Nederland wordt steeds vaker het doelwit van cyberaanvallen. Het aantal bij de Autoriteit Persoonsgegevens (AP) gemelde incidenten steeg in zeven jaar van 835 naar 1430. Dat is een stijging van 71%. Ook in 2025 bleven grote organisaties niet gespaard. Onder meer het laboratorium Clinical Diagnostics, KLM en Pornhub werden getroffen door cyberaanvallen waarbij grote hoeveelheden persoonsgegevens buitgemaakt werden. Achter elke hack schuilt een digitale keten van systemen, platforms en (software)leveranciers die voor gebruikers grotendeels onzichtbaar blijft, totdat één zwakke schakel alles blootlegt.
Die keten begint bij de digitale voetafdruk: alle informatie die iemand online achterlaat. Dagelijks laten mensen persoonsgegevens achter bij het gebruik van apps, websites, webwinkels en overheidsdiensten. Vaak noodzakelijk om deze diensten te laten functioneren. De gegevens worden daarbij niet alleen verzameld via de bekende cookies, maar ook via minder zichtbare technieken. Met fingerprinting worden software- en hardware-instellingen (zoals het besturingssysteem, de browser en schermresolutie) vastgelegd. Tracking beacons worden ingezet om bij het openen van websites onzichtbare signalen uit te zenden, waarmee locatie, activiteit of interactie kan worden gevolgd.
Met deze data is veel geld te verdienen. Met name in het commerciële circuit worden persoonsgegevens gebruikt om diensten te verbeteren, advertenties te personaliseren of gebruikersgedrag te analyseren. Persoonsgegevens belanden daarbij onder andere bij analyticsbedrijven zoals Google Analytics en andere commerciële partijen.
Recht op inzage
| Volgens Artikel 15 van de AVG heeft iedereen het recht om te weten welke gegevens een bedrijf van hen verwerkt. Men mag bedrijven altijd vragen waar persoonsgegevensvandaan komen en met welk doel ze worden gebruikt. Hiervoor hoeft geen reden opgegeven te worden. Het bedrijf is verplicht om het verzoek duidelijk en volledig te beantwoorden. |
Zwakke schakel
Zolang alles goed gaat, blijft de keten van partijen die persoonsgegevens verwerken grotendeels onzichtbaar. Maar hoe langer de keten, des te meer plekken ontstaan waar het mis kan gaan. Vaak is één zwakke schakel al voldoende. ‘Dat een organisatie onnodig veel gegevens van jou bezit, is vervelend, maar vormt nog geen direct risico’, zegt cybersecurity-expert Lisa de Wilde. ‘Gevolgen ontstaan pas wanneer een partij de beveiliging niet op orde heeft of gegevens uitlekken.’
Criminelen richten zich zelden rechtstreeks op eindgebruikers of grote organisaties. In plaats daarvan zoeken ze naar kwetsbaarheden bij de betreffende softwareleveranciers of kleinere bedrijven die in opdracht data verwerken van deze partijen. Daar is de beveiliging vaak minder streng, terwijl de toegang tot grote hoeveelheden gevoelige informatie groot is.
Volgens De Wilde zijn dit zelden ingewikkelde aanvallen. ‘Veel cybercriminelen zijn uit op snel en makkelijk geld. Ze kiezen het eenvoudigste doelwit, zonder veel tijd of moeite te investeren.’ Ze maken gebruik van relatief eenvoudige methoden: inloggegevens worden achterhaald via phishingmails, brute-force aanvallen waarbij een hacker systematisch gebruikersnamen en wachtwoorden probeert tot hij toegang krijgt, of het misbruiken van wachtwoorden die eerder zijn buitgemaakt. Systemen die niet of te laat zijn geüpdatet, vormen een makkelijk doelwit. Ook malware wordt ingezet om computersystemen te verstoren, te beschadigen of onbevoegden toegang te geven. Malware is schadelijke software die een computer binnenkomt via geïnfecteerde e-mailbijlagen, schadelijke links, het downloaden van corrupte bestanden of door kwetsbaarheden in verouderde software.
