De Nederlandse Nationale Gegevensbeschermingsautoriteit meldde dat zij het slachtoffer is geworden van een cyberbeveiligingsinbreuk waarbij bepaalde informatie van werknemers is blootgelegd. De Autoriteit Persoonsgegevens, de Nederlandse instantie die verantwoordelijk is voor de handhaving van privacyregels, zei dat het incident ongeoorloofde toegang tot haar systemen betrof en dat het momenteel wordt onderzocht.
De toezichthouder verklaarde in een verklaring dat zij de inbreuk begin februari 2026 heeft gedetecteerd en onmiddellijk stappen heeft ondernomen om de getroffen systemen te isoleren en het incident in te dammen. Uit de eerste analyse bleek dat de aanvallers toegang hadden tot persoonlijke gegevens van verschillende medewerkers van hun medewerkers. De autoriteit maakte het exacte aantal getroffen werknemers niet bekend en specificeerde niet welke categorieën informatie werden geraadpleegd.
De Autoriteit Persoonsgegevens zei dat zij externe cybersecurity-experts heeft ingeschakeld om te assisteren bij forensische analyse en voortdurende responsinspanningen. De organisatie voegde eraan toe dat zij de relevante toezichthoudende instanties heeft geïnformeerd en in contact staat met de wetshandhavingsinstanties als onderdeel van het onderzoek. Functionarissen zeiden dat ze stappen ondernemen om netwerkbescherming te versterken en soortgelijke incidenten in de toekomst te voorkomen.
De autoriteit benadrukte dat haar kernregelgevende functies en openbare diensten ondanks het lek operationeel blijven. Er werd gesteld dat hoewel de gegevens van werknemers zijn bekeken, er op dit moment geen aanwijzingen zijn dat een externe partij de informatie heeft misbruikt. De organisatie zei dat zij doorgaat met het controleren van logboeken en systeemrecords om de volledige omvang van ongeautoriseerde activiteiten vast te stellen.
Cybersecurity-analisten merkten op dat zelfs organisaties die verantwoordelijk zijn voor gegevensbescherming kwetsbaar zijn voor aanvallen, en dat incidenten die interne gegevens beïnvloeden reputatie- en operationele uitdagingen kunnen opleveren. Experts raden regelmatige risicobeoordelingen, multifactorauthenticatie en voortdurende monitoring aan als onderdeel van een uitgebreide beveiligingsstrategie. Zij zeiden dat de melding aan getroffen personen en autoriteiten de geldende wettelijke vereisten moet volgen.
De Autoriteit Persoonsgegevens zei dat het het publiek en haar personeel zal bijpraten zodra er meer informatie beschikbaar komt en het onderzoek vordert. Het bevestigde zijn inzet voor gegevensbescherming en zei dat het na het incident zijn interne veiligheidsmaatregelen zal herzien en verbeteren.