Wanneer melding van inbreuken op persoonsgegevens van toepassing is en wat daarna te doen
Kort antwoord
De meldplicht geldt wanneer een beveiligingsincident persoonsgegevens raakt en een risico, verwerkersplicht of contractuele klantplicht kan ontstaan. Open eerst een dossier, wijs eigenaars aan, beoordeel risico en bewaar bewijs.
Voor wie dit geldt: Privacyteams, compliance leads, productmanagers, juridische teams, securityteams en SaaS-founders
Wat je nu moet doen
- Open een beoordelingsdossier zodra persoonsgegevens betrokken kunnen zijn.
- Scheid autoriteit, betrokkenen, klanten en interne teams.
- Bewaar tijdlijn, beoordeling, besluit en herstelacties centraal.
Melding van inbreuken op persoonsgegevens is voor SaaS-teams vooral een operationeel proces. Zodra een incident persoonsgegevens kan raken, moet het team een beoordelingsdossier openen, getroffen systemen bevestigen, eigenaars aanwijzen en vastleggen wat bekend en onbekend is.
Artikel 33 GDPR verplicht een verwerkingsverantwoordelijke om de bevoegde toezichthouder zonder onredelijke vertraging en waar mogelijk binnen 72 uur na kennisname te informeren, tenzij een risico voor rechten en vrijheden onwaarschijnlijk is. Een verwerker moet de verantwoordelijke zonder onredelijke vertraging informeren. Artikel 34 vereist aparte communicatie aan betrokkenen bij waarschijnlijk hoog risico.
De praktische vragen zijn: zijn persoonsgegevens geraakt, bestaat er risico of hoog risico, en welke rol speelt het bedrijf per dataset. Een SaaS-provider kan verantwoordelijke zijn voor account- of marketingdata en verwerker voor klantinhoud.
Het dossier moet detectietijd, kennisnamemoment, systemen, datacategorieen, betrokken personen of records, leveranciers, containment, waarschijnlijke gevolgen, maatregelen en meldbesluit bevatten. Klantcontracten en DPA-termijnen horen in hetzelfde proces.
Toezichthouder, betrokkenen, klanten en interne teams vragen verschillende berichten. Beoordeel risico en hoog risico afzonderlijk. Als informatie nog ontbreekt, kan aanvullende informatie gefaseerd volgen, zolang de open punten duidelijk zijn.
Veelgemaakte fouten zijn wachten op zekerheid, rollen verkeerd inschatten, risico en hoog risico verwarren, te veel vertrouwen op encryptie of containment en bewijs verspreiden over chats, tickets en e-mails. Een sterk proces verbindt incident response, privacyanalyse, klantplichten en herstel.
FAQ
Moet elke inbreuk worden gemeld?
Nee. Als risico voor betrokkenen onwaarschijnlijk is, kan melding aan de autoriteit achterwege blijven. De feiten en beslissing moeten wel worden vastgelegd.
Wat moet eerst gebeuren?
Open het dossier, bewaar de tijdlijn, bevestig data en rollen, en wijs beslissers toe.
Belangrijke termen in dit artikel
Primaire bronnen
- General Data Protection RegulationEuropean Union · Geraadpleegd 9 mei 2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Geraadpleegd 9 mei 2026
- Personal data breaches - a guideInformation Commissioner's Office · Geraadpleegd 9 mei 2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Geraadpleegd 9 mei 2026
Verken gerelateerde hubs
Gerelateerde artikelen
Gerelateerde glossariumtermen
Klaar om je compliance te borgen?
Wacht niet tot overtredingen je bedrijf raken. Ontvang je uitgebreide compliance-rapport in enkele minuten.
Scan je website nu gratis