datalekt

Hacks en datalekken in Nederland

Er vinden steeds meer hacks en datalekken plaats en de gevolgen daarvan zijn enorm. Op deze website vindt u een kaart van Nederland met alle cyberincidenten zoals hacks en datalekken sinds 2016 terug. Ook ziet u hoe deze ontstaan zijn en wat de gevolgen waren (voor zover bekend).

We gebruiken alleen informatie uit betrouwbare bronnen en media. Let wel op: de meeste hacks en datalekken worden niet openbaar gemaakt. Dat bekent dat in werkelijkheid heel Nederland rood kleurt en dat er geen enkele sector is waar deze cyberincidenten niet plaatsvinden.

We hopen door meer inzicht en transparantie te voorkomen dat nog meer bedrijven en organisaties slachtoffer worden.

Sinds januari 2016 al…

Datalekken

Ransomware aanvallen

Aantal boetes

Miljoen EUR schade

Actueel inzicht

Inzicht in Cyberincidenten

vanaf 2016 tot en met het heden

Welkom op de website DataLekt. Hier vindt u een overzicht van alle cyberincidenten bij in Nederland gevestigde organisaties die in de media zijn terecht gekomen. Of het nu gaat over datalekken, (D)DoS aanvallen of gijzelsoftware, ze staan er allemaal tussen.

Kijk snel verder wanneer u meer wilt weten.

Naar de kaart

Naar het overzicht

Meer weten?

Wilt u meer weten over de scope van deze dataverzameling, of de aard van de cyberincidenten? Klik dan hieronder de onderwerpen open.

Wat is ons doel en wie is onze doelgroep?

Elke geïnteresseerde in dit onderwerp is uiteraard hartstikke welkom op de website. We richten ons daarbij zelf wel vooral op de doelgroep die op beslissingsbevoegde posities in organisaties zitten, of juist privacy of security posities bekleden.

Ons doel is namelijk om antwoord te geven op vragen als: “Hoe vaak gebeurt een datalek of ransomware aanval eigenlijk?”, “Welke hacker wilt ons überhaupt hacken?”, en “Hoe vaak gebeurt het nu eigenlijk in mijn sector?”. Al die antwoorden staan op de site, uiteraard voor zover deze in de media terecht zijn gekomen.

De statistieken en analyses helpen bij het vormgeven van de business case voor het inzetten van een verandering of investering ten gunste van de informatiebeveiliging. Het kan ook helpen bij het ‘ontwapenen’ van argumenten om juist niet te investeren of geen aandacht op dit onderwerp te doen late plaats vinden.

Om dit allemaal mogelijk te maken hebben we in kaart gebracht wat er sinds 2016 is voorgevallen. Daarbij hebben we uiteraard ons beperkt tot wat er al in de media bekend is geworden. Op die manier zorgen we er voor dat er via onze website niet meer informatie gepubliceerd wordt dan al door de organisatie in kwestie zelf is vrijgegeven.

Waarom de term cyberincidenten?

De reden voor het gebruik van de term cyberincident als paraplubegrip is een bewuste keus. In het Cybersecurity Woordenboek, mede opgezet door de branche organisatie Cyberveilig Nederland, wordt cyber namelijk als volgt uitgelegd:

Iets wat te maken heeft met digitale informatie en systemen die verbonden zijn met het internet.

Op deze website vindt u dus incidenten op het gebied van cyber. En dat is inclusief gevonden kwetsbaarheden, hacks, gijzelsoftware en datalekken.

Wat is de scope?

De organisaties die in scope zijn van deze website zijn als volgt.

Cyberincidenten bij in Nederland gevestigde organisaties
Alle organisaties met een vestigingsadres in Nederland die op een manier betrokken zijn geweest bij een cyberincident of datalek, ongeacht de locatie van de eventueel betrokken (sub) verwerker(s) en data subject(s).
Autoriteit Persoonsgegevens
Alle maatregelen, dwangsommen en boetes die de Nederlandse Autoriteit Persoonsgegevens heeft opgelegd aan Nederlandse en internationale organisaties.

