Regelgeving en AVG

Datalekken bij betalingsgegevens: wat gebeurt er onder AVG en PCI DSS?

18 april 2025 5 min lezen PCI Proxy EU

Een datalek bij betalingen activeert tegelijkertijd twee afzonderlijke regelgevingskaders: de AVG, die van toepassing is op alle persoonsgegevens, en PCI DSS, dat van toepassing is op kaartgegevens. De kosten van zo'n lek gaan ver voorbij de directe boete en omvatten forensische kosten, kennisgevingskosten aan de getroffen personen, kosten voor heruitgifte van kaarten en reputatieschade. Het begrijpen van het volledige schadeprofiel is de eerste stap naar de implementatie van een adequate preventieve strategie.

Datalekken bij betalingsgegevens: wat gebeurt er onder AVG en PCI DSS?

AVG-meldingsplicht: de termijn van 72 uur

Artikel 33 van de AVG verplicht verwerkingsverantwoordelijken (de handelaar of het bedrijf dat de gegevens verwerkt) een datalek binnen 72 uur na ontdekking te melden bij de bevoegde gegevensbeschermingsautoriteit, tenzij het onwaarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van natuurlijke personen. Bij betalingsgegevens, die per definitie gevoelig zijn, is dit risico vrijwel altijd aanwezig. Wanneer betaalkaartgegevens en daarmee verbonden persoonsgegevens (naam, e-mail, adres) zijn getroffen, is melding verplicht.

Bovendien verplicht artikel 34 tot kennisgeving aan de getroffen personen wanneer het lek een hoog risico vormt, wat bij betalingsgegevens vrijwel altijd het geval is. Deze kennisgeving moet duidelijk zijn, in begrijpelijke taal en concreet met betrekking tot de maatregelen ter bescherming van de getroffen personen. AVG-boetes voor laattijdige meldingen of onvoldoende beveiligingsmaatregelen kunnen oplopen tot 4% van de wereldwijde jaaromzet of 20 miljoen euro, naargelang welk bedrag hoger is.

PCI DSS-sancties en forensische kosten

Op PCI-niveau starten de kaartnetwerken (Visa, Mastercard) na melding van een datalek dat kaartgegevens betreft een onderzoek via een erkende PFI (PCI Forensic Investigator). De forensische kosten, doorgaans tussen 15.000 € en 100.000 € afhankelijk van de reikwijdte van het onderzoek, worden gedragen door de getroffen handelaar. Wanneer het onderzoek niet-naleving van PCI DSS bevestigt, leggen de netwerken sancties op via de acquirer, die ze via de handelaarsovereenkomst doorberekent aan de handelaar.

Boetes van netwerken zijn niet openbaar en variëren naar ernst en frequentie. De beschikbare schattingen variëren tussen 5.000 € en meer dan 100.000 € per maand voor de duur van de niet-naleving of tot verhelping van het datalek. Daarbij komen de kosten voor heruitgifte van kaarten (kaartuitgevers kunnen de handelaar tot 12,50 $ per getroffen kaart in rekening brengen), kennisgevingskosten en reputatieschade die moeilijk te kwantificeren zijn maar aanzienlijke langetermijngevolgen hebben voor omzet en klantenvertrouwen.

Hoe tokenisatie de schade beperkt

Het fundamentele voordeel van tokenisatie in de context van datalekken is conceptueel eenvoudig: wanneer de handelaar geen PAN in leesbare tekst in zijn systemen opslaat, worden zelfs bij een volledige systeemcompromittering geen kaartgegevens blootgesteld. Dit heeft directe gevolgen voor beide regelgevingskaders.

  • Voor de AVG: het lek kan nog steeds persoonsgegevens betreffen (e-mail, adres, aankoopgeschiedenis), maar het risico is lager, omdat er geen betalingsinformatie is blootgesteld die tot onmiddellijke financiële fraude kan leiden. Dit kan de ernst van het lek en de daarmee verbonden boetes verminderen.
  • Voor PCI DSS: wanneer de gecompromitteerde systemen geen PAN's bevatten, wordt het lek technisch gezien geen 'PCI-datalek'. Kosten voor PFI-onderzoek en boetes van kaartnetwerken vervallen of zijn drastisch verminderd.
  • Met betrekking tot heruitgifte van kaarten: zonder PAN in leesbare tekst hoeven uitgevers geen kaarten opnieuw uit te geven, waarmee kosten van tot 12,50 $ per kaart worden vermeden.

Veelgestelde vragen

Wat gebeurt er wanneer een handelaar een datalek bij betalingsgegevens niet binnen 72 uur meldt?

De handelaar riskeert AVG-boetes zowel voor het datalek zelf als voor de laattijdige melding. Nationale gegevensbeschermingsautoriteiten kunnen administratieve sancties opleggen, corrigerende maatregelen voorschrijven en in het ergste geval de opschorting van bepaalde gegevensverwerkingsactiviteiten gelasten. Laattijdige meldingen worden door de autoriteiten als verzwarende omstandigheid beschouwd.

Kan de handelaar worden vrijgesteld van de kosten van het forensisch onderzoek?

In het algemeen niet, behalve in bijzondere gevallen. Wanneer de handelaar echter aantoont dat hij op het moment van het lek volledig PCI DSS-conform was (geldige AOC, geen PAN in leesbare tekst in systemen), kunnen sommige netwerken afzien van bepaalde sancties of kennisgevingskosten. Een verkleind bereik via tokenisatie is de meest effectieve weg om het financiële risico van een mogelijk lek te verminderen.

Wie draagt de kosten voor heruitgifte van kaarten bij een handelaar?

De kosten voor heruitgifte van kaarten worden doorgaans eerst gedragen door de kaartuitgevers, die ze vervolgens via netwerksancties en acquirer-handhaving aan de handelaar doorberekenen. De terugvorderingsclausules van de acquirer in handelaarsovereenkomsten stellen de acquirers in staat deze kosten rechtstreeks in te houden op toekomstige afrekeningen van de handelaar. In ernstige gevallen kan de acquirer de terugvordering geldend maken via een afzonderlijke juridische procedure.

Wilt u begrijpen hoe tokenisatie het financiële risico van een mogelijk datalek elimineert? Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.