Datalekken herkennen en melden

Wat zijn de rechten van klanten als hun gegevens betrokken zijn bij een datalek?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je krijgt een e-mail of appje van een bedrijf waar je klant bent. "Sorry, er is iets misgegaan", staat er. "Uw gegevens zijn mogelijk onbedoeld zichtbaar geweest." Je voelt je even ongemakkelijk. Wat nu?

Inhoudsopgave
  1. Wat is een datalek eigenlijk?
  2. De AVG: jouw schild tegen datalekken
  3. Jouw rechten na een datalek
  4. Wat moet je zelf doen bij een datalek?
  5. De rol van de Autoriteit Persoonsgegevens (AP)
  6. Compensatie: krijg je geld terug?
  7. Hoe voorkom je datalekken?

Is al je privacy weg? Kun je nog iets doen? Gelukkig wel.

In Nederland en Europa heb je als burger flink wat rechten als jouw persoonlijke data in de verkeerde handen valt. We duiken erin.

Wat is een datalek eigenlijk?

Een datalek, of data-inbreuk, klinkt technisch, maar het is simpel: het gaat mis met jouw persoonsgegevens.

Die gegevens zijn dan per ongeluk gelekt, gestolen of onbevoegd openbaar gemaakt. Het gaat hier niet alleen om namen en adressen, maar ook om gevoelige info zoals je burgerservicenummer (BSN), bankrekeningnummers, medische dossiers of zelfs je wachtwoorden. De oorzaken zijn divers.

Denk aan een hacker die een systeem binnendringt, een medewerker die per ongeluk een bestand naar de verkeerde persoon mailt, of een laptop die in de trein blijft liggen. De ernst hangt af van wat voor data het is en hoeveel mensen het treft. Een gelekt e-mailadres is vervelend, een gestolen medisch dossier is een stuk serieuzer.

De AVG: jouw schild tegen datalekken

In Nederland en de rest van Europa beschermt de Algemene Verordening Gegevensbescherming (AVG) jouw privacy.

Deze wet, in de volksmond ook wel GDPR genoemd, legt organisaties verplichtingen op. Ze moeten jouw gegevens beveiligen en transparant zijn over wat ze ermee doen. Als er een datalek is, moeten ze dat melden – zowel aan de toezichthouder als aan jou. De AVG is jouw belangrijkste wapen.

Jouw rechten na een datalek

De AVG geeft jou een aantal concrete rechten. Deze rechten zijn je gereedschapskist om de schade te beperken en actie te ondernemen.

1. Het recht op informatie

Ze staan niet op zich; ze helpen je om weer grip te krijgen op je eigen data. Dit is je basisrecht. Zodra een organisatie ontdekt dat er een datalek is geweest waarbij jouw gegevens zijn betrokken, moet ze jou daarover informeren. Zonder onnodige vertraging.

  • Wat er precies is gebeurd.
  • Welke gegevens zijn gelekt.
  • Wat de mogelijke gevolgen voor jou zijn.
  • Welke maatregelen de organisatie neemt om het lek te dichten en de schade te beperken.
  • Hoe je de organisatie kunt bereiken voor vragen.

In die melding moet duidelijk staan: Een vaag berichtje voldoet niet.

2. Het recht op inzage

Je hebt recht op duidelijkheid. Je hebt altijd het recht om te weten welke gegevens een organisatie van je heeft.

3. Het recht op rectificatie

Na een datalek is dit extra belangrijk. Je kunt de organisatie vragen om een overzicht van alle persoonsgegevens die zij van je verwerken. Zo weet je precies wat er mogelijk op straat is komen te liggen. Als door het datalek jouw gegevens zijn gewijzigd of onjuist zijn geworden, heb je het recht om deze te laten corrigeren.

Wanneer pas je dit toe?

Stel dat een hacker je adres heeft aangepast, dan kun je eisen dat dit wordt hersteld. Dit recht komt vooral van pas als je merkt dat je gegevens niet kloppen na het incident.

4. Het recht op gegevenswissing (het 'recht om vergeten te worden')

Denk aan een verkeerd huisadres of een aangepast telefoonnummer. De organisatie is verplicht deze fouten te herstellen. Dit is een krachtig recht.

Onder bepaalde voorwaarden kun je de organisatie vragen om al jouw persoonsgegevens te verwijderen.

5. Het recht op beperking van de verwerking

Dit kan bijvoorbeeld als de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, of als je je toestemming intrekt. Let op: dit recht is niet absoluut. Als de organisatie een wettelijke plicht heeft om de gegevens te bewaren (bijvoorbeeld voor de belastingdienst), mogen ze ze niet zomaar wissen.

Maar in veel gevallen van een datalek kan verwijdering een effectieve manier zijn om risico's te verkleinen.

6. Het recht op data-overdraagbaarheid

Dit recht werkt als een soort noodrem. Je kunt de organisatie vragen om tijdelijk te stoppen met het verwerken van jouw gegevens. Dit is handig als je de juistheid van de gegevens betwist, of als je bezwaar maakt tegen de verwerking.

De organisatie mag de gegevens dan alleen nog opslaan, maar verder niets meer mee doen. Stel je voor: je bent ontevreden over hoe een bedrijf met je data omgaat na een lek.

7. Het recht om bezwaar te maken

Je wilt overstappen naar een concurrent. Dan heb je het recht om je gegevens in een gestructureerd, algemeen gebruikt formaat (zoals een PDF of Excel) terug te krijgen van de oude partij.

