Over DataLekt!

Iedereen die interesse heeft in digitale veiligheid is welkom op DataLekt. De site is er voor bestuurders, ICT-dienstverleners, security officers en privacyprofessionals die behoefte hebben aan overzicht en inzicht. Maar ook voor medewerkers die hun kennis willen testen en vergroten via onze quizzen.

 

Met deze website willen we inzicht geven op vragen als:

• Hoe vaak komt een datalek of ransomware-aanval eigenlijk in de media?
• Welke branches worden daarbij het vaakst genoemd?
• Wat zijn de financiële en operationele gevolgen?
• Hoe kan ik mijn eigen cyberweerbaarheid vergroten?

De eerste stap naar meer transparantie is verzamelen wat er nu al openbaar is. Zolang informatie versnipperd blijft, ontstaat er geen overzicht. En dan is een goed geïnformeerd gesprek over risico’s, trends of lessen minder eenvoudig.

 

De cijfers helpen dus om risico’s beter zichtbaar te maken. Ze kunnen gebruikt worden om investeringen in informatiebeveiliging te onderbouwen, of juist om bezwaren tegen actie te weerleggen.

 

We tonen alleen incidenten die al in de media zijn verschenen, zodat we nooit meer publiceren dan de betrokken organisatie zelf openbaar heeft gemaakt.

DataLekt is geen schandpaal. Het doel van deze website is niet om organisaties aan de schandpaal te nagelen, maar om inzicht te geven in het brede landschap van cyberincidenten in Nederland.

 

Alle incidenten die je hier vindt, zijn al via openbare bronnen bekendgemaakt. Soms gebeurt dat door de organisatie zelf, bijvoorbeeld via een persbericht of melding aan toezichthouders. Soms komt het juist via onderzoeksjournalisten, klokkenluiders of rapportages aan het licht. Ook als de organisatie dat liever niet had gewild.

 

We publiceren alleen informatie die aantoonbaar afkomstig is uit publieke en algemeen toegankelijke bronnen van journalistieke of maatschappelijke waarde. Informatie die technisch openbaar is maar niet breed of betrouwbaar gepubliceerd (zoals anonieme uploads of oncontroleerbare websites) nemen we niet op.

 

Ook e-mails die organisaties sturen naar hun klanten over een incident worden níet als bron gebruikt, zelfs als die bij ons worden aangeleverd. We nemen alleen op wat voor iedereen zichtbaar is, om zo de privacy en reputatie van organisaties zorgvuldig te blijven behandelen.

 

Kort gezegd: we verzamelen wat al bekend is, op een manier die inzicht biedt in bredere trends, zonder te oordelen of te wijzen.

 

De eerste stap naar meer delen is verzamelen wat er nu al openbaar is. Door deze informatie centraal beschikbaar te maken, ontstaat overzicht en daarmee het begin van inzicht. Wat gebeurt er eigenlijk? In welke branches? Wat komt vaak voor?

 

👉 Net zoals in de luchtvaartindustrie incidenten en bijna-ongelukken worden gedeeld om ervan te leren, willen wij bijdragen aan meer openheid binnen de digitale sector. Niet om de vinger te wijzen, maar om te begrijpen — en uiteindelijk samen weerbaarder te worden.

Ja, mits je je bewust bent van de beperkingen. De incidenten op DataLekt zijn alleen afkomstig uit openbare bronnen, en zijn dus niet volledig. Toch zien we in de praktijk dat dit soort gegevens wél degelijk helpen om bewustzijn te creëren of investeringen in informatiebeveiliging te onderbouwen.

 

Bestuurders en managers stellen vaak vragen als:

• “Hoe vaak komt dit eigenlijk voor?”
• “Waarom zouden wij een doelwit kunnen zijn?”
• “Gebeurt dit ook in onze branche?”
• “Wat kan zoiets kosten?”

DataLekt helpt om daar antwoorden op te geven aan de hand van échte voorbeelden uit Nederland. In combinatie met andere bronnen, zoals de jaarlijkse cijfers van de Autoriteit Persoonsgegevens, kan het een waardevolle kwalitatieve aanvulling zijn op je risicobeoordeling, security roadmap of budgetgesprek.

 

👉 Hoe dan? Bijvoorbeeld door in een presentatie of memo een paar vergelijkbare incidenten te laten zien: binnen je branche, van vergelijkbare omvang, of met soortgelijke risico’s. Of door inzichtelijk te maken dat ransomware of datalekken niet alleen ergens gebeuren, maar juist ook bij bedrijven zoals dat van jou. Context maakt risico tastbaarder, zeker voor mensen die wat verder van dit vakgebied afstaan. En dat kan helpen bij besluitvorming hierover.

 

Kortom: niet dé waarheid, maar wel een goed vertrekpunt voor het gesprek.

Ja, en het werkt vaak beter dan een fictief voorbeeld. De incidenten op DataLekt zijn namelijk allemaal écht gebeurd — in Nederland, bij echte organisaties. Dat maakt ze herkenbaar, geloofwaardig en soms confronterend.

 

Of je nu een training geeft aan medewerkers, managers of IT’ers, het helpt als je laat zien dat risico’s geen abstracte theorie zijn, maar directe gevolgen kunnen hebben. Denk aan:

• Een ziekenhuis dat wekenlang systemen kwijt is
• Een gemeente die slachtoffer werd van gijzelsoftware
• Een leverancier die klantdata lekt
• Een boete van tonnen door een menselijke fout

👉 Hoe dan? Gebruik bijvoorbeeld een paar cases als gespreksstarter, bij een quiz of als opmaat voor een reflectievraag. Laat deelnemers zelf risico’s herkennen of benoemen wat er misging. Of pas voorbeelden aan op de doelgroep: zorg voor zorginstellingen, onderwijs voor scholen, enzovoort.

 

Kortom: DataLekt maakt je training relevanter en concreter — en dat vergroot de kans dat de boodschap blijft hangen.

We nemen alleen incidenten op die passen binnen een duidelijke afbakening. Zo zorgen we ervoor dat de informatie op deze site relevant en controleerbaar blijft.

• Organisaties met een vestiging in Nederland
  We registreren alleen cyberincidenten bij organisaties die (ook) in Nederland gevestigd zijn. Het maakt daarbij niet uit waar de systemen precies staan of waar de betrokken gegevens vandaan komen. Gaat het om een Nederlands bedrijf, dan valt het binnen scope — ook als de aanval of het lek bij een ketenpartner of verwerker plaatsvond.
• Maatregelen van de Autoriteit Persoonsgegevens (AP)
  We nemen boetes, maatregelen of dwangsommen op die door de AP zijn opgelegd, ook als dat aan internationale organisaties is gebeurd. Zolang er een duidelijke koppeling is met Nederland (bijvoorbeeld een vestiging of verwerking in ons land), hoort het erbij.

We hanteren de volgende categorieën:

• (D)DoS-aanval
  Aanvallen die de beschikbaarheid van systemen verstoren, zoals DDoS of volumetrische aanvallen.
• Datalek, verlies of misbruik (interne oorzaak)
  Fouten of misbruik van gegevens door medewerkers, leveranciers of andere interne actoren.
• Datalek, inbraak of kwetsbaarheid (externe oorzaak)
  Incidenten veroorzaakt door externe actoren, zoals criminele hackers, kwetsbaarheden in systemen of datalekken door digitale inbraak. Ook wanneer een ketenpartner wordt getroffen, bijvoorbeeld door ransomware of een lek, en dit impact heeft op de organisatie zelf, valt dat binnen deze categorie
• Gijzelsoftware (ransomware)
  Aanvallen waarbij systemen worden versleuteld of informatie wordt buitgemaakt, vaak gevolgd door afpersing.
• Business Email Compromise (BEC)
  Fraude via e-mail of berichtendiensten, zoals CEO-fraude, phishing en WhatsApp-oplichting. Ook gevallen waarbij een mailbox is overgenomen door een aanvaller vallen binnen deze categorie.
• Niet-naleving gegevens- en privacywetgeving
  Situaties waarin organisaties de AVG, de Cybersecuritywet (Cbw) of Telecommunicatiewet hebben overtreden.
• Transparantie rapport
  Sommige organisaties publiceren zelf een overzicht van datalekken die zij bij de AP hebben gemeld. Dit noemen we een transparantierapport. Zo’n open houding verdient erkenning, en krijgt daarom een aparte plek in de database.

Voor organisaties die geen (semi) overheden zijn gebruiken we de branche-indeling van de
Kamer van Koophandel en CBS:

• Bouwnijverheid
  Bouwnijverheid
• Delfstoffenwinning
  Winning van delfstoffen
• Energie en warmtevoorziening
  Productie en distributie van en handel in elektriciteit, gas, stoom en gekoelde lucht
• Extraterritoriale organisaties
  Activiteiten van extraterritoriale organisaties en instanties
• Financiële diensten
  Activiteiten op het gebied van financiële dienstverlening en verzekeringen
• Gezondheids- en welzijnszorg
  Gezondheids- en welzijnszorg
• Groot- en detailhandel
  Groot- en detailhandel
• Horeca
  Logies-, maaltijd- en drankverstrekking
• Huishoudens en eigen gebruik
  Activiteiten van huishoudens als werkgever en niet-gedifferentieerde productie van goederen en diensten door huishoudens voor eigen gebruik
• ICT en telecommunicatie
  Telecommunicatie, computerprogrammering en consultancy, informatica-infrastructuur en overige activiteiten op het gebied van informatiediensten
• Industrie
  Industrie
• Kunst, cultuur, sport en recreatie
  Kunst, cultuur, sport en recreatie activiteiten
• Landbouw, bosbouw en visserij
  Landbouw, bosbouw en visserij
• Media en inhoud
  Activiteiten van uitgeverijen, omroepactiviteiten, en activiteiten op het gebied van productie en distributie van inhoud
• Onderwijs
  Onderwijs
• Onroerend goed
  Exploitatie van en handel in onroerend goed
• Overheid
  Openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen (uitgewerkt bij de overheidscategorieën)
• Overige dienstverlening
  Overige dienstverlening
• Verhuur en zakelijke dienstverlening
  Verhuur van roerende goederen en overige zakelijke dienstverlening
• Vervoer en opslag
  Vervoer en opslag
• Water en afvalbeheer
  Winning en distributie van water; afval- en afvalwaterbeheer en sanering
• Wetenschap, techniek en specialistische diensten
  Wetenschappelijke en technische activiteiten en specialistische zakelijke dienstverlening

Bij overheidsorganisaties volgen we het Register van Overheidsorganisaties:

• Adviescolleges
• Agentschappen
• Aruba, Curaçao en Sint Maarten
• Caribische openbare lichamen
• Externe commissies
• Gemeenschappelijke regelingen
• Gemeenten
• Grensoverschrijdende gemeenschappelijke regelingen
• Grensoverschrijdende regionale samenwerkingsorganen
• Hoge Colleges van Staat
• Inspecties
• Interdepartementale commissies
• Kabinet van de Koning
• Koepelorganisaties
• Ministeries
• Openbare lichamen voor beroep en bedrijf
• Organisatie met overheidsbemoeienis
• Organisatieonderdeel
• Overheidsstichtingen of -verenigingen
• Politie
• Provinciale Rekenkamers
• Provincies
• Rechtspraak
• Regionale samenwerkingsorganen
• Staten-Generaal
• Waterschappen
• Zelfstandige bestuursorganen

Bij Overig plaatsen we organisaties of personen die niet terug te vinden zijn in het Handelsregister (KVK) of in het Register van Overheidsorganisaties (ROO).

• Overig
  Voor overige gevallen die niet onder KVK of ROO passen, zoals informele samenwerkingsverbanden zonder rechtspersoonlijkheid of internationale organisaties die buiten de Nederlandse registers opereren.
• Overig: Natuurlijk persoon
  Voor boetes of incidenten gericht op individuen (natuurlijke personen) die niet onder KVK of ROO vallen.
• Overig: Politieke partijen
  Voor politieke partijen als vereniging; fracties vallen wél onder ROO (Staten-Generaal → Organisatieonderdeel).

In onze database zie je vier datums per incident:

• Datum
  De publicatiedatum van het nieuwsartikel (vaak gelijk aan de bekendmaking).
• Datum incident
  Wanneer het incident zelf plaatsvond (voor zover bekend). Anders gelijk aan de publicatiedatum.
• Datum toegevoegd
  Wanneer het incident aan de DataLekt-database is toegevoegd.
• Datum gewijzigd
  De laatste keer dat we de registratie hebben bijgewerkt, bijvoorbeeld door nieuwe informatie.

We gebruiken ‘cyberincident’ als een overkoepelende term voor digitale verstoringen of beveiligingsproblemen. Dat is een bewuste keuze, zodat we niet voor elk type incident een andere term hoeven te gebruiken. Denk aan datalekken, ransomware, DDoS-aanvallen of hacks — die vallen bij ons allemaal onder de noemer cyberincidenten.

 

De term cyber betekent volgens het Cybersecurity Woordenboek:

“Iets wat te maken heeft met digitale informatie en systemen die verbonden zijn met het internet.”

Een cyberincident is dus een probleem met of via digitale systemen, of het nu gaat om een lek, aanval of kwetsbaarheid.

 

Ook het woord ‘hack’ gebruiken we regelmatig, en dat roept soms vragen op. In de media bedoelt men er meestal iets illegaals mee, zoals het binnendringen van systemen zonder toestemming. Maar er is ook een positieve betekenis.

 

Volgens het woordenboek van Cyberveilig Nederland betekent een hack:

“Actie om in of bij een computer, netwerk, hardware of software te komen. Als men dat ongevraagd of zonder geldige reden doet, is zo’n actie illegaal.”

“Het vinden van nieuwe toepassingen. Bijvoorbeeld tijdens hackathons, waar creatieve oplossingen worden bedacht voor uiteenlopende uitdagingen.”

Op DataLekt bedoelen we met een hack uitsluitend de eerste betekenis: een inbraak of ongewenste toegang tot digitale systemen.

We krijgen wel eens de vraag waarom bepaalde grafieken (zoals die per branche of per type incident) niet per jaar zijn uitgesplitst. In de meeste gevallen beschikken we wél over jaartallen (zoals de publicatiedatum van het nieuwsbericht), dus in theorie is een jaarlijkse uitsplitsing goed mogelijk.

 

De reden dat dit nog niet is gedaan, is puur praktisch: het vraagt tijd om dit zorgvuldig en consequent te implementeren in alle visualisaties. We zien hier absoluut de meerwaarde van in en willen dit in de toekomst alsnog toevoegen.