Nieuws

Eerste Phishathon van Nederland: 1 op de 8 medewerkers van Gelderse gemeenten gephished

7 april 2026

Ruim 11.000 medewerkers van 17 Gelderse gemeenten en organisaties zijn de afgelopen twee weken onderwerp geweest van een grootschalige, gecontroleerde phishingoefening, uitgevoerd door Arnhemse studenten van Rijn IJssel. De uitkomst is opvallend: 12,7% van de deelnemers trapte in de nep-phishingmails die studenten van Rijn IJssel ontwikkelden.

Zorgwekkende resultaten

In totaal werden 12.325 phishingmails verstuurd naar 11.476 gebruikers. De resultaten laten zien dat phishing nog altijd een serieuze bedreiging vormt:

  • 12,7% van de deelnemers werd gephished (1.561 van de 12.325)
  • 38,8% opende de phishingmail
  • 17,4% opende een bijlage met mogelijk malware als gevolg
  • 7,7% klikte op een link in de phishingmail
  • 5,1% deelde gevoelige data, zoals een wachtwoord, via een neppagina

Met name het percentage medewerkers dat daadwerkelijk gevoelige gegevens invulde ruim 1 op de 20 baart zorgen. Dit toont aan dat bewustwording rondom digitale veiligheid bij organisaties nog altijd onvoldoende is.

Studenten als ethische hackers

De phishingcampagnes werden volledig ontwikkeld en uitgevoerd door studenten van Rijn IJssel, met toestemming van de deelnemende organisaties. Zij ontwierpen realistische phishingmails waarna deze via het systeem van Outkept werden verstuurd.

Studenten overleggen tijdens phishaton

"Met de Phishathon laten we studenten realistische aanvallen simuleren zodat organisaties direct zien waar hun kwetsbaarheden zitten én vergroten we het kennisniveau van aankomende IT-specialisten." Dave Aaldering, mede-eigenaar SPL

Ook vanuit het onderwijs wordt de waarde van deze aanpak benadrukt: "Digitale veiligheid is geen theoretisch vakgebied, maar een vaardigheid die je alleen ontwikkelt door in echte situaties te oefenen. Studenten ervaren hoe cyberdreigingen in de praktijk werken, terwijl organisaties directe inzichten krijgen om hun weerbaarheid te vergroten." Alexander van de Koevering, voorzitter bestuurscommissie MBO Digitaal & lid College van Bestuur Rijn IJssel

Student achter laptop

Over de Phishathon

De Phishathon is een initiatief van cybersecuritybedrijf SPL, Rijn IJssel en Outkept. Het is de eerste in zijn soort in Nederland. Het evenement combineert praktijkgericht onderwijs met een directe bijdrage aan de digitale weerbaarheid van Gelderse organisaties.

Onderdeel van bredere hackathon

De Phishathon maakt deel uit van een 24-uur durende Hackathon op 1 en 2 april bij Rijn IJssel in Arnhem. Tijdens dit evenement worden de resultaten van de phishingcampagnes gepresenteerd en wordt een prijs uitgereikt voor de meest overtuigende phishingmail. De Phishathon past in een bredere context van toenemende digitale dreiging. Volgens het CBS werd in 2025 circa 17% van de Nederlanders (2,5 miljoen mensen) slachtoffer van online criminaliteit. Uit onderzoek van SIDN bleek bovendien dat 58% van de Nederlandse bedrijven het afgelopen jaar doelwit was van phishing.