Wat is een data lek?

Wat is een datalek?

Alles wat werkgevers en werknemers moeten weten over datalekken, risico’s, kosten en aangifte

Een datalek is één van de grootste risico’s voor moderne bedrijven. Een verkeerd verzonden e-mail, een gestolen laptop of een ontevreden werknemer die klantgegevens exporteert — het kan allemaal leiden tot een overtreding van de privacywet (AVG) met grote gevolgen.

Maar wanneer is iets officieel een datalek? Wanneer moet u aangifte doen of melding maken bij de Autoriteit Persoonsgegevens? En wat kost het een bedrijf als gegevens uitlekken?

In deze uitgebreide gids van MindFitPro leest u alles wat u moet weten over datalekken, risico’s, oorzaken, kosten en preventie.

Wat is een datalek volgens de wet (AVG)?

Volgens de Algemene Verordening Gegevensbescherming (AVG) is een datalek:

“Elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens.”

Kort gezegd: als persoonlijke gegevens (zoals namen, adressen, BSN, medische of financiële informatie) onbedoeld toegankelijk worden voor anderen, is er sprake van een datalek.

Voorbeelden van datalekken in bedrijven

Een datalek kan op vele manieren ontstaan — bewust of onbewust:

  • Een e-mail met persoonsgegevens naar de verkeerde ontvanger
  • Een gestolen of onbeveiligde laptop of USB-stick
  • Fout ingestelde cloudopslag (zoals Google Drive of OneDrive)
  • Een papieren dossier dat in verkeerde handen valt
  • Een medewerker die bewust klantdata kopieert of doorstuurt
  • Een cyberaanval of phishingmail waardoor wachtwoorden uitlekken
  • Privételefoon gebruikt voor werk zonder beveiliging

Wanneer moet u melding doen of aangifte bij een datalek?

Niet elk datalek hoeft meteen gemeld te worden, maar veel wel.

De Autoriteit Persoonsgegevens (AP) stelt dat u verplicht bent een datalek te melden als het:

  1. Persoonsgegevens bevat, én
  2. Risico oplevert voor de privacy van betrokkenen

U moet dan binnen 72 uur melden:

  • Aan de Autoriteit Persoonsgegevens,
  • En in sommige gevallen ook aan de betrokken personen (bijv. klanten of medewerkers).

Aangifte bij de politie

Aangifte is nodig als er sprake is van opzet, diefstal of hacking.

Bijvoorbeeld als een (ex-)medewerker bewust gegevens heeft meegenomen of als cybercriminelen toegang hebben gekregen tot uw systemen.

Waarom zouden medewerkers data lekken?

Niet elk datalek is kwaadwillig, maar in veel gevallen speelt menselijk gedrag een rol.

Onbewust datalek:

  • Onzorgvuldigheid of tijdsdruk
  • Gebrek aan kennis van privacyregels
  • Onbeveiligde apparaten of zwakke wachtwoorden

Bewust datalek (opzettelijk):

  • Wraak na ontslag of conflict
  • Concurrentievoordeel of financieel gewin
  • Onvrede over beleid of leiding
  • Persoonlijke overtuiging (“klokkenluider”)

Een opzettelijk datalek kan vallen onder computervredebreuk, diefstal of bedrijfsspionage – allemaal strafbare feiten.

Wat zijn de risico’s van een datalek voor uw bedrijf?

De gevolgen van een datalek zijn vaak groter dan gedacht:

1. Boetes

De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet.

2. Financiële schade

Kosten voor herstel, IT-onderzoek, juridische ondersteuning en reputatieherstel lopen snel op — vaak tussen de €10.000 en €200.000 per incident.

3. Vertrouwen en reputatie

Klanten verliezen vertrouwen in uw organisatie. Eén fout kan jarenlange reputatieschade veroorzaken.

4. Juridische claims

Betrokkenen kunnen schadevergoeding eisen als blijkt dat uw beveiliging onvoldoende was.

5. Interne onrust

Een datalek kan leiden tot wantrouwen, stress en conflicten op de werkvloer.

Wat kost een datalek gemiddeld?

Volgens de IBM Cost of a Data Breach Report 2024:

  • Gemiddelde kosten van een datalek wereldwijd: €4,5 miljoen
  • In Nederland: gemiddeld €170 per gelekt persoonsgegeven
  • 80% van de datalekken ontstaat door menselijk handelen

Voor mkb-bedrijven kan een enkel datalek al leiden tot forse financiële schade of faillissement.

Hoe kunt u een datalek voorkomen?

1. Bewustwording en training

Zorg dat medewerkers weten wat een datalek is en hoe ze veilig met data omgaan.

2. Sterke beveiliging

Gebruik tweestapsverificatie, versleuteling en up-to-date beveiligingssoftware.

3. Toegangsbeheer

Beperk toegang tot gevoelige informatie tot wie het écht nodig heeft.

4. Goede protocollen

Leg in beleid vast wat te doen bij een datalek, wie het meldt en hoe snel.

5. Regelmatige audits

Laat periodiek uw IT-beveiliging en interne procedures controleren.

6. Werk met betrouwbare partners

Zorg dat uw leveranciers ook voldoen aan de AVG en veilige systemen gebruiken.

Wat te doen als u een datalek vermoedt

  1. Blijf kalm, maar handel snel.
  2. Noteer wat er is gebeurd: datum, tijd, personen, betrokken data.
  3. Beperk de schade: blokkeer toegang, wijzig wachtwoorden, verwijder bestanden.
  4. Informeer uw functionaris gegevensbescherming of leidinggevende.
  5. Meld het incident bij de Autoriteit Persoonsgegevens (indien verplicht).
  6. Overweeg aangifte of bedrijfsrechercheonderzoek bij opzet of diefstal.

Wat doet MindFitPro bij datalekken?

MindFitPro helpt organisaties om datalekken te onderzoeken, te beperken en te voorkomen.

Wij bieden:

  • Bedrijfsrechercheonderzoek bij opzettelijke datalekken
  • Integriteitsonderzoek bij medewerkers met toegang tot gevoelige informatie
  • Mediation en vertrouwenspersonen bij interne conflicten of misstanden
  • Psychologische ondersteuning bij stress of angst na incidenten

Zo combineren we forensisch onderzoek met menselijk inzicht – alles onder één dak.

Veelgestelde vragen

Moet elk datalek gemeld worden?

Nee, alleen als het risico’s oplevert voor betrokkenen. Twijfelt u? Raadpleeg een specialist of de AP.

Wat kost een onderzoek naar een datalek?

Gemiddeld tussen €750 en €2.500, afhankelijk van omvang en aard.

MindFitPro biedt vaste tarieven voor mkb-bedrijven en snelle start binnen 24 uur.

Kan ik personeel ontslaan na een datalek?

Ja, maar alleen als er sprake is van opzet of grove nalatigheid én het dossier goed is opgebouwd.

Daarom is een onafhankelijk onderzoek essentieel.

Wat is het verschil tussen melding en aangifte?

Een melding doet u bij de Autoriteit Persoonsgegevens (administratief).

Aangifte doet u bij de politie (strafrechtelijk), bijvoorbeeld bij hacking of diefstal.

MindFitPro – bescherming van mens, data en organisatie

MindFitPro helpt bedrijven bij integriteit, privacy en veiligheid op de werkvloer.

Met onze combinatie van bedrijfsrecherche, vertrouwenspersonen, mediation en psychologische zorg beschermen wij organisaties op alle niveaus – menselijk én digitaal.