Meteen naar de inhoud
ISMS.online

Hoe u naleving van AVG kunt aantonen Artikel 34

In de naleving van artikel 34 van de AVG wordt uitgelegd wanneer en hoe organisaties personen moeten informeren over inbreuken op hun persoonsgegevens die een groot risico vormen voor hun rechten. Ook worden uitzonderingen en best practices voor naleving beschreven.

Auteur
David Holloway
Bijgewerkt 30, 2025
4 / 5 sterren

Begrijpen van AVG artikel 34: Wanneer en hoe u personen op de hoogte stelt van datalekken

GDPR Artikel 34 schetst de verplichting van een organisatie om betrokkenen te informeren over een datalek, dat waarschijnlijk zal resulteren in een aanzienlijk risico voor hun rechten en vrijheden als individu.

AVG Artikel 34 Wettelijke tekst

EU AVG-versie

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

  1. Wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee aan de betrokkene.
  2. De mededeling aan de in lid 1 van dit artikel bedoelde betrokkene beschrijft in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens en bevat ten minste de informatie en maatregelen bedoeld in de punten b), c) en d ) van artikel 33, lid 3.
  3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist als aan een van de volgende voorwaarden is voldaan:

    • (a) de verantwoordelijke voor de verwerking passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk in verband met persoonsgegevens zijn getroffen, met name de maatregelen die de persoonsgegevens onbegrijpelijk maken voor personen die geen toegang daartoe hebben; zoals encryptie.
    • b) de verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen zich waarschijnlijk niet langer zal voordoen.
    • c) het zou onevenredige inspanningen vergen. In een dergelijk geval zal er in plaats daarvan sprake zijn van een openbare communicatie of soortgelijke maatregel waarbij de betrokkenen op een even effectieve manier worden geïnformeerd.
  4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na de waarschijnlijkheid te hebben overwogen dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, van hem eisen dat hij dit doet of kan hij besluiten dat een van de genoemde voorwaarden aan lid 3 is voldaan.

Britse AVG-versie

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

  1. Wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee aan de betrokkene.
  2. De mededeling aan de in lid 1 van dit artikel bedoelde betrokkene beschrijft in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens en bevat ten minste de informatie en maatregelen bedoeld in de punten b), c) en d ) van artikel 33, lid 3.
  3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist als aan een van de volgende voorwaarden is voldaan:

    • (a) de verantwoordelijke voor de verwerking passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk in verband met persoonsgegevens zijn getroffen, met name de maatregelen die de persoonsgegevens onbegrijpelijk maken voor personen die geen toegang daartoe hebben; zoals encryptie.
    • b) de verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen zich waarschijnlijk niet langer zal voordoen.
    • c) het zou onevenredige inspanningen vergen. In een dergelijk geval zal er in plaats daarvan sprake zijn van een openbare communicatie of soortgelijke maatregel waarbij de betrokkenen op een even effectieve manier worden geïnformeerd.
  4. Als de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de commissaris, na de waarschijnlijkheid te hebben overwogen dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, van hem eisen dat hij dit doet of kan hij besluiten dat een van de genoemde voorwaarden in lid 3 is voldaan.


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Technisch commentaar

Artikel 34 AVG maakt duidelijk dat niet alle inbreuken aan de betrokkenen moeten worden meegedeeld. Organisaties moeten echter de details van een inbreuk communiceren wanneer deze waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen.

Artikel 34 schetst drie belangrijke aandachtsgebieden bij het communiceren van een datalek:

  • De gebruikte taal.
  • De specifieke details die worden gecommuniceerd.
  • Hoe de communicatie verloopt.

In de volgende drie scenario's zijn verwerkingsverantwoordelijken niet verplicht een inbreuk te melden:

  1. De organisatie beschikt over ‘passende technische en organisatorische beschermingsmaatregelen’.
  2. Er zijn 'vervolgmaatregelen' nodig om de inbreuk te beperken.
  3. Het communiceren van de inbreuk zou een onevenredige inspanning vergen.

ISO 27701 Clausule 6.13.1.1 (Verantwoordelijkheden en procedures) en AVG Artikel 34

In deze sectie praten we over AVG-artikelen 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34(4)

Om een ​​samenhangend, goed functionerend incidentbeheerbeleid te creëren dat de beschikbaarheid en integriteit van privacy-informatie tijdens kritieke incidenten waarborgt, moeten organisaties:

  1. Houd u aan een methode voor het melden van beveiligingsgebeurtenissen op het gebied van privacyinformatie.
  2. Zet een reeks processen op die privacy-informatiebeveiligingsgerelateerde incidenten in het hele bedrijf beheren, waaronder:

    • Administratie.
    • Documentatie.
    • Detectie.
    • Triage.
    • Prioritering.
    • Analyse.
    • Communicatie.

  3. Stel een incidentresponsprocedure op waarmee de organisatie incidenten kan beoordelen, erop kan reageren en ervan kan leren.
  4. Zorg ervoor dat incidenten worden beheerd door opgeleid en bekwaam personeel dat profiteert van voortdurende training- en certificeringsprogramma's op de werkplek.

Personeel dat betrokken is bij incidenten op het gebied van privacy-informatiebeveiliging moet het volgende begrijpen:

  1. De tijd die nodig is om een ​​incident op te lossen.
  2. Eventuele gevolgen.
  3. De ernst van het incident.

Bij het omgaan met privacy-informatiebeveiligingsgebeurtenissen moet het personeel:

  1. Beoordeel evenementen in overeenstemming met strikte criteria die ze valideren als goedgekeurde incidenten.
  2. Categoriseer privacy-informatiebeveiligingsgebeurtenissen in 5 subonderwerpen:

    • Toezicht (zie ISO 27002 Controles 8.15 en 8.16).
    • Detectie (zie ISO 27002 Controle 8.16).
    • Classificatie (zie ISO 27002 Controle 5.25).
    • Analyse.
    • Rapportage (zie ISO 27002 Controle 6.8).

