Papieren bezoekersregister = datalek? Voorbeelden uit de praktijk

Wat zegt de wet over een datalek bij bezoekersregistratie?

Een datalek is volgens artikel 4 lid 12 van de AVG een "inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens."

Voor bezoekersregistratie betekent dit drie dingen:

• Persoonsgegevens (naam, bedrijf, bezoekreden) zijn voldoende om als datalek te kwalificeren.
• De "ongeoorloofde toegang" hoeft geen kwaadwillende handeling te zijn. Een toevallige blik op het volgende lege regeltje is genoeg.
• U bent verantwoordelijk voor de beveiliging, niet alleen voor het verzamelen.

De Autoriteit Persoonsgegevens ontvangt jaarlijks ruim 25.000 datalekmeldingen. Een substantieel deel daarvan betreft fysieke documenten die zichtbaar lagen voor onbevoegden, denk aan post, lijsten of inderdaad bezoekersregisters.

Voorbeeld 1: het advocatenkantoor en de tegenstander in de wachtkamer

Een middelgroot advocatenkantoor in de Randstad. Het bezoekersboek lag open op de receptiebalie, zoals altijd. Op een dinsdagochtend kwam er een nieuwe cliënt voor een echtscheidingszaak. Hij keek terloops naar de pagina en zag de naam van zijn aanstaande ex-vrouw, met daarachter de naam van een collega-advocaat en het tijdstip 09:00.

De cliënt belde meteen zijn eigen advocaat, die de zaak introk. Het kantoor verloor niet alleen die opdracht, maar moest ook de ex-vrouw informeren dat haar bezoek bij het kantoor zichtbaar was geweest voor een derde partij. Die laatste diende een klacht in bij de Autoriteit Persoonsgegevens en eiste schadevergoeding wegens schending van het beroepsgeheim.

Voorbeeld 2: het accountantskantoor en de concurrenten

Een mid-tier accountantskantoor met 80 medewerkers ontving op één ochtend twee cliënten uit dezelfde branche. De eerste, een directeur van een familiebedrijf in de levensmiddelensector, kwam voor zijn jaarrekening. Hij tekende het register en zag drie regels boven hem de naam staan van zijn grootste concurrent. Die had een week eerder een afspraak gehad met dezelfde adviseur.

Op zich is dat geen geheim, maar de cliënt voelde zich ongemakkelijk en vroeg expliciet of zijn financiële data wel bij dezelfde firma in goede handen was. Het kantoor moest een lange uitleg geven over Chinese walls en intern toegangsbeleid. Geen formele klacht, geen boete, maar wel een substantiële tijdsinvestering en het verlies van vertrouwen.

Bij een AFM-audit een paar maanden later kwam dit ter sprake als "risico op belangenverstrengeling-perceptie". De auditor adviseerde digitale registratie als basismaatregel.

Voorbeeld 3: het notariskantoor en de erfeniskwestie

Bij een notariskantoor in een middelgrote stad kwamen drie broers en zussen op verschillende dagen langs voor de afwikkeling van een erfenis. De relaties waren gespannen, en het kantoor had bewust afzonderlijke afspraken ingepland.

De jongste zus zag op het bezoekersboek dat haar oudere broer twee dagen eerder was geweest, samen met "de partner" die zij niet kende. Op de juridische grondslag van "eigen kennisname" beschuldigde ze haar broer van afspraken met derden zonder haar medeweten. De notaris moest dit oplossen, met een verlengde behandelduur en uiteindelijk een boze cliënt minder.

De notaris meldde het zelf aan de KNB als incident, niet als formeel datalek maar als "onbedoelde informatie-uitwisseling die het beroepsgeheim raakt". De KNB adviseerde structurele aanpassing van de bezoekersregistratie.

Voorbeeld 4: het softwarebedrijf en de auditbevinding

Een softwarebedrijf met 60 medewerkers werkte voor verschillende grote retailers. Op het papieren register stonden namen van bezoekers die direct herleidbaar waren tot specifieke retail-projecten: "Jan Pietersen, [Retailer A], 14:00 - kick-off nieuw kassasysteem".

Een ingehuurde consultant van een concurrerende leverancier zag het register en herkende de namen. Hij rapporteerde aan zijn werkgever dat het softwarebedrijf kennelijk samenwerkte met Retailer A aan een nieuw kassasysteem, wat commercieel-strategische informatie was die nog niet publiek was. De retailer moest haar tender-procedure heropenen omdat de informatie was gelekt.

Het softwarebedrijf moest niet alleen Retailer A informeren, maar ook melden bij de Autoriteit Persoonsgegevens omdat persoonsgegevens (de naam Jan Pietersen plus zijn werkgever) waren ingezien door een onbevoegde. Bovendien werd het contract met de retailer onder de loep genomen wegens schending van NDA-voorwaarden.

Wanneer is een datalek meldplichtig?

Onder de AVG geldt een meldplicht binnen 72 uur na ontdekking, tenzij het "onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen". In de praktijk betekent dat:

• Bezoekersnaam zichtbaar geweest voor één derde: meestal niet meldplichtig.
• Bezoekersnaam met bezoekreden zichtbaar (bv. "echtscheidingsadvies"): wel meldplichtig.
• Lijst van meerdere bezoekers gekopieerd of gefotografeerd: zeker meldplichtig.
• Combinatie met gevoelige gegevens (gezondheid, religie, politieke voorkeur): meldplichtig en betrokkene informeren.

Belangrijk: ook als u niet meldt, moet u het intern documenteren. De AP kan jaren later om uw datalek-register vragen, en het ontbreken daarvan is op zichzelf een overtreding.

Wat zijn de mogelijke boetes?

De AP kan boetes opleggen tot 4% van de wereldwijde jaaromzet, met een maximum van €20 miljoen, voor de zwaarste overtredingen. Voor kleinere en middelgrote organisaties zijn de feitelijke boetes meestal lager, maar zeker niet verwaarloosbaar:

• Inadequate beveiliging (waar een papieren register meestal onder valt): boetes van €15.000 tot €75.000 zijn niet ongewoon.
• Niet-melden van een datalek: boetes vanaf €10.000.
• Geen verwerkingsregister: boetes vanaf €5.000 voor kleinere organisaties, hoger voor grotere.

Naast de boete komt vrijwel altijd reputatieschade, een verplicht verbeteringstraject en (bij beroepsgeheim-gebonden sectoren) tuchtrechtelijke gevolgen voor de individuele professional.

Hoe voorkomt u dit?

Een digitaal bezoekersregister fixt structureel alle bovenstaande scenario's in één keer:

• Bezoekers zien alleen het eigen scherm, nooit dat van anderen.
• Iedere registratie krijgt een betrouwbare digitale tijdstempel.
• Persoonsgegevens worden versleuteld opgeslagen, met geautomatiseerde verwijdering na 90 dagen.
• U heeft een audit-trail die bij elke audit, klacht of klantvraag onderbouwt wat er is gebeurd.
• Bij een ontruiming weet de BHV-coördinator binnen seconden wie er nog binnen is.

Veelgestelde vragen

Wij hebben nog nooit een klacht gehad. Is het dan wel een probleem?

Onder de AVG is het ontbreken van een klacht geen verdediging. De AP kan op eigen initiatief onderzoeken, en bij een audit of bij een onverwachte cliëntklacht ontdekt u dat uw werkwijze niet in orde is. Bovendien werkt het stille datalek het zwaarst: de cliënt voelt het wel, maakt het niet bekend, kiest een andere adviseur. Verloren omzet zonder dat u weet waarom.

Hoe vaak gebeurt dit echt?

Veel vaker dan u denkt. De AP rapporteert jaarlijks ~25.000 datalekmeldingen, en schat dat het werkelijke aantal incidenten een veelvoud is. Specifiek voor fysieke documenten en bezoekersregisters is geen aparte statistiek, maar in de jaarverslagen worden ze regelmatig genoemd onder "onbedoelde informatie-uitwisseling".

Onze receptie is altijd bemand. Geldt het dan ook?

Ja. Een bemande receptie helpt, maar de receptionist heeft niet altijd controle over wat een bezoeker ziet als die zelf het register tekent. Zodra het register op het bureau ligt en de volgende bezoeker naar de pen reikt, heeft die persoon toegang tot de gegevens van eerdere bezoekers. Het is dan uw fysieke beveiliging die tekortschiet.

Is een afgesloten map of klepje voldoende?

Beter dan open, maar verre van waterdicht. De AP kijkt bij beoordeling van beveiligingsmaatregelen naar de "stand van de techniek". In 2026 betekent dat in de praktijk dat een papieren oplossing met klepje niet meer als adequate beveiliging wordt gezien als digitale alternatieven beschikbaar en betaalbaar zijn.

Conclusie

De vier voorbeelden hierboven zijn geen extreme uitzonderingen. Ze zijn de dagelijkse realiteit bij iedere organisatie die nog met een papieren register werkt. Soms blijft het bij een ongemakkelijk moment, soms bij een verloren cliënt, soms bij een formele AP-melding met boete en reputatieschade.

Het verschil tussen "ons gaat het al jaren goed" en "ons overkwam dit" is meestal niets meer dan timing. De vraag is niet of het bij u gebeurt, maar wanneer. En of u er dan over kunt zeggen: "wij hadden alle redelijkerwijs beschikbare maatregelen genomen."

Met een digitaal bezoekersregister kunt u dat altijd zeggen. Voor €39 per maand. Zonder dat u uw werkwijze radicaal hoeft om te gooien.