Datalek: Wat te Doen als Slachtoffer (Complete Gids 2026)
Een datalek treft jaarlijks miljoenen Nederlanders. Of het nu gaat om een gehackte webshop, een gestolen klantendatabase of een gelekt wachtwoord: het gevoel van machteloosheid is groot. Toch kun je veel doen om de schade te beperken. In deze gids leggen we stap voor stap uit wat je moet doen als je slachtoffer bent van een datalek.
Wat is een datalek precies?
Een datalek is een beveiligingsincident waarbij persoonsgegevens onbedoeld toegankelijk worden voor onbevoegden. Dit kan gebeuren door een hack, een verloren laptop, een verkeerd verzonden e-mail of een onbeveiligde database. Onder de AVG moet elke organisatie die persoonsgegevens verwerkt een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP), en in veel gevallen ook bij jou als betrokkene.
Welke gegevens worden meestal gelekt?
- Inloggegevens: e-mailadressen en wachtwoorden
- Identificatiegegevens: naam, adres, geboortedatum, BSN
- Financiële gegevens: creditcardnummers, IBAN, transactiehistorie
- Communicatie: e-mails, chats, klantvragen
- Gevoelige data: medische gegevens, paspoortkopieën, biometrische data
Hoe weet je dat je slachtoffer bent van een datalek?
Niet elk datalek is direct merkbaar. Soms duurt het maanden voordat gestolen gegevens opduiken op het dark web. Let op deze signalen:
- Je ontvangt een officiële melding van een bedrijf of dienst
- Je krijgt verdachte inlogpogingen of meldingen van nieuwe apparaten
- Er verschijnen onbekende transacties op je rekening
- Je krijgt plotseling veel phishing-mails of spam
- Vrienden ontvangen vreemde berichten vanuit jouw account
- Je vindt je e-mail terug via diensten als Have I Been Pwned
Wil je actief controleren of jouw gegevens zijn gelekt? Lees onze gids over hoe je controleert of je wachtwoord is gelekt.
Datalek: wat te doen in de eerste 24 uur
Snelheid is cruciaal. De eerste 24 uur na ontdekking bepalen vaak hoeveel schade je oploopt. Volg deze stappen direct:
Stap 1: Verifieer het datalek
Controleer of de melding echt is. Cybercriminelen versturen zelf nepberichten over datalekken om paniek te zaaien en je naar phishing-pagina's te lokken. Ga rechtstreeks naar de website van het betreffende bedrijf (typ de URL handmatig) en log daar in. Klik niet op links in e-mails.
Stap 2: Wijzig direct je wachtwoord
Verander het wachtwoord van het getroffen account. Gebruik een uniek, sterk wachtwoord van minimaal 14 tekens. Heb je dit wachtwoord ook bij andere diensten gebruikt? Wijzig het daar ook. Een wachtwoordmanager (zoals Bitwarden of 1Password) helpt om voor elke dienst een uniek wachtwoord te genereren en bewaren.
Stap 3: Activeer tweestapsverificatie (2FA)
Schakel 2FA in op alle belangrijke accounts: e-mail, bank, sociale media, cloudopslag. Gebruik bij voorkeur een authenticator-app (zoals Authy of Aegis) in plaats van SMS, omdat SMS gevoelig is voor SIM-swapping.
Stap 4: Controleer je e-mailregels en koppelingen
Hackers stellen vaak filters in om bevestigingsmails te verbergen. Controleer in je e-mailinstellingen:
- Doorstuurregels die je niet zelf hebt ingesteld
- Onbekende apps met toegang tot je account
- Recente inlogactiviteit vanuit vreemde locaties
Wat te doen bij verschillende soorten datalekken
Bij gelekte bankgegevens of creditcard
- Bel direct je bank of creditcardmaatschappij (24/7 nummer)
- Laat je kaart blokkeren en vraag een nieuwe aan
- Controleer je transacties van de afgelopen 90 dagen
- Meld onterechte afschrijvingen schriftelijk binnen 13 maanden
- Doe aangifte bij de politie als er fraude is gepleegd
Bij gelekt BSN of paspoortkopie
Dit is een van de ernstigste situaties, omdat identiteitsfraude moeilijk omkeerbaar is.
