Close-up van een stapel papieren documenten op een tafel
Nieuws23 juni · 18:345 min leestijd

Kabinet bouwt handelingskader voor datalek-slachtoffers: dit moet jouw organisatie straks communiceren

Het kabinet werkt aan een handelingskader dat voorschrijft wat organisaties hun klanten moeten vertellen na een groot datalek. De Odido-hack was de aanleiding. Voor elk bedrijf met persoonsgegevens gaat de communicatielat omhoog.

Het kabinet werkt aan een officieel handelingskader dat voorschrijft wat organisaties hun klanten en burgers moeten vertellen na een groot datalek. De aanleiding is de reeks grote inbreuken van het afgelopen jaar, met de hack bij Odido als pijnlijk dieptepunt. Voor elke organisatie die persoonsgegevens beheert betekent dit dat de lat voor je communicatie na een lek omhoog gaat.

Wat het kabinet ontwikkelt

Staatssecretaris Van Bruggen (Justitie en Veiligheid) liet de Tweede Kamer weten dat het kabinet samen met experts, toezichthouders, de Autoriteit Persoonsgegevens en het bedrijfsleven aan dit kader werkt. Het moet organisaties houvast geven over welke informatie slachtoffers zo snel mogelijk horen te krijgen: wat er precies is gebeurd, welke gegevens zijn gelekt, wat de mogelijke gevolgen zijn en welke beschermende maatregelen mensen zelf kunnen nemen. Volgens de brief aan de Kamer komen er ook voorbeeldteksten voor meldingen en richtlijnen die per risicoprofiel verschillen. De AP gaat het kader actief aanbieden aan organisaties op het moment dat ze een datalek melden.

Het kabinet mikt op een kader op korte termijn en informeert de Kamer later dit jaar verder. Het onderwerp staat ook op de agenda van het commissiedebat over de bescherming van persoonsgegevens en grote datalekken op 25 juni.

Waarom dit kader er nu komt

De directe aanleiding is de inbraak bij telecomprovider Odido, waarbij begin dit jaar de gegevens van 6,2 miljoen klantaccounts in handen van criminelen kwamen, inclusief namen, adressen, bankrekeningnummers en gegevens van identiteitsdocumenten. Die omvang en de moeizame communicatie eromheen leidden tot een breed gedragen motie van VVD, CDA, ChristenUnie, D66 en JA21, die om een duidelijk handelingskader vroeg.

De Odido-inbreuk liet zien hoe AI-gedreven aanvallen traditionele beveiliging omzeilen, en hoe de nasleep minstens zo bepalend is als het lek zelf: de manier waarop je betrokkenen informeert, bepaalt of mensen zich kunnen wapenen tegen fraude of in onzekerheid blijven steken.

Wat dit betekent voor jouw bedrijf

Misschien denk je: dit gaat over grote datalekken, niet over mijn bedrijf. Maar de AVG verplicht je nu al om een datalek met risico voor betrokkenen binnen 72 uur bij de AP te melden en de getroffenen te informeren. Dit kader maakt concreet wat 'goed informeren' betekent, en die norm zal doorsijpelen naar elke melding, groot of klein.

De praktische vertaling: zorg dat je vooraf een communicatie-draaiboek hebt. Wie besluit wat naar buiten gaat, welke gegevens kun je per klant terugvinden, en hoe bereik je mensen snel en betrouwbaar? Een organisatie die dat pas tijdens een crisis bedenkt, communiceert te laat en te vaag, precies de fout die de roep om dit kader veroorzaakte. De grootste winst zit dan ook niet in het kader zelf, maar in de voorbereiding die het afdwingt. Wie weet welke persoonsgegevens hij waar bewaart en hoe hij die mensen bereikt, is na een incident in control. Wie dat niet weet, staat in zijn hemd op het moment dat het er het meest toe doet.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor het moment dat het misgaat

Ik help organisaties grip te krijgen op waar hun persoonsgegevens staan en hoe ze daar betrouwbaar over communiceren: van het in kaart brengen van datastromen tot het bouwen en automatiseren van waar mogelijk self-hosted systemen waarmee je na een incident meteen weet wie je moet bereiken.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Kabinet wil DigiD op termijn op een soevereine overheidscloud
Nieuws
5 min

25 jun 14:29

Kabinet wil DigiD op termijn op een soevereine overheidscloud

Staatssecretaris Van der Burg schrijft dat DigiD op langere termijn bij voorkeur naar een soevereine overheidscloud moet. De aanbesteding loopt via de wet voor defensie- en veiligheidsopdrachten.

Eerste Kamer stelt stemming over box 3 uit: kabinet krijgt de zomer voor aanpassingen
Nieuws
4 min

2 jul 06:09

Eerste Kamer stelt stemming over box 3 uit: kabinet krijgt de zomer voor aanpassingen

De Eerste Kamer stelde de stemming over de Wet werkelijk rendement box 3 uit en geeft het kabinet de zomer voor aanpassingen. Voor ondernemers en beleggers die al op de nieuwe regels plannen, betekent dat opnieuw wachten op duidelijkheid.

Tweede Kamer eist cyberweerbaarheidsplan voor eind 2026
Nieuws
4 min

25 jun 18:23

Tweede Kamer eist cyberweerbaarheidsplan voor eind 2026

De Tweede Kamer dwingt het kabinet om voor eind 2026 met een plan voor digitale weerbaarheid te komen. Aanleiding: Nederland zakte naar de 36e plaats op de internationale cyberveiligheidsindex.

Tweede Kamer wil voorrang voor Europese datacenters boven Amerikaanse hyperscalers
Nieuws
5 min

18 jun 12:17

Tweede Kamer wil voorrang voor Europese datacenters boven Amerikaanse hyperscalers

De Kamer diende moties in om vergunningverlening, rekenkracht en zeekabels in te zetten voor Europese, soevereine datacentercapaciteit. Een direct signaal over waar je je data straks betrouwbaar kunt hosten.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.