Datalek: Wat te Doen als Slachtoffer (Actieplan 2026)
Een datalek is geen zeldzaamheid meer, maar bijna een zekerheid. Van grote namen zoals RTL Nederland en de GGD tot kleinere webshops: miljoenen Nederlanders krijgen jaarlijks te maken met gelekte persoonsgegevens. De vraag is niet of je slachtoffer wordt, maar wat je doet als het gebeurt. In deze gids lees je exact welke stappen je moet nemen, in welke volgorde, en hoe je verdere schade voorkomt.
Wat is een datalek precies?
Een datalek is een beveiligingsincident waarbij persoonsgegevens ongewild toegankelijk worden voor onbevoegden. Dit kan gaan om namen, e-mailadressen, wachtwoorden, BSN-nummers, bankgegevens of medische informatie. Volgens de Autoriteit Persoonsgegevens (AP) moet elk datalek met risico voor betrokkenen binnen 72 uur worden gemeld door de verwerkingsverantwoordelijke.
Soorten datalekken
- Hacking en cyberaanvallen: criminelen breken binnen in systemen.
- Menselijke fouten: een e-mail naar de verkeerde ontvanger, verloren usb-stick of laptop.
- Insider threats: een medewerker die gegevens ontvreemdt.
- Onbeveiligde databases: cloudopslag zonder wachtwoord (helaas nog steeds gangbaar).
- Phishing: inloggegevens worden afhandig gemaakt via nepmails.
Hoe weet je dat je slachtoffer bent van een datalek?
Bedrijven zijn verplicht je te informeren als jouw gegevens betrokken zijn bij een lek met hoog risico. Toch komen veel mensen er pas achter via andere signalen. Let op deze indicatoren:
- Je ontvangt een officiële meldingsbrief of e-mail van een organisatie.
- Ongebruikelijke inlogpogingen of nieuwe apparaten in je accountoverzicht.
- Onverwachte betalingen op je bankrekening of creditcard.
- Sterke toename van phishing- en spammails op een specifiek adres.
- Een tweefactor-verificatiecode die je zelf niet hebt aangevraagd.
- Je e-mailadres verschijnt op controlediensten zoals Have I Been Pwned.
Onze uitgebreide gids over het controleren van gelekte wachtwoorden laat zien hoe je systematisch nakijkt of jouw data circuleert.
Direct actieplan: de eerste 24 uur
De eerste 24 uur zijn cruciaal. Cybercriminelen handelen snel: gestolen inloggegevens worden vaak binnen enkele uren geprobeerd op andere platforms (credential stuffing). Volg dit stappenplan.
Stap 1: Wijzig direct het getroffen wachtwoord
Log in op het betrokken account en verander het wachtwoord onmiddellijk. Kies een uniek, sterk wachtwoord van minimaal 16 tekens. Gebruik nooit hetzelfde wachtwoord opnieuw. Overweeg een wachtwoordmanager; lees onze gids over wachtwoordbeveiliging voor de beste opties.
Stap 2: Activeer tweefactorauthenticatie (2FA)
Als 2FA nog niet actief was, zet het direct aan. Gebruik bij voorkeur een authenticator-app (Authy, Google Authenticator) of hardware key (YubiKey) in plaats van sms, aangezien sms-codes onderschept kunnen worden via sim-swapping.
Stap 3: Controleer waar je hetzelfde wachtwoord gebruikte
Gebruikte je hetzelfde wachtwoord elders? Wijzig het overal. Criminelen testen gelekte combinaties automatisch op honderden diensten (Netflix, PayPal, Marktplaats, etc.).
Stap 4: Controleer accountactiviteit
Bekijk in je account de recente inloggeschiedenis, verzonden e-mails, wijzigingen aan herstelinformatie en gekoppelde apparaten. Log alle onbekende sessies uit.
