Kennisbank

Jouw wachtwoord staat al op internet.
Wat nu?

In januari 2024 werd de grootste verzameling gelekte data ooit ontdekt: 26 miljard records uit honderden datalekken. LinkedIn, Adobe, Dropbox, Canva, MyFitnessPal — de kans is groot dat jouw e-mailadres en wachtwoord ertussen staan. Dit is wat dat betekent, hoe je het checkt en hoe je jezelf beschermt.

26 miljard gelekte records. En dat is alleen wat we weten.

In januari 2024 ontdekten onderzoekers van Cybernews en Security Discovery een database met 26 miljard gelekte records, samengesteld uit honderden afzonderlijke datalekken. Het werd de "Mother of All Breaches" (MOAB) genoemd. LinkedIn, Adobe, Canva, Dropbox, MyFitnessPal, Dailymotion, Tencent, Weibo, Twitter/X — honderden bekende diensten, jarenlang aan lekken, alles gecombineerd in een doorzoekbare dataset.

Dat zijn niet 26 miljard willekeurige datapunten. Het zijn e-mailadressen, wachtwoorden, namen, telefoonnummers, adressen, geboortedata en meer. Van echte mensen. Van jou, je collega's, je klanten. Niet misschien. Waarschijnlijk.

Check het zelf: Have I Been Pwned

Have I Been Pwned is een gratis dienst van beveiligingsonderzoeker Troy Hunt. Vul je e-mailadres in en je ziet direct in welke datalekken het voorkomt. De meeste mensen die het voor het eerst checken schrikken: 5, 10, soms 21+ datalekken. Elk lek betekent dat je e-mailadres, en vaak je wachtwoord, ergens in een database staat die criminelen kunnen downloaden.

Doe het nu. Serieus. Open haveibeenpwned.com in een nieuw tabblad en vul je zakelijke e-mailadres in. En daarna je persoonlijke e-mailadres. De resultaten zijn de reden waarom je dit artikel verder leest.

De grote datalekken die vrijwel iedereen raken: LinkedIn (700M records, 2021), Facebook (533M, 2021), Adobe (153M, 2013), Canva (137M, 2019), Dropbox (68M, 2012), MyFitnessPal (144M, 2018), Twitter/X (200M, 2023). Als je ooit een account hebt gehad bij een van deze diensten, is je data gelekt. Niet als, maar wanneer.

Hoe veilig is jouw website?

Datalekken beginnen bij kwetsbaarheden. Onze scanner checkt je website op verouderde plugins, beveiligingslekken, zwakke configuratie en privacy problemen. Voorkom dat jouw website het volgende datalek wordt.

Wat er werkelijk gebeurt met gelekte data

Een datalek is niet een momentopname. Het is het begin van een keten van aanvallen die jaren kan duren. Je wachtwoord wordt gelekt bij LinkedIn in 2021. In 2026 wordt datzelfde wachtwoord gebruikt om je zakelijke e-mail te hacken. Dit is hoe dat werkt.

Credential stuffing: je hergebruikte wachtwoord is de sleutel

Credential stuffing is de meest gebruikte aanvalsmethode op internet. Het werkt zo: criminelen nemen een lijst van gelekte e-mail/wachtwoord combinaties (miljoenen per lek) en proberen die automatisch op andere diensten. Gmail, Outlook, webshop backends, WordPress admin panels, bankrekeningen, social media. Als je hetzelfde wachtwoord gebruikt op meerdere plekken — en dat doet meer dan 60% van de internetgebruikers — is het een kwestie van tijd.

Je LinkedIn wachtwoord uit 2019 wordt geprobeerd op je WordPress admin panel. Het werkt, want je gebruikt hetzelfde wachtwoord. Je website wordt gehackt. Niet door een geavanceerde hacker. Door een script dat miljoenen combinaties per uur probeert. Geautomatiseerd, onpersoonlijk, meedogenloos effectief.

Is je website eenmaal gehackt? Lees ons stappenplan voor gehackte WordPress websites.

Phishing met je echte gegevens

De oude phishing mails waren makkelijk te herkennen: slecht Nederlands, generieke aanhef, onzinnige claims. Dat is verleden tijd. Met gelekte data wordt phishing persoonlijk. Een e-mail die je naam kent, je adres, je geboortedatum, de laatste vier cijfers van je creditcard (gelekt bij een webshop). "Beste [je echte naam], we hebben een probleem geconstateerd met je bestelling op [adres waar je echt woont]." Dat is geen generieke spam meer. Dat is social engineering met echte data.

