LinkedIn is een beveiligingsrisico

Informatie op openbare profielen helpt aanvallers.

Ze kunnen sneller zien wie waar werkt, wie welke rol heeft en wie ze moeten benaderen. Daardoor worden phishing, nep-profielen en gerichte aanvallen makkelijker.

businessVoor werkgeversarrow_forwardpersonVoor werknemersarrow_forward

Waarom openbare profieldata risico geeftLink naar deze kop kopieren

Op LinkedIn delen mensen vaak waar ze werken, wat hun functie is, met wie ze samenwerken en aan welke projecten ze werken. Dat lijkt onschuldig, maar samen vormt het een handig overzicht voor kwaadwillenden.

Voor een gerichte phishingmail is context belangrijk. Een aanvaller hoeft dan niet te raden wie bij IT werkt, wie geld mag overmaken of welke collega net nieuw is. Veel van die informatie staat al openbaar online.

Bovendien is het op basis van namen en bedrijfsnamen vaak eenvoudig om e-mailadressen te raden. De meeste organisaties gebruiken voorspelbare patronen zoals voornaam.achternaam@bedrijf.nl. Een aanvaller die via LinkedIn weet wie er in een team zitten, kan zich daardoor makkelijk voordoen als een collega of leidinggevende en zo overtuigende phishingmails of frauduleuze verzoeken versturen.

Bekende incidenten in NederlandLink naar deze kop kopieren

Dit is slechts een greep uit de vele incidenten waarbij phishing of social engineering een centrale rol speelde. Jaarlijks worden tientallen Nederlandse organisaties op deze manier getroffen. Dit is precies het type aanval dat openbare profieldata vergemakkelijkt.

Canvas (Instructure)
mei 2026

Hack door ShinyHunters

Gegevens van 275 miljoen studenten, docenten en onderwijsmedewerkers gestolen. Veel Nederlandse hogescholen en universiteiten gebruiken Canvas.

Odido (voorheen T-Mobile)
februari 2026

Ongeautoriseerde toegang

Klantgegevens van Odido kwamen op straat. Naam, adres, geboortedatum en contactgegevens van klanten werden buitgemaakt.

KNVB
april 2023

Ransomware na social engineering

De voetbalbond werd getroffen door LockBit-ransomware. Persoonlijke gegevens van medewerkers en leden werden gestolen en er werd losgeld betaald.

Wat dit betekent voor werkgeversLink naar deze kop kopieren

Als je van medewerkers verwacht dat ze een actueel LinkedIn-profiel hebben, maak je je organisatie zichtbaarder dan nodig. Aanvallers kunnen makkelijker zien hoe je bedrijf in elkaar zit en wie ze moeten benaderen.

Dat is vooral riskant voor HR, recruitment, finance en IT. Juist die teams krijgen te maken met nep-recruiters, nep-collega's, valse verzoeken en goed voorbereide phishing.

Vraag dus niet verplicht om LinkedIn. Laat sollicitanten en medewerkers ook andere manieren gebruiken om hun ervaring of identiteit te laten zien.

Wat dit betekent voor werknemersLink naar deze kop kopieren

Geen LinkedIn-profiel hebben betekent niet dat je onprofessioneel bent. Sommige mensen willen bewust minder persoonlijke en professionele informatie openbaar delen.

In gevoelige sectoren is een kleine digitale voetafdruk zelfs vaak verstandig. Minder openbare informatie betekent minder materiaal voor phishing, imitatie en ongewenste benadering.

Je mag daarom uitleggen dat je geen LinkedIn gebruikt. Een cv, portfolio, eigen website, GitHub-profiel of referentie kan ook een prima manier zijn om je werk te laten zien.

Beleidsadvies voor organisatiesLink naar deze kop kopieren

Aanbevelingen voor het mitigeren van risico's rondom commerciële profielen binnen je organisatie.

Maak LinkedIn niet verplicht

Vraag er gerust naar, maar laat kandidaten en medewerkers ook zonder LinkedIn-profiel meedoen.

Accepteer andere bewijzen

Een cv, portfolio, eigen website, GitHub-profiel of referentie kan net zo goed zijn.

Deel minder bedrijfsinformatie

Zet niet onnodig teams, functietitels, projecten en gebruikte tools openbaar online.

Let op nep-profielen

Zorg dat HR, recruitment en finance weten hoe phishing en imitatie via sociale profielen eruitziet.

Voorbeeldreacties om te gebruikenLink naar deze kop kopieren

Gebruik deze formuleringen wanneer een recruiter, werkgever of formulier om een LinkedIn-profiel vraagt.

Respons 1: privacy en OPSEC

Ik maak bewust geen gebruik van publieke professionele netwerken vanwege privacy-overwegingen en ter minimalisatie van mijn digitale voetafdruk (OPSEC). Ik verstrek mijn volledige professionele curriculum en referenties graag via een rechtstreeks toegezonden PDF-document of een ander passend kanaal.

Respons 2: kort en praktisch

Ik heb geen LinkedIn-profiel. Ik deel mijn professionele informatie liever via mijn cv, portfolio, eigen website of directe referenties.

Veelgestelde vragenLink naar deze kop kopieren

Korte antwoorden voor de gesprekken waarin LinkedIn als standaard wordt aangenomen.

Is LinkedIn altijd onveilig?
Nee. Het risico zit vooral in de publieke datavoetafdruk en het feit dat die data bruikbaar is voor gerichte aanvallen.
Mag een werkgever LinkedIn vragen?
Vragen kan, maar maak het niet de enige route. Een kandidaat of werknemer moet een redelijk alternatief kunnen gebruiken.
Ondersteuning

Steun dit projectLink naar deze kop kopieren

linkedinrisico.nl is een onafhankelijk initiatief. Je donatie helpt om deze informatie actueel, snel en advertentievrij beschikbaar te houden.

Doneer