AVG Artikel 34: betrokkenen informeren bij een datalek (2026)

AVG Artikel 34: betrokkenen informeren bij een datalek

AVG artikel 34 verplicht de verwerkingsverantwoordelijke om een inbreuk in verband met persoonsgegevens aan de getroffen personen mee te delen — zonder onredelijke vertraging — wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. Dit is bewust een hogere drempel dan de plicht om de toezichthoudende autoriteit te melden onder artikel 33: veel inbreuken die aan een toezichthouder moeten worden gemeld, hoeven nooit aan de personen zelf te worden meegedeeld.

Klanten vertellen dat hun gegevens zijn blootgesteld, is het moment waarop een inbreuk ophoudt een intern incident te zijn en een publieke, reputatie- en juridische gebeurtenis wordt. Artikel 34 regelt precies wanneer dat moment wettelijk vereist is, wat u moet zeggen — en even belangrijk — de drie situaties waarin u bent vrijgesteld.

Belangrijkste punten

• De trigger is een „hoog risico" voor personen — een hogere lat dan de „risico"-drempel die de melding onder artikel 33 in gang zet.
• De termijn is „zonder onredelijke vertraging", geen vaste 72 uur. In de praktijk verwachten toezichthouders een snelle mededeling zodra het hoge risico vaststaat.
• De boodschap moet in duidelijke en eenvoudige taal zijn en drie verplichte elementen bevatten.
• Drie uitzonderingen gelden (artikel 34(3)): effectieve versleuteling, latere risicobeperkende maatregelen, of onevenredige inspanning (waardoor een openbare mededeling volstaat).
• De toezichthoudende autoriteit kan de mededeling afdwingen (artikel 34(4)), zelfs als u concludeerde dat die niet vereist was.
• Het niet meedelen is beboetbaar onder artikel 83(4) — tot 10 miljoen euro of 2 % van de wereldwijde omzet.

Ga naar:

• Wat artikel 34 vereist
• Hoog risico vs risico: artikel 34 vs artikel 33
• De inhoud van de mededeling
• Termijn: „zonder onredelijke vertraging"
• De drie uitzonderingen
• Wanneer de autoriteit u kan verplichten
• Boetes en handhaving
• De positie van het VK en Noorwegen
• Artikel 34 operationeel maken

---

Wat artikel 34 vereist

Artikel 34(1) van Verordening (EU) 2016/679 verwoordt de plicht direct:

„Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk … zonder onredelijke vertraging mee."

De plicht bestaat jegens de betrokkenen — de personen wier gegevens zijn geschonden — niet jegens een toezichthouder. Het is het transparantiemechanisme van de AVG op zijn scherpst: mensen hebben het recht te weten wanneer een inbreuk hen aan echte schade blootstelt, zodat zij beschermende stappen kunnen nemen — wachtwoorden wijzigen, op fraude letten, een kaart blokkeren.

Een inbreuk houdt „waarschijnlijk een hoog risico in" wanneer die aanzienlijke nadelige gevolgen kan hebben — bijvoorbeeld discriminatie, identiteitsdiefstal of fraude, financieel verlies, reputatieschade, verlies van vertrouwelijkheid of een ander aanzienlijk economisch of maatschappelijk nadeel. De EDPB-richtsnoeren 9/2022 en de bijbehorende voorbeelden beschouwen het risico op identiteitsdiefstal als een bijzonder sterke indicator.

---

Hoog risico vs risico: artikel 34 vs artikel 33

Het meest misverstane punt bij datalekmelding is dat de artikelen 33 en 34 twee verschillende drempels hanteren en twee afzonderlijke beslissingen opleveren.

Dimensie	Artikel 33 — autoriteit melden	Artikel 34 — betrokkenen informeren
Drempel	Waarschijnlijk een risico	Waarschijnlijk een hoog risico
Ontvanger	Bevoegde toezichthoudende autoriteit	Betrokkenen
Termijn	72 uur vanaf kennisname	Zonder onredelijke vertraging
Uitzonderingen	Onder de risicodrempel	Drie specifieke uitzonderingen (art. 34(3))
Boetecategorie	Tot € 10 mln / 2 % (art. 83(4))	Tot € 10 mln / 2 % (art. 83(4))

Een inbreuk kan melding aan de autoriteit vereisen (artikel 33) zonder mededeling aan de betrokkenen te vereisen (artikel 34). Een inbreuk die artikel 34 in gang zet, zet bijna altijd ook artikel 33 in gang. De risicobeoordeling van de verantwoordelijke — idealiter binnen hetzelfde 72-uursvenster — moet beide vragen beantwoorden en de redenering in beide gevallen documenteren onder artikel 33(5).

---

De inhoud van de mededeling

Artikel 34(2) verlangt dat de mededeling in duidelijke en eenvoudige taal de aard van de inbreuk beschrijft en ten minste dezelfde inhoudelijke elementen bevat als de melding aan de autoriteit, zonder het technische categoriseringsdetail:

Element	Wat op te nemen
Contactpunt	Naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt
Waarschijnlijke gevolgen	Beschrijving van de waarschijnlijke gevolgen van de inbreuk
Genomen maatregelen	Beschrijving van de maatregelen om de inbreuk aan te pakken en mogelijke nadelige gevolgen te beperken

„Duidelijke en eenvoudige taal" is een inhoudelijke eis, geen stilistische voorkeur. De mededeling is gericht op gewone mensen, niet op juristen — juridisch jargon, omfloersing of het verstoppen van de kern kan zelf als niet-naleving worden gezien. Goede praktijk: begin met wat er is gebeurd, welke gegevens betrokken zijn en welke concrete stappen de persoon nu moet nemen.

---

Termijn: „zonder onredelijke vertraging"

Anders dan artikel 33 stelt artikel 34 geen vaste numerieke termijn — de norm is „zonder onredelijke vertraging". Dat is geen vergunning om te wachten. Zodra de drempel van hoog risico vaststaat, loopt de klok van de onredelijke vertraging, en verwachten toezichthouders een snelle mededeling. Overweging 86 geeft aan dat de mededeling zo snel als redelijkerwijs mogelijk moet plaatsvinden, in nauwe samenwerking met de toezichthoudende autoriteit en volgens haar richtsnoeren.

In de praktijk stemmen verantwoordelijken het tijdstip van de artikel 34-mededeling vaak af met de toezichthoudende autoriteit die de artikel 33-melding ontving, met name wanneer opsporingsdiensten om een kort uitstel vragen om een onderzoek niet te schaden.

---

De drie uitzonderingen (artikel 34(3))

Artikel 34(3) noemt drie omstandigheden waarin mededeling aan de betrokkenen niet vereist is:

Uitzondering	Wat het betekent
Effectieve beschermingsmaatregelen	De verantwoordelijke had passende technische en organisatorische beschermingsmaatregelen getroffen — in het bijzonder versleuteling — die de persoonsgegevens onbegrijpelijk maken voor onbevoegden. Zijn de geschonden gegevens sterk versleuteld en de sleutels niet gecompromitteerd, dan vervalt het hoge risico.
Latere beperkende maatregelen	De verantwoordelijke heeft naderhand maatregelen genomen die waarborgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen — bijvoorbeeld het direct blokkeren van gecompromitteerde inloggegevens of het op afstand wissen van een verloren apparaat vóór toegang.
Onevenredige inspanning	Individuele mededeling zou onevenredige inspanning vergen. Dan moet de verantwoordelijke in plaats daarvan een openbare mededeling doen of een vergelijkbare maatregel nemen die de betrokkenen even effectief informeert.

Versleuteling is in de praktijk de belangrijkste van de drie: het is de meest betrouwbare manier om een inbreuk onder de artikel 34-drempel te brengen, en daarom is „de geschonden gegevens waren in rust versleuteld" zo'n bepalend feit. Dit is het directe rendement van sterke beveiligingsmaatregelen onder artikel 32.

---

Wanneer de autoriteit u kan verplichten (artikel 34(4))

Zelfs als een verantwoordelijke concludeert dat mededeling niet vereist is, geeft artikel 34(4) de toezichthoudende autoriteit de bevoegdheid dat oordeel te overrulen:

„Indien de verwerkingsverantwoordelijke de inbreuk … nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit … verlangen dat hij dit alsnog doet, of beslissen dat aan [een van de uitzonderingen] is voldaan."

Met andere woorden: de risicobeoordeling van de verantwoordelijke is niet het laatste woord. Een toezichthouder die het oneens is met uw conclusie — dat het risico onder de drempel van hoog risico lag, of dat een uitzondering gold — kan mededeling gelasten. Een sterke reden om de artikel 34-beoordeling even nauwgezet te documenteren als de melding zelf: betwist de autoriteit later uw besluit om niet mee te delen, dan is uw gelijktijdige redenering uw verdediging.

---

Boetes en handhaving

Overtredingen van artikel 34 vallen in de lagere boetecategorie (artikel 83(4)): tot 10 miljoen euro of 2 % van de totale wereldwijde jaaromzet. Net als bij artikel 33 kan het niet meedelen ook een vaststelling van schending van het verantwoordingsbeginsel (artikel 5(2)) onderbouwen, dat in de hogere categorie valt (tot € 20 mln / 4 %).

Handhavingsvoorbeelden koppelen artikel 33 en 34 steeds vaker:

• Polen (2025): de Poolse toezichthouder legde het districtsziekenhuis in Września 6.800 euro op wegens schending van de artikelen 33 en 34, en het Nationaal Openbaar Ministerie 19.800 euro wegens schending van de artikelen 6, 33 en 34 (EDPB-nieuws).
• Spraakmakende boetes zoals tegen British Airways (20 miljoen £, ICO) en Marriott (18,4 miljoen £, ICO) onderstrepen hoe inbreuken die miljoenen personen treffen aandacht trekken over de hele meldketen — van beveiliging onder artikel 32 tot mededeling onder artikel 34.
• Volume: nu EER-meldingen gemiddeld 443 per dag bedragen (DLA Piper, januari 2026), is het aandeel dat escaleert naar mededeling aan betrokkenen een belangrijk signaal dat toezichthouders volgen.

---

De positie van het VK en Noorwegen

Net als artikel 33 is de plicht om inbreuken aan personen mee te delen een pan-Europese norm, geen EU-27-eigenaardigheid.

Verenigd Koninkrijk. De UK GDPR behoudt artikel 34 inhoudelijk: wanneer een inbreuk waarschijnlijk een hoog risico inhoudt, moet de verantwoordelijke de personen zonder onredelijke vertraging informeren, waarbij de ICO richtsnoeren en toezicht biedt. De Data (Use and Access) Act 2025 (koninklijke goedkeuring 19 juni 2025) verzwakte deze plicht niet, en de Europese Commissie startte na evaluatie van de hervormingen de vernieuwing van het adequaatheidsbesluit voor het VK — de EU-VK-gegevensstromen gaan door en de verwachtingen rond lekafhandeling blijven op één lijn. De ICO-boetes tegen British Airways en Marriott illustreren hoe nauw de Britse handhaving de EU-logica volgt.

Noorwegen en de EER. Noorwegen past de AVG toe via de EER-overeenkomst (sinds juli 2018 van kracht), zodat artikel 34 Noorse verantwoordelijken in identieke bewoordingen bindt, onder toezicht van het Datatilsynet. Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt, moeten betrokkenen in Noorwegen zonder onredelijke vertraging worden geïnformeerd — dezelfde drempel, dezelfde inhoudseisen, dezelfde uitzonderingen. Voor organisaties die actief zijn in de EU, de EER en het VK is de praktische conclusie: ontwerp één mededelingsdraaiboek volgens de norm van hoog risico, geen drie.

---

Artikel 34 operationeel maken in een Trust Center

Artikel 34 is het reputatiegevoeligste moment in de levenscyclus van een inbreuk en is vrijwel onmogelijk goed te doen als u improviseert. Drie stukken voorwerk maken het verschil:

1. Een beslissingskader voor hoog risico dat inbreuktypen koppelt aan de risico-indicatoren van de EDPB (identiteitsdiefstal, financieel verlies, bijzondere categorieën gegevens), zodat de bepaling van hoog risico consistent en verdedigbaar is — en een betwisting onder artikel 34(4) doorstaat.
2. Een vooraf goedgekeurd mededelingssjabloon in begrijpelijke taal met de drie verplichte elementen, klaar om in te vullen, zodat u geen klantgerichte tekst opstelt onder juridische en tijdsdruk.
3. Een inventaris van de versleutelingsstatus, want of geschonden gegevens onbegrijpelijk zijn gemaakt (de eerste uitzondering van artikel 34(3)) bepaalt vaak of u überhaupt moet meedelen.

Hier verbindt lekcommunicatie zich met de bredere vertrouwenspositie. Dezelfde continue monitoring die uw beveiligingsmaatregelen aantoont, vertelt u op het moment van een inbreuk ook welke gegevensopslag is getroffen en of die versleuteld was — de invoer voor uw artikel 34-beslissing. Het Trust Center-platform van Orbiq houdt dat bewijs actueel en auditklaar, en voor de juridische teams en FG's die de mededelingsbeslissing dragen, laat onze gids over het Trust Center voor juridische teams zien hoe register, risicobeoordeling en workflow op één verdedigbare plek blijven.

Gelezen naast zijn tegenhanger, artikel 33 over de 72-uursregel, maakt artikel 34 het beeld van de AVG-lekrespons compleet: meld de toezichthouder bij een risico, informeer de mensen bij een hoog risico, en documenteer de redenering voor beide — elke keer.

---

Bronnen & referenties

1. Verordening (EU) 2016/679 (AVG) — Volledige tekst — Publicatieblad van de Europese Unie.
2. gdpr-info.eu — Artikel 34 (mededeling aan de betrokkene) — Artikeltekst en overwegingen.
3. gdpr-info.eu — Artikel 33 (melding aan de toezichthoudende autoriteit) — Bijbehorende meldplicht.
4. EDPB-richtsnoeren 9/2022 over de melding van inbreuken in verband met persoonsgegevens (versie 2.0) — Risicobeoordeling, voorbeelden van hoog risico en mededelingsrichtsnoeren.
5. DLA Piper GDPR Fines and Data Breach Survey: januari 2026 — 443 meldingen per dag in de EER, plus 22 %.
6. Poolse toezichthouder: boete van 6.800 euro (artikelen 33 en 34) — EDPB-nieuws, 2025.
7. Poolse toezichthouder: boete van 19.800 euro (artikelen 6, 33 en 34) — EDPB-nieuws, 2025.
8. ICO — Personal data breaches: a guide — Mededeling aan betrokkenen (UK GDPR).
9. Data (Use and Access) Act 2025 — overzicht van de Britse hervorming — Norton Rose Fulbright.
10. Datatilsynet — Noorse toezichthouder gegevensbescherming — Richtsnoeren voor het melden van datalekken (Noorwegen / EER).

---

Verder lezen

• AVG Artikel 33: de 72-uursmeldplicht bij datalekken
• AVG-compliance: Complete gids voor 2026 (Artikelen 28, 32, 33, 34)
• Subverwerkerbeheer onder AVG Artikel 28
• Trust Center voor juridische teams
• Continue monitoring