Je laptop is gestolen

Je laptop is weg. Dit is wat je nu doet.

Doe dit nu (5 stappen)

1. Vergrendel op afstand. Mac: iCloud.com/find > Markeer als verloren. Windows: account.microsoft.com/devices > Zoek mijn apparaat. Linux: Prey als je het had, anders door naar stap 2.

2. Wachtwoorden wijzigen. Begin met e-mail. Je e-mail is de sleutel tot al je andere accounts (wachtwoord-resets lopen via e-mail). Wijzig dat wachtwoord als eerste. Dan: bank, boekhoudpakket, cloudopslag, CRM, GitHub, hosting. Alles waar klantgegevens staan of waar je via wachtwoord-reset bij kunt.

Gebruik je een wachtwoordmanager? Wijzig het hoofdwachtwoord en revoke actieve sessies. Gebruik je er geen? Installeer er nu een op je telefoon (Bitwarden is gratis) zodat je de nieuwe wachtwoorden veilig kunt opslaan.

3. Sessies intrekken. Google: Beveiligingscontrole > Je apparaten. GitHub: Settings > Sessions. Slack, Notion, Figma: beveiligingsinstellingen. Log de gestolen laptop overal uit.

4. Aangifte doen. Online via politie.nl of op het bureau. Je hebt het proces-verbaal nodig voor verzekering en een eventuele AP-melding.

5. Beantwoord de vraag die alles bepaalt: was je schijf versleuteld?

Versleuteld of niet? Dat bepaalt alles

FileVault (Mac) of BitLocker (Windows) versleutelt je volledige harde schijf. Zonder je wachtwoord is de inhoud onleesbaar, zelfs als iemand de schijf eruit haalt.

Versleuteld + sterk wachtwoord = data veilig. De dief kan je laptop formatteren en doorverkopen. Bij je bestanden komen lukt niet.

Niet versleuteld = alles toegankelijk. Offertes, contracten, e-mails, spreadsheets, lokale wachtwoorden. Alles.

Weet je het niet? Nieuwere Macs (T2-chip, ~2018+) hebben het waarschijnlijk standaard aan. Windows: BitLocker is alleen beschikbaar op Pro en Enterprise. Windows Home heeft "Apparaatversleuteling" maar dat moet je zelf inschakelen. Linux: als je LUKS niet bewust hebt geconfigureerd bij installatie, is je schijf niet versleuteld.

De les die niemand je vertelt: de meeste mensen die denken dat hun laptop versleuteld is, hebben het nooit gecontroleerd. En de meeste mensen die het nooit gecontroleerd hebben, hebben het niet. Twijfel? Ga uit van niet versleuteld en handel daarnaar.

Is dit een datalek? Moet je melden?

Twee vragen: kon iemand bij de data? En welke data?

Geen meldplicht als: volledige schijfencryptie aan, sterk wachtwoord, laptop vergrendeld of uit, en niemand kent je wachtwoord.

Wel meldplicht als: geen encryptie (of je weet het niet), zwak wachtwoord, klantgegevens op de schijf (contracten, financieel, BSN, medisch).

Twijfel? Melden. De AP heeft liever een onnodige melding dan een gemiste.

Hoe meld je? Binnen 72 uur na ontdekking via datalekken.autoriteitpersoonsgegevens.nl (artikel 33 AVG). De klok tikt vanaf het moment dat jij weet dat de laptop weg is, niet vanaf het moment van diefstal.

Je hebt nodig: wat er is gebeurd, welke gegevens betrokken zijn, hoeveel personen (schatting mag), of data versleuteld was, welke maatregelen je hebt genomen. Je hoeft niet alles te weten. Een voorlopige melding kan. Aanvullen mag later. Wacht niet tot je het complete plaatje hebt. Meer over het meldproces lees je in ons artikel over datalek melden.

Klanten informeren? Alleen bij hoog risico (artikel 34 AVG): onversleutelde financiële gegevens, BSN, medische data, of grote aantallen betrokkenen. Bij een versleutelde laptop hoeft het meestal niet.

Als je moet informeren: stuur een eerlijke e-mail. Wat is er gebeurd, welke gegevens waren betrokken, wat je hebt gedaan, wat zij kunnen doen (wachtwoord wijzigen, bankafschriften checken), en hoe ze je bereiken. Schrijf het alsof je het aan een collega vertelt. Geen juridisch jargon, geen paniek.

Registreer het incident ook als je niet meldt bij de AP. De AVG vereist dat je een datalekkenregister bijhoudt van alle beveiligingsincidenten, inclusief de beoordeling en je beslissing om wel of niet te melden.

Developer? Check ook dit

Je laptop bevat meer dan klantdocumenten.

SSH keys revoken. GitHub: Settings > SSH and GPG keys. GitLab, servers, hosting: overal waar je SSH-authenticatie gebruikte. Genereer nieuwe keys op een ander apparaat. Dit geldt ongeacht encryptie: als je een actieve sessie had, zijn SSH keys toegankelijk geweest. Had je je keys met een passphrase beveiligd? Dan is het risico beperkt, maar revoke ze alsnog.

