Datalekken herkennen en melden

Datalek door een hack: wat doe je in de eerste 24 uur?

Eva de Vries Eva de Vries
· · 7 min leestijd

Je telefoon gaat over. Of je krijgt een melding op je scherm.

Inhoudsopgave
  1. Waarom deze eerste dag zo bepalend is
  2. Uur 0-4: De eerste schrik en bevestiging
  3. Uur 4-8: Isolatie en containment
  4. Uur 8-16: Onderzoek en analyse
  5. Uur 16-24: Melding en communicatie
  6. Na de eerste 24 uur: Herstel en verbetering

Het is niet goed. Iemand heeft toegang gekregen tot je systemen. Er is sprake van een datalek door een hack.

Je maakt direct van alles mee: paniek, boosheid, angst. Maar de allerbelangrijkste stap die je nu moet zetten, is je emoties opzij zetten en helder blijven denken.

Want wat je in de eerste 24 uur doet, bepaalt vaak de uitkomst van de hele crisis. Het gaat hier niet alleen om techniek, maar om overleven. De schade beperken, je bedrijf redden en je klanten beschermen. Laten we zonder poespas doornemen wat je nú moet doen.

Waarom deze eerste dag zo bepalend is

Denk je even aan de cijfers. Volgens onderzoek van IBM kost een datalek wereldwijd gemiddeld 4,45 miljoen dollar.

Dat is een absurd hoog bedrag. En dat bedrag stijgt nog elk jaar.

De schade zit hem niet alleen in het directe geld dat je kwijt bent aan herstel. Het zit in het vertrouwen dat je klanten in je hebben. Als dat sneuvelt, ben je veel langer bezig met herstel dan met het plakken van een gat in je systeem. Volgens het Verizon Data Breach Investigations Report komt 83% van de lekken door menselijke fouten.

Denk aan een medewerker die op een link klikt in een phishingmail of een wachtwoord dat te makkelijk is geraden.

Slechts een klein deel komt door technische bugs. Dit betekent dat je te maken hebt met een combinatie van mens en techniek. In de eerste 24 uur draait het om twee dingen: technische isolatie en heldere communicatie. Als je die twee strak trekt, heb je de grootste kans om de boel te redden.

Uur 0-4: De eerste schrik en bevestiging

De klok tikt. Het moment dat je het vermoeden van een hack hebt, begint de race tegen de klok.

Het is verleidelijk om direct alle systemen plat te gooien, maar rustig blijven is cruciaal.

Verzamel je crisis team

Je eerste taak is bevestiging. Is het echt een hack of is het een vals alarm? Je kunt dit niet alleen.

Pak je telefoon en bel direct je IT-verantwoordelijke, de security officer en iemand van het management. Zet ze in een (digitale) kamer.

Check de logs en waarschuwingen

Geen eindeloze vergaderingen, maar direct actie. Iedereen moet weten dat het menens is. Je hebt beveiligingssystemen staan, zoals Splunk of Elastic Stack. Check deze nu direct.

Zie je verdachte logins, onverklaarbare data-overdrachten of waarschuwingen van je antivirus? Probeer te achterhalen welke systemen geraakt zijn.

Is het één laptop of loopt je hele database leeg? Op dit moment hoef je de oorzaak nog niet volledig te begrijpen, je moet alleen de omvang in kaart brengen. Belangrijk: schakel je ego uit.

Als je denkt "dit overkomt ons niet", ben je je tijd aan het verliezen. Ga uit van het ergste scenario en handel daar naar.

Uur 4-8: Isolatie en containment

Zodra je weet wat er speelt, moet je de verspreiding stoppen. Dit is het moment van "containment".

Offline halen van getroffen systemen

Je wilt niet dat de hacker dieper in je netwerk komt of meer data steelt.

De makkelijkste stap is vaak de zwaarste: haal de getroffen systemen offline. Dit betekent soms dat bedrijfsprocessen stilvallen. Dat is pijnlijk, maar noodzakelijk.

Wachtwoorden resetten en toegang blokkeren

Een hacker kan geen data meer stelen als de server er niet is. Zorg ervoor dat je weet welke systemen je mag uitzetten zonder je kernactiviteiten onmogelijk te maken.

Heb je een back-up? Zorg dat die veilig is en niet besmet. Verander alle wachtwoorden die mogelijk gecompromitteerd zijn. Dit begint bij de administrators, maar vergeet gewone gebruikers niet.

Schakel tweefactorauthenticatie (2FA) in waar dit nog niet het geval is. Als je nog oude accounts hebt van medewerkers die al weg zijn, blokkeer die direct.

Een hacker zoekt altijd naar zwakke schakels, en oude accounts zijn een geliefd doelwit. Een handige tip: gebruik tijdelijke workarounds. Als je hoofdsysteem plat ligt, kun je misschien nog handmatig werken of een alternatief systeem opstarten om de business draaiende te houden zonder het gat in de beveiliging open te laten staan.

Uur 8-16: Onderzoek en analyse

Nu de brandweer de brand heeft geblust (lees: de systemen zijn geïsoleerd), is het tijd voor het forensische werk. Je wilt weten wat er precies is gebeurd.

Hoe is de hacker binnengekomen?

Dit is het moment voor een diepgaande analyse. Bekijk de logs. Was het een zwakke plek in je software?

Een phishingmail die niet is opgemerkt? Of misschien een derde partij die toegang had via een API? Je moet de kwetsbaarheid vinden en dichten.

Als je niet weet hoe ze binnenkwomen, kun je het niet voorkomen. Gebruik tools voor log-analyse.

Je hoeft geen honderden uren te besteden aan elke regel code, maar zoek naar patronen. Waar begon de aanval? Was het van binnen of van buiten? Als je een externe expert nodig hebt, schakel die dan nu in.

Welke data is gestolen?

Zij hebben vaak gespecialiseerde software die sneller inzicht geeft. Dit is de pijnlijkste vraag.

Welke gegevens zijn nu precies buitgemaakt? Gaat het om namen en e-mailadressen, of om gevoelige financiële data of medische dossiers? Dit bepaalt de impact.

Als het alleen om openbare informatie gaat, is de schade beperkt. Gaat het om creditcardnummers of burgerservicenummers, dan is de impact groot.

Houd rekening met de AVG (Algemene Verordening Gegevensbescherming). De wet eist dat je weet welke persoonsgegevens zijn geraakt. Je kunt niet zeggen "we weten het niet zeker". Je moet het weten.

Uur 16-24: Melding en communicatie

De tijd dringt. De AVG schrijft voor dat je een datalek binnen 72 uur moet melden bij de toezichthouder, de Autoriteit Persoonsgegevens (AP).

Wie moet je informeren?

In de praktijk betekent dit dat je aan het einde van de eerste dag al moet weten of je moet melden.

Wacht niet tot het laatste uur. Er zijn drie groepen die je moet informeren: 1. De Autoriteit Persoonsgegevens: Doe dit zo snel mogelijk. Leg uit wat er is gebeurd, welke data is geraakt en welke maatregelen je neemt.

Hoe schrijf je een goede melding?

2. De betrokkenen (klanten/medewerkers): Zij hebben recht om te weten dat hun data is gelekt. Wees eerlijk en transparant.

Geef aan wat er is gebeurd, wat de risico's zijn en wat zij kunnen doen (bijvoorbeeld hun wachtwoord wijzigen). 3. Medewerkers: Zorg dat je eigen team op de hoogte is. Niets is vervelender dan dat medewerkers via de media horen dat hun data is gelekt. Schrijf een melding die helder is en geen paniek zaait, maar wel realistisch is. Vermijd vakjargon.

Zeg niet "er is een SQL-injectie geconstateerd", maar "er is ongeautoriseerde toegang geweest tot onze database".

Geef aan welke stappen je onderneemt om het te herstellen. Voorbeeld van een simpele zin: "We hebben een datalek ontdekt waarbij persoonlijke gegevens mogelijk zijn blootgesteld. We onderzoeken dit nauwkeurig en nemen maatregelen om dit te voorkomen." Wees duidelijk over de volgende stap: wanneer verwacht je meer informatie?

Overweeg juridisch advies. De wetgeving rond datalekken is streng.

Een fout in de communicatie kan leiden tot extra boetes of reputatieschade. Zorg dat je tekst juridisch is getoetst voordat je deze verstuurt.

Na de eerste 24 uur: Herstel en verbetering

De eerste dag is voorbij. De grootste paniek is geweken, maar het werk is nu pas echt begonnen.

Herstel van de systemen

De eerste 24 uur waren om de brand te blussen, de komende weken gaan over wederopbouw.

Lessen trekken uit de hack

Je systemen kunnen pas weer online als je zeker weet dat de kwetsbaarheid is gedicht. Haal niet zomaar de stekker er weer in. Test je systemen grondig.

Gebruik back-ups om data terug te zetten, maar check eerst of die back-ups niet besmet zijn. Elke hack is een leermoment. Voer een post-mortem uit. Wat ging er mis?

Waarom is het gebeurd? Hoe kunnen we dit volgende keer voorkomen?

De toekomst veiligstellen

Dit is niet om iemand de schuld te geven, maar om je beveiliging te verbeteren. Investeer in training voor medewerkers.

Omdat 83% van de lekken door menselijke fouten komt, is dit de beste investering die je kunt doen. Leer ze phishing herkennen, sterke wachtwoorden te gebruiken en voorzichtig te zijn met data. Beveiliging is geen eenmalige actie.

Het is een continu proces. Zorg voor regelmatige updates, patch management en het testen van je incident response plan.

Misschien is het tijd voor een externe audit of het inschakelen van een Security Operations Center (SOC). Een hack is nooit leuk, maar het kan je bedrijf sterker maken als je er goed op reageert. De eerste 24 uur zijn cruciaal, maar hoe je verdergaat, bepaalt je reputatie op de lange termijn. Blijf alert, blijf communiceren en blijf investeren in veiligheid.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →