Halverwege 2026 heeft het jaar al enkele van de grootste ooit geregistreerde datalekken opgeleverd — honderden miljoenen accounts blootgesteld bij scholen, retailers, luchtvaartmaatschappijen, ziekenhuizen en overheidsdienstverleners. De cijfers hieronder zijn zoals gerapporteerd medio 2026; sommige komen uit bevestigingen van bedrijven en andere uit de claims van de aanvallers zelf, dus de cijfers kunnen verschuiven naarmate onderzoeken worden afgerond. Maar het patroon is onmiskenbaar, en de les aan het eind is dezelfde als altijd.
Nieuw met het onderwerp? Begin met onze uitleg in heldere taal: Wat is een datalek?
2026 tekent zich af als een recordjaar
Twee dingen kenmerken het datalek-landschap van 2026. Ten eerste hebben afpersbendes — groepen zoals ShinyHunters en Scattered Lapsus$ Hunters — de aanpak geïndustrialiseerd: een gigantische dataset stelen, dreigen die te publiceren, betaling eisen. Ten tweede is bijna elk mega-lek terug te voeren op gegevens die op een cloudplatform of bij een externe leverancier staan, niet op de apparaten van de slachtoffers zelf. Wanneer die ene server valt, worden miljoenen mensen in één keer blootgesteld.
Instructure (Canvas) — het grootste datalek ooit in het onderwijs
Het grootste afzonderlijke incident van 2026 trof Instructure, maker van het leerplatform Canvas dat wereldwijd door scholen en universiteiten wordt gebruikt. De afpersgroep ShinyHunters claimde ruwweg 275 miljoen records — ongeveer 3,65 terabyte aan gegevens van bijna 9.000 instellingen. Wat het bijzonder ernstig maakt, is het type gegevens: niet alleen namen en e-mailadressen, maar ook privéberichten tussen studenten en personeel. Het wordt nu beschouwd als het grootste datalek dat de onderwijssector ooit heeft gezien.
Conduent — tientallen miljoenen Amerikanen
Conduent, een dienstverlener voor bedrijven en overheden, maakte begin 2026 bekend dat een datalek minstens 25 miljoen Amerikanen had getroffen. De inbraak begon eigenlijk eind 2024 en liep door tot begin 2025 — maar de volledige omvang werd pas meer dan een jaar later duidelijk. Functionarissen in Texas omschreven het als een van de grootste datalekken in de Amerikaanse geschiedenis. Het is een schoolvoorbeeld van risico van externe leveranciers: de meeste van die 25 miljoen mensen hadden nog nooit van Conduent gehoord, en toch stonden hun gegevens in zijn systemen.
Retail, reizen en zorg werden allemaal zwaar getroffen
De grootste datalekken van 2026 strekten zich uit over elke sector:
- Coupang — de grootste online retailer van Zuid-Korea meldde een datalek dat bijna 34 miljoen klanten trof; de CEO trad daarna af.
- Qantas — de luchtvaartmaatschappij bevestigde dat bij meer dan 5 miljoen klanten namen, e-mailadressen en frequent-flyer-nummers waren gelekt door Scattered Lapsus$ Hunters nadat een losgelddeadline was verstreken.
- Under Armour — een dataset gekoppeld aan maar liefst 72 miljoen accounts dook op een hackersforum op en werd gemeten door de datalek-meldingsdienst Have I Been Pwned.
- NYC Health + Hospitals — bij ongeveer 1,8 miljoen mensen werden medische en financiële gegevens buitgemaakt, waaronder biometrische vinger- en handpalmafdrukken.
Eén afpersbende, ShinyHunters, werd in 2026 ook in verband gebracht met een golf van bedrijfsdiefstallen en claimde miljoenen records van onder meer Medtronic, ADT en Carnival.
De rode draad: je gegevens staan op iemand anders zijn server
Kijk je voorbij de merknamen, dan heeft elk van deze datalekken dezelfde grondoorzaak. Je informatie stond in een centrale database — een clouddienst, een leverancier, een dienstverlener — en je had geen controle over hoe die beveiligd was. Je hebt niets verkeerd gedaan, en er was niets wat je persoonlijk had kunnen doen om het te voorkomen. Dat is de ongemakkelijke realiteit van een wereld waarin vrijwel elke app en dienst je gegevens standaard uploadt.
Hoe meer plekken je persoonlijke informatie opslaan, aan des te meer datalekken word je automatisch blootgesteld. Die voetafdruk verkleinen is een van de weinige dingen die echt binnen je controle ligt.
Wat je echt kunt doen
- Controleer je blootstelling. Zoek je e-mailadres op bij een betrouwbare datalek-meldingsdienst om te zien welke lekken jou al bevatten.
- Gebruik een wachtwoordmanager en een uniek wachtwoord voor elk account, zodat één lek de andere niet kan openen.
- Zet tweefactorauthenticatie aan overal waar het wordt aangeboden.
- Bevries je krediet als financiële of identiteitsgegevens zijn blootgesteld.
- Upload minder. Geef de voorkeur aan tools die je gegevens op je apparaat houden in plaats van ze naar een server te sturen die je niet beheert.
Dat laatste punt is de structurele oplossing. Gegevens die je telefoon nooit verlaten, kunnen niet op de datalek-lijst van volgend jaar staan.
Apps die je gegevens op je apparaat houden
Elke NDT Studio-app is offline-first gebouwd — geen account, geen cloud, geen servers die je informatie verzamelen. Woordenboeken, hulpprogramma's en tools die simpelweg niets te lekken hebben. Bekijk de volledige catalogus.
Ontdek NDT Studio-apps →Datalekken zijn in 2026 groter en frequenter dan ooit, en de trend vertraagt niet. Je kunt niet bepalen hoe een dienstverlener zijn servers beveiligt — maar je kunt wel bepalen hoeveel van je leven überhaupt van die servers afhangt. Hoe kleiner je digitale voetafdruk, hoe korter je naam verschijnt op lijsten zoals deze.