Dat een organisatie onnodig veel gegevens van jou bezit, is vervelend, maar vormt nog geen direct risico. Gevolgen ontstaan pas wanneer een partij de beveiliging niet op orde heeft of gegevens uitlekken.
Cybersecurity-expert Lisa de Wilde
Uit de schaduw
Zodra een datalek of hack aan het licht komt, zijn bedrijven verplicht dit te melden bij de Autoriteit Persoonsgegevens. In zeven jaar tijd is het aantal meldingen van cyberaanvallen met 71 procent toegenomen, met een duidelijke piek in 2021. Deze stijging valt samen met strengere wetgeving: sinds mei 2018 zijn organisaties in alle EU-landen verplicht datalekken te melden onder de Algemene Verordening Gegevensbescherming (hierna AVG). In Nederland geldt deze meldplicht al sinds januari 2016.
Algemene Verordening Gegevensbescherming
| De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die de regels voor de verwerking van persoonsgegevens door particuliere bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert. |
De piek in 2021 is voor een deel te wijden aan het feit dat de AP actiever is gaan sturen op de meldplicht bij grote cyberaanvallen, waardoor meer organisaties hun incidenten melden.
Drie recente hacks laten zien dat één gelukte aanval grote gevolgen kan hebben.
Begin juli 2025 wordt het laboratorium van Clinical Diagnostics in Rijswijk, dat tot voor kort het bevolkingsonderzoek naar baarmoederhalskanker uitvoerde en ook tests voor soa’s verzorgde, getroffen door een ransomware aanval van de hackersgroep Nova. Onder dreiging van openbaarmaking, eist de groep losgeld. De eerste betaling wordt gedaan; over een tweede eis blijft onduidelijkheid bestaan.
Ransomware aanval
Bij dit type aanval dringen criminelen de digitale omgeving van een organisatie binnen, maken zij gegevens buit en vergrendelen zij vervolgens de systemen door versleuteling. Daarna volgt de eis tot betaling van losgeld.
Bij betaling ontvangt de organisatie doorgaans een sleutel om de systemen te ontgrendelen en beloven de aanvallers de gestolen gegevens niet openbaar te maken op het dark web. Die belofte biedt echter geen enkele garantie.
De buit is enorm: namen, geboortedata, adressen, burgerservicenummers, onderzoeks- en testuitslagen en verzekeringsgegevens van ongeveer één miljoen Nederlandse vrouwen. In sommige gevallen ook telefoonnummers en e-mailadressen.
Slachtoffers
Het gaat om tientallen aanvraagformulieren uit de periode april 2022 tot medio 2025, afkomstig van patiënten in de leeftijd van 19 tot 90-plus. De formulieren zijn ingediend via huisartsenpraktijken in Zuid-Holland, aangevuld met verzoeken uit praktijken, laboratoria en klinieken in andere delen van het land.
Uit onderzoek van Follow the Money blijkt dat het lab al jaren tekortschoot in de beveiliging van deze gevoelige gegevens. Hoe de hackers precies toegang kregen tot het systeem is nog onduidelijk.
Onderzoeken lopen bij de AP, het Openbaar Ministerie en de Inspectie Gezondheidszorg en Jeugd. Eind augustus meldt Nova via het dark web dat de gestolen data zijn verwijderd.
Voor de betrokken vrouwen blijft vooral onzekerheid achter.
In augustus 2025 ontdekt KLM ongebruikelijke activiteiten op het externe klantenserviceplatform Salesforce. Hackers hebben toegang gekregen tot klantgegevens, waaronder namen, contactgegevens, onderwerpregels van e-mails en informatie uit het Flying Blue-programma.
