De Citrix-hack bij het Openbaar Ministerie (OM) in juli 2025 veroorzaakte een achterstand van zo’n 9.000 lichtere misdrijfzaken en verhoogde het ziekteverzuim aanzienlijk. Dat blijkt uit het Jaarbericht 2025 dat het OM vandaag publiceerde. Medewerkers moesten maandenlang terugvallen op handmatige processen.
Op 17 juli 2025 besloot het OM uit voorzorg alle interne systemen los te koppelen van het internet door de problemen bij Citrix. De directe aanleiding was een melding van het Nationaal Cyber Security Centrum (NCSC) dat hackers mogelijk misbruik hadden gemaakt van een kwetsbaarheid in Citrix NetScaler, het systeem dat het OM gebruikt voor thuiswerken.
Dat besluit had verstrekkende gevolgen, zo erkent het OM vandaag zelf bij de presentatie van het Jaarbericht 2025. Gedurende enkele maanden moest het werk draaien op noodprocessen. “Van het ene op het andere moment werd het OM teruggeworpen op een manier van werken die dertig jaar geleden nog heel gewoon was”, aldus Rinus Otte, voorzitter van het College van procureurs-generaal.
“In plaats van met een muisklik informatie beschikbaar te hebben, kostte dat weer uren, of dagen, en vele handmatige handelingen. Dossiers moesten worden geprint. Onze medewerkers konden hun werk alleen nog op kantoor verrichten.”
“En informatie werd weer via post, koerier of gewoon door medewerkers van OM en de ketenpartners zelf naar elkaar gebracht, en daarna weer in een systeem ‘ingeklopt’.”
Otte benoemt ook de positieve kant aan de overwegend zeer negatieve gevolgen van de hack. “Dankzij de grote inzet van vele medewerkers van het OM en alle andere ketenpartners is het gelukt de effecten voor verdachten en slachtoffers beperkt te houden. Voor die inzet zijn we onze medewerkers en onze partners zeer dankbaar.”
9.000 lichtere zaken nog niet opgepakt
De achterstanden liepen hoog op. Aan het einde van 2025 waren ze nog niet volledig weggewerkt. Het jaar werd afgesloten met zo’n 9.000 lichtere misdrijfzaken die nog moesten worden opgepakt.
De kwetsbaarheid in kwestie, CVE-2025-6543, was al vanaf begin mei 2025 actief misbruikt voordat Citrix op 25 juni een patch uitbracht, waarover het NCSC later publiceerde. Het Citrix-lek trof ook andere Nederlandse rijksorganisaties. Uit later onderzoek bleek opvallend genoeg dat de justitiële ICT-organisatie (JIO) niet één maar twee keer werd getroffen via dezelfde kwetsbaarheid.
Het OM is via zijn ICT-infrastructuur verbonden met meer dan zestig andere organisaties, van politie tot CJIB en DJI. Toen het eind juli bevestigde dat Citrix-systemen gecompromitteerd waren, had het geen aanwijzigingen gevonden voor diefstal of manipulatie van data.