Eind april 2026 vond opnieuw een grootschalige datadiefstal plaats, waarbij hackersgroep ShinyHunters miljoenen persoonsgegevens van gebruikers van de onderwijssoftware Canvas wist te stelen. Deze aanval is onderdeel van een reeks grote datalekken dit jaar, waaronder incidenten bij Odido, Basic-Fit, Rituals en de gemeente Epe. De toename van dergelijke datalekken heeft meerdere oorzaken.

Hackers maken steeds vaker gebruik van AI-agenten om geavanceerde en grootschalige aanvallen efficiënter uit te voeren. Tegelijkertijd blijven organisaties kwetsbaar doordat zij grote hoeveelheden persoonsgegevens opslaan zonder dit adequaat te beheren. Veel bedrijven en overheidsinstanties voldoen niet aan de wettelijke verplichting om alleen noodzakelijke data te verzamelen en te bewaren, wat hun datahuishouding zwak maakt. Bits of Freedom roept organisaties op om zich strikt aan de wet te houden en alleen noodzakelijke gegevens te bewaren, terwijl de Autoriteit Persoonsgegevens (AP) wordt gevraagd hier proactief toezicht op te houden.

Een voorbeeld van een dergelijke hack is de aanval op Odido. Hierbij deed het hackerscollectief ShinyHunters zich voor als de IT-afdeling en benaderde medewerkers met een gevoel van urgentie om hun inloggegevens te verkrijgen. Deze techniek, social engineering genaamd, is al jaren de meest gebruikte methode om toegang tot data te krijgen. Met AI is het mogelijk om persoonlijke informatie van medewerkers via sociale media en gelekte datasets te verzamelen en zeer overtuigende, gepersonaliseerde phishingberichten te maken. Dit maakt het voor hackers eenvoudiger en goedkoper om succesvolle aanvallen uit te voeren.

Na het verkrijgen van toegang worden kwetsbaarheden in het systeem, mogelijk ook met behulp van AI, snel opgespoord en geëxploiteerd. Bij Odido leidde dit binnen een uur tot het stelen van data van circa 6,4 miljoen mensen, waaronder volledige identiteitsprofielen met namen, adressen, telefoonnummers, e-mailadressen en geboortedata. Niet alleen huidige klanten waren slachtoffer, maar ook oud-klanten. Dit incident behoort tot de grootste datalekken in de Nederlandse geschiedenis.

Volgens de Algemene verordening gegevensbescherming (AVG) mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Toch is er bij veel organisaties sprake van een onstilbare datahonger, zonder een goed plan voor het bewaren, verwijderen en beveiligen van deze gegevens. Dit leidt tot een verhoogd risico op datalekken, waarvan de gevolgen voor betrokkenen ernstig kunnen zijn. Gelekte data vormen een gedetailleerd profiel dat kan worden misbruikt voor oplichting, chantage of verdere hacks. Voor kwetsbare personen, zoals mensen die worden bedreigd of gestalkt, zijn de gevolgen extra ingrijpend. Wat privé had moeten blijven, wordt plotseling openbaar.

De huidige situatie onderstreept het belang van streng databeheer en effectieve beveiligingsmaatregelen. Organisaties moeten hun verantwoordelijkheid nemen om persoonsgegevens zo beperkt mogelijk te verzamelen en adequaat te beschermen. Daarnaast is het noodzakelijk dat toezichthouders zoals de AP actief controleren op naleving van de wet. Meer informatie over verantwoord datagebruik is te vinden op My Data Done Right. Ook waarschuwt de Autoriteit Persoonsgegevens voor de extra gevaren die AI-systemen met zich meebrengen voor de cyberveiligheid, zoals beschreven in Trouw.