Achtergrond
image

Waarom is er in de AVG geen termijn voor het informeren van slachtoffers van een datalek opgenomen?

woensdag 5 november 2025, 11:20 door Arnoud Engelfriet, 5 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De laatste tijd zijn er verschillende datalekken in het nieuws gekomen waarbij gedupeerden pas weken later werden gewaarschuwd. Ik weet dat in de AVG een meldplicht binnen 72 uur bij de AP geldt voor organisaties, maar waarom is er niet ook zo'n harde deadline voor getroffen personen?

Antwoord: De AVG eist (artikel 33) dat datalekken "zonder onredelijke vertraging" worden gemeld bij de toezichthouder. Om te voorkomen dat mensen te lang dralen, staat er ook een harde deadline van uiterlijk 72 uur na ontdekking bij. Maar wie dan nog niet alles weet, mag een gedeeltelijke melding maken.

De rationele achter deze harde deadline is dat de toezichthouder zo vanaf het begin mee kan kijken en waar nodig aanwijzingen kan geven. Door dat vroeg in het proces te doen, is er nog ruimte voor sturing, kan bewijs nog worden gevorderd enzovoorts.

Naast deze meldplicht bestaat er ook een mededelingsplicht aan getroffen betrokkenen (artikel 34). Deze mededeling moet 'onverwijld' gebeuren, maar hier staat geen hard getal bij. De reden om ook dit zo snel mogelijk te laten gebeuren is natuurlijk dat je dan maatregelen kunt nemen zoals je wachtwoorden wijzigen.

Bij deze mededelingsplicht is geen harde termijn genoemd. De AVG geeft daar geen expliciete reden voor. Vermoedelijk is de gedachte geweest dat betrokkenen weinig hebben aan halve informatie, en dat je in die eerste 72 uur vaak nog bezig bent met dingen oplossen. Het is dan denkbaar dat even wachten beter is.

Het is echter niet zo dat je, omdat er geen hard getal staat, je mag wachten tot je een keer zin hebt om te melden. 'Onverwijld' is hoe dan ook zo snel mogelijk, en als het weken duurt dan kan de toezichthouder je daar echt voor op de vingers tikken. Lid 4 biedt zelfs expliciet de optie om je te sommeren per direct iedereen te informeren.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (5)
Reageer met quote
05-11-2025, 11:50 door Anoniem
Helaas is er met de AP weinig kans dat er ook actie op ondernomen word op die late meldingen. Bij het datalek van het lab in Rijswijk werden de betrokkenen pas na een maand geïnformeerd en zelfs bij zo'n geval waarbij er kamervragen gesteld worden lijkt hier geen opvolging aan gegeven te worden.
Reageer met quote
05-11-2025, 13:35 door Anoniem
Inderdaad opmerkelijk dat er helemaal niet aan het primair belang van slachtoffers is gedacht. Maar wat de AP betreft wél aan "hun eige"!

Als je de beheerder van een gelekte dataset bent, dan kun je natuurlijk op één vinger al natellen dat het feit dat er gelekt is, dus ook wel zal lekken. Normale reflex is dan "fuk, al mijn klanten lopen weg".

Dus dan kun je beter heel die AP eerst links laten liggen en zo snel mogelijk de gelekten informeren. Zodat je zelf de primeur houdt op je slechte nieuws en niet de krant. Dan hou je toch nog aardig wat klanten aan boord die het in elk geval correct vonden dat je ze gelijk in kennis hebt gesteld. Daarna zou ik me pas foscussen op de stempeldoos van Aleid, en kijken of er boetes te voorkomen zijn. Dat je eerst aan de slachtoffers denkt zou wat mij betreft dan al een strafverminderende werking moeten hebben.

Wat al die boetes betreft heb ik ook nog een vraag. Wat gebeurt er eigenlijk met die poen? Naar de algemene middelen om algemene politici te beschermen?
Reageer met quote
05-11-2025, 16:25 door Anoniem
Dit is zo makkelijk op te lossen door eerste berichtgeving te verplichten binnen 72 uur maar geen deadline te stellen voor de post-mortem. Je stuurt klanten een bericht dat er een veiligheids incident heeft plaats gevonden en dat er zo snel mogelijk meer informatie volgt maar dat het onderzoek lopend is en dat er verder nog geen informatie kan of mag gedeeld worden.

Ja je eerstelijns zal drukker zijn met mensen die niet het hele bericht lezen en je zult vast ook reeks opzeggingen binnen krijgen maar gros zal gewoon geduldig wachten. Nu helaas komt het vaker voor dat enig lek vernomen moet worden vanuit de krant voor de mail gelezen is.
Reageer met quote
05-11-2025, 20:54 door Anoniem
Door Anoniem: Inderdaad opmerkelijk dat er helemaal niet aan het primair belang van slachtoffers is gedacht. Maar wat de AP betreft wél aan "hun eige"!

