datalekt

Welkom bij DataLekt

Steeds meer organisaties in Nederland krijgen te maken met hacks (computervredebreuk), datalekken of andere digitale incidenten. De gevolgen kunnen groot zijn: van het lekken van persoonsgegevens tot verstoring van dienstverlening, reputatieschade of boetes.

Op deze website vind je een overzicht van cyberincidenten in Nederland die sinds 2016 in de media zijn verschenen. Denk aan ransomware, DDoS-aanvallen, datalekken en meer. Als bekend is hoe een incident is ontstaan of wat de impact was, vermelden we dat erbij. We houden ook bij wanneer organisaties zélf openheid geven over incidenten of datalekken in de vorm van een transparantierapport.

We baseren ons uitsluitend op publiek toegankelijke, algemeen bekende nieuwsbronnen. Veel incidenten worden echter nooit openbaar gemaakt. Je vindt hier dus geen overzicht van alle incidenten in Nederland.

Sinds januari 2016 al…

(alleen publiek bekende incidenten)

Datalekken

Ransomware aanvallen

(D)DoS-aanvallen

Aantal boetes

Miljoen EUR schade

Landkaart

Recente incidenten

Over DataLekt!

Actueel inzicht

Inzicht in Cyberincidenten

Sinds 2016 tot nu

Inzicht in cyberincidenten sinds 2016

Hieronder zie je welke incidenten recent zijn toegevoegd of aangepast in onze database.

Wil je het volledige overzicht bekijken? Klik dan op de knop hieronder.

Landkaart

Volledig overzicht

Blijf automatisch op de hoogte:

Abonneer je op updates via RSS, Atom, JSON Feed of Markdown.
Of volg ons op onze LinkedIn Pagina voor dagelijkse updates.
Gebruik je ChatGPT? Probeer dan ook onze eigen DataLektGPT-plugin eens!

