RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein

Mediabedrijf RTL Group is slachtoffer geworden van een hack. Daarbij zijn personeelsgegevens gestolen. De impact op de Nederlandse tak lijkt relatief klein: volgens een woordvoerder zijn ongeveer 300 e-mailadressen en een klein aantal telefoonnummers buitgemaakt.

Het incident deed zich voor op het intranet van RTL Group, bevestigt een woordvoerder van RTL tegen Tweakers. Hackers hebben gegevens van dat platform gestolen. Op het intranet stonden nog 'verouderde' persoonsgegevens van RTL Nederland, bevestigt de woordvoerder. RTL Nederland is vorig jaar overgenomen door DPG Media en is daardoor geen onderdeel meer van RTL Group.

Het zou gaan om ongeveer 250 tot 300 e-mailadressen van Nederlandse RTL-medewerkers en 'in enkele gevallen' ook telefoonnummers. Het bedrijf benadrukt dat er geen wachtwoorden of andere persoonsgegevens zijn gelekt en dat het 'preventieve maatregelen' neemt om eventuele misbruikpogingen te voorkomen. Medewerkers van wie gegevens zijn gestolen, worden daarvan op de hoogte gesteld.

De impact bij de rest van RTL Group lijkt groter. Hackers claimden op donderdag dat zij gegevens van in totaal ruim 27.000 RTL Group-medewerkers hebben gestolen, hoewel de woordvoerder dat aantal niet bevestigt. Daaronder vallen dus ook de andere takken van RTL, zoals die in België, Duitsland en Frankrijk. Er zijn geen concrete details over de hack of de oorzaak daarvan.

RTL Nederland
Het kantoor van RTL Nederland in Hilversum. Bron: RTL

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 19-02-2026 15:25
23 • submitter: Joelsuperstar

19-02-2026 • 15:25

23

Submitter: Joelsuperstar

Lees meer

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Datalek bij Europese Commissie na aanval op mobiele infrastructuur
Datalek bij Europese Commissie na aanval op mobiele infrastructuur Nieuws van 9 februari 2026
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld Nieuws van 6 februari 2026
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien Nieuws van 6 februari 2026
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen Nieuws van 6 februari 2026
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat
AP: datalekken bij gemeenten vaak niet gemeld als het om corrupte ambtenaar gaat Nieuws van 27 januari 2026
Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen
Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen Nieuws van 12 januari 2026
ESA meldt datalek; hacker claimt diefstal 200GB data en broncode
ESA meldt datalek; hacker claimt diefstal 200GB data en broncode Nieuws van 31 december 2025
Meer producten en artikelen
Beveiliging en antivirus Datalek Hack Hackers RTL

Reacties (23)

-Moderatie-faq
23
23
16
0
0
7
Wijzig sortering

Sorteer op:

Weergave:
NicoHF 19 februari 2026 15:33
"Op het intranet stonden nog 'verouderde' persoonsgegevens van RTL Nederland"


Wanneer leren organisaties nou eens om een delete knop te gebruiken.
Data wat er niet is, kan ook niet gestolen worden!
Reageer
locke960 @NicoHF19 februari 2026 16:37
Het feit dat RTL Nederland verkocht is betekent niet dat je ineens niets meer met elkaar te maken hebt. Als jij van baan verandert verwijderd je oude werkgever ook niet de dag erna al je gegeven. Er zijn nog wettelijke en wederzijdse verplichtingen waarvoor die gegevens nodig zijn.

Ik vind het veel opvallender dat ze het over "intranet" hebben. Privé persoonsgegevens horen in een HR systeem thuis, en nergens anders. In mijn beleving kun je de definitie van intranet niet zover oprekken dat een HR systeem daar ook onder valt.

Het suggereert dat de gegevens op de een verkeerde plek werden bewaard. Maar het kan net zo goed zijn dat het HR systeem is gehackt en dat de berichtgeving vaag is.
Reageer
metalmania_666 @locke96019 februari 2026 16:47
Bij meerdere bedrijven waar ik gewerkt hebt, stond op het intranet een soort telefoon/smoelenboek met daarin naam, emailadres, telefoonnummer zakelijk (en vaak ook privé mobiel als gebruikers daar toestemming voor gegeven hadden) en dan de afdeling.

Dus ik ben het niet eens met je.
Reageer
NicoHF @locke96019 februari 2026 16:50
Volgens het artikel betrof het verouderde gegevens en geen actuele, deze zouden dus verwijderd moeten zijn en hebben daar helemaal niks te zoeken op een intranet.
Reageer
wiseger @locke96019 februari 2026 16:54
RTL Nederland is de werkgever, niet de RTL Group. De medewerkers behouden dan ook gewoon hun bestaande arbeidscontract bij RTL Nederland, ook na de overname door DPG Media. Er is dus geen sprake van een oude werkgever.
Reageer
locke960 @wiseger19 februari 2026 17:34
In dat geval is de vraag waarom RTL Group überhaupt over die gegevens beschikte, want dan was er voor die tijd ook al geen relatie. En de reden die voorheen gelde, geld nu misschien nog steeds. Of misschien deden ze altijd al iets verkeerd.

Kern is: we weten er het fijne niet van, maar wat we wel weten is dat de verknopingen tussen dergelijke bedrijven in een concern heel complex kunnen zijn en dat je niet zomaar even contact gegevens kunt verwijderen omdat je nog allerlei verplichtingen hebt.
Reageer
CPM @locke96019 februari 2026 18:34
Je hebt deels gelijk. Een Intranet kan ook een koppeling hebben met een HR systeem, of HR met AD of bedenk maar iets. Gegevens worden dan opgeslagen in meerdere databases. Of dat gewenst is laat ik even in het midden. Dan heb je mogelijk een soort adresboek en als je die gaat scrapen heb je ook gegevens. En waar staat dat het om prive gegevens gaat? Kunnen ook zakelijke nummers zijn.

En als er geen fatsoenlijke koppeling is dan is dat ook meteen een verklaring waarom er oude gegevens in staan. Goed informatie management dan, not.

[Reactie gewijzigd door CPM op 19 februari 2026 18:36]

Reageer
Alfa1970 @NicoHF19 februari 2026 16:33
Je kan niet zomaar roepen dat gegevens verwijdert zouden moeten worden.
Er bestaan wetten die bedrijven verplichten om sommige data te bewaren.
Sommige data moet wettelijk zelfs "oneindig" bewaard blijven.
Ons helpdesk systeem heeft geen delete knoppen, het enige dat kan worden gedaan is een account deactiveren. Sommige informatie is zelfs niet veranderbaar zonder tussenkomst van de ontwikkelaars, en zelfs wanneer er toestemming voor wordt verleend om gegevens aan te passen is er altijd een administratief spoor beschikbaar waar de originele informatie achterhaalbaar is, inclusief wie toestemming heeft gegeven en wie de uitvoering heeft gedaan alsmede de mutatie en de originele informatie.

Dus het is vaak niet zo makkelijk om maar te roepen je moet die delete knop gebruiken.

Je hebt gelijk met je opmerking dat data die er niet is niet gestolen kan worden.
Maar op die fiets kan je ook zeggen:
Je kan vanaf het internet niet inbreken op een systeem dat niet aan het internet hangt.
Reageer
NicoHF @Alfa197019 februari 2026 16:43
Dan mogen jullie je systemen wel eens gaan updaten om te voldoen aan de AVG wetgeving.
Want het uitgangspunt is dat data niet langer bewaard blijft dan strikt noodzakelijk of om te voldoen aan de wettelijke termijnen waar je dan oa aan kan denken zijn de fiscale termijnen van de belastingdienst.


Er is maar weinig data wat permanent bewaard dient te worden, bv bij een juridische geschil of archiefwet.
  • Het uitgangspunt van de wet is dat u persoonsgegevens zo kort mogelijk bewaart. Kunt u de bewaartermijn nog aanscherpen?
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/bewaren-van-persoonsgegevens
Reageer
wiseger @Alfa197019 februari 2026 16:51
Je mist mijn inziens de kern van de zaak, de medewerkers werken bij RTL Nederland en dat onderdeel is een jaar geleden verkocht aan DPG Media. RTL Nederland heeft te maken met juridische bewaar termijnen van gegevens van haar medewerkers, de RTL Group niet want de medewerkers zijn daar helemaal niet in dienst geweest. Dus een handig telefoonlijstje op het Intranet bij de RTL Group had gewoon bijgewerkt moeten worden na de verkoop.
Reageer
PolarBear @NicoHF19 februari 2026 15:40
Er staan bij ons wat gegevens op uit de Active Directory Entra maar dat is Naam, emailadres, telefoonnummer, allemaal zakelijk. En als iemand uit dienst gaat verdwijnt het direct.
Reageer
jigalvh @NicoHF19 februari 2026 15:52
Wanneer leren organisaties nou eens om een delete knop te gebruiken.
Data wat er niet is, kan ook niet gestolen worden!
Waarom zouden ze? Van alle datalekken de afgelopen tijd heb ik nog niets gezien van serieuze gevolgen voor de betreffende bedrijven/organisaties. Experts zeggen voordurend dat criminelen weinig kunnen met de gegevens die ze buit maken, maar toch blijft data gestolen worden. Slachtoffers moeten maar zien te bewijzen dat het specifiek afkomstig is van een bepaald datalek en vervolgens ook aantonen hoe groot de schade precies is.
Reageer
wiseger @NicoHF19 februari 2026 15:54
Exact. RTL Nederland was verkocht dus er was geen enkele reden meer waarom het oude bedrijf RTL Group nog gegevens van medewerkers van het verkochte RTL Nederland in haar systemen had staan.
Reageer
The-Source @NicoHF19 februari 2026 16:55
Nou ik werk met regelmaat met vpn oplossingen en dan ook met accounts bij klanten.
Recentelijk een klant die had geboortedatum als verplicht veld voor het aanmaken van een remote access account.
Vervolgens gewezen op de AVG en dataminimalisatie beginsel maar kon echt niet anders... daarbij werd overigens uiteindelijk vermeld dat ze niet controleren of de datum klopt (dus tja waarom vraag je het dan... :? )
Reageer
bussie66 @NicoHF19 februari 2026 16:23
Wat doen persoonsgegevens op een Intranet?
Reageer
PlasticPimple @bussie6619 februari 2026 16:36
In het artikel wordt gesproken over e-mailadressen en telefoonnummers. Veel organisaties hebben wel iets van een intern telefoonboek via intranet waarmee je dan rechtstreeks iemand van bijv. juridische zaken kunt bellen.
Reageer
ThaStealth @NicoHF19 februari 2026 18:20
Dit kunnen ook nieuwsartikelen zijn, een aankondiging dat iemand bezig is met een bepaald project, en als je meer informatie wil kun je contact opnemen met mail x of telefoonnummer y.

die nieuwsberichten zijn onmogelijk allemaal eraf te halen en bij te houden of de persoon nog in dienst is
Reageer
gpon 19 februari 2026 15:28
Welke software gebruiken ze?
Reageer
pctje @gpon19 februari 2026 17:01
https://intranet.rtl.com/rtl-group/login
Reageer
fsfikke 19 februari 2026 15:38
Daaronder vallen dus ook de andere takken van RTL, zoals die in België, Duitsland en Frankrijk.
Ik had op z'n minst Luxemburg ook in dat lijstje verwacht, gezien waar de afkorting RTL voor staat :p
Reageer
PacinoAllstars 19 februari 2026 16:53
Tjongejonge, weer zo’n klassiek “verouderde data” verhaal… RTL Nederland is al sinds juli 2025 van DPG Media, dus die 250-300 mailtjes en telefoonnummers lagen gewoon nog te verstoffen op het oude Group-intranet in Luxemburg. Lekker overzichtelijk na al die jaren.

Dit ruikt echt naar het wanbeleid van John de Mol na het compleet mislukken van die fusie met Talpa. Hij wilde per se dat megabedrijf, ACM zei in januari 2023 keihard nee (te veel macht in de reclame), en toen werd het snel verkocht aan DPG. Achteraf blijft de rotzooi gewoon liggen.

Meer achtergrond:

•  Mislukte fusie: https://deadline.com/2023/01/rtl-suffers-blow-dutch-regulators-stop-talpa-merger-1235243994/

•  Verkoop aan DPG afgerond: https://company.rtl.com/en/media/overview/press-releases-and-news/RTL-Nederland-transaction-closed/

•  Hackers claimen trouwens 27.000 medewerkers + samples (namen, werkadressen, functietitels, ook privé-telefoons): https://cybernews.com/security/rtl-group-data-breach-employees-leaked/

En dan komt dit weer van Tweakers… de linkse liberale techsite die het allemaal keurig netjes brengt 😉 Maar feiten zijn feiten, grote mediabedrijven moeten hun legacyshit echt beter opruimen voordat de volgende hack komt.

Ik voorspel dat we meer van dit soort “oh het was maar oude data” verhalen gaan zien door al die (mislukte) fusies en overnames.
Reageer
Rob @PacinoAllstars19 februari 2026 19:22
Waarom is dit wanbeleid van John de Mol na het mislukken van de fusie met RTL Nederland? De hack was bij de RTL Group niet bij RTL Nederland
Reageer
bloetoet 19 februari 2026 18:20
Uhmmm...er wordt niks vermeld of data intern of extern wordt gehost. Mijn vermoeden, externe hosting. Ja, ook je intranet kan je bij een externe SaaS / Cloud/ etc. -partij onderbrengen.


En dan:
ongeveer 300 e-mailadressen en een klein aantal telefoonnummers buitgemaakt

paar sentences verder dan weer:
Op het intranet stonden nog 'verouderde' persoonsgegevens van RTL Nederland, bevestigt de woordvoerder

Heel verwarrend duidelijk :?
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq