Retrospectief 1e trimester 2026

Drieënvijftig procent meer cyberaanvallen. Gemiddeld 1.925 aanvallen per organisatie per week. In de eerste vier maanden van 2026 doorstond Nederland een ongekende reeks digitale incidenten: van de 6,2 miljoen klantgegevens bij Odido tot lamgelegde ziekenhuissystemen via ChipSoft, van de supply-chain-aanval op Booking.com tot de AIVD-waarschuwing over de grootste dreiging in tachtig jaar. Dit retrospectief analyseert dertien incidenten, legt de verbanden bloot en stelt de vraag die elke bestuurskamer nu moet beantwoorden: wat betekent dit voor uw organisatie?

Hackedemia is hét onafhankelijk platform voor cyber-journalistiek, dat forensische diepgang en digitale risico's vertaalt naar strategische inzichten voor bestuurders.

I. Het kwartaal dat Nederland ontwaakt

Het jaar 2026 begon niet met een waarschuwing, het begon met een klap. Op de eerste werkdagen van januari troffen gerichte DDoS-aanvallen de Nederlandse Waterschapsbank en betalingsverwerker Buckaroo, waardoor betalingsverkeer in het hele land stagneerde.[6] Het waren geen uren van ongemak; het was een demonstratie van kwetsbaarheid. Wie het betalingsverkeer kan stilleggen, kan het land stilleggen, en in januari 2026 kon iemand dat.

Vrijwel tegelijkertijd verscheen op een cybercrimeforum de claim dat 154 databases van ASML waren buitgemaakt — het bedrijf waarvan de lithografiemachines de ruggengraat vormen van de mondiale halfgeleiderindustrie.[7] ASML ontkende de aanval formeel na intern onderzoek. Maar dreigingsjournalisten stelden vast dat iemand inderdaad toegang tot interne systemen had verkregen. Of de data echt, gedeeltelijk of verouderd was, doet er minder toe dan het signaal: ook de kroonjuwelen van de Nederlandse economie zijn een doelwit.

En terwijl Nederland zich nog oriënteerde op deze dreiging, werd in België een patroon zichtbaar dat weinig aandacht kreeg maar des te verontrustender was. Op de OLV Pulhof School in Berchem legde ransomware de volledige serverinfrastructuur plat.[11] De aanvallers eisten geen losgeld van het schoolbestuur, ze richtten zich rechtstreeks tot de ouders. Het was een escalatie die de logica van cybercriminaliteit blootlegde: waar geld zit, wordt druk uitgeoefend, ook als dat betekent dat je gezinnen met kinderen afperst.

II. Februari — het Odido-keerpunt

De maand februari bracht wat in retrospectief het keerpunt van het trimester zou worden. Bij Odido, voorheen T-Mobile Nederland, kwamen de persoonsgegevens van 6,2 miljoen klanten op straat: naam, adres, e-mailadres, telefoonnummer en in sommige gevallen IBAN-gegevens.[1] Het is de grootste datalek in de Nederlandse telecomindustrie ooit gemeten naar het aantal getroffenen, en de gevolgen lieten niet lang op zich wachten. De buitgemaakte gegevens werden vrijwel onmiddellijk ingezet voor gerichte phishingcampagnes. Niet de generieke spam die de meeste mensen herkennen, maar op maat gesneden berichten die verwezen naar echte rekeningnummers, echte adressen en echte namen.

De Odido-aanval was geen datadiefstal. Het was voorbereiding op frauduleuze transacties: een infrastructureel wapen, klaar voor gebruik.

Voor bestuurders is het Odido-incident een les in causaliteit. Een datalek is niet het eindpunt van een aanval; het is het beginpunt van de volgende. De gegevens die bij Odido op straat kwamen, voeden maandenlang phishing, identiteitsfraude en social engineering bij andere organisaties. Uw klanten, uw leveranciers en uw medewerkers staan in die dataset, ook als uw eigen systemen niet zijn geraakt.

III. Maart — de stille erosie

In maart meldde de Politie een nieuwe, brede telecom-breach waarbij opnieuw klantgegevens waren buitgemaakt.[2] De reactie was veelzeggend: de Politie lanceerde een openbaar portal — Check je hack — waar Nederlanders konden controleren of hun gegevens in de gelekte datasets voorkwamen. Het bestaan van zo’n portal is op zichzelf een beleidsindicator: wanneer een overheidsinstelling een publieke dienst moet opzetten om burgers te helpen vaststellen of zij slachtoffer zijn, is de schaal van het probleem voorbij het punt van incidentbestrijding.

Maart was ook de maand waarin de stilte misleidend was. De grote krantenkoppen bleven uit, maar achter de schermen meldden beveiligingsteams in heel Nederland een toenemende frequentie van aanvalspogingen. De gemiddelde organisatie werd nu geconfronteerd met 1.925 aanvallen per week, niet omdat zij specifiek doelwit waren, maar omdat dat simpelweg het nieuwe achtergrondniveau was geworden.

IV. April: de dijkbreuk

Wat in april 2026 gebeurde, laat zich het best beschrijven als een dijkbreuk. In de loop van vier weken raakten minstens acht organisaties publiekelijk getroffen, verspreid over zorg, retail, overheid, onderwijs en hospitality. Elk incident op zichzelf was ernstig. Samen vormden zij een patroon dat niet langer als toevallig kan worden afgedaan.

Het zwaarste incident trof ChipSoft, de softwareleverancier die ziekenhuisinformatiesystemen levert aan zeventig procent van alle Nederlandse ziekenhuizen.[5] De cyberaanval op ChipSoft zorgde ervoor dat patiëntendossiers op meerdere locaties niet meer toegankelijk waren. Vijftien ziekenhuizen blokkeerden preventief alle elektronische patiënteninformatie, een maatregel die artsen terugwierp op papieren dossiers en mondelinge overdracht. Dit was geen datalek. Dit was een aanval op de gezondheidsinfrastructuur van een heel land, uitgevoerd via één leverancier die te veel ziekenhuizen bediende met te weinig diversiteit in de keten.

Voor bestuurders buiten de zorgsector is het ChipSoft-incident een spiegel. De vraag is niet of uw organisatie zelf kwetsbaar is, de vraag is of de softwareleverancier waar uw hele operatie op draait dat is. ChipSoft was geen zwak bedrijf. Het was marktleider. En juist die marktdominantie maakte de impact zo verwoestend: één kwetsbaarheid, vijftien ziekenhuizen plat.

Vrijwel gelijktijdig ontvouwde zich bij Booking.com een aanval van een ander kaliber.[12] Hackers richtten zich niet op Booking.com zelf, maar op hotelpartners in het platform. Via ClickFix-malware verkregen zij toegang tot de accounts waarmee hotels hun reserveringen beheerden, en daarmee tot de klantgegevens die via die kanalen stroomden: namen, adressen, boekingsdata, correspondentie. Het was een schoolvoorbeeld van een supply-chain-aanval, de ketting brak niet bij de sterkste schakel, maar bij de zwakste. Booking.com kon zijn eigen systemen tot in de puntjes beveiligen; Het had geen controle over de beveiliging van de duizenden hotels die via het platform opereerden.

De aanval op Booking.com volgde de keten, niet het kasteel. Uw leveranciers, partners en platformverbindingen zijn uw werkelijke perimeter, niet uw firewall.

Basic-Fit meldde in dezelfde maand dat persoonsgegevens van 200.000 Nederlandse leden waren buitgemaakt, onderdeel van een bredere aanval die wereldwijd één miljoen klanten trof.[3] Bij Rituals, het cosmeticamerk, werden klantgegevens verhandeld op het dark web.[4] Het Bevolkingsonderzoek Nederland, de organisatie die borstkanker- en darmkankerscreenings uitvoert, verloor persoonsgegevens van deelnemers.[8] Niet de gegevens van willekeurige klanten, maar medische screeningdata van burgers die vertrouwden op de overheid om hun gezondheidsgegevens te beschermen.

Bij Hogeschool Saxion deed zich een incident voor dat geen hack was maar des te pijnlijker: een massamail naar studenten waarbij 13.000 e-mailadressen per ongeluk in het CC-veld werden opgenomen en voor iedereen zichtbaar waren.[9] De Autoriteit Persoonsgegevens opende een onderzoek. Het incident illustreert een waarheid die in bestuurskamers te weinig wordt erkend: de meeste datalekken zijn geen gevolg van geniaal hackerwerk, maar van menselijke fouten in combinatie met onvoldoende proceswaarborgen.

Gemeente Epe werd als lokale overheid getroffen door een cyberaanval, de details bleven beperkt, maar het patroon was inmiddels onmiskenbaar: geen organisatie is te klein om doelwit te zijn.[10] En bij vakantiebedrijf Eurocamps kwamen reisgegevens, betalingsdata en contactinformatie van klanten online beschikbaar.[13]

V. Waarom basisbeveiliging faalt: het structurele probleem

Het is verleidelijk om deze incidentenreeks toe te schrijven aan steeds slimmere aanvallers. Die verklaring is comfortabel, want zij impliceert dat de verdediging redelijk was maar de aanval buitengewoon. De realiteit is minder vleiend. De aanvallen van het eerste kwartaal 2026 slaagden niet door hun technische briljantie: zij slaagden doordat de basisbeveiliging bij de getroffen organisaties achterstallig was.

Phishing. Zwakke wachtwoorden. Systemen die maanden na het beschikbaar komen van een patch nog niet waren bijgewerkt. Back-ups die niet versleuteld waren. Multi-factorauthenticatie die beschikbaar was maar niet verplicht gesteld. Bij Odido wijzen de beschikbare analyses op phishing als initieel aanvalsvector. Bij de telecom-breach in maart waren het standaard kwetsbaarheden. Bij ChipSoft betrof het een gedeelde kwetsbaarheid in de softwarestack die al maanden bekend was voordat zij werd uitgebuit.

Dat patroon zou verontrustend genoeg zijn zonder verdere complicaties. Maar het eerste kwartaal van 2026 markeerde ook het moment waarop kunstmatige intelligentie definitief onderdeel werd van het aanvalsarsenaal. Deepfakes die geloofwaardig genoeg zijn om telefonische identiteitsverificatie te omzeilen. Geautomatiseerde phishingberichten die grammaticaal foutloos zijn en verwijzen naar recente, echte transacties. Chatbots die voldoende overtuigend spreken om helpdeskmedewerkers te misleiden tot het resetten van wachtwoorden. De verdediger moet elke aanval herkennen; de aanvaller hoeft slechts één keer te slagen. AI verschuift die asymmetrie verder in het voordeel van de aanvaller.

VI. De AIVD-waarschuwing — tachtig jaar

Op 23 april 2026, midden in de maand waarin de meeste incidenten uit dit retrospectief plaatsvonden, publiceerde de Algemene Inlichtingen- en Veiligheidsdienst een dreigingsanalyse die in de scherpste termen was gesteld die de dienst in decennia had gebruikt. De AIVD sprak van de grootste dreiging op nationaal veiligheidsgebied in tachtig jaar.[14]

Tachtig jaar. Dat plaatst de huidige dreigingsomgeving op het niveau van de directe naoorlogse periode, het laatste moment waarop de Nederlandse staat zich existentieel bedreigd voelde. Het zijn niet de woorden van een inlichtingendienst die aandacht zoekt; het is de formulering van een organisatie die concrete, geclassificeerde dreigingsinformatie analyseert en concludeert dat de situatie ernstiger is dan op enig moment sinds de Koude Oorlog.

De AIVD noemde Rusland en China expliciet als statelijke actoren.[15] De waarschuwing was specifiek: ontoereikende beveiliging bij vitale infrastructuur. Niet potentieel risico. Niet theoretische bedreiging. Ontoereikende beveiliging: een vaststelling, geen hypothese. De NOS vatte het samen in een kop die aan duidelijkheid niets te wensen overliet: Rusland, China, terroristen: AIVD zag in 80 jaar niet meer dreiging dan nu.[16]

Leg nu de AIVD-waarschuwing naast de incidentenlijst uit dit retrospectief. ChipSoft levert software aan zeventig procent van de Nederlandse ziekenhuizen: vitale gezondheidsinfrastructuur. ASML produceert de machines zonder welke de mondiale halfgeleiderindustrie niet functioneert: strategische industriële infrastructuur. Het Bevolkingsonderzoek Nederland beheert medische gegevens van miljoenen burgers: kritieke overheidsdata. De Nederlandse Waterschapsbank is onderdeel van het financiële stelsel: vitale economische infrastructuur. De overlap tussen wat de AIVD aanwijst als bedreigd en wat in de eerste vier maanden van 2026 daadwerkelijk is aangevallen, is geen toeval. Het is een patroon.

