Is Mijn Wachtwoord Gelekt? Zo Controleer Je Het (Gids 2026)
Miljarden inloggegevens circuleren op het dark web na jarenlange datalekken bij bekende diensten. De kans is groot dat ook jouw wachtwoord ergens is uitgelekt, zonder dat je het weet. In deze gids leer je hoe je een gelekt wachtwoord controleren kunt doen, welke betrouwbare tools je daarvoor gebruikt en welke stappen je onmiddellijk moet nemen als je account gecompromitteerd blijkt.
Wat betekent een 'gelekt wachtwoord' precies?
Een gelekt wachtwoord is een inlogcombinatie (meestal e-mail en wachtwoord) die via een datalek publiek toegankelijk of te koop is aangeboden. Deze lekken ontstaan wanneer criminelen inbreken bij bedrijven en hele databases met gebruikersgegevens buitmaken. Vervolgens worden die lijsten verhandeld of gedumpt op hackerfora.
De gevolgen zijn ingrijpend: aanvallers proberen dezelfde combinatie op andere websites (credential stuffing), nemen accounts over, plegen identiteitsfraude of chanteren slachtoffers. Volgens recente cijfers zijn er meer dan 12 miljard unieke gelekte inloggegevens in omloop.
Waarom moet je het controleren?
- Ketenaanvallen: een lek bij één dienst raakt vaak meerdere accounts als je wachtwoorden hergebruikt.
- Vertraagd risico: lekken worden soms pas jaren later publiek.
- Financiële schade: banking-, e-commerce- en e-mailaccounts zijn geliefde doelwitten.
- Reputatieschade: gehackte social-mediaprofielen worden gebruikt voor phishing van je contacten.
Hoe controleer je of jouw wachtwoord gelekt is: 5 stappen
Volg dit stappenplan om binnen enkele minuten een volledig beeld te krijgen van de status van je accounts.
- Verzamel je e-mailadressen. Maak een lijst van alle e-mailadressen die je ooit hebt gebruikt om accounts aan te maken, inclusief oude adressen.
- Controleer via Have I Been Pwned. Voer elk adres in op haveibeenpwned.com. Je ziet direct in welke datalekken je e-mail voorkomt.
- Check je wachtwoorden apart. Gebruik de Pwned Passwords-functie om te zien of specifieke wachtwoorden in lekken staan (dit gebeurt anoniem via k-anonymity hashing).
- Gebruik de ingebouwde controles. Google Chrome, Firefox, Safari en wachtwoordmanagers zoals Bitwarden en 1Password waarschuwen automatisch voor gecompromitteerde wachtwoorden.
- Onderneem actie per gelekt account. Wijzig direct het wachtwoord, activeer tweefactorauthenticatie (2FA) en controleer op verdachte activiteit.
Betrouwbare tools om gelekte wachtwoorden te controleren
Niet elke 'gratis lek-checker' is te vertrouwen. Sommige verzamelen zelf je gegevens. Gebruik alleen bewezen, transparante diensten.
| Tool | Wat het controleert | Prijs | Privacy |
|---|---|---|---|
| Have I Been Pwned | E-mail, telefoonnummer, wachtwoord (hash) | Gratis | Zeer goed, open source |
| Google Wachtwoordcontrole | Alle in Chrome opgeslagen wachtwoorden | Gratis | Encrypted, hashing |
| Firefox Monitor | E-mailadressen (via HIBP) | Gratis | Goed |
| Bitwarden Data Breach Report | Alle vault-items | Gratis / Premium €10/jaar | Zero-knowledge |
| 1Password Watchtower | Wachtwoorden, hergebruik, zwakke pw's | Vanaf €2,99/maand | End-to-end encrypted |
| Mozilla Firefox Relay | E-mailmaskering + lekmonitor | Gratis / €0,99/maand premium | Zeer goed |
Have I Been Pwned: de gouden standaard
Deze dienst, opgericht door beveiligingsonderzoeker Troy Hunt, beheert de grootste openbare index van datalekken. Meer dan 12 miljard accounts en 800 lekken zijn geïndexeerd. Werkt volledig anoniem: bij het controleren van een wachtwoord wordt alleen de eerste vijf tekens van de SHA-1 hash naar de server gestuurd.
Wachtwoordmanagers met ingebouwde monitoring
Moderne wachtwoordmanagers scannen continu je opgeslagen credentials tegen bekende lekdatabases. Zodra een van je wachtwoorden opduikt, ontvang je een melding. Dit is de meest efficiënte manier om proactief te blijven zonder handmatig te controleren.
Wat te doen als je wachtwoord gelekt is?
Ontdek je dat een wachtwoord gecompromitteerd is? Handel snel maar systematisch. Elke minuut telt, vooral bij financiële of e-mailaccounts.
