Datalek-procedure — 72 uur stappenplan + AP-meldformulier

Zie ons artikel 72-uur meldplicht. Stappenplan eerste 72 uur: Uur 0-2: incident-vaststelling. Wat is gelekt + omvang? Stop verdere lekken. Vastleggen tijdstempel + bewijs. Inschakelen IT-team + DPO. Uur 2-24: assessment. Categorieën betrokkenen + data + risico-classificatie (laag/medium/hoog). Bewaartermijn-impact. Welke wettelijke verplichting? Uur 24-72: formele melding aan AP (Art. 33) — alleen als er waarschijnlijk risico is. Geen risico = niet hoeven melden, wel intern documenteren. Bij hoog risico ook betrokkenen informeren (Art. 34). AP-meldformulier: via autoriteitpersoonsgegevens.nl. Vereiste velden: aard + omvang + categorieën, contactpersoon DPO, verwachte gevolgen, genomen + voorgestelde maatregelen. Vervolg-meldingen mogelijk bij later info. Communicatie-brief aan betrokkene bij hoog risico: wat gebeurd, welke data, gevolgen, advies (wachtwoord wijzigen, monitoring), contact-route. Documentatieplicht (Art. 33 lid 5): elk lek — gemeld of niet — vastleggen in datalek-register. AP kan tijdens audit opvragen. Boete bij niet-melden: Art. 83 lid 4 — tot €10m / 2%. Voorbeelden 2024-2025: Booking.com (€475k late melding), Belastingdienst (intern), TikTok (Iers DPC namens NL).