Credentials roteren. Elke .env met database-wachtwoorden, API-keys, tokens. Ja, dat is veel werk. Maar een gelekte API-key naar een productiedatabase met klantrecords is een datalek van een andere orde dan een gestolen offerte. Begin met productie-credentials, dan staging, dan development.

Browser-sessies killen. Chrome: Google-account > Beveiliging > Je apparaten. Firefox: Firefox-account > Apparaten beheren. Denk aan ingelogde klantomgevingen, staging-servers, admin-panels, CI/CD dashboards. Alles wat in je browser was ingelogd.

Git repos met klantcode. Lokale repositories bevatten mogelijk database schemas, klantconfiguraties, of hardcoded credentials. Als je schijf niet versleuteld was, is die code nu potentieel gecompromitteerd. Controleer of er gevoelige informatie in je repos zit en roteer alles wat een risico vormt.

Lokale databases. Development-databases met klantdata. Productie-dumps die je ooit downloadde om een bug te debuggen. Docker volumes met testdata. Dat zijn allemaal persoonsgegevens als er klantrecords in zitten.

Wachtwoordmanager. KeePass of een lokale Bitwarden-vault? De database is versleuteld (mits sterk hoofdwachtwoord), maar wijzig je hoofdwachtwoord en synchroniseer opnieuw.

Tip: maak nu een revocation-checklist in je wachtwoordmanager. Een Markdown-bestand met alles wat je moet revoken als je laptop verdwijnt. Als het zover is, heb je geen tijd om na te denken.

Voorkom het in twee minuten

Alles hierboven is schadebeperking achteraf. Dit zijn de drie maatregelen die het verschil maken vooraf. Gratis. Twee minuten.

Schijfencryptie aan. Mac: Systeeminstellingen > Privacy en beveiliging > FileVault. Windows Pro: zoek "BitLocker" in Instellingen. Windows Home: Instellingen > Privacy en beveiliging > Apparaatversleuteling. Linux: LUKS bij installatie of achteraf via dm-crypt. Dit is de maatregel die bepaalt of een gestolen laptop een datalek is of een vervelend incident.

"Zoek mijn apparaat" aan. Mac: Systeeminstellingen > Apple ID > iCloud > Zoek mijn Mac. Windows: Instellingen > Zoek mijn apparaat. Geeft je de optie om op afstand te vergrendelen of te wissen. Werkt alleen als de laptop verbinding maakt met internet, maar dat doet een dief vroeg of laat.

Klantdata niet (alleen) lokaal. Gebruik cloudopslag met 2FA voor klantbestanden. Als je laptop weg is, zijn je bestanden dat niet. Maak regelmatig backups. Time Machine (Mac) of een cloud-backup die automatisch draait. Een gestolen laptop zonder backup is dubbel pijn: je data is niet alleen potentieel gecompromitteerd, je bent het ook kwijt.

Voor developers specifiek: SSH-keys met passphrase, credentials in een vault (niet in platte .env bestanden), productiedata niet lokaal, en een revocation-checklist klaarliggen. Meer over veilig opslaan lees je in ons artikel over klantgegevens opslaan.

Dit is de contra-intuïtieve waarheid over laptop-diefstal: de AVG-consequenties worden volledig bepaald door voorbereiding, niet door het incident. Twee ZZP'ers verliezen hun laptop in dezelfde trein. De een heeft encryptie aan. Die heeft een vervelende dag. De ander heeft encryptie niet aan. Die heeft een privacycrisis, een meldplicht, en een lastig telefoontje naar zijn klanten.

De eerlijke inschatting

Gestolen laptops zijn een van de meest voorkomende oorzaken van datalekken. De AP ontving in 2024 ruim 14.000 meldingen, waarvan een significant deel verloren of gestolen apparaten betrof.

De nuance die niemand vertelt: met encryptie is een gestolen laptop een financieel probleem. Vervelend, duur, irritant. Maar geen privacycrisis. Geen meldplicht, geen klanten bellen, geen AP-onderzoek. Zonder encryptie is het een ander verhaal: 72-uur melding bij de AP, mogelijk al je klanten informeren, en documenteren wat er is gebeurd. Het verschil zit in twee minuten setup die je hopelijk al hebt gedaan.

Encryptie is gratis en ingebouwd in elk modern besturingssysteem. Geen andere privacymaatregel heeft een betere verhouding tussen moeite en impact.

Je standaard inboedelverzekering dekt de laptop, niet het datalek. Daarvoor bestaat een cyberverzekering (vanaf rond de 100 euro per jaar voor ZZP'ers). Niet verplicht, maar overwegen als je veel klantdata verwerkt.

Lees je dit voordat het is gebeurd? Schakel die encryptie in. Nu. Lees je dit omdat het al is gebeurd? Begin bij stap 1. Het is een rotdag. Het komt goed.