2025 is officieel end-of-life, wat inhoudt dat Security.NL iedereen traditiegetrouw een gelukkig en veilig nieuwjaar mag wensen! Het afgelopen jaar werd onder andere gekenmerkt door grote datalekken, kwetsbare software en omstreden wetsvoorstellen. Daarnaast was ook ransomware nog altijd een aanhoudend probleem, wat aangeeft dat een hoop van de onderliggende problemen op het gebied van cybersecurity nog steeds aanwezig zijn. Iets dat ook bleek uit de Top 25 van gevaarlijke kwetsbaarheden, die werd aangevoerd door cross-site scripting, gevolgd door SQL-injection. Problemen die al decennia bekend zijn.

Op Europees vlak gebeurde er in 2025 van alles. Zo gingen de EU-landen akkoord met voorstellen voor de digitale euro en chatcontrole. Lange tijd kon het plan voor chatcontrole niet op een meerderheid rekenen, maar uiteindelijk wist EU-voorzitter Denemarken toch genoeg voorstemmers te vinden. Het nu aangenomen voorstel bevat nog geen verplicht detectiebevel voor het controleren van chatberichten en ander verkeer, maar dat kan in de toekomst veranderen.

Het voorstel bevat namelijk een reviewclausule. "In het laatste voorstel van de verordening is wel een reviewclausule opgenomen waarin is opgenomen dat over 3 jaar zal worden gekeken naar de noodzaak en haalbaarheid van het opnemen van detectieverplichtingen in het toepassingsgebied van deze verordening", zo liet demissionair minister Van Oosten van Justitie en Veiligheid over het nieuwe voorstel weten.

Het voorstel verplicht ook online leeftijdsverificatie. Iets wat in steeds meer landen wordt ingevoerd. Afgelopen juli introduceerde de Europese Commissie al een whitelabel leeftijdsverificatie-app, waarmee gebruikers straks kunnen aantonen dat ze oud genoeg zijn om websites te bezoeken waarvoor een minimale leeftijd geldt. Tegenstanders van leeftijdsverificatie waarschuwen dat het een backdoor is voor surveillance, het de privacy van iedereen bedreigt en tot censuur leidt. Alle gebruikers van platforms waarvoor een leeftijdsgrens geldt moeten de leeftijdsverificatie ondergaan. Daarnaast is er ook het risico dat gedeelde persoonsgegevens op straat komen te liggen.

De Europese Commissie wil ook de bewaarplicht nieuw leven inblazen en tot een EU-brede bewaarplicht komen. De maatregel is onderdeel van de nieuwe interne Europese veiligheidsstrategie die afgelopen zomer werd gepresenteerd, met de naam ProtectEU. Als onderdeel van de strategie wordt gesproken over een "Roadmap voor rechtmatige en effectieve toegang tot data voor opsporingsdiensten". Daarnaast staat ook een Technologie Roadmap voor encryptie op de agenda, alsmede een "impact assessment" om de Europese bewaarplichtregels te herzien. Via de roadmap wil de Europese Commissie technologische oplossingen vinden en beoordelen waardoor opsporingsdiensten toegang tot versleutelde data kunnen krijgen. Ook zijn er zorgen over plannen van de Europese Commissie om via een "digital omnibus" de AVG te verzwakken.

Ransomware en datalekken

Dat ransomware nog altijd een groot probleem is bleek wel uit het grote aantal bedrijven dat slachtoffer werd en met grote verstoringen te maken kreeg. Zo werd de Britse supermarktketen Co-op getroffen door een ransomware-aanval, wat leidde tot lege schappen en de gestolen gegevens van miljoenen klanten. Een ransomware-aanval legde ook de productie van de Japanse bierbrouwer Asahi plat. Marks & Spencer zag de winst na een ransomware-aanval in april met 440 miljoen euro dalen.

