Datalek: Wat te Doen als Slachtoffer (Complete Stappenplan 2026)
Een datalek is geen kwestie van of, maar wanneer. Of het nu gaat om een grote inbreuk bij een bekende dienst zoals LinkedIn, Facebook of een Nederlandse webshop: de kans is groot dat jouw persoonlijke gegevens al eens zijn uitgelekt. Volgens de Autoriteit Persoonsgegevens (AP) worden er jaarlijks meer dan 25.000 datalekken gemeld in Nederland. Maar wat moet je doen als slachtoffer van een datalek? In deze gids vind je een concreet stappenplan.
Wat is een datalek precies?
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens onbedoeld worden ingezien, gewijzigd, vernietigd of openbaar gemaakt. Onder de AVG (Algemene Verordening Gegevensbescherming) is elke organisatie verplicht om ernstige datalekken binnen 72 uur te melden aan de Autoriteit Persoonsgegevens en, indien er een hoog risico is voor de betrokkenen, ook aan de gedupeerden zelf.
Veelvoorkomende soorten datalekken
- Hackeraanval: cybercriminelen breken in op een server en stelen klantgegevens.
- Phishing: medewerkers worden misleid om inloggegevens af te geven.
- Verloren apparaten: laptops of USB-sticks met persoonsgegevens raken kwijt.
- Misconfiguratie: databases die per ongeluk publiek toegankelijk zijn.
- Insider-lekken: ontevreden medewerkers die data buitsluizen.
Hoe weet je of jouw gegevens zijn gelekt?
Soms ontvang je een officiele brief of e-mail van het bedrijf waarbij het lek plaatsvond. Vaak kom je er echter pas later achter, of helemaal niet. Gebruik daarom regelmatig deze gratis tools om te controleren of jouw e-mailadres of telefoonnummer in bekende datalekken voorkomt:
- Have I Been Pwned (haveibeenpwned.com) - controleert je e-mailadres tegen miljarden gelekte records.
- Firefox Monitor - geintegreerd met Have I Been Pwned.
- Google Password Checkup - controleert opgeslagen wachtwoorden in Chrome.
- Identityleak Checker (HPI) - van het Hasso Plattner Institute.
10 Stappen: Wat te Doen Direct na een Datalek
Wanneer je ontdekt dat je slachtoffer bent van een datalek, is snelheid cruciaal. Volg dit stappenplan om de schade te beperken.
Stap 1: Wijzig direct je wachtwoord
Verander het wachtwoord van het getroffen account onmiddellijk. Gebruik een sterk, uniek wachtwoord van minimaal 16 tekens met een combinatie van letters, cijfers en symbolen. Heb je hetzelfde wachtwoord ook bij andere diensten gebruikt? Wijzig die dan ook allemaal. Lees onze ultieme gids voor wachtwoordbeveiliging voor concrete tips.
Stap 2: Activeer tweefactorauthenticatie (2FA)
Zet 2FA aan op alle belangrijke accounts: e-mail, banken, social media, cloudopslag. Gebruik bij voorkeur een authenticator-app (Authy, Google Authenticator, Microsoft Authenticator) in plaats van sms, omdat sms-codes onderschept kunnen worden via SIM-swapping.
Stap 3: Controleer welke gegevens precies zijn gelekt
Niet elk datalek heeft dezelfde impact. Bekijk welke categorien data zijn buitgemaakt:
| Type gegevens | Risicogradatie | Actie |
|---|---|---|
| Alleen e-mailadres | Laag | Wees alert op phishing |
| Wachtwoord (gehasht) | Middel | Wachtwoord direct wijzigen |
| Wachtwoord (plaintext) | Hoog | Alle hergebruikte wachtwoorden wijzigen |
| Telefoonnummer + adres | Hoog | Pas op voor identiteitsfraude |
| BSN of paspoortgegevens | Zeer hoog | Melden bij CMI en aangifte doen |
| Bank- of creditcardgegevens | Zeer hoog | Bank bellen, kaart blokkeren |
Stap 4: Waarschuw je bank bij financiele gegevens
Zijn betaalgegevens, IBAN of creditcardnummers gelekt? Bel direct je bank. Veel banken bieden de mogelijkheid om je rekening tijdelijk extra te monitoren, kaarten te blokkeren of nieuwe te laten uitgeven. Houd je rekeningafschriften de komende maanden extra goed in de gaten.
Stap 5: Doe aangifte bij de politie
Bij identiteitsfraude, financiele schade of lekken van gevoelige documenten (paspoort, ID-kaart, BSN) doe je aangifte bij de politie via 0900-8844 of online via politie.nl. Een aangifte is vaak nodig om verzekeringsclaims in te dienen en om aansprakelijkheid bij banken en instanties te onderbouwen.
Stap 6: Meld het bij het Centraal Meldpunt Identiteitsfraude (CMI)
Bij vermoeden van identiteitsfraude meld je dit bij het CMI (slachtofferidentiteitsfraude.nl), onderdeel van Justis. Zij helpen bij het herstellen van je identiteit en geven advies over vervolgstappen, zoals het aanvragen van een nieuw paspoort.