De grens tussen spionage en sabotage is daarbij dunner dan de meeste bestuurders beseffen. Een statelijke actor die toegang verkrijgt tot een ziekenhuissysteem kan die toegang gebruiken om informatie te verzamelen, maar ook om op een zelfgekozen moment de operatie te verstoren. De capaciteit die voor het eerste nodig is, is identiek aan de capaciteit die voor het tweede wordt ingezet. Het verschil is intentie, en intentie kan veranderen zonder dat de verdediger dat merkt.

VII. Wat u morgen kunt doen: vijf beslissingen voor de bestuurskamer

De neiging na een overzicht als dit is om het door te sturen naar de CISO met de vraag: hebben wij dit op orde? Die reflex is begrijpelijk en onvoldoende. De incidenten uit dit retrospectief zijn geen IT-problemen die door een IT-afdeling worden opgelost. Het zijn bedrijfsrisico’s die in de bestuurskamer thuishoren, naast kredietrisico, marktrisico en compliance-risico.

De eerste beslissing betreft risicobereidheid. Bestuur en Raad van Commissarissen moeten expliciet vaststellen wat het acceptabele risiconiveau is — niet impliciet, niet via de CISO, niet door het onderwerp te vermijden tot het misgaat. Wat is de tolerantiegrens voor downtime? Voor dataverlies? Voor reputatieschade? De antwoorden op die vragen bepalen hoeveel wordt geïnvesteerd in beveiliging, en dat is een bestuursbeslissing, geen technische keuze.

De tweede beslissing betreft de supply chain. Booking.com, ChipSoft en de telecom-incidenten laten hetzelfde zien: de aanvaller kiest de zwakste schakel in de keten, en die schakel is steeds vaker een leverancier of partner. Elk bedrijf dat met externe partijen samenwerkt, zoals SaaS-leveranciers, hostingpartners, cloudproviders, integratiepartners, moet supply-chain-beveiliging als vast agendapunt op het bestuursniveau behandelen. De vragen zijn concreet: wie heeft toegang tot onze data? Wie heeft toegang tot de data van onze klanten? Wat zijn hun beveiligingsstandaarden, en hoe verifiëren wij die?

De derde beslissing gaat over detectie versus preventie. Volledige preventie is een illusie, dat heeft het eerste trimester van 2026 overtuigend aangetoond. Wat wél haalbaar is, is snelle detectie. De gemiddelde time-to-detection bij cyberaanvallen bedraagt meer dan tweehonderd dagen. In die periode kunnen aanvallers data exfiltreren, toegang uitbreiden en persistentie inrichten. Investering in detectiecapaciteit als threat monitoring, log-aggregatie, AI-gestuurde anomaliedetectie is minstens zo kritisch als investering in preventie, en in de praktijk vaak effectiever.

De vierde beslissing betreft de cyberverzekering. Veel organisaties beschouwen hun cyberpolis als vangnet. De kleine lettertjes vertellen een ander verhaal. Supply-chain-aanvallen vallen regelmatig buiten de dekking. Aanvallen door statelijke actoren kennen vaak uitzonderingsclausules. Business interruption is lang niet altijd meeverzekerd. De CISO moet jaarlijks formeel aan het bestuur presenteren wat wel en niet gedekt is, en het bestuur moet die presentatie behandelen als wat het is: een compliance-vraagstuk met directe financiële consequenties.