Welke cyberincidenten zijn in kaart gebracht?

De volgende soorten cyberincidenten zijn in kaart gebracht.

(D)DoS-aanval
Volume aanvallen die tot een verstoring of problemen met de beschikbaarheid van een bedrijf hebben geleid.
Datalek, verlies of misbruik (interne oorzaak)
Datalekken, verlies van gegevensdragers of anderzijds misbruik van beschikbare middelen of toegang door interne actoren zoals medewerkers en opdrachtnemers.
Datalek, inbraak of kwetsbaarheid (externe oorzaak)
Datalekken, inbreuk op systemen of gegevensverwerkingen of kwetsbaarheden die daartoe hebben of hadden kunnen leiden door externe oorzaken zoals hackers en fraudeurs. Deze categorie wordt ook gebruikt in het geval er sprake is van een datalek doordat een ketenpartner getroffen is door een ransomware.
Gijzelsoftware (ransomware)
Verstoring van de bedrijfsvoering en/of diens computersystemen door de inzet van ransomware (gijzelsoftware) door de aanvallende actor. In het geval het om ransomware bij een ketenpartner gaat, wordt alleen bij de ketenpartner aangegeven dat het ransomware betreft.
Business Email Compromise (BEC)
Oplichting, fraude, spam of phishing via (vervalste) e-mail of instant messaging dat o.a. ook wel Business Email Compromise (BEC) of CEO-fraude wordt genoemd.
AVG compliance issue
Gegevensverwerkingen die niet compliant zijn geweest aan de wet AVG.
Transparantie rapport
Een overzicht (transparantie rapport) van een organisatie met daarin vermeldt de aantal gemelde datalekken bij de toezichthouder Autoriteit Persoonsgegevens.

Hoe wordt de data gegenereerd?

Met behulp van generatieve kunstmatige intelligentie maken wij de titels en samenvattingen van een nieuwsartikel. Uiteraard vermelden we altijd de bron in zowel de samenvatting zelf, als in een apart kolom.

Datums en andere (statistische) gegevens die vermeld worden in het artikel worden daar waar relevant handmatig overgenomen in de database.

Op welke branches maken we onderscheid?

Op basis van de volgende overzichten met branches wordt onderscheid gemaakt. Hierbij nemen we de uitgangspunten van de KVK en het CBS.

Niet overheid
Advisering, onderzoek en overige specialistische zakelijke dienstverlening
Bouwnijverheid
Cultuur, sport en recreatie
Elektriciteit, aardgas, stoom en gekoelde lucht
Financiële instellingen
Gezondheids- en welzijnszorg
Groot- en detailhandel
Huishoudens als werkgever
Industrie
Informatie en communicatie
Landbouw, bosbouw en visserij
Logies-, maaltijd- en drankverstrekking
Onderwijs
Verhuur van en handel in onroerend goed
Verhuur van roerende goederen en overige zakelijke dienstverlening
Vervoer en opslag
Water
Winning van delfstoffen
Overige dienstverlening
Bron: Kamer van Koophandel (KVK), kvk.nl
Overheid
Gemeenschappelijke regelingen
Gemeenten
Provincies
Rijksdiensten
Rijksoverheid
Socialezekerheidsfondsen
Waterschappen
Zelfstandige bestuursorganen
Bron: Centraal Bureau voor de Statistiek (CBS), cbs.nl

Recent toegevoegde cyber incidenten

In onderstaande tabel vindt u een overzicht van de cyberincidenten die recentelijk aan onze database zijn toegevoegd. Voor een volledig overzicht van alle incidenten kunt u op de blauwe knop hieronder klikken.

