Identiteitsdiefstal en Datalekken

Klik Minder, Controleer Meer

De meeste online problemen ontstaan door haast. De meeste bescherming ontstaat juist door korte, rustige controle.

In Identiteitsdiefstal en Datalekken zit de winst in routine: verifiëren via tweede kanaal en niet handelen onder digitale druk.

Het doel is niet perfectie, maar voorspelbaar veilig gedrag dat ook op drukke dagen overeind blijft.

Directe maatregelen (15 minuten)

• Voer direct basismaatregelen uit: MFA, wachtwoordmanager en updates.
• Gebruik veilige standaardinstellingen voor privacy, browser en apparaat.
• Leg een herstelplan vast voor accountverlies, oplichting of datalek.

Waarom dit telt

De kern van Identiteitsdiefstal en Datalekken is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Het verhaal van de GGD-medewerkers die even in je dossier keken

In januari 2021 werd Nederland wakker met een kater die niets met oudejaarsavond te maken had. Twee medewerkers van de GGD hadden de persoonsgegevens van miljoenen Nederlanders te koop aangeboden op Telegram. Naam, adres, telefoonnummer, BSN, testresultaten — allemaal voor een paar honderd euro te koop aan de hoogste bieder. Het ging niet om een geniaal staaltje hacken met zwarte hoodies en flikkerende schermen. Het waren gewoon twee mensen met een inlogaccount en een gebrek aan fatsoen.

Dat is het ongemakkelijke aan datalekken: je kunt zelf alles goed doen — sterke wachtwoorden, tweestapsverificatie, de hele rataplan — en dan lekt een organisatie die je vertrouwde alsnog je gegevens als een vergiet. Je hebt er precies nul controle over. Maar je hebt wel controle over wat er daarna gebeurt. En dat is waar dit hoofdstuk over gaat.

Wat is een datalek eigenlijk?

Een datalek klinkt technisch, maar het is eigenlijk heel simpel: het betekent dat gegevens die privé hadden moeten blijven, in verkeerde handen zijn gevallen. Dat kan op allerlei manieren:

1. Een hack — iemand breekt digitaal in bij een bedrijf en steelt klantgegevens
2. Een menselijke fout — een medewerker stuurt een Excel-bestand met duizend klantadressen naar de verkeerde persoon
3. Een kwaadwillende insider — zoals bij de GGD, iemand met toegang die die toegang misbruikt
4. Een verloren laptop of USB-stick — met onversleutelde gegevens erop

En het gaat niet alleen om wachtwoorden. Bij datalekken kunnen de volgende gegevens op straat komen te liggen:

Type gegevens	Risico als het lekt
E-mailadres + wachtwoord	Inloggen op je accounts (zeker als je wachtwoorden hergebruikt)
Naam + adres + geboortedatum	Identiteitsfraude, nep-accounts op jouw naam
BSN	Fraude bij overheidsinstanties, belastingaangifte op jouw naam
Bankgegevens	Geld stelen, frauduleuze incasso’s
Medische gegevens	Chantage, discriminatie door verzekeraars
Telefoonnummer	SIM-swapping, phishing via sms

Het vervelende is: jij merkt er vaak pas maanden later iets van. Je gegevens worden verzameld, doorverkocht, gecombineerd met gegevens uit andere lekken, en dan pas ingezet. Het is alsof iemand in stilte een sleutel van je huis kopieert — je merkt het pas als ze binnenkomen.

Controleer of jouw gegevens gelekt zijn

Er is een website die je kunt gebruiken om te checken of jouw e-mailadres voorkomt in bekende datalekken. De site heet Have I Been Pwned (vrij vertaald: “Ben ik te pakken genomen?”) en is gemaakt door beveiligingsonderzoeker Troy Hunt. Het is gratis, betrouwbaar, en wordt door overheden wereldwijd aanbevolen.

