Wat moet je doen als je persoonsgegevens zijn gelekt?
Je hoort het nieuws: een bedrijf heeft een datalek gehad. En jouw gegevens stonden erin. Dat is een nare gedachte. Je vraagt je af wat criminelen hiermee kunnen doen. En vooral: wat jij nu moet doen. Goed nieuws: je kunt direct actie ondernemen. En hoe sneller je dat doet, hoe beter je jezelf beschermt. In dit artikel lees je wat een datalek is, welke stappen je direct moet zetten en welke rechten je hebt onder de AVG.
Laatst bijgewerkt: februari 2026 | Gecontroleerd door juristen van Stichting Achmea Rechtsbijstand
Samenvatting
Als je persoonsgegevens zijn gelekt, moet je zo snel mogelijk nagaan welke gegevens zijn getroffen, je wachtwoorden wijzigen, tweestapsverificatie inschakelen en alert zijn op fraude. Bij een hoog risico is de organisatie verplicht jou persoonlijk te informeren. Onder voorwaarden kun je op grond van de AVG een schadevergoeding eisen, maar dat vereist aantoonbare, werkelijke schade en een direct verband met het datalek.
Wat is een datalek?
Een datalek is een beveiligingsincident waarbij persoonsgegevens in verkeerde handen komen. Dat kan gebeuren door hacking, een menselijke fout of een technisch probleem. Soms handelt een medewerker ook opzettelijk fout.
Volgens de AVG (de Algemene Verordening Gegevensbescherming - de Europese privacywet) is er sprake van een datalek als:
- gegevens per ongeluk toegankelijk worden voor mensen die daar geen recht op hebben;
- gegevens worden gewijzigd of vernietigd zonder dat dat de bedoeling was;
- gegevens verloren gaan, bijvoorbeeld door diefstal van een laptop;
- iemand zonder toestemming toegang krijgt tot systemen met persoonsgegevens.
Welke gegevens zijn kwetsbaar?
Niet alle persoonsgegevens zijn even gevoelig. De AVG maakt onderscheid tussen 2 soorten.
Gewone persoonsgegevens zijn gegevens waarmee je te identificeren bent, zoals je naam en adres, e mailadres, telefoonnummer, kenteken, IBAN en geboortedatum.
Bijzondere persoonsgegevens zijn extra gevoelig en hebben speciale wettelijke bescherming. Het gaat onder meer om je BSN (burgerservicenummer), kopieën van je identiteitsbewijs, medische gegevens, gegevens over godsdienst of afkomst, biometrische gegevens en strafrechtelijke gegevens.
Hoe gevoeliger de gelekte gegevens, hoe groter het risico op misbruik.
Wat moet je direct doen? Stappenplan bij een datalek
Hoorde je dat er een datalek is bij een organisatie waar je klant bent? Zet dan zo snel mogelijk deze stappen.
Stap 1: Vraag welke gegevens van jou zijn gelekt
Neem contact op met de organisatie en vraag welke persoonsgegevens van jou precies zijn gelekt. Vraag ook wanneer het datalek heeft plaatsgevonden, hoe lang het heeft geduurd en of de gegevens versleuteld waren. Dat bepaalt hoe groot het risico is. Reageert de organisatie niet? Dan kun je een formeel inzageverzoek indienen op grond van artikel 15 AVG. De organisatie moet daar binnen 1 maand op reageren. In de dagelijkse adviespraktijk van Stichting Achmea Rechtsbijstand blijkt dat veel mensen dit inzagerecht niet benutten, terwijl dit vaak uiterst belangrijk is om duidelijkheid te krijgen over de ernst van een datalek.
Stap 2: Check of jouw gegevens voorkomen in bekende datalekken
Gebruik een van deze gratis controles:
- Have I Been Pwned (haveibeenpwned.com): controleer of je e mailadres voorkomt in bekende datalekken
- Check je hack van de Politie (via politie.nl): Nederlandse controle op gehackte accounts
Stap 3: Verander meteen al je wachtwoorden
Zijn er wachtwoorden gelekt? Verander dan onmiddellijk het wachtwoord van het getroffen account. Doe dat ook bij alle andere accounts waar je hetzelfde wachtwoord gebruikt, met name bij e-mail, online bankieren, sociale media en DigiD. Gebruik voor elk account een uniek wachtwoord van minimaal 12 tekens. Een wachtwoordmanager helpt je om dit veilig bij te houden.
Stap 4: Zet tweestapsverificatie aan
Tweestapsverificatie (2FA) is een extra beveiligingslaag bovenop je wachtwoord. Zelfs als een crimineel je wachtwoord heeft, kan hij dan niet inloggen zonder een tweede code.
