UswitchSpain Logo
UswitchSpain

Endesa datalek en cyberaanval: Wat is er gebeurd en wat moeten klanten weten?

Endesa datalek en cyberaanval uitgelegd | Sectorupdate

De grootste elektriciteitsleverancier van Spanje, Endesa, ligt onder vuur wat betreft de beveiliging van klantgegevens na een grote boete van de toezichthouder en een recentere cyberaanval op commerciële systemen.

Gezamenlijk hebben deze incidenten vragen opgeroepen over hoe veilig grote energiebedrijven de persoonlijke en financiële informatie van miljoenen klanten beschermen.

Hoewel Endesa een van de dominante elektriciteitsleveranciers in Spanje blijft, onderstrepen deze gebeurtenissen een steeds belangrijker aspect van de moderne energiemarkt: gegevensbeveiliging binnen nutsbedrijven.

De GDPR-boete van €6,1 miljoen

Eind 2023 legde het Spaanse bureau voor gegevensbescherming (AEPD) een flinke sanctie op aan Endesa na het vaststellen van ernstige tekortkomingen in de gegevensbeschermingssystemen.

Uit onderzoek bleek dat de persoonlijke gegevens van ongeveer 6 miljoen klanten waren blootgesteld door ontoereikende beveiligingsmaatregelen.

According to the regulator, the failures included:

  • onvoldoende technische waarbarguivn om klantendatabases te beschermen
  • zwakheden in interne systemen die contractgegevens verwerken
  • falen om de vertrouwelijkheid van persoonlijke informatie adequaat te waarborgen

De AEPD oordeelde dat Endesa niet de juiste beveiligingscontroles had geïmplementeerd die vereist zijn onder de Algemene Verordening Gegevensbescherming (AVG/GDPR) van de EU.

Als gevolg hiervan kreeg het bedrijf een boete van €6,1 miljoen, een van de hoogste sancties voor gegevensbescherming ooit opgelegd in de Spaanse energiesector.

De blootgestelde informatie bevatte naar verluidt persoonlijke identificatiegegevens en gegevens gekoppeld aan elektriciteits- en gascontracten.

De cyberaanval op klantsystemen in 2026

Meer recentelijk, in januari 2026, bevestigde Endesa slachtoffer te zijn geworden van een cyberaanval op systemen die worden gebruikt voor het beheer van klantcontracten.

Volgens rapporten bood het lek ongeautoriseerde toegang tot een commercieel platform dat verbonden is met klantaccountgegevens.

Potential Data Exposure:

  • klantnamen en contactgegevens
  • DNI of identificatienummer
  • contractinformatie
  • bankrekeninggegevens, waaronder IBAN-nummers

Beveiligingsonderzoekers meldden later dat miljoenen records naar verluidt te koop werden aangeboden op darkweb-forums, hoewel het exacte aantal getroffen klanten niet officieel is bevestigd.

Endesa bedient momenteel ongeveer 10 milioen elektriciteitsklanten in Spanje, wat betekent dat het incident mogelijk gevolgen heeft voor een aanzienlijk deel van het klantenbestand.

Wat Endesa heeft gedaan

Na de cyberaanval verklaarde het bedrijf onmiddellijk maatregelen te hebben genomen om de systemen te beveiligen.

  • blokkeren van de gecompromitteerde toegangspunten
  • starten van een intern onderzoek naar cybersecurity
  • melden van het lek bij de Spaanse autoriteiten voor gegevensbescherming
  • informeren van klanten die mogelijk door het lek zijn getroffen
Klanten werden ook gewaarschuwd om extra waakzaam te zijn voor phishing-e-mails of verdachte telefoontjes van personen die zich voordoen als medewerkers van Endesa.

Komen er meer boetes?

Op het moment van schrijven is er nog geen officiële boete aangekondigd voor de cyberaanval van 2026.

Het incident zal echter waarschijnlijk door de AEPD worden beoordeelde op basis van de GDPR-regels. Als toezichthouders vaststellen dat de beveiligingsmaatregelen onvoldoende waren, kunnen er extra sancties volgen.

Volgens de EU-wetgeving over gegevensbescherming kunnen boetes oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van welk bedrag hoger is.

Waarom dit belangrijk is voor energieklanten

Energieleveranciers beschikken over een aanzienlijke hoeveelheid gevoelige klantgegevens, waaronder ID-gegevens, adressen, factuurhistorie en bankinformatie.

Naarmate de sector verder digitaliseert, is cybersecurity net zo belangrijk geworden als de prijs en betrouwbaarheid van de levering.

Incidenten als deze benadrukken waarom klanten altijd voorzichtig moeten zijn bij het ontvangen van onverwachte e-mails of oproepen over hun energierekening.

Advies voor klanten

Als u klant bent bij Endesa, raden experts het volgende aan:

Voor meer informatie over hoe u uw energieaccount kunt beschermen en begrijpen hoe ongeautoriseerde overstappen gebeuren, leest u onze uitgebreide gids over Beveiliging van Energieaccounts in Spanje.

  • houd uw bankrekening nauwgezet in de gaten voor ongebruikelijke transacties
  • negeer onverwachte e-mails waarin om persoonlijke gegevens wordt gevraagd
  • verifieer communicatie rechtstreeks via de officiële kanalen van Endesa
  • verander de wachtwoorden die gekoppeld zijn aan uw energie-account

Sectorperspectief

Hoewel Endesa niet het enige nutsbedrijf is dat te maken heeft met uitdagingen op het gebied van cybersecurity, toont deze zaak de omvang aan van het risico voor bedrijven die miljoenen klantrecords beheren.

Voor consumenten worden transparantie en sterke praktijken voor gegevensbescherming een steeds grotere factor bij de keuze voor een energieleverancier.

Over Uswitch Energy

Uswitch Energy biedt onafhankelijke analyses van elektriciteitstarieven in Spanje en helpt huishoudens en bedrijven inzicht te krijgen in hun energiekosten.

Gratis analyse van mijn elektriciteitsrekening

Veelgestelde vragen

Welke gegevens zijn uitgelekt bij het datalek van Endesa?

Volgens rapporten bevatten de gelekte gegevens namen, identificatienummers, contactgegevens, contractgegevens en in sommige gevallen bankrekeninggegevens, waaronder IBAN-nummers.

Hoeveel klanten van Endesa zijn getroffen?

Een eerdere GDPR-boete trof ongeveer 6 miljoen klanten. Bij de cyberaanval van 2026 waren naar verluidt miljoenen records betrokken, maar het exacte aantal getroffen personen is niet officieel bevestigd.

Is Endesa beboet voor het lek?

Ja, Endesa kreeg een boete van €6,1 miljoen van de AEPD voor beveiligingsfouten die 6 miljoen klanten troffen. Toezichthouders zullen naar verwachting ook de recentere cyberaanval uit 2026 onderzoeken.

Wat moeten Endesa-klanten nu doen?

Klanten moeten hun bankrekeningen in de gaten houden voor verdachte activiteiten, onverwachte verzoeken om persoonlijke gegevens negeren en hun wachtwoorden voor hun energie-accounts onmiddellijk bijwerken.

Gerelateerde gidsen

See all guides

Elektriciteitsprijzen in Spanje Uitleg (kWh-kosten & Tarieven)

Ontdek hoe elektriciteitsprijzen in Spanje werken, inclusief de kosten per kWh, de tijd-afhankelijke tarieven (P1 P2 P3) en waarom prijzen dagelijks veranderen.

Read more

Hoe elektriciteitsprijzen werken in Spanje | UswitchSpain

Begrijp de factoren die de elektriciteitsprijzen in Spanje beïnvloeden, van de groothandelsmarkt tot de beschikbaarheid van duurzame energie.

Read more

Spanje vs EU: Hernieuwbare elektriciteitsproductie (1990–heden)

Bekijk hoe de productie van hernieuwbare elektriciteit in de EU-27 sinds de jaren '60 is gegroeid met onze interactieve datavisualisatie.

Read more

Gaan de energieprijzen stijgen in Spanje door het conflict in Iran? | UswitchSpain

De spanningen in het Midden-Oosten drijven de wereldwijde energieprijzen op. Ontdek hoe dit de stroom, brandstof en flessengas in Spanje voor expats beïnvloedt.

Read more