2026. De Autoriteit Persoonsgegevens (AP) verwacht bij datalekken snelheid én onderbouwing. De 72-uurs meldtermijn start zodra u redelijke kans ziet op risico voor betrokkenen — niet pas na volledig forensisch onderzoek.
Wat hoort in de eerste uren?
- Containment: stop verdere exfiltratie, preserve logs, start forensics.
- Impact: welke gegevens, hoeveel betrokkenen, welke gevoeligheid?
- Meldplicht: AP, betrokkenen, verwerkers — wie is verantwoordelijk?
- Communicatie: interne escalatie (DPO, CISO, directie).
Wanneer melden — en wanneer niet?
Niet elk incident is een meldingsplichtig datalek. Documenteer waarom u wel of niet meldt. Koppel aan privacyhub en incidentproces ISO 27001.
Checklist voor uw playbook
- Contactgegevens AP en DPO 24/7 bereikbaar.
- Template melding AP + template communicatie betrokkenen.
- Logging van besluiten (wie, wanneer, waarom).
- Hulp bij triage: datalek hulp.
AP-toezicht in 2026 vraagt om tijdstempels: wanneer werd het incident ontdekt, wanneer werd de DPO geïnformeerd en wanneer werd de meldingsbeslissing genomen. Zonder die tijdlijn is onderbouwing van niet-melden fragiel bij een later onderzoek.
Koppel AVG-incidenten aan uw ISO 27001 incidentregister en CAP-proces. Dezelfde root cause kan zowel privacy- als security-impact hebben — één verbeteractie met tags voor beide kaders is efficiënter dan parallelle dossiers.
Oefen jaarlijks met een scenario waarbij initieel onduidelijk is of melding nodig is. Train juridisch, IT en communicatie in dezelfde tabletop zodat escalatiepaden in de praktijk werken.
Tijdlijn en besluitvorming
Start bij ontdekking een interne tijdlijn: wie meldde wat, wanneer werd de DPO ingeschakeld, wanneer was impact inschatting voldoende voor een meldingsbesluit? AP-toezicht in 2026 kijkt naar die stappen, niet alleen naar het uiteindelijke ja/nee.
Scheid security-incidenten van privacy-incidenten in dossieropbouw, maar gebruik één verbeterregister voor root cause. Ransomware kan zowel AVG- als ISO-impact hebben; dubbele CAP-trajecten zonder gedeelde conclusie verwarren auditors.
Bereid templates voor voor AP-melding, betrokkenencommunicatie en interne escalatie. In stressvolle uren wint het team dat niet op zoek hoeft naar contactgegevens of juridische formulering.
Evalueer na elk incident (gemeld of niet) binnen twee weken: wat ging goed, wat moet in het playbook? Die korte after action review is bruikbaar bewijs voor ISO 27001 en AVG accountability.
Bewaar forensische data gescheiden van communicatie naar AP — juridische beoordeling mag de technische tijdlijn niet vertragen. DPO en CISO delen het dossier, elk met eigen verantwoordelijkheid. Dat model werkt ook bij ISO 27001-incidentregistratie.
Forensics en communicatie scheiden
Bewaar forensische data gescheiden van communicatie naar AP — juridische beoordeling mag de technische tijdlijn niet vertragen. DPO en CISO delen het dossier met elk eigen verantwoordelijkheid; dat model werkt ook bij ISO 27001-incidentregistratie.
Documenteer tijdstempels: ontdekking, DPO-informering, meldingsbesluit. AP-toezicht in 2026 vraagt daar expliciet om — zonder tijdlijn is onderbouwing van niet-melden fragiel.
Oefen jaarlijks met een scenario waarbij initieel onduidelijk is of melding nodig is. Train juridisch, IT en communicatie in dezelfde tabletop.
Vervolgstappen in uw ISMS
Vertaal dit artikel naar één concrete actie in uw risicoregister of verbeterplan: eigenaar, deadline, gewenst bewijs. Bespreek voortgang in het eerstvolgende management review-overleg — auditors en ketenpartners willen besluiten zien, niet alleen beleidsintentie. Koppel waar mogelijk aan bestaande ISO 27001-, NIS2- of AVG-documentatie zodat u geen parallelle mappen onderhoudt.
Heeft u vragen over scope, certificering of keteneisen? Gebruik onze readiness-overzicht en kennisbank-pagina’s voor diepere guidance. Dit artikel vervangt geen juridisch of auditorisch advies voor uw specifieke situatie.
Deel relevante bevindingen kort met lijnmanagement en inkoop — compliance wordt pas werkbaar wanneer de hele organisatie dezelfde prioriteiten herkent. Herhaal de gekozen actie kwartaal in teamoverleg en update evidence-locaties in uw SoA of controleplan zodat surveillance steekproeven snel te beantwoorden zijn.
Wat doet u deze week?
Kies één concreet actiepunt uit dit artikel, wijs een eigenaar en zet het in uw risico- of verbeterregister met deadline. Deel het kort in teamoverleg — zo wordt compliance iets wat de lijn herkent. Herhaal dit kwartaal in management review zodat bestuur voortgang ziet, niet alleen intentie.
Let op: dit artikel is educatief en vervangt geen juridisch, privacy- of auditorisch advies voor uw specifieke situatie.
Bewijs en governance
Leg vast wie eigenaar is van de maatregelen uit dit artikel en hoe u werking aantoont in de steekproefperiode — logs, tickets, goedgekeurde changes of oefenverslagen. Certificerende instellingen en ketenpartijen accepteren geen intentie zonder sample. Koppel evidence-locaties aan uw SoA of controleplan zodat interne en externe audit dezelfde bronnen gebruiken.