Datum toegevoegd	Datum	Organisatie	Nieuwskop	Samenvatting	Bron
28-09-2023 13:56	27-09-2023	Belastingdienst	Belastingdienst overschrijdt termijnen voor AVG-inzageverzoeken	De Belastingdienst slaagt er vaak niet in om tijdig te beslissen op AVG-inzageverzoeken van belastingplichtigen, waarbij in 80% van de gevallen de wettelijke termijn wordt overschreden. Dit betreft zowel oude als nieuwe verzoeken. Belastingplichtigen hebben recht op inzage in hun persoonsgegevens die door de fiscus worden gebruikt, en de Belastingdienst moet binnen één maand op deze verzoeken reageren, met een mogelijke verlenging van twee maanden. Verbeteracties zijn ingezet om sneller op inzageverzoeken te reageren. (Bron: accountancyvanmorgen.nl)	Accountancy Vanmorgen
28-09-2023 13:51	26-09-2023	Booking.com	Inloggegevens van hotels op Booking.com gestolen door hackers; vakantiegangers getroffen	Hackers hebben inloggegevens van een onbekend aantal hotels op Booking.com buitgemaakt en verstuurden phishing-mails uit naam van deze hotels om gasten te bestelen. De aanvallers verleidden hotels om malware te downloaden, waarmee ze toegang kregen tot Booking-accounts van hotels en stuurden valse berichten naar toekomstige gasten over problemen met hun creditcard. Booking.com bevestigt het incident en heeft maatregelen genomen om getroffen partners en klanten te ondersteunen. Het exacte aantal getroffen hotels en gasten is onbekend, maar Booking.com benadrukt dat hun eigen systemen veilig zijn gebleven. (Bron: bnr.nl)	BNR Nieuwsradio
27-09-2023 14:49	27-09-2023	Arriva	Datalek bij Arriva door lek in contactformulier	Arriva heeft een datalek gemeld veroorzaakt door een lek in hun digitale contactformulier, waardoor een ethische hacker toegang kreeg tot persoonsgegevens van 195.000 klanten, waaronder namen, telefoonnummers, geboortedata en e-mailadressen. De getroffenen en de Autoriteit Persoonsgegevens zijn geïnformeerd. Het is onduidelijk wat de hacker met de gegevens heeft gedaan. Het contactformulier is offline gehaald en er zijn maatregelen genomen om herhaling te voorkomen. Gedupeerden kunnen Arriva aansprakelijk stellen voor het datalek. (Bron: vpngids.nl)	VPNgids
24-09-2023 09:52	23-09-2023	Gemeente Eindhoven	Eindhoven vervangt sportpassen na ontdekking kwetsbare QR-code	De gemeente Eindhoven gaat sportpassen met een kwetsbare QR-code vervangen door passen met een chip, na een ontdekking van een ethische hacker. Deze QR-code gaf toegang tot lokale zwembaden en bleek minder veilig dan gedacht, waardoor onbevoegden toegang konden krijgen tot de zwembaden met het tegoed van een andere gebruiker. Er zijn maatregelen genomen zoals het sluiten van digitale toegangspoortjes en het melden van een datalek bij de Autoriteit Persoonsgegevens. Er zijn geen meldingen van misbruik door gebruikers. Alle betrokken klanten worden geïnformeerd over het omwisselen van hun pas. (Bron: security.nl)	Security.nl
24-09-2023 09:50	22-09-2023	Onbekende gemeenten	Toename van CEO-fraude meldingen bij VNG	De Vereniging van Nederlandse Gemeenten (VNG) heeft recentelijk opvallend veel meldingen ontvangen van CEO-fraude. In de afgelopen twaalf maanden zijn er ongeveer zestig meldingen gedaan. Bij CEO-fraude doet iemand zich voor als een hooggeplaatste medewerker en overtuigt het slachtoffer om een onbetaalde factuur te voldoen. Verschillende gemeenten, waaronder Meierijstad en Alkmaar, zijn slachtoffer geworden, met schades variërend van tienduizenden tot meer dan tweehonderdduizend euro. De exacte totaalschade is onbekend. De fraude is voornamelijk een gevolg van menselijk handelen en het niet volgen van bestaande procedures. (Bron: vpngids.nl)	VPNgids

Volledig overzicht

Tip DataLekt!

Geografisch overzicht van cyber incidenten

Hieronder wordt een kaart van Nederland getoond waarop cyberincidenten bij Nederlandse organisaties en overheidsinstanties zijn gemarkeerd. Dit biedt een visueel overzicht van de geografische spreiding van deze incidenten door het hele land.

