We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    Datalek response en incident management voor MKB bedrijven
    Cyber Security

    Wat Te Doen Bij een Datalek? Het Complete Stappenplan voor MKB-Bedrijven

    TRON Group• Cybersecurity & Compliance Experts
    14 minuten lezen

    In 2025 waren er meer dan 25.000 datalekmeldingen bij de Autoriteit Persoonsgegevens. Toch weten veel MKB-bedrijven niet wat ze moeten doen als het zover is. Ontdek het complete 7-stappen noodplan, meldtermijnen en hoe je boetes voorkomt.

    Wat Te Doen Bij een Datalek? Het Complete Stappenplan voor MKB-Bedrijven

    Een datalek kan elk bedrijf overkomen. Een gestolen laptop, een verkeerd verstuurde e-mail met persoonsgegevens of een ransomware-aanval: in 2025 waren er meer dan 25.000 datalekmeldingen bij de Autoriteit Persoonsgegevens. Toch weten veel MKB-bedrijven niet wat ze moeten doen als het zover is. In deze gids vind je een compleet stappenplan zodat je snel, correct en wettelijk juist handelt wanneer het onvermijdelijke gebeurt.

    Kernpunten (TL;DR)

    • 72 uur is de wettelijke deadline om een datalek te melden bij de Autoriteit Persoonsgegevens (AP). Overschrijding leidt tot boetes.
    • Niet elk datalek hoeft gemeld te worden, maar je moet het altijd documenteren in je datalekregister.
    • De gemiddelde kosten van een datalek voor MKB-bedrijven bedragen EUR 95.000-165.000, inclusief boetes, herstel en reputatieschade.
    • AVG-boetes kunnen oplopen tot EUR 20 miljoen of 4% van de jaaromzet. In de praktijk liggen boetes voor het MKB tussen EUR 5.000 en EUR 830.000.
    • Een datalek response plan halveert de gemiddelde hersteltijd en verlaagt de totale kosten met 30-40%.
    • NIS2 voegt meldplichten toe die verder gaan dan de AVG-vereisten.
    • 80% van de datalekken is te voorkomen met basismaatregelen als MFA, encryptie en bewustzijnstraining.

    Wat is een Datalek Volgens de AVG?

    Een datalek is volgens de AVG elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens. Het gaat niet alleen om hackers en cyberaanvallen.

    Voorbeelden van datalekken:

    • Een laptop met klantgegevens wordt gestolen
    • Een e-mail met persoonsgegevens wordt naar de verkeerde ontvanger gestuurd
    • Ransomware versleutelt systemen met persoonsgegevens
    • Een medewerker verliest een USB-stick met werknemersdata
    • Een cloudopslag is per ongeluk publiek toegankelijk
    • Een oud systeem wordt niet gewist voor verwijdering en bevat nog data
    • Een papieren dossier wordt weggegooid zonder te shredden

    Cruciaal: een datalek is niet alleen het lekken van data naar buiten. Ook het verlies van toegang tot data (bijvoorbeeld door ransomware) of ongeoorloofde wijziging is een datalek.

    Het 7-Stappen Noodplan bij een Datalek

    Wanneer je een datalek ontdekt, volg je dit stappenplan. Elke stap is cruciaal en de volgorde is belangrijk.

    Stap 1: Beperk de schade (eerste minuten)

    De eerste prioriteit is het stoppen van het lek en het beperken van verdere schade.

    Direct actie ondernemen:

    • Isoleer getroffen systemen van het netwerk
    • Blokkeer gecompromitteerde accounts
    • Wijzig wachtwoorden van betrokken systemen
    • Schakel je IT-partner of managed security provider in

    Bij een cyberaanval:

    • Koppel getroffen apparaten los van het netwerk, maar zet ze niet uit (bewijsmateriaal bewaren)
    • Activeer je disaster recovery plan
    • Schakel indien nodig je incident response-partner in

    Bij een fysiek lek (gestolen apparaat):

    • Wis het apparaat op afstand via MDM-tooling
    • Controleer of de harde schijf versleuteld was
    • Blokkeer alle accounts die op het apparaat waren ingelogd

    Stap 2: Breng de omvang in kaart (eerste uren)

    Je moet snel en nauwkeurig vaststellen wat er precies is gebeurd.

    Beantwoord deze vragen:

    • Welke persoonsgegevens zijn betrokken? (namen, adressen, BSN, financiële data?)
    • Hoeveel personen zijn geraakt?
    • Hoe is het lek ontstaan? (technisch falen, menselijke fout, aanval?)
    • Is de data ingezien, gekopieerd of vernietigd?
    • Is het lek gestopt of nog gaande?
    • Waren de gegevens versleuteld?

    Documenteer alles. Tijdstippen, acties, bevindingen. Dit heb je nodig voor de melding en eventueel voor de Autoriteit Persoonsgegevens.

    Stap 3: Beoordeel de meldplicht (binnen 24 uur)

    Niet elk datalek hoeft gemeld te worden bij de AP, maar je moet het altijd beoordelen. De hoofdregel: als het datalek een risico vormt voor de rechten en vrijheden van betrokkenen, moet je melden.

