Het datalek is zelden het echte probleem
Wanneer Odido in Nederland het nieuws haalt met een datalek, is de verontwaardiging groot. Niet veel later duikt in België dezelfde reflex op bij het herinneren aan het incident bij Orange Belgium vorig jaar. Andere naam. Zelfde patroon. Klanten onzeker. Media scherp. En al snel de conclusie: dit is een schending van de AVG.
Maar dat is te eenvoudig. Een hack kan zelfs met de beste beveiliging nooit volledig worden uitgesloten. De echte vraag is dus niet of een incident kan gebeuren. De vraag is wat het incident blootlegt. Want een datalek is zelden het begin van het probleem. Het is meestal het moment waarop het zichtbaar wordt.
Wanneer het nieuws focust op het lek
Odido en Orange: de zichtbare laag
Het recente incident bij Odido werd breed opgepikt in gespecialiseerde media. In België klonk het voor sommigen misschien als een Nederlands probleem. Tot men zich herinnert dat ook Orange Belgium in 2025 geconfronteerd werd met een hack waarbij klantgegevens betrokken waren. De schaal en de technische details verschillen. De dynamiek is identiek.
Een kwetsbaarheid wordt uitgebuit. Gegevens worden mogelijk ingezien of gekopieerd. De organisatie meldt het lek en start een intern onderzoek. Daarna volgt de publieke discussie.
In die discussie verschuift de focus bijna automatisch naar verontwaardiging en schuld. Dit is een inbreuk op de privacy, en moet bestraft worden!
Dat zijn begrijpelijke vragen. Maar ze zijn onvolledig.
De reflex die ons op het verkeerde been zet
De impliciete redenering is vaak: er is een lek, dus er is een overtreding. Alsof de AVG een nulrisicoverplichting oplegt. Dat is niet zo.
De AVG verbiedt geen datalekken. Zij verplicht organisaties om passende maatregelen te nemen. Dat verschil lijkt semantisch, maar is fundamenteel. Zonder dat onderscheid vervallen we in een onrealistische verwachting van absolute veiligheid.
De analyse moet dus verder gaan dan de zichtbare gebeurtenis.
Een datalek is geen overtreding op zich
Wat artikel 32 AVG werkelijk vraagt
Artikel 32 AVG bepaalt dat verwerkingsverantwoordelijken en verwerkers, “rekening houdend met de stand van de techniek en de uitvoeringskosten, alsook met de aard, de omvang, de context en het doel van de verwerking … passende technische en organisatorische maatregelen” moeten nemen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Dit is een risicogebaseerde norm. Geen resultaatsverbintenis. Geen garantie dat er nooit iets misloopt.
De wetgever erkent expliciet dat beveiliging proportioneel moet zijn. Wat passend is voor een kleine kmo met beperkte data, verschilt van wat verwacht wordt van een grote telecomspeler. Wat vandaag state of the art is, kan morgen achterhaald zijn.
Een organisatie wordt dus niet automatisch in overtreding geacht omdat zij slachtoffer wordt van een aanval. De juridische toets ligt elders. Werden risico’s vooraf geïdentificeerd? Werden maatregelen structureel geïmplementeerd? Werd beveiliging gezien als een bestuursverantwoordelijkheid en niet enkel als een IT-kwestie?
Waarom het incident zelden het echte toetsingsmoment is
Wanneer een toezichthouder een datalek onderzoekt, stopt hij niet bij de vraag hoe de aanval technisch mogelijk was. Hij kijkt naar de context. Bestond er een systematische risicoanalyse? Werd het beveiligingsbeleid periodiek geëvalueerd? Waren verantwoordelijkheden duidelijk toegewezen?
Een incident is in die zin geen eindpunt. Het is een ingang tot een bredere analyse van maturiteit.
Dat is precies waar de metafoor van de ijsberg relevant wordt.
De ijsberg onder het lek
Het lek als symptoom van structurele keuzes
Wat boven water komt, is het datalek. Wat onder water zit, zijn de fundamentele beginselen van artikel 5 AVG. Die beginselen bepalen hoe een organisatie met persoonsgegevens omgaat, lang vóór er zich een incident voordoet.
Rechtmatigheid is de eerste laag. Op basis van welke rechtsgrond werden de betrokken gegevens verwerkt? Is die grondslag nog actueel? Of gaat het om historische data waarvan niemand nog precies weet waarom ze ooit werden verzameld?
Doelbinding sluit daar onmiddellijk bij aan. Persoonsgegevens mogen enkel worden verwerkt voor welbepaalde en gerechtvaardigde doeleinden. Toch zien we in de praktijk dat datasets worden gekopieerd, gecombineerd en hergebruikt zonder strategische herbeoordeling.
