72 uur gedaan, indien verplicht
- Betrokkenen geïnformeerd bij hoog risico
- Geraakte klanten (verwerker-rol) onverwijld geïnformeerd
- Datalekregister volledig ingevuld
- Grondoorzaak vastgesteld en preventieve maatregel doorgevoerd
Valkuilen / veelgestelde vragen
- "Het is maar een klein lek, dat hoeven we niet te melden." → De omvang zegt niet alles; het risico voor betrokkenen is bepalend. Documenteer altijd, ook als je besluit niet te melden — dat besluit moet je kunnen verantwoorden.
- "We wachten tot we alles zeker weten voordat we melden." → De 72-uurstermijn loopt vanaf ontdekking, niet vanaf volledige duidelijkheid. Meld wat je weet en vul aan.
- "Dit lek zat bij een tool van een derde partij (Google/Meta/hostingpartij), dus dat is hun probleem." → Als sub-verwerker meldt die partij aan BLURR, maar de meldplicht richting AP/betrokkenen/klant blijft bij BLURR (als verwerker) resp. de klant (als verwerkingsverantwoordelijke) liggen — dit stappenplan blijft van toepassing.
Bronnen (actueel controleren vóór gebruik)
Gerelateerd
- Verwerkersovereenkomst — Artikel 5 (datalekken)
- SOP 07-01 — Privacyverklaring-checklist
- Verwerkingsregister-template
⚖️ Verplichte laatste stap — laten toetsen door een jurist. Dit document is een startpunt / concept, geen juridisch advies. Het handboek tekent zelf geen contracten en sluit geen verzekeringen af. Vóór gebruik naar een jurist (ICT-/privacyrecht) voor toetsing op de concrete situatie van BLURR.
Laatst bijgewerkt: 2026-07-12 · Eigenaar: Eigenaar