Het ene datalek is nog niet voorbij of de volgende datalekken verschijnen alweer in het nieuws. En wat steeds weer opvalt: het gaat niet alleen om grote techbedrijven. Ook gemeenten, onderwijsinstellingen, sportplatformen en bekende consumentenmerken worden geraakt. De boodschap van 2026 is duidelijk: persoonsgegevens zijn een van de waardevolste doelwitten voor hackers geworden.
Recordboete van €100 miljoen voor taxi-app Yango
Op 8 mei legde de Autoriteit Persoonsgegevens een recordboete van €100 miljoen op aan taxi-app Yango. Volgens de AP gaf het bedrijf op illegale wijze persoonsgegevens van Europese gebruikers door aan Russische autoriteiten. Het ging daarbij onder andere om locatiegegevens, ritinformatie en contactgegevens van gebruikers. De zaak laat zien dat toezichthouders steeds kritischer kijken naar internationale datastromen.
Veel organisaties gebruiken dagelijks cloudsoftware zonder precies te weten waar deze gegevens worden opgeslagen en wie toegang heeft. Of dat gegevens buiten Europa terechtkomen zonder dat je het weet. Juist dat wordt nu een belangrijk handhavingspunt.
Ook Uber blijft onder druk staan
Tegelijkertijd bleef ook een eerdere Uber-boete van €10 miljoen overeind bij de rechter. Daar draaide het niet om hacking, maar om privacyrechten van chauffeurs. Uber zou verzoeken rondom inzage en gegevensverwerking onvoldoende hebben gefaciliteerd. Dat klinkt misschien technisch, maar de kern is simpel: organisaties moeten kunnen uitleggen welke persoonsgegevens zij gebruiken én daar controle over geven.
Veel organisaties lopen hier nog achter. Zeker wanneer gegevens verspreid staan over meerdere systemen, marketingtools of AI-platformen.
Ondertussen stapelen de datalekken zich op
Alsof dat nog niet genoeg was, kwamen er deze maand opnieuw grote datalekken naar buiten. Bij onderwijsplatform Canvas werd ingebroken door hackersgroep ShinyHunters. Daarbij zou 3,6 terabyte aan data zijn buitgemaakt van ongeveer 275 miljoen gebruikers wereldwijd. Ook Nederlandse onderwijsinstellingen zijn geraakt, waaronder mogelijk de UvA, VU en Erasmus Universiteit.
En daar bleef het niet bij. Bij de gemeente Barneveld werden gegevens van vrijwel alle inwoners gestolen, inclusief BSN-nummers en kopieën van identiteitsbewijzen. Daarnaast meldden ook merken als Rituals, Basic-Fit, Booking.com en Eurocamp recente datalekken. Alleen al bij Basic-Fit gaat het om gegevens van ongeveer 200.000 Nederlandse leden.
Wat betekent dit voor jouw organisatie?
De grootste fout die organisaties nog steeds maken, is denken dat privacy vooral een juridisch onderwerp is. Maar de incidenten laten iets anders zien: privacy draait vooral om grip houden op systemen, leveranciers en data.
Juist daarom is dit een goed moment om kritisch te kijken naar:
- welke software je gebruikt
- welke gegevens je bewaart
- of MFA overal actief staat
- en hoe afhankelijk je bent van externe platforms
Want één ding is duidelijk: organisaties die hun basis niet op orde hebben, vallen steeds sneller door de mand.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
