Het federaal parket in België onderzoekt een grootschalig datalek bij telecombedrijf Proximus. Het incident zou recent zijn ontdekt en raakt mogelijk klant- en bedrijfsgegevens. De autoriteiten bekijken wat er is gebeurd en welke strafbare feiten spelen. Dit raakt ook ondernemers in Nederland door de AVG en de meldplicht datalek voor organisaties en mkb.
Opsporing onderzoekt impact
Het Belgische federaal parket is een onderzoek gestart naar de herkomst en omvang van het datalek bij Proximus. Het gaat om een groot incident, maar op het moment van schrijven is niet duidelijk hoeveel personen of bedrijven zijn geraakt. Forensische specialisten analyseren systemen en logbestanden om de toegang en datastromen te reconstrueren. Dat moet uitwijzen of er sprake is van diefstal, doorverkoop of misbruik van gegevens.
Proximus geldt in België als kritieke infrastructuur vanwege zijn rol in telecom en digitale diensten. Bij zulke partijen ligt de lat voor cyberbeveiliging en incidentrespons extra hoog. De politie en bevoegde toezichthouders worden daarom vroeg betrokken. Doel is om schade te beperken en herhaling te voorkomen.
Bij een groot datalek staan drie vragen centraal: welke data zijn buitgemaakt, hoe lang heeft de toegang geduurd en wie zit erachter. Die antwoorden bepalen de risico’s voor klanten en partners. Ze sturen ook de communicatie naar betrokkenen en de eventuele verplichting tot individuele melding. Tot die duidelijkheid er is, geldt voor klanten extra waakzaamheid.
Wat kan zijn gelekt
Telecombedrijven verwerken veel gevoelige gegevens, zoals contactinformatie, adres- en factuurgegevens en gegevens over diensten. In sommige gevallen vallen hier ook metadata onder, zoals klantnummers of apparaten die aan een account zijn gekoppeld. Het is nog niet bevestigd welke categorieën hier precies zijn geraakt. Daarom is de inschatting van risico’s nu nog voorlopig.
Voor zakelijke klanten kan de impact doorwerken in de keten. Denk aan accounts van medewerkers, beheerportalen en koppelingen met CRM- of facturatiesystemen. Als inloggegevens of contactbestanden zijn buitgemaakt, neemt de kans op gerichte phishing toe. Ook kan misbruik van sim- of beheertoegang leiden tot fraude.
Ondernemers doen er goed aan om interne logins, wachtwoorden en toegangsrechten te herzien. Multi-factor-authenticatie verkleint het risico op misbruik van hergebruikte wachtwoorden. Controleer factuur- en afleveradressen dubbel om fraude te voorkomen. Let bovendien op ongebruikelijke wijzigingen in abonnementen of beheerpaneelinstellingen.
AVG-meldplicht raakt ook mkb
Bij een datalek eist de AVG (privacywet) dat organisaties binnen 72 uur melding doen bij de toezichthouder als er risico’s zijn voor betrokkenen. In België is dat de Gegevensbeschermingsautoriteit; in Nederland de Autoriteit Persoonsgegevens. Als het risico hoog is, moeten getroffen personen ook rechtstreeks worden geïnformeerd. Boetes kunnen oplopen tot 4% van de wereldwijde jaaromzet.
De AVG schrijft voor: meld een datalek binnen 72 uur na ontdekking en informeer betrokkenen als er een hoog risico bestaat op schade.
Telecomspelers vallen daarnaast onder sectorspecifieke veiligheids- en meldregels. In de EU komt daar NIS2 bij, een richtlijn voor netwerk- en informatiebeveiliging. Die vergroot de groep bedrijven met zwaardere zorgplichten en strengere rapportage. Voor Nederlandse bedrijven betekent dit extra eisen aan preventie, detectie en leveranciersbeheer.
Mkb’ers die klant zijn bij Proximus of via partners diensten afnemen, hebben eigen plichten. Ook als het lek bij een leverancier ontstaat, blijft de verwerkingsverantwoordelijke aansprakelijk voor passende beveiliging. Leg daarom in contracten vast hoe incidenten worden gemeld en opgelost. Test ook periodiek het incidentproces en contactlijsten.
Risico’s voor zakelijke klanten
De meest directe dreiging is misbruik van buitgemaakte gegevens voor phishing en social engineering. Aanvallers gebruiken echte klantgegevens om overtuigende nepmails en telefoontjes te sturen. Zo proberen zij betalingen om te leiden of aanvullende inloggegevens te ontfutselen. Extra verificatie bij betaal- en adreswijzigingen is daarom verstandig.
Een tweede risico is accountoverneming via wachtwoordhergebruik. Als dezelfde inlog elders wordt gebruikt, kan een datalek een domino-effect veroorzaken. Bedrijven beperken die kans met unieke wachtwoorden en een wachtwoordmanager. Schakel waar mogelijk multi-factor-authenticatie in voor beheerders en kritieke gebruikers.
Tot slot kan er reputatie- en contractrisico ontstaan, zeker als persoonsgegevens van klanten zijn geraakt. Zakelijke afnemers moeten kunnen aantonen dat zij passende maatregelen hebben genomen. Denk aan encryptie, toegangsbeheer en logging, eenvoudige termen voor versleuteling, strikte rollen en het bijhouden van systeemacties. Documenteer keuzes en verbeteracties voor audits en mogelijke claims.
Nederlandse en Europese context
Veel Nederlandse ondernemers werken grensoverschrijdend of via Benelux-partners. Als een grote speler als Proximus wordt geraakt, kunnen effecten voelbaar zijn bij Nederlandse klanten, resellers en leveranciers. De Europese regels zorgen er bovendien voor dat procedures en meldingen op elkaar aansluiten. Dat maakt snelle coördinatie tussen toezichthouders mogelijk.
In Nederland houdt de Autoriteit Persoonsgegevens toezicht op datalekken en privacy. Voor telecom en digitale infrastructuur ziet de Rijksinspectie Digitale Infrastructuur toe op continuïteit en veiligheid. De implementatie van NIS2 vergroot in 2026 de verantwoordelijkheden voor meer sectoren, waaronder cloud, datacenters en digitale diensten. Ondernemers doen er goed aan nu al hun leveranciersrisico’s te herijken.
Praktisch betekent dit: check verwerkersovereenkomsten, toets minimummaatregelen en spreek concrete responstijden af. Vraag leveranciers naar recente pentests en certificeringen, zoals ISO 27001. Leg vast wie wanneer meldt en welke informatie nodig is. Dat versnelt handelen als elke minuut telt.
Volgende stappen en tijdlijn
De komende dagen en weken draait het om forensisch onderzoek en het in kaart brengen van de impact. Daarna volgen eventuele meldingen aan betrokken klanten en detailinformatie over de gelekte data. Op het moment van schrijven is niet bekend wanneer dit volledig duidelijk is. Grote onderzoeken duren vaak enkele weken tot maanden.
Proximus zal intern maatregelen aanscherpen en waar nodig systemen isoleren of updaten. Verwacht communicatie over wachtwoordresets, extra verificatiestappen en advies tegen phishing. Zakelijke klanten kunnen parallel hun eigen controles uitvoeren. Denk aan het blokkeren van verdachte API-sleutels en het herijken van toegangsrechten.
Juridisch kan dit leiden tot onderzoeken door privacytoezichthouders en, indien van toepassing, sancties. Ook civiele claims zijn mogelijk als schade aantoonbaar is. Voor ondernemers is de les duidelijk: zorg voor actuele beveiliging, goede contracten en een geoefend incidentplan. Dat verkleint zowel technische schade als juridische risico’s.