facebook-pixel

Is Mijn Wachtwoord Gelekt? Zo Controleer Je Het (Gids 2026)

L
Lunyb Beveiligingsteam
··8 min read

Miljarden inloggegevens circuleren op het dark web na jarenlange datalekken bij bekende diensten. De kans is groot dat ook jouw wachtwoord ergens is uitgelekt, zonder dat je het weet. In deze gids leer je hoe je een gelekt wachtwoord controleren kunt doen, welke betrouwbare tools je daarvoor gebruikt en welke stappen je onmiddellijk moet nemen als je account gecompromitteerd blijkt.

Wat betekent een 'gelekt wachtwoord' precies?

Een gelekt wachtwoord is een inlogcombinatie (meestal e-mail en wachtwoord) die via een datalek publiek toegankelijk of te koop is aangeboden. Deze lekken ontstaan wanneer criminelen inbreken bij bedrijven en hele databases met gebruikersgegevens buitmaken. Vervolgens worden die lijsten verhandeld of gedumpt op hackerfora.

De gevolgen zijn ingrijpend: aanvallers proberen dezelfde combinatie op andere websites (credential stuffing), nemen accounts over, plegen identiteitsfraude of chanteren slachtoffers. Volgens recente cijfers zijn er meer dan 12 miljard unieke gelekte inloggegevens in omloop.

Waarom moet je het controleren?

  • Ketenaanvallen: een lek bij één dienst raakt vaak meerdere accounts als je wachtwoorden hergebruikt.
  • Vertraagd risico: lekken worden soms pas jaren later publiek.
  • Financiële schade: banking-, e-commerce- en e-mailaccounts zijn geliefde doelwitten.
  • Reputatieschade: gehackte social-mediaprofielen worden gebruikt voor phishing van je contacten.

Hoe controleer je of jouw wachtwoord gelekt is: 5 stappen

Volg dit stappenplan om binnen enkele minuten een volledig beeld te krijgen van de status van je accounts.

  1. Verzamel je e-mailadressen. Maak een lijst van alle e-mailadressen die je ooit hebt gebruikt om accounts aan te maken, inclusief oude adressen.
  2. Controleer via Have I Been Pwned. Voer elk adres in op haveibeenpwned.com. Je ziet direct in welke datalekken je e-mail voorkomt.
  3. Check je wachtwoorden apart. Gebruik de Pwned Passwords-functie om te zien of specifieke wachtwoorden in lekken staan (dit gebeurt anoniem via k-anonymity hashing).
  4. Gebruik de ingebouwde controles. Google Chrome, Firefox, Safari en wachtwoordmanagers zoals Bitwarden en 1Password waarschuwen automatisch voor gecompromitteerde wachtwoorden.
  5. Onderneem actie per gelekt account. Wijzig direct het wachtwoord, activeer tweefactorauthenticatie (2FA) en controleer op verdachte activiteit.

Betrouwbare tools om gelekte wachtwoorden te controleren

Niet elke 'gratis lek-checker' is te vertrouwen. Sommige verzamelen zelf je gegevens. Gebruik alleen bewezen, transparante diensten.

Tool Wat het controleert Prijs Privacy
Have I Been Pwned E-mail, telefoonnummer, wachtwoord (hash) Gratis Zeer goed, open source
Google Wachtwoordcontrole Alle in Chrome opgeslagen wachtwoorden Gratis Encrypted, hashing
Firefox Monitor E-mailadressen (via HIBP) Gratis Goed
Bitwarden Data Breach Report Alle vault-items Gratis / Premium €10/jaar Zero-knowledge
1Password Watchtower Wachtwoorden, hergebruik, zwakke pw's Vanaf €2,99/maand End-to-end encrypted
Mozilla Firefox Relay E-mailmaskering + lekmonitor Gratis / €0,99/maand premium Zeer goed

Have I Been Pwned: de gouden standaard

Deze dienst, opgericht door beveiligingsonderzoeker Troy Hunt, beheert de grootste openbare index van datalekken. Meer dan 12 miljard accounts en 800 lekken zijn geïndexeerd. Werkt volledig anoniem: bij het controleren van een wachtwoord wordt alleen de eerste vijf tekens van de SHA-1 hash naar de server gestuurd.