Als je de beheerder van een gelekte dataset bent, dan kun je natuurlijk op één vinger al natellen dat het feit dat er gelekt is, dus ook wel zal lekken. Normale reflex is dan "fuk, al mijn klanten lopen weg".

Dus dan kun je beter heel die AP eerst links laten liggen en zo snel mogelijk de gelekten informeren. Zodat je zelf de primeur houdt op je slechte nieuws en niet de krant. Dan hou je toch nog aardig wat klanten aan boord die het in elk geval correct vonden dat je ze gelijk in kennis hebt gesteld. Daarna zou ik me pas foscussen op de stempeldoos van Aleid, en kijken of er boetes te voorkomen zijn. Dat je eerst aan de slachtoffers denkt zou wat mij betreft dan al een strafverminderende werking moeten hebben.

Wat al die boetes betreft heb ik ook nog een vraag. Wat gebeurt er eigenlijk met die poen? Naar de algemene middellen om algemene politici te beschermen?

De AP is toezichthouder op de AVG. Zeker niet de wetgever. Als je niet begrijpt hoe het werk lees je dan eerst in ;-)
Reageer met quote
06-11-2025, 09:12 door Anoniem
Door Anoniem: Helaas is er met de AP weinig kans dat er ook actie op ondernomen word op die late meldingen. Bij het datalek van het lab in Rijswijk werden de betrokkenen pas na een maand geïnformeerd en zelfs bij zo'n geval waarbij er kamervragen gesteld worden lijkt hier geen opvolging aan gegeven te worden.
Omdat eerst de omvang bekend moet zijn.


Door Anoniem: Inderdaad opmerkelijk dat er helemaal niet aan het primair belang van slachtoffers is gedacht. Maar wat de AP betreft wél aan "hun eige"!
Omdat niemand zit te wachten op 1/2 informatie.

Als je de beheerder van een gelekte dataset bent, dan kun je natuurlijk op één vinger al natellen dat het feit dat er gelekt is, dus ook wel zal lekken. Normale reflex is dan "fuk, al mijn klanten lopen weg".
Hangt helemaal van de situatie af.

Dus dan kun je beter heel die AP eerst links laten liggen en zo snel mogelijk de gelekten informeren. Zodat je zelf de primeur houdt op je slechte nieuws en niet de krant. Dan hou je toch nog aardig wat klanten aan boord die het in elk geval correct vonden dat je ze gelijk in kennis hebt gesteld. Daarna zou ik me pas foscussen op de stempeldoos van Aleid, en kijken of er boetes te voorkomen zijn. Dat je eerst aan de slachtoffers denkt zou wat mij betreft dan al een strafverminderende werking moeten hebben.
Voordat je de exacte schaal weet, moet je eerst goed onderzoek doen, zodat je weet wat en wie zijn informatie gelekt is.


Door Anoniem: Dit is zo makkelijk op te lossen door eerste berichtgeving te verplichten binnen 72 uur maar geen deadline te stellen voor de post-mortem. Je stuurt klanten een bericht dat er een veiligheids incident heeft plaats gevonden en dat er zo snel mogelijk meer informatie volgt maar dat het onderzoek lopend is en dat er verder nog geen informatie kan of mag gedeeld worden.
Typisch zo'n antwoord van iemand die weinig ervaring heeft op dit gebied.
Je zal eerst goed moeten inventariseren, wat er gelekt is en van wie exact.

Ja je eerstelijns zal drukker zijn met mensen die niet het hele bericht lezen en je zult vast ook reeks opzeggingen binnen krijgen maar gros zal gewoon geduldig wachten.
Je doet hier grote aannames.
1: dat er een eerste lijn is.
2: dat de gros zal wachten.
3: je geen idee hebt, wie je exact moet informeren.
4: je de klacht krijgt, waarom weten jullie nog niets. Wat net zo erg is.

Nu helaas komt het vaker voor dat enig lek vernomen moet worden vanuit de krant voor de mail gelezen is.
Niet iedereen leest zijn mail continue. Ik ken er zat, die maar 2 - 3 keer per week hun email lezen.
Je gaat er nog vanuit dat iedereen ook de mailadressen heeft van deze personen, dat is dus ook weer een aanname. En even 20.000 brieven versturen die je ook niet snel. PostNL bezorgd bijvoorbeeld ook steeds minder vaak, en de bruna ziet je al aankomen met 20.000 brieven.

Blijft mooi om te zien, dat vele hier alleen vanuit de techniek denken, maar niet vanuit enige gebruikers ervaring of impact hiervan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure