Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien

Ook de Autoriteit Persoonsgegevens is getroffen door een beveiligingsincident, waarbij de gegevens van werknemers zijn ingezien. Daarbij werd misbruik gemaakt van een bug in de Ivanti-securitysoftware. Eerder op vrijdag bleek al dat de Rechtspraak ook is getroffen door zo'n lek.

Het beveiligingsincident wordt bevestigd in een brief aan de Tweede Kamer. Daarin wordt bevestigd dat er misbruik is gemaakt van een kwetsbaarheid in de Ivanti-software, schrijven demissionaire staatssecretarissen Arno Rutte en Eddie van Marum.

In ieder geval de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak zijn daardoor getroffen. Volgens de brief zijn door het incident de 'werkgerelateerde gegevens' van AP-werknemers 'ingezien door onbevoegden'. Het gaat bijvoorbeeld om namen, zakelijke e-mailadressen en telefoonnummers.

Medewerkers van de twee instanties zijn inmiddels op de hoogte gesteld. De Autoriteit Persoonsgegevens heeft daarnaast melding van het incident gemaakt bij haar eigen functionaris voor gegevensbescherming. De Rechtspraak heeft ook een melding gedaan bij de AP.

Eerder op vrijdag bleek al dat de Nederlandse Rechtspraak is getroffen door een cyberincident, waarbij mogelijk de gegevens van werknemers waren ingezien. Uit de Kamerbrief blijkt nu dat ook de Autoriteit Persoonsgegevens is getroffen. Het is niet uitgesloten dat ook andere overheidsorganisaties zijn getroffen door een lek, zegt een woordvoerder van staatssecretaris Rutte tegen de Volkskrant.

Actief misbruikte Ivanti-kwetsbaarheid

De misbruikte kwetsbaarheid zit in Ivanti Mobile, een dienst die wordt gebruikt om zakelijke telefoons en tablets te beheren en beveiligen. Het gaat specifiek om de kwetsbaarheid CVE-2026-1281, een bug in Ivanti Endpoint Manager Mobile.

Eerder deze week waarschuwde het Nederlandse Nationaal Cyber Security Centrum al dat deze actief werd misbruikt. Er zijn al patches beschikbaar, maar de patch helpt niet als het systeem in kwestie al is gecompromitteerd. De NCSC raadde gebruikers daarom aan om ervan uit te gaan dat hun systemen gecompromitteerd zijn en om hun wachtwoorden te veranderen, private keys te vernieuwen en interne verkeer te monitoren.

Hero ransomware

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 06-02-2026 18:33
36 • submitter: joosie

06-02-2026 • 18:33

36

Submitter: joosie

Lees meer

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein
RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein Nieuws van 19 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
D66-senator Willemijn Aerdts wordt staatssecretaris voor digitale economie
D66-senator Willemijn Aerdts wordt staatssecretaris voor digitale economie Nieuws van 9 februari 2026
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld Nieuws van 6 februari 2026
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen Nieuws van 6 februari 2026
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat Nieuws van 27 januari 2026
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour Nieuws van 21 januari 2026
NCSC verwacht dat bug in automatiseringstool n8n snel zal worden uitgebuit
NCSC verwacht dat bug in automatiseringstool n8n snel zal worden uitgebuit Nieuws van 9 januari 2026
Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools
Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools Nieuws van 19 december 2025
Nederland vindt aanpassing van AVG goed, maar vindt EU-voorstel te ver gaan
Nederland vindt aanpassing van AVG goed, maar vindt EU-voorstel te ver gaan Nieuws van 14 december 2025
Brits NCSC: promptinjectionaanvallen bij AI zijn niet te voorkomen
Brits NCSC: promptinjectionaanvallen bij AI zijn niet te voorkomen Nieuws van 10 december 2025
NCSC waarschuwt voor aanstaande aanvallen op gaten in veelgebruikte DNS-software
NCSC waarschuwt voor aanstaande aanvallen op gaten in veelgebruikte DNS-software Nieuws van 27 oktober 2025
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Autoriteit Persoonsgegevens Datalek Hack Ivanti Overheid

Reacties (36)

-Moderatie-faq
36
36
20
1
0
8
Wijzig sortering

Sorteer op:

Weergave:
ruben 6 februari 2026 18:42
Bij wie melden ze dit?
Reageer
Kidtchow @ruben6 februari 2026 18:58
Bij hun eigen FG.
Reageer
Floort
@Kidtchow6 februari 2026 22:34
Het stond een beetje raar in de kamerbrief. Het is via de FG van de AP gewoon bij de AP gemeld. Bron
Reageer
lDDQD @Floort6 februari 2026 23:58
Kan de AP zichzelf eventueel een boete geven?
Reageer
Floort
@lDDQD7 februari 2026 00:46
Ja. De kans is klein dat dat hier gebeurt omdat ik geen overtreding van de AVG zie. Een boete voor slachtoffer zijn van hackers is niet iets wat kan onder de AVG.
Reageer
ocn @ruben6 februari 2026 18:46
Verantwoordelijk staatssecretaris en die aan de Tweede Kamer.

