Wat de golf datalekken in 2026 leert over ketenbeveiliging

De zwakke schakel zit steeds vaker bij je leverancier.

🌍 TL;DR

2026 is het jaar waarin datalekken bij bekende merken bijna wekelijks nieuws werden. Van Odido en Basic-Fit tot Lidl en ChipSoft: de gemene deler is niet zozeer de aanvaller, maar de keten. Steeds vaker komt het lek niet binnen bij het merk zelf, maar bij een leverancier, een softwarepartij of een IT-dienstverlener. In deze blog lees je wat er gebeurde, waarom ketenbeveiliging het thema van dit jaar is, en hoe je je organisatie er wél op voorbereidt.

Een jaar dat je moeilijk kon missen

Als je dit jaar het nieuws volgde, kwam je ze vanzelf tegen. De namen waren stuk voor stuk herkenbaar, en dat maakte de impact zo groot.

Het begon groot met de hack bij Odido. In februari kregen criminelen toegang tot een klantcontactsysteem, met de gegevens van maar liefst 6,2 miljoen accounts als inzet: namen, adressen, telefoonnummers, e-mailadressen, rekeningnummers, geboortedata en zelfs paspoort- en rijbewijsnummers. Later publiceerden criminelen de buitgemaakte gegevens, waarmee dit uitgroeide tot een van de grootste datalekken uit de Nederlandse geschiedenis.

Daarna volgden ze elkaar in hoog tempo op:

  • Basic-Fit (april): bij een aanval op het systeem dat clubbezoeken registreert, werden gegevens van ongeveer 1 miljoen leden gedownload, waarvan zo’n 200.000 in Nederland. Naast namen en adressen ging het hier ook om bankrekeninggegevens.
 
 
 
 
  • Lidl (juli): het meest recente en misschien wel meest illustratieve incident, waarover verderop meer.

Wat opvalt: in vrijwel alle gevallen ging het niet om gestolen wachtwoorden of betaalgegevens, maar om persoonsgegevens die criminelen kunnen gebruiken voor bijzonder overtuigende phishing. Met je échte naam, adres en geboortedatum wordt een valse mail of telefoontje ineens een stuk geloofwaardiger.

De rode draad: het lek zit steeds vaker in de keten

Trek je één lijn door al deze incidenten, dan kom je uit bij hetzelfde punt: de zwakke schakel zit lang niet altijd bij het bekende merk zelf.

Het duidelijkste voorbeeld is Lidl. De supermarktketen benadrukte nadrukkelijk dat de webshop zelf niet is gehackt. Het lek ontstond bij een externe IT-dienstverlener, waar onbevoegden kort toegang kregen tot een apart opgeslagen bestand met klantgegevens uit Nederland, België en Duitsland. Eén leverancier, meerdere landen, in één klap geraakt.

Een vergelijkbaar patroon zag je in de zorg, waar een ransomware-aanval bij de leverancier van een veelgebruikt patiëntendossier in één keer talloze ziekenhuizen tegelijk raakte. Steeds weer geldt: een aanvaller die binnenkomt bij één softwarebouwer, managed service provider of clouddienst, heeft in één klap toegang tot tientallen tot honderden eindorganisaties. De keten is zo sterk als de zwakste schakel, en juist dat overzicht ontbreekt bij veel organisaties.

De cijfers die te denken geven

Dat dit geen theoretisch risico is, laten de cijfers zien. Uit het State of Supply Chain Security-rapport van NCC Group blijkt dat 94 procent van de Nederlandse organisaties er vertrouwen in heeft een aanval op de keten aan te kunnen. Tegelijk had ruim de helft (53 procent) het afgelopen jaar te maken met een cyberinbraak, het hoogste percentage van alle onderzochte landen.

De pijnlijke tegenstelling: bijna de helft van de Nederlandse bedrijven (44 procent) controleert leveranciers niet regelmatig, terwijl het wegvallen van een toeleverancier voor 24 uur bij 87 procent van de bedrijven de dagelijkse operatie zou raken. Kort gezegd: veel vertrouwen, weinig controle.

Ook de toezichthouder trekt inmiddels aan de bel. De Autoriteit Persoonsgegevens kondigde aan om ICT-leveranciers preventief te controleren op hun beveiliging, juist omdat een lek bij zo’n partij razendsnel enorme gevolgen heeft voor veel klantorganisaties tegelijk. Met de komst van de Cyberbeveiligingswet (de Nederlandse invulling van NIS2) is de beveiliging van de toeleveringsketen bovendien geen nice-to-have meer, maar een wettelijke verplichting.

Wat je hiervan kunt leren

De incidenten van 2026 zijn vervelend, maar ze bieden ook een heldere les. Veilig digitaal kunnen werken begint niet pas bij je eigen firewall, maar bij de vraag: wie heeft er eigenlijk toegang tot mijn data, en hoe goed zijn die partijen beveiligd?

Een paar concrete lessen die je meteen kunt toepassen:

1. Breng je keten in kaart

Je kunt niet beveiligen wat je niet kent. Maak een overzicht van alle leveranciers, SaaS-diensten en IT-partijen die jouw data verwerken of toegang hebben tot je systemen, en bepaal per partij hoe kritiek die is.

2. Stel eisen en leg ze vast

Een generieke verwijzing naar een certificaat is niet genoeg. Leg beveiligingseisen en meldplichten contractueel vast, zodat een leverancier jou tijdig informeert bij een incident.

3. Beperk de schade als het toch misgaat

De rode draad in bijna alle lekken is phishing achteraf. Zorg dat je organisatie hier weerbaar tegen is met sterke mailbeveiliging, meervoudige verificatie (MFA) en bewuste medewerkers.

4. Maak security een continu proces, geen eenmalige actie

De grootste winst zit niet in één tool, maar in samenhang. Een goede beveiliging steunt op vier pijlers: bescherming van je e-mailomgeving, sterke endpointbeveiliging, identiteiten onder controle en grip op je cloud- en SaaS-landschap. Verbind je die pijlers, dan krijg je geen losse signalen meer, maar overzicht en snelle actie.

Hoe OfficeGrip je hierbij helpt

Bij OfficeGrip zien we cybersecurity niet als een los IT-project, maar als een structurele pijler onder je continuïteit. Via een heldere IT-roadmap werk je planmatig aan je weerbaarheid, in plaats van te reageren op het volgende incident in het nieuws. 

Met oplossingen zoals Microsoft Defender for Office, Defender for Endpoint en Microsoft Entra ID, samengebracht in Microsoft Defender XDR, bouw je een samenhangende verdedigingslinie die het aanvalsoppervlak tot een minimum beperkt. En omdat NIS2 en ketenbeveiliging steeds hoger op de agenda staan, denken we met je mee over leveranciersbeoordeling, monitoring en compliance, zodat je niet alleen zelf op orde bent, maar ook grip houdt op je keten. 

De les van 2026 is duidelijk: een sterke ketting begint bij aandacht voor élke schakel. Zo blijf je veilig digitaal werken, ook als het volgende grote lek weer het nieuws haalt.

Klaar om samen naar je keten te kijken? Neem contact met ons op en ontdek hoe je jouw organisatie stap voor stap weerbaarder maakt. 

Is uw organisatie voorbereid op de NIS2 wetgeving?

Doe het Self Assessment en ontdek het zelf!

Klaar om de cyberweerbaarheid van uw organisatie te verhogen?

Avista-Shegani

Avista denkt graag
met u mee.