Als je de woorden datalek, data breach of gehackt recent in het nieuws hebt gezien, ben je niet de enige — datalekmeldingen zijn ongeveer wekelijkse gebeurtenissen geworden, en de zoektrend weerspiegelt dat. Deze gids legt uit wat een datalek echt is, waarom ze blijven gebeuren, wat er wordt gestolen, wat je kunt doen en een structureel antwoord waarover niet genoeg wordt gepraat: apps die je gegevens nergens heen sturen, kunnen ze niet laten lekken.
Wat een datalek eigenlijk is
Een datalek is een incident waarbij informatie die door een organisatie wordt opgeslagen, wordt geraadpleegd, gekopieerd of bekendgemaakt door iemand die deze niet mocht zien. De informatie kan klantgegevens zijn, salarisbestanden, creditcardnummers, wachtwoord-hashes, interne documenten of gevoelige persoonsgegevens zoals medische dossiers en huisadressen.
Het technische mechanisme varieert — een gestolen wachtwoord, een ongepatchte server, een verkeerd geconfigureerde cloud-bucket, een insider met slechte bedoelingen, een phishing-e-mail die aanvallers een opening gaf. De juridische definitie verschilt per jurisdictie (AVG, CCPA, HIPAA trekken de lijn anders). Maar de alledaagse betekenis is hetzelfde: gegevens die privé hadden moeten blijven, zijn dat niet meer.
Waarom datalekken blijven gebeuren
Het aantal datalekken per jaar is in het afgelopen decennium bijna elk jaar gegroeid. De structurele redenen zijn niet glamoureus:
- Alles wordt nu in de cloud opgeslagen. Bedrijven die klantgegevens lokaal hielden, houden ze nu in S3-buckets, beheerde databases en SaaS-dashboards. Het aanvalsoppervlak groeit met elke integratie.
- Inloggegevens zijn de zwakste schakel. De meeste datalekken beginnen met één gecompromitteerd wachtwoord. Multi-factor-authenticatie helpt, maar de adoptie is ongelijk en SMS-2FA is zelf aanvalbaar.
- Leveranciers en toeleveringsketens. Je gegevens lopen niet alleen risico bij het bedrijf waar je je hebt geregistreerd, maar bij elke leverancier waarmee ze delen — analytics-platforms, betalingsverwerkers, supporttools, advertentiepartners. Elk is een eigen lek-vector.
- Detectie duurt maanden. Het branchegemiddelde tussen initiële compromittering en detectie ligt rond 200 dagen. Zes maanden waarin een aanvaller stilletjes gegevens exfiltreert voordat iemand het merkt.
- Boetes zijn meestal minder dan de waarde van de gegevens. Een datalek kost gemiddeld 4-5 M USD aan opruiming en boetes. De levenslange waarde van de gegevens, vooral bij hergebruik voor fraude, is vaak hoger. De economie ontmoedigt slechte beveiliging niet sterk.
Welke soorten gegevens worden gestolen
Niet alle gestolen gegevens zijn even schadelijk. Ongeveer in volgorde van hoeveel ellende een gelekt record je kan opleveren:
| Type gegevens | Waarom het slecht is als het lekt |
|---|---|
| Identiteitsdocumenten | Paspoort, ID-kaart, rijbewijsnummers. Voor identiteitsdiefstal. Het moeilijkst te wijzigen. |
| Financiële gegevens | Creditcardnummers, bankrekeninggegevens, transactiehistorie. Meestal direct te gelde te maken. |
| Wachtwoorden (hashed of klare tekst) | Hergebruikt op sites. Eén gelekt wachtwoord → credential-stuffing-aanvallen op elk ander account dat het gebruikt. |
| Persoonlijke contactgegevens | Combinaties van e-mail + telefoon + naam + adres. Voor phishing, SMS-fraude, doxxing. |
| Medische / gezondheidsdossiers | Gevoelig en duurzaam — je medische geschiedenis verandert niet. Voor verzekeringsfraude en gerichte oplichting. |
| Gedragsgegevens | Browsergeschiedenis, locatiegegevens, app-gebruik. Om profielen op te bouwen voor advertentietargeting, oplichting of stalking. |
Wat je echt kunt doen
De meeste adviezen hierover zijn nutteloos ("laat je niet hacken") of overweldigend ("verander morgen alle wachtwoorden"). De pragmatische lijst:
- Gebruik een wachtwoordmanager. Eén sterk uniek wachtwoord per site, gegenereerd en onthouden door de manager. Deze ene stap neutraliseert de meeste credential-stuffing-aanvallen. 1Password, Bitwarden en KeePass zijn allemaal solide.