Stap 5: Waarschuw je bank bij financiële gegevens
Zijn bankgegevens of betaalinformatie gelekt? Bel direct je bank (buiten kantooruren via de 24/7 fraudelijn). Laat kaarten blokkeren en vraag om nieuwe kaartnummers. Nederlandse banken hebben een fraudehelpdesk (bijvoorbeeld ING: 020-22 888 88, ABN AMRO: 0900-0024).
Wat te doen in de eerste week
Na de eerste noodmaatregelen volgen structurele stappen om je identiteit en gegevens verder te beschermen.
Meld het datalek bij de Autoriteit Persoonsgegevens
Als betrokkene kun je een klacht indienen bij de AP wanneer een organisatie je niet correct heeft geïnformeerd of nalatig is geweest. Dit kan via autoriteitpersoonsgegevens.nl. Voeg bewijs toe: de meldingsbrief, screenshots en correspondentie.
Doe aangifte bij de politie
Bij vermoeden van identiteitsfraude, financiële schade of afpersing doe je aangifte via politie.nl. Een proces-verbaal is vaak nodig voor verzekeraars en om schade te verhalen.
Meld identiteitsfraude bij het CMI
Het Centraal Meldpunt Identiteitsfraude (CMI) helpt slachtoffers van identiteitsfraude in Nederland. Zij begeleiden bij het herstellen van je identiteit en bij het contacteren van instanties.
Vraag een fraudemelding aan bij het BKR
Als je BSN of ID-documenten gelekt zijn, kun je bij het BKR een preventieve fraudemelding registreren. Kredietverstrekkers zien dan een waarschuwing en zullen extra verificatie doen bij nieuwe aanvragen.
Vervang je identiteitsdocumenten
Bij lekken van paspoort- of ID-kaartgegevens: laat het document ongeldig verklaren bij de gemeente en vraag een nieuwe aan. Meld ook bij het Rijksdienst voor Identiteitsgegevens dat je document mogelijk misbruikt kan worden.
Vergelijking: acties per type gelekte data
Niet elk datalek vereist dezelfde reactie. De onderstaande tabel geeft per type gelekte informatie de belangrijkste actie weer.
| Type gelekte data | Risico | Belangrijkste actie | Urgentie |
|---|---|---|---|
| E-mailadres | Phishing, spam | Filter instellen, waakzaam blijven | Laag |
| Wachtwoord (hashed) | Account takeover | Wachtwoord wijzigen, 2FA activeren | Hoog |
| Wachtwoord (plaintext) | Directe overname | Overal wijzigen, 2FA | Kritiek |
| Telefoonnummer | Smishing, sim-swap | PIN bij provider, oplettend zijn | Middel |
| BSN | Identiteitsfraude | CMI melden, BKR-fraudemelding | Kritiek |
| Bankgegevens | Financiële fraude | Bank bellen, kaart blokkeren | Kritiek |
| Paspoort/ID | Identiteitsfraude | Document ongeldig laten maken | Kritiek |
| Medische data | Chantage, discriminatie | AP-klacht, aangifte | Hoog |
| Adresgegevens | Stalking, inbraak | Waakzaam, PostNL-doorstuur | Middel |
Bescherm je online voetafdruk op de langere termijn
Na een datalek is het slim om je algehele digitale hygiëne te verbeteren. Cybercriminelen combineren vaak meerdere lekken tot volledige profielen die op darknet-markten worden verkocht.
Verwijder je gegevens bij gegevensmakelaars
Databrokers verzamelen en verkopen jouw persoonlijke gegevens. Onze gids over het verwijderen bij gegevensmakelaars beschrijft hoe je je uit deze databases laat halen, wat het risico op vervolgschade aanzienlijk verkleint.
Gebruik unieke e-mailaliassen
Diensten zoals SimpleLogin, Firefox Relay of Apple's Hide My Email genereren aliassen per website. Wordt een alias gelekt? Dan weet je precies welke dienst gehackt is en je kunt het adres deactiveren zonder je hoofdmail te wijzigen. Voor het delen van links met vertrouwde ontvangers kun je gebruikmaken van een privacyvriendelijke URL-verkorter zoals Lunyb, die geen persoonlijke tracking toevoegt.
