Datalekken: de gevaren en wat moet je doen?
Ronald Kamp Expert ElektronicaBijgewerkt op:14 november 2024
Regelmatig zijn digitale persoonlijke gegevens niet goed beschermd of erger, ze vallen in verkeerde handen. Van miljoenen Nederlanders zijn allerlei persoonsgegevens in omloop, van contact- en inloggegevens tot soms nog gevoeligere data.
De Autoriteit Persoonsgegevens denkt dat van elke Nederlander inmiddels wel 1 of meer persoonsgegevens zijn gelekt. Wij berekenden zelf dat van ongeveer de helft van de Nederlandse internetters ooit een wachtwoord is gelekt.
Wat is een datalek?
We spreken over een datalek als er persoonsgegevens gedeeld, verloren, gewijzigd of vernietigd zijn zonder dat dat de bedoeling was. Dit kan gebeuren door een slechte beveiliging, menselijke fouten of (digitale) inbraak. Hierbij is niet altijd zeker of de gegevens ook daadwerkelijk zijn gelekt naar derden. Dat is niet altijd te achterhalen.
Hacking
In 2023 ontving de Autoriteit Persoonsgegevens ruim 25.000 meldingen van datalekken. Veel lekken betreffen verkeerd gestuurde mails of brieven. In 1300 gevallen werd hacking, malware of phishing ingezet om persoonsgegevens te stelen.
Wat zijn de gevaren?
Hoe gevaarlijk is een datalek nu eigenlijk? De gevolgen en risico's kunnen verstrekkend zijn, maar er is niet altijd direct iets aan de hand als je zelf goed op blijft letten. De precieze gevaren hangen onder andere af van welke data is gelekt en of de gegevens gecombineerd worden met die uit andere lekken.
De belangrijkste gevaren na een datalek zijn:
- Identiteitsfraude. Criminelen kunnen jouw identiteit aannemen en op/onder jouw naam zaken afsluiten of criminele activiteiten uitvoeren. Het gaat wel om uitzonderingen. Voor het afsluiten van veel contracten of bijvoorbeeld een bankrekening is in ieder geval een kopie van een ID nodig.
- Oplichting. Als criminelen informatie over je hebben waarvan je dat niet verwacht, ga je sneller in hun babbeltruc mee. Denk aan een nep-bankmedewerker die je BSN of bankrekeningnummer weet.
- Phishing. Onderdeel van oplichting is phishing. Met buitgemaakte data kunnen criminelen nepberichtjes gerichter en persoonlijker maken. Zoals met een correcte aanhef of bijvoorbeeld een kenteken bij een nepboete. Zo lijken ze geloofwaardiger.
- Hacks. Gebruik je gelekte wachtwoorden ergens anders, dan lopen ook die accounts gevaar. Met als mogelijk gevolg bestellingen op je naam of gestolen digitale (crypto)valuta.
Weten criminelen veel van je, dan kunnen ze proberen je telefoonnummer te kapen (sim swapping). Lukt dat, dan lopen ook via sms beveiligde accounts gevaar. - Diefstal/inbraak. Kunnen criminelen bepaalde zaken koppelen aan je adres dan loop je een verhoogd risico op diefstal van je eigendommen. Denk aan bijvoorbeeld je auto als dat een gewild merk en type is.
Wat moet je doen bij en tegen datalekken?
- Kies sterke en vooral ook unieke wachtwoorden. Verander zeker het wachtwoord dat bij een datalek betrokken is, ook op andere plaatsen als je het vaker gebruikte. Een wachtwoordmanager kan helpen unieke wachtwoorden te onthouden en in te vullen.
- Stel tweefactorauthenticatie in, en gebruik als extra beveiligingsmiddel bij voorkeur een authenticator-app, niet sms. Vermijd of verwijder zoveel mogelijk je 06-nummer/sms als extra beveiliging voor accounts. Via sim-swapping kunnen criminelen je 06-nummer en de daarmee beveiligde accounts overnemen.
- Wees extra alert. Behandel elk verzoek dat met betalen, overboeken of inloggen heeft te maken met argwaan. Laat je niet overtuigen door persoonlijke gegevens die in een bericht of telefoontje worden genoemd.