Wachtwoordmanagers met ingebouwde monitoring

Moderne wachtwoordmanagers scannen continu je opgeslagen credentials tegen bekende lekdatabases. Zodra een van je wachtwoorden opduikt, ontvang je een melding. Dit is de meest efficiënte manier om proactief te blijven zonder handmatig te controleren.

Wat te doen als je wachtwoord gelekt is?

Ontdek je dat een wachtwoord gecompromitteerd is? Handel snel maar systematisch. Elke minuut telt, vooral bij financiële of e-mailaccounts.

  1. Wijzig het wachtwoord onmiddellijk op het betreffende account. Gebruik een uniek, sterk wachtwoord van minstens 16 tekens.
  2. Wijzig hetzelfde wachtwoord overal elders waar je het hebt hergebruikt. Aanvallers proberen credential stuffing binnen enkele uren.
  3. Activeer tweefactorauthenticatie (2FA), bij voorkeur via een authenticator-app (Aegis, Authy) of hardware key (YubiKey), niet via sms.
  4. Controleer accountactiviteit: verdachte logins, doorgestuurde e-mails, nieuwe apparaten, wijzigingen in herstelinformatie.
  5. Controleer financiële transacties en meld ongewone activiteit direct aan je bank.
  6. Meld het lek bij de Autoriteit Persoonsgegevens (AP) in Nederland als het om ernstige impact gaat.
  7. Overweeg identiteitsmonitoring als je BSN, adres of andere gevoelige data zijn gelekt.

Prioriteitenlijst: welke accounts eerst?

  1. Primaire e-mail (poort naar alle andere accounts)
  2. Banking en betalingsdiensten (PayPal, Revolut, iDEAL-gerelateerd)
  3. Overheid en DigiD
  4. Cloudopslag (Google Drive, iCloud, Dropbox)
  5. Social media met bereik of gekoppelde betalingsmiddelen
  6. Overige diensten

Hoe voorkom je toekomstige lekken?

Volledig onkwetsbaar bestaat niet, maar met de juiste maatregelen verklein je het risico aanzienlijk en beperk je de schade als het toch misgaat.

1. Gebruik een wachtwoordmanager

Genereer voor elk account een uniek, willekeurig wachtwoord van 16+ tekens. Onthouden hoeft niet, want de manager doet dat voor je. Betrouwbare opties: Bitwarden (open source), 1Password, Proton Pass en KeePassXC.

2. Activeer 2FA overal

Twee-factor-authenticatie stopt in praktijk 99% van geautomatiseerde overname-aanvallen, zelfs als je wachtwoord gelekt is. Vermijd sms waar mogelijk en gebruik authenticator-apps of fysieke sleutels.

3. Gebruik passkeys waar beschikbaar

Passkeys (op basis van FIDO2/WebAuthn) zijn wachtwoordloos en fundamenteel resistent tegen phishing en credential stuffing. Google, Apple, Microsoft, GitHub en steeds meer diensten ondersteunen ze in 2026.

4. E-mailmaskering en aliasing

Gebruik unieke e-mailaliassen per dienst (via Firefox Relay, SimpleLogin, Proton Pass). Wordt een dienst gehackt, dan is alleen die alias gecompromitteerd en weet je meteen welke aanbieder heeft gelekt.

5. Beperk je digitale voetafdruk

Hoe minder accounts en persoonsgegevens je verspreidt, hoe minder aanvalsoppervlak. Verwijder inactieve accounts en gebruik privacyvriendelijke alternatieven. Bekijk ook onze gids over datahandelaren en wie jouw gegevens verkoopt voor meer context.

6. Wees kritisch met links

Veel wachtwoorden lekken via phishing, niet via datalekken bij bedrijven. Klik nooit blind op verkorte of onbekende links. Bij het delen van links binnen je organisatie kun je een transparante linkverkorter zoals Lunyb gebruiken, waarmee je vooraf ziet waar een link heen leidt en klikstatistieken monitort zonder trackers.

Speciale aandacht: bedrijfsaccounts en werknemers

Voor Nederlandse en Belgische bedrijven is één gelekt werknemerswachtwoord vaak de opstap naar een grote ransomware- of BEC-aanval (Business Email Compromise). Volgens de AVG ben je als organisatie verplicht om passende technische en organisatorische maatregelen te nemen.

Verplichtingen onder AVG

  • Meldingsplicht datalekken: binnen 72 uur bij AP/GBA melden.
  • Registerplicht: alle incidenten intern documenteren.
  • Informatieplicht: betrokken personen op de hoogte stellen bij hoog risico.

Meer diepgang vind je in onze gidsen Gegevensbescherming voor Belgische Bedrijven en AVG in België: Je Rechten Uitgelegd.

Aanbevelingen voor werkgevers

  1. Verplicht 2FA voor alle bedrijfsaccounts.
  2. Implementeer een zakelijke wachtwoordmanager (Bitwarden Business, 1Password Business).
  3. Monitor bedrijfsdomeinen continu via Have I Been Pwned Domain Search.
  4. Train medewerkers regelmatig op phishing-herkenning.
  5. Beperk toegang via zero-trust principes en single sign-on (SSO).

Voor- en nadelen van lek-controle diensten

Voordelen

  • Direct inzicht in je risicoprofiel
  • Meestal gratis of goedkoop
  • Proactieve waarschuwingen bij nieuwe lekken
  • Bewustwording van digitale hygiëne
  • Bespaart potentieel duizenden euro's aan schade

Nadelen

  • Niet alle lekken zijn geïndexeerd (dark web-lekken blijven soms verborgen)
  • Malafide 'checkers' kunnen zelf een risico zijn
  • Geen bescherming zonder daaropvolgende actie
  • Sommige premium-functies zijn duur bij continue monitoring

Signalen dat je account al is overgenomen

Soms merk je pas na een tijdje dat een aanvaller toegang heeft gehad. Let op deze rode vlaggen:

  • Inlogmeldingen vanuit onbekende locaties of apparaten
  • Wachtwoordherstelmails die je niet zelf hebt aangevraagd
  • Verzonden e-mails of berichten die je niet herkent
  • Nieuwe filters of doorstuurregels in je e-mail
  • Onverklaarbare transacties of nieuwe abonnementen
  • Contacten die melden vreemde berichten van jou te ontvangen
  • Verlies van toegang tot je eigen account

FAQ: Gelekt wachtwoord controleren

Is Have I Been Pwned veilig om te gebruiken?

Ja. Have I Been Pwned is een gerenommeerde dienst van beveiligingsexpert Troy Hunt en werkt met anonieme hashing. Bij het controleren van wachtwoorden verlaat je volledige wachtwoord nooit je apparaat. De dienst wordt aanbevolen door onder meer de FBI, de Britse NCSC en talloze securityprofessionals wereldwijd.

Wat als mijn wachtwoord in meerdere lekken voorkomt?

Wijzig het onmiddellijk overal waar je het gebruikt en beschouw het als permanent gecompromitteerd. Gebruik het nooit meer, ook niet als variant met extra tekens. Aanvallers testen automatisch varianten zoals 'Wachtwoord1!' naar 'Wachtwoord2!'. Genereer een compleet nieuw, uniek wachtwoord via een wachtwoordmanager.

Moet ik betalen voor lek-monitoring?

Voor de meeste particulieren is gratis monitoring via Have I Been Pwned, Firefox Monitor en de ingebouwde tools van je browser of wachtwoordmanager voldoende. Betaalde diensten voegen waarde toe voor bedrijven, of personen met een hoog risicoprofiel (journalisten, activisten, publieke figuren) die identiteitsmonitoring en dark-web-scanning nodig hebben.

Hoe vaak moet ik controleren of mijn wachtwoorden gelekt zijn?

Idealiter continu, via automatische monitoring in je wachtwoordmanager of Firefox Monitor. Handmatig controleren minstens elk kwartaal is een goede vuistregel. Doe altijd een extra check zodra je hoort van een groot datalek bij een dienst die jij gebruikt.

Kan ik een lek melden bij de Autoriteit Persoonsgegevens?

Als individu meld je meestal bij het bedrijf dat is gehackt. Als de organisatie niet reageert of het lek niet meldt, kun je een klacht indienen bij de AP (Nederland) of GBA (België). Bedrijven zijn zelf verplicht datalekken binnen 72 uur te melden onder de AVG.

Conclusie

Het controleren van gelekte wachtwoorden is geen luxe meer, maar een basale hygiënische maatregel in 2026. Met gratis tools als Have I Been Pwned, gecombineerd met een wachtwoordmanager, 2FA en waar mogelijk passkeys, verklein je je risico drastisch. Neem vandaag vijf minuten om je belangrijkste e-mailadressen te controleren, en maak van proactieve wachtwoordhygiëne een gewoonte, geen paniekreactie.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles