033 200 30 83
Datalek bij de Autoriteit Persoonsgegevens: wat kunnen organisaties hiervan leren?
De toezichthouder die anderen wijst op de regels, werd zelf getroffen. Begin februari 2026 bleek dat de Autoriteit Persoonsgegevens (AP) te maken had met een datalek, veroorzaakt door een kwetsbaarheid in software die zij zelf gebruikte. Een incident dat niet alleen opvalt vanwege de betrokken organisatie, maar dat ook breder relevante lessen bevat voor iedereen die verantwoordelijk is voor informatiebeveiliging.
Wat is er gebeurd?
Op 6 februari 2026 maakte de AP bekend dat aanvallers via een beveiligingslek in Ivanti Endpoint Manager Mobile (EPMM) — voorheen bekend als MobileIron — toegang hadden gekregen tot werkgerelateerde gegevens van medewerkers. Het ging om namen, zakelijke e-mailadressen en zakelijke telefoonnummers. Hoeveel medewerkers precies zijn geraakt, is niet bevestigd.
Ivanti EPMM is een veelgebruikte oplossing voor het beheer en de beveiliging van mobiele apparaten zoals smartphones en laptops. De AP was niet de enige organisatie die werd getroffen: ook de Raad voor de Rechtspraak had met dezelfde kwetsbaarheid te kampen. Daar loopt het onderzoek naar de omvang nog.
De AP heeft het incident gemeld conform de geldende procedures. De eigen functionaris voor gegevensbescherming is geïnformeerd en het datalek is intern geregistreerd. Daarmee handelde de toezichthouder overeenkomstig de meld- en verantwoordingsplichten die zij ook van andere organisaties verwacht.
Actief misbruik en waarschuwingen van het NCSC
Al op 2 februari — dus nog vóór de bekendmaking door de AP — waarschuwde het Nationaal Cyber Security Centrum (NCSC) dat de kwetsbaarheid in Ivanti EPMM actief werd misbruikt. Organisaties die deze software gebruiken, kregen het advies om uit te gaan van een assume-breach-scenario: ga ervan uit dat het systeem mogelijk al is gecompromitteerd en handel daarnaar.
Op 12 februari volgde een aanvullende stap. Het NCSC publiceerde samen met Ivanti een geüpdatet scanscript (Exploitation Detection RPM Package), met verbeterde detectie van webshells en aanvullende Indicators of Compromise (IoC's). Organisaties die eerder al een scan hadden uitgevoerd, werd nadrukkelijk geadviseerd het script opnieuw te draaien.
Waarom dit incident ertoe doet
Het is verleidelijk om dit vooral als een ironisch voorval te zien: de privacywaakhond die zélf wordt gebeten. Maar de werkelijke les is een andere. Dit incident laat zien dat geen enkele organisatie — ongeacht haar expertise of taakstelling — immuun is voor kwetsbaarheden in software van derden. Digitale afhankelijkheden maken geen onderscheid tussen toezichthouders, bedrijven of overheidsinstellingen. Voor organisaties die werken met Mobile Device Management (MDM)-oplossingen, of breder met externe software, is dit een helder signaal om de eigen beheersing tegen het licht te houden.
Wat kunt u hieraan doen?
Twee thema's verdienen bijzondere aandacht: reactiesnelheid bij kwetsbaarheden en structureel inzicht in het digitale aanvalsoppervlak.
- Snelheid van handelen bij kwetsbaarheden.
Volg security advisories van leveranciers en het NCSC actief. Voer kwetsbaarhedenscans structureel uit, zowel intern als extern. Leg het patchmanagementproces formeel vast en voer het aantoonbaar uit. Pas bij ernstige kwetsbaarheden het assume-breach-principe toe: wacht niet af, maar handel alsof het systeem al is geraakt.
- Structureel inzicht in uw digitale omgeving.
Zorg voor een actueel overzicht van systemen, applicaties en software (assetmanagement). Plan periodieke kwetsbaarhedenscans en koppel de resultaten direct aan het patchmanagementproces. Beleg heldere verantwoordelijkheden binnen ICT en informatiebeveiliging, zodat signalen niet blijven liggen.
Kwetsbaarheden worden regelmatig publiekelijk bekendgemaakt. Het verschil tussen een incident en een beheersbare situatie wordt bepaald door snelheid van opvolging, interne coördinatie en aantoonbare beheersing.
Tot slot
Het datalek bij de AP bevestigt een ongemakkelijke maar belangrijke waarheid: iedere organisatie die afhankelijk is van externe software, staat bloot aan vergelijkbare risico's. Dat geldt voor de privacytoezichthouder net zo goed als voor een schoolbestuur, een ziekenhuis of een gemeente.
Digitale weerbaarheid is geen eindbestemming, maar een continu proces van signaleren, beoordelen en verbeteren. Dit incident is daarbij een bruikbare herinnering — niet om te wijzen, maar om te leren.