Op 19 maart 2026 werd het Ministerie van Financiën het doelwit van een geavanceerde cyberaanval. De hackers maakten misbruik van een zero-day kwetsbaarheid in de software die toegang regelt tot de digitale werkplek van medewerkers. Minister Eelco Heinen informeerde de Tweede Kamer over dit incident, waarbij waarschijnlijk gevoelige medewerkersgegevens zijn gestolen.
De aanvaller is nog steeds onbekend, en forensisch onderzoek biedt geen uitsluitsel over de identiteit of de exacte buitgemaakte bestanden. Het eigen Security Operations Center (SOC) van het ministerie detecteerde verdacht gebruikersgedrag op het netwerk. De software in kwestie wordt beheerd door een externe leverancier die namens Financiën diverse digitale processen afhandelt.
De impact van de cyberaanval
Direct na de detectie nam de leverancier mitigerende maatregelen en zette bepaalde voorzieningen dicht. Op 27 maart werden ook andere klanten van de leverancier geïnformeerd. Hoewel de exacte omvang van de inbraak nog onduidelijk is, werd onder meer het portaal Mijn Schatkist tijdelijk offline gehaald. Dit portaal wordt door zo’n 1.600 instellingen, waaronder decentrale overheden en rechtbanken, gebruikt om geld bij de rijksschatkist te beheren.
Minister Heinen stelt dat de inbraak geen schade aan systemen heeft aangericht, mede dankzij tijdig ingrijpen. Als voorzorgsmaatregel werden de wachtwoorden van alle medewerkers van het beleidsdepartement preventief gereset. Welke bestanden precies zijn buitgemaakt, valt naar verwachting niet meer te reconstrueren. „Bij dergelijke geavanceerde inbraken is het zelden mogelijk om erachter te komen wie of welke partij ervoor verantwoordelijk is”, aldus Heinen.
Reactie en maatregelen
Het ministerie activeerde de interne crisisorganisatie en werkte samen met het NCSCexterne beveiligingsexperts en de Autoriteit Persoonsgegevens (AP). De datalekmelding bij de AP werd binnen de wettelijke 72 uur gedaan. Ook werd aangifte gedaan bij Team High Tech Crime van de politie.
Er is enige reden tot zorg voorbij het incident zelf. Volgens het Cybersecuritybeeld Nederland 2026 van de NCTV zijn de cybersecuritymaatregelen binnen de Rijksoverheid al langere tijd ontoereikend. Vooralsnog heeft de schade zich (voor zover dat bekend is) beperkt tot data van medewerkers en niet burgers buiten de overheid. Desondanks meldt minister Heinen dat er verbetering op komst is. Voor de komende periode focust het ministerie op uitbreiding van het SOC-team en het uitvoeren van periodieke pentests en crisisoefeningen.
Alle systemen zijn inmiddels weer online en voor alle medewerkers toegankelijk. Ondanks de beperkingen konden belangrijke primaire processenzoals het opstellen van de voorjaarsnota, gewoon doorgaan. Op de inning van belastingen en het uitkeren van toeslagen heeft de hack geen invloed gehad.