Legends

Gebeurtenis
- (D)DoS-aanval
- AVG compliance issue
- Business Email Compromise (BEC)
- Datalek, inbraak of kwetsbaarheid (externe oorzaak
- Datalek, verlies of misbruik (interne oorzaak)
- Gijzelsoftware (ransomware)
- Transparantie rapport
Jaar
- 2016
- 2017
- 2018
- 2019
- 2020
- 2021
- 2022
- 2023

Cyber incidenten per jaar

Deze lijngrafiek illustreert de jaarlijkse toename van cyber incidenten, met het jaartal op de x-as en het aantal incidenten op de y-as. Het biedt een overzicht van de prevalentie van cyber incidenten over de jaren heen.

Cyber incidenten in de keten

Onderstaande grafiek illustreert het aantal cyberincidenten per jaar dat heeft geleid tot datalekken bij klanten, veroorzaakt door derde partijen zoals leveranciers, oftewel incidenten in de keten. Ter vergelijking zijn ook de aantallen van cyberincidenten weergegeven die direct binnen de organisatie hebben plaatsgevonden, zonder betrokkenheid van een derde partij. De x-as toont de jaartallen en de y-as representeert het aantal incidenten.

Cyber incidenten per branche

Dit donutdiagram presenteert de verdeling van cyber incidenten over verschillende branches, weergegeven als percentage aandeel per branche. Het geeft een visueel inzicht in welke branches meer of minder vatbaar zijn voor dergelijke incidenten.

Financiële impact: Schade, Losgeld en Boetes

Hieronder wordt een horizontale staafdiagram gepresenteerd die de financiële impact illustreert van schade, losgeld en boetes die in de media zijn gerapporteerd. De x-as representeert de bedragen in euro’s, terwijl de y-as de jaartallen toont. Boetes kunnen worden opgelegd door de rechtbank, de Autoriteit Persoonsgegevens (AP), en het Agentschap Telecom (AT). Deze grafiek biedt een visueel overzicht van de financiële consequenties van cyberincidenten zoals die publiekelijk bekend zijn gemaakt.

Meldingen van datalekken bij de Autoriteit Persoonsgegevens

We hebben onderzocht hoeveel meldingen van datalekken er bij de Autoriteit Persoonsgegevens (AP) zijn ingediend sinds de invoering van de Meldplicht Datalekken in 2016 en de Algemene Verordening Gegevensbescherming (AVG) in 2018.

De AP ontvangt jaarlijks ongeveer 20.000 meldingen van datalekken die in Nederland plaatsvinden. Echter, de aantallen die in de grafiek worden weergegeven, vertegenwoordigen niet alle datalekken. Volgens de wetgeving hoeft namelijk niet elk datalek gemeld te worden. Hierdoor ontstaat het beeld dat de weergegeven aantallen slechts het topje van de ijsberg vormen en dat een aanzienlijk deel van de datalekken ongemeld blijft.

Bronnen: overzicht cijfers | jaarverslagen | onderzoeken

datalekt

Initiatiefnemers & Subsidies

MITE3 Cybersecurity

Bij MITE3 creëren wij een realistisch inzicht in de digitale veiligheid van uw onderneming. Wij zorgen ervoor dat u met een duidelijk en in mensentaal te begrijpen advies uw informatiebeveiliging naar een hoger niveau kunt tillen.

mite3.nl

Maria Genova

Onderzoeksjournalist en schrijfster van onder andere de boeken “Komt een vrouw bij de h@cker” en “WHAT THE HACK!“. Deze boeken geven voor jong en oud belangrijke inzichten op het gebied van digitale weerbaarheid.

mariagenova.nl

SIDN Fonds

Wij zijn trots dat dit initiatief gesubsidieerd is door het SIDN Fonds. Zonder de belangrijke bijdrage van het SIDN Fonds hadden wij geen prachtige start kunnen maken met dit belangrijk initiatief.

sidnfonds.nl