← Alle gidsen  ·  Databescherming

Een datalek: wat moet u doen als slachtoffer?

Als uw gegevens gelekt zijn, heeft u rechten. Wat zijn de concrete stappen, bij wie meldt u het en wat kunt u verwachten van de betrokken organisatie en de GBA?

20 april 2025 · 6 min leestijd

Wat is een datalek precies?

Een datalek is een beveiligingsincident waarbij persoonsgegevens per ongeluk of opzettelijk worden vrijgegeven, gewijzigd, vernietigd of toegankelijk gemaakt voor onbevoegden.

Voorbeelden van datalekken:

  • Een hacker breekt in op de servers van een webshop en steelt klantengegevens
  • Een ziekenhuis stuurt per ongeluk medische gegevens naar de verkeerde persoon
  • Een werknemer verliest een laptop met klantgegevens
  • Een bedrijf configureert een database verkeerd, waardoor gegevens publiek toegankelijk zijn

Datalekken komen vaker voor dan u denkt. Grote gevallen halen het nieuws, maar er zijn duizenden kleinere lekken die nauwelijks aandacht krijgen.

Hoe weet u of uw gegevens gelekt zijn?

Er zijn manieren om te controleren of uw e-mailadres of wachtwoord ooit in een datalek is opgedoken:

HaveIBeenPwned.com

  • Gratis dienst van beveiligingsonderzoeker Troy Hunt
  • Vul uw e-mailadres in en de site toont of het in een bekend datalek voorkomt
  • Geeft ook aan welk platform gehackt werd en welke data gelekt is

Meldingen van bedrijven:
Onder de GDPR zijn bedrijven verplicht u te verwittigen als uw gegevens gelekt zijn én als dit een risico vormt voor uw rechten en vrijheden. Heeft u een dergelijke e-mail ontvangen? Neem die serieus.

Uw wachtwoordmanager:
Bitwarden en 1Password waarschuwen automatisch als een bewaard wachtwoord in een datalek is opgedoken.

Wat doet u als uw gegevens gelekt zijn?

Handel snel en methodisch:

1. Wijzig uw wachtwoord onmiddellijk
Verander het wachtwoord van het betrokken account en van elk ander account waar u hetzelfde wachtwoord gebruikte. Gebruik voortaan unieke wachtwoorden per site.

2. Activeer twee-factor authenticatie
Als dat nog niet het geval was, activeer 2FA op het betrokken account en op uw e-mailaccount.

3. Wees extra alert op phishing
Criminelen die een datalek kopen, gebruiken die gegevens vaak voor gerichte phishing-aanvallen. U kunt e-mails ontvangen waarbij men uw naam, adres of klantnummer kent — wees extra kritisch.

4. Als financiële gegevens zijn uitgelekt:

  • Contacteer uw bank onmiddellijk
  • Vraag een melding van verdachte activiteit op uw rekening
  • Overweeg uw kaart te (laten) blokkeren en vervangen via Card Stop: 078 170 170

5. Als uw identiteitsgegevens zijn uitgelekt:

  • Doe aangifte bij de politie (voor eventuele identiteitsfraude later)
  • Meld het bij het Belgisch punt voor identiteitsfraude: eCops.be

Wat zijn de verplichtingen van het bedrijf?

Onder de GDPR heeft het bedrijf dat het datalek heeft gehad strikte verplichtingen:

Meldplicht aan de GBA:
Het bedrijf moet een datalek melden bij de Gegevensbeschermingsautoriteit (GBA) binnen 72 uur na ontdekking — tenzij het lek waarschijnlijk geen risico vormt voor de betrokkenen.

Meldplicht aan de betrokkenen:
Als het datalek een hoog risico vormt voor uw rechten en vrijheden, moet het bedrijf u persoonlijk verwittigen. Dit moet in duidelijke taal en met concrete aanbevelingen over wat u kunt doen.

Wat moet die melding bevatten?

  • De aard van het datalek
  • Welke gegevens zijn betrokken
  • De waarschijnlijke gevolgen
  • De maatregelen die het bedrijf heeft genomen
  • Contactgegevens van de DPO of privacyverantwoordelijke

Ontvangt u een dergelijke melding niet, terwijl u vermoedt dat uw gegevens zijn gelekt? Dan kunt u het bedrijf rechtstreeks aanspreken.

Klacht indienen bij de GBA

Als u vindt dat een bedrijf zijn verplichtingen niet is nagekomen na een datalek — het heeft u niet verwittigd, reageert niet op uw vragen, of heeft aantoonbaar nalatig gehandeld — dan kunt u een klacht indienen bij de GBA.

Hoe een klacht indienen:

  1. Ga naar gegevensbeschermingsautoriteit.be
  2. Klik op Klacht indienen
  3. Vul het online klachtenformulier in
  4. Voeg bewijs toe: e-mails, screenshots, het originele lekbericht

Wat doet de GBA met uw klacht?
De GBA onderzoekt de klacht en kan het bedrijf verplichten maatregelen te nemen. Bij ernstige overtredingen kan de GBA boetes opleggen tot 4% van de wereldwijde jaaromzet van het bedrijf — dat zijn de hoogste boetes in de EU.

Schadevergoeding:
Als u aantoonbare schade heeft geleden door het datalek (financieel of emotioneel), kunt u ook een burgerlijke vordering instellen voor de rechtbank. Dat is een aparte procedure naast de GBA-klacht.