Zo gebruik je Have I Been Pwned

1. Open je browser en ga naar haveibeenpwned.com
2. Je ziet bovenaan de pagina een groot zoekveld met de tekst “email address”
3. Typ daar je e-mailadres in — het adres dat je het meest gebruikt
4. Klik op de knop “pwned?”
5. Je krijgt nu een van twee resultaten:
   • Groen scherm: “Good news — no pwnage found!” — je e-mailadres is niet gevonden in bekende lekken
   • Rood scherm: “Oh no — pwned!” — je e-mailadres is aangetroffen in een of meer datalekken
6. Als het rood is: scroll naar beneden. Je ziet een lijst van datalekken waarin je e-mailadres voorkomt, met per lek welke gegevens er zijn gelekt
7. Herhaal dit voor al je e-mailadressen (werk, prive, dat oude Hotmail-adres)

Tip: Je kunt je ook aanmelden voor waarschuwingen. Klik op “Notify me” bovenaan de pagina en vul je e-mailadres in. Je krijgt dan automatisch bericht als je gegevens in een toekomstig datalek opduiken.

Wat doe je als je erin staat?

Geen paniek. Dat je in een datalek voorkomt, betekent niet automatisch dat er iets ergs is gebeurd. Maar het betekent wel dat je moet handelen:

1. Wijzig direct het wachtwoord van de dienst die is gelekt
2. Wijzig dat wachtwoord overal waar je hetzelfde wachtwoord hebt gebruikt (en stop daarmee — gebruik een wachtwoordmanager)
3. Zet tweestapsverificatie aan bij die dienst als dat kan
4. Let de komende weken extra op vreemde e-mails, sms’jes of telefoontjes

Je BSN is heilig — behandel het ook zo

Je Burgerservicenummer is de sleutel tot je digitale identiteit bij de overheid. Met je BSN kan iemand:

• Een belastingaangifte op jouw naam indienen
• Toeslagen aanvragen op jouw naam
• Medische behandelingen declareren
• Een bedrijf registreren

En toch vragen allerlei organisaties er vrolijk om, alsof het je klantnummer bij de videotheeek is. Hier is het ding: de meeste organisaties mogen helemaal niet om je BSN vragen.

Wie mag wel om je BSN vragen?

Mag wel	Mag niet
De Belastingdienst	Je sportschool
Je werkgever	Je telefoonprovider
Je bank (bij het openen van een rekening)	Een webwinkel
Je zorgverzekeraar	Je verhuurder
De gemeente	Een autoverhuurbedrijf
Onderwijsinstellingen	Een energieleverancier*

*Energieleveranciers mogen je BSN alleen vragen in specifieke gevallen voor de energiebelasting, niet standaard.

Vuistregels voor je BSN

1. Geef je BSN nooit via e-mail, telefoon of WhatsApp — een legitieme organisatie vraagt daar niet om via die kanalen
2. Vraag altijd waarom een organisatie je BSN nodig heeft en op basis van welke wet
3. Als je twijfelt: geef het niet — je kunt het altijd later alsnog verstrekken
4. Bewaar documenten met je BSN achter slot en grendel — fysiek en digitaal

Een kopie van je ID veilig delen

Soms moet je een kopie van je identiteitsbewijs opsturen. Bij een nieuwe baan, een nieuwe verhuurder, of bij het aanmelden voor bepaalde diensten. Maar een onbeschermde kopie van je ID is goud waard voor fraudeurs.

De KopieID-app

De Rijksoverheid heeft een gratis app gemaakt waarmee je een veilige kopie van je identiteitsbewijs kunt maken. De app heet KopieID en is beschikbaar voor zowel Android als iPhone.

