AVG Artikel 33: de 72-uursmeldplicht bij datalekken (Gids 2026)

AVG Artikel 33: de 72-uursmeldplicht bij datalekken

AVG artikel 33 verplicht de verwerkingsverantwoordelijke om een inbreuk in verband met persoonsgegevens zonder onredelijke vertraging en, indien mogelijk, binnen 72 uur na kennisname te melden aan de bevoegde toezichthoudende autoriteit — tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De 72-uurstermijn begint bij kennisname, niet bij de afronding van uw onderzoek. Het overschrijden van de termijn is een afzonderlijke, beboetbare overtreding.

Het gemiddelde aantal dagelijkse meldingen in de EER steeg in 2025 sterk tot 443 per dag, een stijging van 22 %, aldus de DLA Piper GDPR Fines and Data Breach Survey: januari 2026. Voor de meeste B2B-bedrijven schuilt de moeilijkheid van artikel 33 niet in het kennen van de regel — maar in het correct laten ingaan van de termijn en het opstellen van een verdedigbare melding terwijl het incident nog gaande is.

Belangrijkste punten

• De termijn is 72 uur vanaf kennisname, niet vanaf het ontstaan van de inbreuk of het einde van de forensiek.
• „Kennisname" is een gedefinieerde trigger. Volgens EDPB-richtsnoeren 9/2022 begint die zodra er een redelijke mate van zekerheid bestaat dat persoonsgegevens zijn gecompromitteerd.
• Niet elk lek is meldplichtig. U meldt alleen wanneer een risico waarschijnlijk is — maar u moet altijd intern documenteren.
• De melding kan gefaseerd (artikel 33(4)) wanneer niet alle feiten binnen 72 uur vaststaan.
• Verwerkers moeten verantwoordelijken waarschuwen zonder onredelijke vertraging (artikel 33(2)), zodat de verantwoordelijke zijn termijn kan halen.
• Het niet melden is zelfstandig beboetbaar — tot 10 miljoen euro of 2 % van de wereldwijde omzet onder artikel 83(4).

Ga naar:

• Wat artikel 33 vereist
• Wanneer de 72-uurstermijn begint
• De inhoud van de melding
• Gefaseerde melding
• De plicht van de verwerker
• Interne documentatie
• Wanneer u niet hoeft te melden
• Boetes en handhaving
• De positie van het VK en Noorwegen
• Artikel 33 operationeel maken

---

Wat artikel 33 vereist

Artikel 33(1) van Verordening (EU) 2016/679 verwoordt de kernplicht in één zin:

„In geval van een inbreuk in verband met persoonsgegevens meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de … bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk … een risico inhoudt voor de rechten en vrijheden van natuurlijke personen."

Drie elementen sturen al het overige. Ten eerste is de trigger kennisname van een inbreuk. Ten tweede is de termijn 72 uur, genuanceerd door „indien mogelijk" en overkoepeld door de norm „zonder onredelijke vertraging". Ten derde is de drempel een waarschijnlijk risico voor personen — daaronder is geen melding aan de autoriteit verschuldigd.

Een „inbreuk in verband met persoonsgegevens" is breed gedefinieerd in artikel 4(12): een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens. Dat omvat ransomware (verlies van beschikbaarheid), een verkeerd geadresseerde e-mail (ongeoorloofde verstrekking) en een verloren laptop (risico op ongeoorloofde toegang) — niet alleen opzettelijke externe aanvallen.

---

Wanneer de 72-uurstermijn begint

Hier gaan de meeste organisaties de fout in. De 72 uur beginnen niet bij het incident zelf, noch bij de afronding van het onderzoek. Ze beginnen bij kennisname.

De EDPB-richtsnoeren 9/2022 definiëren kennisname als het moment waarop de verantwoordelijke „een redelijke mate van zekerheid" heeft dat een beveiligingsincident heeft plaatsgevonden dat tot compromittering van persoonsgegevens heeft geleid. Volledige forensische zekerheid is niet vereist — een redelijk vermoeden volstaat.

