Datalek: Wat te Doen als Slachtoffer (Complete Gids 2026)
Een datalek treft jaarlijks miljoenen Nederlanders. Of het nu gaat om je e-mailadres dat is uitgelekt bij een grote webwinkel, je medische gegevens bij een zorginstelling of je inloggegevens via een phishing-aanval: de gevolgen kunnen ingrijpend zijn. In deze gids leer je precies wat je moet doen als je slachtoffer bent van een datalek, hoe je verdere schade voorkomt en welke rechten je hebt onder de AVG.
Wat is een datalek precies?
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens onbedoeld worden ingezien, gewijzigd, verloren of vrijgegeven aan onbevoegden. Volgens de Autoriteit Persoonsgegevens (AP) valt hieronder niet alleen hacking, maar ook een verloren USB-stick, een verkeerd verzonden e-mail of een gestolen laptop met klantgegevens.
Datalekken vallen onder de AVG (Algemene Verordening Gegevensbescherming) en organisaties zijn verplicht ernstige lekken binnen 72 uur te melden bij de AP. Wil je meer weten over je rechten onder deze wet? Lees dan onze gids over de AVG uitgelegd in gewone taal.
Veelvoorkomende soorten datalekken
- Hackaanvallen: cybercriminelen breken in op systemen van bedrijven
- Phishing: medewerkers of consumenten geven onbedoeld gegevens prijs
- Menselijke fouten: verkeerd geadresseerde e-mails of verloren apparaten
- Insider threats: medewerkers misbruiken hun toegang
- Ransomware: gegevens worden versleuteld en/of buitgemaakt
Hoe weet je dat je slachtoffer bent van een datalek?
Soms ontvang je een directe brief of e-mail van een organisatie. Vaker kom je er pas later achter via nieuwsberichten of vreemde activiteit op je accounts. Let op deze signalen:
- Je ontvangt een officiele notificatie van een bedrijf of instantie
- Je krijgt plotseling veel phishing-e-mails of verdachte SMS-berichten
- Onbekende inlogpogingen verschijnen in je accountmeldingen
- Er staan onverklaarbare transacties op je bankrekening
- Vrienden ontvangen vreemde berichten vanuit jouw naam
- Diensten zoals Have I Been Pwned tonen je e-mailadres in een lek
Datalek: wat te doen in 7 stappen
Snel handelen is cruciaal. Hieronder vind je een gestructureerd stappenplan dat je direct kunt volgen wanneer je vermoedt of weet dat je gegevens zijn gelekt.
Stap 1: Wijzig direct je wachtwoorden
Begin met het account dat is gelekt en verander vervolgens wachtwoorden van alle accounts waar je hetzelfde of een vergelijkbaar wachtwoord gebruikte. Gebruik een wachtwoordmanager (zoals Bitwarden, 1Password of KeePass) om unieke, sterke wachtwoorden van minimaal 16 tekens te genereren.
Stap 2: Activeer tweestapsverificatie (2FA)
Tweestapsverificatie voegt een extra beveiligingslaag toe. Zelfs als criminelen je wachtwoord hebben, kunnen ze niet inloggen zonder de tweede code. Gebruik bij voorkeur een authenticator-app (zoals Aegis of Authy) of een hardware-sleutel (YubiKey) in plaats van SMS, dat kwetsbaar is voor SIM-swap aanvallen.
Stap 3: Controleer welke gegevens precies zijn gelekt
De vervolgstappen hangen af van het type gelekte data. Vraag de organisatie expliciet welke categorieen persoonsgegevens betrokken zijn. Mogelijke gevolgen per type:
| Type gegevens | Risico | Actie |
|---|---|---|
| E-mailadres | Spam, phishing | Spamfilter scherp instellen, alert blijven |
| Wachtwoord | Accountovername | Direct wijzigen op alle sites |
| Telefoonnummer | Smishing, SIM-swap | Banken waarschuwen, 2FA via app |
| BSN | Identiteitsfraude | Melden bij CMI, monitoren |
| Bankgegevens | Financiele fraude | Bank bellen, rekening blokkeren |
| Kopie ID | Identiteitsfraude | Aangifte politie + CMI |
| Medische data | Chantage, discriminatie | Klacht AP, juridisch advies |
Stap 4: Wees extra alert op phishing
Na een datalek volgt vaak een golf van gerichte phishing-aanvallen. Criminelen gebruiken de gelekte informatie om geloofwaardige berichten te sturen die lijken te komen van je bank, de Belastingdienst of bezorgdiensten. Leer in onze gids over phishing herkennen en voorkomen hoe je deze aanvallen detecteert.
