Zoeken Contact opnemen
Digitale beveiliging van studentgegevens met beschermingsschild, urgente meldingsformulier en alarmknop in schoolomgeving met computers en leermaterialen.
Home/Hoe meld ik een datalek bij de gemeente?

Hoe meld ik een datalek bij de gemeente?

Gepubliceerd op 26 november 2025

Een datalek binnen een onderwijsinstelling kan ernstige gevolgen hebben voor de privacy van leerlingen, ouders en medewerkers. Als schoolleider bent u verantwoordelijk voor het correct afhandelen van zo’n incident. Een datalek moet in veel gevallen binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens en soms ook bij de gemeente als verwerkingsverantwoordelijke. Deze gids helpt u bij het herkennen, melden en voorkomen van datalekken in uw onderwijsomgeving.

Wat is een datalek en wanneer moet ik dit melden bij de gemeente?

Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. In de onderwijscontext gaat het vaak om leerlinggegevens, personeelsinformatie of communicatie met ouders die in verkeerde handen valt of onbedoeld toegankelijk wordt.

U moet een datalek melden bij de gemeente in twee situaties:

  1. Wanneer de gemeente de verwerkingsverantwoordelijke is voor de betreffende persoonsgegevens, bijvoorbeeld bij gegevens die u verwerkt in opdracht van de gemeente.
  2. Wanneer uw school onder direct bestuur van de gemeente valt en de gemeente daardoor eindverantwoordelijk is voor de gegevensverwerking.

In andere gevallen meldt u het datalek rechtstreeks bij de Autoriteit Persoonsgegevens (AP). Dit is verplicht wanneer het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Denk aan situaties waarbij gevoelige informatie over leerlingen of personeel is gelekt, zoals gezondheidsgegevens, leerresultaten of financiële informatie.

De AVG-wetgeving is hierin leidend: niet elk beveiligingsincident is een meldingsplichtig datalek. Het gaat om situaties waarbij persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.

Hoe herken ik een datalek binnen mijn onderwijsinstelling?

Datalekken in het onderwijs komen in verschillende vormen voor. De meest voorkomende signalen die wijzen op een mogelijk datalek zijn:

  • Een medewerker meldt dat een laptop, tablet of USB-stick met leerlinggegevens is kwijtgeraakt of gestolen
  • Onbevoegden hebben toegang gekregen tot uw leerlingvolgsysteem of administratiesysteem
  • Een e-mail met gevoelige informatie is naar verkeerde ontvangers gestuurd
  • Papieren dossiers met persoonsgegevens zijn onbeheerd achtergelaten of kwijtgeraakt
  • Er zijn sporen van een hack of ransomware-aanval op uw schoolsystemen
  • Gegevens zijn per ongeluk gewist of ontoegankelijk geworden

Voorbeelden van meldingsplichtige datalekken in onderwijsomgevingen zijn:

  • Een document met diagnoses en behandelplannen van leerlingen met extra ondersteuningsbehoeften is naar alle ouders gestuurd
  • Een niet-versleutelde laptop met toegang tot het leerlingvolgsysteem is gestolen
  • Door een hackpoging zijn leerlingdossiers ingezien door onbevoegden
  • Een medewerker heeft ongeautoriseerd gegevens gedeeld met derden

Wees extra alert bij incidenten waarbij bijzondere persoonsgegevens betrokken zijn, zoals informatie over gezondheid, religie, of sociaal-emotionele ontwikkeling van leerlingen.

Binnen welke termijn moet een datalek gemeld worden bij de gemeente?

Een datalek moet binnen 72 uur na ontdekking gemeld worden bij de gemeente, wanneer zij de verwerkingsverantwoordelijke is. Deze 72-uurs termijn is wettelijk vastgelegd in de AVG en geldt ook voor meldingen bij de Autoriteit Persoonsgegevens.

De klok begint te tikken vanaf het moment dat iemand binnen uw organisatie redelijkerwijs kan vaststellen dat er sprake is van een beveiligingsincident waarbij persoonsgegevens betrokken zijn. Dit hoeft niet per se het moment te zijn waarop het incident plaatsvond. Vaak wordt een datalek pas later ontdekt.

