Hackers bestuurden vijf maanden lang mobiele telefoons van gevangenismedewerkers
Den Haag, vrijdag, 27 februari 2026.
Criminelen hadden niet alleen toegang tot contactgegevens van 16.000 DJI-medewerkers, maar konden ook hun zakelijke telefoons op afstand bedienen. De hack via Ivanti-software trof gevangenissen, tbs-klinieken en jeugdinrichtingen. Experts waarschuwen dat gevangenispersoneel extra kwetsbaar is voor chantage en afpersing. Het is onduidelijk of hackers nog steeds toegang hebben tot de systemen.
Vijf maanden onopgemerkt binnen
De hackers kregen toegang via een kwetsbaarheid in Ivanti EPMM software, die DJI gebruikt om zakelijke telefoons te beheren [1][3]. Ze konden niet alleen e-mailadressen, telefoonnummers en beveiligingscertificaten van medewerkers bekijken, maar ook mobiele apparaten op afstand besturen [1][3]. DJI informeerde haar 16.000 medewerkers pas op 12 februari 2026 over het datalek [1][4]. Het Nationaal Cyber Security Centrum waarschuwt dat indringers mogelijk ‘een achterdeur op het systeem hebben geplaatst’ [7]. Dit betekent dat de criminelen waarschijnlijk nog steeds toegang hebben tot de DJI-systemen, ondanks dat er inmiddels een patch beschikbaar is [7].
Extra risico voor gevangenispersoneel
De gelekte gegevens vormen een bijzonder risico voor DJI-medewerkers die werken in gevangenissen, tbs-klinieken en jeugdinrichtingen [2][4]. Voormalig gevangenisdirecteur Klaas Brandsma legt uit waarom dit zo gevaarlijk is: ‘Het gaat om mensen, zoals directeuren en afdelingshoofden, die regelmatig beslissingen nemen waar gedetineerden niet blij mee zijn. Als zij iemand willen chanteren of bedreigen, is het heel handig als je contactgegevens hebt’ [3]. Staatssecretaris Claudia van Bruggen zegt echter dat medewerkers geen gevaar lopen [2][4][6]. Cybersecurity-expert Frank Breedijk is pessimistischer: ‘Als een systeem eenmaal gecompromitteerd is, moet je het in feite als verloren beschouwen’ [3].
Onderdeel van bredere Ivanti-hack
Het DJI-lek is onderdeel van een grotere hack binnen de Rijksoverheid [1]. Begin februari 2026 werden ook de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak getroffen via dezelfde Ivanti-kwetsbaarheid [1][2][7]. Het NCSC adviseert gehackte organisaties om alle potentieel gecompromitteerde apparaten volledig opnieuw te installeren [3][7]. DJI onderzoekt momenteel de precieze oorzaak van het datalek samen met externe specialisten [2][4]. De organisatie beheert vijftig locaties in Nederland en heeft melding gemaakt bij de Autoriteit Persoonsgegevens [2][4].