- Bel zelf je bank bij twijfel. Ga niet in op mailtjes, sms’jes of telefoontjes van 'je bank' die je iets opdragen. Log ook niet in via een linkje in een bericht. Controleer berichten via de bank-app of beveiligde omgeving op de website.
Een echt bericht van de bank krijg je via de bank-app, de echte website of brief. Maar let op: ook berichten per brief kunnen nep zijn. - Controleer datalekken. Check met enige regelmaat of je data onderdeel zijn van een bekend lek. Dit kan onder meer via haveibeenpwned.com, scatteredsecrets.com en politie.nl/checkjehack.
Ook steeds meer wachtwoordmanagers waarschuwen als je wachtwoorden gelekt zijn. Overigens, als jouw mailadres of 06-nummer niet voorkomt op de hiervoor genoemde sites, kunnen je gegevens wel zijn gelekt. Sommige datalekken zijn niet openbaar en alleen in handen van criminelen. Of het lek is nog niet ontdekt.
Gebruik verschillende mailadressen of 'aliassen'. Gebruik bij voorkeur verschillende mailadressen of zogenoemde aliassen bij je accounts. Een alias is een alternatief e-mailadres dat ontvangen mail automatisch doorstuurt naar je echte mailadres. Zo kun je spam of nepmails makkelijker (onder)scheiden van je belangrijke mail. En je hebt de mogelijkheid te herkennen welke organisatie je gegevens heeft gelekt, misbruikt of ongewenst gedeeld. Voor elke onlinedienst kun je immers een apart mailadres aanmaken.
Hoe maak je een alias aan?
- Op een iPhone: open Instellingen. Zoek naar het woord ‘Verberg’ en de optie ‘Verberg mijn e-mailadres’ verschijnt. Kies nu ‘+ Maak nieuw e-mailadres aan’.
- Op een Mac-computer: Ga naar icloud.com en log in met je Apple-account. Klik eenmaal ingelogd rechtsboven op het symbool met 12 vierkante puntjes bijeen, direct naast de profielfoto. Kies ‘Verberg mijn e-mailadres’ en klik op het plusje om een alias toe te voegen.
- Op andere computers en Android-apparaten: maak op simplelogin.io een account. Daar kun je gratis maximaal 10 aliassen aanmaken en gebruiken. Zijn die 10 op, dan kun je op relay.firefox.com er nog 5 gratis aanmaken.
Ook via de providermail kun je aliassen aanmaken. Zo kun je bij Ziggo Mail in totaal 60 aliassen maken en bij KPN Mail 50.
- Beperk en verwijder data. Voer bij het maken van accounts geen onnodige gegevens in. En ga je weg bij een bedrijf of website? Verwijder dan je account.
- Meld ID-fraude. Wordt er identiteitsfraude gepleegd met je gegevens, neem dan contact op met Centraal Meldpunt Identiteitsfraude en –fouten en doe aangifte, voor hulp en schadebeperking.
- Meld datalek. Er is een meldplicht voor organisaties om datalekken te melden. Loop je zelf tegen een datalek aan en reageert de betrokken organisatie niet (goed), dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.
Mogelijke gevolgen per soort gelekte data
Tijdlijn recente datalekken
Een overzicht van de belangrijkste en grootste datalekken, in Nederland en wereldwijd.
Nieuw & interessant
Webwinkels verplichten account onnodig
Bij 20 van de 100 grootste webwinkels is een gebruikersaccount verplicht voor elke klant, terwijl we daar geen goede reden voor zien. Het gaat om de grootste webshops. De accountdwang is irritant en niet zonder gevaar.Cookies weigeren vaak te lastig
Tracking-cookies en trackingtechnieken weigeren zou niet moeilijker mogen zijn dan de cookies accepteren. Maar hoe zit dat in de praktijk? We onderzochten ruim 100 websites.Let op bij ‘advertentieprivacy’ in Chrome
In Google Chrome krijg je de vraag of je de functie ‘advertentieprivacy’ wilt inschakelen. We zijn nog niet enthousiast. ‘Nee’ is op dit moment beter voor je privacy dan ‘Ja’.Nieuwe regels moeten online platforms veiliger maken
Onlineplatforms moeten beter omgaan met jouw meldingen over illegale zaken op het platform. Zij moeten vanaf nu voldoen aan de Digital Services Act (DSA).