De 72-uurs termijn geldt voor alle dagen, dus ook in weekenden en op feestdagen. Dit betekent dat u als schoolleider een procedure moet hebben om ook buiten kantooruren snel te kunnen handelen bij een datalek.

Het niet tijdig melden van een datalek kan leiden tot:

  • Boetes van de Autoriteit Persoonsgegevens (die kunnen oplopen tot miljoenen euro’s)
  • Reputatieschade voor uw school
  • Verlies van vertrouwen bij ouders, leerlingen en personeel
  • Juridische claims van betrokkenen wiens gegevens zijn gelekt

Als u niet zeker weet of een incident gemeld moet worden, is het verstandig om voor de zekerheid wel te melden. Een te late melding brengt meer risico’s met zich mee dan een onnodige melding.

Welke informatie moet ik verzamelen voordat ik een datalek meld?

Voordat u een datalek meldt bij de gemeente, moet u de volgende essentiële informatie verzamelen:

  1. Aard van het datalek: Wat is er precies gebeurd? Is er sprake van verlies, diefstal, onbevoegde toegang of een andere vorm van onrechtmatige verwerking?
  2. Tijdlijn: Wanneer heeft het datalek plaatsgevonden en wanneer is het ontdekt?
  3. Betrokken persoonsgegevens: Welke categorieën persoonsgegevens zijn getroffen? Gaat het om NAW-gegevens, contactgegevens, leerresultaten, of bijzondere persoonsgegevens zoals gezondheidsgegevens?
  4. Omvang: Hoeveel personen zijn getroffen door het datalek? Gaat het om een specifieke groep zoals één klas of het gehele leerlingenbestand?
  5. Mogelijke gevolgen: Wat kunnen de gevolgen zijn voor de betrokkenen? Denk aan identiteitsfraude, reputatieschade, of emotionele impact.
  6. Genomen maatregelen: Welke stappen heeft u al ondernomen om het lek te dichten en de schade te beperken?
  7. Geplande maatregelen: Welke maatregelen gaat u nog nemen om herhaling te voorkomen?

Houd er rekening mee dat u niet alle informatie volledig hoeft te hebben voordat u meldt. Het is belangrijker om binnen de 72-uurs termijn te melden met de informatie die op dat moment beschikbaar is. U kunt de melding later altijd aanvullen.

Documenteer ook alle stappen die u neemt in het kader van het datalek. Dit helpt niet alleen bij de afhandeling, maar kan ook dienen als bewijs dat u zorgvuldig heeft gehandeld conform de AVG-vereisten.

Hoe meld ik een datalek bij de gemeente stap voor stap?

Het melden van een datalek bij de gemeente verloopt volgens deze stappen:

  1. Bepaal of de gemeente de juiste ontvanger is: Controleer of de gemeente inderdaad de verwerkingsverantwoordelijke is voor de betreffende gegevens. Als uw school onder een schoolbestuur valt dat niet direct aan de gemeente gekoppeld is, meldt u mogelijk rechtstreeks bij de Autoriteit Persoonsgegevens.
  2. Zoek het juiste contactpunt: Neem contact op met de Functionaris Gegevensbescherming (FG) of privacy-coördinator van de gemeente. Deze contactgegevens staan meestal op de website van de gemeente onder ‘privacy’ of ‘gegevensbescherming’.
  3. Gebruik het juiste formulier: De meeste gemeenten hebben een specifiek meldformulier voor datalekken. Dit kan een online formulier zijn of een document dat u moet invullen en e-mailen.
  4. Vul alle verplichte velden in: Zorg dat u de eerder verzamelde informatie bij de hand heeft om het formulier zo volledig mogelijk in te vullen.
  5. Verstuur de melding beveiligd: Gebruik bij voorkeur een beveiligde verbinding of versleutelde e-mail om de melding te versturen, zeker als u daarin zelf ook persoonsgegevens deelt.
  6. Vraag om ontvangstbevestiging: Zorg dat u bewijs heeft dat de melding is ontvangen, bijvoorbeeld door een ontvangstbevestiging te vragen.
  7. Houd de gemeente op de hoogte: Informeer de gemeente over nieuwe ontwikkelingen en aanvullende informatie die beschikbaar komt na de initiële melding.

