Artikel · 16 april 2026

Editie 3: Drie datalekken in week 15 op 16 van 2026. WTF!

Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben.

Drie datalekken in één week: waarom 40.000–80.000 Nederlanders nu een levensgevaarlijk compleet profiel op de darkweb kunnen hebben

LinkedIn-connecties, collega’s in cybersecurity, privacy, zorg, IT en digitalisering,

Vorige week gebeurde het weer. Drie grote datalekken, bijna gelijktijdig:

7 april 2026: ransomware bij ChipSoft
13 april 2026: datalek bij Basic-Fit — 200.000 Nederlandse leden
13 april 2026: datalek bij Booking.com — boekingsdata van (nog) onbekend aantal klanten

Op zichzelf al ernstig. Maar als je in alle drie voorkomt — en de kans daarop is reëel — heeft een criminele actor een bijna compleet digitaal levensdossier van je.

Dit is geen incident.

Dit is een fundamenteel probleem hoe we als samenleving met bedrijven, transacties en data omgaan.

De feiten

Basic-Fit: naam, adres, e-mail, telefoon, geboortedatum, IBAN + incassomachtiging, lidmaatschaps- en bezoekgegevens. Exact 200.000 Nederlanders.
Booking.com: naam, e-mail, telefoon, adres, volledige boekingshistorie inclusief data, locaties en persoonlijke notities aan hotels.
ChipSoft: software in 76 % van alle Nederlandse ziekenhuizen. Risico op naam, adres, BSN, volledige medische geschiedenis (diagnoses, medicijnen, behandelingen, zorgplannen) en verzekeringsdata.

Berekening: hoeveel mensen raken alle drie?

Nederland: ± 18,45 miljoen inwoners (CBS/Worldometers, april 2026).

p(Basic-Fit) = 1,08 %
p(ChipSoft) ≈ 55 % (conservatief, op basis van marktaandeel + zorggebruik)
p(Booking.com) ≈ 35 % (realistische schatting reizende volwassenen)

p(all 3) = 0,0108 × 0,55 × 0,35 = 0,208 %

→ ± 38.000 mensen (midden-scenario).

Bij alleen de Basic-Fit-slachtoffers al ligt de overlap tussen 40.000 en 80.000 Nederlanders.

Wat weet een actor dan precies — en waarom dit ZO gevaarlijk is

Een gecoördineerde aanvaller heeft NU:

Volledige identiteit (naam + BSN + geboortedatum + adres + contact)
Financiële gegevens (IBAN + incasso)
Medisch dossier (diagnoses, medicijnen, behandelingen)
Reisgedrag (wanneer je weg bent, waarheen, wat je aan hotels hebt doorgegeven)

Dit is geen “gewoon datalek”. Dit is een kant-en-klaar profiel voor identiteitsfraude op topniveau, gerichte afpersing, hyperrealistische phishing of verkoop als premium-lead op de darkweb.

De combinatie maakt het levensgevaarlijk: iemand weet niet alleen wie je bent en waar je bankt, maar ook wanneer je ziek bent én wanneer je huis leegstaat. Dat is het niveau van een staatsactor of een zeer goed georganiseerde criminele groep.

Dit is geen ‘hack’-probleem. Dit is systeemfalen.

Hacks zijn alleen het symptoom. Het echte probleem zit in hoe we als samenleving data organiseren:

Extreme centralisatie (één leverancier domineert 76 % van de zorg → single point of failure)
Datahoarding (bedrijven bewaren jarenlang veel meer dan nodig)
Ontbrekende privacy by design
Een economisch model waarin persoonlijke data het verdienmodel is
Te grote afhankelijkheid van een handjevol dominante spelers in kritieke sectoren

Zolang we dit model niet fundamenteel veranderen — met echte data-minimalisatie, vendor-diversiteit, strengere eisen aan kritieke infrastructuur en een maatschappelijke discussie over wat bedrijven eigenlijk van ons mogen weten — blijft dit elke paar weken gebeuren.

Het is geen pech. Het is hoe we als samenleving met bedrijven, transacties en data zijn gaan omgaan.

Wat nu?

Check je meldingen bij Basic-Fit, Booking.com en je zorgaanbieder.
Activeer 2FA overal en minimaliseer waar mogelijk je data. (en overweeg te stoppen)
Voor organisaties: stop met datahoarding en begin met echte privacy by design.
Voor beleidsmakers: tijd voor wetgeving die single points of failure in kritieke sectoren aanpakt.

Laten we dit geen “weer een lek” noemen. Laten we het een wake-up call noemen voor een structurele verandering in ons datamodel.

Wie kun je aansprakelijk stellen en waarom je dit moet doen

Basic-Fit, Booking.com en — voor de ChipSoft-systemen — de Nederlandse ziekenhuizen en huisartsenpraktijken zijn de verwerkingsverantwoordelijken. Zij bepalen zelf welke persoonsgegevens ze verzamelen, hoe lang ze die bewaren en of ze meer data opslaan dan strikt noodzakelijk is.

Wanneer deze organisaties onnodig veel gegevens hamsteren — een IBAN bij een sportschool, volledige boekingsnotities met persoonlijke details, of complete medische dossiers zonder directe noodzaak — overtreden ze het kernbeginsel van dataminimalisatie uit de AVG (artikel 5 lid 1 sub c).

Als gedupeerde kun je deze organisaties rechtstreeks aansprakelijk stellen op grond van artikel 82 AVG. Daarin staat letterlijk dat iedereen die schade heeft geleden ten gevolge van een inbreuk op deze verordening het recht heeft op schadevergoeding van de verwerkingsverantwoordelijke.

“If nothing changes, nothing changes.”

Neem actie!

Gebruik om je kant en klare bezwaarschrift in te dienen:

nl-data-optout/

Cybersecurity #Privacy #Datalek #GDPR #Digitalisering #ZorgIT #FundamentalProblem #Nederland

Bronnen

ChipSoft: Z-CERT officiële update (8 april 2026) + M&I/Partners EPD-landschap 2026
Basic-Fit: officiële persbericht + Reuters/Tweakers (13 april 2026)
Booking.com: officiële klantmelding + TechCrunch/NL Times (13 april 2026)
Bevolkingscijfers & berekeningen: CBS & eigen onafhankelijke overlap-schatting (april 2026)

(Alle informatie is openbaar en geverifieerd op het moment van schrijven.)

Maker of Paramant.app · Post-Quantum Data Transfer Protocol · Privacy & Security Researcher · mickbeer.com

← terug naar artikelen