- Zet 2FA aan, bij voorkeur via app. Authenticator-app-codes (TOTP) of hardware-beveiligingssleutels verslaan SMS met grote marge. SMS is beter dan niets, maar SIM-swap-aanvallen omzeilen het.
- Gebruik Have I Been Pwned. Gratis dienst die je vertelt in welke lekken je e-mail is opgedoken. Meld je aan voor alerts; verander de getroffen wachtwoorden.
- Verminder het aantal accounts dat je hebt. Elk account is een lek-vector. Verwijder die je niet meer gebruikt. Meld je niet aan om één artikel te lezen.
- Geef de voorkeur aan offline tools waar mogelijk. Als een taak gedaan kan worden zonder gegevens naar een clouddienst te sturen, doe het zo. Dit is de structurele oplossing — zie volgende sectie.
Het structurele antwoord: offline-first apps
De meeste persoonsgegevens belanden in een lek omdat ze überhaupt naar een server zijn gestuurd. Een foto-editor die je foto's uploadt om ze te "verbeteren". Een rekenmachine-app die gebruikersanalytics verzendt. Een vertaler die elk gezocht woord logt. Een woordenboek dat een account vereist.
Het structurele antwoord is apps gebruiken die je gegevens nergens heen sturen. Berekeningen, woordenboekzoekopdrachten, PDF-bewerking, schermvergrendeling, spraakopname — dit kan allemaal volledig op je apparaat gebeuren. Als de app je gegevens nooit heeft, kan het volgende datalek ze ook niet bevatten.
Dit is het principe achter elke app in de NDT Studio-catalogus. Onze 45 offline woordenboeken vereisen geen account. Onze BMI-rekenmachine, PDF-tools en utility-apps werken zonder internetverbinding en synchroniseren je gegevens niet naar een server. Niet uit buitengewoon principe, maar omdat de architectuur het eenvoudigst is: geen server, geen datalek.
Bekijk offline apps
We onderhouden 61 gratis offline apps voor Android en iOS — meer dan 45 talen, plus utility tools. Geen vereist een account; geen uploadt je gebruik. Bekijk de volledige catalogus om te zien wat als vervanger werkt voor cloud-afhankelijke versies die je misschien gebruikt.
Bekijk alle NDT Studio-apps →Snelle FAQ
Hoe weet ik of mijn gegevens in een datalek zaten?
De eenvoudigste tool is Have I Been Pwned (haveibeenpwned.com). Voer je e-mail in; het matcht tegen bekende databases met gelekte inloggegevens. Meld je aan voor de e-mail-notificatiedienst om gewaarschuwd te worden bij toekomstige lekken die jou bevatten. Wordt gerund door Troy Hunt en is echt gratis.
Als een bedrijf mijn gegevens heeft en wordt gehackt, heb ik dan recht op iets?
Hangt volledig af van je jurisdictie en de omvang van het lek. In de VS keren class-action-schikkingen soms 5-200 USD per getroffen persoon uit, meestal na een jaar papierwerk. In de EU verplicht de AVG het bedrijf je binnen 72 uur te informeren en kan je aanvullende bescherming geven, maar cashuitkeringen aan particulieren zijn zeldzaam. De realistische verwachting: je krijgt mogelijk een jaar gratis kredietmonitoring. De grotere waarde zit in het wijzigen van de bij de gecompromitteerde dienst gebruikte wachtwoorden.
Zijn offline apps echt veiliger of is dat gewoon marketing?
Het is echt veiliger voor het specifieke risico van datalekken. Een offline app kan geen gegevens lekken die hij niet heeft. Toch kunnen offline apps andere kwetsbaarheden hebben — ze kunnen backdoors op ontwikkelaarsniveau hebben, malware-bibliotheken bevatten, of gegevens verzamelen en later uploaden. De juiste test is niet "is het offline" maar "verzendt het persoonsgegevens". Controleer het privacybeleid en de netwerkpermissies van de app voor je installeert.
Datalekken zullen blijven gebeuren — de structurele oorzaken worden niet beter. De realistische strategie is het verkleinen van het oppervlak: minder accounts, sterkere wachtwoorden, 2FA waar mogelijk, en voorkeur voor tools die werken zonder je informatie te uploaden. Offline-first apps zijn de eenvoudigste versie van dat principe, en toevallig is dat alles wat we bij NDT Studio maken.