1. Download de KopieID-app uit de App Store of Google Play Store
2. Open de app en maak een foto van je identiteitsbewijs
3. De app laat je nu een watermerk toevoegen met:
   • Voor wie de kopie is (bijvoorbeeld “Woningcorporatie Hestia”)
   • De datum waarop je de kopie maakt
4. Je kunt je BSN laten doorstrepen als de ontvanger dat niet nodig heeft
5. Je kunt ook je pasfoto laten vervagen als dat niet nodig is
6. De app voegt automatisch het watermerk “KOPIE” toe over het hele document
7. Sla de beveiligde kopie op of deel hem direct

Tip: Stuur nooit een onbeveiligde foto van je ID via WhatsApp of e-mail. Gebruik altijd de KopieID-app. Het kost je twee minuten en het kan je jaren ellende besparen.

Identiteitsfraude herkennen

Identiteitsfraude is verraderlijk omdat het vaak pas opvalt als de schade al is aangericht. Let op deze waarschuwingssignalen:

• Post van incassobureaus voor schulden die je niet hebt gemaakt
• Afwijzing van een hypotheek of lening terwijl je altijd netjes hebt betaald
• Rekeningen of abonnementen die je niet hebt afgesloten
• Brieven van de Belastingdienst over inkomsten die je niet hebt gehad
• Je DigiD-account werkt ineens niet meer of er zijn inlogpogingen die je niet herkent
• Vreemde afschrijvingen op je bankrekening
• Je ontvangt geen post meer (iemand kan je adres hebben gewijzigd)
• Een zorgverlener belt over een afspraak die je niet hebt gemaakt

Let op: Een van de meest voorkomende vormen van identiteitsfraude in Nederland is het afsluiten van telefoonabonnementen op andermans naam. Als je ineens een welkomstbrief krijgt van een provider waar je geen klant bent, neem dat serieus.

Je BKR-registratie controleren

Het Bureau Krediet Registratie (BKR) in Tiel houdt bij welke leningen en kredieten op jouw naam staan. Als iemand fraude pleegt met jouw identiteit, kan dat zichtbaar zijn in je BKR-registratie.

Zo check je je BKR-registratie

1. Ga naar mijnbkr.nl
2. Maak een account aan (of log in als je er al een hebt)
3. Je moet je identiteit verifieren — dat kan via iDIN (inloggen via je bank) of met je identiteitsbewijs
4. Na verificatie kun je je Persoonlijk Kredietoverzicht inzien
5. Controleer of alle vermelde kredieten en leningen daadwerkelijk van jou zijn
6. Zie je iets dat je niet herkent? Neem direct contact op met de betreffende kredietverstrekker en met het BKR

Tip: Check je BKR-registratie minstens een keer per jaar, net zoals je een APK-keuring laat doen voor je auto. Het kost een paar minuten en je weet meteen of er iets raars aan de hand is. Het eerste overzicht per jaar is gratis.

Wat te doen bij identiteitsdiefstal

Ontdek je dat iemand jouw identiteit misbruikt? Dan is dit je stappenplan:

Stap 1: Doe aangifte bij de politie

1. Ga naar het dichtstbijzijnde politiebureau of bel 0900-8844
2. Doe aangifte van identiteitsfraude — vraag expliciet om een proces-verbaal
3. Bewaar het nummer van je aangifte zorgvuldig — je hebt dit nodig bij elke vervolgstap
4. Vraag de politie om een Verklaring van Aangifte Identiteitsfraude

Stap 2: Waarschuw je bank

1. Bel direct de fraude-afdeling van je bank
2. Laat verdachte transacties blokkeren
3. Vraag om nieuwe bankpassen en eventueel een nieuw rekeningnummer
4. Stuur de bank een kopie van je aangifte

Stap 3: Meld het bij de Fraudehelpdesk

1. Bel 088-786 73 72 of ga naar fraudehelpdesk.nl
2. Zij registreren de fraude en kunnen adviseren over vervolgstappen

Stap 4: Controleer en beveilig je DigiD

1. Log in op digid.nl en controleer je inloggeschiedenis
2. Wijzig je wachtwoord
3. Zet de DigiD-app aan als extra verificatie als je dat nog niet hebt gedaan
4. Controleer of je telefoonnummer en e-mailadres nog kloppen

Stap 5: Informeer kredietverstrekkers

1. Neem contact op met het BKR en meld de fraude
2. Schrijf bedrijven aan waar frauduleuze overeenkomsten zijn afgesloten met een kopie van je aangifte

Stap 6: Documenteer alles

Maak een map met alle correspondentie. Noteer data, namen en referentienummers. Bewaar alles minstens vijf jaar.