RSS

Atom

JSON

Recent toegevoegd

Datum toegevoegd	Datum gewijzigd	Datum	Datum incident	Organisatie	Betrokken derde partij	Nieuwskop	Samenvatting	Bron
19-12-2025 10:58	19-12-2025 10:58	19-12-2025	23-09-2025	Gemeente Eindhoven		Gemeente Eindhoven lekte gevoelige persoonsgegevens van inwoners en medewerkers via openbare AI-websites	De gemeente Eindhoven heeft in de periode van 23 september tot 23 oktober 2025 duizenden interne bestanden met gevoelige en bijzondere persoonsgegevens geüpload naar openbare AI-websites, waaronder mogelijk ChatGPT. Dit gebeurde doordat medewerkers deze AI-diensten gebruikten voor hun werk. Onderzoekers stellen dat het gaat om gegevens van vermoedelijk veel betrokkenen, waaronder informatie over jeugdzorg, WMO-dossiers, BSN-nummers, medische en mentale gezondheid en interne personeelsdocumenten. De gemeente kan niet vaststellen van wie de gegevens zijn gelekt en informeert betrokkenen daarom niet individueel. Misbruik van de data is volgens experts niet uitgesloten. Het datalek is op 23 oktober gemeld bij de Autoriteit Persoonsgegevens. (Bron: security.nl)	Security.nl
17-12-2025 15:56	17-12-2025 15:56	17-12-2025	30-11-2025	Onbekende bank		Digitale identiteitsverificatie van een Nederlandse bank omzeild via deepfakes voor het openen van rekeningen	De politie heeft een 34-jarige man uit Amsterdam aangehouden die met behulp van deepfake-technieken het digitale identiteitsverificatieproces van een Nederlandse bank wist te omzeilen. Door misleiding van slachtoffers verkreeg hij identiteitsdocumenten, die hij vervolgens manipuleerde om als andere personen toegang te krijgen tot het banksysteem en bankrekeningen te openen. In totaal werden 46 rekeningen op naam van derden geopend en gebruikt voor fraude. Er is geen sprake van een technische systeeminbraak of bevestigd datalek bij de bank; wel is een beveiligingsproces binnen het informatiesysteem succesvol omzeild. Betrokken partijen hebben maatregelen genomen. (Bron: security.nl)	Security.nl
13-12-2025 18:19	13-12-2025 18:19	11-12-2025	01-01-2015	REVA Groep	Gemeenten Alkmaar, Bergen, Castricum, Heiloo, Uitgeest en Langedijk	Bedrijfsgevoelige gegevens van REVA Groep gelekt bij aanbesteding Wmo-vervoer	Tijdens een gezamenlijke Europese aanbesteding voor Wmo- en leerlingenvervoer in 2015 is vertrouwelijke bedrijfsinformatie van REVA Groep onbedoeld openbaar beschikbaar gekomen via TenderNed. Door het niet correct markeren van bijlagen als vertrouwelijk konden andere inschrijvers inzicht krijgen in kostprijsberekeningen, marges en personeelsinzet. Een concurrerende vervoerder heeft deze informatie daadwerkelijk ingezien. Het gerechtshof stelde vast dat de betrokken gemeenten ernstig onzorgvuldig hebben gehandeld en dat REVA Groep hierdoor aantoonbare schade heeft geleden, waaronder misgelopen winst, juridische kosten en reputatieschade, waarvoor een schadevergoeding is toegekend. (Bron: streekstadcentraal.nl)	Streekstad Centraal
13-12-2025 18:18	13-12-2025 18:18	11-12-2025	01-01-2015	ZCN Vervoer	Gemeenten Alkmaar, Bergen, Castricum, Heiloo, Uitgeest en Langedijk	Vertrouwelijke bedrijfsinformatie van ZCN Vervoer openbaar door fout bij gemeentelijke aanbesteding	Bij een gezamenlijke Europese aanbesteding voor Wmo- en leerlingenvervoer in 2015 is vertrouwelijke bedrijfsinformatie van ZCN Vervoor onbedoeld openbaar gemaakt op aanbestedingsplatform TenderNed. Door een fout van de betrokken gemeenten werden bijlagen met kostprijsberekeningen, tariefopbouw en personeelsinzet niet als vertrouwelijk gemarkeerd. Hierdoor konden andere geregistreerde gebruikers, waaronder een concurrerende vervoerder, de gegevens inzien. Het gerechtshof oordeelde dat de gemeenten ernstig onzorgvuldig hebben gehandeld en dat ZCN hierdoor schade heeft geleden, waaronder misgelopen winst, juridische kosten en reputatieschade, waarvoor een schadevergoeding is toegekend. (Bron: streekstadcentraal.nl)	Streekstad Centraal
13-12-2025 18:17	13-12-2025 18:17	11-12-2025	01-01-2015	Gemeente Langedijk		Gemeente Langedijk betrokken bij datalek tijdens aanbesteding Wmo-vervoer	De voormalige gemeente Langedijk, inmiddels opgegaan in Dijk en Waard, nam deel aan een gezamenlijke Europese aanbesteding voor Wmo- en leerlingenvervoer in 2015 waarbij vertrouwelijke bedrijfsinformatie van vervoerders ZCN Totaalvervoer en Reva Groep onbedoeld openbaar werd gemaakt via TenderNed. Concurrenten konden inzicht krijgen in kostenstructuren en marges. Het gerechtshof oordeelde dat de betrokken gemeenten ernstig onzorgvuldig hebben gehandeld en kende een schadevergoeding toe voor misgelopen winst en andere schadeposten. (Bron: streekstadcentraal.nl)	Streekstad Centraal
13-12-2025 18:16	13-12-2025 18:16	11-12-2025	01-01-2015	Gemeente Uitgeest		Gemeente Uitgeest medeaansprakelijk voor datalek bij Wmo-aanbesteding	De gemeente Uitgeest was één van de zes gemeenten die in 2015 gezamenlijk een Europese aanbesteding voor Wmo- en leerlingenvervoer uitvoerden waarbij vertrouwelijke informatie van vervoerders ZCN Totaalvervoer en Reva Groep openbaar werd gemaakt. Door een fout in de aanbestedingsprocedure werden gevoelige bijlagen op TenderNed niet afgeschermd. Het gerechtshof stelde vast dat dit ernstige onzorgvuldigheid betrof en dat de ontstane schade voor de vervoerders rechtstreeks voortkwam uit dit datalek. (Bron: streekstadcentraal.nl)	Streekstad Centraal