- Wijzig het wachtwoord onmiddellijk op het betreffende account. Gebruik een uniek, sterk wachtwoord van minstens 16 tekens.
- Wijzig hetzelfde wachtwoord overal elders waar je het hebt hergebruikt. Aanvallers proberen credential stuffing binnen enkele uren.
- Activeer tweefactorauthenticatie (2FA), bij voorkeur via een authenticator-app (Aegis, Authy) of hardware key (YubiKey), niet via sms.
- Controleer accountactiviteit: verdachte logins, doorgestuurde e-mails, nieuwe apparaten, wijzigingen in herstelinformatie.
- Controleer financiële transacties en meld ongewone activiteit direct aan je bank.
- Meld het lek bij de Autoriteit Persoonsgegevens (AP) in Nederland als het om ernstige impact gaat.
- Overweeg identiteitsmonitoring als je BSN, adres of andere gevoelige data zijn gelekt.
Prioriteitenlijst: welke accounts eerst?
- Primaire e-mail (poort naar alle andere accounts)
- Banking en betalingsdiensten (PayPal, Revolut, iDEAL-gerelateerd)
- Overheid en DigiD
- Cloudopslag (Google Drive, iCloud, Dropbox)
- Social media met bereik of gekoppelde betalingsmiddelen
- Overige diensten
Hoe voorkom je toekomstige lekken?
Volledig onkwetsbaar bestaat niet, maar met de juiste maatregelen verklein je het risico aanzienlijk en beperk je de schade als het toch misgaat.
1. Gebruik een wachtwoordmanager
Genereer voor elk account een uniek, willekeurig wachtwoord van 16+ tekens. Onthouden hoeft niet, want de manager doet dat voor je. Betrouwbare opties: Bitwarden (open source), 1Password, Proton Pass en KeePassXC.
2. Activeer 2FA overal
Twee-factor-authenticatie stopt in praktijk 99% van geautomatiseerde overname-aanvallen, zelfs als je wachtwoord gelekt is. Vermijd sms waar mogelijk en gebruik authenticator-apps of fysieke sleutels.
3. Gebruik passkeys waar beschikbaar
Passkeys (op basis van FIDO2/WebAuthn) zijn wachtwoordloos en fundamenteel resistent tegen phishing en credential stuffing. Google, Apple, Microsoft, GitHub en steeds meer diensten ondersteunen ze in 2026.
4. E-mailmaskering en aliasing
Gebruik unieke e-mailaliassen per dienst (via Firefox Relay, SimpleLogin, Proton Pass). Wordt een dienst gehackt, dan is alleen die alias gecompromitteerd en weet je meteen welke aanbieder heeft gelekt.
5. Beperk je digitale voetafdruk
Hoe minder accounts en persoonsgegevens je verspreidt, hoe minder aanvalsoppervlak. Verwijder inactieve accounts en gebruik privacyvriendelijke alternatieven. Bekijk ook onze gids over datahandelaren en wie jouw gegevens verkoopt voor meer context.
6. Wees kritisch met links
Veel wachtwoorden lekken via phishing, niet via datalekken bij bedrijven. Klik nooit blind op verkorte of onbekende links. Bij het delen van links binnen je organisatie kun je een transparante linkverkorter zoals Lunyb gebruiken, waarmee je vooraf ziet waar een link heen leidt en klikstatistieken monitort zonder trackers.
Speciale aandacht: bedrijfsaccounts en werknemers
Voor Nederlandse en Belgische bedrijven is één gelekt werknemerswachtwoord vaak de opstap naar een grote ransomware- of BEC-aanval (Business Email Compromise). Volgens de AVG ben je als organisatie verplicht om passende technische en organisatorische maatregelen te nemen.
Verplichtingen onder AVG
- Meldingsplicht datalekken: binnen 72 uur bij AP/GBA melden.
- Registerplicht: alle incidenten intern documenteren.
- Informatieplicht: betrokken personen op de hoogte stellen bij hoog risico.
Meer diepgang vind je in onze gidsen Gegevensbescherming voor Belgische Bedrijven en AVG in België: Je Rechten Uitgelegd.
Aanbevelingen voor werkgevers
- Verplicht 2FA voor alle bedrijfsaccounts.
- Implementeer een zakelijke wachtwoordmanager (Bitwarden Business, 1Password Business).
- Monitor bedrijfsdomeinen continu via Have I Been Pwned Domain Search.
- Train medewerkers regelmatig op phishing-herkenning.
- Beperk toegang via zero-trust principes en single sign-on (SSO).