En het wordt erger. Met AI kunnen phishing mails nu perfect worden geschreven in elke taal, zonder spelfouten, in de huisstijl van het bedrijf dat wordt geimiteerd. De combinatie van gelekte persoonlijke data en AI gegenereerde berichten maakt phishing in 2026 gevaarlijker dan ooit.

Het cascade effect

Een gelekt wachtwoord leidt tot toegang tot je e-mail. Toegang tot je e-mail leidt tot wachtwoordresets op al je andere accounts. Wachtwoordresets leiden tot toegang tot je bankrekening, je webshop backend, je hosting panel, je social media. Eén zwak punt en het hele kaartenhuis valt om.

Bij bedrijven is de schade nog groter. Een medewerker wiens wachtwoord gelekt is, geeft indirect toegang tot bedrijfssystemen, klantdata, financiele gegevens. Een datalek bij een externe dienst wordt een datalek bij jouw bedrijf. En onder de AVG ben jij verplicht dat te melden bij de Autoriteit Persoonsgegevens binnen 72 uur. Boetes: tot €20 miljoen of 4% van je wereldwijde jaaromzet.

"De meeste hacks zijn niet spectaculair. Geen inbreker die door het raam klimt. Het is iemand die de voordeur opent met een sleutel die je vijf jaar geleden bent verloren. Credential stuffing is de nummer een manier waarop bedrijven worden gehackt. En het is volledig te voorkomen."

Hoe hackers je bedrijf echt binnenkomen

Vergeet Hollywood. Vergeet de hacker in een donkere kamer met groene code op het scherm. In werkelijkheid komen de meeste aanvallen op MKB bedrijven binnen via een van deze drie wegen. Geen van alle vereist technische kennis aan de kant van de aanvaller.

1. Phishing e-mail

Een e-mail die eruitziet als een factuur van je hostingpartij, een betalingsherinnering van je boekhouder of een "dringend beveiligingsprobleem" van Microsoft. De e-mail bevat een link naar een nagemaakte inlogpagina. Je vult je wachtwoord in. De aanvaller heeft het nu. Dit is verantwoordelijk voor meer dan 80% van alle succesvolle cyberaanvallen op bedrijven.

In 2026 zijn phishing mails niet meer te onderscheiden van echte e-mails. AI genereert perfecte tekst in elke taal en stijl. Het enige dat helpt is bewustzijn: klik nooit op links in onverwachte e-mails, controleer altijd het afzenderadres (niet de weergavenaam maar het werkelijke e-mailadres) en bij twijfel: bel de afzender op het nummer dat je al kent (niet het nummer in de e-mail).

2. Hergebruikte wachtwoorden uit datalekken

Zoals hierboven beschreven. Een wachtwoord dat je jaren geleden hebt gebruikt bij een dienst die later gehackt is, wordt automatisch geprobeerd op je huidige accounts. Dit is credential stuffing. Het is de op een na meest voorkomende aanvalsvector en het is volledig te voorkomen door unieke wachtwoorden per account te gebruiken.

3. Social engineering via telefoon

Een telefoontje: "Goedemiddag, u spreekt met de helpdesk van [je hostingbedrijf]. We zien verdachte activiteit op uw account en moeten uw identiteit verifieren." Ze kennen je naam (openbaar), je bedrijfsnaam (openbaar), je domeinnaam (openbaar). Ze vragen je wachtwoord "ter verificatie." Of ze vragen je om een e-mail te openen die ze net hebben gestuurd en op een link te klikken. Klinkt ongeloofwaardig? Het werkt vaker dan je denkt, juist bij drukke ondernemers die snel willen handelen.

Hoe je jezelf en je bedrijf beschermt: de complete gids

Het goede nieuws: je kunt je tegen vrijwel al deze aanvallen beschermen. Niet met dure software of technische kennis, maar met gewoontes en de juiste tools. Dit is de complete checklist, van meest urgent tot nice-to-have.

1. Gebruik een wachtwoord manager

Dit is de belangrijkste stap. Een wachtwoord manager genereert en onthoudt unieke, sterke wachtwoorden voor elke dienst. Je hoeft zelf maar een wachtwoord te onthouden: het hoofdwachtwoord van je manager.