Recent gewijzigd

Datum toegevoegd	Datum gewijzigd	Datum	Datum incident	Organisatie	Nieuwskop	Samenvatting	Bron
01-10-2021 00:00	17-12-2025 15:51	03-09-2021	01-09-2021	Hogeschool Arnhem Nijmegen (HAN)	Datalek bij Hogeschool van Arnhem en Nijmegen treft half miljoen mensen	De Hogeschool van Arnhem en Nijmegen (HAN) heeft een groot datalek onderzocht dat op 1 september aan het licht kwam. Een hacker verkreeg toegang tot gegevens van studenten, medewerkers en andere contacten via een webformulier. Hoewel de HAN weigerde losgeld te betalen, werden de gegevens online gepubliceerd. Het merendeel van de gelekte gegevens betrof algemene persoonsinformatie, maar in sommige gevallen ging het om gevoelige data zoals BSN-nummers en politieke voorkeuren. De HAN heeft haar excuses aangeboden en informeert de getroffenen over het incident. [Update: Op 6 juli 2024 is bekend geworden dat 5 studenten een schadevergoeding van in totaal € 1800.] [Update: Op 17 december 2025 is bekend geworden dat de Autoriteit Persoonsgegevens de Hogeschool van Arnhem en Nijmegen een boete van 175.000 euro heeft opgelegd wegens onvoldoende beveiliging van persoonsgegevens, waaronder kwetsbaarheid voor SQL-injectie en het onveilig opslaan van wachtwoorden.] (Bron: erasmusmagazine.nl, tweakers.net)	Erasmus Magazine
18-11-2025 09:15	05-12-2025 10:31	17-11-2025	17-11-2025	Hogeschool Arnhem Nijmegen (HAN)	Hogeschool van Arnhem en Nijmegen onderzoekt mogelijk datalek na ongeoorloofd AI-gebruik door docent	De Hogeschool van Arnhem en Nijmegen (HAN) onderzoekt of er een datalek is ontstaan nadat een docent Communicatie en Multimedia Design zonder toestemming een geavanceerde AI-agent toegang gaf tot de digitale leeromgeving, waar volgens hem veel studentgegevens aanwezig zijn. De docent gebruikte privé-abonnementen op AI-software, in strijd met de interne regels. De school heeft een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens en onderzoekt nog welke gegevens mogelijk zijn ingezien en hoeveel studenten getroffen kunnen zijn. [Update: Op 3 december 2025 is bekend geworden dat er geen datalek heeft plaatsgevonden. Uit onderzoek blijkt dat de AI-tool geen persoonsgegevens heeft ingezien, hoewel deze wel ongeautoriseerd toegang had gekregen tot de digitale leeromgeving. De melding bij de Autoriteit Persoonsgegevens is daarom ingetrokken.] (Bron: gld.nl)	Omroep Gld
15-10-2025 11:35	08-11-2025 14:17	13-10-2025	12-10-2025	Omrin	Ransomware-aanval legt Estafette-winkels van Omrin tijdelijk stil	Afvalverwerkingsbedrijf Omrin werd op zondag getroffen door een ransomware-aanval waardoor meerdere Estafette-kringloopwinkels in Friesland maandag moesten sluiten. Criminelen van de groep Qilin hebben bestanden versleuteld en eisen vermoedelijk losgeld. De winkels in onder meer Sneek, Harlingen en Franeker waren tijdelijk dicht, terwijl de milieustraten en afvalverwerking grotendeels doorgingen. Digitale diensten zoals telefonie en de app functioneerden niet goed. Omrin onderzoekt de aanval en benadrukt dat de meeste publieksdiensten open blijven. De getroffen winkels gingen dinsdag weer open. [Update: Op 28 oktober 2025 is bekend geworden dat hackersgroep Qilin 1TB aan data van afvalverwerker Omrin heeft gepubliceerd, waaronder volledige laptopinhoud en persoonsgegevens van medewerkers.] [Update: Op 6 november 2025 is bekend geworden dat Omrin geen losgeld heeft betaald.] (Bron: lc.nl)	Leeuwarder Courant
