Wat moet je doen bij een datalek?
Stap voor stap: bescherm jezelf als je gegevens zijn gestolen bij een bedrijf, organisatie of overheidsinstantie
Bij een datalek worden persoonlijke gegevens gestolen, gelekt of onbedoeld openbaar gemaakt. Denk aan namen, adressen, e-mailadressen, wachtwoorden, bankrekeningnummers of zelfs paspoortnummers. Met deze gegevens kunnen criminelen identiteitsfraude plegen, je bankrekening leeghalen of gerichte phishingaanvallen uitvoeren.
Alleen al in 2024 ontving de Autoriteit Persoonsgegevens meer dan 25.000 meldingen van datalekken in Nederland. Het overkomt miljoenen mensen. Het goede nieuws: je kunt actie ondernemen om de schade te beperken. Op deze pagina vind je een concreet stappenplan voor zowel Nederland als Belgie.
Stappenplan bij een datalek
Kies je land en volg de stappen om jezelf te beschermen
Controleer of je getroffen bent
Heb je bericht ontvangen van het getroffen bedrijf? Controleer daarnaast of je e-mailadres voorkomt in bekende datalekken. Zo weet je precies welke gegevens mogelijk zijn gelekt.
Check je e-mail op haveibeenpwned.com โVerander direct je wachtwoorden
Wijzig het wachtwoord van het getroffen account en van alle accounts waar je hetzelfde wachtwoord gebruikt. Gebruik voor elk account een uniek, sterk wachtwoord. Een wachtwoordmanager helpt je dit veilig te beheren.
Bekijk MindYourPass โActiveer tweefactorauthenticatie (2FA)
Schakel tweefactorauthenticatie in op alle belangrijke accounts: e-mail, bank, social media en overheid. Zo heeft een crimineel niet genoeg aan alleen je wachtwoord. Gebruik bij voorkeur een authenticator app in plaats van sms.
Controleer je BKR registratie
Bij het Bureau Krediet Registratie kun je controleren of er leningen of kredieten op jouw naam zijn aangevraagd die je niet herkent. Je hebt recht op een gratis inzage per jaar. Doe dit zo snel mogelijk na een datalek.
Controleer op mijnkredietregistratie.nl โBeveilig je DigiD
Controleer of er onbekende inlogpogingen zijn geweest op je DigiD en schakel tweefactorauthenticatie in als dat nog niet is gebeurd. Met een gestolen DigiD kunnen criminelen onder jouw naam belastingzaken regelen of toeslagen aanvragen.
Ga naar mijn.digid.nl โActiveer bankmeldingen
Stel notificaties in bij je bank zodat je bij elke transactie, overboeking of wijziging direct een melding ontvangt. Zo merk je verdachte activiteit meteen op en kun je snel handelen.
Registreer bij het Centraal Meldpunt Identiteitsfraude
Het Centraal Meldpunt Identiteitsfraude (CMI) houdt bij welke meldingen er binnenkomen rondom datalekken en kan je adviseren bij verdachte activiteiten op jouw naam.
Ga naar het CMI (rvig.nl) โVraag een fraudewaarschuwing aan
Bij Experian of Focum kun je een fraudewaarschuwing laten plaatsen. Bedrijven die een kredietcheck uitvoeren, zien dan dat ze extra moeten controleren voordat ze iets op jouw naam afsluiten.
Wees extra alert op phishing
Na een datalek weten criminelen je naam, e-mailadres en soms zelfs je klantnummer. Hiermee sturen ze overtuigende nepberichten namens het getroffen bedrijf, je bank of de overheid. Ga nooit in op onverwachte telefoontjes, smsberichten of e-mails die om actie vragen. Bel zelf het officiele nummer als je twijfelt.
Leer phishing herkennen โMeld fraude en doe aangifte
Als je vermoedt dat er al fraude is gepleegd met jouw gegevens, meld dit dan bij de Fraudehelpdesk en doe aangifte bij de politie. Zonder aangifte kan er geen onderzoek worden gestart.