Versleutel je DNS en verkeer
Activeer DNS-over-HTTPS (DoH) in je browser (Firefox, Chrome, Edge ondersteunen dit standaard) en gebruik encrypted DNS-providers zoals Cloudflare (1.1.1.1) of Quad9. Dit voorkomt dat providers of aanvallers zien welke sites je bezoekt.
Overweeg een creditwaarschuwing
Nederlandse consumenten kunnen bij BKR een preventieve registratie doen. In België is dit mogelijk via de Nationale Bank. Kredietverstrekkers moeten dan strengere identiteitscontroles uitvoeren.
Je juridische rechten onder de AVG
De Algemene Verordening Gegevensbescherming geeft slachtoffers van datalekken concrete rechten. Veel mensen weten niet dat ze materiële én immateriële schade kunnen verhalen.
Recht op informatie
Organisaties moeten je onverwijld informeren bij een lek met hoog risico. De melding moet duidelijk beschrijven welke gegevens betrokken zijn, welke gevolgen mogelijk zijn en welke maatregelen zijn genomen.
Recht op schadevergoeding
Artikel 82 AVG geeft je het recht op vergoeding van materiële schade (bijvoorbeeld gestolen bedragen) én immateriële schade (angst, stress, tijdverlies). Nederlandse rechters kennen bedragen toe tussen €250 en €2.500, afhankelijk van de aard van het lek. Massaclaims via stichtingen (zoals bij het GGD-lek) worden steeds gebruikelijker.
Recht op wissing ("recht om vergeten te worden")
Je kunt eisen dat je gegevens verwijderd worden bij de organisatie die het lek veroorzaakte, tenzij er wettelijke bewaartermijnen gelden.
Recht op klacht bij de AP
Als de organisatie niet adequaat reageert, dien je een klacht in bij de AP. De autoriteit kan boetes opleggen tot 4% van de jaaromzet of €20 miljoen.
Voor ondernemers: als jouw bedrijf het datalek veroorzaakte
Ben je zelf ondernemer en heb je een datalek in je bedrijf? Dan gelden strikte verplichtingen. Onze gids over cybersecurity voor kmo's en de gids over gegevensbescherming beschrijven de verplichtingen in detail.
- Meld het lek binnen 72 uur bij de AP.
- Informeer betrokkenen bij hoog risico.
- Documenteer het incident volledig (register van datalekken).
- Onderzoek de oorzaak en dicht kwetsbaarheden.
- Betrek juridische ondersteuning en communicatie-experts.
Veelgemaakte fouten na een datalek
Slachtoffers maken vaak dezelfde fouten die de schade vergroten. Vermijd deze:
- Alleen het wachtwoord wijzigen op het gelekte account: als je hetzelfde wachtwoord elders gebruikte, blijven die accounts kwetsbaar.
- Nietsdoen omdat "het maar een e-mailadres" was: e-mailadressen worden gecombineerd met andere data voor gerichte phishing.
- Klikken op de "controleer je account"-links in phishing-mails: criminelen sturen nepwaarschuwingen na echte lekken. Ga altijd rechtstreeks naar de website.
- Publiekelijk klagen zonder juridische stappen: social media-posts maken bewijs vaak minder krachtig; documenteer intern eerst.
- Vertrouwen op "gratis identiteitsbescherming" van de veroorzaker: lees de voorwaarden - soms teken je af van juridische claims.
Preventie: zo verklein je toekomstige schade
Voorkomen is beter dan genezen. Deze gewoontes minimaliseren de impact van toekomstige lekken:
- Gebruik een wachtwoordmanager met unieke wachtwoorden per site.
- Activeer 2FA overal waar mogelijk, bij voorkeur via een app of hardware key.
- Gebruik e-mailaliassen per dienst.
- Deel BSN alleen wanneer wettelijk verplicht (belasting, zorg, overheid).
- Controleer maandelijks je bank- en creditcardafschriften.
- Abonneer je op waarschuwingsdiensten (Have I Been Pwned, Firefox Monitor).
- Beperk wat je op sociale media deelt (geboortedata, adressen, huisdiernamen die als beveiligingsvragen worden gebruikt).
- Update systemen en apps consistent.
FAQ: veelgestelde vragen over datalekken
Hoe lang duurt het voordat gelekte data op het darknet verschijnt?
Vaak binnen enkele uren tot dagen. Sommige datasets worden eerst privé verhandeld en pas maanden later publiek. Daarom is snel handelen essentieel, zelfs als je nog geen concreet misbruik ziet.
Kan ik schadevergoeding krijgen voor immateriële schade?
Ja. Nederlandse rechters kennen vergoedingen toe voor stress, verlies van controle over persoonsgegevens en tijdverlies. Bedragen variëren van enkele honderden tot enkele duizenden euro's. Bewijs (medische verklaringen, correspondentie) versterkt je claim.
Moet ik altijd aangifte doen bij de politie?
Niet altijd, maar wel bij financiële schade, identiteitsfraude, chantage of stalking. Voor "puur" gelekte e-mailadressen is een AP-klacht meestal voldoende. Bij twijfel: doe aangifte - het proces-verbaal is later moeilijk achteraf te verkrijgen.
Wat als de organisatie mij niet informeert over een datalek?
Dan overtreedt de organisatie mogelijk artikel 34 AVG. Dien een klacht in bij de AP en verzamel bewijs (bijvoorbeeld artikelen in media over het lek). De AP kan onderzoek instellen en boetes opleggen.
Helpt het om mijn e-mailadres te wijzigen na een datalek?
Zelden nodig. Beter is om een aliassysteem te gebruiken en spamfilters te versterken. Wijzig je hoofdadres alleen als je bedreigd of ernstig lastiggevallen wordt. Voor toekomstige registraties: gebruik altijd unieke aliassen.
Conclusie
Een datalek is stressvol, maar de schade blijft beheersbaar als je snel en gestructureerd handelt. Wijzig direct wachtwoorden, activeer 2FA, waarschuw je bank bij financiële gegevens, en documenteer alles voor eventuele juridische stappen. Op de langere termijn beschermt goede digitale hygiëne - unieke wachtwoorden, aliassen, minimale gegevensdeling - je tegen de gevolgen van toekomstige lekken. Data die nooit is gedeeld, kan niet lekken.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Wachtwoordbeveiliging: De Ultieme Gids voor 2026
De complete gids voor wachtwoordbeveiliging in 2026: leer hoe je sterke wachtwoorden maakt, waarom wachtwoordmanagers essentieel zijn, en hoe je met 2FA en passkeys je accounts optimaal beschermt tegen datalekken en phishing.
Cybersecurity voor Belgische KMO's: Complete Gids 2026
Belgische KMO's zijn in 2026 het favoriete doelwit van cybercriminelen. Deze gids toont welke bedreigingen relevant zijn, wat AVG en NIS2 verplichten, en welke concrete maatregelen je in 90 dagen kan nemen om je onderneming te beveiligen zonder je budget te laten ontsporen.
Is Mijn Telefoon Gehackt? 10 Waarschuwingssignalen (2026)
Vermoed je dat je telefoon gehackt is? In deze uitgebreide gids ontdek je de 10 belangrijkste waarschuwingssignalen, van snelle batterij-uitputting tot onbekende apps. We leggen uit wat je direct moet doen en hoe je herhaling voorkomt.
Phishing Herkennen en Voorkomen: Complete Gids voor 2026
Phishing wordt steeds geavanceerder door AI en deepfakes. In deze complete gids leer je hoe je phishing herkent via e-mail, SMS en telefoon, welke stappen je moet nemen als je slachtoffer bent, en hoe je jezelf en je gezin effectief beschermt in 2026.