  3. Bij het oplossen van privacy-informatiebeveiligingsincidenten moeten organisaties:

    • Reageer en escaleer problemen (zie ISO 27002 Controle 5.26) in overeenstemming met het type incident.
    • Activeer plannen voor crisisbeheer en bedrijfscontinuïteit.
    • Beïnvloed een beheerd herstel na een incident dat de operationele en/of financiële schade beperkt.
    • Zorg voor een grondige communicatie van incidentgerelateerde gebeurtenissen naar al het relevante personeel.

  4. Neem deel aan samenwerking (zie ISO 27002 Controles 5.5 en 5.6).
  5. Registreer alle op incidenten beheerde activiteiten.
  6. Verantwoordelijk zijn voor de omgang met incidentgerelateerd bewijsmateriaal (zie ISO 27002 Controle 5.28).
  7. Voer een grondige analyse van de hoofdoorzaak uit om het risico te minimaliseren dat het incident zich opnieuw voordoet, inclusief voorgestelde wijzigingen in eventuele processen.

Rapportageactiviteiten moeten rond vier belangrijke gebieden worden gecentreerd:

  1. Acties die moeten worden ondernomen zodra zich een informatiebeveiligingsgebeurtenis voordoet.
  2. Incidentformulieren waarin informatie gedurende een incident wordt vastgelegd.
  3. End-to-end feedbackprocessen voor al het relevante personeel.
  4. Incidentrapporten waarin gedetailleerd wordt beschreven wat er is gebeurd nadat een incident is opgelost.

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


ISO 27701 Clausule 6.13.1.5 (Reactie op informatiebeveiligingsincidenten) en AVG Artikel 34

In deze sectie praten we over AVG-artikelen 34 (2) en 34 (1)

Organisaties moeten ervoor zorgen dat privacy-informatiebeveiligingsincidenten worden afgehandeld door een toegewijd technisch team met de vaardigheden en middelen om tot een snelle oplossing te komen (zie ISO 27002 Controle 5.24).

Organisaties moeten:

  1. Bevat alle privacygerelateerde bedreigingen die voortkomen uit het oorspronkelijke probleem.
  2. Verzamel tijdens het hele afwikkelingsproces een hoeveelheid bewijsmateriaal.
  3. Neem escalatie, BUDR-activiteiten en continuïteitsplanning op in alle oplossingsinspanningen (zie ISO 27002 Controles 5.29 en 5.30).
  4. Registreer alle incidentgerelateerde activiteiten.
  5. Zorg ervoor dat het personeel op een ‘need to know’-basis te werk gaat bij het omgaan met incidenten met privacy-informatie.
  6. Houd voortdurend rekening met hun verantwoordelijkheden jegens hun klanten en externe organisaties bij het communiceren van incidenten met privacy-informatie en datalekken.
  7. Sluit incidenten af ​​op een strikte reeks oplossingscriteria.
  8. Voer forensische analyses uit (zie ISO 27002 Controle 5.28), waar en wanneer dat nodig is.
  9. Probeer de onderliggende oorzaak van een incident vast te stellen, zodra het is opgelost (zie ISO 27002 Controle 5.27).
  10. Neem corrigerende maatregelen voor alle bijbehorende processen, controles, beleid en procedures, om de privacybescherming van de organisatie te versterken zodra een incident is opgelost.

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.24
  • ISO 27002 5.27
  • ISO 27002 5.28
  • ISO 27002 5.29
  • ISO 27002 5.30

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

AVG-artikel ISO 27701-clausule ISO 27002-controles
EU AVG Artikelen 34 (1) tot 34 (4) ISO 27701 6.13.1.1 5.25
5.26
5.5
5.6
6.8
8.15
8.16
EU AVG Artikelen 34 (2) en 34 (1) ISO 27701 6.13.1.5 5.24
5.27
5.28
5.29
5.30

Hoe ISMS.online helpt

Dankzij de ingebouwde begeleiding en onze 'Adopt, Adapt, Add'-implementatieaanpak maakt ISMS.online het aantonen van GDPR-compliance een fluitje van een cent. Er zal ook een reeks krachtige tijdbesparende functies voor u beschikbaar zijn.

Met ons intuïtieve platform kunt u meerdere doelstellingen op het gebied van informatiebeveiliging en privacy bereiken door uw werk in meerdere standaarden en raamwerken in kaart te brengen.

Als u hulp of advies nodig heeft tijdens uw reis naar de AVG, kunnen we ons team van interne experts beschikbaar stellen of een vertrouwde partner aanbevelen die u kan helpen.

Meer informatie via een demo boeken.

David Holloway

Chief Marketing Officer

David Holloway is Chief Marketing Officer bij ISMS.online en heeft meer dan vier jaar ervaring in compliance en informatiebeveiliging. Als onderdeel van het managementteam richt David zich op het ondersteunen van organisaties om vol vertrouwen door complexe regelgeving te navigeren en strategieën te ontwikkelen die bedrijfsdoelen afstemmen op impactvolle oplossingen. Hij is tevens co-host van de podcast Phishing For Trouble, waarin hij ingaat op spraakmakende cybersecurityincidenten en waardevolle lessen deelt om bedrijven te helpen hun beveiliging en compliance te versterken.

LinkedIn

AVG-artikelen

AVG in de diepte

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Klaar voor de start?

Demo boeken