Wat is de 72-uur meldplicht datalek? (AVG Art. 33-34)
Bij een datalek met risico moet de verwerkingsverantwoordelijke binnen 72 uur de AP informeren. Bij hoog risico ook de betrokkenen zelf. Niet melden = boete tot €10m / 2% omzet.
AVG Art. 33-34 regelt de meldplicht datalek in twee richtingen: aan de toezichthouder (Art. 33) en aan de betrokken personen (Art. 34). Wanneer melden bij AP (Art. 33)? Binnen 72 uur na kennisname van het datalek, tenzij het lek waarschijnlijk geen risico oplevert voor de rechten en vrijheden van de betrokkenen. Klok start zodra een redelijke mate van zekerheid bestaat dat een lek heeft plaatsgevonden — niet op de exacte datum waarop het lek begon. Inhoud melding: aard van het lek, categorieën + aantallen betrokken personen, categorieën + aantallen records, contactpersoon DPO, waarschijnlijke gevolgen, en genomen of voorgestelde maatregelen. Wanneer ook betrokkenen informeren (Art. 34)? Bij hoog risico voor de rechten en vrijheden van de betrokkenen. Bv. gelekte wachtwoorden, BSN, paspoort-data, financiële gegevens, medische gegevens, locatie-data van risicogroepen. Wijze: direct + persoonlijk — meestal e-mail of brief. Bij grote aantallen mag publieke mededeling (bv. persbericht) als individuele communicatie disproportioneel is. Drie uitzonderingen op betrokkenen-melding: (1) data was versleuteld met state-of-the-art encryptie en sleutel niet gecompromitteerd, (2) onmiddellijke maatregelen hebben risico geneutraliseerd, of (3) individuele melding zou disproportioneel zijn (dan publieke mededeling). Documentatieplicht: elk datalek — gemeld of niet — moet intern in een datalekregister worden vastgelegd. De AP kan dat opvragen tijdens audit. Boetes: niet melden binnen 72 uur kan boete tot €10 miljoen of 2% wereldwijde omzet opleveren (Art. 83 lid 4). Niet beveiligen leidt vaak tot zwaardere boetes (Art. 83 lid 5, tot €20m / 4%). Voorbeelden van AP-boetes 2023-2025: Booking.com (€475k voor late melding klantendata-lek), Belastingdienst (interne melding), TikTok (kinderdata, Iers DPC namens NL). Wat als JIJ slachtoffer bent? Bedrijf moet jou informeren als data + risico beide hoog. Geen melding gekregen terwijl je vermoedt dat lek je raakte? Vraag inzage (Art. 15) of klacht AP.
Bronnen
🔎 Veelgestelde zoekvragen
Herken je je eigen zoekvraag? Ons antwoord hierboven dekt al deze varianten.
- “72 uur meldplicht datalek”
- “datalek melden ap”
- “avg artikel 33”
- “meldplicht datalek termijn”
- “datalek register”