NCSC Anti Phishing Shield blokkeert 2 miljoen aanvallen: wat uw bedrijf nu moet weten

IT-beveiligingsanalist bekijkt phishing-alerts op beveiligingsmonitors in een Nederlands kantoor
Mark Mark JansenIT
4 min leestijd 21 april 2026

Het Nationaal Cyber Security Centrum (NCSC) heeft op 30 maart 2026 de resultaten gepresenteerd van zijn pilot Anti Phishing Shield: ruim twee miljoen bezoeken aan kwaadaardige phishingwebsites werden geblokkeerd, zo blijkt uit het officiële NCSC-rapport. Meer dan 200.000 Nederlanders namen deel en werden beschermd. Nu wil het NCSC het systeem uitbreiden naar meer internetproviders en meer gebruikers. Voor bedrijven en zelfstandigen is dit het moment om de eigen cyberbeveiliging kritisch te bekijken.

Wat is het Anti Phishing Shield?

Het Anti Phishing Shield is een samenwerking tussen het NCSC, de Nederlandse politie, de Betaalvereniging Nederland, KPN en meerdere andere internetproviders en telecompartijen. Het systeem houdt een realtime lijst bij van phishing- en malwaredomeinen — ruim 160.000 kwaadaardige domeinen, elke 15 minuten bijgewerkt. Internetgebruikers die aangesloten zijn via een deelnemende provider, worden automatisch omgeleid wanneer ze een phishingsite proberen te bezoeken.

KPN's CISO Jeffrey Leusink zei hierover: "Publiek-private samenwerking bundelt kennis en technologie, waardoor Nederland aantoonbaar digitaal weerbaarder wordt." NCSC-directeur Eefje Zents noemde het schild "een noodzakelijke stap in de bestrijding van online criminaliteit."

De pilot liep van juli 2025 tot en met begin 2026. Het NCSC onderzoekt momenteel hoe het schild beschikbaar wordt voor een groter deel van de Nederlandse internetgebruikers.

De omvang van phishing in Nederland

De cijfers van het Centraal Bureau voor de Statistiek (CBS) uit de Veiligheidsmonitor 2025 zijn alarmerend. Maar liefst 74% van de Nederlandse volwassenen (15 jaar en ouder) ontving in 2025 minstens één verdachte phishingbericht. Van de getroffenen verloor 0,9% daadwerkelijk geld — omgerekend naar de totale bevolking gaat het om circa 133.000 mensen die financiële schade leden.

Nog zorgwekkender: 91% van alle cyberaanvallen begint met een phishingbericht, zo blijkt uit onderzoek van Deloitte dat door het NCSC wordt aangehaald. Phishing is daarmee niet alleen een consumentenprobleem — het is de voornaamste toegangspoort tot bedrijfsnetwerken.

Een recente aanval in april 2026 richtte zich specifiek op Nederlandse bedrijven die Microsoft 365 gebruiken. Criminelen verstuurden nep-uitnodigingen voor OneDrive- en SharePoint-documenten. Wie klikte, belandde op een perfecte kopie van de Microsoft-inlogpagina. Zodra inloggegevens werden ingevoerd, namen aanvallers controle over het mailboxaccount en verborgen ze hun activiteiten via automatische berichtregels.

De Nederlandse politie zelf slachtoffer

Dat phishing iedereen kan treffen, bewees de aanval op de Nederlandse politie op 25 maart 2026. De eigen Security Operations Center (SOC) van de politie detecteerde de inbraak "zeer snel" en sloot de toegang onmiddellijk af. De schade bleef beperkt: geen burgergegevens of opsporingsinformatie kwamen op straat. De politie stelde een strafrechtelijk onderzoek in.

Als de politie zelf doelwit wordt, moeten organisaties in elke sector hun digitale weerbaarheid serieus nemen.

