25 miljoen Amerikanen blootgesteld: het datalek bij overheidsaannemer Conduent

Een in maart 2026 gepubliceerd lek-rapport belichtte de groeiende impact van een datalek bij overheidsaannemer Conduent, dat meer dan 25 miljoen Amerikanen trof. Het lek, toegeschreven aan de SafePay-ransomwaregroep, legde 8,5 terabyte aan gegevens bloot, waaronder burgerservicenummers, medische dossiers en gegevens over zorgverzekeringen. Staten als Oregon (10,5 miljoen) en Texas (15,4 miljoen) zijn goed voor een aanzienlijk deel van de slachtoffers.

25 miljoen Amerikanen blootgesteld: het datalek bij overheidsaannemer Conduent

Een groot datalek bij Conduent, een bedrijf dat namens overheidsinstanties gevoelige informatie verwerkt, heeft de persoonlijke gegevens van meer dan 25 miljoen Amerikanen blootgesteld. Het lek, uitgevoerd door de SafePay-ransomwaregroep, resulteerde in 8,5 terabyte aan gestolen gegevens, waaronder burgerservicenummers, medische dossiers en gegevens over zorgverzekeringen. Als u in Oregon of Texas woont, is de kans bijzonder groot dat uw informatie bij dit incident betrokken is geraakt.

Dit lek is een harde herinnering dat uw persoonlijke gegevens niet alleen op uw eigen apparaten staan. Ze leven in de systemen van aannemers, verwerkers en externe leveranciers waar u nog nooit van gehoord heeft, en over wier beveiligingspraktijken u geen enkele controle heeft.

Wie is Conduent en waarom is dit belangrijk?

Conduent is een bedrijf dat zakelijke procesdiensten levert en administratief en gegevensverwerkingswerk uitvoert voor overheidsinstanties door de hele Verenigde Staten. Dat betekent dat het routinematig de meest gevoelige soorten informatie verwerkt: uitkeringsgegevens, medische dossiers en burgerservicenummers die gekoppeld zijn aan de identiteit en het financiële leven van echte mensen.

Wanneer een bedrijf als Conduent een datalek lijdt, golft de impact ver voorbij één enkele instantie of staat. Oregon meldde ongeveer 10,5 miljoen getroffen inwoners. Texas meldde er ongeveer 15,4 miljoen. Samen zijn die twee staten alleen al goed voor een aanzienlijk deel van de 25 miljoen slachtoffers in totaal, maar het lek heeft waarschijnlijk ook inwoners van meerdere andere staten geraakt die een contract met Conduent hebben gesloten voor overheidsdiensten.

De SafePay-ransomwaregroep claimde de verantwoordelijkheid voor de aanval. Ransomwaregroepen als deze stelen doorgaans gegevens voordat ze systemen versleutelen, wat hen de hefboom geeft om betaling te eisen én de mogelijkheid om gestolen gegevens te verkopen of te lekken, zelfs als er losgeld wordt betaald.

Het echte risico: burgerservicenummers en medische dossiers verlopen niet

Niet alle datalekken brengen hetzelfde langetermijnrisico met zich mee. Gestolen wachtwoorden kunnen worden gewijzigd. Gecompromitteerde e-mailadressen kunnen worden gevolgd. Maar burgerservicenummers en medische dossiers vallen in een geheel andere categorie.

Uw burgerservicenummer is in feite permanent. Zodra het in handen is van een crimineel, kan het worden gebruikt om frauduleuze kredietrekeningen te openen, valse belastingaangiften in te dienen of medische identiteitsfraude te plegen — soms jaren na het oorspronkelijke lek. Medische dossiers voegen een extra laag blootstelling toe, doordat ze aandoeningen, medicijnen en verzekeringsgegevens onthullen die kunnen worden misbruikt voor verzekeringsfraude of gerichte phishing-aanvallen.

Daarom verdient het Conduent-lek meer aandacht dan een doorsnee inloggegevenslek. De betrokken data is het soort dat identiteitsdiefstal jarenlang voedt, niet alleen in de weken na een incident.

Wat dit voor u betekent

Zelfs als u nooit rechtstreeks contact heeft gehad met Conduent, kunnen uw gegevens door hun systemen zijn gegaan als u overheidsuitkeringen, zorgverzekering of sociale diensten in een getroffen staat heeft ontvangen. Dit zijn de stappen die u nu kunt overwegen:

Controleer meldingsbrieven over het datalek. Als u inwoner bent van Oregon of Texas, let dan op officiële berichten van staatsinstanties over de vraag of uw gegevens betrokken waren.
Vraag een kredietbevriezing aan. Een kredietbevriezing bij alle drie de grote bureaus (Equifax, Experian en TransUnion) is een van de meest effectieve manieren om frauduleuze rekeningopeningen met uw burgerservicenummer te blokkeren.
Controleer uw verklaringen van vergoedingen (EOB). Medische identiteitsdiefstal komt vaak aan het licht als onbekende claims of zorgverleners op uw zorgverzekeringsoverzichten.
Wees alert op gerichte phishing. Aanvallers die uw persoonlijke gegevens bezitten, kunnen overtuigende e-mails of telefoontjes opstellen die lijken te komen van overheidsinstanties of verzekeraars. Behandel ongewenst contact met gezonde scepsis.
Gebruik sterke, unieke wachtwoorden en schakel tweestapsverificatie in op alle accounts die gekoppeld zijn aan overheidsdiensten of zorgportalen.

Het is ook de moeite waard om breder na te denken over uw digitale privacygewoonten. Lekken als dit komen steeds vaker voor, en de blootgestelde gegevens belanden vaak op darkweb-marktplaatsen waar ze worden verpakt en doorverkocht. Het beperken van uw algehele blootstelling — door middel van sterke privacypraktijken en tools die verminderen hoeveel van uw activiteiten kunnen worden gevolgd of onderschept — is een redelijke reactie op een wereld waarin grootschalige datalekken routinematig zijn geworden.

Risico van derden is ieders probleem

Het Conduent-lek maakt deel uit van een breder patroon. Overheidsinstanties en grote instellingen delegeren gegevensverwerking routinematig aan aannemers, en die aannemers kunnen een zwakke schakel vormen in een verder beveiligde keten. Als individu heeft u vrijwel geen zicht op welke leveranciers uw informatie bewaren of hoe goed die leveranciers deze beschermen.

Dat is een frustrerende realiteit, maar ze onderstreept wel waarom het belangrijk is om zelf verantwoordelijkheid te nemen voor uw privacy. Het gebruik van een VPN zoals hide.me zal niet voorkomen dat een overheidsaannemer wordt gehackt, maar het is wel één laag in een bredere aanpak om uw online activiteiten privé te houden — met name wanneer u zich op openbare of gedeelde netwerken bevindt waar uw gegevens het meest kwetsbaar zijn. Het opbouwen van privacygerichte gewoonten — waaronder versleuteld browsen, zorgvuldig accountbeheer en op de hoogte blijven van lekken die u treffen — is een praktische reactie op een dreigingslandschap dat u niet volledig kunt beheersen.

De 25 miljoen Amerikanen die betrokken zijn geraakt bij het Conduent-lek hebben niets verkeerd gedaan. Hun gegevens werden simpelweg bewaard door een organisatie die een doelwit werd. De beste verdediging is om geïnformeerd te blijven, snel te handelen wanneer er lekken plaatsvinden, en van persoonlijke gegevensprivacy een vaste gewoonte te maken in plaats van een bijzaak.