Flying Blue-programma
Het loyaliteitsprogramma van KLM en Air France waarmee ‘frequent flyers’ punten sparen voor gratis tickets, upgrades en andere voordelen.
Waarschijnlijk maakten de aanvallers gebruik van social engineering, blijkt uit eerdere berichtgeving van BNR. Ze deden zich telefonisch of via berichten voor als een IT-helpdesk en leidden KLM-medewerkers naar een nagemaakte Salesforce-site. Eenmaal op de site werd spionagesoftware geïnstalleerd en zijn persoonsgegevens buitgemaakt.
Er zijn geen signalen dat hierbij losgeld is geëist. Wel wordt de buitgemaakte informatie gezien als waardevol startpunt voor nieuwe aanvallen. KLM heeft het datalek bij de AP gemeld en informeert klanten van wie mogelijk gegevens zijn ingezien.
In december 2025 wordt Pornhub doelwit van een afpersingspoging door hackersgroep ShinyHunters. Niet de systemen van Pornhub zelf, maar die van het analyseplatform Mixpanel blijken kwetsbaar.
De hackers verkrijgen toegang tot 201 miljoen records (94 GB) van historische zoek-, kijk- en downloadactiviteiten van Premium-leden, inclusief e-mailadressen, locatie, video-URL, videonaam, gekoppelde trefwoorden en tijdstippen.
ShinyHunters bevestigt de afpersingspogingen tegenover BleepingComputer en dreigt de gegevens openbaar te maken wanneer losgeld in Bitcoin niet wordt betaald (bedrag onbekend). Pornhub voert momenteel een uitgebreid intern onderzoek uit.
De informatie die bij hacks wordt buitgemaakt, vormt zelden het eindpunt. Integendeel: vaak is het pas het begin. Met samengestelde profielen kunnen criminelen gerichte phishingaanvallen uitvoeren, accounts overnemen of slachtoffers afpersen.
Verhalen van slachtoffers
In september 2025 krijgt Elles de Bruin een brief op de mat. Ook haar persoonsgegevens, verzameld voor het bevolkingsonderzoek naar baarmoederhalskanker, zijn buitgemaakt. In één klap heeft een onbekende toegang tot vrijwel al haar persoonlijke informatie.
De ernst dringt niet gelijk door. ‘In eerste instantie dacht ik: Nou en, miljoenen mensen doen mee aan dat onderzoek.’ Pas later begint het te wringen. Niet door iets wat er gebeurde, maar door wat er mogelijk nog met haar gegevens kán gebeuren. ‘Het idee dat zulke persoonlijke informatie zomaar op straat kan liggen, zeker omdat het om je gezondheid gaat, voelt heel akelig.’
Die gedachte blijft hangen. Voor Elles, zelfstandig ondernemer en publiek figuur, krijgt het een extra lading. ‘Stel dat de uitslag niet goed was geweest. Wat als zoiets bij een opdrachtgever terechtkomt?’
Na de brief blijft het stil. Geen verdere uitleg, geen handelingsperspectief. Elles sluit zich aan bij een collectieve schadeclaim, al verwacht ze daar weinig van. ‘Het gaat mij niet om het geld. Maar als er zo’n procedure loopt, wil ik er wel bij zijn. Tegelijk weet ik dat dit langdurige trajecten zijn waar je vaak lang niets van hoort.’
In de zomer van 2025 ontvangt Julia Hogerheijde via Instagram een bericht van een oud-klasgenoot. De vraag lijkt eenvoudig: of ze op haar wil stemmen voor een rol als co-host bij een podcast. ‘Ik vond dat echt iets voor haar, dus ik klikte op de link.’ Pas wanneer ze op de pagina terechtkomt en moet inloggen, krijgt ze argwaan. Ze sluit snel de pagina. ‘Maar ik gok dat het toen al te laat was…’.