Preventie: minder delen, minder risico

De beste bescherming tegen identiteitsdiefstal is simpel: deel zo min mogelijk gegevens.

Praktische tips

1. Vul alleen verplichte velden in bij online registraties — alles met een sterretje (*), de rest laat je leeg
2. Gebruik een apart e-mailadres voor nieuwsbrieven en registraties bij webwinkels
3. Verwijder oude accounts die je niet meer gebruikt — elke account is een potentieel lek
4. Google jezelf regelmatig en kijk wat er over je te vinden is
5. Versniper post met persoonlijke gegevens voordat je die weggooit
6. Reageer niet op verzoeken om gegevens via e-mail, sms of telefoon — neem zelf contact op via het officiele nummer
7. Gebruik de KopieID-app voor elke kopie van je identiteitsbewijs
8. Bewaar fysieke documenten met gevoelige gegevens in een afgesloten kast of kluis

Tip: Vraag je bij elke registratie af: moet dit bedrijf echt mijn geboortedatum weten? Mijn adres? Mijn telefoonnummer? Vaak is het antwoord nee.

Meldplicht datalekken: wat mag je verwachten?

Sinds de invoering van de AVG (de Europese privacywet) zijn organisaties verplicht om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens (AP). En als het lek een hoog risico vormt voor jou, moeten ze het ook aan jou persoonlijk melden.

Wat organisaties moeten doen

Verplichting	Termijn
Melding bij de Autoriteit Persoonsgegevens	Binnen 72 uur na ontdekking
Melding aan getroffen personen (bij hoog risico)	Zo snel mogelijk
Documentatie van het lek bijhouden	Doorlopend

Wat je kunt verwachten als je wordt geinformeerd

Een goede melding bevat: wat er is gebeurd, welke gegevens zijn gelekt, wat de organisatie heeft gedaan om het lek te dichten, wat jij kunt doen om jezelf te beschermen, en een contactpersoon voor vragen.

Wat als een organisatie het niet meldt?

Als je vermoedt dat een organisatie een datalek verzwijgt, kun je zelf een melding doen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl. De AP kan onderzoek instellen en boetes opleggen die in de miljoenen kunnen lopen.

Doe dit vandaag

Hieronder je checklist. Geen smoesjes — dit zijn de dingen die je vandaag nog kunt regelen:

• Controleer je e-mailadressen op haveibeenpwned.com en meld je aan voor waarschuwingen
• Wijzig wachtwoorden van accounts die in datalekken voorkomen
• Download de KopieID-app op je telefoon
• Check je BKR-registratie op mijnbkr.nl
• Controleer je DigiD-inloggeschiedenis op digid.nl
• Google je eigen naam en kijk wat er online over je te vinden is
• Verwijder minstens drie oude online accounts die je niet meer gebruikt
• Sla het nummer van de Fraudehelpdesk op in je telefoon: 088-786 73 72
• Bewaar je identiteitsbewijs en documenten met BSN op een veilige plek
• Spreek met je huisgenoten af: we geven nooit ons BSN via telefoon of e-mail

Onthoud: Je kunt niet voorkomen dat een organisatie gehackt wordt. Maar je kunt wel zorgen dat je er zo min mogelijk last van hebt als het gebeurt. Deel minder, controleer vaker, en weet wat je moet doen als het misgaat.

← Vorige Kinderen en Internet Volgende → Als Het Misgaat: Eerste Hulp bij Hacks