Een geslaagde ransomware-aanval die klantgegevens versleutelt is tegelijk een meldingsplichtig beveiligingsincident en een datalek. Voor de FG en de CISO van een organisatie die zowel essentiële of belangrijke entiteit is als verwerkingsverantwoordelijke, vallen die twee werelden samen in één feitencomplex. Dit stuk analyseert drie raakvlakken tussen NIS2 en de AVG (incidentmelding, samenwerking tussen toezichthouders, het verbod op dubbele bestraffing) en vertaalt die naar de Nederlandse situatie.
Waarom de samenloop nu urgent wordt
De NIS2-richtlijn (EU 2022/2555) wordt in Nederland omgezet met de Cyberbeveiligingswet (Cbw), wetsvoorstel 36.764. Die wet brengt naar schatting zo'n 10.000 entiteiten in 18 sectoren onder een nieuw regime van zorgplichten en meldplichten. Een groot deel van die entiteiten verwerkt persoonsgegevens en is daarmee tegelijk verwerkingsverantwoordelijke onder de AVG.
De omzetting is nog niet afgerond. De Tweede Kamer heeft het wetsvoorstel op 15 april 2026 aangenomen, maar de Eerste Kamer heeft nog niet gestemd (voorlopig verslag van 2 juni 2026). De inwerkingtreding staat als kabinetsvoornemen op 1 juli 2026, maar dat is geen vaststaand feit: de behandeling in de Eerste Kamer kan dit vertragen. De analyse hieronder beschrijft de situatie zoals die geldt zodra de Cbw in werking treedt.
Scope van dit stuk: organisaties die onder NIS2 vallen als essentiële of belangrijke entiteit en die tegelijk verwerkingsverantwoordelijke zijn. Voor hen lopen vanaf één incident twee verschillende meldroutes parallel.
Incidentmelding onder beide regimes
Dit is het kernstuk, want hier wringen de twee regimes het meest.
NIS2. Een significant incident moet gemeld worden bij het CSIRT of de bevoegde autoriteit. De meldplicht is getrapt opgezet (NIS2-richtlijn art. 23, met de procedurele uitwerking in art. 29 en 30): een vroege waarschuwing binnen 24 uur na kennisname (art. 23 lid 1 en 2), een eigenlijke incidentmelding binnen 72 uur, en een eindrapport binnen één maand (art. 23 lid 5 tot en met 9). Een incident is "significant" wanneer het ernstige operationele verstoring of financiële schade veroorzaakt, of aanzienlijke materiële of immateriële schade aan anderen kan toebrengen. De precieze drempelwaarden voor "significant" zijn in de Nederlandse uitvoeringsregels nog niet volledig uitgewerkt, wat in de aanloopfase tot afbakeningsvragen zal leiden.
AVG. Een inbreuk in verband met persoonsgegevens (datalek) is gedefinieerd in art. 4 onder 12: een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens. De verwerkingsverantwoordelijke meldt zo'n inbreuk binnen 72 uur bij de toezichthouder (art. 33 lid 1), tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt. Brengt de inbreuk een hoog risico voor de betrokkenen mee, dan moeten ook de betrokkenen worden geïnformeerd (art. 34 lid 1), met de in art. 34 lid 3 voorziene uitzonderingen (passende beschermingsmaatregelen zoals versleuteling, achteraf genomen maatregelen die het hoge risico wegnemen, of onevenredige inspanning). De toezichthouder kan de mededeling alsnog verlangen of vaststellen dat aan een uitzonderingsvoorwaarde is voldaan (art. 34 lid 4).
De overlap, en waar het misgaat. De triggers verschillen, maar minder ver dan vaak gedacht. Een datalek is in art. 4 onder 12 ruimer dan alleen het uitlekken van gegevens: de definitie omvat "vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot" persoonsgegevens. Dat zijn de drie klassieke inbreuktypen op beschikbaarheid, integriteit en vertrouwelijkheid (de B/I/V-driehoek). De EDPB benoemt die drie expliciet en rekent ook de beschikbaarheidsinbreuk, het verlies van toegang tot persoonsgegevens, tot de datalekken (Guidelines 9/2022 on personal data breach notification, randnummer 17, voortbouwend op WP29 Opinion 03/2014). Een veelgemaakte denkfout is dat alleen een vertrouwelijkheidsincident een datalek oplevert.
Dat heeft gevolgen voor het standaardvoorbeeld. Een DDoS-aanval die een dienst urenlang platlegt, is wel een significant incident, maar is niet zonder meer "geen AVG-inbreuk". De EDPB noemt een denial-of-service-aanval die persoonsgegevens onbereikbaar maakt zelf als voorbeeld van een beschikbaarheidsverlies (randnummer 19), en bevestigt dat ook een tijdelijk verlies van beschikbaarheid een datalek is, met als enige uitzondering een geplande systeemonderhoudsstop (randnummer 21). Legt de aanval een systeem met persoonsgegevens plat, denk aan een ziekenhuis waar patiëntgegevens tijdelijk onbereikbaar zijn, dan is dat een beschikbaarheidsinbreuk en daarmee een datalek. Of het meldingsplichtig is, hangt vervolgens af van de risicotoets van art. 33 lid 1, niet van de vraag of er gegevens zijn "uitgelekt". De EDPB gebruikt juist dat ziekenhuisvoorbeeld om te laten zien dat onbeschikbaarheid van medische gegevens een meldplichtig risico kan opleveren (randnummer 22). Een zuiver voorbeeld van een significant incident dat géén datalek is, is dan ook een storing of aanval op een systeem zónder persoonsgegevens: een DDoS op een industriële besturings- of telemetrieomgeving die alleen de operationele continuïteit raakt, is wel NIS2-significant maar levert geen inbreuk in verband met persoonsgegevens op.
