Eind april was het voor de zoveelste keer raak: hackersgroep ShinyHunters steelt de gegevens van miljoenen mensen bij een grootschalige hackaanval van de onderwijssoftware Canvas. Deze hack volgt op een lange reeks datalekken in 2026; Odido, Basic-Fit, Rituals, de gemeente Epe, om zo maar een paar te noemen. Waarom zijn er zoveel grote datalekken?

Het antwoord is zowel complex als kort; hackers kunnen met behulp van AI-agent efficiënter Trouw: De Autoriteit Persoonsgegevens waarschuwt voor extra gevaren voor de cyberveiligheid door AI-systemen. grootschalige geavanceerde datahacks uitvoeren en verwerkingsverantwoordelijken hebben ons kwetsbaar gemaakt, door veel te veel data over ons op te slaan. De huidige golf aan datalekken laat zien dat veel bedrijven en instanties hun datahuishouden absoluut niet op orde hebben. Bits of Freedom roept bedrijven daarom op om zich aan de wet te houden door alleen data te vragen en te bewaren die noodzakelijk is, en de Autoriteit Persoongegevens (AP) om hier proactief op te controleren.

Wat gebeurt er tijdens een datahack?

Kijk bijvoorbeeld naar de hack van Odido. Hackerscollectief ShinyHunter doet zich voor als IT-afdeling en benadert medewerkers. Ze creëert een gevoel van urgentie en manipuleert medewerkers hun inloggegevens prijs te geven. Dit heet social engineering en is sinds jaar en dag de meest voorkomende techniek voor hackers om data in handen te krijgen. Met de komst van AI-agents is een geavanceerde social-engineering-aanval een stuk eenvoudiger geworden. Een AI-agent kan worden gebruikt om persoonlijke informatie over medewerkers van bijvoorbeeld sociale media, websites of gelekte data-sets te scrapen (spear phishing), een e-mail of website na te maken en de medewerkers op een zeer persoonlijke en overtuigende manier te benaderen. Hierdoor is het meest arbeidsintensieve deel van een geavanceerde hack een stuk makkelijker en kost-efficiënter. Het is voor hackers daardoor aantrekkelijker om een poging te wagen.

Als een medewerker erin trapt, is er sprake van een datalek. Bij Odido waren de consequenties hiervan groot: eenmaal binnen worden, waarschijnlijk weer met behulp van AI, de kwetsbaarheden binnen het systeem gevonden en uitgebuit. Binnen een uur werd er van circa 6.4 miljoen mensen data gestolen. Het ging hierbij om complete identiteitsprofielen: namen, adressen, telefoonnummers, e-mailadressen, geboortedata en meer. Niet alleen huidige klanten werden slachtoffers, maar ook mensen die al jaren geen klant meer zijn. Het is een van de grootste datalekken in de Nederlandse geschiedenis.

Datahonger

Volgens de Algemene verordening gegevensbescherming (AVG) mogen persoonsgegevens niet langer bewaard worden dan noodzakelijk. Dit is niet voor niets. Persoonsgegevens zijn intieme stukjes informatie over een individu die niet zomaar iedereen zou moeten kunnen inzien. Toch vragen bedrijven en overheidsinstanties steeds vaker om veel van je gegevens. Ze hebben een onstilbare datahonger, en vaak geen goed geïmplementeerd plan voor het bewaren, verwijderen en afschermen van deze data, zelfs al moet dit volgens de wet. En daar krijgen ze nu de rekening van. Of eigenlijk, daar krijgen wij nu de rekening van. De data die Odido niet had bewaard, had ook niet gestolen kunnen worden.

De impact voor slachtoffers is enorm. Alle vrijgekomen data over een persoon vormen een steeds gedetailleerder beeld van een mens, wat weer gebruikt kan worden om iemand onder druk te zetten, op te lichten of een nieuwe hackpoging te faciliteren. En als je al kwetsbaar bent, bijvoorbeeld omdat je wordt bedreigd of gestalkt, je werk of activisme controversieel is, of omdat je digitaal niet zo vaardig bent, zijn de consequenties van de gelekte data extra ingrijpend; wat privé had moeten zijn, is ineens openbaar. Kwaadwilligen kunnen je adres achterhalen en je thuis opzoeken, de namen en adressen van je kinderen, ouders en vrienden achterhalen en je hiermee bedreigen, en je steeds beter online imiteren. Een datalek is geen bijzaak, maar een hoofdzaak. Juist voor de mensen die we als samenleving moeten beschermen. En daarom zou het een hoofdzaak voor ons allemaal moeten zijn.

Verwerkingsverantwoordelijken: houd je aan de wet door alleen op te vragen en te bewaren wat noodzakelijk is. Zorg ervoor dat je een goed overzicht hebt van welke gegevens je bewaard, met welk doel en wie hier bij kan. Check regelmatig of de beveiliging nog voldoet aan de laatste stand van de techniek, bijvoorbeeld door eens per half jaar een ethische hacker te vragen naar kwetsbaarheden te zoeken. Haal geen extra kwetsbaarheden in huis door nieuwe AI-functies met toegang tot data te lanceren.

Controle vanuit de AP

De Autoriteit Persoonsgegevens (AP) heeft aangekondigd om onderzoek te gaan doen naar de bewaartermijnen van Odido. Dat terwijl er nu al duidelijk is dat deze termijnen niet werden nageleefd. Het onderzoek komt daarmee veel te laat. De AP is in Nederland het orgaan dat toezicht zou moeten houden op het datahuishouden van instanties sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG). Ze zijn de enige instantie die bevoegd is toegang te krijgen tot de systemen om te controleren welke gegevens verwerkt worden en of dit rechtmatig is. Het vraagt visie, coördinatie en motivatie van instanties om hun datahuishouden op orde te brengen. En zeker die motivatie ontbreekt vaak omdat het AP, door gebrek aan capaciteit, heel beperkt onderzoek doet naar wetsovertredingen. Doordat het AP niet proactief kan handelen krijgen instanties de ruimte om gemak en winst boven de wet te zetten.

Wat kun je zelf doen?

Gelukkig kun je jezelf wel een beetje beschermen. Je mag volgens de AVG van bedrijven eisen dat ze je data, die niet verplicht bewaard hoeven te worden, verwijderen. We hebben hier een tool voor gemaakt: https://www.mydatadoneright.eu/.  Hiermee kan je gemakkelijk aan bedrijven en instellingen vragen welke data ze over je bewaren, en, zodra je dat weet, eisen dat ze de overtollige data verwijderen.