Vraag en antwoord 'SRA getroffen door cyberaanval'

SRA is op 9 april slachtoffer geworden van een cyberaanval, waarbij cybercriminelen in een gedeelte van ons netwerk zijn gekomen. Het incident is in een vroeg stadium ontdekt. Direct na ontdekking hebben wij maatregelen genomen om de situatie te beheersen, waaronder het loskoppelen van systemen en het inschakelen van een gespecialiseerd cybersecuritybureau.

Uit voorzorg hebben wij onmiddellijk onze netwerkomgeving geïsoleerd en externe ondersteuning ingeschakeld van een gerenommeerd cybersecuritybedrijf. In samenwerking met deze specialisten zijn technische en organisatorische maatregelen getroffen om de impact van het incident te beperken.

Het forensisch onderzoek is inmiddels afgerond. Dit onderzoek bevestigt dat de aanval is gestopt en dat onbevoegden geen toegang meer hebben tot ons netwerk.

Volgens de geldende wetgeving hebben wij het incident gemeld bij de Autoriteit Persoonsgegevens. Onze leden en andere betrokkenen zijn geïnformeerd.

Nee. De aanval was gericht op inactieve bestandsservers die in januari 2026 buiten gebruik waren gesteld.

SRA werkt in de Cloud. Hierdoor is de dienstverlening niet geraakt door het incident. Dit geldt ook voor platforms Q en Branche in Zicht.

Op basis van eerste bevindingen uit het forensisch onderzoek is vastgesteld dat de aanvallers toegang hadden tot een beperkt deel van onze gegevens. Dit betreft ook persoonsgegevens. Betrokkenen zijn hierover inmiddels geïnformeerd.

In overeenstemming met de relevante privacywetgeving hebben we een melding gedaan bij de Autoriteit Persoonsgegevens en waar nodig is contact opgenomen met personen of organisaties.

De dagelijkse operatie van SRA is niet geraakt. Onze dienstverlening is niet geraakt en functioneert zoals jullie van ons gewend zijn.

Ja. Er zijn maatregelen getroffen om SRA in de toekomst te beschermen tegen dit type aanval.

Alle betrokkenen hebben een e-mail ontvangen van SRA. Daarin staat duidelijk beschreven wat de situatie is en wat je eventueel kunt doen. Heb je geen e-mail ontvangen? Dan zijn jouw gegevens niet ontvreemd.

Het forensisch onderzoek is inmiddels afgerond. Waar het onderzoek informatie heeft opgeleverd die specifiek relevant is voor personen of organisaties, is contact met hen opgenomen.

We adviseren in ieder geval om extra alert te zijn op verdachte mails die uit naam van SRA verstuurd kunnen worden.

Om redenen van ICT-veiligheid en zorgvuldigheid is het niet verantwoord om nadere details te delen over de aard van de aanval, mogelijke daders of technische bevindingen in deze Q&A.

SRA houdt zich actief bezig met cybersecuritybeleid en campagnes. Medewerkers worden vanaf april 2023 bijna maandelijks getraind, als onderdeel van een 'cyber security awareness'-campagne. In februari 2026 werd de laatste pen('penetratie')test uitgevoerd door een externe partij.

Ja, dit is mogelijk. Zoals eerder gecommuniceerd, is de dagelijkse operatie van SRA niet getroffen en kan er daarom veilig gebruik worden gemaakt van de site van SRA en bijbehorende functionaliteiten. Zoals eerder in de Q&A gemeld, kan er ook op veilige wijze gebruik worden gemaakt van dataplatforms Branche in Zicht en 'Q'.

Je kunt contact opnemen via het daarvoor ingestelde e-mailadres: meldpunt@sra.nl. Wij staan klaar om vragen zo goed mogelijk te beantwoorden.