Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien

Ook de Autoriteit Persoonsgegevens is getroffen door een beveiligingsincident, waarbij de gegevens van werknemers zijn ingezien. Daarbij werd misbruik gemaakt van een bug in de Ivanti-securitysoftware. Eerder op vrijdag bleek al dat de Rechtspraak ook is getroffen door zo'n lek.

Het beveiligingsincident wordt bevestigd in een brief aan de Tweede Kamer. Daarin wordt bevestigd dat er misbruik is gemaakt van een kwetsbaarheid in de Ivanti-software, schrijven demissionaire staatssecretarissen Arno Rutte en Eddie van Marum.

In ieder geval de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak zijn daardoor getroffen. Volgens de brief zijn door het incident de 'werkgerelateerde gegevens' van AP-werknemers 'ingezien door onbevoegden'. Het gaat bijvoorbeeld om namen, zakelijke e-mailadressen en telefoonnummers.

Medewerkers van de twee instanties zijn inmiddels op de hoogte gesteld. De Autoriteit Persoonsgegevens heeft daarnaast melding van het incident gemaakt bij haar eigen functionaris voor gegevensbescherming. De Rechtspraak heeft ook een melding gedaan bij de AP.

Eerder op vrijdag bleek al dat de Nederlandse Rechtspraak is getroffen door een cyberincident, waarbij mogelijk de gegevens van werknemers waren ingezien. Uit de Kamerbrief blijkt nu dat ook de Autoriteit Persoonsgegevens is getroffen. Het is niet uitgesloten dat ook andere overheidsorganisaties zijn getroffen door een lek, zegt een woordvoerder van staatssecretaris Rutte tegen de Volkskrant.

Actief misbruikte Ivanti-kwetsbaarheid

De misbruikte kwetsbaarheid zit in Ivanti Mobile, een dienst die wordt gebruikt om zakelijke telefoons en tablets te beheren en beveiligen. Het gaat specifiek om de kwetsbaarheid CVE-2026-1281, een bug in Ivanti Endpoint Manager Mobile.

Eerder deze week waarschuwde het Nederlandse Nationaal Cyber Security Centrum al dat deze actief werd misbruikt. Er zijn al patches beschikbaar, maar de patch helpt niet als het systeem in kwestie al is gecompromitteerd. De NCSC raadde gebruikers daarom aangeraden om ervan uit te gaan dat hun systemen zijn gecompromitteerd, en om hun wachtwoorden te veranderen, private keys te vernieuwen en interne verkeer te monitoren.

Hero ransomware

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 06-02-2026 18:33
20 • submitter: joosie

06-02-2026 • 18:33

20

Submitter: joosie

Lees meer

Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld Nieuws van 6 februari 2026
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen Nieuws van 6 februari 2026
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat Nieuws van 27 januari 2026
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour Nieuws van 21 januari 2026
NCSC verwacht dat bug in automatiseringstool n8n snel zal worden uitgebuit
NCSC verwacht dat bug in automatiseringstool n8n snel zal worden uitgebuit Nieuws van 9 januari 2026
Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools
Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools Nieuws van 19 december 2025
Nederland vindt aanpassing van AVG goed, maar vindt EU-voorstel te ver gaan
Nederland vindt aanpassing van AVG goed, maar vindt EU-voorstel te ver gaan Nieuws van 14 december 2025
Brits NCSC: promptinjectionaanvallen bij AI zijn niet te voorkomen
Brits NCSC: promptinjectionaanvallen bij AI zijn niet te voorkomen Nieuws van 10 december 2025
NCSC waarschuwt voor aanstaande aanvallen op gaten in veelgebruikte DNS-software
NCSC waarschuwt voor aanstaande aanvallen op gaten in veelgebruikte DNS-software Nieuws van 27 oktober 2025
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht Autoriteit Persoonsgegevens Datalek Hack Ivanti Overheid

Reacties (20)

-Moderatie-faq
20
20
13
2
0
4
Wijzig sortering

Sorteer op:

Weergave:
Kaalus 6 februari 2026 18:39
Gaan ze nu zichzelf een boete geven? :+
Reageer
kid1988 @Kaalus6 februari 2026 18:56
Ik vermoed dat een boete afhankelijk is van de mate van nalatigheid van de instantie welke het lek heeft veroorzaakt. Gezien het hier om een zero day lijkt te gaan die vrij recent is ontdekt vermoed ik dat hier van nalatigheid weinig sprake is. Al valt dat natuurlijk te bediscussiëren gezien er allicht meerdere lagen hadden kunnen worden toegepast.
Reageer
Martinez- @kid19886 februari 2026 19:34
Uit interesse: Ivanti is, doordat het een zero-day is, ook niet aansprakelijk voor enige schade die ontstaan is uit het gebruik van hun product?

Lijkt me dan namelijk wel mogelijk om daar het e.e.a. te verhalen?
Reageer
themadone @kid19886 februari 2026 19:41
En dan nog, een door belastinggeld betaalde instantie betaald een boete aan een door belastinggeld betaalde instantie.


Zinloos wat mij betreft, ontslagen gaan er ook niet vallen want pikmeerarresten. En we gaan over tot de orde van de dag. Met mensen hun gegevens op straat en nog steeds geen mogelijkheid om je BSN te veranderen.
Reageer
kimborntobewild @kid19886 februari 2026 20:38
"vermoed ik dat hier van nalatigheid weinig sprake is.":

Dat weet ik nog niet zo zeker. Als je apparatuur remote controlled kan worden, is de integriteit van je systemen geschonden. Typically, wil je alle mogelijke software en instellingen zo ingesteld hebben dat er geen remote control mogelijkheden zijn. Heb je dat wel, dan is het vaak alleen maar een kwestie van tijd dat je systemen overgenomen of ingezien kunnen worden. Vroeger, op scholen, konden leerlingen eenvoudig andere PC's overnemen, als er Netop was geïnstalleerd. Gewoon middels een kopietje van de beheerderssoftware.
Reageer
ruben 6 februari 2026 18:42
Bij wie melden ze dit?
Reageer
ocn @ruben6 februari 2026 18:46
Verantwoordelijk staatssecretaris en die aan de Tweede Kamer.

Indiener
A.C.L. Rutte, staatssecretaris van Justitie en Veiligheid

[Reactie gewijzigd door ocn op 6 februari 2026 18:48]

Reageer
AuteurAverageNL Nieuwsredacteur @ruben6 februari 2026 18:47
Gewoon bij de AP zelf! Ik zal een zinnetje toevoegen :)
Reageer
Kidtchow @ruben6 februari 2026 18:58
Bij hun eigen FG.
Reageer
Commendatore 6 februari 2026 18:38
Was dit een zero day?
Reageer
joosie @Commendatore6 februari 2026 18:48
Zeker, zie ook het bericht van het NCSC:
Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Geadviseerd wordt om ervan uit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’-scenario te volgen. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen.
https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager
Reageer
M3m3nt0m0r1 @joosie6 februari 2026 19:12
Het ncsc was (wederom) laat met het melden.
Het nieuws omtrent ivanti kwam op 30 jan al naar buiten.
Toen was het hoogstwaarschijnlijk ook al te laat.
Ivanti hacks zijn vrij populair.
Reageer
Baardmeester @M3m3nt0m0r16 februari 2026 19:35
NCSC heeft 29 januari al een advisory uitgegeven.
https://advisories.ncsc.nl/2026/ncsc-2026-0043.html
Reageer
kodak
@joosie6 februari 2026 19:01
In het nieuws staat dat er eind vorige maand als updates waren. Of deze lekken voor of na de updates zijn ontstaan staat niet in het nieuws. Het kan dus het gevolg zijn van criminelen die een 0-day gebruikt hebben, maar ook van te laat updates uitvoeren.
Reageer
joosie 6 februari 2026 18:50
Ook goed om te melden dat het om een zero-day gaat.
Er is actief misbruik geconstateerd van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), voorheen Mobile Iron. Geadviseerd wordt om ervan uit te gaan dat het systeem is gecompromitteerd en een ‘assume-breach’-scenario te volgen. Het NCSC roept organisaties die deze software gebruiken op om contact op te nemen.
https://www.ncsc.nl/waarschuwing/ncsc-roept-organisaties-op-zich-te-melden-bij-gebruik-van-ivanti-endpoint-manager
Reageer
Kidtchow 6 februari 2026 18:58
Is het nu een bug of een zero day. Dat maakt nogal een verschil lijkt mij.
Reageer
aikebah @Kidtchow6 februari 2026 19:39
Is het nu een bug of een zero day. Dat maakt nogal een verschil lijkt mij.
Niet echt, een zero day is ook gewoon een bug. Met als enige verschil dat misbruik al gezien is in het veld voordat er een patch van de leverancier is. Bij een gewone bug kan dat misbruik er ook al voor de patch zijn, bij een zero-day is het aantoonbaar misbruikt nog voor er een patch was (en is meestal detectie van het misbruik de aanleiding voor het ontdekken van de bug).
Reageer
Rolf 6 februari 2026 19:05
https://cybersecuritynews.com/hackers-exploiting-ivanti-endpoint-manager-mobile-vulnerabilities/

https://arstechnica.com/security/2025/01/ivanti-vpn-users-are-getting-hacked-by-actors-exploiting-a-critical-vulnerability/


Het gaat wel vaker mis bij ivanti lijkt het. Of is dit bij andere security bedrijven niet anders?
Reageer
R_Zwart @Rolf6 februari 2026 19:28
Fortinet kom ook vaak voor. Maar dat is ook niet gek natuurlijk. Als hacker zijn die systemen de eerste horde die je moet nemen. En aangezien er niet gek veel securitybedrijven zijn kan je je helemaal focussen op die systemen. En ieder systeem heeft vulnerabilities, maar als er minder worden gevonden betekent het slechts dat je als minder interessant wordt gezien door hackers. Niet dat je product beter is.
Reageer
Tomatoman 6 februari 2026 19:38
Ik heb even in mijn glazen bol gekeken, die mij het volgende meldt. Over drie jaar zal de Autoriteit Persoonsgegevens het volgende bericht publiceren:
De Autoriteit Persoonsgegevens (AP) legt de Autoriteit Persoonsgegevens een boete op van 175.000 euro voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Uit onderzoek van de AP blijkt dat de AP in het verleden onvoldoende maatregelen heeft genomen om persoonsgegevens van onder meer werknemers goed te beveiligen.

Beveiliging niet goed afgestemd op risico’s

Om persoonsgegevens goed te beschermen, moet de organisatie die deze gegevens bewaart en gebruikt in kaart brengen welke risico’s daarmee gepaard gaan. Ook moet de organisatie beoordelen wat de gevolgen kunnen zijn als die risico’s werkelijkheid worden. Op basis daarvan moet de organisatie beschermende maatregelen nemen. De AP heeft geconstateerd dat het bij de AP hier misging. De digitale beveiliging van de betrokken servers was onvoldoende afgestemd op de risico’s.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq