Datalek: Wat te Doen als Slachtoffer (Stappenplan 2026)
Een datalek treft jaarlijks miljoenen Nederlanders. Of het nu gaat om gelekte wachtwoorden, uitgelekte bankgegevens of gestolen identiteitsgegevens: de gevolgen kunnen ingrijpend zijn. In deze gids lees je precies wat je moet doen als je slachtoffer bent geworden van een datalek, hoe je verdere schade voorkomt en welke rechten je hebt onder de AVG.
Wat is een datalek precies?
Een datalek is elke situatie waarin persoonsgegevens onbedoeld worden blootgesteld, gestolen, gewijzigd of vernietigd. Dit kan gaan om een hack van een bedrijf, een verloren laptop, een verkeerd geadresseerde e-mail of een lek bij een derde partij waarmee jouw gegevens worden gedeeld.
Volgens de Autoriteit Persoonsgegevens (AP) zijn er drie hoofdcategorieën:
- Vertrouwelijkheidsincident: gegevens komen in handen van onbevoegden.
- Integriteitsincident: gegevens worden ongeautoriseerd gewijzigd.
- Beschikbaarheidsincident: gegevens raken kwijt of zijn niet meer toegankelijk.
Hoe weet je dat je slachtoffer bent van een datalek?
Vaak ontvang je een officiële melding van het betrokken bedrijf, maar dat is niet altijd het geval. Let op deze signalen:
- Een e-mail of brief van een organisatie die meldt dat jouw gegevens betrokken zijn.
- Onverklaarbare inlogpogingen of meldingen van nieuwe apparaten op je accounts.
- Vreemde transacties op je bank- of creditcardafschrift.
- Plotseling veel meer phishing-e-mails of spam dan normaal.
- Meldingen via diensten zoals Have I Been Pwned dat je e-mailadres in een lek staat.
- Een belastingaanslag of incassobrief die je niet verwacht.
Stappenplan: wat te doen direct na een datalek
Snel handelen beperkt de schade. Volg deze stappen in volgorde van prioriteit.
Stap 1: Verifieer de melding
Controleer eerst of de melding echt is. Oplichters sturen vaak nep-datalekmeldingen om je naar phishing-pagina's te lokken. Ga rechtstreeks naar de website van de organisatie via je browser (niet via de link in de e-mail) en log daar in om de melding te bevestigen. Lees onze gids over phishing herkennen en voorkomen voor extra controle.
Stap 2: Wijzig direct je wachtwoorden
- Begin met het account van de getroffen dienst.
- Wijzig daarna wachtwoorden van alle accounts waar je hetzelfde of een vergelijkbaar wachtwoord gebruikte.
- Geef prioriteit aan je e-mail, bankzaken en cloudopslag.
- Gebruik een wachtwoordmanager om unieke, sterke wachtwoorden te genereren.
Stap 3: Schakel tweefactorauthenticatie (2FA) in
Activeer 2FA op alle belangrijke accounts. Gebruik bij voorkeur een authenticator-app (zoals Aegis of Authy) in plaats van sms, omdat sms gevoelig is voor SIM-swap-aanvallen.
Stap 4: Controleer je financiële rekeningen
Bekijk je bankafschriften en creditcardoverzichten van de afgelopen weken. Stel notificaties in voor elke transactie. Bij verdachte boekingen bel je direct je bank en blokkeer je je kaart.
Stap 5: Informeer je bank en eventueel de Fraudehelpdesk
Als bankgegevens, BSN of identiteitsdocumenten zijn gelekt, neem dan contact op met de Fraudehelpdesk (0800-2117) en je bank. Bij gelekte BSN-gegevens kun je ook contact opnemen met de gemeente.
Stap 6: Doe aangifte bij de politie
Bij identiteitsfraude, oplichting of financiële schade is aangifte essentieel. Je hebt een aangifte vaak nodig om kosten te verhalen of een geblokkeerde rekening te deblokkeren.
Wat te doen op de langere termijn
Na de eerste paniek volgt een fase waarin je structureel moet beschermen tegen vervolgschade.
