Datalek

Mijn gegevens zijn gelekt bij een datalek, wat kan ik doen?

Rechtswijs Rechtswijs
14 min lezen 8 bronnen

Je ontvangt een e-mail: je gegevens zijn gelekt. Je naam, adres, misschien zelfs je BSN of bankgegevens liggen op straat. De organisatie die je vertrouwde met je gegevens heeft gefaald. En nu? Je voelt je machteloos, boos, en je wilt weten wat je kunt doen. Het goede nieuws: de wet staat aan jouw kant. De Algemene Verordening Gegevensbescherming (AVG) geeft je concrete rechten die je direct kunt inzetten.

Wat is een datalek en wanneer zijn mijn persoonsgegevens echt gelekt?

Een datalek betekent dat persoonsgegevens in handen komen van iemand die daar geen recht op heeft. Dat kan op veel manieren gebeuren. Een hacker breekt in op een systeem en steelt klantgegevens. Een medewerker stuurt per ongeluk een bestand met persoonsgegevens naar de verkeerde persoon. Een laptop met onversleutelde gegevens wordt gestolen. Of een bedrijf gooit papieren dossiers onversnipperd bij het oud papier.

Het hoeft niet altijd om een grote hack te gaan. Ook een verkeerd verstuurde e-mail met persoonsgegevens is juridisch gezien een datalek. De AVG definieert het breed: elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of onbevoegde toegang tot persoonsgegevens valt eronder.

Niet elk datalek is even ernstig. Het maakt verschil of het gaat om een naam en e-mailadres, of om medische gegevens, financiele informatie of je BSN. Hoe gevoeliger de gegevens, hoe groter het risico en hoe strenger de verplichtingen van de organisatie.

Wat moet een bedrijf doen als er klantgegevens zijn gestolen of verloren?

Organisaties hebben duidelijke verplichtingen als er een datalek plaatsvindt. De eerste plicht is melding maken bij de Autoriteit Persoonsgegevens (AP) Art. 33 AVG. Dit moet binnen 72 uur nadat het lek is ontdekt. Bij de melding moet de organisatie beschrijven wat er is gebeurd, welke gegevens het betreft, hoeveel mensen geraakt zijn en welke maatregelen ze nemen om de schade te beperken.

Daarnaast zijn organisaties verplicht passende beveiliging te hebben Art. 32 AVG. Denk aan versleuteling van gevoelige gegevens, toegangsbeheer, regelmatige beveiligingstests en een plan voor als het misgaat. Een organisatie die haar beveiliging niet op orde had, kan hiervoor beboet worden. De AP kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Als het datalek een hoog risico oplevert voor de betrokkenen, moet de organisatie hen ook persoonlijk informeren Art. 34 AVG. Die melding moet in duidelijke en begrijpelijke taal. De organisatie moet uitleggen wat er is gelekt, wat de mogelijke gevolgen zijn en wat je zelf kunt doen om je te beschermen. Een vaag bericht met juridisch jargon is niet voldoende.

Er is een uitzondering: als de gegevens goed versleuteld waren en de sleutel niet is gestolen, hoeft de organisatie de betrokkenen niet te waarschuwen. Maar in de praktijk is volledige versleuteling lang niet altijd het geval.

Heb ik recht op schadevergoeding als mijn gegevens op straat liggen?

De AVG geeft je recht op schadevergoeding als je schade lijdt door een onrechtmatige verwerking van je persoonsgegevens Art. 82 AVG. Dit geldt voor zowel materiele schade (financieel verlies door fraude, kosten voor identiteitsherstel) als immateriele schade (angst, stress, verlies van controle over je gegevens).

In de praktijk is schadevergoeding krijgen lastiger dan het klinkt. De rechter verwacht dat je concreet kunt aantonen welke schade je hebt geleden. Alleen zeggen dat je je zorgen maakt, is meestal niet genoeg. In een zaak bij het Kifid vorderde een consument schadevergoeding nadat haar persoonsgegevens per ongeluk naar een andere klant waren gestuurd Kifid 2021-0730. Hoewel er duidelijk sprake was van een AVG-inbreuk, werd de schadevergoeding afgewezen omdat de consument geen concrete schade kon bewijzen.

Maar er zijn ook zaken die anders uitpakken. Een vrouw ontdekte dat een overheidsinstelling vijf persoonlijke brieven naar een wildvreemde had gestuurd Rb. Den Haag 2023. De instelling weigerde haar klacht serieus te behandelen. De rechter oordeelde dat de instelling fout zat en dat de vrouw recht had op een vergoeding. Ze kreeg 500 euro toegewezen voor de immateriele schade.

De les is duidelijk: je moet je schade zo goed mogelijk documenteren. Bewaar alles. Kosten die je maakt, tijd die je kwijt bent, phishing-pogingen die je ontvangt, stress die je ervaart. Hoe concreter je bewijs, hoe sterker je positie.

Datalek melden bij de Autoriteit Persoonsgegevens: wat zijn de regels?

Als je vermoedt dat een organisatie onzorgvuldig met je gegevens is omgegaan of een datalek niet (goed) heeft afgehandeld, kun je een klacht indienen bij de Autoriteit Persoonsgegevens Art. 77 AVG. Dit kan via het online klachtenformulier op hun website. De AP is verplicht je klacht in behandeling te nemen en je te informeren over de voortgang en het resultaat.

In de praktijk heeft de AP beperkte capaciteit. De Nationale Ombudsman heeft in 2021 geconstateerd dat burgers vaak tegen een dichte deur staan bij de AP. Klachten worden soms lang niet behandeld en de communicatie laat te wensen over. Dat is frustrerend, maar het betekent niet dat een klacht zinloos is. De AP gebruikt klachten om patronen te signaleren en kan op basis daarvan onderzoek starten of boetes opleggen.

Je kunt daarnaast ook naar de rechter stappen Art. 79 AVG. Dit is een apart recht dat losstaat van je klacht bij de AP. Bij de rechter kun je schadevergoeding vorderen of eisen dat de organisatie stopt met de onrechtmatige verwerking. De drempel is hoger dan een klacht bij de AP, maar het kan effectiever zijn als je daadwerkelijk schade hebt geleden en die kunt bewijzen.

Hoe vaak krijgt het slachtoffer gelijk bij een datalek?

Cijfers uit de Rechtswijs-database

6
uitspraken verwijzen naar art. 34 AVG (informatieplicht)
i 6 uitspraken: 2 toegewezen, 2 afgewezen, 1 gegrond, 1 ongegrond
72 uur
is de wettelijke meldtermijn voor organisaties na ontdekking
i Art. 33 AVG: melding aan AP moet 'zonder onredelijke vertraging' en uiterlijk binnen 72 uur
4%
van de wereldwijde omzet is de maximale boete voor overtreders
i Art. 83 AVG: maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet

De rechtszaken laten een gemengd beeld zien. Schadevergoeding wordt lang niet altijd toegekend, maar als je je zaak goed onderbouwt, kun je wel degelijk resultaat bereiken. De Rechtbank Den Haag wees een vergoeding toe aan een vrouw wier brieven naar een onbekende waren gestuurd. Bij het Kifid werd een claim afgewezen omdat de schade niet concreet genoeg was. Het verschil zit vrijwel altijd in het bewijs.

Een man wilde een huis kopen, maar de bank weigerde hem omdat hij onterecht op een zwarte lijst stond. Hij eiste verwijdering van zijn gegevens. Een commissie gaf hem eerst gelijk, maar de bank ging in hoger beroep. De zaak loopt nog, maar laat zien dat onjuiste registratie van persoonsgegevens verstrekkende gevolgen kan hebben.

Wat moet ik doen als ik slachtoffer ben van een datalek?

Als je een melding ontvangt dat je gegevens zijn gelekt, of als je vermoedt dat dit het geval is, zijn er concrete stappen die je direct kunt zetten.

Bescherm jezelf direct. Wijzig je wachtwoorden van alle accounts die gekoppeld zijn aan de gelekte gegevens. Stel tweestapsverificatie in waar dat kan. Houd je bankrekening en e-mail extra goed in de gaten. Als er financiele gegevens zijn gelekt, neem dan contact op met je bank.

Verzamel bewijs. Bewaar de melding die je van de organisatie hebt ontvangen. Vraag de organisatie schriftelijk welke gegevens precies zijn gelekt. Houd een logboek bij van verdachte activiteiten, phishing-pogingen en eventuele kosten die je maakt. Dit bewijs heb je later nodig als je schadevergoeding wilt vorderen.

Dien een klacht in bij de AP. Ga naar de website van de Autoriteit Persoonsgegevens en vul het online klachtenformulier in Art. 77 AVG. Beschrijf wat er is gebeurd, welke organisatie het betreft en wat je van de AP verwacht. De AP is verplicht je klacht in behandeling te nemen.

