+31 513 724 224
NL
Wat kost een datalek? | Financiële risico’s & AVG-boetes | EntrD
Home Wat kost een datalek?
Risico-analyse

Wat kost een datalek
uw organisatie echt?

De rekening van een datalek reikt verder dan de eerste krantenkoppen. AVG-boetes, juridische procedures, reputatieschade en bestuurlijke aansprakelijkheid: de werkelijke kosten zijn vaak verwoestend. Dit is wat u vooraf moet weten.

€6 mln
Gemiddelde kosten Benelux
IBM Cost of a Data Breach, 2025
37.839
Datalekken gemeld bij AP
in Nederland (2024)
72 uur
Wettelijke meldtermijn bij AP
na ontdekking van een datalek

De grootste kosten van een datalek zie je niet — ze zitten verborgen onder de oppervlakte en overtreffen vaak uw volledige IT-budget.

De vier kostenposten die organisaties onderschatten

Wanneer een datalek zich voordoet, denken de meeste bestuurders direct aan de meldplicht en de IT-herstelkosten. Maar de daadwerkelijke schadepost is een veelvoud daarvan — en het grootste deel is onzichtbaar totdat het al te laat is.

AVG-boetes

De Autoriteit Persoonsgegevens kan bij onvoldoende beveiliging een boete opleggen. Niet melden binnen 72 uur, geen passende maatregelen nemen of bijzondere persoonsgegevens blootstellen zijn alle overtredingen die direct tot een sanctie leiden.

Tot €20 mln of 4% wereldwijde omzet

Reputatieschade & klantverloop

Klanten en partners die hun gegevens aan u hebben toevertrouwd, trekken hun conclusies. Onderzoek toont aan dat bijna de helft van de getroffen organisaties na een lek te maken kreeg met klantafname én de noodzaak de eigen prijzen te verhogen om de schade te dekken.

Langdurig omzetverlies

Juridische kosten

Getroffen personen hebben recht op schadevergoeding. Naarmate class-action-procedures ook in Europa terrein winnen, neemt het risico op collectieve rechtszaken toe. Externe privacyjuristen, verweer bij de AP en eventuele civiele procedures maken juridische kosten tot een substantiële post.

Tienduizenden tot miljoenen €

Bestuurlijke aansprakelijkheid

Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als aantoonbaar is dat zij onvoldoende toezicht hebben gehouden op databescherming. Onder AVG, NIS2 en DORA is het bestuur nadrukkelijk verantwoordelijk — niet alleen de CISO of FG.

Persoonlijk risico bestuurders

Het ijsberg-effect van een datalek

Wat naar buiten komt is slechts het topje. De werkelijke kostenpost schuilt grotendeels in wat onzichtbaar blijft voor media en toezichthouder — maar des te zwaarder drukt op uw bedrijfsvoering.

Zichtbaar — boven de waterlijn

Directe crisiskosten

Forensisch IT-onderzoek en incident response
Melding bij de Autoriteit Persoonsgegevens
Communicatie naar getroffen betrokkenen
Eerste PR- en reputatiemanagement
Eventuele boete van de AP
Verborgen — onder de waterlijn

De werkelijke schadepost

Langdurig klantverloop en omzetdaling
Verhoogde verzekeringspremies
Juridische procedures & schadeclaims
Hogere aanwervingskosten (reputatie)
Verlies van aanbestedingen & tenders
Herstel en versterking van systemen
Productiviteitsverlies tijdens herstelperiode
Persoonlijke aansprakelijkheid bestuurders
“Bijna de helft van de getroffen organisaties gaf aan de eigen prijzen te willen verhogen vanwege een datalek — waarvan bijna een derde met meer dan 15 procent.” — IBM Cost of a Data Breach Report 2025, Benelux

AVG-boetes: wat riskeert u concreet?

De Autoriteit Persoonsgegevens hanteert een gestructureerd boetebeleid. De hoogte hangt af van het type overtreding, de ernst, de duur en of er sprake is van opzet of nalatigheid. Hieronder de meest relevante categorieën voor organisaties die persoonsgegevens verwerken.

Boetecategorieën Autoriteit Persoonsgegevens
Overtreding Categorie Maximum boete
Onvoldoende beveiligingsmaatregelen Categorie II €500.000 (basis: €310.000)
Datalek niet (tijdig) melden bij AP Categorie III €750.000 (basis: €525.000)
Schending grondslagen / rechten betrokkenen Zwaar €20.000.000 of 4% omzet
Geen verwerkingsregister bijgehouden Categorie I–II Tot €500.000
Bron: Autoriteit Persoonsgegevens boetebeleidsregels & EDPB-richtsnoeren. Boetes kunnen worden gecombineerd bij meerdere overtredingen.

Concrete voorbeelden uit de Nederlandse praktijk: het HagaZiekenhuis kreeg €460.000 opgelegd voor onvoldoende beveiliging van patiëntendossiers. Transavia moest €400.000 betalen voor het onvoldoende beveiligen van klantgegevens. De Belastingdienst ontving €2,75 miljoen voor onrechtmatige gegevensverwerking.