Parallel aan de melding bij de gemeente moet u vaak ook een melding doen bij de Autoriteit Persoonsgegevens. Dit kan via het online meldformulier op de website van de AP.

Vergeet niet dat u in bepaalde gevallen ook de betrokkenen (leerlingen, ouders, medewerkers) moet informeren over het datalek, vooral als er een hoog risico is voor hun rechten en vrijheden.

Wat gebeurt er na het melden van een datalek bij de gemeente?

Na het melden van een datalek bij de gemeente komt het volgende proces op gang:

De gemeente zal uw melding beoordelen en bepalen of er aanvullende informatie nodig is. U kunt vragen verwachten over de precieze toedracht, de omvang van het lek en de genomen maatregelen. Wees voorbereid om snel te reageren op deze vragen.

Afhankelijk van de ernst van het datalek kan de gemeente:

  • Zelf een melding doen bij de Autoriteit Persoonsgegevens als zij de verwerkingsverantwoordelijke is
  • Advies geven over te nemen maatregelen
  • Een intern onderzoek starten naar de oorzaak en afhandeling
  • Betrokkenen informeren (of u verzoeken dit te doen)
  • Afspraken maken over het voorkomen van vergelijkbare incidenten in de toekomst

In ernstige gevallen kan de gemeente besluiten om de samenwerking of gegevensuitwisseling tijdelijk op te schorten totdat adequate beveiligingsmaatregelen zijn getroffen.

De Autoriteit Persoonsgegevens kan naar aanleiding van een datalek ook een onderzoek starten. Dit gebeurt vooral bij ernstige datalekken of als er aanwijzingen zijn dat de AVG structureel niet wordt nageleefd. Dit kan leiden tot:

  • Verzoeken om aanvullende informatie
  • Een formeel onderzoek naar uw privacy-beleid en -maatregelen
  • Aanwijzingen of corrigerende maatregelen
  • In het uiterste geval: boetes of andere sancties

Documenteer alle communicatie met de gemeente en de Autoriteit Persoonsgegevens zorgvuldig, zodat u kunt aantonen dat u adequaat heeft gehandeld.

Hoe voorkom ik datalekken binnen mijn onderwijsinstelling?

Preventie is altijd beter dan herstel als het gaat om datalekken in het onderwijs. Implementeer deze maatregelen om het risico op datalekken aanzienlijk te verkleinen:

Technische maatregelen:

  • Zorg voor up-to-date antivirussoftware en firewalls op alle apparaten
  • Implementeer tweefactorauthenticatie voor toegang tot systemen met persoonsgegevens
  • Versleutel gevoelige gegevens, zowel tijdens opslag als verzending
  • Maak regelmatig back-ups en test of deze ook te herstellen zijn
  • Beperk toegangsrechten tot het noodzakelijke minimum (need-to-know basis)
  • Zorg voor automatische vergrendeling van apparaten na een periode van inactiviteit

Organisatorische maatregelen:

  • Stel een privacybeleid op en communiceer dit duidelijk naar alle medewerkers
  • Organiseer regelmatig bewustwordingstrainingen over informatiebeveiliging
  • Maak duidelijke afspraken over het gebruik van privé-apparaten voor werkdoeleinden
  • Ontwikkel een datalekprotocol zodat iedereen weet wat te doen bij een incident
  • Voer periodieke privacy-audits uit om zwakke plekken te identificeren
  • Controleer of leveranciers van digitale leermiddelen aan de AVG voldoen

Voor scholen is het essentieel om een robuuste security-infrastructuur te hebben. Professionele security voor scholen omvat niet alleen technische oplossingen, maar ook advies op maat voor uw specifieke onderwijsomgeving.

Een proactieve aanpak van informatiebeveiliging beschermt niet alleen persoonsgegevens, maar draagt ook bij aan het vertrouwen dat ouders, leerlingen en medewerkers in uw school stellen. Bovendien voorkomt het kostbare hersteloperaties en reputatieschade na een datalek.

Heeft u vragen over het beveiligen van uw schoolomgeving of wilt u advies over het voorkomen van datalekken? Neem dan gerust contact met ons op voor een vrijblijvend gesprek over hoe wij u kunnen ondersteunen bij het veilig houden van uw onderwijsgegevens.