Voor- en nadelen van lek-controle diensten
Voordelen
- Direct inzicht in je risicoprofiel
- Meestal gratis of goedkoop
- Proactieve waarschuwingen bij nieuwe lekken
- Bewustwording van digitale hygiëne
- Bespaart potentieel duizenden euro's aan schade
Nadelen
- Niet alle lekken zijn geïndexeerd (dark web-lekken blijven soms verborgen)
- Malafide 'checkers' kunnen zelf een risico zijn
- Geen bescherming zonder daaropvolgende actie
- Sommige premium-functies zijn duur bij continue monitoring
Signalen dat je account al is overgenomen
Soms merk je pas na een tijdje dat een aanvaller toegang heeft gehad. Let op deze rode vlaggen:
- Inlogmeldingen vanuit onbekende locaties of apparaten
- Wachtwoordherstelmails die je niet zelf hebt aangevraagd
- Verzonden e-mails of berichten die je niet herkent
- Nieuwe filters of doorstuurregels in je e-mail
- Onverklaarbare transacties of nieuwe abonnementen
- Contacten die melden vreemde berichten van jou te ontvangen
- Verlies van toegang tot je eigen account
FAQ: Gelekt wachtwoord controleren
Is Have I Been Pwned veilig om te gebruiken?
Ja. Have I Been Pwned is een gerenommeerde dienst van beveiligingsexpert Troy Hunt en werkt met anonieme hashing. Bij het controleren van wachtwoorden verlaat je volledige wachtwoord nooit je apparaat. De dienst wordt aanbevolen door onder meer de FBI, de Britse NCSC en talloze securityprofessionals wereldwijd.
Wat als mijn wachtwoord in meerdere lekken voorkomt?
Wijzig het onmiddellijk overal waar je het gebruikt en beschouw het als permanent gecompromitteerd. Gebruik het nooit meer, ook niet als variant met extra tekens. Aanvallers testen automatisch varianten zoals 'Wachtwoord1!' naar 'Wachtwoord2!'. Genereer een compleet nieuw, uniek wachtwoord via een wachtwoordmanager.
Moet ik betalen voor lek-monitoring?
Voor de meeste particulieren is gratis monitoring via Have I Been Pwned, Firefox Monitor en de ingebouwde tools van je browser of wachtwoordmanager voldoende. Betaalde diensten voegen waarde toe voor bedrijven, of personen met een hoog risicoprofiel (journalisten, activisten, publieke figuren) die identiteitsmonitoring en dark-web-scanning nodig hebben.
Hoe vaak moet ik controleren of mijn wachtwoorden gelekt zijn?
Idealiter continu, via automatische monitoring in je wachtwoordmanager of Firefox Monitor. Handmatig controleren minstens elk kwartaal is een goede vuistregel. Doe altijd een extra check zodra je hoort van een groot datalek bij een dienst die jij gebruikt.
Kan ik een lek melden bij de Autoriteit Persoonsgegevens?
Als individu meld je meestal bij het bedrijf dat is gehackt. Als de organisatie niet reageert of het lek niet meldt, kun je een klacht indienen bij de AP (Nederland) of GBA (België). Bedrijven zijn zelf verplicht datalekken binnen 72 uur te melden onder de AVG.
Conclusie
Het controleren van gelekte wachtwoorden is geen luxe meer, maar een basale hygiënische maatregel in 2026. Met gratis tools als Have I Been Pwned, gecombineerd met een wachtwoordmanager, 2FA en waar mogelijk passkeys, verklein je je risico drastisch. Neem vandaag vijf minuten om je belangrijkste e-mailadressen te controleren, en maak van proactieve wachtwoordhygiëne een gewoonte, geen paniekreactie.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Link-in-Bio Pagina Maken: Complete Handleiding (2026)
Een link-in-bio pagina bundelt al je belangrijkste links op één plek, perfect voor sociale media profielen waar maar één klikbare link past. In deze handleiding leer je hoe je zelf een professionele link-in-bio pagina maakt, met tips over design, conversie en privacy.
Oplichting Telefoonnummer Herkennen: Complete Gids voor Nederland (2026)
Telefoonfraude kost Nederlanders jaarlijks miljoenen. Leer hoe je een oplichting telefoonnummer herkent aan waarschuwingssignalen, spoofing-technieken en verdachte patronen. Complete gids met tools, meldpunten en concrete stappen om jezelf en je familie te beschermen.
Trackers Blokkeren op je Telefoon: Complete Gids (2026)
Ontdek hoe je in 2026 trackers blokkeert op je iPhone en Android telefoon. Praktische stappen, apps en instellingen om je privacy op mobiel effectief te beschermen.
Foto's Verbergen met een Versleutelde Kluis: Complete Gids (2026)
Ontdek hoe je foto's verbergt met een versleutelde kluis op iOS, Android en pc. Deze complete gids behandelt AES-256 encryptie, Samsung Secure Folder, VeraCrypt en best practices voor maximale privacy. Inclusief vergelijkingstabel en FAQ.