Indiener
A.C.L. Rutte, staatssecretaris van Justitie en Veiligheid

[Reactie gewijzigd door ocn op 6 februari 2026 18:48]

Reageer
Giga_ @ocn7 februari 2026 19:50
Access Control List en Rutte in een zin. Wel toepasselijk op dit onderwerp zeg.
Reageer
AuteurAverageNL Nieuwsredacteur @ruben6 februari 2026 18:47
Gewoon bij de AP zelf! Ik zal een zinnetje toevoegen :)
Reageer
Commendatore 6 februari 2026 18:38
Was dit een zero day?
Reageer
joosie @Commendatore6 februari 2026 18:48
Zeker, zie ook het bericht van het NCSC:
Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Geadviseerd wordt om ervan uit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’-scenario te volgen. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen.
https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager
Reageer
M3m3nt0m0r1 @joosie6 februari 2026 19:12
Het ncsc was (wederom) laat met het melden.
Het nieuws omtrent ivanti kwam op 30 jan al naar buiten.
Toen was het hoogstwaarschijnlijk ook al te laat.
Ivanti hacks zijn vrij populair.
Reageer
Baardmeester @M3m3nt0m0r16 februari 2026 19:35
NCSC heeft 29 januari al een advisory uitgegeven.
https://advisories.ncsc.nl/2026/ncsc-2026-0043.html
Reageer
fre0n @joosie7 februari 2026 00:23
Er is een CVE van. Dan is er geen sprake meer van een 0day toch

Wel van een kwetsbaarheid die eventueel nog niet te patchen is (maar in dit geval wel)
Reageer
Baardmeester @fre0n7 februari 2026 07:20
Als de patch later uitkomt dan het misbruik van de kwetsbaarheid spreek je van een zeroday.
Reageer
coretx @Baardmeester7 februari 2026 11:52
Bekend/geobserveerd maar niet gepatched heet zerosec.Nomenclature die zijn oorsprong in de warez/demo scene kent.

[Reactie gewijzigd door coretx op 7 februari 2026 11:55]

Reageer
fre0n @Baardmeester7 februari 2026 18:13
Het gaat niet om de patchbaarheid maar de cve. Zodra bekend is hoe de exploit werkt is t geen zeroday meer. In dit geval was er al een cve en volgens mij zelfs al een patch
Reageer
Baardmeester @fre0n7 februari 2026 22:17
At the time of disclosure, we are aware of a very limited number of customers whose solution has been exploited.
https://www.ivanti.com/blog/january-2026-epmm-security-update
Reageer
kodak
@joosie6 februari 2026 19:01
In het nieuws staat dat er eind vorige maand als updates waren. Of deze lekken voor of na de updates zijn ontstaan staat niet in het nieuws. Het kan dus het gevolg zijn van criminelen die een 0-day gebruikt hebben, maar ook van te laat updates uitvoeren.
Reageer
Kaalus 6 februari 2026 18:39
Gaan ze nu zichzelf een boete geven? :+
Reageer
kid1988 @Kaalus6 februari 2026 18:56
Ik vermoed dat een boete afhankelijk is van de mate van nalatigheid van de instantie welke het lek heeft veroorzaakt. Gezien het hier om een zero day lijkt te gaan die vrij recent is ontdekt vermoed ik dat hier van nalatigheid weinig sprake is. Al valt dat natuurlijk te bediscussiëren gezien er allicht meerdere lagen hadden kunnen worden toegepast.
Reageer
Martinez- @kid19886 februari 2026 19:34
Uit interesse: Ivanti is, doordat het een zero-day is, ook niet aansprakelijk voor enige schade die ontstaan is uit het gebruik van hun product?

Lijkt me dan namelijk wel mogelijk om daar het e.e.a. te verhalen?
Reageer
Blizz @Martinez-6 februari 2026 20:58
Dat ligt volledig aan hun normale praktijken als ontwikkelaar, bedrijf en ook hun respons op dit veiligheidsincident. Dit lijkt een belangrijke dienst te zijn die AP afneemt, dus ze zullen vast verscheidene certificeringen naleven en daarmee zal alles wel ingedekt zijn. Tenzij er sprake is van een of andere grove nalatigheid.
Reageer
kimborntobewild @kid19886 februari 2026 20:38
"vermoed ik dat hier van nalatigheid weinig sprake is.":

Dat weet ik nog niet zo zeker. Als je apparatuur remote controlled kan worden, is de integriteit van je systemen geschonden. Typically, wil je alle mogelijke software en instellingen zo ingesteld hebben dat er geen remote control mogelijkheden zijn. Heb je dat wel, dan is het vaak alleen maar een kwestie van tijd dat je systemen overgenomen of ingezien kunnen worden. Vroeger, op scholen, konden leerlingen eenvoudig andere PC's overnemen, als er Netop was geïnstalleerd. Gewoon middels een kopietje van de beheerderssoftware.
Reageer
david-v @kimborntobewild6 februari 2026 21:13
"vermoed ik dat hier van nalatigheid weinig sprake is.":

Dat weet ik nog niet zo zeker.
Misschien opnieuw het artikel lezen, dit gaat om een zero day en had betrekking op software voor het beveiligen van mobile telefoons en tablets. Ik zie geen nalatigheid, maar vervelend blijft het wel.
Wat is trouwens remote control? Want alles wat verbonden is met het internet kan in theorie op afstand misbruikt worden. Of bedoel je iets anders met remote control?
Reageer
psybi @david-v6 februari 2026 22:39
Dat een login (beheer)portaal direct vanaf het internet beschikbaar is, kàn nalatigheid zijn, als er geen enkele noodzaak voor is bijvoorbeeld.

Ik zie geen reden waarom zoiets aan het internet moet hangen en zou zoiets altijd enkel via een VPN beschikbaar willen hebben.
Dat er communicatie vanaf de software naar buiten gaat voor het beheer van die devices lijkt me prima.
Sommige software is echter weer zo geprogrammeerd, dat dit allemaal niet zomaar kan en beperkingen heeft, maar dan zou ik persoonlijk tegen het advies voor de software stemmen bijvoorbeeld.
Reageer
themadone @kid19886 februari 2026 19:41
En dan nog, een door belastinggeld betaalde instantie betaald een boete aan een door belastinggeld betaalde instantie.


Zinloos wat mij betreft, ontslagen gaan er ook niet vallen want pikmeerarresten. En we gaan over tot de orde van de dag. Met mensen hun gegevens op straat en nog steeds geen mogelijkheid om je BSN te veranderen.
Reageer
MacGyverNL @Kaalus6 februari 2026 20:55
Wij van WC-eend beboeten WC-eend.
Reageer
fenrirs @MacGyverNL8 februari 2026 12:01
Waarom zou er een boete volgen?
Reageer
Kidtchow 6 februari 2026 18:58
Is het nu een bug of een zero day. Dat maakt nogal een verschil lijkt mij.
Reageer
aikebah @Kidtchow6 februari 2026 19:39
Is het nu een bug of een zero day. Dat maakt nogal een verschil lijkt mij.
Niet echt, een zero day is ook gewoon een bug. Met als enige verschil dat misbruik al gezien is in het veld voordat er een patch van de leverancier is. Bij een gewone bug kan dat misbruik er ook al voor de patch zijn, bij een zero-day is het aantoonbaar misbruikt nog voor er een patch was (en is meestal detectie van het misbruik de aanleiding voor het ontdekken van de bug).
Reageer
joosie 6 februari 2026 18:50
Ook goed om te melden dat het om een zero-day gaat.
Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Geadviseerd wordt om ervan uit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’-scenario te volgen. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen.
https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager
Reageer
Rolf 6 februari 2026 19:05
https://cybersecuritynews.com/hackers-exploiting-ivanti-endpoint-manager-mobile-vulnerabilities/

https://arstechnica.com/security/2025/01/ivanti-vpn-users-are-getting-hacked-by-actors-exploiting-a-critical-vulnerability/


Het gaat wel vaker mis bij ivanti lijkt het. Of is dit bij andere security bedrijven niet anders?
Reageer
R_Zwart @Rolf6 februari 2026 19:28
Fortinet kom ook vaak voor. Maar dat is ook niet gek natuurlijk. Als hacker zijn die systemen de eerste horde die je moet nemen. En aangezien er niet gek veel securitybedrijven zijn kan je je helemaal focussen op die systemen. En ieder systeem heeft vulnerabilities, maar als er minder worden gevonden betekent het slechts dat je als minder interessant wordt gezien door hackers. Niet dat je product beter is.
Reageer
Tomatoman 6 februari 2026 19:38
Ik heb even in mijn glazen bol gekeken, die mij het volgende meldt. Over drie jaar zal de Autoriteit Persoonsgegevens het volgende bericht publiceren:
De Autoriteit Persoonsgegevens (AP) legt de Autoriteit Persoonsgegevens een boete op van 175.000 euro voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de AP in het verleden onvoldoende maatregelen heeft genomen om persoonsgegevens van onder meer werknemers goed te beveiligen.

Beveiliging niet goed afgestemd op risico’s

Om persoonsgegevens goed te beschermen, moet de organisatie die deze gegevens bewaart en gebruikt in kaart brengen welke risico’s daarmee gepaard gaan. Ook moet de organisatie beoordelen wat de gevolgen kunnen zijn als die risico’s werkelijkheid worden. Op basis daarvan moet de organisatie beschermende maatregelen nemen. De AP heeft geconstateerd dat het bij de AP hier misging. De digitale beveiliging van de betrokken servers was onvoldoende afgestemd op de risico’s.
Reageer
RoccoS 6 februari 2026 22:41
Wat zullen al die andere overheidsinstellingen blij zij dat ze op Microsoft Intune draaien.
Reageer
bartburg 9 februari 2026 06:39
Ben benieuwd bij hoeveel bedrijven dit ook gebeurt, of melden die dit niet? Kan me niet voorstellen dat de target alleen overheid/semi overheid zijn.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq