Ontwikkelingen over kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM)
Brief regering
Nummer: 2026D09045, datum: 2026-02-27, bijgewerkt: 2026-02-27 17:45, versie: 1
Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.
Gerelateerde personen:- Eerste ondertekenaar: E. van der Burg, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties (Ooit VVD kamerlid)
- Mede ondertekenaar: K.T. van Bruggen, staatssecretaris van Justitie en Veiligheid
- Beslisnota bij Kamerbrief Ontwikkelingen over kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM)
Onderdeel van zaak 2026Z03958:
- Indiener: E. van der Burg, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
- Medeindiener: K.T. van Bruggen, staatssecretaris van Justitie en Veiligheid
- Volgcommissie: vaste commissie voor Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Binnenlandse Zaken
Preview document (🔗 origineel)
Met deze brief informeer ik uw Kamer over de aanvullende constateringen van misbruik van de kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM) binnen de overheid die de staatssecretarissen van Justitie en Veiligheid en van Binnenlandse Zaken aankondigden in hun Kamerbrief van 6 februari 20261.
Ik heb binnen de overheid verder laten inventariseren welke organisaties gebruik maken van deze voorziening en of er aanwijzingen waren van misbruik. Bij de volgende overheidsorganisaties zijn sporen van misbruik gevonden of kon dit niet met voldoende zekerheid worden uitgesloten:
Ministerie van Justitie en Veiligheid: Autoriteit Persoonsgegevens (AP), Dienst Justitiële Inrichtingen, Dienst Terugkeer & Vertrek, Justitiële ICT Organisatie en Raad voor de Rechtspraak;
Ministerie van Volksgezondheid, Welzijn en Sport: het College ter Beoordeling van Geneesmiddelen;
Eén gemeente.
De betreffende gemeente neemt op basis van haar zelfstandigheid alle benodigde stappen inclusief eventuele meldingen in de media.
Specifiek ten aanzien van DJI kan ik melden dat werkgerelateerde gegevens van medewerkers, zoals naam, zakelijk e-mailadres, telefoonnummer en locatiegegevens, zijn ingezien door onbevoegden. Nadat het incident is ontdekt, zijn direct maatregelen getroffen. Daarnaast zijn de medewerkers van DJI op de hoogte gebracht en voorzien van een handelingskader. Ik ben me zeer er van bewust welke impact deze situatie kan hebben op de medewerkers van DJI. Door DJI wordt mede daarom in gezamenlijkheid met partijen uit de keten nauwlettend in de gaten gehouden of en welke gevolgen het datalek heeft.
Uiteraard hebben ook de andere organisaties waar mogelijk ongeautoriseerd (persoons)gegevens zijn ingezien aandacht voor de zorgen hierover bij de medewerkers. De betrokken organisaties hebben direct de nodige maatregelen getroffen. Ook hebben zij waar relevant hun medewerkers geïnformeerd, voorlopige meldingen gedaan bij de AP en aangifte bij de Politie.
Het Nationaal Cyber Security Centrum (NCSC) doet technisch onderzoek en vervult een coördinerende rol bij de uitwisseling van (technische) dreigings- en incidentinformatie via diverse kanalen. Daarbij onderhoudt het NCSC nauw contact met betrokken organisaties, hun incident response partijen, en (inter)nationale partners.
Vanzelfsprekend heeft dit onze volle aandacht en als daar aanleiding toe is kom ik uiteraard terug bij uw Kamer.
De staatssecretaris van Binnenlandse Zaken
Eric van der Burg
De staatssecretaris van Justitie en Veiligheid
Claudia van Bruggen
https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2026Z02656&did=2026D05964↩︎