Datalek: Wat te Doen als Slachtoffer? Complete Actiegids 2026
Een datalek kan iedereen overkomen. Of je nu een e-mail krijgt van een webshop waar je ooit hebt gewinkeld, of via de media hoort dat jouw zorgverzekeraar is gehackt, het gevolg is hetzelfde: jouw persoonsgegevens zijn op straat komen te liggen. In dit artikel lees je precies wat je moet doen als slachtoffer van een datalek, welke rechten je hebt onder de AVG en hoe je verdere schade voorkomt.
Wat is een datalek precies?
Een datalek is elke inbreuk op de beveiliging waarbij persoonsgegevens verloren gaan, ongeoorloofd worden gewijzigd, vernietigd of toegankelijk worden voor onbevoegden. Dat klinkt technisch, maar in de praktijk betekent het simpelweg dat jouw gegevens — naam, e-mailadres, wachtwoord, BSN, betaalgegevens — in verkeerde handen zijn gekomen.
Datalekken ontstaan op verschillende manieren:
- Cyberaanvallen: hackers breken in op servers van bedrijven of overheidsinstanties.
- Menselijke fouten: een medewerker stuurt per ongeluk een Excel-bestand met klantgegevens naar de verkeerde ontvanger.
- Verloren of gestolen apparatuur: een laptop of USB-stick met onversleutelde data raakt zoek.
- Phishing en ransomware: via misleidende e-mails krijgen criminelen toegang tot systemen.
In Nederland worden er jaarlijks meer dan 25.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Dat aantal stijgt elk jaar, en de echte cijfers liggen waarschijnlijk nog hoger omdat niet elk lek wordt opgemerkt.
Hoe weet je dat je slachtoffer bent van een datalek?
Er zijn meerdere manieren waarop je erachter kunt komen dat jouw gegevens zijn gelekt:
1. Een meldingsbrief of e-mail van de organisatie
Bedrijven en instanties zijn onder de AVG verplicht om jou als betrokkene te informeren als er een datalek heeft plaatsgevonden dat een hoog risico vormt voor jouw rechten en vrijheden. Je ontvangt dan meestal een brief of e-mail waarin staat welke gegevens zijn gelekt en wat je kunt doen.
2. Via Have I Been Pwned
De website haveibeenpwned.com is een gratis dienst waar je jouw e-mailadres kunt invoeren om te zien of het voorkomt in bekende datalekken. Zeer aan te raden om regelmatig te controleren.
3. Verdachte activiteit op je accounts
Plotseling vreemde inlogpogingen, onbekende aankopen op je creditcard of e-mails over wachtwoordresets die jij niet hebt aangevraagd — dit zijn allemaal signalen dat iemand mogelijk toegang heeft tot je gegevens.
4. Via het nieuws
Grote datalekken halen vaak de pers. Hoor je dat een organisatie waar jij klant bent is gehackt? Ga er dan vanuit dat ook jouw gegevens betrokken kunnen zijn.
Datalek: wat te doen? De eerste 24 uur
De eerste 24 uur na het ontdekken van een datalek zijn cruciaal om verdere schade te voorkomen. Volg deze stappen in volgorde:
- Wijzig direct je wachtwoord van het getroffen account, en van alle andere accounts waar je hetzelfde wachtwoord gebruikt. Gebruik voor elk account een uniek, sterk wachtwoord. Lees onze ultieme gids voor wachtwoordbeveiliging voor concrete tips.
- Activeer tweestapsverificatie (2FA) op alle belangrijke accounts: e-mail, bank, sociale media, cloudopslag.
- Controleer je bankrekeningen en creditcards op verdachte transacties. Neem direct contact op met je bank bij ongeoorloofde afschrijvingen.
- Blokkeer indien nodig je betaalpas of creditcard en laat een nieuwe aanvragen.
- Bewaar bewijs: maak screenshots van de meldingsbrief, verdachte e-mails of activiteit. Dit heb je later mogelijk nodig.
Wat te doen op de lange termijn?
Na de eerste maatregelen volgt een fase waarin je proactief moet blijven. Datalekken hebben vaak een lange staart: gestolen gegevens worden soms pas maanden of jaren later misbruikt op het dark web.
Monitor je identiteit
Houd de komende maanden extra goed in de gaten of er iets verdachts gebeurt. Let op:
- Brieven van incassobureaus voor schulden die je niet hebt gemaakt
- Onbekende abonnementen of contracten op jouw naam
- Phishingmails die persoonlijke informatie bevatten (die hebben criminelen vaak uit datalekken)
- Belastingaanslagen die niet kloppen
Wees alert op phishing
Na een datalek nemen phishingpogingen vaak toe. Criminelen weten dat je nerveus bent en proberen je te verleiden tot het klikken op een 'beveiligingslink'. Leer hoe je dit herkent in onze gids over phishing herkennen en voorkomen.
Overweeg een fraudemelding bij BKR
Bij identiteitsdiefstal kun je een fraudemelding laten registreren bij het BKR (Bureau Krediet Registratie). Hierdoor worden kredietaanvragen op jouw naam extra gecontroleerd.
Je rechten als slachtoffer onder de AVG
De Algemene Verordening Gegevensbescherming (AVG) geeft jou als betrokkene sterke rechten wanneer jouw gegevens zijn gelekt. Veel mensen weten niet welke rechten ze hebben — terwijl ze juridisch goed gepositioneerd zijn.
Recht op informatie
De organisatie moet jou tijdig en in duidelijke taal informeren over: welke gegevens zijn gelekt, wat de mogelijke gevolgen zijn, welke maatregelen zijn genomen en welke stappen jij kunt zetten.
Recht op inzage en verwijdering
Je hebt het recht om te weten welke gegevens een organisatie van jou bewaart en, onder voorwaarden, te eisen dat deze worden verwijderd. Meer hierover lees je in ons artikel over het recht op vergetelheid.
Recht op schadevergoeding
Onder artikel 82 AVG heb je recht op vergoeding van zowel materiële (geldelijke) als immateriële (emotionele) schade als gevolg van een datalek. Steeds vaker worden hier in Nederland succesvolle claims op gebaseerd, soms ook via collectieve acties.
Recht om een klacht in te dienen
Ben je niet tevreden met hoe de organisatie het lek heeft afgehandeld? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens (AP) via autoriteitpersoonsgegevens.nl.
Hoe vraag je schadevergoeding aan na een datalek?
Steeds meer Nederlanders krijgen daadwerkelijk schadevergoeding na een datalek. Hieronder de stappen om een claim in te dienen:
- Verzamel bewijs: bewaar de meldingsbrief, screenshots, en alles wat aantoont welke schade je hebt geleden (financieel of emotioneel).
- Stuur een ingebrekestelling naar de organisatie waarin je schadevergoeding eist. Geef een redelijke termijn (bijvoorbeeld 14 dagen) om te reageren.
- Sluit je aan bij een collectieve actie als die er is. Organisaties zoals Stichting Data Privacy Stichting voeren regelmatig massaclaims tegen bedrijven die grote datalekken hebben veroorzaakt.
- Schakel een advocaat in bij complexe of grote schade. Veel privacy-advocaten werken op basis van no cure, no pay.
- Dien een klacht in bij de AP en eventueel een procedure bij de rechter.
Datalek bij verschillende soorten organisaties
De aanpak hangt soms af van de aard van de organisatie waar het lek heeft plaatsgevonden. Hieronder een overzicht:
| Type organisatie | Risicovolle data | Wat extra te doen |
|---|---|---|
| Bank of creditcardmaatschappij | Rekeningnummer, transactiegegevens, BSN | Direct pas blokkeren, fraudemelding doen, BKR-melding overwegen |
| Webshop | Adres, betaalgegevens, ordergeschiedenis | Bankafschriften controleren, wachtwoorden wijzigen |
| Zorgverzekeraar of ziekenhuis | BSN, medische gegevens | Klacht bij AP, monitor identiteit, eventueel BSN niet meer onnodig delen |
| Overheid (gemeente, Belastingdienst) | BSN, inkomensgegevens, adres | DigiD-wachtwoord wijzigen, Belastingdienst informeren bij verdachte aangiften |
| Sociale media | E-mail, wachtwoord, contacten | 2FA inschakelen, contacten waarschuwen voor phishing |
Praktische tools om jezelf te beschermen
Voorkomen is beter dan genezen. Een paar concrete tools en gewoontes verkleinen de kans dat je slachtoffer wordt van een datalek of beperken de schade als het toch gebeurt:
Wachtwoordmanager
Gebruik een wachtwoordmanager zoals Bitwarden, 1Password of KeePass. Hiermee gebruik je voor elk account een uniek, sterk wachtwoord zonder dat je ze hoeft te onthouden.
Tweestapsverificatie
Activeer 2FA op alle belangrijke accounts. Een authenticator-app (Google Authenticator, Authy) is veiliger dan sms.
Veilige URL's delen
Wanneer je links deelt — zeker op sociale media of in zakelijke communicatie — gebruik dan een betrouwbare URL-shortener die geen persoonlijke data verzamelt en HTTPS verplicht stelt. Diensten zoals Lunyb bieden privacyvriendelijke linkverkorting waarmee je controleert wie waar naartoe wordt gestuurd, zonder dat jouw of de gegevens van klikkers onnodig worden opgeslagen.
VPN op openbare netwerken
Gebruik nooit openbare wifi voor gevoelige zaken (bankieren, inloggen) zonder VPN. Op een open netwerk kan iedereen meekijken.
Regelmatige security check
Doe minstens 2x per jaar een controle:
- Check al je e-mailadressen op haveibeenpwned.com
- Update wachtwoorden van je belangrijkste accounts
- Controleer welke apps toegang hebben tot je Google/Apple-account en revoke wat je niet meer gebruikt
- Lees na hoe AI en privacy zich ontwikkelen in onze gids over AI en privacy in 2026
Wat doe je bij identiteitsdiefstal?
Identiteitsdiefstal is de meest ernstige vorm van schade na een datalek. Iemand misbruikt jouw persoonsgegevens om bijvoorbeeld leningen af te sluiten, abonnementen aan te gaan of strafbare feiten op jouw naam te plegen.
Bij vermoeden van identiteitsdiefstal:
- Doe aangifte bij de politie (online via politie.nl of fysiek op het bureau)
- Meld je bij het Centraal Meldpunt Identiteitsfraude (CMI)
- Laat een fraudemelding registreren bij het BKR
- Informeer betrokken instanties (banken, gemeente, Belastingdienst)
- Bewaar al je aangiftes en correspondentie — je hebt dit nodig om je naam te zuiveren
Veelgemaakte fouten na een datalek
In paniek maken slachtoffers vaak verkeerde keuzes. Vermijd deze fouten:
- Niets doen omdat 'het wel meevalt': de gevolgen kunnen jaren later nog optreden.
- Op links klikken in 'beveiligingsmails': phishing piekt na elk groot datalek.
- Hetzelfde nieuwe wachtwoord op meerdere accounts gebruiken: dan ben je nog steeds kwetsbaar.
- De meldingsbrief weggooien: bewaar deze als bewijs voor eventuele schadeclaims.
- Geen aangifte doen bij fraude: zonder aangifte sta je juridisch zwak.
Veelgestelde vragen (FAQ)
Moet ik altijd aangifte doen bij een datalek?
Niet bij elk datalek is aangifte nodig. Wél bij vermoedens van identiteitsdiefstal, financiële fraude of als criminelen daadwerkelijk schade hebben aangericht. Bij twijfel: doe aangifte. Het kost weinig moeite en kan later cruciaal zijn voor schadeclaims of het terugdraaien van fraudeleuze handelingen.
Hoe lang heeft een organisatie om een datalek te melden?
Onder de AVG moet een organisatie een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens, als het lek een risico vormt voor betrokkenen. Bij een hoog risico moeten ook de betrokkenen (jij dus) zonder onnodige vertraging worden geïnformeerd.
Krijg ik gegarandeerd schadevergoeding na een datalek?
Nee, schadevergoeding is niet automatisch. Je moet aantonen dat er sprake is van schade (financieel of immaterieel) en dat deze het gevolg is van het datalek. De Hoge Raad heeft echter bevestigd dat ook 'verlies van controle over persoonsgegevens' een vorm van schade kan zijn. Collectieve acties hebben in Nederland al meerdere keren succes gehad.
Wat is het verschil tussen een datalek en een security incident?
Een security incident is een breder begrip: elke gebeurtenis die de beveiliging in gevaar brengt. Een datalek is specifieker — er zijn daadwerkelijk persoonsgegevens gelekt, gewijzigd of vernietigd. Alle datalekken zijn security incidents, maar niet alle security incidents zijn datalekken.
Kan ik mijn BSN laten wijzigen na een datalek?
In principe niet. Je BSN is een uniek levenslang nummer. Alleen in zeer uitzonderlijke gevallen (bijvoorbeeld bij ernstige langdurige identiteitsfraude) kan via de gemeente een nieuw BSN worden aangevraagd. Dit is een complex proces. Wees daarom extra voorzichtig met het delen van je BSN — geef het alleen wanneer wettelijk verplicht.
Conclusie
Een datalek is vervelend, maar niet het einde van de wereld — mits je snel en gestructureerd handelt. Wijzig direct je wachtwoorden, activeer tweestapsverificatie, monitor je accounts, bewaar bewijs en ken je rechten onder de AVG. Wees alert op phishing in de weken erna, want criminelen weten dat slachtoffers van datalekken kwetsbaarder zijn.
Door proactieve gewoontes — sterke wachtwoorden, een wachtwoordmanager, 2FA en privacybewuste tools — verklein je het risico aanzienlijk. En mocht het toch misgaan: nu weet je precies wat te doen.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Phishing Herkennen en Voorkomen: Complete Gids voor 2026
Phishing wordt steeds geraffineerder en treft jaarlijks honderdduizenden Nederlanders. In deze complete gids leer je hoe je phishing-berichten herkent, welke red flags je moet kennen en hoe je jezelf en je organisatie effectief beschermt.
Wachtwoordbeveiliging: De Ultieme Gids voor 2026
Een complete gids voor wachtwoordbeveiliging in 2026. Leer hoe je sterke wachtwoorden maakt, password managers gebruikt, 2FA activeert en je accounts beschermt tegen datalekken. Praktische tips voor zowel particulieren als bedrijven.
Cybersecurity voor Belgische KMO's: Complete Gids 2026
Cybersecurity is een operationele noodzaak voor Belgische KMO's in 2026. Deze gids behandelt de grootste bedreigingen, NIS2- en AVG-verplichtingen, een 10-punten beveiligingsplan, kostenoverzicht en een 90-dagen stappenplan voor implementatie.
Openbaar WiFi: Is het Veilig? Risico's en Bescherming (Gids 2026)
Openbaar WiFi is overal beschikbaar, maar hoe veilig is het echt? Ontdek de grootste risico's zoals Man-in-the-Middle aanvallen en Evil Twin hotspots, en leer met 10 praktische tips hoe je jezelf effectief beschermt op publieke netwerken in 2026.