August 9, 2025
2 min read
Een datalek wordt gedefinieerd in artikel 4 van de Algemene Verordening Gegevensbescherming (AVG) als “de onopzettelijke of onrechtmatige vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens” (Verordening (EU) 2016/679). Analyse van recente incidenten toont aan dat datalekken kunnen ontstaan door zowel onopzettelijke fouten als doelgerichte aanvallen. Veelvoorkomende vectoren zijn:
De AVG schrijft in artikel 33 voor dat verwerkingsverantwoordelijken elk datalek binnen 72 uur moeten melden bij de relevante toezichthoudende autoriteit nadat zij er kennis van hebben genomen. Het niet naleven hiervan kan leiden tot aanzienlijke administratieve boetes.
Belangrijke bevindingen uit empirisch onderzoek tonen de impact van datalekken op organisaties en individuen aan:
De meldplicht van artikel 33 heeft met name geleid tot een toename van het aantal datalekmeldingen in de EU, met meer dan 160.000 gemelde datalekken in de eerste twee jaar na de inwerkingtreding van de AVG (European Data Protection Board, 2020). Er blijven echter lacunes bestaan in de tijdige detectie en melding, vooral bij kleine en middelgrote ondernemingen.
Samenvattend is een datalek een veelzijdig concept dat ongeautoriseerde toegang tot, verlies of openbaarmaking van persoonsgegevens omvat als gevolg van zowel menselijke als technische fouten. Het regelgevingskader (AVG-artikelen 4 en 33) benadrukt snelle melding en verantwoordingsplicht, maar er blijven praktische uitdagingen bestaan op het gebied van detectie, preventie en mitigatie. Deze bevindingen sluiten aan bij het evoluerende dreigingslandschap en onderstrepen de voortdurende behoefte aan robuuste organisatorische controles en bewustwording bij gebruikers.