Ga naar fraudehelpdesk.nl โControleer of je getroffen bent
Heb je bericht ontvangen van het getroffen bedrijf? Controleer daarnaast of je e-mailadres voorkomt in bekende datalekken. Zo weet je precies welke gegevens mogelijk zijn gelekt.
Check je e-mail op haveibeenpwned.com โVerander direct je wachtwoorden
Wijzig het wachtwoord van het getroffen account en van alle accounts waar je hetzelfde wachtwoord gebruikt. Gebruik voor elk account een uniek, sterk wachtwoord.
Bekijk MindYourPass โActiveer tweefactorauthenticatie (2FA)
Schakel tweefactorauthenticatie in op alle belangrijke accounts. Zo heeft een crimineel niet genoeg aan alleen je wachtwoord. Gebruik bij voorkeur een authenticator app in plaats van sms.
Contacteer je bank en Card Stop
Neem direct contact op met je bank om verdachte transacties te melden en je rekeningen te laten monitoren. Als bankkaartgegevens zijn gelekt, bel dan Card Stop om je kaart te blokkeren.
Card Stop: 078 170 170 โBeveilig je digitale identiteit via itsme
Controleer je itsme account en zorg dat niemand anders toegang heeft. Met itsme kun je je online identificeren bij de overheid, banken en andere diensten. Als iemand jouw identiteit misbruikt, kan dit grote gevolgen hebben.
Ga naar itsme โMeld bij Safeonweb
Het Centrum voor Cybersecurity Belgie (CCB) biedt via Safeonweb informatie en hulp bij cyberdreigingen. Meld verdachte berichten die je ontvangt na een datalek zodat anderen gewaarschuwd worden.
Ga naar safeonweb.be โDoe aangifte bij de politie
Je kunt online aangifte doen via Police on Web of een afspraak maken bij je lokale politiekantoor. Als er fraude is gepleegd met jouw gegevens, is aangifte essentieel om een onderzoek te starten.
Ga naar Police on Web โMeld bij de Gegevensbeschermingsautoriteit
De GBA is de Belgische toezichthouder op het gebied van persoonsgegevens. Als het getroffen bedrijf het datalek niet correct heeft afgehandeld of als je vindt dat je rechten zijn geschonden, kun je een klacht indienen.
Ga naar gegevensbeschermingsautoriteit.be โWelke gegevens kunnen gestolen zijn?
Het risico hangt af van welk type gegevens is gelekt
IBAN of bankgegevens
Criminelen kunnen incasso's uitvoeren, identiteitsfraude plegen of je gegevens combineren voor gerichte oplichting.
Paspoort of ID nummer
Met een paspoortnummer en je geboortedatum kunnen criminelen een valse identiteit opbouwen en op jouw naam handelen.
Wachtwoorden
Als je hetzelfde wachtwoord op meerdere plekken gebruikt, kunnen criminelen met een gelekt wachtwoord al je accounts overnemen.
BSN of rijksregisternummer
Dit nummer is uniek en onveranderlijk. Misbruik kan leiden tot fraude bij de overheid, belasting of verzekeringen.
E-mailadres
Wordt gebruikt voor gerichte phishing en spam. In combinatie met andere gegevens wordt het risico veel hoger.
Naam en adres
Op zichzelf beperkt risico, maar in combinatie met andere gegevens bruikbaar voor social engineering en identiteitsfraude.
Telefoonnummer
Wordt gebruikt voor smishing (phishing via sms), vishing (oplichting via de telefoon) en het omzeilen van sms verificatie.
Medische gegevens
Kunnen worden misbruikt voor verzekeringsfraude of chantage. Medische informatie is bijzonder gevoelig onder de AVG.
Hoe weet je of je getroffen bent?
Let op deze signalen en gebruik deze tools
Je ontvangt bericht van het bedrijf. Bedrijven zijn wettelijk verplicht om je te informeren als er een datalek is geweest waarbij jouw persoonsgegevens zijn betrokken.
Onbekende transacties op je rekening. Zie je afschrijvingen die je niet herkent? Neem direct contact op met je bank en blokkeer je kaart als het nodig is.
Verdachte e-mails of smsberichten. Na een datalek ontvang je mogelijk phishingberichten die heel persoonlijk zijn, met je echte naam, adres of klantnummer.
Je kunt niet meer inloggen. Als je plotseling geen toegang meer hebt tot een account, kan iemand anders je wachtwoord hebben gewijzigd.
Check haveibeenpwned.com. Voer je e-mailadres in om te controleren of het voorkomt in bekende datalekken. Controleer nu โ
Gebruik een wachtwoordmanager. MindYourPass helpt je om al je wachtwoorden uniek en sterk te houden, zodat een gelekt wachtwoord nooit toegang geeft tot je andere accounts.
Veelgestelde vragen
De meest gestelde vragen over datalekken
Een datalek is een beveiligingsincident waarbij persoonlijke gegevens worden gestolen, verloren of onbedoeld toegankelijk worden voor onbevoegden. Dit kan gebeuren door een cyberaanval, een fout van een medewerker of een technisch probleem. Onder de AVG (Algemene Verordening Gegevensbescherming) zijn organisaties verplicht om ernstige datalekken te melden bij de toezichthouder en de getroffen personen te informeren.
Het bedrijf of de organisatie waar het datalek heeft plaatsgevonden, is wettelijk verplicht je te informeren als jouw gegevens zijn betrokken. Daarnaast kun je je e-mailadres controleren op haveibeenpwned.com. Deze gratis dienst houdt bij welke e-mailadressen voorkomen in bekende datalekken wereldwijd.
Ja, onder de AVG heb je recht op schadevergoeding als je aantoonbare schade hebt geleden door een datalek. Dit kan zowel financiele schade zijn (bijvoorbeeld door fraude) als emotionele schade (stress, angst). Je kunt een claim indienen bij het bedrijf zelf of, als dat niet lukt, via de rechter. Er zijn ook claimstichtingen die namens grote groepen slachtoffers een zaak aanspannen.
In de praktijk: voor onbepaalde tijd. Eenmaal gelekte gegevens worden gekopieerd, doorverkocht en gecombineerd met andere datalekken. Databases circuleren jarenlang op het darkweb. Daarom is het zo belangrijk om direct actie te ondernemen: wachtwoorden wijzigen, 2FA inschakelen en je financiele gegevens monitoren. Hoe sneller je handelt, hoe kleiner de kans op misbruik.
Als je paspoortnummer is gelekt, overweeg dan om je paspoort te laten vervangen bij je gemeente. Een nieuw paspoort krijgt een nieuw documentnummer, waardoor het oude nummer onbruikbaar wordt voor identiteitsfraude. Vraag ook een aantekening aan bij de gemeente dat je identiteitsbewijs mogelijk is gecompromitteerd. In Belgie kun je een vervanging aanvragen bij je gemeentehuis.
Een hack is een cyberaanval waarbij iemand ongeautoriseerd toegang krijgt tot een systeem. Een datalek is het gevolg: persoonlijke gegevens worden blootgesteld. Niet elk datalek is het gevolg van een hack. Soms worden gegevens per ongeluk openbaar gemaakt, bijvoorbeeld door een verkeerd ingestelde database of een e-mail die naar de verkeerde persoon wordt gestuurd. Het effect voor jou als slachtoffer is echter hetzelfde: je gegevens zijn in verkeerde handen.
De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder op het gebied van privacy. Organisaties zijn verplicht om ernstige datalekken binnen 72 uur te melden bij de AP. De AP beoordeelt vervolgens of de organisatie voldoende maatregelen heeft genomen en kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. In Belgie vervult de Gegevensbeschermingsautoriteit (GBA) deze rol.