Onze aanbeveling: Proton Pass — van hetzelfde Zwitserse bedrijf als Proton Mail. End-to-end versleuteld, open source, werkt op alle apparaten. Proton Pass heeft een bijzonder nuttige functie: e-mail aliassen. Voor elke dienst waar je een account aanmaakt, genereert Proton Pass een uniek alias e-mailadres (bijv. random123@proton.me) dat doorstuurt naar je echte e-mail. Als die dienst gehackt wordt, is het alias gelekt, niet je echte e-mailadres. En je kunt het alias direct uitschakelen om spam te stoppen.

Belangrijk: sla je wachtwoorden NOOIT op in je browser. Chrome, Firefox, Safari — ze bieden allemaal aan om wachtwoorden op te slaan. Doe het niet. Browser wachtwoorden kunnen worden geextraheerd door browser extensies, malware en zelfs door iemand met fysieke toegang tot je computer. Een dedicated wachtwoord manager met end-to-end encryptie is fundamenteel veiliger.

2. Gebruik sterke, unieke wachtwoorden

Een sterk wachtwoord is minimaal 18 tekens lang en bevat kleine letters, hoofdletters, cijfers en speciale tekens. Niet "Welkom123!" (dat is in milliseconden gekraakt). Laat je wachtwoord manager ze genereren: een willekeurige string van 21+ tekens die je niet hoeft te onthouden.

De regel: elk account, elke dienst, elke website krijgt een uniek, willekeurig gegenereerd wachtwoord. Geen uitzonderingen. Het hergebruiken van wachtwoorden is de nummer een reden waarom datalekken leiden tot gehackte accounts.

3. Gebruik tweefactorauthenticatie (2FA)

2FA voegt een tweede beveiligingslaag toe bovenop je wachtwoord. Zelfs als je wachtwoord gelekt is, kan een aanvaller niet inloggen zonder de tweede factor. Zet 2FA aan op alles wat het ondersteunt: e-mail, hosting, webshop backend, social media, bankrekening.

Gebruik een offline authenticator app, niet cloud-based 2FA. Sommige wachtwoord managers bieden 2FA codes aan die gesynchroniseerd worden via de cloud. Dat is handig maar minder veilig: als je wachtwoord manager gehackt wordt, heeft de aanvaller zowel je wachtwoorden als je 2FA codes. Gebruik een aparte authenticator app zoals Proton Authenticator die lokaal op je telefoon draait, niet in de cloud.

Vermijd SMS als tweede factor. SMS is fundamenteel onveilig als beveiligingslaag. Het SS7 protocol waar het telefonienetwerk op draait heeft bekende kwetsbaarheden waarmee SMS berichten onderschept kunnen worden zonder dat je het merkt. Geen fysieke toegang nodig, gewoon meelezen op afstand. Een authenticator app genereert codes lokaal op je telefoon, onafhankelijk van het telefonienetwerk, en is niet kwetsbaar voor deze aanval.

4. Wees alert op phishing

De belangrijkste verdediging tegen phishing is gezond verstand:

  • Klik nooit op links in onverwachte e-mails. Als je bank zegt dat er een probleem is, open je browser en ga zelf naar de website van je bank. Klik niet op de link in de e-mail.
  • Controleer het afzenderadres. Niet de weergavenaam ("ING Bank") maar het werkelijke e-mailadres (info@ing-securlty-check.com is niet ING).
  • Urgentie is een rode vlag. "Uw account wordt binnen 24 uur geblokkeerd" of "directe actie vereist" is bijna altijd phishing. Echte bedrijven geven je tijd.
  • Bij twijfel: bel. Bel het bedrijf op het telefoonnummer dat je al kent (van hun website, niet uit de e-mail) en vraag of het bericht echt is.
  • Open geen bijlagen die je niet verwacht. Factuur.pdf.exe is geen factuur.

5. Minimaliseer je digitale voetafdruk

  • Maak niet overal een account aan. Elke account is een potentieel datalek. Heb je echt een account nodig bij die webshop voor een eenmalige aankoop? Bestel als gast als het kan.
  • Gebruik e-mail aliassen. Proton Pass genereert unieke e-mailadressen per dienst. Als een dienst je alias lekt, weet je precies welke dienst het was en kun je het alias uitschakelen.
  • Verwijder oude accounts. Die Myspace van 2008, dat forum waar je in 2015 een vraag stelde, die webshop waar je een keer iets kocht. Log in, verwijder je account en vraag om volledige verwijdering van je data. Dat is je recht onder de AVG.
  • Check Have I Been Pwned regelmatig. Meld je aan voor notificaties: je krijgt een e-mail zodra je adres in een nieuw lek opduikt.