Omgekeerd is een datalek (bijvoorbeeld een verkeerd geadresseerde e-mail met bijzondere categorieën gegevens, art. 9) lang niet altijd een significant incident in NIS2-zin. De twee definities overlappen dus sterker dan het beeld van "security versus privacy" suggereert, maar dekken elkaar niet.
De klokken verschillen ook. NIS2 vraagt een eerste signaal binnen 24 uur, de AVG hanteert 72 uur als eerste deadline. In de praktijk betekent dit dat de strakste klok (de 24 uur van NIS2) het tempo zet voor het hele incidentproces, ook voor de privacykant.
En de loketten verschillen: NIS2 meldt aan het CSIRT of de bevoegde autoriteit, de AVG aan de privacytoezichthouder. De praktische consequentie is dat beide meldroutes parallel moeten lopen. De ene melding vervangt de andere niet. Wie alleen bij het CSIRT meldt en denkt daarmee aan zijn AVG-plicht te hebben voldaan, heeft een probleem, en omgekeerd.
Samenwerking tussen toezichthouders
De twee regimes staan niet los van elkaar op handhavingsniveau. De NIS2-richtlijn verplicht de bevoegde NIS2-autoriteiten en de AVG-toezichthouders tot coördinatie en informatie-uitwisseling wanneer een incident persoonsgegevens raakt (NIS2 art. 31, 34 en 35, toegelicht in de overwegingen 108 en 136). Aan AVG-zijde regelen art. 55 en 56 de bevoegdheid en de samenwerking van de toezichthoudende autoriteiten.
De consequentie voor de praktijk is scherp: wat je bij het CSIRT meldt, kan bij de privacytoezichthouder belanden. De informatiestroom tussen de twee kolommen is onderdeel van het ontwerp van de richtlijn, niet een toevallig bijproduct. Een melding die op de securitykant defensief is geformuleerd, kan dus aan de privacykant tot vervolgvragen leiden.
In de Nederlandse situatie verloopt de NIS2-melding via het centrale meldloket mijn.ncsc.nl. Het NCSC fungeert als nationaal CSIRT en routeert de melding door naar de sectorale CSIRT en de bevoegde toezichthouder. Er zijn acht sectorale toezichthouders, waaronder de RDI (coördinerend, voor digitale infrastructuur, energie en ICT-dienstverleners), DNB, AFM, IGJ, ILT, ANVS, NVWA en de Autoriteit Persoonsgegevens. Dat laatste is opmerkelijk: de AP is in Nederland zowel de AVG-toezichthouder als een van de NIS2-toezichthouders. Hoe de AP haar NIS2-toezichtsrol precies afbakent ten opzichte van haar AVG-rol, is op dit moment nog niet uitgewerkt. Dat is een aandachtspunt, want het raakt de vraag welke pet de AP opzet bij een samenlopend incident.
Een tweede aandachtspunt: de procedurele informatie-uitwisseling tussen het NCSC en de AP bij samenlopende meldingen is in de Cbw nog niet expliciet vastgelegd. Op EU-niveau werkt de voorgestelde Digitale Omnibus (een nieuw art. 23 bis NIS2) aan een enkel meldloket via ENISA, maar dat is nog niet in werking en moet voorlopig als toekomstmuziek worden beschouwd. Voor nu moet de meldende organisatie er rekening mee houden dat de coördinatie tussen de twee toezichthouders deels nog vorm krijgt.
Het verbod op dubbele bestraffing
Het scherpste juridische raakvlak betreft de boetes. De AVG bevat in art. 58 lid 2 onder i de bevoegdheid van de toezichthouder om een administratieve geldboete op te leggen. NIS2 voorziet in art. 34 in een vergelijkbare boetebevoegdheid voor de NIS2-autoriteit.
Hier grijpt het Unierechtelijke ne-bis-in-idem-beginsel in (art. 50 Handvest van de grondrechten van de EU). Legt de AVG-toezichthouder een boete op (art. 58 lid 2 onder i) voor een gedraging die tevens een datalek behelst, dan kan dat de NIS2-autoriteit beletten om voor diezelfde gedraging nog een boete onder NIS2-richtlijn art. 34 op te leggen. Het beginsel is echter niet absoluut. Het Hof van Justitie heeft in bpost (C-117/20) en Nordzucker (C-151/20), beide uit 2022, verduidelijkt dat een tweede vervolging of sanctie voor dezelfde feiten alleen is toegestaan onder strikte voorwaarden: er moeten duidelijke en nauwkeurige regels bestaan die de cumulatie voor de betrokkene voorzienbaar maken, de twee autoriteiten moeten hun optreden coördineren, en de totale sanctielast moet evenredig blijven aan de ernst van de inbreuk. Wordt aan die voorwaarden niet voldaan, dan staat het beginsel aan een tweede boete in de weg. Het gaat dus om een geclausuleerd verbod, niet om een automatisch verbod op iedere tweede procedure. Het ne-bis-in-idem-beginsel werkt in Nederland door zodra de Cbw in werking treedt.