De vijfde beslissing betreft de meldingsplicht. De AVG stelt een harde eis: melding aan de Autoriteit Persoonsgegevens binnen 72 uur na constatering van een datalek. Er is geen ruimte voor “we gaan het eerst onderzoeken” of “we wachten op de politie.” De organisaties uit dit retrospectief die snel en transparant communiceerden, kwamen er beter uit dan de organisaties die aarzelden. Zorg dat er een draaiboek ligt: wie belt wie, wie beslist, wie communiceert naar toezichthouders, wie informeert de pers vóórdat het misgaat. Na een breach is het te laat om een protocol te bedenken.

SLOTSOM

Drieënvijftig procent meer aanvallen. Gemiddeld 1.925 per organisatie per week. Dertien publieke incidenten in vier maanden. De AIVD spreekt van de ergste dreiging in tachtig jaar. Dit zijn de feiten van het voorjaar van 2026, en zij wijzen in één richting: het dreigingsniveau dat Nederland nu ervaart is geen piek die weer zakt. Het is de nieuwe ondergrens.

De incidenten uit dit retrospectief zijn geen verzameling ongelukkige toevalligheden. Zij vormen de consequentie van jarenlang structureel onderinvesteren in digitale weerbaarheid bij bedrijven, bij overheden, bij vitale infrastructuur. De aanvallers zijn niet geniaal; de verdediging is achterstallig. Dat is tegelijkertijd het slechtste en het beste nieuws van dit trimester, want achterstallig onderhoud is op te lossen. Patchen. Multi-factorauthenticatie afdwingen. Supply chains auditen. Detectie inrichten. Meldingsprotocollen voorbereiden. Geen van deze maatregelen vereist nieuwe technologie of buitengewone budgetten. Zij vereisen een beslissing en die beslissing hoort in de bestuurskamer, niet op de IT-afdeling.

De volgende vier maanden worden niet rustiger. De vraag is niet óf uw organisatie wordt aangevallen. De vraag is of u, wanneer het gebeurt, hebt gedaan wat redelijkerwijs van u mocht worden verwacht.

Bronnen

  1. Odido datalek (6,2 miljoen klanten). NU.nl, februari 2026. Hackers dreigen klantgegevens Odido te publiceren; ‘Schade is al geleden.’
  2. Telecom Breach & Politieportal. Politie.nl, maart 2026. “Check je hack” — portal voor burgers om vast te stellen of zij in gelekte datasets voorkomen.
  3. Basic-Fit datalek (200.000 Nederlandse leden, 1 miljoen wereldwijd). Dutch IT Channel, april 2026.
  4. Rituals datalek. Algemene nieuwsmedia, april 2026.
  5. ChipSoft cyberaanval (70% van Nederlandse ziekenhuizen). NCSC / Zorgmedia, april 2026. Vijftien ziekenhuizen blokkeerden patiëntendossiers preventief.
  6. Nederlandse Waterschapsbank & Buckaroo DDoS-aanvallen. Meldingen financiële sector, januari 2026.
  7. ASML — 154 databases claim. Algemene nieuwsmedia, januari 2026. Hacker claimde databases gestolen; ASML ontkende formeel na intern onderzoek.
  8. Bevolkingsonderzoek Nederland datalek. Algemene nieuwsmedia, april 2026.
  9. Hogeschool Saxion — 13.000 e-mailadressen via massamail in CC. Autoriteit Persoonsgegevens, april 2026.
  10. Gemeente Epe cyberaanval. Algemene nieuwsmedia, april 2026.
  11. OLV Pulhof School Berchem — ransomware. Lokale nieuwsmedia, januari 2026. Servers platgelegd; losgeld geëist van ouders.
  12. Booking.com supply-chain-aanval (ClickFix-malware). NCSC / Booking.com klantnotificaties, april 2026.
  13. Eurocamps datalek. Algemene nieuwsmedia, april 2026.
  14. AIVD waarschuwing — 80 jaar dreiging. AIVD officieel statement, 23 april 2026.
  15. AIVD — Rusland, China als statelijke dreigingen. AIVD statement (gedeeltelijk geclassificeerd), april 2026. “Ontoereikende beveiliging bij vitale infrastructuur.”
  16. NOS — “Rusland, China, terroristen: AIVD zag in 80 jaar niet meer dreiging dan nu.” NOS, april 2026.