πŸ”’ Datalekprocedure

Conform AVG art. 33, 34 & 33 lid 5 | UAVG art. 41 & 42 | EDPB Guidelines 9/2022
Versie 1.0  Β·  19 juni 2026  Β·  PropAI β€” Lars Tils  Β·  KvK: 42081154
🏠 PropAI propai.nl
⚠️ Wettelijke meldtermijn: 72 uur
Bij een datalek met risico voor betrokkenen moet PropAI dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (art. 33 AVG). Bij hoog risico ook direct aan de betrokkenen (art. 34 AVG). Elk datalek β€” ook als het niet gemeld wordt β€” moet intern worden gedocumenteerd (art. 33 lid 5 AVG).

1. Wat is een datalek? art. 4 lid 12 AVG

Een datalek (inbreuk in verband met persoonsgegevens) is een incident waarbij persoonsgegevens per ongeluk of onrechtmatig worden vernietigd, verloren, gewijzigd, of ongeoorloofd openbaar gemaakt of toegankelijk gemaakt.

TypeVoorbeelden bij PropAI
VertrouwelijkheidslekHuurdergegevens zichtbaar voor verkeerde verhuurder; API-sleutel gelekt; ongeautoriseerde toegang tot database
BeschikbaarheidslekVersleutelde database door ransomware; Supabase-storing waardoor gegevens verloren gaan
IntegriteitslekHuurcontractgegevens onterecht gewijzigd; betalingsgegevens gemanipuleerd

2. Wanneer moet worden gemeld? art. 33 & 34 AVG

SituatieActieTermijn
Datalek zonder risico voor betrokkenen βœ… Intern documenteren in datalekregister Direct vastleggen
Datalek met risico voor betrokkenen (bijv. identiteitsfraude mogelijk) βœ… Intern documenteren
βœ… Melden bij Autoriteit Persoonsgegevens
72 uur na ontdekking
Datalek met hoog risico voor betrokkenen (bijv. BSN, financiΓ«le gegevens, bijzondere categorieΓ«n) βœ… Intern documenteren
βœ… Melden bij AP
βœ… Betrokkenen direct informeren
AP: 72 uur | Betrokkenen: onverwijld
πŸ’‘ Twijfel? Bij twijfel: altijd melden. De AP beoordeelt coulanter wanneer tijdig en proactief gemeld wordt dan wanneer te laat of niet gemeld wordt.

3. Stappenplan bij een datalek

πŸ” Ontdekking & eerste inschatting (uur 0–2) Wie ontdekt het, meldt dit direct aan: privacy@propai.nl of Lars Tils direct.
Stel vast: welke gegevens, hoeveel betrokkenen, hoe is het gebeurd, is het al gestopt?
πŸ›‘ Beperking van de schade (uur 0–4) Blokkeer toegang (Supabase RLS aanscherpen / API-sleutel intrekken). Maak een snapshot van logs. Wijzig geen data zolang onderzoek loopt.
πŸ“Š Risicobeoordeling (uur 2–6) Beoordeel het risico voor betrokkenen: hoog / midden / laag. Gebruik de EDPB Guidelines 9/2022 risicomatrix. Bepaal of AP-melding Γ©n melding aan betrokkenen verplicht is.
πŸ“‹ Interne documentatie (uur 0–24) Leg vast in het interne datalekregister: datum/tijd ontdekking, aard van het lek, betrokken categorieΓ«n en aantallen, oorzaak, genomen maatregelen, risicobeoordeling. Verplicht ook als niet gemeld wordt (art. 33 lid 5 AVG).
πŸ›οΈ Melding bij Autoriteit Persoonsgegevens β€” indien verplicht (binnen 72 uur) Meld via: datalekken.autoriteitpersoonsgegevens.nl
Vermeld conform art. 33 lid 3 AVG: (a) aard van de inbreuk; (b) contactpunt privacy@propai.nl; (c) verwachte gevolgen; (d) getroffen maatregelen.
πŸ“£ Melding aan betrokkenen β€” indien hoog risico (art. 34 AVG, onverwijld) Informeer de getroffen verhuurders en/of huurders via e-mail. Gebruik heldere, begrijpelijke taal. Vermeld: wat er is gebeurd, welke gegevens, wat de risico's zijn, wat PropAI heeft gedaan en wat de betrokkene zelf kan doen.
πŸ”„ Nazorg & evaluatie (binnen 30 dagen) Evalueer de oorzaak, pas technische en organisatorische maatregelen aan, update de DPIA indien nodig, informeer de AP over afhandeling indien eerder gemeld.

4. Verantwoordelijkheden

RolPersoonTaak
VerwerkingsverantwoordelijkeLars TilsEindverantwoordelijk voor alle beslissingen, AP-meldingen en communicatie
Eerste ontvanger signaalprivacy@propai.nlOntvangt interne meldingen, start procedure
Technisch onderzoekPropAI dev (Lars Tils)Supabase logs, RLS-check, API audit
Sub-verwerker SupabaseSupabase Inc.Meldt beveiligingsincidenten aan PropAI conform DPA art. 7

5. Boetes bij niet-naleving art. 83 lid 4 AVG

6. Melding door verhuurders (verwerkers van huurderdata)

Verhuurders die PropAI gebruiken zijn zelf verwerkingsverantwoordelijke voor de gegevens van hun huurders. Bij een incident dat huurdergegevens betreft, heeft u als verhuurder een eigen meldplicht bij de AP (art. 33 AVG). PropAI ondersteunt u hierbij door logs te leveren en technisch onderzoek te doen. Meld incidenten direct aan privacy@propai.nl.
πŸ“ž Incident melden:
E-mail: privacy@propai.nl β€” altijd bereikbaar, reactie binnen 4 uur op werkdagen
AP meldloket: datalekken.autoriteitpersoonsgegevens.nl
AP telefoon: 088 - 1805 250
Verwerkersovereenkomst: propai.nl/dpa.html
Versie1.0
Datum vaststelling19 juni 2026
Vastgesteld doorLars Tils β€” Founder & Verwerkingsverantwoordelijke, PropAI
Volgende reviewJuni 2027 (of eerder bij wetgevingswijziging of na een datalek)
Juridische basisAVG art. 33, 34, 33 lid 5 | UAVG art. 41, 42 | EDPB Guidelines 9/2022