Zo kun je ze eenvoudig overdragen aan een nieuwe dienstverlener. Dit maakt het makkelijker om van leverancier te wisselen. Je kunt altijd bezwaar maken tegen de verwerking van je persoonsgegevens, bijvoorbeeld als je dit niet langer wilt of als de verwerking niet in jouw belang is. Na een datalek is dit een manier om aan te geven dat je geen enkel risico meer wilt lopen. De organisatie moet je verzoek serieus nemen en moet stoppen met de verwerking, tenzij ze zwaardere belangen hebben (zoals een wettelijke plicht).

Wat moet je zelf doen bij een datalek?

Wachten op een melding van het bedrijf is één, maar je zit zelf ook niet stil. Hoe sneller je handelt, hoe beter je de schade kunt beperken. Volg deze stappen:

  1. Neem direct contact op: Bel of mail het bedrijf. Vraag om duidelijke informatie. Wat is er gelekt? Hoe groot is de schaal? Wat doen ze eraan?
  2. Check je financiële gegevens: Houd je bankrekening en creditcard in de gaten. Zie je verdachte transacties? Meld dit meteen bij je bank.
  3. Verander je wachtwoorden: Gebruik je hetzelfde wachtwoord voor meerdere accounts? Verander ze direct. Kies voor sterke, unieke wachtwoorden. Gebruik een wachtwoordmanager zoals LastPass of 1Password.
  4. Blijf alert op phishing: Criminelen die jouw gegevens hebben, proberen je vaak met een nepmail te lokken. Klik niet op verdachte links en geef nooit zomaar extra informatie.
  5. Meld het bij de Autoriteit Persoonsgegevens (AP): De AP is de toezichthouder in Nederland. Als een bedrijf je niet of onvoldoende informeert, kun je een klacht indienen bij de AP. Zij kunnen onderzoek doen en boetes opleggen.
  6. Overweeg juridische stappen: In sommige gevallen kun je schadeclaimen. Als je financiële schade hebt of als je veel stress ervaart door het lek, kan een juridisch adviseur helpen.

De rol van de Autoriteit Persoonsgegevens (AP)

De AP is de spil in de Nederlandse privacywereld. Hun taik is helder: toezicht houden op de naleving van de AVG.

Als er een datalek plaatsvindt, moeten organisaties dit binnen 72 uur melden bij de AP. Als ze dat niet doen, of als het lek ernstig is, kan de AP onderzoek instellen. De AP kan flinke boetes opleggen.

Denk aan miljoenen euro’s voor bedrijven die de regels overtreden. Voor jou als burger betekent dit dat er een onafhankelijke partij is die op de bres springt.

De AP geeft ook voorlichting en publiceert richtlijnen op hun website, zonder dat je daar een link voor nodig hebt. Ze zijn er om jouw privacy te beschermen.

Compensatie: krijg je geld terug?

Een datalek kan leiden tot echte schade. Denk aan diefstal van geld, maar ook aan emotionele schade of reputatieschade.

De AVG geeft je het recht op een schadevergoeding. Je kunt de organisatie aansprakelijk stellen voor de schade die je hebt geleden.

Hoe hoog de vergoeding is, hangt af van de omstandigheden. Bewijs is hierbij cruciaal. Documenteer alles: bewaar e-mails, screenshot verdachte transacties en noteer hoe het lek je leven beïnvloedt. In sommige gevallen kunnen groepen mensen samen een claim indienen, bijvoorbeeld via een stichting die optreedt namens gedupeerden.

Hoe voorkom je datalekken?

Voorkomen is beter dan genezen. Hoewel je als individu niet altijd invloed hebt op de beveiliging van een bedrijf, kun je zelf wel het een en ander doen om je data te beschermen:

  • Gebruik sterke wachtwoorden: Gebruik voor elk account een ander, complex wachtwoord.
  • Schakel tweefactorauthenticatie in: Dit is een extra beveiligingslaag. Vaak een code via je telefoon.
  • Wees voorzichtig met delen: Deel niet zomaar overal je persoonsgegevens. Vraag je af: is dit echt nodig?
  • Update je software: Houd je besturingssysteem en apps up-to-date. Updates bevatten vaak beveiligingspatches.
  • Controleer privacy-instellingen: Kijk regelmatig naar de privacy-instellingen van apps en websites.

Organisaties moeten hun best doen om datalekken te voorkomen, maar jij hebt ook een eigen verantwoordelijkheid.

Door bewust om te gaan met je data, verklein je de kans op problemen. Voorkom een datalek door een verloren laptop of USB-stick door alert te blijven. Onthoud: jouw gegevens zijn van jou. Je hebt de kracht om je rechten te claimen. Blijf alert, wees proactief en laat je niet zomaar over je heen lopen.

Lees ook
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden? Hoe meld je een datalek bij de Autoriteit Persoonsgegevens in 2026: stap voor stap Binnen hoeveel uur moet je een datalek melden en wat zijn de gevolgen als je dat vergeet? Wanneer moet je een datalek ook melden aan de betrokkenen zelf? Wat zijn de meest voorkomende datalekken bij kleine Nederlandse bedrijven? Hoe herken je een datalek dat al weken onopgemerkt loopt in je bedrijf?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Datalekken herkennen en melden

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een datalek precies en wanneer ben je als bedrijf verplicht het te melden?
Lees verder →