Nieuwe gevaren: AI-gestuurde phishing

De phishingaanvallen van 2026 zijn aanzienlijk geavanceerder dan een jaar geleden. Drie trends vallen op:

  1. AI-gegenereerde berichten: Criminelen gebruiken taalmodellen om gepersonaliseerde, foutloze phishingberichten te schrijven die moeilijk te onderscheiden zijn van echte communicatie. De klassieke spelfouten die phishing verrieden, verdwijnen.
  2. Multi-kanaal aanvallen: Naast e-mail worden WhatsApp, sms (smishing), Microsoft Teams en Slack steeds vaker ingezet als aanvalsvector.
  3. Deepfake-spraak en -video: Voor gerichte aanvallen op directieleden of financiële medewerkers ("CEO-fraude") worden deepfakes gebruikt om telefoontjes of video-opdrachten te vervalsen.

Wat kunt u als ondernemer doen?

Het Anti Phishing Shield biedt bescherming op netwerkniveau, maar is geen allesomvattende oplossing. Aanvallers vernieuwen voortdurend hun domeinen en methoden. Organisaties hebben aanvullende maatregelen nodig:

Technische basismaatregelen:

  • Activeer meerfactorauthenticatie (MFA) op alle zakelijke accounts, in het bijzonder Microsoft 365, Google Workspace en bankomgevingen.
  • Implementeer e-mailauthenticatieprotocollen (SPF, DKIM, DMARC) om nep-e-mails vanuit uw domein te blokkeren.
  • Zorg voor uitgebreide logging van inlogsessies zodat verdachte activiteiten snel worden opgemerkt.

Menselijke factor:

  • Train medewerkers regelmatig met gesimuleerde phishingmails. Bewustzijn is de sterkste verdediging.
  • Stel een duidelijk intern meldproces in voor verdachte berichten.
  • Voer een "vier-ogen-principe" in voor betalingsopdrachten en grote aankopen.

Incident response:

  • Leg vast wat er moet gebeuren als een medewerker toch op een phishinglink klikt. Hoe snel detecteert u de inbraak? Wie belt u als eerste?

Een IT-beveiligingsexpert kan helpen de huidige kwetsbaarheden in kaart te brengen en de juiste maatregelen te prioriteren op basis van uw organisatiegrootte en risicoprofiel. Wacht niet tot u slachtoffer bent — raadpleeg een cyberbeveiligingsspecialist via Expert Zoom voor een onafhankelijke veiligheidsanalyse.

Wat doet de overheid nog meer?

Naast het Anti Phishing Shield lopen er meerdere initiatieven. Het Fraudehelpdesk publiceert dagelijks actuele valse e-mails die in omloop zijn. De politie heeft een apart meldpunt voor cybercrime. En de Autoriteit Persoonsgegevens (AP) legt boetes op aan organisaties die onvoldoende maatregelen treffen tegen datalekken veroorzaakt door phishing.

Bedrijven die klantgegevens verwerken, lopen bij een succesvolle phishingaanval het risico op meldplicht bij de AP en mogelijk op een boete wegens overtreding van de AVG. De gemiddelde boete voor een datalek in Nederland liep in 2025 op tot tienduizenden euro's — naast de reputatieschade en kosten voor herstel.

De pilot-resultaten van het NCSC zijn bemoedigend, maar de strijd tegen phishing is een wapenwedloop. Elk bedrijf dat online werkt, draagt een eigen verantwoordelijkheid. Niet volgend jaar — nu.

Disclaimer: Dit artikel is informatief van aard en vormt geen juridisch of technisch beveiligingsadvies. Voor een op uw situatie afgestemd advies raadpleegt u een gecertificeerd IT-beveiligingsexpert.

Onze experts

Voordelen

Snelle en nauwkeurige antwoorden op al uw vragen en hulpverzoeken in meer dan 200 categorieën.

Duizenden gebruikers hebben een tevredenheid van 4,9 op 5 behaald voor het advies en de aanbevelingen van onze assistenten.

Expert Zoom

Hoe werkt het?Wie zijn onze experts?TijdschriftNieuws

Neem contact met ons op

E-mail
Volg ons
PrivacybeleidGebruiksvoorwaarden