Waarom moet je overal je gegevens achterlaten, terwijl er steeds vaker datalekken zijn?

In dit artikel:

De afgelopen maanden kwamen bij meerdere grote hacks persoonsgegevens van vele miljoenen Nederlanders op straat, onder meer bij telecomprovider Odido, onderwijsplatform Canvas (via de Amerikaanse leverancier Instructure) en zorgsoftwarebedrijf Chipsoft. De Autoriteit Persoonsgegevens (AP) ziet een duidelijke toename van grootschalige datalekken; in de eerste drie maanden van 2026 meldde het Centraal Meldpunt Identiteitsfraude al 3.607 gevallen (tegen 8.841 over heel 2025). Criminelen gebruiken deze data voor phishing en identiteitsfraude, wat de effectiviteit en geloofwaardigheid van aanvallen vergroot.

Experts wijzen op een dieperliggend probleem: de datahonger van bedrijven en instanties. Veel organisaties verzamelen e‑mailadressen, telefoonnummers of woonadressen zonder dat daar een echte noodzaak voor is, en bewaren gegevens vaak langer dan nodig. Nadia Benaissa van Bits of Freedom benadrukt dat aan zulke data vaak verdiend wordt doordat ze worden verhandeld of verder geanalyseerd. Jaap‑Henk Hoepman (Radboud Universiteit) noemt onnodige verzameling en lange bewaartermijnen problematisch en pleit voor strengere toepassing van het AVG‑principe van dataminimalisatie.

De AP handhaaft de AVG in Nederland, maar krijgt kritiek dat ze te mild optreedt en te weinig capaciteit heeft om alle overtredingen te pakken — ze concentreert zich vooral op grote dossiers. AP‑woordvoerder Mark Schenkel benadrukt dat onderzoeken zorgvuldig moeten zijn en dat soms voorlichting of gesprekken effectiever kunnen zijn dan onmiddellijke boetes. Als reactie kondigde de AP in april preventieve controles aan bij Nederlandse ICT‑leveranciers, omdat die vaak als knooppunten fungeren voor veel persoonsgegevens. Die maatregel heeft beperkingen: veel leveranciers zitten buiten de EU, waardoor ze buiten rechtstreeks toezicht van de AP kunnen vallen — de hack bij Instructure illustreert dat probleem.

Als alternatieven of mitigaties noemen experts technische en organisatorische maatregelen: privacy by design, pseudonimisering en gedecentraliseerde opslag. Een voorbeeld: had laboratorium Clinical Diagnostics alleen unieke pseudoniemen in plaats van volledige patiëntgegevens gekregen, dan zou een hack veel minder schade hebben veroorzaakt. Zulke ontwerpen maken massale dataverzameling op één locatie lastiger voor aanvallers.

Wat kunnen burgers doen? Bij een lek melden bij de AP, wachtwoorden wijzigen en tweefactorauthenticatie inschakelen zijn directe stappen. Daarnaast is waakzaamheid tegen phishing essentieel: controleer afzenderadressen en bel bij twijfel naar het officiële nummer van de organisatie. Voor wie wil: aansluiten bij een massasclaim is mogelijk, maar veel slachtoffers blijven klant vanwege lopende contracten of praktische drempels.