Eis schadevergoeding. Als je aantoonbare schade hebt geleden, stuur dan een brief naar de organisatie waarin je een schadevergoeding eist Art. 82 AVG. Onderbouw je claim met het bewijs dat je hebt verzameld. Als de organisatie niet reageert of weigert, kun je naar de rechter stappen Art. 79 AVG.

Overweeg juridische hulp. Bij ernstige datalekken of hoge schade kan het verstandig zijn om een advocaat in te schakelen. Je komt mogelijk in aanmerking voor gesubsidieerde rechtsbijstand. Daarnaast kunnen belangenorganisaties namens groepen gedupeerden een collectieve actie starten.

Samenvatting

  • Een datalek is elke inbreuk op de beveiliging waarbij persoonsgegevens in verkeerde handen komen
  • Organisaties moeten een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens
  • Bij een hoog risico moet de organisatie jou ook persoonlijk informeren
  • Je hebt recht op schadevergoeding, maar je moet de schade concreet kunnen aantonen
  • Dien een klacht in bij de AP als een organisatie het lek niet goed afhandelt
  • Documenteer alles: hoe beter je bewijs, hoe sterker je positie bij de rechter

Veelgestelde vragen

Wat moet ik direct doen als mijn persoonsgegevens zijn gelekt?

Verander direct je wachtwoorden van belangrijke accounts en stel tweestapsverificatie in. Houd je bankrekening en e-mail goed in de gaten voor verdachte activiteiten of phishing-pogingen.

Wanneer moet een bedrijf een datalek melden bij de Autoriteit Persoonsgegevens?

Een bedrijf moet een lek binnen 72 uur melden als er een risico is voor de rechten en vrijheden van de betrokkenen. Bij een zeer hoog risico moeten zij ook de slachtoffers zelf persoonlijk waarschuwen.

Hoeveel schadevergoeding kan ik krijgen na een datalek?

De hoogte van de vergoeding hangt af van de werkelijke schade die je hebt geleden. Je kunt soms ook een vergoeding krijgen voor immateriële schade, zoals de stress van het verlies van controle over je gegevens.

Waar kan ik een officiële klacht indienen over een datalek?

Je kunt een klacht indienen via de website van de Autoriteit Persoonsgegevens (AP). Zij kunnen vervolgens een onderzoek starten naar het bedrijf en eventueel een boete opleggen.

Is een verkeerd verstuurde e-mail ook een datalek?

Ja, als er persoonsgegevens in de e-mail staan en deze bij de verkeerde ontvanger terechtkomen, is dat volgens de AVG een datalek. Het bedrijf moet dan beoordelen of dit lek gemeld moet worden.

Hoe weet ik of mijn gegevens betrokken zijn bij een lek?

Bedrijven zijn verplicht je te informeren als het lek een groot risico voor je vormt. Daarnaast kun je op websites zoals 'Have I Been Pwned' controleren of je e-mailadres voorkomt in bekende grote datalekken.

Kan ik een bedrijf aansprakelijk stellen voor een datalek?

Ja, als een bedrijf de beveiliging niet op orde had volgens de AVG-regels, kun je ze aansprakelijk stellen. Het is vaak slim om hiervoor juridische hulp in te schakelen om je kansen op succes te vergroten.

Wat is het verschil tussen een hack en een datalek?

Een hack is een actie waarbij criminelen inbreken op een computer of netwerk. Een datalek is het gevolg daarvan: de situatie waarin persoonsgegevens onbedoeld toegankelijk zijn voor onbevoegden.

Wil je weten wat dit voor jouw situatie betekent?

Stel je vraag aan Rechtswijs en krijg een onderbouwd antwoord op basis van jouw specifieke situatie, met bronverwijzingen.

Stel je vraag gratis

Gerelateerde vragen

Mag mijn werkgever mijn e-mail en internet controleren? Lees meer → Hoe kan ik mijn medisch dossier inzien? Lees meer → Discriminatie melden bij het College voor de Rechten van de Mens Lees meer →
Disclaimer: Dit artikel is geschreven door Rechtswijs op basis van Nederlandse wetgeving, richtlijnen en rechtspraak. Het biedt algemene juridische informatie, geen persoonlijke juridische bijstand. Raadpleeg bij twijfel altijd een advocaat of juridisch professional.