- Meld de identiteitsfraude bij het Centraal Meldpunt Identiteitsfraude (CMI)
- Doe aangifte bij de politie
- Vraag bij twijfel een nieuw paspoort aan
- Houd je BKR-registratie en kredietoverzichten in de gaten
- Stel een fraudewaarschuwing in bij het BKR
Bij gelekte medische gegevens
Medische data is extra gevoelig en valt onder een verzwaard regime van de AVG. Neem contact op met je zorgverlener om te bespreken wat er precies is gelekt. Je hebt het recht een klacht in te dienen bij de AP.
Vergelijkingstabel: actiestappen per soort datalek
| Type datalek | Eerste actie | Wie informeren | Risico |
|---|---|---|---|
| Wachtwoord | Wachtwoord wijzigen + 2FA | Niemand verplicht | Account-overname |
| E-mailadres | Filter spam, let op phishing | Geen | Phishing, spam |
| Bankgegevens | Bank bellen, kaart blokkeren | Bank, politie | Financiële fraude |
| BSN/paspoort | CMI melden + aangifte | CMI, politie, gemeente | Identiteitsfraude |
| Medische data | Zorgverlener contacteren | AP, zorgverlener | Reputatie, chantage |
| Adres/telefoon | Alert op phishing | Geen | Social engineering |
Je rechten onder de AVG na een datalek
Als slachtoffer van een datalek heb je een aantal sterke rechten onder de Algemene Verordening Gegevensbescherming. De organisatie die jouw data lekte is verplicht om transparant te zijn en mee te werken.
Recht op informatie
De organisatie moet je informeren over: welke gegevens zijn gelekt, wanneer het is gebeurd, wat de gevolgen kunnen zijn en welke maatregelen zijn genomen. Krijg je geen melding terwijl het waarschijnlijk is dat je gegevens zijn getroffen? Vraag het schriftelijk op.
Recht op inzage en verwijdering
Je mag opvragen welke gegevens over jou zijn opgeslagen en in veel gevallen om verwijdering vragen. Meer over je rechten lees je in onze gids over AVG-rechten uitgelegd.
Recht op schadevergoeding
Bij aantoonbare materiële of immateriële schade kun je een schadevergoeding eisen. Voor immateriële schade (stress, angst) zijn er inmiddels rechterlijke uitspraken die bedragen van enkele honderden euro's toekennen.
Klacht indienen bij de AP
Ben je ontevreden over hoe de organisatie heeft gereageerd? Dien een klacht in bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. De AP kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Voorkom verdere schade op lange termijn
Monitor je digitale identiteit
Na een datalek blijft het risico bestaan dat je gegevens jaren later worden misbruikt. Stel daarom doorlopende monitoring in:
- Abonneer je op meldingen van Have I Been Pwned
- Controleer maandelijks je bankafschriften
- Vraag eens per jaar gratis je BKR-overzicht op
- Gebruik Google Alerts voor je eigen naam
Verwijder je gegevens bij datahandelaren
Gelekte gegevens worden vaak doorverkocht aan datahandelaren. Deze partijen bouwen profielen op die weer kunnen worden gehackt. Lees onze gids over het verwijderen van je gegevens bij gegevensmakelaars om de cirkel te doorbreken.
Wees extra alert op phishing
Cybercriminelen weten na een datalek precies welke diensten je gebruikt. Verwacht gerichte phishing-mails die exact lijken op communicatie van je bank, webshop of energieleverancier. Controleer altijd:
- Het exacte e-mailadres van de afzender (niet alleen de naam)
- Of de link naar het officiële domein gaat (hover voor klikken)
- Of er druk wordt uitgeoefend ("binnen 24 uur reageren")
- Of er om gevoelige gegevens wordt gevraagd
Wil je veilig links delen of controleren waar een verkorte URL naartoe leidt? Diensten als Lunyb bieden URL-verkorting met preview-functies en klikstatistieken, waardoor je verdachte redirects sneller doorhebt.
Versterk je netwerkbeveiliging
Gebruik versleutelde DNS-resolvers (zoals Cloudflare 1.1.1.1 of Quad9), een privacyvriendelijke browser zoals Firefox of Brave, en houd je besturingssysteem en apps altijd up-to-date. Schakel automatische updates in waar mogelijk.
Voor bedrijven: wat te doen bij een datalek?
Ben je ondernemer en is er een datalek in jouw organisatie? De verplichtingen zijn streng:
- Binnen 72 uur melden bij de Autoriteit Persoonsgegevens
- Betrokkenen informeren als er een hoog risico is
- Documenteren in een intern datalekregister
- Forensisch onderzoek starten
- Maatregelen treffen om herhaling te voorkomen
Lees onze uitgebreide gids over gegevensbescherming voor bedrijven voor een complete aanpak.
De toekomst: AI en datalekken
In 2026 zien we steeds meer AI-gedreven aanvallen. Cybercriminelen gebruiken AI om gelekte data te combineren, deepfake-stemmen te maken en gepersonaliseerde phishing te schalen. Tegelijkertijd helpt AI ook bij detectie. Meer hierover lees je in onze analyse over AI en privacy in 2026.
Veelgestelde vragen
Hoe lang heeft een bedrijf om een datalek te melden?
Onder de AVG moet een organisatie een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens. Betrokkenen moeten "zonder onnodige vertraging" worden geïnformeerd als er een hoog risico is voor hun rechten en vrijheden.
Kan ik schadevergoeding krijgen na een datalek?
Ja, onder artikel 82 AVG heb je recht op vergoeding van zowel materiële als immateriële schade. Je moet wel aantonen dat er een causaal verband is tussen het datalek en de schade. Recente uitspraken kennen bedragen toe van 250 tot enkele duizenden euro's voor immateriële schade.
Wat is het verschil tussen een datalek en een hack?
Een hack is een specifieke vorm van cyberaanval waarbij iemand zich ongeoorloofd toegang verschaft tot een systeem. Een datalek is breder: het omvat elk incident waarbij persoonsgegevens bij onbevoegden terechtkomen, inclusief verloren USB-sticks, verkeerd verzonden e-mails of misconfigured cloud-opslag.
Hoe weet ik of mijn gegevens op het dark web staan?
Gebruik diensten als Have I Been Pwned (haveibeenpwned.com) om je e-mailadres en wachtwoorden te controleren. Veel wachtwoordmanagers en banken bieden ook ingebouwde dark web monitoring. Krijg je een melding, wijzig dan direct alle wachtwoorden bij betrokken diensten.
Moet ik aangifte doen bij de politie na een datalek?
Bij financiële schade of identiteitsfraude is aangifte sterk aan te raden, omdat je dit nodig hebt voor banken, verzekeraars en het Centraal Meldpunt Identiteitsfraude. Bij alleen een gelekt e-mailadres of wachtwoord is aangifte meestal niet zinvol, maar je kunt het wel melden bij Fraudehelpdesk.nl.
Conclusie
Een datalek is vervelend, maar zelden het einde van de wereld als je snel en gestructureerd handelt. Wijzig wachtwoorden, activeer 2FA, monitor je financiële situatie en maak gebruik van je AVG-rechten. Door alert te blijven op phishing en je digitale hygiëne op orde te houden, beperk je de langetermijngevolgen aanzienlijk. Bewaar deze gids, deel hem met familie en vrienden, en hopelijk hoef je hem nooit echt nodig te hebben.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
End-to-End Encryptie Uitgelegd: Complete Gids voor 2026
End-to-end encryptie (E2EE) zorgt ervoor dat alleen jij en de ontvanger jullie berichten kunnen lezen, zelfs niet de dienst zelf. In deze complete gids leggen we uit hoe E2EE werkt, welke apps het gebruiken en hoe je het optimaal benut voor je privacy.
Openbaar WiFi: Is het Veilig in 2026? Complete Risicogids
Openbaar WiFi gebruiken is niet meer zo gevaarlijk als vroeger, maar er zijn nog steeds reele risico's zoals Evil Twin-aanvallen en DNS-spoofing. In deze complete gids leer je welke gevaren echt zijn, welke overschat worden, en hoe je jezelf praktisch beschermt met 10 concrete tips.
Is Mijn Telefoon Gehackt? 10 Waarschuwingssignalen in 2026
Vermoed je dat je telefoon gehackt is? Ontdek de 10 belangrijkste waarschuwingssignalen, van snel leeglopende batterijen tot onbekende apps en verdachte accountactiviteit. Inclusief een stappenplan om je toestel direct te beveiligen.
Wachtwoordbeveiliging: De Ultieme Gids voor 2026
Sterke wachtwoorden zijn in 2026 de basis van digitale veiligheid. Deze ultieme gids legt uit hoe je wachtwoorden maakt, beheert en beschermt met wachtwoordmanagers, 2FA en passkeys. Inclusief praktisch stappenplan en bescherming tegen datalekken.