Zet 2FA aan op al je belangrijke accounts. Volgens juristen van Achmea Rechtsbijstand is dit een van de meest effectieve maatregelen om schade na een datalek te beperken.
Stap 5: Houd je bankrekening goed in de gaten
Controleer je bankafschriften dagelijks op onbekende afschrijvingen, ook kleine bedragen. Criminelen testen vaak eerst met een klein bedrag. Zie je iets verdachts? Neem dan direct contact op met je bank en laat je betaalmiddel blokkeren.
Stap 6: Blijf alert op oplichting
Na een datalek proberen criminelen gelekte gegevens snel te misbruiken. Ze sturen phishing mails, bellen als nep klantenservice of sturen sms berichten met verdachte links (smishing). Klik nooit zomaar op links. Bel altijd zelf terug via een officieel nummer en deel nooit je inlogcodes, wachtwoorden of pincode.
Stap 7: Vraag een nieuw identiteitsbewijs aan
Is een kopie van je paspoort, rijbewijs of ID kaart gelekt? Laat het document dan ongeldig verklaren bij de gemeente en vraag een nieuw identiteitsbewijs aan. Meld daarbij expliciet dat het om een datalek gaat.
Stap 8: Ben je al slachtoffer van identiteitsfraude? Handel dan meteen
Ben je daadwerkelijk slachtoffer geworden van fraude? Neem dan direct deze stappen:
- Meld de fraude bij het Centraal Meldpunt Identiteitsfraude (CMI) online of via 088 900 01 00
- Doe aangifte bij de politie
- Waarschuw betrokken organisaties, zoals je bank en andere dienstverleners
- Controleer je BKR registratie via mijnkredietoverzicht.
Wat moet de organisatie doen bij een datalek?
Organisaties hebben wettelijke verplichtingen bij een datalek. Het is belangrijk om te weten wat je mag verwachten.
Meldplicht binnen 72 uur
Volgens de Autoriteit Persoonsgegevens moet een organisatie een datalek binnen 72 uur melden als het waarschijnlijk een risico oplevert voor betrokkenen. Die termijn geldt ook in het weekend en op feestdagen. De melding moet onder meer bevatten: wat er is gelekt, hoeveel mensen het betreft, welke gegevens zijn geraakt en welke maatregelen zijn genomen. Doet een organisatie geen melding terwijl dat wel verplicht is? Dan kan de toezichthouder een boete opleggen tot €10.000.000 of 2% van de wereldwijde jaaromzet bij minder zware overtredingen. Bij zware overtredingen kunnen die bedragen nog verder oplopen.
Informatieplicht bij hoog risico
Is er sprake van een hoog risico voor jou? Dan moet de organisatie je persoonlijk informeren. Dat is bijvoorbeeld het geval bij:
- gelekte BSN-gegevens
- volledige kopieën van identiteitsbewijzen
- inloggegevens
- creditcardgegevens
- medische of andere bijzondere persoonsgegevens
De organisatie moet dan uitleggen wat er is gebeurd en welke maatregelen jij kunt nemen.
Hoe kunnen criminelen gelekte gegevens misbruiken?
Criminelen gebruiken gelekte persoonsgegevens onder meer voor:
- Identiteitsfraude: leningen of contracten op jouw naam
- Accountovername: toegang tot e mail en andere accounts
- SIM swapping: overname van je telefoonnummer
- Gerichte phishing: zeer geloofwaardige oplichtingsberichten
Kun je schadevergoeding krijgen na een datalek?
Artikel 82 AVG geeft recht op schadevergoeding als een organisatie de AVG overtreedt en jij daardoor schade lijdt. In de praktijk is dit echter niet eenvoudig.
Wanneer maak je kans? Je moet als slachtoffer bewijzen dat:
- er sprake is van een AVG overtreding
- je daadwerkelijk schade hebt geleden
- er een direct causaal verband is
Het Europees Hof van Justitie oordeelde in 2023 (zaak C 300/21) dat niet elk datalek automatisch recht geeft op schadevergoeding. Achmea Rechtsbijstand ziet in de praktijk dat schadeclaims vooral kansrijk zijn als er daadwerkelijk fraude of financieel nadeel is ontstaan. In recente Nederlandse rechtspraak variëren vergoedingen grofweg tussen €250 en €2.500 per persoon.
Veelgestelde vragen over het melden van datalekken
Hulp nodig bij een datalek?
Ben je verzekerd bij Interpolis, Centraal Beheer, FBTO, Avéro Achmea of InShared? Neem dan contact op met onze juristen. Wij beoordelen jouw situatie en helpen je bij de vervolgstappen.