Stap 7: Dien een klacht in bij de Autoriteit Persoonsgegevens
Vind je dat het bedrijf nalatig is geweest of niet goed heeft gecommuniceerd over het datalek? Dien een klacht in bij de AP via autoriteitpersoonsgegevens.nl. De AP kan onderzoek doen en boetes opleggen onder de AVG (tot 20 miljoen euro of 4% van de wereldwijde jaaromzet).
Stap 8: Eis schadevergoeding
Onder artikel 82 van de AVG heb je recht op schadevergoeding bij een datalek, ook voor immateriele schade (stress, angst, tijd). Steeds vaker worden er collectieve claims opgezet via stichtingen zoals The Privacy Collective of Stichting Data Bescherming Nederland. Houd communicatie van het bedrijf goed bij als bewijs.
Stap 9: Wees extra alert op phishing en oplichting
Na een datalek krijg je vaak gerichte phishing-mails of -berichten, omdat criminelen exact weten welke dienst is gelekt. Wees extra wantrouwend bij:
- Berichten die spoed suggereren ("uw account wordt verwijderd").
- Links naar inlogpagina's - check altijd de URL.
- Telefoontjes van "de bank" of "de Belastingdienst".
- Verzoeken om verificatiecodes te delen.
Wanneer je links deelt of klikt, gebruik dan altijd betrouwbare bronnen. Een veilige URL-shortener zoals Lunyb kan helpen om verdachte redirects te detecteren en links te scannen voordat je erop klikt.
Stap 10: Verklein je digitale voetafdruk
Hoe minder gegevens er online over jou rondzwerven, hoe kleiner de impact van toekomstige datalekken. Verwijder oude accounts, beperk welke informatie je deelt en vraag datahandelaren om je gegevens te wissen. Lees onze gids over het beheren van je digitale voetafdruk en ontdek welke datahandelaren jouw gegevens verkopen.
Jouw rechten onder de AVG bij een datalek
Als slachtoffer van een datalek heb je onder de Algemene Verordening Gegevensbescherming meerdere rechten. Veel mensen weten dit niet, waardoor ze deze rechten niet benutten.
Recht op informatie (artikel 34 AVG)
Bij een datalek met hoog risico is het bedrijf verplicht om jou persoonlijk te informeren. Deze melding moet duidelijk en in begrijpelijke taal beschrijven:
- Wat er is gebeurd en wanneer.
- Welke gegevens zijn betrokken.
- Welke gevolgen dit kan hebben.
- Welke maatregelen het bedrijf neemt.
- Wie de contactpersoon (FG/DPO) is.
Recht op inzage (artikel 15 AVG)
Je hebt het recht om te vragen welke gegevens een organisatie van jou verwerkt. Het bedrijf moet binnen een maand reageren.
Recht op verwijdering (artikel 17 AVG)
Ook bekend als het "recht op vergetelheid". Je kunt eisen dat je gegevens worden verwijderd, tenzij er een wettelijke bewaarplicht geldt.
Recht op schadevergoeding (artikel 82 AVG)
Bij materiele of immateriele schade kun je een claim indienen tegen de verwerkingsverantwoordelijke organisatie.
Hoe voorkom je toekomstige schade?
Een datalek is helaas niet helemaal te voorkomen - het ligt vaak buiten jouw controle. Maar je kunt wel de impact minimaliseren met deze preventieve maatregelen.
Gebruik een wachtwoordmanager
Tools zoals Bitwarden, 1Password of KeePass genereren unieke wachtwoorden voor elk account. Hierdoor heeft een datalek bij dienst A geen gevolgen voor dienst B.
Gebruik aliasen voor e-mail
Met diensten zoals SimpleLogin, AnonAddy of Apple's "Hide My Email" maak je voor elk account een uniek e-mailadres. Lekt er een, dan weet je precies welke partij verantwoordelijk is en kun je die alias gewoon uitschakelen.
Monitor je gegevens actief
Stel waarschuwingen in bij Have I Been Pwned voor je e-mailadressen. Zo krijg je direct bericht als je gegevens in een nieuw datalek opduiken.
Beperk wat je deelt
Vul niet alle velden in bij webshops of registratieformulieren. Geboortedatum, telefoonnummer en adres zijn vaak optioneel. Hoe minder data, hoe minder risico. Bekijk ook wat Google allemaal over jou weet en beperk dit.
Veelgemaakte fouten na een datalek
- Niets doen omdat "het waarschijnlijk niets is" - elke uur uitstel vergroot het risico.
- Alleen het wachtwoord van het getroffen account wijzigen - vergeet de hergebruikte wachtwoorden niet.
- Klikken op links in "herstel-mails" - dit zijn vaak phishing-pogingen die misbruik maken van de paniek.
- Geen bewijs bewaren - schermafbeeldingen en e-mails zijn cruciaal voor latere claims.
- Niet melden bij autoriteiten - zonder meldingen blijven nalatige bedrijven ongestraft.
Voorbeelden van grote datalekken in Nederland
Om te illustreren hoe vaak en hoe groot datalekken zijn, een kort overzicht van recente bekende incidenten:
| Jaar | Organisatie | Aantal getroffenen | Type data |
|---|---|---|---|
| 2024 | NIPO/Kantar | Honderdduizenden | Onderzoeksdata, contactgegevens |
| 2023 | Gemeente Voorschoten | 30.000+ | BSN, adresgegevens |
| 2023 | Mediamarkt | Onbekend | Klantgegevens |
| 2022 | GGD | Miljoenen | BSN, testgegevens |
| 2021 | RDC (auto) | 7,3 miljoen | Voertuig- en eigenaardata |
Veelgestelde vragen (FAQ)
Kan ik schadevergoeding krijgen na een datalek?
Ja, onder artikel 82 van de AVG heb je recht op schadevergoeding voor zowel materiele (financieel verlies, fraudekosten) als immateriele schade (stress, tijdverlies, angst). Bedragen varieren van enkele honderden tot duizenden euros. Collectieve claims via stichtingen zoals The Privacy Collective vergroten je kansen op succes.
Hoe lang heeft een bedrijf om mij te informeren over een datalek?
Bedrijven moeten een datalek met hoog risico "zonder onnodige vertraging" melden aan betrokkenen. In de praktijk betekent dit doorgaans binnen enkele dagen tot een week. Aan de Autoriteit Persoonsgegevens moet de melding binnen 72 uur na ontdekking.
Wat als mijn BSN is gelekt?
Een gelekt BSN is ernstig omdat het gebruikt kan worden voor identiteitsfraude. Meld dit direct bij het Centraal Meldpunt Identiteitsfraude (CMI), doe aangifte bij de politie en informeer de Belastingdienst. Houd je DigiD-activiteiten goed in de gaten en wijzig je DigiD-wachtwoord.
Moet ik altijd mijn wachtwoord wijzigen na een datalek?
Ja, ook als het wachtwoord versleuteld (gehasht) was opgeslagen. Moderne aanvallers kunnen veel hashes kraken, vooral bij zwakke hashing-algoritmes zoals MD5 of SHA-1. Wijzig ook alle accounts waar je hetzelfde wachtwoord gebruikt - dit is de meest voorkomende vorm van vervolgschade.
Hoe controleer ik of mijn gegevens in een datalek zitten?
Gebruik gratis tools zoals Have I Been Pwned (haveibeenpwned.com) of Firefox Monitor. Voer je e-mailadres in en je ziet direct in welke bekende datalekken je voorkomt. Stel ook waarschuwingen in zodat je automatisch bericht krijgt bij nieuwe lekken.
Conclusie
Een datalek overkomt iedereen vroeg of laat. Het verschil tussen een klein ongemak en grote financiele of persoonlijke schade zit in hoe snel en effectief je reageert. Door direct je wachtwoorden te wijzigen, 2FA in te schakelen, alert te zijn op phishing en je rechten onder de AVG te kennen, beperk je de schade aanzienlijk. Combineer dit met preventieve maatregelen zoals een wachtwoordmanager, e-mailaliasen en het minimaliseren van je digitale voetafdruk, en je bent goed voorbereid op de volgende inbreuk.
Onthoud: jij hebt rechten. Maak er gebruik van. Hoe meer mensen klachten indienen en schadevergoedingen claimen, hoe meer bedrijven gemotiveerd worden om de beveiliging van jouw gegevens serieus te nemen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Openbaar WiFi: Is het Veilig in 2026? Complete Gids voor Nederland
Openbaar WiFi is overal beschikbaar, maar hoe veilig is het echt? Ontdek de grootste risico's, hoe aanvallen zoals Evil Twin en Man-in-the-Middle werken, en welke 10 concrete maatregelen je beschermen op publieke netwerken in 2026.
Wachtwoordbeveiliging: De Ultieme Gids voor Veilige Wachtwoorden (2026)
Wachtwoorden zijn jouw eerste verdedigingslinie tegen cybercriminelen, maar de meeste mensen gebruiken ze verkeerd. Deze ultieme gids leert je sterke wachtwoorden maken, password managers gebruiken, 2FA inschakelen en passkeys benutten voor maximale beveiliging in 2026.
Wat Google Over Jou Weet: Complete Gids om Jouw Data te Beheren (2026)
Google verzamelt enorm veel data over jou: van zoekopdrachten tot locaties. Ontdek precies wat Google over jou weet en leer hoe je jouw persoonlijke gegevens kunt inzien, beheren en verwijderen. Complete privacy gids voor 2026.
Cybersecurity voor Belgische KMO's: Complete Gids 2026
Belgische KMO's zijn een groeiend doelwit voor cybercriminelen. Deze complete gids legt uit welke bedreigingen er bestaan, hoe je voldoet aan NIS2 en GDPR, en welke concrete maatregelen je vandaag kunt nemen om je bedrijf te beveiligen.