6. Maak een offline backup van je wachtwoorden

Je wachtwoord manager is een single point of failure. Als je het hoofdwachtwoord vergeet of als de dienst onbereikbaar is, verlies je toegang tot alles. Maak een offline backup: print je belangrijkste wachtwoorden (e-mail, hosting, bank) op papier en bewaar ze in een kluis of op een veilige fysieke locatie. Niet op een post-it op je monitor. Niet in een Word document op je bureaublad. Op papier, in een kluis.

7. Sla wachtwoorden nooit op in platte tekst

Geen Excel sheets met wachtwoorden. Geen notities app op je telefoon. Geen tekstbestand op je bureaublad genaamd "wachtwoorden.txt." Dit klinkt voor de hand liggend maar het is nog steeds een van de meest voorkomende manieren waarop wachtwoorden worden gestolen. Een wachtwoord manager versleutelt je wachtwoorden. Een Excel sheet niet.

8. Specifiek voor bedrijven

  • Train je medewerkers. De meeste hacks beginnen bij een medewerker die op een link klikt. Een jaarlijkse phishing awareness training voorkomt meer schade dan welke security software dan ook.
  • Gebruik een zakelijke wachtwoord manager. Proton Pass for Business, Bitwarden of 1Password. Deel nooit wachtwoorden via e-mail, chat of post-its.
  • Beperk admin toegang. Niet iedereen hoeft overal bij te kunnen. Geef medewerkers alleen de rechten die ze nodig hebben.
  • Heb een incident response plan. Wat doe je als een medewerker op een phishing link klikt? Wie bel je? Hoe isoleer je het probleem? Wie meldt het bij de AP? Bedenk dit nu, niet tijdens de paniek.
  • Controleer je leveranciers. Je website, je e-mail, je hosting, je boekhoudsoftware: wie heeft er allemaal toegang tot je bedrijfsdata? Vallen ze onder Europese wetgeving? We hebben hier een uitgebreid artikel over geschreven.
"Beveiliging is geen product dat je koopt. Het is een gewoonte die je ontwikkelt. Een wachtwoord manager, 2FA op alles, gezond verstand bij e-mails en het minimaliseren van je accounts. Dat is 95% van het werk. De rest is details."

Is jouw website het volgende datalek?

Verouderde plugins, zwakke wachtwoorden, ontbrekende beveiligingsheaders. Onze scanner checkt je website op meer dan 90 beveiligingspunten en toont direct waar de kwetsbaarheden zitten.

Waarom custom?

Beschermd vs onbeschermd:
het verschil in de praktijk.

Wat er gebeurt wanneer je data gelekt wordt.

Met goede beveiliging

  • Uniek wachtwoord per dienst: lek bij LinkedIn raakt alleen LinkedIn
  • 2FA blokkeert inlogpoging zelfs met gelekt wachtwoord
  • E-mail alias gelekt: alias uitschakelen, echte e-mail onaangetast
  • Wachtwoord manager met end-to-end encryptie
  • Phishing herkenning door awareness training
  • Incident response plan: snel handelen, schade beperken

Zonder beveiliging

  • Zelfde wachtwoord overal: lek bij LinkedIn opent je e-mail, bank, webshop
  • Geen 2FA: gelekt wachtwoord = directe toegang
  • Echte e-mailadres gelekt: spam, phishing, credential stuffing op alle accounts
  • Wachtwoorden in browser of Excel: eenvoudig te extraheren
  • Medewerker klikt op link, aanvaller heeft toegang tot bedrijfssysteem
  • Paniek, geen plan, schade escaleert dagenlang

Beveiliging voorkomt niet dat er datalekken zijn. Het voorkomt dat een datalek je leven overhoop gooit.

Veelgestelde vragen

Veelgestelde vragen over datalekken en wachtwoordbeveiliging.

Ga naar haveibeenpwned.com en vul je e-mailadres in. De site toont in welke datalekken je e-mailadres voorkomt. Je kunt je ook aanmelden voor notificaties zodat je automatisch een melding krijgt als je adres in een nieuw lek opduikt. De dienst is gratis en wordt beheerd door beveiligingsonderzoeker Troy Hunt.
Verander onmiddellijk het wachtwoord van de dienst die gelekt is. Als je datzelfde wachtwoord ook ergens anders gebruikt: verander het daar ook, overal. Schakel 2FA in op al je accounts die het ondersteunen. Overweeg een wachtwoord manager aan te schaffen als je die nog niet hebt, en genereer voor elk account een nieuw, uniek wachtwoord.
Chrome slaat wachtwoorden op in de browser, waar ze toegankelijk zijn voor browser extensies, malware en iedereen met fysieke toegang tot je computer. De wachtwoorden worden gesynchroniseerd via je Google account (Amerikaans, CLOUD Act). Een wachtwoord manager als Proton Pass versleutelt je wachtwoorden end-to-end: zelfs Proton kan ze niet lezen. Ze worden niet blootgesteld aan browser extensies en de data blijft onder Europese wetgeving.
Het SS7 protocol waar het telefonienetwerk op draait heeft bekende kwetsbaarheden waarmee SMS berichten onderschept kunnen worden. Geen fysieke toegang nodig, gewoon meelezen op afstand. Een authenticator app genereert codes lokaal op je telefoon, onafhankelijk van het telefonienetwerk, en is niet kwetsbaar voor deze aanval.
Minimaal 18 tekens, met kleine letters, hoofdletters, cijfers en speciale tekens. Maar lengte is belangrijker dan complexiteit: een willekeurige zin van 25 tekens is sterker dan "P@ssw0rd!" van 9 tekens. Gebruik je wachtwoord manager om willekeurige wachtwoorden van 21+ tekens te genereren. Je hoeft ze niet te onthouden, dus ze mogen zo lang en complex zijn als je wilt.
Een e-mail alias is een uniek e-mailadres dat doorstuurt naar je echte e-mail. Proton Pass genereert ze automatisch. Als je je aanmeldt bij een webshop, gebruik je shop-xyz@proton.me in plaats van je echte adres. Als die webshop gehackt wordt, is alleen het alias gelekt. Je echte e-mailadres blijft onbekend. Je kunt het alias uitschakelen om spam te stoppen. Het is ook direct duidelijk welke dienst je data heeft gelekt.
Als je een bedrijf bent en er persoonsgegevens van klanten of medewerkers gelekt zijn: ja, binnen 72 uur. De meldplicht geldt voor elk datalek waarbij persoonsgegevens betrokken zijn. Niet melden kan leiden tot boetes tot €20 miljoen of 4% van je jaaromzet, bovenop de schade van het lek zelf. Meer informatie op autoriteitpersoonsgegevens.nl.
Ja. Onder de AVG heb je het recht op verwijdering van je data (het "recht om vergeten te worden"). Je kunt elk bedrijf vragen om al je persoonsgegevens te verwijderen. Ze zijn wettelijk verplicht om hieraan te voldoen. Diensten als justdeleteme.com helpen bij het vinden en verwijderen van oude accounts, maar je kunt het ook zelf doen door in te loggen, je account te verwijderen en een verwijderingsverzoek te sturen.
Proton Pass gebruikt end-to-end encryptie: je wachtwoorden worden versleuteld op je apparaat voordat ze worden gesynchroniseerd. Zelfs Proton kan je wachtwoorden niet lezen. Het is open source (de code is controleerbaar), geaudit door onafhankelijke beveiligingsonderzoekers en gevestigd in Zwitserland onder Zwitserse privacywetgeving. Het is een van de veiligste wachtwoord managers die beschikbaar zijn.
Het gaat niet om verbergen. Het gaat om beschermen. Je bankrekening, je bedrijfsgegevens, je klantdata, je e-mail, je identiteit. Credential stuffing discrimineert niet: het probeert elk gelekt wachtwoord op elke dienst. Als je e-mail gehackt wordt, heeft de aanvaller toegang tot wachtwoordresets van al je andere accounts. "Ik heb niets te verbergen" is geen antwoord op "iemand heeft je bankrekening leeggehaald met een wachtwoord dat je in 2017 bij LinkedIn hebt aangemaakt."

Begin met de basis: is jouw website veilig?

Datalekken beginnen bij kwetsbaarheden. Verouderde plugins, zwakke configuratie, ontbrekende headers. Scan je website gratis en ontdek waar de risico’s zitten. Of neem contact op voor een complete beveiligingsreview.

Neem contact op