14-10-2025 11:11	23-10-2025 15:33	13-10-2025	13-10-2025	Bun	Franchisenemer Bun van Albert Heijn getroffen door ransomware-aanval	De grootste franchisenemer van Albert Heijn, Bun, is op 13 oktober 2025 getroffen door een ransomware-aanval waarbij cybercriminelen personeelsdossiers, paspoortkopieën, bankrekeningnummers en medische gegevens van medewerkers en oud-medewerkers hebben gestolen. Een deel van de buitgemaakte data, naar schatting 20 procent, is inmiddels gepubliceerd op het dark web. De aanvallers dreigen meer informatie openbaar te maken als er geen losgeld wordt betaald. In totaal gaat het vermoedelijk om duizenden getroffen (oud-)medewerkers van de 26 filialen van Bun. [Update: Op 23 oktober 2025 zijn er meer details in de media bekend geworden, waarmee de bron is veranderd van ccinfo.nl naar rlt.nl.] (Bron: rtl.nl)	RTL
01-10-2021 00:00	19-10-2025 14:51	18-12-2018	18-12-2018	Koninklijke Nederlandse Lawn Tennisbond (KNLTB)	AP start onderzoek naar gegevenshandel door tennisbond KNLTB	De Autoriteit Persoonsgegevens (AP) is een onderzoek begonnen naar de tennisbond KNLTB vanwege de handel in persoonsgegevens. Dit volgt na klachten van sportbondleden over ongewenste belacties en reclame. Voorzitter van de AP, Aleid Wolfsen, benadrukt dat sportbonden persoonsgegevens mogen gebruiken voor operationele doeleinden, maar niet voor verkoop zonder uitdrukkelijke toestemming. De KNLTB heeft aangekondigd haar beleid aan te scherpen en zal alleen nog belacties uitvoeren met voorafgaande toestemming van leden. De bond werkt mee aan het onderzoek en wacht de resultaten af. [Update: Op 3 maart 2020 heeft de AP een boete van 525.000 EUR opgelegd.] [Update: Op 18 oktober 2025 is bekend geworden dat de Autoriteit Persoonsgegevens en de KNLTB hun rechtszaak hebben beëindigd na een uitspraak van het Europees Hof van Justitie. De boete van 525.000 euro wordt gehalveerd tot 250.000 euro, waarbij de KNLTB erkent dat zij onjuist heeft gehandeld.] (Bron: security.nl)	Security.nl
01-11-2024 12:30	17-10-2025 14:47	31-10-2024	31-12-2023	Experian	AP legde Experian in 2023 boete en dwangsom op vanwege privacywet-overtreding	In 2023 heeft de Autoriteit Persoonsgegevens (AP) Experian, een Iers kredietinformatiebedrijf, een boete en dwangsom opgelegd wegens het schenden van de AVG. Experian verzamelde zonder gerechtvaardigd belang persoonsgegevens voor commerciële doeleinden en informeerde betrokkenen onjuist. Hoewel het exacte boetebedrag niet bekend is, kan het volgens het Financieel Dagblad oplopen tot vier procent van Experians wereldwijde omzet. Het bedrijf vecht de sancties aan en stelt dat de AP’s strikte interpretatie van de AVG afwijkt van andere Europese landen. Het recente oordeel van het Europees Hof bekritiseert de strikte aanpak van de AP. [Update: Op 17 oktober 2025 heeft de Autoriteit Persoonsgegevens bekend gemaakt dat de boete vastgesteld is op 2,7 miljoen euro.] (Bron: tweakers.net)	Tweakers.net

Geografisch overzicht van cyberincidenten

Op deze kaart zie je waar in Nederland de laatste 400 bekende cyberincidenten hebben plaatsgevonden – van gemeenten tot bedrijven en overheidsorganisaties.

Je kunt filteren op soort incident (zoals ransomware, datalek of DDoS). Zo krijg je precies het inzicht dat voor jou relevant is. Ben je op zoek naar de landkaart met alle bekende cyberincidenten? Klik dan op de knop hieronder.

Let op: De locatie op de kaart is gebaseerd op de (hoofd)vestiging van de getroffen organisatie, maar geografische ligging zegt op zichzelf niets over digitale kwetsbaarheid. De kaart is bedoeld om inzicht te geven in de spreiding van bekende incidenten, niet om risico’s per regio te duiden.

Volledige landkaart

Cyberincidenten per jaar

Deze grafiek laat zien hoeveel cyberincidenten er per jaar bekend zijn geworden. Op de x-as zie je de jaren vanaf 2016, op de y-as het aantal incidenten.

Let op: het huidige jaar is nog niet compleet en kan daardoor een vertekend beeld geven in vergelijking met voorgaande jaren.

Cyberincidenten in de keten

Deze grafiek laat per jaar zien hoeveel cyberincidenten binnen de eigen organisatie plaatsvonden, hoeveel incidenten juist via de keten ontstonden (bijvoorbeeld bij een leverancier), en wat het totaal aantal bekende incidenten was in dat jaar.

Zo krijg je inzicht in de rol die ketenpartners spelen bij datalekken en andere incidenten, én hoe dat zich verhoudt tot interne incidenten.

Let op: het huidige jaar is nog niet compleet en kan daardoor een vertekend beeld geven in vergelijking met voorgaande jaren.

Cyberincidenten per branche

Deze grafiek laat zien hoe de bekende cyberincidenten verdeeld zijn over verschillende branches. Je ziet per branche welk percentage van de geregistreerde incidenten daar heeft plaatsgevonden.

Zo krijg je inzicht in welke branches relatief vaak in het nieuws komen met een incident, en waar risico’s zich mogelijk concentreren.

Let op: dit overzicht is gebaseerd op openbaar gemaakte incidenten. Het werkelijke aantal incidenten per branche kan dus (aanzienlijk) afwijken.

Financiële impact: schade, losgeld en boetes

Deze stapelstaafgrafiek laat per jaar zien wat de financiële gevolgen zijn van bekende cyberincidenten. De bedragen zijn gebaseerd op informatie uit de media en bestaan uit vier soorten impact: schadebedragen (zoals herstelkosten of omzetverlies), betaald losgeld bij ransomware-aanvallen, geëist losgeld (ook als het niet betaald is), en opgelegde boetes.

Boetes kunnen afkomstig zijn van de Autoriteit Persoonsgegevens (AP), de Rijksinspectie Digitale Infrastructuur (RDI) of via een rechterlijke uitspraak.

De y-as toont de jaren vanaf 2016, de x-as de bedragen in euro’s. Omdat het een stapelgrafiek is, zie je per jaar de verschillende soorten financiële impact boven op elkaar weergegeven.

Let op: Er is geen totaallijn opgenomen, omdat geëist losgeld lang niet altijd is betaald en daardoor het totaal zou vertekenen.

Meldingen van datalekken bij de Autoriteit Persoonsgegevens

Sinds de invoering van de meldplicht datalekken (2016) en de AVG (2018) ontvangen de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) jaarlijks duizenden meldingen, klachten en signalen over datalekken en mogelijke overtredingen. Daarnaast leggen zij sancties op en voeren toezicht uit.

De grafiek hieronder laat per jaar zien hoeveel datalekken bij de AP zijn gemeld, hoeveel klachten zijn ontvangen, en hoeveel toezichtsmaatregelen (zoals boetes, lasten onder dwangsom en berispingen) zijn opgelegd of in de media zijn verschenen. Ook zie je het aantal onderzoeken, nacontroles en bekende incidenten in de media terug.

De boetes en andere sancties die in de grafiek staan, zijn gekoppeld aan het jaar waarin ze openbaar zijn gemaakt. Dit kan dus afwijken van het jaar waarin de overtreding plaatsvond of de maatregel formeel is opgelegd.

Let op: niet ieder datalek is meldplichtig en lang niet ieder incident komt bij de AP of RDI terecht. Deze cijfers geven dus alleen inzicht in gemelde en geregistreerde gevallen, niet in het volledige aantal datalekken of overtredingen in Nederland

Bronnen:
rapportages | jaarverslagen | onderzoeken | sancties | register berispingen

datalekt

Boeken over beveiliging en hacks

Wil je DataLekt steunen?

In plaats van een donatie kun je ons steunen door een van onze boeken te kopen. Veel leuker — en je houdt er zelf ook iets aan over.

Ben je klaar met lezen? Dan kun je het boek natuurlijk gewoon uitlenen, doorverkopen of weggeven aan iemand anders.

Grip op e-mailbeveiliging

Joram Teusink

“Grip op e-mailbeveiliging” door Joram Teusink is de ultieme gids voor het beveiligen van e-mail in het digitale tijdperk. Dit handboek biedt praktische inzichten en adviezen voor het beschermen van uw e-mailcommunicatie.

Bestellen