Haar wachtwoord is onderschept. De hacker stelt direct tweestapsverificatie in en neemt haar Instagram-account over. Op haar profiel verschijnen nepberichten over succesvolle investeringen, luxeproducten en cryptobeleggingen. Een bestaande foto van Julia wordt gebruikt in een zogenaamd homescreen, met een melding die als betalingsbewijs moet doorgaan.
Pogingen om contact te krijgen met Instagram lopen vast. ‘Ik heb een mailadres gevonden waar je terechtkunt, maar op mijn mail is nooit gereageerd.’
Julia probeert via een ander account contact te leggen met de hacker. Eerst blijft het stil, maar na een paar dagen krijgt ze antwoord. Om haar account terug te krijgen, moet ze 500 euro betalen. ‘Ik ga echt geen 500 euro betalen om vervolgens misschien ook nog mijn bankrekening te zien leeglopen.’
Na twee weken probeert Julia opnieuw haar wachtwoord te resetten. Tot haar verbazing lukt het. Pas dan ziet ze wat er in haar naam is gebeurd: mensen die Julia nooit eerder had bericht, hebben via haar account dezelfde phishinglink ontvangen als waar haar hack mee is begonnen.
Nagaan of jouw e-mailadres of wachtwoord ooit is gelekt na een datalek?
Have I Been Pwned?
Have I Been Pwned is een zoekmachine voor datalekken. Daarbij wordt vermeld wanneer het lek plaatsvond, welke gegevens zijn uitgelekt en via welke site. De teller van de website staat nu op meer dan 15,3 miljard gecompromitteerde accounts, verspreid over 917 geregistreerde datalekken.
Prijskaartje voor privacy
Vooral de combinatie van gegevens bepaalt de waarde van data voor criminelen. Met alleen een voornaam valt weinig te beginnen. Maar zodra daar een achternaam, geboortedatum, e-mailadres en bijvoorbeeld een burgerservicenummer bij komen, ontstaat een compleet en verhandelbaar profiel.
Die losse datapunten krijgen samen een oplopend prijskaartje en worden in bulk doorverkocht via illegale marktplaatsen, Telegram en het dark web.
De juridische afrekening
Zodra persoonsgegevens zijn buitgemaakt, rijst de vraag wie juridisch verantwoordelijk is. Het korte antwoord: zowel de hacker als de getroffen organisatie.
Onder de AVG rust de primaire verantwoordelijkheid bij de organisatie die de gegevens beheert. Zij kan alleen aansprakelijk worden gesteld als er sprake is van een overtreding van de privacywet. De verwerkingsverantwoordelijke moet passende maatregelen nemen om persoonsgegevens te beveiligen. Of dat voldoende is gebeurd, wordt beoordeeld aan de hand van een risicoanalyse, waarin ook kosten en uitvoerbaarheid meewegen.
Verwerkingsverantwoordelijke
Een organisatie is volgens Artikel 4 van de AVG verwerkingsverantwoordelijke wanneer zij bepaalt wat er met de persoonsgegevens gebeurt, waarom en hoe of wanneer de wet haar dit expliciet voorschrijft, of het verwerken logisch en noodzakelijk is voor haar taken. Als een organisatie persoonsgegevens aan een andere organisatie verstrekt, betekent dat niet automatisch dat die andere organisatie de verwerker is; het kan ook voorkomen dat beide organisaties verwerkingsverantwoordelijke zijn.
Die verantwoordelijkheid reikt verder dan alleen beveiliging. Organisaties moeten ook transparant zijn over welke persoonsgegevens zij verwerken en met welk doel. Dat doel moet specifiek en duidelijk zijn (doelbinding), en gegevens mogen niet verder worden verwerkt op een manier die daarmee onverenigbaar is. Daarnaast geldt het principe van dataminimalisatie: er mogen niet méér gegevens worden verwerkt dan noodzakelijk. Persoonsgegevens mogen bovendien niet langer worden bewaard dan nodig is, moeten correct zijn, en betrokkenen moeten hun rechten kunnen uitoefenen, zoals het recht op inzage of correctie.
De hacker wordt, zodra hij persoonsgegevens verkrijgt, volgens advocaat privacy- en IT-recht Chantal Bakermans beschouwd als (mede-)verwerkingsverantwoordelijke. Hacken is daarnaast strafbaar als computervredebreuk.
Strafmogelijkheden
Volgens Artikel 138ab Wetboek van Strafrecht
- Binnendringen van een systeem zonder toestemming: maximaal zes maanden gevangenisstraf of geldboete derde categorie
- Overnemen of opslaan van gegevens: maximaal vier jaar gevangenisstraf of geldboete vierde categorie
- Binnendringen via openbaar netwerk en bevoordelen/verstoren van derden: maximaal vier jaar gevangenisstraf of geldboete vierde categorie
Dat betekent echter niet dat slachtoffers automatisch recht hebben op schadevergoeding. De drempel ligt hoog. Volgens de Hoge Raad komt schadevergoeding alleen in beeld bij uitzonderlijk ernstige privacyschendingen. Het Europese Hof van Justitie hanteert een ruimer schadebegrip: ook immateriële schade kan worden vergoed, mits de inbreuk voldoende ernstig is.
Daarvan is bijvoorbeeld sprake wanneer uit de gelekte gegevens concrete conclusies kunnen worden getrokken over iemands leven, zoals bij het uitlekken van gevoelige informatie. Ook verlies van controle over persoonsgegevens en reële angst voor toekomstig misbruik kunnen daarbij als schade gelden; een louter hypothetisch risico is onvoldoende.
In de praktijk blijven schadevergoedingen beperkt. Als er al iets wordt uitgekeerd, gaat het doorgaans om enkele honderden tot duizend euro. ‘Zonder rechtsbijstandverzekering kun je beter niet aan een individuele civiele procedure beginnen’, adviseert Bakermans. ‘De juridische kosten wegen vaak niet op tegen de mogelijke compensatie.’ Daarom wordt steeds vaker gekozen voor collectieve acties, waarbij de kosten worden gedragen door een stichting die namens meerdere gedupeerden optreedt. Zo lopen betrokkenen zelf geen financieel risico.
Die straffeloosheid is volgens universitair docent internetrecht en gegevensbescherming Tijmen Wisman het kernprobleem. Volgens hem zijn substantiële investeringen in gegevensbescherming noodzakelijk. ‘Als partijen straffeloos hun taken en plichten kunnen negeren, kun je wel regels hebben, maar verliezen die hun werking.’
Ook De Wilde wijst erop dat het beveiligingsniveau bij veel organisaties nog altijd te laag is. ‘We leven nog te veel met het idee dat datalekken volledig te voorkomen zijn, terwijl criminelen met voldoende tijd en middelen vrijwel elke organisatie kunnen binnendringen.’ Dat betekent volgens haar niet dat organisaties achterover kunnen leunen. ‘Nieuwe wet- en regelgeving helpt, maar uiteindelijk moet de motivatie om data te beschermen intrinsiek zijn.’
Verantwoording
Voor dit verhaal is gesproken met diverse experts en betrokkenen uit het werkveld van datahacks, cybersecurity en privacywetgeving. In het bijzonder dank aan: Chantal Bakermans (advocaat privacyrecht & IT-recht bij Penrose Advocaten), Elles de Bruin (slachtoffer van een datahack bij Clinical Diagnostics), Julia Hogerheijde (slachtoffer van een datahack op social media), Lisa de Wilde (cybersecurity-expert) en Tijmen Wisman (Universitair docent op het gebied van Internetrecht, privacy en gegevensbescherming aan de VU en voorzitter van het Platform Burgerrechten).
Deze productie kwam mede tot stand met juridische inbreng van Frederiek Beuning (advocaat Data & Privacy bij La Gro Advocaten), die relevante stukken en documenten aanleverde.