Let op: de verplichting om een datalek te melden geldt niet alleen voor grote organisaties. Iedere verwerkingsverantwoordelijke — ook het mkb, een woningcorporatie of een zorginstelling — is verplicht een datalek met risico voor betrokkenen binnen 72 uur te melden bij de AP.

Wat betekent dit voor uw sector?

De financiële impact van een datalek verschilt per branche. Gevoeligheid van de data, toepasselijke regelgeving en reputatiegevoeligheid bepalen samen hoe hard een incident aankomt.

Overheid & gemeenten

Overheden verwerken de meest gevoelige persoonsgegevens denkbaar: BSN-nummers, uitkeringsdata, justitiële informatie en woonsituaties van burgers. De politieke en maatschappelijke impact van een lek is enorm — verlies van publiek vertrouwen laat zich amper in geld uitdrukken.

De AP houdt specifiek toezicht op overheden en beschikt over de bevoegdheid om ook overheidsorganisaties te beboeten. Woo-verzoeken vormen een extra risicomoment: bij het laks anonimiseren van documenten kunnen gevoelige gegevens onbedoeld openbaar worden.

Specifieke risico’s

AVG-boete overheid Woo-aansprakelijkheid Politiek vertrouwensverlies NIS2-verplichtingen Rijksaudit & toezichtdruk Datalekken bij Woo-verzoeken

Zorginstellingen & ziekenhuizen

Patiëntgegevens behoren tot de meest beschermde categorie onder de AVG: bijzondere persoonsgegevens. Dit betekent dat de AP bij een lek in de zorg strenger toetst én hogere boetes kan opleggen. Bovendien zijn zorginstellingen een populair doelwit voor ransomware-aanvallen.

Wereldwijd zijn de kosten van datalekken in de gezondheidszorg structureel het hoogst van alle sectoren — al meer dan tien jaar op rij.

Specifieke risico’s

Bijzondere persoonsgegevens Hoogste boetecategorie AP NIS2-meldplicht Ransomware kwetsbaarheid Patiëntvertrouwen Dossieroverdracht risico’s

Banken, verzekeraars & pensioenfondsen

De financiële sector valt onder een driedubbel regelgevingskader: AVG, NIS2 én DORA. Dat laatste verplicht financiële instellingen aantoonbaar digitaal weerbaar te zijn en te bewijzen dat test- en analyseprocessen veilig verlopen. Een datalek kan leiden tot onderzoek door zowel de AP als de DNB en de AFM.

Naast regulatoire risico’s is reputatieschade in de financiële sector bijzonder kostbaar: klanten die hun financiële data blootgesteld zien, stappen over.

Specifieke risico’s

DORA-aansprakelijkheid DNB & AFM-toezicht NIS2-meldplicht Klantverloop & AUM-verlies Class action risico Transactiedatarisico

Woningcorporaties, ICT & dienstverleners

Woningcorporaties beheren dossiers met huurinformatie, inkomensgegevens, zorgdata en huurgeschillen — een combinatie van gewone én bijzondere persoonsgegevens. Fouten bij documentdeling, Woo-verzoeken of het gebruik van productiedata in testomgevingen zijn reële lekrisico’s.

ICT-bedrijven en softwareleveranciers lopen als verwerker bovendien risico voor datalekken bij hun klanten. Zij zijn medeverantwoordelijk en kunnen aansprakelijk worden gesteld wanneer hun systemen bijdragen aan een incident bij een opdrachtgever.

Specifieke risico’s

Testomgeving met echte data Verwerkersaansprakelijkheid AVG-verwerkersovereenkomst Huurdersdossier gevoeligheid NIS2-ketenaansprakelijkheid Ketenrisico via leveranciers

De tijdlijn na een datalek: uur per uur onder druk

Een datalek is geen rustige crisisbeheersing. Het is een race tegen de klok, waarbij u tegelijkertijd technisch, juridisch, communicatief en regulatoir moet handelen — en elke fout een nieuwe kostenpost oplevert.

0–4u

Ontdekking & eerste crisisrespons

Het lek wordt ontdekt — intern of via een externe melding. Direct worden CISO, directie en juridisch adviseur ingeschakeld. Eerste digitaal forensisch onderzoek start. Elke minuut telt: de 72-uur klok begint te lopen.

24u

Interne besluitvorming & documentatie

Bepalen of melding bij de AP verplicht is. Omvang van het lek vaststellen. Getroffen betrokkenen en datasets inventariseren. Digitaal forensisch onderzoeksbureau ingeschakeld; eerste kosten lopen al in de tienduizenden euro’s.

72u

Verplichte melding bij de Autoriteit Persoonsgegevens

Uiterste termijn voor melding. Te laat melden is zelf een afzonderlijke overtreding van de AVG en resulteert in een extra boete. Indien betrokkenen risico lopen, moeten zij eveneens worden geïnformeerd.

Wk 1–4

AP-onderzoek & herstelmaatregelen

De AP start mogelijk een formeel onderzoek. Uw organisatie moet maatregelen aantonen. Intussen lopen de kosten op: juridisch advies, forensisch rapport, communicatie naar betrokkenen, PR-ondersteuning en begin van reputatieherstel.

Mnd

Boetebesluit, claims & langetermijnschade

De AP neemt een besluit over de boete. Eventuele civiele procedures van gedupeerde betrokkenen starten. Klantverloop, hogere verzekeringspremies en aangescherpte toezichtrelaties bepalen de kosten voor de komende jaren.

Voorkom dat het zover komt.EntrD helpt uw organisatie gevoelige data structureel te beschermen — in databases én documenten.

Plan een gratis demo

Hoe verkleint u het risico structureel?

Datalekken zijn niet altijd te voorkomen. Wél kunt u de kans en de impact drastisch verkleinen door één fundamentele maatregel: zorg dat echte persoonsgegevens nooit terechtkomen waar ze niet horen te zijn.

De meest voorkomende oorzaak van datalekken in testomgevingen, bij documenten en bij IT-ontwikkeling is simpel: organisaties gebruiken productiedata buiten de productieomgeving. Dat is onnodig risico — en met de juiste tools ook volledig vermijdbaar.

DataFactory

Maskeer automatisch alle gevoelige gegevens in uw databases voor gebruik in test-, ontwikkel- en analyseomgevingen. Realistische data, zonder enig privacyrisico.

Meer over DataFactory →

FileFactory

Detecteer en verwijder automatisch gevoelige informatie uit documenten, dossiers en e-mails. Geschikt voor zowel incidenteel gebruik als verwerking op grote schaal.

Meer over FileFactory →

AVG & NIS2 compliant

Beide oplossingen zijn ontworpen om te voldoen aan de eisen van de AVG, NIS2 en DORA. U kunt aantoonbaar maken dat u state-of-the-art maatregelen heeft genomen.

Compliance-proof

Veelgestelde vragen over de kosten van een datalek

Volgens het IBM Cost of a Data Breach Report 2025 bedragen de gemiddelde kosten van een datalek in de Benelux €6 miljoen — een stijging ten opzichte van €5,45 miljoen het jaar daarvoor. Dit bedrag omvat directe herstelkosten, forensisch onderzoek, melding aan betrokkenen, regulatoire boetes, juridische kosten en de langetermijneffecten van reputatieschade en klantverloop.
Ja, als er sprake is van een datalek met risico voor de rechten en vrijheden van betrokkenen, bent u als verwerkingsverantwoordelijke verplicht dit binnen 72 uur te melden bij de AP. Meldt u te laat of helemaal niet, dan is dat zelf een afzonderlijke overtreding van de AVG, waarvoor een aparte boete kan worden opgelegd. De basisboete voor het niet tijdig melden bedraagt €525.000.
Ja. Onder de AVG, NIS2 en DORA rust de verantwoordelijkheid voor dataveiligheid nadrukkelijk ook bij het bestuur. Als aantoonbaar is dat bestuurders onvoldoende toezicht hebben gehouden op databescherming — bijvoorbeeld door bekende risico’s te negeren of geen adequate maatregelen te treffen — kunnen zij persoonlijk aansprakelijk worden gesteld.
De AP hanteert een basisboete van €310.000 (categorie II) voor het niet nemen van passende beveiligingsmaatregelen, met een maximum van €500.000. Bij schending van de grondslagen van de AVG of het negeren van rechten van betrokkenen kan dit oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet. Praktijkvoorbeelden: HagaZiekenhuis €460.000, Transavia €400.000, Belastingdienst €2,75 miljoen.
De meest effectieve maatregel is het toepassen van datamasking: het vervangen van echte persoonsgegevens door realistische maar fictieve varianten in alle omgevingen buiten productie. Hiermee elimineert u het grootste lekrisico — gevoelige data in testomgevingen en documenten. EntrD biedt hiervoor DataFactory (databases) en FileFactory (documenten), volledig AVG- en NIS2-compliant.
Ja. De AVG-meldplicht voor datalekken geldt voor elke verwerkingsverantwoordelijke, ongeacht de omvang van de organisatie. Een klein advocatenkantoor, een lokale woningcorporatie of een zzp’er die persoonsgegevens verwerkt valt hier allemaal onder. De hoogte van een eventuele boete houdt de AP proportioneel aan de omvang van de organisatie, maar de verplichting zelf geldt breed.

Verder lezen

Product

DataFactory — veilig testen met gemaskeerde data
Product

FileFactory — gevoelige informatie uit documenten verwijderen
Oplossing

Wat is datamasking en hoe werkt het?
Branche

Datamasking voor overheid & gemeenten
Branche

Databescherming in de zorgsector
Branche

AVG- en DORA-compliance voor financiële instellingen

Bereken uw risico.
Elimineer het vervolgens.

Ontdek in een gratis demo hoe DataFactory en FileFactory uw organisatie beschermen tegen de financiële en juridische gevolgen van een datalek.

Plan een gratis demo Stel een vraag