Monitor je identiteit
- Vraag jaarlijks gratis een BKR-overzicht aan om onbekende leningen op te sporen.
- Controleer regelmatig je DigiD-loginhistorie via mijn.digid.nl.
- Gebruik diensten zoals Have I Been Pwned voor automatische meldingen van nieuwe lekken.
Verminder je digitale voetafdruk
Hoe minder gegevens er over jou online staan, hoe minder een aanvaller bij een toekomstig lek kan misbruiken. Volg ons stappenplan om je gegevens te verwijderen bij gegevensmakelaars.
Beveilig je dagelijkse internetgebruik
Gebruik versleutelde DNS (zoals DNS over HTTPS), een privacyvriendelijke browser zoals Firefox of Brave, en wees terughoudend met het delen van gegevens via openbare formulieren. Wanneer je links deelt of ontvangt, kun je via Lunyb verkorte URL's analyseren en veilig delen zonder je echte bestemming bloot te geven aan trackers.
Je rechten onder de AVG na een datalek
De Algemene Verordening Gegevensbescherming (AVG) geeft je sterke rechten zodra een organisatie jouw gegevens heeft laten lekken.
Recht op informatie
De verwerkingsverantwoordelijke moet je zonder onredelijke vertraging informeren als het lek een hoog risico voor jouw rechten en vrijheden vormt. De melding moet bevatten:
- Aard van het datalek.
- Welke categorieën gegevens betrokken zijn.
- Mogelijke gevolgen voor jou.
- Welke maatregelen zijn genomen.
- Contactgegevens van de Functionaris voor Gegevensbescherming (FG).
Recht op inzage en verwijdering
Je kunt opvragen welke gegevens een organisatie van jou heeft en vragen om verwijdering. Meer over alle rechten lees je in onze gids AVG: Je Rechten Uitgelegd.
Recht op schadevergoeding
Heb je aantoonbare schade geleden, zowel materieel (financieel verlies) als immaterieel (stress, reputatieschade)? Dan kun je schadevergoeding eisen op grond van artikel 82 AVG. Documenteer alles: e-mails, transacties, gemaakte uren.
Klacht indienen bij de Autoriteit Persoonsgegevens
Reageert de organisatie niet of onvoldoende? Dien een klacht in bij de AP via autoriteitpersoonsgegevens.nl. De AP kan onderzoek doen en boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Type datalek en bijbehorende actie
Niet elk lek vraagt om dezelfde reactie. Gebruik onderstaande tabel als snelle referentie.
| Type gegevens gelekt | Risiconiveau | Belangrijkste actie |
|---|---|---|
| Alleen e-mailadres | Laag | Let op phishing, overweeg alias-e-mailadressen |
| E-mail + wachtwoord | Middel | Wachtwoorden wijzigen, 2FA activeren |
| Naam, adres, telefoon | Middel | Verhoogde alertheid op social engineering |
| Bankgegevens / IBAN | Hoog | Bank informeren, transacties monitoren |
| BSN of ID-kopie | Zeer hoog | Fraudehelpdesk, politie, gemeente inschakelen |
| Medische gegevens | Zeer hoog | Zorgaanbieder informeren, klacht bij AP |
Veelgemaakte fouten na een datalek
Slachtoffers maken vaak dezelfde fouten waardoor de schade groter wordt dan nodig.
- Niets doen omdat "het wel mee zal vallen": zelfs een klein lek kan jaren later opduiken in gerichte aanvallen.
- Op links klikken in waarschuwingsmails: oplichters profiteren actief van datalekken met nep-meldingen.
- Hetzelfde wachtwoord opnieuw gebruiken: gelekte wachtwoorden eindigen vrijwel altijd in credential-stuffing-aanvallen.
- Niet documenteren: zonder bewijs is schadevergoeding lastig te claimen.
- Te lang wachten met aangifte: hoe later je actie onderneemt, hoe moeilijker fraude terug te draaien is.
Datalek voorkomen in de toekomst
Volledig voorkomen kan niet, maar je kunt het risico en de impact aanzienlijk verkleinen.
- Gebruik een wachtwoordmanager met unieke wachtwoorden per dienst.
- Activeer 2FA waar mogelijk, bij voorkeur via een authenticator-app of hardware-sleutel.
- Gebruik wegwerp- of alias-e-mailadressen voor niet-essentiële diensten.
- Houd software, browser en besturingssysteem altijd up-to-date.
- Deel zo min mogelijk gegevens; vraag jezelf altijd af of een veld echt nodig is.
- Versleutel gevoelige bestanden en back-ups.
- Wees alert op phishing en oefen je herkenningsvermogen regelmatig.
Werk je voor een organisatie? Bekijk dan onze uitgebreide gids over gegevensbescherming voor bedrijven en zorg dat je intern proces op orde is.
Veelgestelde vragen (FAQ)
Hoe snel moet een organisatie mij informeren bij een datalek?
De AVG schrijft voor dat een organisatie betrokkenen "zonder onredelijke vertraging" moet informeren wanneer het lek waarschijnlijk een hoog risico voor jouw rechten en vrijheden inhoudt. In de praktijk betekent dit binnen enkele dagen na ontdekking. De Autoriteit Persoonsgegevens zelf moet binnen 72 uur worden geïnformeerd.
Kan ik schadevergoeding krijgen na een datalek?
Ja, op grond van artikel 82 AVG heb je recht op vergoeding van materiële én immateriële schade. Je moet aantonen dat er schade is geleden en dat deze het gevolg is van het lek. Bewaar daarom alle documentatie, screenshots en correspondentie zorgvuldig.
Wat als mijn BSN is gelekt?
Een gelekt BSN is ernstig omdat het identiteitsfraude mogelijk maakt. Neem direct contact op met de Fraudehelpdesk (0800-2117), informeer je gemeente, doe aangifte bij de politie en monitor je BKR-registratie. Een BSN kan niet zomaar gewijzigd worden, maar de gemeente kan in uitzonderlijke gevallen een nieuw nummer toekennen.
Moet ik mijn werkgever informeren als mijn werk-account is gelekt?
Ja, meld dit zo snel mogelijk bij je leidinggevende en de IT- of beveiligingsafdeling. Werkgevers zijn wettelijk verplicht een intern datalekregister bij te houden en moeten beoordelen of melding aan de AP en aan klanten nodig is. Snel handelen voorkomt verdere verspreiding binnen het bedrijfsnetwerk.
Hoe controleer ik of mijn e-mailadres in een datalek voorkomt?
Gebruik diensten zoals Have I Been Pwned (haveibeenpwned.com) of de notificatieservice van je wachtwoordmanager. Je kunt je e-mailadres invoeren en zien in welke bekende lekken het is opgedoken. Schakel automatische meldingen in zodat je direct op de hoogte bent van nieuwe lekken.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Phishing Herkennen en Voorkomen: Complete Gids voor 2026
Phishing is in 2026 nog steeds de meest voorkomende vorm van online oplichting. In deze complete gids leer je phishing herkennen via 10 waarschuwingssignalen, ontdek je 12 praktische beschermingsmaatregelen en lees je wat te doen als je slachtoffer wordt.
Is Mijn Telefoon Gehackt? 10 Waarschuwingssignalen om Direct te Herkennen (2026)
Een gehackte telefoon laat vrijwel altijd sporen achter, van een snel leeglopende batterij tot vreemde apps en onverklaarbare datapieken. In dit artikel ontdek je de 10 belangrijkste waarschuwingssignalen en wat je direct kunt doen om de controle terug te nemen.
Wat Google Over Jou Weet: De Complete Gids om Jouw Data te Onthullen (2026)
Google verzamelt enorme hoeveelheden data over zijn gebruikers — van zoekopdrachten tot locaties. In deze gids ontdek je precies wat Google over jou weet, hoe je deze data inziet en verwijdert, en hoe je je privacy beter beschermt onder de AVG.
Cybersecurity voor Belgische KMO's: Complete Gids 2026
Belgische KMO's zijn een hoofddoelwit voor cybercriminelen. Deze gids legt uit welke maatregelen, NIS2-verplichtingen en budgetten je nodig hebt in 2026. Inclusief concrete tips, kostentabellen en een incident response stappenplan.