    Wel melden bij de AP als:

    • Er gevoelige persoonsgegevens betrokken zijn (medisch, strafrechtelijk, BSN, financieel)
    • De data niet versleuteld was
    • Er een groot aantal personen is geraakt
    • De gegevens misbruikt kunnen worden voor identiteitsfraude
    • Er sprake is van een cyberaanval

    Mogelijk niet melden als:

    • De data versleuteld was met sterke encryptie en de sleutel niet gecompromitteerd is
    • Het lek beperkt bleef tot een klein, afgebakend aantal gegevens
    • De data niet door derden is ingezien

    Twijfel? Meld het. De AP is milder voor bedrijven die proactief melden dan voor bedrijven die een melding proberen te vermijden.

    Stap 4: Meld bij de Autoriteit Persoonsgegevens (binnen 72 uur)

    Als je hebt vastgesteld dat het lek meldplichtig is, moet je binnen 72 uur na ontdekking melden bij de AP. Dit doe je via het meldingsformulier op de website van de AP.

    De melding bevat minimaal:

    • Beschrijving van de aard van het datalek
    • Categorieën en geschat aantal betrokken personen
    • Categorieën en geschat aantal getroffen persoonsgegevens
    • Naam en contactgegevens van de Functionaris Gegevensbescherming (FG) of contactpersoon
    • Beschrijving van de waarschijnlijke gevolgen
    • Beschrijving van de genomen en voorgestelde maatregelen

    Je hoeft niet alle informatie direct compleet te hebben. Een initiële melding met beschikbare feiten is voldoende. Je kunt later aanvullen.

    Stap 5: Informeer betrokkenen (indien nodig)

    Als het datalek waarschijnlijk een hoog risico inhoudt voor de betrokken personen, moet je hen ook direct informeren. Dit is verplicht bij:

    • Mogelijkheid tot identiteitsfraude
    • Financiële schade
    • Discriminatie
    • Reputatieschade voor de betrokkene
    • Verlies van vertrouwelijkheid bij beroepsgeheim

    De communicatie aan betrokkenen bevat:

    • In duidelijke taal: wat is er gebeurd?
    • Welke gegevens zijn betrokken?
    • Wat zijn de mogelijke gevolgen?
    • Welke maatregelen heb je genomen?
    • Wat kunnen betrokkenen zelf doen ter bescherming?
    • Contactgegevens voor vragen

    Wees eerlijk, concreet en empathisch. Probeer het niet te bagatelliseren.

    Stap 6: Documenteer in het datalekregister (altijd)

    De AVG verplicht elk bedrijf om een datalekregister bij te houden. Elk datalek moet hierin worden opgenomen, ook datalekken die niet meldplichtig zijn bij de AP.

    Het register bevat per incident:

    • Datum en tijd van ontdekking
    • Beschrijving van het datalek
    • Getroffen gegevens en aantal betrokkenen
    • Beoordeling van het risico
    • Genomen maatregelen
    • Of er is gemeld bij de AP en/of betrokkenen
    • Onderbouwing als je hebt besloten niet te melden

    De AP kan dit register opvragen bij een controle. Een goed bijgehouden register toont aan dat je serieus omgaat met databescherming.

    Stap 7: Evalueer en verbeter (na het incident)

    Elk datalek is een leerkans. Voer na het incident een grondige evaluatie uit.

    Evaluatievragen:

    • Hoe is het lek ontstaan en had het voorkomen kunnen worden?
    • Reageerden we snel genoeg? Waar zat vertraging?
    • Was het noodplan effectief? Wat moet worden aangepast?
    • Welke technische of organisatorische maatregelen moeten worden versterkt?
    • Is aanvullende training nodig?

    Documenteer de lessons learned en pas je beveiligingsbeleid en noodplan aan.

    Preventie: Zo Voorkom Je Datalekken

    Voorkomen is altijd beter dan genezen. Deze maatregelen verkleinen het risico op een datalek drastisch.

    Technische maatregelen

    MFA (Multi-Factor Authenticatie) is de meest effectieve enkelvoudige maatregel. Het blokkeert 99,9% van de geautomatiseerde aanvallen op accounts.

    Encryptie van data op laptops, mobiele apparaten en USB-sticks zorgt ervoor dat gestolen of verloren apparaten geen datalek veroorzaken, mits de encryptiesleutel niet gecompromitteerd is.

    E-mailbeveiliging met DLP-regels (Data Loss Prevention) voorkomt dat medewerkers per ongeluk gevoelige data via e-mail versturen.

    Patchmanagement voorkomt dat bekende kwetsbaarheden worden misbruikt. Proactief IT-beheer houdt alle systemen up-to-date.

    Backup en disaster recovery zorgen ervoor dat je bij ransomware of dataverlies snel kunt herstellen zonder losgeld te betalen.

    Organisatorische maatregelen

    Bewustzijnstraining voor alle medewerkers over het herkennen van phishing, veilig omgaan met data en het melden van incidenten.

    Toegangsbeheer op basis van het need-to-know-principe. Zero trust: geef medewerkers alleen toegang tot de data die ze nodig hebben voor hun functie.

    Clear desk en clean screen beleid voorkomt dat gevoelige informatie fysiek toegankelijk is.

    Verwerkersovereenkomsten met alle partijen die persoonsgegevens verwerken namens jouw organisatie.

    NIS2 en Meldplicht

    De NIS2-richtlijn die medio 2026 van kracht wordt, voegt aanvullende meldplichten toe bovenop de AVG-vereisten.

    NIS2 vereist:

    • Vroegtijdige waarschuwing binnen 24 uur na detectie van een significant incident
    • Incidentmelding binnen 72 uur met een initiële beoordeling
    • Eindverslag binnen 1 maand met een gedetailleerde beschrijving, oorzaakanalyse en genomen maatregelen

    Dit geldt voor organisaties die als essentieel of belangrijk worden geclassificeerd onder NIS2, inclusief hun toeleveranciers.

    Veelgestelde Vragen

    Moet ik elk datalek melden bij de Autoriteit Persoonsgegevens?

    Nee, alleen datalekken die een risico vormen voor de rechten en vrijheden van betrokkenen. Maar je moet elk datalek, ook niet-meldplichtige, documenteren in je interne datalekregister. Bij twijfel: meld het. De AP waardeert proactieve melders.

    Wat zijn de boetes als ik een datalek niet meld?

    De AVG staat boetes toe tot EUR 20 miljoen of 4% van de jaaromzet. In de praktijk zijn de boetes in Nederland voor het MKB lager, maar ze lopen op. De AP heeft boetes opgelegd van EUR 5.000 tot EUR 830.000 voor het niet of te laat melden van datalekken.

    Hoe snel moet ik handelen bij een datalek?

    Direct. De 72-uurs-meldtermijn begint op het moment van ontdekking. Maar los van de melding wil je de schade zo snel mogelijk beperken. Elk uur dat een lek open staat, vergroot de potentiele schade.

    Moet ik aangifte doen bij de politie?

    Bij cybercrime (ransomware, hacking, phishing) is aangifte sterk aan te raden. Het is niet verplicht maar helpt bij het opsporen van daders en kan nodig zijn voor je verzekering. Bij diefstal van apparaten is aangifte sowieso verstandig.

    Wat als ik niet weet of er persoonsgegevens zijn gelekt?

    Als je niet kunt uitsluiten dat er persoonsgegevens zijn betrokken, behandel het dan als een datalek. Onderzoek het zo snel mogelijk en documenteer je bevindingen. Beter een melding te veel dan een te weinig.

    Kan ik een cyberverzekering afsluiten tegen de gevolgen?

    Ja, cyberverzekeringen dekken vaak de kosten van incidentresponse, juridische bijstand, communicatie naar betrokkenen en soms zelfs de boetes. De premie hangt af van je beveiligingsniveau. Veel verzekeraars eisen minimaal MFA en een backup-strategie.

    Zorg dat Je Voorbereid Bent

    Een datalek overkomt je. Het is niet de vraag of, maar wanneer. Het verschil tussen een beheersbaar incident en een bedrijfscrisis zit in de voorbereiding.

    Bij TRON Group helpen we MKB-bedrijven met het opstellen van een datalek response plan, het implementeren van preventieve maatregelen en het snel reageren wanneer het misgaat. Van managed security tot incident response: we staan klaar wanneer het ertoe doet.

    Wil je weten hoe goed jouw organisatie voorbereid is op een datalek? Neem contact met ons op voor een vrijblijvend gesprek of bel ons direct op 085-3035869. Samen zorgen we dat je voorbereid bent.

    DatalekAVGGDPRAutoriteit PersoonsgegevensMeldplichtNIS2ComplianceIncident Response

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    Trage webshop optimalisatie en e-commerce snelheid verbeteren
    Web Development
    13 min lezen

    Trage Webshop? Zo Verlies Je Klanten — en Zo Los Je Het Op

    Elke seconde extra laadtijd kost je tot 7% omzet. Bij een webshop van EUR 20.000/maand is dat EUR 1.400 aan gemiste verkopen. Ontdek de 8 meest voorkomende oorzaken en concrete oplossingen per platform (WooCommerce, Shopify, Magento).

    Webshop SnelheidWooCommerceShopify
    Lees meer
    Website snelheid optimalisatie en trage website versnellen
    Web Development
    14 min lezen

    Trage Website? 12 Oorzaken en Oplossingen om Je Site Direct te Versnellen

    53% van de mobiele bezoekers verlaat je website als deze langer dan 3 seconden laadt. Elke seconde vertraging kost 7% conversie. Ontdek de 12 meest voorkomende oorzaken van een trage website en de oplossingen die direct verschil maken.

    Website SnelheidTrage WebsiteCore Web Vitals
    Lees meer