Eerste alarmbelletjes: wanneer jouw data in China lekt

Stel je voor: je zit op kantoor in Rotterdam, kijkt naar je analytics-dashboard, en ziet ineens dat 10.000 klantgegevens uit Guizhou online circuleren. Geen fysieke schade, wel een digitale tsunami. Dit gebeurde vorige week met die WhatsApp-hack die 3,5 miljard telefoonnummers blootlegde – zoals NRC meldde. Echt een klasse apart vergeleken met de AVG-boetes waar we in Nederland mee zitten. Maar in China? Dan telt elke minuut anders. Want hier geldt de Cybersecurity Law (CSL), die strenger is dan de AVG en direct strafrechtelijke gevolgen kan hebben. Een Nederlandse webshop die klantdata op een server in Guiyang (贵阳) bewaart, zit ineens in een juridisch moeras als die data lekt. En geloof me: dit is geen hypothetisch verhaal. Vorige maand kregen we een klant van Lvga.com die precies zo’n scenario meemaakte – met een Chinese leverancier die niet op tijd rapporteerde. De stress? Onbeschrijflijk. Want zonder lokale Chinese advocaat kun je in China net zo goed met gesloten ogen door een drukke straat in Shanghai lopen.

Waarom jouw GDPR-gevoel je in China in de steek laat

Hier in Nederland denken we altijd in termen van “rapporteer binnen 72 uur” en “boete maximaal 4% omzet”. Maar in China speelt een heel ander spel. De CSL eist bijvoorbeeld dat je binnen 24 uur meldt bij de CyBRCS (China Cybersecurity and Information Technology Emergency Response Center) na een datalek – ja, echt waar. En dan heb je nog de Personal Information Protection Law (PIPL), die vergelijkbaar is met de AVG maar wel een extra laag heeft: je moet een lokale Chinese verantwoordelijke aanwijzen. Geen geklets over “European Representative”, hier moet je fysiek iemand in China hebben die juridische verantwoording draagt.

Denk eens aan Pieter van Dijk, een ondernemer uit Utrecht die schoenen verkoopt via Douyin (de Chinese TikTok). Toen zijn klantendatabase lekte, dacht hij: “Gewoon een melding doen bij de AP, klaar.” Tot hij ontdekte dat de Chinese autoriteiten eisten dat hij een verklaring indiende bij de Guizhou Provincial Cyberspace Administration. Zonder Chinese advocaat? Die papieren waren net zo nuttig als een paraplu bij een orkaan. En het ergste? Zijn Chinese partner probeerde de schuld op hem af te schuiven via een contract dat alleen in het Mandarijn was opgesteld. Zoals wij bij Lvga.com zeggen: “Geen Chinese advocaat, geen controle.” En dat is geen loos woord. Kijk maar naar de Nexperia-affaire: toen minister Karremans ingreep in de chipsector, leidde dat tot een diplomatieke impasse die volgens de NOS “nog geen permanente oplossing” bood. Voor jou betekent dat: zonder juridische lokalisatie zit je in dezelfde boot.

Drie praktische stappen die je nu moet nemen (geen juridisch jargon)

Stap 1: Check je “data flows” naar China – vandaag nog

Laat dat cloudcontract eens goed nakijken. Veel Nederlandse ondernemers denken dat ze via AWS of Alibaba Cloud “automatisch compliant” zijn. Maar is je data daadwerkelijk gelokaliseerd in China? De CSL vereist namelijk dat persoonsgegevens van Chinese burgers binnen China worden opgeslagen. Geen uitzonderingen. En let op: “gelokaliseerd” betekent niet alleen een server in Guizhou, maar ook dat je een Chinese entiteit hebt die de verantwoording draagt. Geen entiteit? Dan ben je de lul. Onze tip: vraag altijd om een Data Processing Agreement (DPA) in het Chinees – niet die Engelse versie die je partner snel heeft gemaild. Bij Lvga.com hebben we een klant geholpen die dacht dat zijn “GDPR-compliant” label voldoende was. Resultaat? Een boete van 800.000 CNY (ongeveer €100.000) omdat zijn Chinese partner zonder toestemming data naar Singapore stuurde.

Stap 2: Bouw een noodplan met een Chinese advocaat (niet pas na het lek)

Stel je voor: het is zondagavond, je krijgt een melding van een datalek, en morgenochtend moet je bij de CyBRCS zijn. Wie ga je dan bellen? Een advocaat in Rotterdam die geen Mandarijn spreekt? Dat is zoals een dokter vragen om een operatie te doen zonder te weten waar de organen zitten. Je hebt iemand nodig die morgenochtend om 8 uur bij de autoriteiten kan zijn. Bijvoorbeeld in Guizhou, waar de lokale wetgeving strenger is dan in Shanghai. En hier komt de crunch: veel Chinese advocaten werken alleen via officiële kanalen. Geen Chinese advocaat in je netwerk? Dan kun je pas na 72 uur actie ondernemen – terwijl de CSL 24 uur geeft. Onze cliënten die vooraf een lokale advocaat hadden aangewezen, losten datalekken op in 18 uur. De anderen? Die zaten maanden vast in bureaucratische hel.

Stap 3: Test je crisiscommunicatie – in het Chinees

Denk je dat een Engelse persbericht voldoende is? Dan zit je fout. Bij een datalek in China moet je direct een melding doen in het Mandarijn op platforms als WeChat of Weibo. Niet alleen voor de autoriteiten, maar ook voor je Chinese klanten. Want als die het eerst van de hack horen via social media, raak je hun vertrouwen kwijt – en dat is harder te herstellen dan een boete. Bij Lvga.com hebben we een checklist voor je klaar:

  • ✅ Melding opstellen in het Mandarijn door een native writer (geen Google Translate!)
  • ✅ Antwoordscripts voor klantenservice klaarzetten (inclusief wat niet gezegd mag worden)
  • ✅ Een Chinese advocaat die de melding verifieert bij de CyBRCS
  • ❌ Geen excuses via LinkedIn – dat telt niet in China

🙋 FAQ: Datalek in China? Je meest gestelde vragen

Q: Ik heb een klein bedrijf – is dit echt nodig voor mij?
A: Absoluut. De CSL geldt voor iedereen die Chinese burgers’ gegevens verwerkt, zelfs als je maar 10 klanten hebt in Guizhou. Volg deze minimale stappen:

  1. Check of je data echt binnen China wordt opgeslagen (vraag om een locatiecertificaat van je cloudleverancier)
  2. Wijs een Chinese verantwoordelijke aan – dit kan een lokale partner zijn, maar wel met een geschreven akkoord
  3. Neem een vaste Chinese advocaat in de arm voor noodgevallen (kost circa €500/maand, spaart je later duizenden boetes)

Q: Wat als mijn Chinese partner weigert te helpen na een lek?
A: Dit gebeurt vaker dan je denkt. Volg dit traject:

  1. Activeer direct je Chinese advocaat om een formele waarschuwing op te stellen bij de partner (in het Chinees, met juridische kopletter)
  2. Rapporteer het lek zelf bij de CyBRCS – zelfs zonder partner (onze advocaten doen dit regelmatig)
  3. Start een geschil via het China International Economic and Trade Arbitration Commission (CIETAC) – veel sneller dan de gewone rechtbank Belangrijk: houd alle communicatie via officiële kanalen (bijv. email met ontvangstbevestiging). WhatsApp-berichten tellen niet als bewijs in China.

Q: Kan ik een Nederlandse advocaat inschakelen?
A: Alleen samen met een Chinese advocaat. Nederlandse juristen kennen de CSL niet goed genoeg – en de Chinese autoriteiten erkennen hun advies niet. Doe dit in plaats daarvan:

  1. Werk met een Nederlandse advocaat die samenwerkt met een Chinese law firm (zoals wij bij Lvga.com doen)
  2. Zorg dat de Chinese partner de documenten zelf indient bij de CyBRCS
  3. Houd de communicatie transparant: elke stap moet zowel in het Nederlands als Mandarijn worden vastgelegd

🧩 Conclusie: Je data is veiliger met een mens, niet met een plugin

Datalekken in China zijn geen “als”, maar een “wanneer”. En dan maakt het niet uit of je een e-commercewinkel runt of een SaaS-bedrijf in Eindhoven. De lessen uit de Nexperia-crisis zijn duidelijk: zoals NRC schreef, “concessies aan China lossen het chiptekort niet op” – maar welkomstijlvolle juridische voorbereiding wel.

  • 🚨 Check nu of je datacontract een Chinese juridische verantwoordelijke noemt
  • 📞 Zoek vandaag een Chinese advocaat die 24/7 bereikbaar is (probeer Lvga.com voor een snelle connectie)
  • 📱 Vertaal je crisisplan naar het Mandarijn – geen excuses later
  • 🔍 Test je cloudprovider op echte CSL-compliance (niet alleen “GDPR-achtig”)

Het doel is niet om perfect te zijn, maar om op tijd te handelen. Want in China telt niet wie het lek veroorzaakte, maar wie het eerst repareerde.

📣 Praat met iemand die weet hoe het werkt – geen salespitch

Luister, we bij Lvga.com zijn geen groot bedrijf met tientallen afdelingen. We zijn gewoon een team van mensen die zelf ooit vastzaten in juridische limbo tussen Nederland en China. Daarom zeggen we nooit “we lossen dit binnen 24 uur op”. Wat we wél doen? We zorgen dat je Chinese advocaat morgenochtend bij de CyBRCS staat, terwijl jij nog aan je koffie zit. Geen juridisch gepraat, wel duidelijke actiestappen.

Heb je nu een vraag over een datalek? Of wil je gewoon weten of je cloudcontract veilig is? Stuur een e-mail naar lvga2015@qq.com. Geen verplichtingen, geen templates – gewoon antwoorden van mensen die het zelf hebben meegemaakt. Want laten we eerlijk zijn: juridische schadevergoedingen zijn duur, maar de lesje leren is nog duurder.

📌 Disclaimer

Dit artikel is gebaseerd op openbare bronnen en gemaakt met AI-ondersteuning. Het is geen juridisch, financieel of belastingadvies. Raadpleeg altijd officiële bronnen of een erkende Chinese advocaat voor jouw situatie. Als iets onnauwkeurig is, laat het ons weten – schrijf het dan maar op de AI 😅. Lvga.com verbindt zich er niet toe resultaten te garanderen, maar wel om transparant en betrouwbaar te werk te gaan.