Wanneer bij een incident blijkt dat gelekte gegevens al jaren geen duidelijke functionele noodzaak meer hadden, verschuift de discussie. Dan gaat het niet langer over een technische kwetsbaarheid alleen, maar over structureel databeheer.
Opslagbeperking en toegang als stille versnellers van risico
Het beginsel van opslagbeperking wordt vaak onderschat. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Toch blijven oude klantendossiers bestaan. Back-ups worden uit voorzichtigheid jarenlang bewaard. Testomgevingen bevatten kopieën van productiegegevens.
Op papier bestaan er bewaartermijnen. In werkelijkheid zijn ze zelden technisch afgedwongen. Dat betekent dat gegevens aanwezig blijven, ook wanneer de oorspronkelijke noodzaak verdwenen is.
Wanneer een datalek betrekking heeft op informatie die al lang had moeten worden gewist, is het incident niet de oorzaak van het probleem. Het is het gevolg van een eerdere nalatigheid.
Hetzelfde geldt voor integriteit en vertrouwelijkheid. Beveiliging is meer dan encryptie. Wie had toegang tot de betrokken gegevens? Waren toegangsrechten gekoppeld aan functies? Werden ze periodiek herzien? Werden accounts van vertrokken medewerkers tijdig gedeactiveerd?
Een lek dat mogelijk werd gemaakt via een intern account wijst zelden op een zuiver IT-probleem. Het wijst op een gebrek aan structureel toegangsbeheer.
Transparantie heeft bovendien een interne dimensie. Weet de organisatie zelf exact welke persoonsgegevens zij verwerkt en waar die zich bevinden? Is de data mapping actueel? Of dateert die van een eenmalige oefening bij de start van een complianceproject?
Een datalek is dus zelden een geïsoleerde gebeurtenis. Het is vaak het moment waarop meerdere kleine structurele zwaktes samen zichtbaar worden.
Waarom toezichthouders verder kijken dan de hack
Het incident als toegangspoort tot governance
Wanneer een toezichthouder een onderzoek voert, beperkt hij zich niet tot technische forensiek. Hij analyseert de bredere compliance-architectuur. Bestaat er een duidelijk governancekader? Is de rol van de functionaris voor gegevensbescherming effectief ingebed? Wordt privacy besproken op bestuursniveau?
Ook organisatorische elementen worden beoordeeld. Bestaat er een incident response plan? Werd dat getest? Hoe snel werd het lek gedetecteerd? Welke interne rapporteringslijnen werden gevolgd?
Het incident wordt zo een hefboom om de maturiteit van de organisatie te meten.
Incident management versus structurele compliance
Elke organisatie kan een crisisplan opstellen. Dat is noodzakelijk. Maar incident management is reactief. Structurele compliance is preventief.
Structurele compliance uit zich in dagelijkse processen. In technische afdwinging van bewaartermijnen. In periodieke review van toegangsrechten. In duidelijke eigenaarschap van datasets. In een cultuur waarin privacy vroegtijdig wordt meegenomen in nieuwe projecten.
Wanneer die maturiteit ontbreekt, zal een incident sneller escaleren. Niet omdat de aanval uitzonderlijk was, maar omdat de onderliggende architectuur onvoldoende robuust was.
De kritische blik naar binnen
Het is eenvoudig om naar Odido of Orange Belgium te kijken en te analyseren wat daar misliep. Het is moeilijker om dezelfde vragen intern te stellen.
Weet u vandaag exact welke historische persoonsgegevens nog in uw systemen aanwezig zijn? Zijn bewaartermijnen technisch geïmplementeerd of enkel beleidsmatig vastgelegd? Worden toegangsrechten periodiek geëvalueerd? Is uw data mapping een levend instrument of een archiefdocument?
Wordt privacy strategisch besproken bij nieuwe initiatieven, of enkel wanneer er zich een probleem voordoet?
Dit zijn geen academische vragen. Zij bepalen of een incident een geïsoleerde gebeurtenis blijft, of het begin wordt van een bredere compliance-discussie.
Conclusie: gebruik het incident als spiegel
Incidenten zullen blijven gebeuren. Dat is een realiteit van een digitale economie. De AVG verwacht geen absolute veiligheid, maar doordachte en proportionele maatregelen.
Een datalek is zelden het echte probleem. Het is het moment waarop structurele compliance zichtbaar wordt. Soms bevestigt het dat een organisatie haar zaken op orde heeft. Soms toont het dat er onder de waterlijn werk aan de winkel is.
Bij consey(.legal) helpen we organisaties om die onderliggende architectuur kritisch te analyseren en te versterken. Niet om brandjes te blussen, maar om structurele governance uit te bouwen die standhoudt wanneer het er echt toe doet.
Wilt u weten of onder uw waterlijn alles klopt? Dan is dit het moment om die vraag niet langer uit te stellen.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