Een ransomware-aanval op Collins Aerospace leidde tot geannuleerde en vertraagde vluchten op Europese luchthavens. De Friese afvalverwerker Omrin zag zich na een ransomware-aanval genoodzaakt om verschillende kringloopwinkels tijdelijk te sluiten. Bij een ransomware-aanval op Ahold Delhaize werden gegevens van medewerkers van Albert Heijn, Etos en Gall & Gall gestolen. Een van de grootste aanvallen in 2025, maar nog altijd niet bevestigd als een ransomware-aanval, was de aanval op Jaguar Land Rover. Volgens onderzoekers kost die aanval het Verenigd Koninkrijk 2,2 miljard euro en zorgt ervoor dat Britse bruto binnenlands product (BBP) minder groeit dan verwacht.

Eén van de grootste ransomware-aanvallen in Nederland was de aanval op Clinical Diagnostics. Een ransomwaregroep genaamd Nova wist begin juli toegang te krijgen tot het netwerk van Clinical Diagnostics, zo liet het medisch laboratorium uit Rijswijk zelf weten. De aanvallers wisten de persoonlijke en medische gegevens van een groot aantal mensen te stelen. Het ging om 850.000 vrouwen die deelnamen aan het bevolkingsonderzoek baarmoederhalskanker en patiënten van privéklinieken en huisartsen. Het laboratorium besloot de verantwoordelijke criminelen uiteindelijk losgeld te betalen om publicatie van de gestolen data te voorkomen. Hoe de aanval mogelijk was is nog altijd niet bekendgemaakt.

In de praktijk blijkt dat veel van de ransomware-aanvallen eenvoudig van aard zijn. In sommige gevallen bellen de aanvallers op en vragen om wachtwoorden om toegang te krijgen, zo stelde bleekmiddelfabrikant Clorox, dat de eigen it-dienstverlener na een ransomware-aanval aanklaagde.

Naast ransomware kan ook het gebruik van AI-chatbots tot gevoelige datalekken leidde. Zo werden door de gemeente Eindhoven vele duizenden bestanden met gevoelige informatie naar publieke AI-websites geupload. Het ging om documenten met veel gevoelige en bijzondere categorieën van persoonsgegevens, waaronder documenten met betrekking tot de Jeugdwet, met informatie over onder andere de mentale en fysieke gezondheid van minderjarige kinderen (vaak ook broertjes en zusjes) en ouders. Ook BSN-nummers en soms zelfs een foto van het kind waren onderdeel van het geuploade dossier.

Verder ging het ook om overdrachtsdocumenten WMO, met gegevens over onder andere fysieke en mentale gezondheid, diagnoses, verslavingen, financiële problematiek, schulden, problemen op woon en/of werkgebied, inclusief naam, adresgegevens en BSN-nummer. Tevens werden ook reflectieverslagen van medewerkers, met besprekingen van werkprestaties en informatie over collega’s en cv’s van sollicitanten geüpload. Volgens de Autoriteit Persoonsgegevens heeft het dit jaar al tientallen meldingen van dergelijke datalekken ontvangen en is het belangrijk dat organisaties voor het gebruik van AI beleid opstellen.

Cloud en digitale soevereiniteit

Een ander onderwerp dat afgelopen jaar veelvuldig in het nieuws kwam, waren de perikelen rondom het gebruik van Amerikaanse clouddiensten en digitale soevereiniteit. Vooral de dreigende overname van cloudbedrijf Solvinity zorgde voor de nodige ophef, onder andere onder politici. Daarnaast waren er meerdere beveiligingsexperts die hun zorgen lieten blijken over de nieuwe cloudwerkplek voor ambtenaren en de overstap van de Belastingdienst naar Microsoft 365. Verder bleek dat meerdere overheidsinstanties geen exitstrategie hebben voor het gebruik van Amerikaanse clouddiensten. Het kabinet kwam dit jaar met plannen voor een "soevereine overheidscloud". Wanneer die er komt is nog altijd onbekend.

Welke datalekken zich dit jaar ook zullen voordoen, de beveiligingsincidenten die ongetwijfeld zullen plaatsvinden, het niet opgevolgde beveiligingsadvies of de voorstellen die privacy of security zullen raken, zoals elk jaar zal Security.NL ook in 2026 weer dagelijks met hart en ziel het laatste nieuws over security en privacy brengen.