Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Lek

Incidenten

Aantasting van de vertrouwelijkheid als gevolg van natuurlijk, technisch of menselijk falen.

Een lek (ook wel datalek of security breach genoemd) is een beveiligingsincident waarbij vertrouwelijke, beschermde of gevoelige gegevens worden blootgesteld aan onbevoegde partijen. Dit kan gebeuren door een gerichte cyberaanval, een menselijke fout, een systeemkwetsbaarheid of een combinatie van deze factoren. Een lek heeft niet alleen technische gevolgen, maar brengt ook juridische verplichtingen, financiele schade en reputatieverlies met zich mee.

In de Nederlandse context wordt de term lek breed gebruikt voor elke situatie waarin gegevens terechtkomen bij personen of organisaties die daar geen toegang toe zouden moeten hebben. De Autoriteit Persoonsgegevens (AP) hanteert een formele definitie onder de AVG: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens. Dit omvat dus niet alleen het stelen van data, maar ook het per ongeluk verliezen, vernietigen of wijzigen ervan.

De omvang van het probleem in Nederland is aanzienlijk. Jaarlijks ontvangt de AP tienduizenden meldingen van datalekken van Nederlandse organisaties. Begin 2026 trof een groot datalek zelfs de AP zelf, toen onbevoegden via een softwarekwetsbaarheid toegang kregen tot werkgerelateerde gegevens van huidige en voormalige medewerkers. Kort daarna meldde telecomprovider Odido een grootschalige digitale aanval waarbij gegevens van miljoenen klanten werden gestolen. Deze incidenten onderstrepen dat geen enkele organisatie immuun is voor lekken.

Wat is de impact van een lek?

De directe financiele impact van een lek is vaak aanzienlijk. Kosten ontstaan door het onderzoeken van het incident, het herstellen van systemen, het informeren van betrokkenen en het inhuren van externe specialisten. Voor Nederlandse bedrijven lopen deze kosten al snel op tot tienduizenden tot honderdduizenden euro's, afhankelijk van de omvang. Bij grote lekken die miljoenen records treffen, kunnen de kosten oplopen tot miljoenen euro's.

De juridische gevolgen zijn eveneens ingrijpend. Onder de AVG kan de Autoriteit Persoonsgegevens boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kunnen gedupeerden schadeclaims indienen. De combinatie van boetes, claims en juridische kosten kan voor kleinere organisaties existentiereel bedreigend zijn.

Reputatieschade is vaak de langdurigste impact van een lek. Klanten en partners verliezen vertrouwen in een organisatie die hun gegevens niet adequaat heeft beschermd. Onderzoek toont aan dat een substantieel deel van de klanten overstapt naar een concurrent na een datalek bij hun huidige dienstverlener. Het herstellen van vertrouwen kost jaren, terwijl het verliezen ervan in een dag kan gebeuren.

De operationele impact mag niet worden onderschat. Tijdens en na een lek worden systemen vaak offline gehaald voor onderzoek, worden werkprocessen verstoord en moet het personeel worden ingezet voor incidentafhandeling in plaats van reguliere werkzaamheden. Bij een ransomware-aanval die gepaard gaat met datadiefstal kan de operationele stilstand weken duren.

Wat is de meldplicht bij een lek?

In Nederland geldt een wettelijke meldplicht voor datalekken op basis van de AVG (Algemene Verordening Gegevensbescherming). Zodra je als organisatie een datalek ontdekt, moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Deze termijn begint te lopen op het moment dat je redelijkerwijs op de hoogte bent van het lek, niet op het moment van het lek zelf. Bij een melding na 72 uur moet je een verklaring geven voor de vertraging.

Niet elk lek hoeft gemeld te worden bij de AP. Een melding is verplicht als het lek een risico vormt voor de rechten en vrijheden van betrokkenen. In de praktijk betekent dit dat de meeste lekken waarbij persoonsgegevens betrokken zijn, gemeld moeten worden. Alleen als je kunt aantonen dat het lek geen enkel risico oplevert (bijvoorbeeld doordat de gegevens versleuteld waren met sterke cryptografie), kun je afzien van een melding.

Als het lek een hoog risico vormt voor de betrokkenen, moet je naast de AP ook de betrokken personen zelf informeren. Dit geldt bijvoorbeeld wanneer financiele gegevens, medische dossiers, inloggegevens of BSN-nummers zijn gelekt. Je moet de betrokkenen in duidelijke en begrijpelijke taal informeren over de aard van het lek, de mogelijke gevolgen en de maatregelen die ze zelf kunnen nemen om zich te beschermen.

Organisaties die onderdeel zijn van de vitale infrastructuur hebben aanvullende meldplichten. Onder de Wbni (Wet beveiliging netwerk- en informatiesystemen) en de opvolger NIS2 moeten deze organisaties ernstige incidenten ook melden bij het NCSC. De DORA-verordening introduceert vergelijkbare verplichtingen specifiek voor de financiele sector.

Hoe reageer je op een lek?

De eerste stap bij het ontdekken van een lek is het activeren van je incident response plan. Stel een incidentteam samen met vertegenwoordigers uit IT, juridische zaken, communicatie en het management. Definieer rollen en verantwoordelijkheden zodat iedereen weet wat er van hen verwacht wordt. Tijdverlies door onduidelijkheid over wie wat doet, vergroot de schade.

Beperk de schade door de bron van het lek te identificeren en te dichten. Isoleer getroffen systemen van het netwerk, blokkeer gecompromitteerde accounts en voorkom verdere data-exfiltratie. Wees hierbij zorgvuldig: het voortijdig wissen van logbestanden of het opnieuw installeren van systemen kan cruciaal forensisch bewijs vernietigen dat nodig is voor het onderzoek.

Documenteer alles vanaf het moment van ontdekking. Leg vast wanneer het lek is ontdekt, welke systemen zijn getroffen, welke gegevens zijn blootgesteld, welke acties zijn ondernomen en door wie. Deze documentatie is niet alleen nodig voor de melding aan de AP, maar ook voor eventuele juridische procedures, verzekeringsclaims en het verbeteren van je beveiliging na het incident.

Schakel indien nodig externe expertise in. Een forensisch onderzoek door gespecialiseerde partijen kan de exacte omvang van het lek vaststellen, de aanvalsmethode reconstrueren en aanbevelingen doen om herhaling te voorkomen. Veel cyberverzekeringen dekken de kosten van forensisch onderzoek, juridisch advies en crisiscommunicatie. Op IBgidsNL vind je incident response specialisten die je direct kunnen ondersteunen bij een beveiligingsincident.

Veelgestelde vragen over lekken

Wat is het verschil tussen een datalek en een hack?

Een hack is een specifieke aanvalsmethode waarbij een aanvaller actief inbreekt in een systeem. Een datalek is breder: het omvat elke situatie waarin gegevens onbedoeld worden blootgesteld, inclusief door menselijke fouten zoals het versturen van een e-mail naar de verkeerde ontvanger of het verliezen van een onversleutelde USB-stick.

Moet elk datalek gemeld worden bij de AP?

Niet elk datalek moet worden gemeld. Een melding is verplicht als het lek een risico vormt voor de rechten en vrijheden van betrokkenen. Als je kunt aantonen dat er geen risico is, bijvoorbeeld door sterke versleuteling, hoef je niet te melden. Bij twijfel is melden altijd de veiligere keuze.

Hoe voorkom je een datalek?

Preventie vereist een gelaagde aanpak: houd software up-to-date, gebruik tweefactorauthenticatie, train medewerkers in security awareness, versleutel gevoelige gegevens, beperk toegangsrechten tot het noodzakelijke minimum en voer regelmatig penetratietesten uit.

Wat zijn de meest voorkomende oorzaken van een lek?

Menselijke fouten zijn de meest voorkomende oorzaak, gevolgd door phishing-aanvallen, zwakke of hergebruikte wachtwoorden, ongepatche software en misconfiguraties van cloudomgevingen. Insiders, zowel kwaadwillend als onbedoeld, vormen eveneens een aanzienlijk risico voor veel organisaties.

Hoe lang duurt het gemiddeld om een lek te ontdekken?

Onderzoek toont aan dat organisaties gemiddeld meer dan honderd dagen nodig hebben om een datalek te ontdekken. Hoe langer een lek onopgemerkt blijft, hoe groter de schade. Investeer daarom in detectiecapaciteiten zoals een SOC, loganalyse en anomaliedetectie om de ontdekkingstijd te verkorten.

Wil je jouw organisatie beschermen tegen datalekken of heb je hulp nodig bij een incident? Vergelijk securityaanbieders op IBgidsNL.