Wat te doen na een datalek? Stappenplan

De allereerste stap na een datalek is het wijzigen van je wachtwoorden. Begin bij het account dat direct getroffen is en werk vervolgens alle accounts af waar je hetzelfde wachtwoord gebruikt. Dit is cruciaal omdat criminelen gelekte wachtwoorden automatisch uitproberen op honderden andere websites (credential stuffing).

Tweefactorauthenticatie (2FA) voegt een extra beveiligingslaag toe aan je accounts. Zelfs als een crimineel je wachtwoord kent, kan hij zonder de tweede factor niet inloggen. Schakel 2FA in op alle accounts die dit ondersteunen, te beginnen bij je e-mail, bankrekening en sociale media.

Het is vrijwel onmogelijk om voor tientallen accounts unieke, sterke wachtwoorden te onthouden. Een wachtwoordmanager doet dit voor je. Je hoeft slechts een hoofdwachtwoord te onthouden en de manager vult de rest automatisch in.

Betrouwbare wachtwoordmanagers zijn onder andere Bitwarden (gratis en open-source), 1Password en KeePass. Deze applicaties slaan je wachtwoorden versleuteld op en kunnen automatisch sterke wachtwoorden genereren. De meeste werken op al je apparaten: computer, telefoon en tablet.

Na een datalek neemt het risico op phishing aanzienlijk toe. Criminelen gebruiken de gelekte gegevens om overtuigende nepberichten te sturen. Omdat ze je naam, adres of andere persoonlijke informatie kennen, lijken deze berichten betrouwbaar.

Wees extra alert op e-mails, sms-berichten en telefoontjes die je vragen om ergens in te loggen, een betaling te doen of gegevens te bevestigen. Controleer altijd het afzenderadres en klik nooit op links in verdachte berichten. Ga in plaats daarvan zelf naar de officiële website door het adres handmatig in je browser te typen.

Als bij het datalek financiële gegevens zijn gelekt, zoals IBAN-nummers of betaalinformatie, is het essentieel om je bankafschriften nauwkeurig te controleren. Kijk of er transacties tussen staan die je niet herkent, hoe klein ook. Criminelen beginnen vaak met kleine testbedragen voordat ze grotere bedragen afschrijven.

Neem bij verdachte transacties direct contact op met je bank. De meeste banken hebben een 24-uurs fraudelijn. Overweeg ook om je bankpas te laten blokkeren en een nieuwe aan te vragen als je vermoedt dat je betaalgegevens misbruikt worden. Stel daarnaast transactienotificaties in zodat je direct een melding krijgt bij elke afschrijving.

In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van privacywetgeving, waaronder de AVG. Als je het vermoeden hebt dat een organisatie niet correct met je gegevens is omgegaan of je niet tijdig heeft geinformeerd over een datalek, kun je een klacht indienen bij de AP.

Organisaties zijn wettelijk verplicht om ernstige datalekken binnen 72 uur te melden bij de AP en getroffen personen te informeren als het lek een hoog risico vormt voor hun rechten en vrijheden. Je kunt een klacht indienen via autoriteitpersoonsgegevens.nl.

Als je vermoedt dat je slachtoffer bent van identiteitsfraude — bijvoorbeeld doordat iemand met jouw gegevens een abonnement heeft afgesloten, een lening heeft aangevraagd of aankopen heeft gedaan — meld dit dan bij het Centraal Meldpunt Identiteitsfraude (CMI). Het CMI is onderdeel van de Rijksdienst voor Identiteitsgegevens (RvIG) en helpt slachtoffers van identiteitsfraude.

Het CMI kan je adviseren over vervolgstappen en je helpen om de gevolgen van identiteitsfraude te beperken. Doe daarnaast aangifte bij de politie. Bij identiteitsfraude is het ook verstandig om een melding te doen bij het Bureau Krediet Registratie (BKR) zodat er een aantekening wordt geplaatst bij je profiel. Dit waarschuwt kredietverstrekkers dat je identiteit mogelijk misbruikt is.