Hoe beschermen we onze persoonsgegevens in een tijd van datalekken?

In dit artikel:

De afgelopen maanden zijn meerdere grote datalekken aan het licht gekomen waarbij persoonsgegevens van miljoenen Nederlanders zijn buitgemaakt. Slachtoffers zijn onder meer telecombedrijf Odido (hack in februari waarbij ruim zes miljoen records door hackersgroep ShinyHunters werden vergaard), onderwijsplatform Canvas via Amerikaanse leverancier Instructure, en zorg- of softwareleveranciers zoals Chipsoft en laboratorium Clinical Diagnostics (lek in augustus 2025). De Autoriteit Persoonsgegevens (AP) merkt een opvallende toename van grote hacks; exacte totalen over de recente periode ontbreken nog, zegt AP-woordvoerder Mark Schenkel. Wel is duidelijk dat identiteitsfraude toeneemt: in het eerste kwartaal van 2026 werden al 3.607 meldingen gedaan, tegenover 8.841 in heel 2025.

Experts wijzen niet alleen naar technische zwaktes maar vooral naar een structureel probleem: de 'datahonger' van organisaties. Bedrijven en instanties vragen vaak meer persoonsgegevens dan strikt noodzakelijk — deels omdat die data geld waard zijn en worden gedeeld of geanalyseerd. Nadia Benaissa (privacyjurist bij Bits of Freedom) en Jaap‑Henk Hoepman (universitair hoofddocent digital security, Radboud Universiteit) noemen het ontbreken van effectieve dataminimalisatie en het te lang bewaren van gegevens als belangrijke onderliggende oorzaken. Hoewel de Europese AVG (algemene verordening gegevensbescherming) het principe van dataminimalisatie voorschrijft, blijkt de handhaving door de AP volgens beide experts nog te zacht en te selectief. De AP richt zich vooral op grotere zaken en mist de capaciteit om elk vermeend verzuim aan te pakken, waardoor veel kleinere spelers feitelijk buiten toezicht vallen.

De AP stelt dat overtredingen altijd eerst grondig onderzocht moeten worden voordat boetes volgen en zet sinds april in op preventieve controles van Nederlandse ICT-leveranciers. Die partijen fungeren als knooppunten: als zij falen, raakt het veel organisaties tegelijk. Een beperking is dat veel ICT-leveranciers buiten Europa gevestigd zijn; een hack bij een Amerikaans bedrijf valt daardoor moeilijker vooraf onder Nederlands toezicht, terwijl opdrachtgevende organisaties wel verantwoordelijk blijven voor de bescherming van persoonsgegevens.

Praktische oplossingen die experts noemen zijn onder meer privacy by design, pseudonimisering en het meer gedecentraliseerd opslaan van data. Bij laboratoria had het gebruik van unieke pseudoniemen in plaats van volledige patiëntgegevens het risico bij een hack sterk kunnen verminderen. Voor individuele burgers is de handelingsruimte beperkter; adviezen zijn wel duidelijk: bij een datalek direct melden bij de AP, wachtwoorden veranderen, tweefactorauthenticatie inschakelen en extra waakzaam zijn voor phishing omdat gelekte gegevens aanvallen geloofwaardiger maken. Daarnaast loont het overwegen van collectieve juridische stappen — zoals een massaclaim tegen Odido — maar veel klanten blijven doorgaans toch bij hun bestaande provider vanwege lopende contracten.