In de praktijk:

• Een geautomatiseerde SIEM- of inbraakdetectiemelding doet de termijn op zichzelf niet ingaan — maar alleen als niemand erop reageert. Organisaties worden geacht procedures te hebben zodat meldingen snel worden beoordeeld. U kunt kennisname niet uitstellen door uw eigen monitoring te negeren.
• De termijn begint wanneer een verantwoordelijke persoon een geloofwaardig signaal beoordeelt en concludeert dat een inbreuk waarschijnlijk heeft plaatsgevonden.
• Een korte, proportionele fase om te bevestigen of er werkelijk een inbreuk is geweest, is toegestaan — maar mag geen vertragingstactiek zijn.

Praktisch gevolg: uw incidentresponsproces heeft een duidelijk, gelogd moment nodig van „wij gaan er nu van uit dat persoonsgegevens zijn getroffen", want die tijdstempel zal een toezichthoudende autoriteit onder de loep nemen. Dezelfde discipline ligt ten grondslag aan de nog krappere 24-uurs vroegtijdige waarschuwing onder NIS2, die veel bedrijven parallel moeten halen.

---

De inhoud van de melding

Artikel 33(3) schrijft de minimuminhoud van de melding aan de toezichthoudende autoriteit voor:

Element	Wat op te nemen
Aard van de inbreuk	Beschrijving van de aard van de inbreuk, indien mogelijk met categorieën en het aantal betrokkenen en gegevensbestanden bij benadering
Contactpunt	Naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt
Waarschijnlijke gevolgen	Beschrijving van de waarschijnlijke gevolgen van de inbreuk
Genomen maatregelen	Beschrijving van de genomen of voorgestelde maatregelen om de inbreuk aan te pakken en de gevolgen te beperken

De meeste EU- en EER-toezichthouders bieden een onlineformulier dat deze vier rubrieken weerspiegelt. De binnen 72 uur realistisch beschikbare informatie is zelden volledig — precies daarom voorziet artikel 33 in gefaseerde melding.

---

Gefaseerde melding (artikel 33(4))

Artikel 33(4) is het ventiel dat de 72-uursregel werkbaar maakt:

„Indien en voor zover het niet mogelijk is om de informatie gelijktijdig te verstrekken, kan de informatie zonder verdere onredelijke vertraging in stappen worden verstrekt."

De EDPB bevestigt dat de melding „niet hoeft te worden uitgesteld totdat het risico en de impact van de inbreuk volledig zijn beoordeeld". De volledige risicobeoordeling kan parallel aan de melding lopen, waarbij nieuwe informatie gefaseerd wordt nageleverd. Dit geldt vooral voor complexe cyberincidenten waarbij diepgaande forensiek nodig is.

De praktische werkwijze: dien binnen 72 uur een eerste melding in met wat u weet — al is dat „wij hebben kennis van ongeoorloofde toegang die naar schatting X gegevensbestanden treft; onderzoek loopt" — en vul die aan naarmate de feiten harder worden. Artikel 33(1) verlangt dat u vertraging boven 72 uur motiveert; gefaseerde melding neemt de keuze tussen snelheid en nauwkeurigheid weg.

---

De plicht van de verwerker (artikel 33(2))

Artikel 33(2) legt de verwerker een ondersteuningsplicht jegens de verantwoordelijke op:

„De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens."

De AVG stelt geen vaste termijn voor de melding van de verwerker aan de verantwoordelijke — maar de EDPB-richtsnoeren 9/2022 bevelen aan te streven naar de eigen 72 uur vanaf kennisname, omdat de termijn van de verantwoordelijke pas kan ingaan zodra die is geïnformeerd. Voor B2B-SaaS-bedrijven die als verwerker optreden, is dit ook een contractueel punt: uw verwerkersovereenkomsten onder artikel 28 verplichten u doorgaans tot een krapper meldvenster (vaak 24–48 uur), zodat de verantwoordelijke zijn eigen verplichting kan halen.

---

Interne documentatie van de inbreuk (artikel 33(5))

Ook wanneer een inbreuk niet meldplichtig is, legt artikel 33(5) een registratieplicht op:

„De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen."

Dit interne lekregister moet de toezichthoudende autoriteit in staat stellen de naleving te verifiëren. Het verantwoordingsbeginsel (artikel 5(2)) maakt dit onontkoombaar: besluit u dat een inbreuk onder de meldingsdrempel lag, dan heeft u een gedocumenteerde, verdedigbare onderbouwing van het waarom nodig. Een risicobeoordeling die u achteraf niet kunt reconstrueren, is voor handhavingsdoeleinden een beoordeling die nooit heeft plaatsgevonden.

---

Wanneer u niet hoeft te melden

De drempel in artikel 33(1) luidt „niet waarschijnlijk dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen". Deze beoordeling is aan de verantwoordelijke, vindt plaats binnen het 72-uursvenster en bepaalt twee afzonderlijke beslissingen:

1. De toezichthoudende autoriteit melden? Vereist wanneer de inbreuk waarschijnlijk een risico inhoudt (artikel 33).
2. De betrokkenen informeren? Alleen vereist wanneer de inbreuk waarschijnlijk een hoog risico inhoudt — de hogere drempel van artikel 34.

De twee drempels zijn bewust verschillend. Veel inbreuken halen de artikel 33-drempel (autoriteit melden) zonder de artikel 34-drempel (betrokkenen informeren) te halen. De voorbeeldrichtsnoeren van de EDPB beschouwen het risico op identiteitsdiefstal, financieel verlies en blootstelling van bijzondere categorieën gegevens als sterke indicatoren voor een hoog risico. Versleuteling die de gegevens onbegrijpelijk maakt voor een aanvaller is een doorslaggevende verzachtende factor.

---

Boetes en handhaving

Overtredingen van artikel 33 vallen in de lagere boetecategorie onder artikel 83(4): tot 10 miljoen euro of 2 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Cruciaal: het niet melden wordt als een zelfstandige overtreding behandeld — u kunt voor de late of ontbrekende melding worden beboet los van een boete voor het onderliggende beveiligingsfalen onder artikel 32. Het niet melden kan ook bijdragen aan een vaststelling van schending van het verantwoordingsbeginsel (artikel 5(2)), dat in de hogere categorie valt.

Handhaving specifiek wegens meldverzuim is reëel en groeiend:

• Polen (2025): de Poolse toezichthouder legde het districtsziekenhuis in Września 6.800 euro op wegens schending van de artikelen 33 en 34, en het Nationaal Openbaar Ministerie 19.800 euro wegens schending van de artikelen 6, 33 en 34 (EDPB-nieuws).
• Noorwegen: het Datatilsynet legde een Amerikaans bedrijf 2,5 miljoen NOK op specifiek wegens het niet melden binnen 72 uur, en bevestigde dat de termijn ingaat bij kennisname — en niet wanneer de onderneming een volledig overzicht heeft (DLA Piper Noorwegen).
• Volume: Duitsland en Polen behoren nog steeds tot de meest meldende lidstaten, en EER-breed liggen de meldingen nu op gemiddeld 443 per dag (DLA Piper, januari 2026).

Het signaal van toezichthouders is consistent: een schone, tijdige melding wordt als verzachtende omstandigheid behandeld (artikel 83(2)), terwijl verhulling of vertraging verzwarend werkt.

---

De positie van het VK en Noorwegen

Artikel 33 is een Europese verplichting, niet louter een EU-27-aangelegenheid — en de meldmechaniek is opmerkelijk uniform in het bredere Europese compliancelandschap.

Verenigd Koninkrijk. De UK GDPR (voortgezet en gewijzigd via de Data Protection Act 2018) behoudt dezelfde 72-uurstermijn, met melding aan de Information Commissioner's Office (ICO) in plaats van een EU-autoriteit. De Data (Use and Access) Act 2025, die op 19 juni 2025 koninklijke goedkeuring kreeg, versoepelde de AVG-meldtermijn niet — en bracht vanaf 20 augustus 2025 zelfs het afzonderlijke PECR-meldvenster voor telecomaanbieders van 24 uur in lijn met diezelfde 72 uur. De Europese Commissie rondde haar evaluatie af en startte de vernieuwing van het adequaatheidsbesluit voor het VK, zodat de EU-VK-gegevensstromen ononderbroken doorgaan. De ICO-handhavingsgeschiedenis omvat de boetes tegen British Airways (20 miljoen £) en Marriott (18,4 miljoen £).

Noorwegen en de EER. Noorwegen is geen EU-lidstaat maar past de AVG toe via de EER-overeenkomst (sinds juli 2018 van toepassing in Noorwegen). Verantwoordelijken melden inbreuken aan het Datatilsynet, de Noorse toezichthouder, binnen hetzelfde 72-uursvenster. Zoals de handhavingszaak hierboven laat zien, legt het Datatilsynet de trigger „kennisname" strikt uit. Organisaties die actief zijn in de EU, de EER en het VK zouden 72 uur als enige planningsbasis moeten hanteren — de termijn wordt niet langer door een grens over te steken.

---

Artikel 33 operationeel maken in een Trust Center

De regel kennen is het makkelijke deel. Hem onder druk halen — om 2 uur 's nachts, midden in het incident, met onvolledige feiten — vereist dat de workflow vóór de inbreuk bestaat. Drie capaciteiten maken van artikel 33 een proces in plaats van een paniekreactie:

1. Een vooraf opgesteld meldsjabloon dat is afgestemd op de vier rubrieken van artikel 33(3), zodat de eerste indiening invullen is en geen opstellen.
2. Een gelogde kennisname-tijdstempel en beslistraject, zodat u kunt aantonen wanneer u kennis kreeg en waarom u het risico zo beoordeelde — de kern van een dossier onder artikel 33(5).
3. Een waarschuwingsketen voor verwerkers met contractuele termijnen, zodat uw termijn zo vroeg mogelijk ingaat wanneer een subverwerker de bron is.

Hier raakt lekparaatheid aan continue monitoring: hetzelfde bewijs dat aantoont dat uw beveiligingsmaatregelen onder artikel 32 passend waren, is het bewijs dat een toezichthouder na een inbreuk zal opvragen. Het Trust Center-platform van Orbiq houdt dat bewijs — beveiligingsmaatregelen, subverwerkerslijsten, verwerkersovereenkomsten en lekdocumentatie — op één steeds actuele plek, zodat uw verhaal over „genomen maatregelen" klaarligt voordat u het nodig heeft. Voor juridische teams en FG's die de meldbeslissing dragen, laat onze gids over het Trust Center voor juridische teams zien hoe register en workflow auditeerbaar blijven.

Artikel 33 beloont organisaties die het onopvallende voorwerk hebben gedaan. De 72-uurstermijn is meedogenloos — maar volkomen haalbaar wanneer kennisname, beoordeling en melding een ingestudeerde reeks zijn in plaats van improvisatie.

---

Bronnen & referenties

1. Verordening (EU) 2016/679 (AVG) — Volledige tekst — Publicatieblad van de Europese Unie.
2. gdpr-info.eu — Artikel 33 (melding aan de toezichthoudende autoriteit) — Artikeltekst en overwegingen.
3. EDPB-richtsnoeren 9/2022 over de melding van inbreuken in verband met persoonsgegevens (versie 2.0) — Gezaghebbende uitleg van „kennisname", gefaseerde melding en risicobeoordeling.
4. DLA Piper GDPR Fines and Data Breach Survey: januari 2026 — 443 meldingen per dag in de EER, plus 22 %.
5. Poolse toezichthouder: boete van 19.800 euro wegens niet melden — EDPB-nieuws, 2025.
6. Poolse toezichthouder: boete van 6.800 euro (districtsziekenhuis Września) — EDPB-nieuws, 2025.
7. Noorwegen: boete van 2,5 miljoen NOK wegens niet melden binnen 72 uur — DLA Piper Noorwegen, Datatilsynet.
8. ICO — Personal data breaches: a guide — UK GDPR 72-uursmelding.
9. Data (Use and Access) Act 2025 — overzicht van de Britse hervorming — Norton Rose Fulbright.
10. Datatilsynet — Noorse toezichthouder gegevensbescherming — Richtsnoeren voor het melden van datalekken (Noorwegen / EER).

---

Verder lezen

• AVG-compliance: Complete gids voor 2026 (Artikelen 28, 32, 33, 34)
• AVG Artikel 34: betrokkenen informeren bij een datalek
• Subverwerkerbeheer onder AVG Artikel 28
• NIS2-incidentmelding: de 24-uursdeadline
• Continue monitoring