Stap 5: Monitor je bankrekening en BKR
Controleer minimaal de eerste drie maanden dagelijks je bankafschriften. Stel pushmeldingen in voor elke transactie. Bij vermoeden van identiteitsfraude kun je gratis een BKR-toetsing aanvragen om te zien of er kredieten op jouw naam zijn afgesloten.
Stap 6: Meld het bij de juiste instanties
Afhankelijk van de ernst meld je het lek bij verschillende instanties:
- Autoriteit Persoonsgegevens (AP): klacht indienen als de organisatie nalatig is geweest
- Centraal Meldpunt Identiteitsfraude (CMI): bij gestolen identiteitsdocumenten
- Politie: aangifte doen bij financiele schade of identiteitsfraude
- Fraudehelpdesk: voor advies en signalering
- Je bank: bij gelekte financiele gegevens
Stap 7: Beperk je digitale voetafdruk
Hoe minder gegevens er over je circuleren, hoe kleiner de impact van toekomstige lekken. Overweeg om je gegevens te laten verwijderen bij datahandelaren. Bekijk hiervoor onze gids over je gegevens verwijderen bij gegevensmakelaars.
Je rechten onder de AVG bij een datalek
De AVG geeft je als slachtoffer concrete rechten. Organisaties moeten transparant zijn en kunnen aansprakelijk gesteld worden voor geleden schade.
Recht op informatie
Bij een datalek met hoog risico voor jouw rechten en vrijheden moet de organisatie je onverwijld informeren. De melding moet in heldere taal beschrijven:
- Wat er is gebeurd en wanneer
- Welke persoonsgegevens betrokken zijn
- Welke gevolgen dit kan hebben
- Welke maatregelen de organisatie heeft genomen
- Contactgegevens van de Functionaris Gegevensbescherming (FG)
Recht op schadevergoeding
Onder artikel 82 AVG heb je recht op vergoeding van zowel materiele schade (bijvoorbeeld gestolen geld) als immateriele schade (stress, angst, reputatieschade). Rechters in Nederland kennen bedragen tussen 250 en enkele duizenden euro's toe, afhankelijk van de ernst.
Recht op verwijdering
Je kunt eisen dat de organisatie je gegevens verwijdert ("recht op vergetelheid"), tenzij er een wettelijke bewaarplicht geldt.
Hoe voorkom je toekomstige schade na een datalek?
Eenmaal gelekte gegevens kun je niet meer terughalen. Wel kun je het misbruik ervan structureel bemoeilijken door je digitale hygiene te verbeteren.
Gebruik een wachtwoordmanager
Een wachtwoordmanager genereert en bewaart unieke wachtwoorden voor elk account. Zo voorkom je dat een lek bij een willekeurige website ook toegang geeft tot je e-mail of bankzaken.
Beperk welke gegevens je deelt
Vul bij online formulieren alleen verplichte velden in. Gebruik wegwerp-e-mailadressen voor minder belangrijke registraties en deel je telefoonnummer niet onnodig. Voor het delen van links zonder je echte URL prijs te geven, kun je een privacyvriendelijke URL-verkorter zoals Lunyb gebruiken, die geen onnodige tracking toepast.
Kies privacyvriendelijke tools
Browsers, zoekmachines en e-mailproviders verschillen enorm in hoeveel data ze verzamelen. Een privacyvriendelijke browser blokkeert trackers standaard. Bekijk onze vergelijking van de beste privacyvriendelijke browsers van 2026 voor concrete aanbevelingen.
Versleutelde DNS en netwerkbeveiliging
Activeer DNS-over-HTTPS (DoH) in je browser of besturingssysteem. Dit voorkomt dat je internetprovider en netwerkbeheerders meelezen welke websites je bezoekt. Providers zoals Cloudflare (1.1.1.1), Quad9 en NextDNS bieden gratis privacyvriendelijke DNS-diensten.
Wanneer dien je een klacht in bij de Autoriteit Persoonsgegevens?
Je kunt altijd een klacht indienen bij de AP als je vindt dat een organisatie onzorgvuldig met je gegevens is omgegaan. Concrete situaties waarin een klacht zinvol is:
- De organisatie heeft het lek niet binnen 72 uur gemeld
- Je bent als betrokkene niet of te laat geinformeerd
- De beveiliging was aantoonbaar onvoldoende
- De organisatie weigert je vragen te beantwoorden
- Je verzoek tot inzage of verwijdering wordt genegeerd
De AP kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Daarnaast kan een handhavingsklacht leiden tot strengere beveiligingseisen voor de organisatie.
Veelgemaakte fouten na een datalek
Veel slachtoffers reageren verkeerd uit paniek of onwetendheid. Vermijd deze valkuilen:
Klik niet op links in waarschuwingsmails
Criminelen sturen na een bekend datalek vaak nep-meldingen die lijken op officiele communicatie. Ga altijd direct naar de website van de organisatie via je browser, nooit via een link in een e-mail.
Betaal nooit voor "oplossingen"
Bedrijven die tegen betaling beloven je gegevens van het dark web te verwijderen, kunnen dat technisch niet. Eenmaal gelekte data is niet meer terug te halen. Trap niet in deze afpersing of oplichting.
Wacht niet af
Hoe sneller je handelt, hoe kleiner de schade. Wachten op meer informatie van de organisatie kost waardevolle tijd waarin criminelen al actief kunnen zijn met je gegevens.
Praktisch voorbeeld: stappenplan in actie
Stel: je ontvangt een brief van je webwinkel dat door een hack je e-mailadres, wachtwoord (gehasht) en bestelgeschiedenis zijn gelekt. Wat doe je?
- Dag 1: Wachtwoord wijzigen bij webwinkel + alle andere sites met hetzelfde wachtwoord
- Dag 1: 2FA activeren op e-mail, bank en sociale media
- Dag 2: Spamfilters aanscherpen, alert op phishing
- Week 1: Bankafschriften extra goed controleren
- Week 1: Have I Been Pwned alerts instellen
- Maand 1: Eventueel klacht bij AP als organisatie nalatig was
- Doorlopend: Wachtwoordmanager gaan gebruiken
FAQ: Veelgestelde vragen over datalekken
Hoe lang heeft een organisatie om een datalek te melden?
Onder de AVG moeten organisaties een datalek met risico voor betrokkenen binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Bij hoog risico moeten ook de getroffen personen onverwijld worden geinformeerd. Houdt de organisatie zich hier niet aan, dan kun je een klacht indienen.
Kan ik schadevergoeding eisen na een datalek?
Ja, artikel 82 van de AVG geeft je recht op vergoeding van materiele en immateriele schade. Je moet wel kunnen aantonen dat je daadwerkelijk nadeel hebt ondervonden, zoals stress, financiele schade of identiteitsfraude. Nederlandse rechters kennen doorgaans bedragen tussen 250 en enkele duizenden euro's toe.
Wat doe ik als mijn BSN is gelekt?
Een gelekt BSN is ernstig omdat het identiteitsfraude mogelijk maakt. Meld dit direct bij het Centraal Meldpunt Identiteitsfraude (CMI), informeer je bank en de Belastingdienst, en doe aangifte bij de politie. Vraag regelmatig een BKR-overzicht op om te controleren of er geen leningen op jouw naam worden afgesloten.
Hoe controleer ik of mijn gegevens eerder zijn gelekt?
Gebruik haveibeenpwned.com om je e-mailadres en telefoonnummer te controleren tegen bekende datalekken. Veel wachtwoordmanagers, zoals Bitwarden en 1Password, hebben deze functie ingebouwd en waarschuwen je automatisch bij nieuwe lekken waarin je gegevens voorkomen.
Moet ik mijn e-mailadres veranderen na een datalek?
Meestal niet. Een nieuw e-mailadres is praktisch onhandig en lost het probleem niet structureel op. Beter is om alert te zijn op phishing, sterke spamfilters in te stellen en eventueel aliassen te gebruiken (zoals via SimpleLogin of AnonAddy) voor toekomstige registraties, zodat je per dienst een uniek adres hebt dat je kunt uitschakelen bij misbruik.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Phishing Herkennen en Voorkomen: Complete Gids (2026)
Phishing is de meest voorkomende vorm van internetfraude in Nederland en België. In deze gids leer je phishing herkennen aan 10 concrete signalen, voorkomen met 12 maatregelen, en weet je precies wat te doen als je toch geklikt hebt.
Openbaar WiFi: Is het Veilig in 2026? Complete Gids
Is openbaar WiFi veilig? In deze complete gids leggen we de echte risico's uit, van Man-in-the-Middle aanvallen tot Evil Twin hotspots. Inclusief 10 praktische tips en een duidelijke vergelijking met mobiele data zodat je weloverwogen keuzes maakt.
End-to-End Encryptie Uitgelegd: Complete Gids voor 2026
End-to-end encryptie beschermt je berichten zodat alleen jij en de ontvanger ze kunnen lezen. Deze gids legt uit hoe E2EE technisch werkt, welke apps het gebruiken, en wat de grenzen zijn. Plus: praktische tips om je communicatie maximaal te beveiligen in 2026.
Cybersecurity voor Belgische KMO's: Complete Gids 2026
Belgische KMO's zijn een geliefd doelwit voor cybercriminelen. Deze complete gids biedt een praktisch stappenplan met de 10 essentiële beveiligingsmaatregelen, wettelijke verplichtingen onder AVG en NIS2, en een 90-dagenplan om je bedrijf weerbaar te maken tegen moderne cyberdreigingen.