De Rijksoverheid heeft met een Nederlandse pilot ruim 2 miljoen bezoeken aan phishingsites voorkomen. De proef liep recent met partners uit overheid en bedrijfsleven. Bezoekers die op een nep-link klikten, kregen een waarschuwingspagina in plaats van de valse website. De aanpak raakt aan privacyregels (AVG) en, bij inzet van algoritmen, ook aan de Europese AI-verordening en de gevolgen voor de overheid.
Pilot blokkeert phishingkliks
Phishing is online oplichting via nepberichten die wachtwoorden of geld proberen te stelen. In de pilot werden links naar bekende phishingsites onderschept. De gebruiker kwam uit op een duidelijke waarschuwingspagina met uitleg en vervolgadvies. Zo werd schade voorkomen en werd misbruik zichtbaar gemaakt.
De waarschuwingspagina werkt als een veiligheidsnet na opschoning van malafide sites. Takedowns verwijderen de inhoud, maar links blijven vaak rondgaan in e-mails en chats. Door die kliks af te vangen, stopt de aanval ook aan de gebruikerskant. Dit levert directe impact op, meetbaar in geblokkeerde bezoeken.
De resultaten zijn kwantitatief en praktisch. Het aantal “afgevangen” kliks toont waar criminelen mikken en wanneer aanvallen pieken. Dat helpt partijen om voorlichting en blokkades te richten. Het geeft ook input voor snellere opsporing en domeinbeheer.
Ruim 2 miljoen potentiële phishingbezoeken zijn tijdens de pilot afgevangen.
Publiek-private samenwerking werkt
De proef werd uitgevoerd door de overheid met steun van marktpartijen, zoals hosting- en internetdiensten. Ook sectoren die vaak doelwit zijn, zoals banken en logistiek, sloten aan. Dit verkortte de lijnen voor melding, verwijdering en waarschuwing. Het Nationaal Cyber Security Centrum (NCSC) fungeert als kennis- en knooppunt op het gebied van dreigingsinformatie.
De ketenaanpak is cruciaal bij phishing. Registrars kunnen verdachte domeinen snel bevriezen. Hostingbedrijven en platforms kunnen misbruik rapporteren en content verwijderen. Serviceproviders kunnen waarschuwingen tonen of verkeer blokkeren binnen wettelijke kaders.
De Rijksoverheid, en specifiek het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), bewaakt de publieke belangen. Denk aan bereikbaarheid van overheidsdiensten en digitale veiligheid van burgers. Door één werkwijze af te spreken, wordt de aanpak schaalbaar. Dit vergroot ook de vergelijkbaarheid van cijfers en lessen.
Privacy en wetgeving geborgd
De Algemene verordening gegevensbescherming (AVG) stelt eisen aan elke vorm van verwerking. De pilot werkte met dataminimalisatie: alleen de informatie die nodig is om te waarschuwen en te tellen. Inzage in inhoud of herleidbare gegevens werd vermeden of versleuteld. Zo blijft bescherming van gebruikers voorop staan.
NIS2, de Europese cybersecurityrichtlijn die in nationale wetgeving wordt omgezet, verhoogt de lat voor essentiële en belangrijke diensten. Zij moeten risico’s beperken en incidenten melden. Een standaard waarschuwingsproces helpt hieraan te voldoen. Het maakt beter zichtbaar waar ketens kwetsbaar zijn.
Als in vervolgstappen geavanceerde detectie wordt ingezet, bijvoorbeeld met algoritmen die patronen herkennen, kan de Europese AI-verordening (AI Act) van toepassing zijn. Die wet vereist risicobeoordeling, transparantie en menselijk toezicht bij risicovolle systemen. Door dit nu te betrekken, voorkomt de overheid later vertraging. Het maakt de aanpak toekomstvast en juridisch houdbaar.
Opschaling en Europese context
De volgende stap is landelijke opschaling met vaste rollen en financiering. Hiervoor zijn heldere afspraken nodig over eigenaarschap, logging en transparantie. Ook is een publiek dashboard denkbaar met geaggregeerde cijfers. Dat helpt bestuurders en toezichthouders bij sturing.
Internationaal biedt samenwerking kansen. Phishingcampagnes stoppen niet bij de grens. Afstemming met Europese CERT’s en domeinregisters versnelt takedowns en waarschuwingen. Uitwisseling van indicatoren van compromittering maakt detectie sneller en eenduidiger.
De aanpak sluit aan bij Europese ambities voor digitale weerbaarheid. NIS2 en de AI-verordening vragen om veilige, uitlegbare technologie in publieke diensten. Met een waarschuwingspagina, goede datahygiëne en beperkt algoritmegebruik blijft de balans op orde. Zo kan Nederland schade beperken zonder onnodige inbreuk op privacy.
