Datalek? Dit moet je direct doen (én de weken erna) – complete gids voor slachtoffers

Een datalek is geen abstract risico meer, maar iets dat iedereen kan raken: van webshops en zorgverleners tot overheidsdiensten en kleine apps. Onderstaande stappen helpen je direct schade te beperken en grip te houden op wat er met jouw gegevens gebeurt—vandaag, deze week en de maanden erna.

Direct na een datalek: de eerste 24 uur

• Bevestig wat er is gelekt (per persoon/account). Noteer datum, organisatie, type gegevens (bijvoorbeeld naam, e-mail, adres, geboortedatum, BSN, medische info, inloggegevens, betaalgegevens). Vraag de organisatie schriftelijk om duidelijkheid als dit onduidelijk is.
• Wachtwoorden vervangen + MFA aan.
  • Wijzig meteen het wachtwoord van de getroffen dienst
  • Heb je hetzelfde of een vergelijkbaar wachtwoord elders gebruikt? Vervang die óók.
  • Zet multifactorauthenticatie aan (liefst een authenticator-app of passkeys; sms mag tijdelijk als er geen alternatief is).
• Passwordmanager inzetten. Gebruik per site een uniek, lang wachtwoord; laat de manager zwakke of hergebruikte wachtwoorden opsporen en vervangen.
• Phishing-alarm verhogen. Reken op e-mails/sms/telefoontjes die ‘verifiëren’, ‘uitslagen’ of ‘beveiligingsupdates’ beloven. Klik geen links, open geen bijlagen en bel geen nummers uit het bericht; ga zélf naar de officiële website/app.
• Bank- en betaalalerts inschakelen. Activeer push/sms/e-mailmeldingen voor bij- en afschrijvingen. Controleer de laatste afschriften en houd dit de komende weken strak bij.
• SEPA-incasso’s controleren. Onterechte incasso? Die kun je doorgaans binnen 8 weken storneren; zonder geldige machtiging kan je bank in veel gevallen tot 13 maanden terug actie ondernemen.
• Telefoonnummer beveiligen (tegen sim-swap/port-out). Zet een SIM-pincode op je toestel en vraag je provider om extra verificatie of een blokkade bij nummerovername/nummerportering. Gebruik waar mogelijk een authenticator-app in plaats van sms-codes.
• DigiD opschonen en beschermen (NL). Gebruik de DigiD-app met ID-check waar beschikbaar, bekijk je inloggeschiedenis en zet waar mogelijk extra verificatiestappen aan.

In de dagen erna: monitoren en herstellen

• Schone e-mail en accounts.
  • Controleer of je e-mailadres in bekende lekken voorkomt en vervang hergebruikte wachtwoorden.
  • Zet beveiligingsmeldingen aan (login-alerts, wachtwoordwijzigingen, nieuwe apparaten).
• Profielen ‘opschonen’. Minimaliseer openbare profielinfo (geboortedatum, adres, telefoon). Verwijder oude of ongebruikte accounts en nieuwsbriefinschrijvingen die je niet meer nodig hebt.
• Bewijs vastleggen. Bewaar brieven/e-mails van de organisatie, maak screenshots van verdachte berichten en noteer datums/tijdstippen. Dit helpt bij hulpinstanties, bank of verzekering.
• Formele klacht overwegen. Vind je dat je onvoldoende bent geïnformeerd of dat jouw gegevens niet goed waren beschermd? Je kunt een klacht indienen bij de toezichthouder (in NL: Autoriteit Persoonsgegevens).

Speciale scenario’s (kies wat op jou van toepassing is)

1) Alleen inloggegevens/wachtwoorden gelekt

• Reset wachtwoord + sessies ongeldig maken. Log overal uit (alle apparaten) en draai herstelcodes opnieuw uit.
• Controleer forwarders en recovery-adressen. Kijk of er geen doorstuurregels, vreemde recovery-e-mails of telefoonnummers zijn toegevoegd.
• Versterk 2FA. Stap, als het kan, over van sms naar authenticator-app of passkeys.

2) Persoons- en adresgegevens gelekt

• Extra phishing-waakzaamheid. Doordat naam/adres/geb. datum bekend zijn, worden berichten overtuigender.
• Post en pakketfraude. Wees alert op onverwachte zendingen of rekeningen op jouw naam; betwist onmiddellijk.

3) Identiteitsdocument/BSN gelekt

• Gemeente informeren. Vraag naar passende vervolgstappen (bijv. vervanging document wanneer nodig).
• KopieID gebruiken. Voor toekomstige kopieën: scherm onnodige gegevens af en zet duidelijk doel/datum op de kopie.
• Vermoeden identiteitsfraude? Meld dit direct bij het Centraal Meldpunt Identiteitsfraude (CMI) en de Fraudehelpdesk; doe aangifte bij concreet misbruik (abonnementen/bestellingen op jouw naam).

4) Financiële gegevens gelekt (rekening- of kaartgegevens)

• Bank direct bellen. Laat kaarten blokkeren/vervangen indien nodig en laat extra monitoring activeren.
• Automatische incasso’s nalopen. Trek ongeautoriseerde incasso’s terug en informeer de bank over mogelijk misbruik.
• Sterke betaalbeveiliging. Activeer (of verscherp) limieten en meldingen per transactie.

5) Medische gegevens gelekt

• Zorgdeclaraties controleren. Log in bij je zorgverzekeraar en check recente declaraties op onbekende posten.
• Inzage-logs bekijken en toestemmingen beheren. Controleer in je zorgportaal (of via voorzieningen zoals Volgjezorg) wie inzage had en pas toestemmingen aan als dat nodig is.
• Extra terughoudend met delen. Wees voorzichtig met het (opnieuw) uploaden van medische documenten naar apps of portals die je niet strikt nodig hebt.

Planning: vandaag, deze week, komende maanden

Vandaag (0–24 uur)

• Wachtwoorden vervangen, MFA aan, passwordmanager instellen
• Alerts aanzetten bij bank en belangrijke accounts
• Provider bellen voor extra nummerbeveiliging
• Inventarisatie maken: wat is er precies gelekt?

Binnen 7 dagen

• Alle hergebruikte wachtwoorden vervangen
• Recovery-opties en doorstuurregels nalopen
• Onterechte incasso’s storneren en bank informeren
• Schriftelijke duidelijkheid vragen aan de organisatie over welke velden van jou zijn geraakt

Binnen 30–90 dagen

• Verhoogde waakzaamheid aanhouden (e-mail, bank, verzekeraar)
• Logboek bijhouden van pogingen tot misbruik
• Overweeg een klacht bij de toezichthouder als communicatie of beveiliging tekortschoten

Communiceren met de organisatie: korte template