Staatssecretaris Van Bruggen zet kanttekeningen bij automatische AVG overtreding
Op donderdag 4 juni 2026 om 10:36 reageerde staatssecretaris Van Bruggen van Justitie en Veiligheid op vragen uit de Tweede Kamer en zij maakte daarbij direct duidelijk dat een datalek niet automatisch een overtreding van de Algemene Verordening Gegevensbescherming betekent, een stelling die direct het bestuurlijke kader en de publieke discussie op scherp zet. Haar reactie is opvallend concreet in woordkeuze en intentie: zij waarschuwt voor snelle conclusies en benadrukt dat elk incident zijn eigen oorzaak en context kent, van eenvoudige menselijke fouten tot zeer geavanceerde cyberaanvallen die ook goed beveiligde organisaties kunnen raken. Die nuancering van het kabinet is relevant voor beleidsmakers, bestuurders en consumenten die de neiging hebben dat elk lek per definitie bewijst dat regels niet werken.
Kamervragen van D66 over Basic Fit en Booking com zetten de discussie aan
D66 had Kamervragen gesteld naar aanleiding van recente datalekken bij bedrijven als Basic Fit en Booking com en vroeg expliciet of er sprake is van structurele tekortkomingen in de beveiliging van persoonsgegevens bij deze commerciële partijen, een vraag die de politieke aandacht vestigt op zowel commerciële als maatschappelijke risico s. Van Bruggen antwoordde dat zij voorzichtig wil zijn met het spreken van “structurele tekortkomingen” omdat elk incident anders is en een eigen oorzaak kan hebben, en zij wees erop dat ook een goed beveiligde organisatie het slachtoffer kan worden van een gesofisticeerde aanval. De bewindsvrouw maakte duidelijk dat de toetsing zich niet alleen op het bestaan van een lek richt maar op de totale keten van preventie, detectie en respons, en dat die keten per organisatie sterk kan verschillen afhankelijk van grootte, middelen en bedrijfsmodel. Voor D66 en andere Kamerfracties blijft het spanningsveld bestaan tussen het eisen van harde regels en het erkennen van technische realiteit.
Herhaalde datalekken en de interpretatie van naleving
De vraag of herhaalde datalekken automatisch duiden op onvoldoende structurele naleving van de AVG wilde D66 ook beantwoord zien en Van Bruggen gaf daarop een duidelijke nuancering: herhaling kan wijzen op problemen, maar is op zichzelf geen bewijs van juridische overtreding volgens de verordening. Zij stelde dat een datalek op zich niet betekent dat er sprake is van een overtreding van de AVG en dat de beoordeling altijd moet kijken naar genomen maatregelen voorafgaand aan het incident, de redelijkheid van die maatregelen ten opzichte van het risico en de volgorde en snelheid van acties daarna. In juridische termen draait het om proportionaliteit van beveiligingsmaatregelen, de aanwijsbaarheid van tekortkomingen en of organisaties hun meldplicht hebben nageleefd. Die interpretatie geeft toezichthouders ruimte om context mee te wegen maar zorgt ook voor politieke druk wanneer incidenten lijken te stapelen.
Wat telt in de beoordeling: handelen na een incident
Van Bruggen legde de nadruk op het gedrag van organisaties nadat een datalek is vastgesteld en noemde expliciet dat handelen na ontdekking zwaar meeweegt in de beoordeling van naleving en gevolgen, een praktische invalshoek die verwijst naar zowel technische herstelwerkzaamheden als bestuurlijke verantwoordelijkheid. In de praktijk gaat het volgens haar om een aantal concrete acties die organisaties kunnen en moeten ondernemen en die ook het vertrouwen van betrokkenen kunnen herstellen, waaronder snelle en volledige melding aan de toezichthouder wanneer dat verplicht is, transparante communicatie richting getroffen personen en het treffen van aanvullende technische en organisatorische maatregelen. Belangrijke onderdelen van een adequate respons zijn onder meer:
- forensisch onderzoek om de oorzaak en reikwijdte van het lek vast te stellen,
- directe mitigatie zoals isolatie van systemen, patching en resetten van toegangsgegevens,
- naleven van meldplicht en tijdige melding aan betrokkenen wanneer risico s voor hun rechten en vrijheden reëel zijn,
- structurele verbeteringen en audits om herhaling te voorkomen, inclusief onafhankelijke controles waar nodig.
AVG biedt normen maar naleving blijft de kern van de kwestie
Op vragen van JA21 over het al dan niet aanscherpen van de AVG of de handhaving daarvan antwoordde Van Bruggen dat zij geen aanknopingspunten ziet voor fundamentele lacunes in de gegevensbeschermingswetgeving, en dat de brede werkingssfeer van de verordening juist ruimte laat voor passende beveiligingsmaatregelen voor organisaties die op grote schaal persoonsgegevens verwerken. Haar standpunt maakt duidelijk dat de huidige discussie niet alleen juridisch is maar ook operationeel: veel incidenten zijn eerder terug te voeren op factoren als onvoldoende naleving van bestaande regels, gebrekkige implementatie van standaarden, verouderde systemen, menselijke fouten, en complexe ketens van leveranciers en externe partijen. Voor toezichthouders en politiek betekent dit dat de focus mogelijk meer moet liggen op handhavingscapaciteit, gerichte sectorale normen en concrete nalevingsbevorderende maatregelen in plaats van het herschrijven van de basisverordening.
Wat dit betekent voor bedrijven en betrokkenen
Voor bedrijven betekent de reactie van de staatssecretaris dat strategische keuzes rond beveiliging en respons cruciaal blijven: investeringen in preventie en detectie zijn belangrijk, maar evenzeer bepalend is de kwaliteit van het incidentmanagement en de transparantie richting betrokkenen en toezichthouders, een les die ook consumenten en zakelijke klanten direct raakt. Organisaties die veel persoonsgegevens verwerken doen er verstandig aan om te rekenen met scenario s voor zeer geavanceerde aanvallen, periodieke onafhankelijke audits, duidelijke verantwoording over genomen maatregelen en heldere communicatieprotocollen, want in de publieke perceptie bepaalt de reactie vaak in hoge mate het vertrouwen en de reputatie. Politiek en maatschappij blijven scherp toezien en vragen om heldere bewijsvoering bij uitspraak over naleving, maar de kernboodschap van Van Bruggen zet een belangrijke grens: een datalek is een ernstig incident dat vraagt om daadkracht, maar het is niet automatisch het eindpunt van een juridische beoordeling onder de AVG.