Politie kreeg waarschuwing in 2022 maar liet deur wagenwijd open voor Russische hackers
Den Haag, vrijdag, 23 januari 2026.
Russische hackers stalen in 2024 gegevens van 62.000 politiemedewerkers door een beveiligingslek dat voorkomen had kunnen worden. Een interne risicoanalyse uit november 2022 waarschuwde al voor gevaren bij het gebruik van Microsoft 365, maar de politie voerde de geadviseerde maatregelen niet volledig door. De hackersgroep Laundry Bear kreeg hierdoor makkelijk toegang tot namen, contactgegevens en functies van vrijwel alle Nederlandse politiepersoneel. Experts noemen het ‘onbegrijpelijk’ dat de politie ondanks concrete waarschuwingen faalde in de beveiliging van zo’n kritieke overheidsinstelling.
Waarschuwingen genegeerd, hack succesvol
De Nederlandse politie had in november 2022 een dringende waarschuwing gekregen over de risico’s van Microsoft 365 [1][2]. Een interne risicoanalyse waarschuwde dat staatshackers ‘zeer geïnteresseerd zijn in het verkrijgen van toegang tot de cloudomgeving’ en dat het ‘aanvalsoppervlak’ groter zou worden [3]. Het advies was helder: neem alleen de cloud in gebruik als je vooraf alle beveiligingsmaatregelen implementeert [1][2]. De politie deed dit niet. In september 2024 sloeg de Russische hackersgroep Laundry Bear toe [3][4]. Ze kregen toegang tot een Active Directory-omgeving en maakten contactgegevens van 62.000 politiemedewerkers buit [1][2]. Namen, telefoonnummers, functies - alles lag open [2]. Mogelijk werden zelfs foto’s gestolen [2]. Politiebond NPB noemde het terecht ‘een nachtmerrie’ [2].
Politie erkent falen, experts zijn verbijsterd
Na vragen van Follow The Money gaf de politie toe: ‘Wij moeten vaststellen dat niet alle maatregelen ten tijde van het incident volledig waren geïmplementeerd’ [1][2][5]. De organisatie erkent dat de aanval ‘naar verwachting moeilijker had kunnen worden uitgevoerd en mogelijk eerder kunnen worden gedetecteerd’ als ze wél hadden geluisterd [1][5]. Cybersecurity-expert Jeroen van der Ham-de Vos van de Universiteit Twente noemt het ‘onbegrijpelijk’ [4][5]. ‘Het is goed dat er een risicoanalyse is gemaakt, maar daarna nam de politie niet de juiste stappen’, zegt hij [5]. Na de hack werden alsnog inactieve accounts verwijderd en nieuwe wachtwoorden afgedwongen [2][4]. Te laat dus.
Bredere trend van zwakke beveiliging bij politie
Dit incident past in een patroon van slechte informatiebeveiliging bij de Nederlandse politie [4]. De organisatie voldoet regelmatig niet aan eigen richtlijnen en wetgeving, zoals bij het onterecht verzamelen van burgergegevens [4]. De Gegevensautoriteit had eerder al zorgen geuit over onduidelijke regels rondom cloudgebruik [4]. Van der Ham-de Vos wijst op een fundamenteel probleem: de politie werkt in de cloud van een Amerikaans techbedrijf [5]. ‘Dat moet je gewoon zelf doen en zelf afschermen’, stelt hij [5]. De afhankelijkheid van Microsoft betekent verlies van soevereiniteit [5]. De politie zegt nu aan verbeteringen te werken, maar geeft toe dat ‘naleving en controle’ strenger moeten [4]. Voor 62.000 politiemedewerkers komt die erkenning te laat.