Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 februari 2026

Met deze brief informeer ik uw Kamer over misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) bij de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak (Rvdr).

Het Nationaal Cyber Security Centrum (NCSC) is op 29 januari jl. door de leverancier op de hoogte gesteld van kwetsbaarheden in EPMM. EPMM wordt gebruikt voor het beheer van mobiele apparaten, apps en content, inclusief de beveiliging hiervan.

Op basis van de op dit moment bekende informatie kan ik melden dat in ieder geval de AP en de Rvdr getroffen zijn. Hierover is nu bekend dat werkgerelateerde gegevens van medewerkers van de AP, zoals naam, zakelijk e-mailadres en telefoonnummer, zijn ingezien door onbevoegden. Nadat het incident is ontdekt, zijn direct maatregelen getroffen. Daarnaast zijn de medewerkers van de AP en de Rvdr op de hoogte gebracht. De AP heeft bij haar functionaris voor gegevensbescherming melding gemaakt van het incident. De Rvdr heeft bij de AP een voorlopige melding gedaan van een datalek.

Het NCSC monitort de verdere ontwikkelingen op deze Ivanti-kwetsbaarheid en staat hierover in nauw contact met (inter)nationale (operationele) partners. De CIO Rijk coördineert de inventarisatie of er bredere impact is binnen de rijksoverheid.

Naar aanleiding van de uitkomsten van de op dit moment lopende onderzoeken zal uw Kamer nader worden geïnformeerd.

De Staatssecretaris van Justitie en Veiligheid, A.C.L. Rutte

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, E. van Marum