L’autorité nationale néerlandaise de protection des données a rapporté avoir été victime d’une faille de cybersécurité qui a révélé certaines informations de ses employés. L’Autoriteit Persoonsgegevens, l’organisme néerlandais chargé de faire respecter les règles de confidentialité, a déclaré que l’incident impliquait un accès non autorisé à ses systèmes et faisait l’objet d’une enquête active.
Le régulateur a déclaré dans un communiqué avoir détecté la faille début février 2026 et avoir immédiatement pris des mesures pour isoler les systèmes affectés et contenir l’incident. L’analyse initiale a indiqué que les attaquants avaient accédé à des données personnelles appartenant à plusieurs de ses membres du personnel. L’autorité n’a pas divulgué le nombre exact d’employés concernés ni précisé quelles catégories d’informations ont été consultées.
L’Autoriteit Persoonsgegevens a déclaré avoir fait appel à des experts externes en cybersécurité pour aider à l’analyse médico-légale et aux efforts de réponse en cours. L’organisation a ajouté qu’elle a notifié les organes de supervision concernés et qu’elle est en contact avec les autorités chargées de l’application de la loi dans le cadre de l’enquête. Les responsables ont indiqué qu’ils prenaient des mesures pour renforcer la protection du réseau et prévenir des incidents similaires à l’avenir.
L’autorité a souligné que ses fonctions réglementaires principales et ses services publics restent opérationnels malgré la violation. Il a indiqué que, bien que les données des employés aient été consultées, à ce stade, rien n’indique qu’une partie externe ait abusé de ces informations. L’organisation a indiqué qu’elle continue d’examiner les journaux et les dossiers système afin de déterminer l’ampleur totale des activités non autorisées.
Les analystes en cybersécurité ont noté que même les organisations responsables de la protection des données sont vulnérables aux attaques, et que les incidents affectant les dossiers internes peuvent poser des défis réputationnels et opérationnels. Les experts recommandent des évaluations régulières des risques, une authentification multifactorielle et une surveillance continue dans le cadre d’une stratégie de sécurité globale. Ils ont indiqué que la notification aux personnes concernées et aux autorités devait respecter les exigences légales applicables.
L’Autoriteit Persoonsgegevens a déclaré qu’il tiendrait informé le public et son personnel à mesure que de nouvelles informations seront disponibles et au fur et à mesure de l’avancement de l’enquête. Elle a réaffirmé son engagement en faveur de la protection des données et a déclaré qu’elle réexaminerait et renforcerait ses mesures de sécurité intérieure après l’incident.