Zo voorkom je een datalek

  • De basis
  • Bijgewerkt 27 oktober 2025
  • 3 min
  • Runnen en groeien
  • Veilig zakendoen

Een vliegmaatschappij, een telecomprovider, een marktonderzoeksbureau: allemaal al eens in het nieuws geweest met een datalek. Wat doe je als je bedrijf bijvoorbeeld klantgegevens heeft gelekt? En hoe voorkom je zo’n datalek?

Subsidie voor kosten cyberveiligheid

De subsidie Mijn Cyberweerbare Zaak (MCZ) voor kleine bedrijven en zzp'ers helpt je met de digitale beveiliging van je bedrijf. Aanvragen kan t/m 31 oktober.

Subsidie aanvragen

Wat is een datalek?

Bij een datalek komen persoonsgegevens in handen van mensen die die gegevens niet mogen hebben. Denk aan naam, adres en telefoonnummer. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand niet voorzichtig genoeg is. Bijvoorbeeld een medewerker die een USB-stick met klantgegevens in de trein laat liggen. Of persoonsgegevens die op een onveilige computer staan.

Gevaren

Bij een datalek loop je mogelijk reputatieschade op. Niemand vertelt graag aan klanten of leveranciers dat hun persoonsgegevens op straat liggen. De gevolgen kunnen groot zijn voor de slachtoffers. Criminelen misbruiken gelekte persoonsgegevens bijvoorbeeld voor phishing en identiteitsfraude.

Een datalek komt vaak voor, bij grote en kleine bedrijven. Ernstige datalekken moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP), anders krijg je mogelijk een boete.

Aantal datalekken stijgt

In 2024 kreeg de Autoriteit Persoonsgegevens (AP) bijna 38.000 meldingen van een datalek. Een sterke stijging vergeleken met 2023. Toen kreeg de AP ruim 25.000 meldingen. 1.430 datalekken kwamen door een cyberaanval.

De AP ziet dat de datalekken ook ernstiger worden. Bij sommige datalekken zijn de risico’s en de gevolgen groot. Criminelen kunnen bijvoorbeeld misbruik maken van medische gegevens en daarmee valse schademeldingen aan verzekeraars sturen.

Ontdek het lek

Er is al snel sprake van een datalek. Een foutje is zo gemaakt. Het overkomt zeker niet alleen grote bedrijven. Stel, je verliest je laptop of je mailt per ongeluk gevoelige informatie aan de verkeerde persoon. Dan heb je al een datalek.

Een datalek door een beveiligingsprobleem ontdek je vaak pas als je controles uitvoert. Je lekt dan misschien al heel lang data. Let daarom op de volgende zaken:

  • Controleer regelmatig de logboeken van je IT-systemen. Zijn gegevens onverwacht veranderd of zelfs verdwenen? Proberen onbekende mensen in te loggen op je accounts? Met een logboek weet je wie op welk moment in je netwerk is. En wat ze daar doen. Je kunt software kopen om zo'n logboek bij te houden.
  • Let op klanten, leveranciers en andere zakenrelaties die bij je klagen over phishing of andere vormen van oplichting. Het kan zijn dat hun persoonsgegevens op straat liggen door een datalek bij jou.
  • Check meldingen van je antivirussoftware of firewall. Kijk of er verdacht netwerkverkeer is. Of misschien is er verdachte software actief.

Weet je niet goed hoe je dit moet aanpakken of wil je dat iemand meekijkt bij verdachte zaken? Vraag je IT-beheerder of een cybersecurityspecialist om hulp.

AVG: privacy en persoonsgegevens

Bescherm persoonsgegevens

Met een aantal maatregelen voorkom je dat je eigen persoonsgegevens en die van je klanten in verkeerde handen vallen.

Voorbeelden van dit soort maatregelen:

  • Bespreek regelmatig met medewerkers hoe je persoonsgegevens verwerkt in je bedrijf. Verstuur en bewaar gegevens op een veilige manier.
  • Zorg dat je goed op de hoogte bent van de privacywet: de Algemene verordening gegevensbescherming (AVG).
  • Geef niet zomaar wachtwoorden, klantgegevens en toegang tot je systemen aan anderen, zoals zzp'ers die tijdelijk voor je werken.
  • Verwerkt een andere organisatie persoonsgegevens voor je bedrijf? Zorg dan voor een verwerkersovereenkomst. Ben je zzp’er? Check bij elke nieuwe opdracht of je met persoonsgegevens werkt. Ook dan is een verwerkersovereenkomst nodig.
  • Vertel klanten welke gegevens je van hen verzamelt en waarom je die nodig hebt. Meld daarbij ook hoe ze het verzamelen van die gegevens stopzetten.
  • Beveilig al je IT-systemen. Gebruik bijvoorbeeld sterke wachtwoorden en tweefactorauthenticatie. Laat ook regelmatig een cybersecurityexpert naar je beveiliging kijken.
Ben je zzp’er? Check bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. Ook dan is een verwerkersovereenkomst nodig.

Stappenplan bij datalek

Neem de volgende stappen als je een datalek hebt:

  1. Check of het om persoonsgegevens gaat. Persoonsgegevens zijn terug te leiden naar een persoon. Denk aan naam, adres, woonplaats, maar ook telefoonnummers en e-mailadressen.
  2. Stop het datalek als het nog bestaat. Denk aan het op afstand wissen van een smartphone die kwijtgeraakt is. Is reparatie van het datalek ingewikkeld? Vraag dan een cybersecurityexpert of een digitaal forensisch expert om hulp.
  3. Schat het risico van het datalek in. Hoe gevoeliger de persoonsgegevens, hoe hoger het risico. Check de lijst met voorbeelden van de Autoriteit Persoonsgegevens.
  4. Meld het datalek binnen 72 uur bij de Autoriteit Persoonsgegevens. Dit moet bij ernstige datalekken die leiden tot risico voor de rechten en vrijheden van de slachtoffers. Meld je het datalek niet? Dan lopen de slachtoffers gevaar en krijg je mogelijk een boete van de Autoriteit Persoonsgegevens.
  5. Meld het datalek aan de mensen van wie je gegevens hebt gelekt. Dit geldt voor datalekken die grote gevolgen kunnen hebben voor jou en de slachtoffers. Denk aan reputatieschade, identiteitsfraude en discriminatie.
  6. Zet een datalek altijd in je verplichte datalekregister.

Zijn jouw gegevens gelekt?

Ontvang je zelf een bericht over een datalek bij een ander bedrijf, bijvoorbeeld een van je leveranciers? Volg dan deze stappen:

  1. Lees het bericht van het bedrijf dat het datalek meldde goed door. Welke gegevens zijn precies gelekt? Zo’n bericht ontvang je alleen bij lekken met een hoog risico.
  2. Verander meteen je wachtwoord als dat is gelekt. Doe dat ook voor accounts waar je hetzelfde wachtwoord gebruikt. Gebruik sterke, unieke wachtwoorden.
  3. Blokkeer creditcards die in de gelekte gegevens voorkomen.
  4. Let extra op mensen die je proberen op te lichten. De kans is namelijk groot dat cybercriminelen je gelekte gegevens misbruiken voor phishing en identiteitsfraude.
  5. Check regelmatig op haveibeenpwned.com of scatteredsecrets.com of je slachtoffer bent van een datalek met een lager risico.

Anderen lezen ook