Een tweede nuance betreft de "idem"-toets. Het Hof toetst aan de materiële feiten, dus aan de concrete gedraging, niet aan de juridische kwalificatie ervan. Het verbod geldt daarmee per identieke gedraging, niet per incident. Eén incident kan meerdere gedragingen omvatten, en een AVG-boete voor de ene gedraging (bijvoorbeeld onvoldoende beveiliging van persoonsgegevens) sluit een NIS2-boete voor een andere gedraging (bijvoorbeeld het niet tijdig melden van het incident, of een tekortkoming in een zorgplicht die los staat van de persoonsgegevens) niet uit.
Bovendien blijft het overige NIS2-handhavingsinstrumentarium volledig overeind. NIS2 art. 35 voorziet in maatregelen als bindende aanwijzingen, herstelbevelen, openbaarmaking van de overtreding, en in het uiterste geval schorsing van bestuurders of certificeringen. Dat zijn geen "straffen" in de zin van het ne-bis-in-idem-beginsel, maar bestuurlijke handhavings- en herstelmaatregelen. Een AVG-boete beschermt een organisatie dus tegen een tweede boete voor exact dezelfde gedraging, maar niet tegen de rest van het NIS2-toezichtarsenaal.
Tot slot een kanttekening. De hier beschreven doorwerking van ne bis in idem is een toepassing van een algemeen Unierechtelijk beginsel op de specifieke samenloop NIS2/AVG. Het Hof heeft de bpost-criteria ontwikkeld in andere contexten (onder meer het mededingingsrecht) en heeft zich nog niet uitgesproken over juist deze combinatie van een AVG-boete (art. 83 jo. art. 58 lid 2 onder i) en een NIS2-boete (art. 34). Tot er richtinggevende rechtspraak of toezichtspraktijk is, blijft de precieze afbakening op dit punt onzeker. Een organisatie die zich op het beginsel wil beroepen, doet er goed aan haar standpunt zorgvuldig te onderbouwen aan de hand van de bpost-voorwaarden.
Wat dit betekent voor de FG en de CISO
De samenloop is geen reden voor twee gescheiden trajecten, maar juist voor één geïntegreerd incident-responseproces. Concreet:
- Eén proces, twee meldroutes. Richt de incidentrespons zo in dat een gedetecteerd incident automatisch beide beoordelingen triggert: is dit een significant incident (NIS2) en is dit een datalek (AVG)? Beide vragen moeten vanaf het eerste moment parallel lopen, niet de een na de ander.
- Reken met de strakste klok. De 24-uurstrigger van NIS2 zet het tempo. Een proces dat is ingericht op de AVG-klok van 72 uur, is te traag voor de NIS2-melding.
- Leg vast wie wat krijgt. Documenteer welke autoriteit welke informatie ontvangt, langs welk loket (mijn.ncsc.nl voor NIS2, de privacytoezichthouder voor de AVG) en op welk moment. Houd er rekening mee dat informatie tussen de toezichthouders kan worden uitgewisseld.
- Stem security en privacy af. De CISO en de FG moeten dezelfde feiten op hetzelfde moment delen. Een gezamenlijke incidentbeoordeling voorkomt dat de twee meldingen elkaar tegenspreken, wat bij coördinerende toezichthouders een risico op zichzelf is.
De kern: behandel een ernstig cyberincident als één gebeurtenis met twee juridische gezichten. Wie beide regimes vanaf minuut één meeweegt, is sneller, consistenter en juridisch beter verdedigbaar dan wie ze na elkaar afhandelt.
Bron: IAPP, "NIS2 Directive: Mapping the Interplays with the GDPR", Müge Fazlioglu (CIPP/E, CIPP/US), gepubliceerd 26 mei 2026. De infographic mapt zes raakvlakken tussen NIS2 en de AVG; dit artikel behandelt er drie diepgaand (incidentmelding, samenwerking tussen toezichthouders, verbod op dubbele bestraffing). Nederlandse context op basis van de stand van wetsvoorstel 36.764 (Cyberbeveiligingswet) per 3 juni 2026.
Aanvullende bronnen: EDPB Guidelines 9/2022 on personal data breach notification under the GDPR (Version 2.0, 28 maart 2023), randnummers 17 tot en met 22, over de drie inbreuktypen en de beschikbaarheidsinbreuk. HvJ EU, bpost (C-117/20) en Nordzucker (C-151/20), beide 2022, over de voorwaarden voor cumulatie van sancties onder het ne-bis-in-idem-beginsel (art. 50 Handvest).