Er circuleert opnieuw een valse sms uit naam van MijnOverheid in Nederland. In het bericht staat dat jouw gegevens “verouderd” zijn en dat je ze via een link moet bijwerken. Criminelen proberen zo DigiD-gegevens en geld te stelen. Voor mkb’ers die investeren in digitalisering is weerbaarheid cruciaal; steun en subsidie digitalisering mkb Nederland richten zich steeds vaker op cyberveiligheid.
Valse sms treft MijnOverheid-gebruikers
De sms wekt de indruk afkomstig te zijn van MijnOverheid en gebruikt soms de afzendernaam ‘MijnOverheid’. In de tekst staat dat je account of gegevens aangepast moeten worden. Daarna volgt een link naar een nepwebsite. Daar vragen criminelen om inlogcodes, bankgegevens of een betaling.
Overheidsorganisaties communiceren via de Berichtenbox en officiële websites, niet via sms met inloglinks. Een sms die je vraagt te klikken en in te loggen hoort niet bij het normale proces. De echte website van MijnOverheid is mijn.overheid.nl. DigiD hoort bij Logius, een dienst van het Ministerie van Binnenlandse Zaken.
Het doel is toegang tot persoonlijke gegevens of geld. Met buitgemaakte DigiD-gegevens kunnen daders bijvoorbeeld toeslagen manipuleren of persoonsgegevens misbruiken. Soms volgt na het klikken ook een nep-betaalverzoek. De schade raakt zowel burgers als ondernemers.
Gevolgen voor mkb en werknemers
Werknemers openen berichten vaak op hun werktelefoon. Eén klik kan al leiden tot het delen van contactgegevens of interne documenten. Dat is een datalek zodra het om persoonsgegevens gaat. Ondernemers dragen hiervoor verantwoordelijkheid, ook bij bring-your-own-device.
Onder de AVG (Europese privacywet) moet een bedrijf passende technische en organisatorische maatregelen nemen. Denk aan tweefactorauthenticatie, training en het beperken van toegangsrechten. Is er een reëel risico voor betrokkenen, dan geldt een meldplicht datalekken bij de Autoriteit Persoonsgegevens binnen 72 uur. Ook de betrokken personen moeten soms worden geïnformeerd.
Zzp’ers gebruiken vaak DigiD voor belastingzaken, wat de impact vergroot. Grotere bedrijven gebruiken meestal eHerkenning voor zakelijke overheidsdiensten. Toch kan een nepsms leiden tot nepfacturen, gewijzigde betaalgegevens of misbruik van contactbestanden. Dat verstoort processen en kost tijd en geld.
Zo herken je de nepsms
Let op dwingende taal zoals “met spoed” of “laatste kans”. Controleer het webadres: officiële adressen eindigen op overheid.nl, digid.nl of belastingdienst.nl. Pas op voor korte of vreemd gespelde links. Klik niet, maar typ het adres zelf in of open de Berichtenbox-app.
Ga nooit in op betaalverzoeken via sms uit naam van de overheid. Log desnoods in via mijn.overheid.nl om te checken of er echt een bericht klaarstaat. Gebruik de DigiD-app met tweefactorauthenticatie en zet inlogmeldingen aan. Meld verdachte berichten bij je provider en bij de Fraudehelpdesk.
Phishing is het versturen van valse berichten om mensen te laten klikken en zo inloggegevens of geld buit te maken.
Heb je toch geklikt of gegevens ingevuld, handel snel. Wijzig direct je DigiD-wachtwoord via digid.nl en controleer recente inlogactiviteiten. Informeer je organisatie, zodat IT-maatregelen kunnen worden genomen. Doe aangifte bij de politie als er geld is afgeschreven.
Wet- en regelgeving in context
De AVG verplicht bedrijven om persoonsgegevens goed te beveiligen. Dat betekent zowel techniek (zoals MDM op telefoons) als gedrag (training en duidelijke procedures). Wie te laat of onvolledig meldt, riskeert sancties van de Autoriteit Persoonsgegevens. Documenteer daarom keuzes en maatregelen zorgvuldig.
De Europese NIS2-richtlijn scherpt beveiligingseisen voor veel sectoren aan. Ook bedrijven buiten de directe scope krijgen te maken met strengere eisen via ketenverplichtingen. Opdrachtgevers verlangen vaker bewijs van cyberhygiëne, zoals beleid, monitoring en responsplannen. Investeren in basisbeveiliging wordt zo een randvoorwaarde voor zakendoen.
Er is praktische ondersteuning beschikbaar. Het Digital Trust Center (Ministerie van EZK) en de Kamer van Koophandel bieden checks, handleidingen en waarschuwingen. De Fraudehelpdesk publiceert actuele voorbeelden en advies. Regionaal zijn soms digitaliseringsvouchers te krijgen die ook inzetbaar zijn voor cybersecuritytraining.
Wat bedrijven nu moeten doen
Waarschuw medewerkers actief voor deze sms-campagne. Laat zien hoe de berichten eruitzien en welke stappen ze moeten nemen. Leg vast dat niemand via links in sms of mail inlogt op overheidssites. Herhaal die boodschap regelmatig in korte microlearning of toolboxsessies.
Beperk risico’s op werktelefoons met mobile device management. Blokkeer onbekende appbronnen, zet DNS-filtering aan en houd besturingssystemen up-to-date. Overweeg sms-filtering via de provider en zet beveiligingsapps in. Zorg dat alleen noodzakelijke apps toegang krijgen tot bedrijfsdata.
Maak een eenvoudig incidentplan voor smishing. Wie meldt wat, aan wie, en binnen welke termijn. Beoordeel of er een datalek is en documenteer de afweging voor de AVG. Meld bij de Autoriteit Persoonsgegevens en informeer klanten of medewerkers als dat nodig is.
Signalen snel blijven delen
Fraudeurs passen teksten en links voortdurend aan. Deel nieuwe voorbeelden intern en met branchegenoten, zodat anderen alert zijn. Meld incidenten bij de Fraudehelpdesk; dat helpt om malafide domeinen sneller te blokkeren. Zo blijft de digitale economie weerbaar en voorkomen ondernemers vervolgschade.