De waakhond van privacy wordt zelf gehackt
Den Haag, vrijdag, 6 februari 2026.
De Nederlandse Autoriteit Persoonsgegevens, de organisatie die bedrijven afstraft voor datalekken, is zelf slachtoffer geworden van cybercriminelen. Hackers keken mee met werknemersgegevens via een kwetsbaarheid in beveiligingssoftware. Ook de Raad voor de Rechtspraak werd getroffen. Het incident toont de ironie: de privacywaakhond moet nu een datalek bij zichzelf melden.
Ruim 12.000 rechtsprekende medewerkers getroffen
De hack raakte hard. Bij de Raad voor de Rechtspraak werden zakelijke mailadressen, telefoonnummers en voor- en achternamen van ruim 12.000 medewerkers openbaar [3]. Rechters en griffiers kunnen voorlopig niet via hun telefoon-app bij hun mail [3]. Het duurt zeker twee weken voordat iedereen weer normaal kan mailen via de mobiel [3]. De staatssecretarissen Arno Rutte en Eddie van Marum bevestigden in een Kamerbrief vandaag dat werkgerelateerde gegevens zoals namen, zakelijke e-mailadressen en telefoonnummers zijn ingezien door onbevoegden [1][2][4]. Het exacte aantal getroffen AP-medewerkers blijft onduidelijk [1][2].
Ivanti-software als zwakke schakel
De cybercriminelen maakten misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile, software die mobiele apparaten van bedrijven beheert en beveiligt [1][2][4]. Het Nationaal Cyber Security Centrum kreeg al op 29 januari melding van deze zwakke plek [2][4]. Op 2 februari waarschuwde het NCSC organisaties om ervan uit te gaan dat ze gehackt zijn als ze deze software gebruiken [7]. Meerdere overheidsorganisaties draaien op dezelfde software [1][2]. Een woordvoerder van Rutte sluit niet uit dat meer organisaties getroffen zijn: ‘Daar wordt onderzoek naar gedaan’ [5]. De CIO Rijk onderzoekt nu of er bredere impact is binnen de rijksoverheid [6][7].
Waakhond meldt bij zichzelf
De ironie is compleet. De AP, die normaal anderen op de vingers tikt voor datalekken, moest nu een melding doen bij haar eigen functionaris voor gegevensbescherming [2][4][6]. Een woordvoerder noemt het ‘heel apart’ dat de AP een datalekmelding bij zichzelf heeft gedaan [3]. De Raad voor de Rechtspraak lichtte eerst de AP in over hun lek, waarna de privacytoezichthouder haar eigen incident meldde [2][4][6]. Beide organisaties hebben hun medewerkers geïnformeerd [1][2][4]. Het incident toont hoe kwetsbaar zelfs de organisaties zijn die anderen moeten beschermen tegen cybercriminaliteit [GPT].
Bronnen
- nltimes.nl
- www.nu.nl
- www.ad.nl
- nos.nl
- www.taxlive.nl
- www.dutchitchannel.nl
- www.binnenlandsbestuur.nl