Know How

Wat is een datalek? Daar valt meer onder dan je denkt

29 mei 2026
Een datalek klinkt al snel als iets groots: hackers, ransomware of klantgegevens die op straat liggen. Maar in de praktijk is een datalek vaak veel kleiner en alledaagser. Ook een verkeerd verzonden e-mail, kwijtgeraakt dossier of onbeveiligd Excelbestand kan al een datalek zijn. Deze blog helpt mkb’ers herkennen wanneer persoonsgegevens mogelijk verkeerd terechtkomen en wanneer melden relevant kan worden.

Lisanne Jansen

lisanne.jansen@vdt-advocaten.nl

Een datalek klinkt al snel als iets groots: hackers, ransomware of klantgegevens die op straat liggen. Maar in de praktijk is een datalek vaak veel kleiner en alledaagser. Juist daarom is het belangrijk om te weten wat een datalek is.

Een handige vuistregel

Twijfel je? Stel dan deze vraag: kon iemand persoonsgegevens zien, gebruiken, wijzigen of kwijtraken terwijl dat niet de bedoeling was? Zo ja, dan moet je serieus beoordelen of sprake is van een datalek.

Veel voorkomende voorbeelden zijn:

  • Een e-mail met klantgegevens wordt naar de verkeerde persoon gestuurd.
  • Een offerte met persoonsgegevens gaat naar het verkeerde e-mailadres.
  • Klanten staan zichtbaar in de cc in plaats van in de bcc.
  • Een loonstrook komt bij de verkeerde medewerker terecht.
  • Een laptop, telefoon of usb-stick met persoonsgegevens raakt kwijt.
  • Een Excelbestand met klant- of personeelsgegevens staat in een gedeelde map waar te veel collega’s bij kunnen.
  • Een personeelsdossier wordt geopend door iemand die daar geen werkreden voor heeft.
  • Een print met vertrouwelijke gegevens blijft liggen bij een gedeelde printer.
  • Een map met sollicitaties ligt zichtbaar op een bureau of balie.
  • Oude dossiers of sollicitatiebrieven worden bij het gewone oud papier gegooid.
  • Een klantlijst ligt zichtbaar in een bedrijfsauto, vergaderruimte of receptie.
  • Een medewerker gebruikt persoonsgegevens voor een ander doel dan waarvoor ze zijn gegeven.

Wat is een datalek precies?

Een datalek is een beveiligingsincident met persoonsgegevens. Het gaat om situaties waarin persoonsgegevens kwijtraken, worden gewijzigd, vernietigd, openbaar worden of terechtkomen bij iemand die ze niet had mogen zien. Dat kan per ongeluk gebeuren, maar ook door misbruik of een technische fout.

Persoonsgegevens zijn alle gegevens die direct of indirect over een persoon gaan. Denk aan een naam, e-mailadres, telefoonnummer, personeelsdossier, klantnummer, IP-adres, salarisgegevens, ziekmelding of kopie van een identiteitsbewijs.

Een datalek hoeft dus geen groot IT-incident te zijn. Ook kleine dagelijkse fouten kunnen al genoeg zijn. Denk aan een verkeerd verzonden e-mail, een dossier dat blijft liggen of een bestand dat te ruim toegankelijk is. Ook papieren documenten tellen mee. Laat je een dossier liggen in de trein, gooi je sollicitatiebrieven bij het oud papier of ligt een lijst met klantgegevens zichtbaar op de balie, dan kan dat ook een datalek zijn.

Nee, je hoeft niet ieder datalek te melden

Niet elk datalek hoeft meteen bij de Autoriteit Persoonsgegevens te worden gemeld. Dat hangt af van het risico voor de personen om wie het gaat. Gaat het bijvoorbeeld om gevoelige gegevens, grote aantallen personen of gegevens die kunnen leiden tot fraude, identiteitsmisbruik, reputatieschade of ander nadeel? Dan wordt melden sneller relevant.

Soms moet je een datalek ook melden aan de betrokken personen zelf. Dat speelt vooral als het lek waarschijnlijk een hoog risico voor hen oplevert. Denk aan verlies van medische gegevens, financiële gegevens of kopieën van identiteitsbewijzen.

Ook als je besluit niet te melden, moet je het datalek intern vastleggen. Zo kun je later uitleggen wat er is gebeurd, welke risico-inschatting je hebt gemaakt en waarom je wel of niet hebt gemeld. Lees ook: Waarom heb ik een datalek-register nodig?

Een datalek herkennen begint dus niet bij ingewikkelde juridische regels, maar bij praktische alertheid. Wie begrijpt wat er allemaal onder een datalek kan vallen, kan in een AVG-scan beter inschatten waar binnen het bedrijf risico’s zitten.

Lees ook:

  1. Waarom heb ik een privacybeleid nodig?
  2. Waarom heb ik een verwerkingsregister nodig?
  3. Waarom heb ik een datalek-register nodig?
  4. Waarom heb ik draaiboek datalekken nodig?
  5. Waarom heb ik een draaiboek verzoek betrokkenen nodig?
  6. Waar moet ik aan denken bij organisatorische veiligheidsmaatregelen voor de AVG?
  7. Waarom heb ik een privacy verklaring nodig?
  8. Waarom heb ik een privacy manager nodig?
  9. Wanneer heb ik een verwerkersovereenkomst nodig?
  10. Wat houdt de Quick Scan Verwerkersovereenkomst in?

Inhoudsopgave

Tags

, ,

Plan een vrijblijvend gesprek in