Over 2025 telde de privacytoezichthouder bijna drie keer zoveel gekaapte accounts als het jaar ervoor. En toch is het eerste waar de meeste ondernemers naar grijpen als ze dat horen hun wachtwoordbeleid: strengere eisen, vaker wisselen, nog een teken erbij. Dat is de verkeerde knop.
Een account takeover begint zelden met een gekraakt wachtwoord. Hij begint bijna altijd met een echte inlog: een afgekeken code, een gestolen sessie, of een medewerker die op een vlekkeloze neppagina zelf zijn gegevens invult. Je kunt je wachtwoordregels zo streng maken als je wilt, een aanvaller die met een geldige inlog binnenkomt loopt er dwars doorheen.
Mijn stelling is simpel. Het snelst groeiende datalekrisico is geen preventieprobleem, maar een detectieprobleem. De vraag is niet langer hoe je ze buiten houdt, maar hoe snel je ziet dat ze al binnen zijn.
De cijfers wijzen allemaal naar één categorie
Kijk eerst naar wat de rapportage precies zegt. In 2025 kwamen er bij de Autoriteit Persoonsgegevens 39.407 datalekmeldingen binnen, tegen 37.839 een jaar eerder. Die magere groei verbergt waar het echt schuift. De meeste meldingen blijven alledaagse missers, ruim 25.000 verkeerd geadresseerde brieven voorop. Maar de cyberaanvallen stegen van 1.500 naar 2.428 meldingen, en binnen die categorie sprong één patroon eruit: account takeovers gingen van ruim 600 naar ruim 1.700 meldingen, bijna een verdrievoudiging.
Dat is geen willekeurige uitschieter. De toezichthouder noemt de gekaapte account een populaire manier om gegevens buit te maken en een opstap naar een grotere aanval. En de reden dat juist deze categorie hard groeit, is dezelfde reden dat wachtwoordbeleid er niets tegen uitricht: de aanvaller hoeft je slot niet te kraken. Generatieve AI maakt een phishingmail zonder taalfouten en een nagemaakte inlogpagina in seconden, waardoor zo'n mail niet meer van een echte te onderscheiden is. Phishing is bij IBM dit jaar zelfs de nummer één toegangsweg tot een datalek geworden.
Wat er dan gebeurt, is dat de inlog écht is. De aanvaller heeft een geldig wachtwoord, of hij loopt met een gestolen sessietoken dwars om je multifactor heen. Voor je systeem ziet dat eruit als je eigen medewerker die inlogt. Er valt geen deur dicht, want de aanvaller heeft de sleutel gewoon in zijn hand. Elke euro die je in nóg strengere toegangseisen stopt, verdedigt een muur waar hij niet overheen klimt maar onderdoor loopt.
Wat de schade bepaalt is tijd, niet je slot
Als je een aanval niet aan de voordeur kunt tegenhouden, verschuift alles wat telt naar één getal: hoe lang hij binnen is voordat iemand het merkt. En dat getal is genadeloos. Een datalek dat begint met gestolen inloggegevens duurt gemiddeld zo'n 246 dagen om te ontdekken en in te dammen, becijfert IBM. Ruim acht maanden waarin een aanvaller met een geldige inlog rondkijkt, mailboxen doorzoekt, rechten uitbreidt en data wegsluist, terwijl jouw wachtwoordbeleid keurig denkt dat het zijn werk doet.
Dat is de kern die de AP-cijfers blootleggen. Een account takeover is zelden het einddoel, hij is het begin. De echte schade ontstaat in de stille periode erna, en die periode is precies zo lang als jouw detectie traag is. Twee bedrijven die op dezelfde dag hetzelfde gekaapte account krijgen, lopen totaal verschillende schade op. Het ene merkt het binnen een dag aan een sessie vanaf een vreemd apparaat, het andere hoort het pas als de gestolen data ergens opduikt. Dezelfde aanval, een ander verhaal, en het verschil zit volledig in detectietijd.
Het ongemakkelijke is dat je die detectietijd niet korter maakt met het gereedschap waar de meeste securitybudgetten naartoe gaan. Een aanvaller die AI inzet vindt de zwakke plekken in je omgeving sneller dan jij ze dicht, dus die wedloop win je niet door de voordeur nóg een keer te vergrendelen. Je wint hem door te kijken naar de sporen die een gekaapt account wél achterlaat: een inlog vanaf een onbeheerd apparaat, een sessie op een onmogelijke locatie, een net gekoppelde app, een verse sleutel die niemand aanvroeg. Die signalen liggen er al. Ze zijn alleen onzichtbaar zolang niemand kijkt.
Te laat merken is in Nederland ook een juridisch probleem
Er komt hier nog een reden bij om detectie serieuzer te nemen dan preventie, en die is juridisch. De meldplicht bij de AP kent een klok van 72 uur die pas begint te lopen op het moment dat je een datalek ontdekt. Geen ontdekking, geen melding. Een bedrijf dat een account takeover acht maanden mist, meldt niet netjes te laat, het meldt helemaal niet, tot de schade zich op een andere manier aandient.
Dat maakt detectietijd niet alleen een operationeel maar een compliance-getal. Wie zijn beveiliging afmeet aan preventie, aan een streng wachtwoordbeleid en een aangezette MFA, vinkt de verkeerde vraag af. De toezichthouder vraagt niet alleen of je de deur op slot had, maar of je passende beveiliging had, en of je op tijd zag en meldde dat er iemand binnen was. Op dat tweede punt zakt een organisatie die alleen aan de voorkant investeert.
Om eerlijk te zijn: wachtwoordbeleid en MFA zijn niet zinloos
Het sterkste tegenargument verdient zijn beste vorm, want het klopt grotendeels. Preventie is geen theater. Sterk wachtwoordbeleid en multifactor-authenticatie blokkeren de overgrote meerderheid van de aanvallen, en zonder die basis is detectie een verloren zaak: dan komen er zoveel echte inbraken binnen dat geen mens de signalen nog kan volgen. Heb je die basis niet op orde, dan is dát je eerste zet, geen monitoringproject. Zet MFA overal aan, ruim zwakke wachtwoorden op, en begin met de beveiligingslagen die je als MKB zelf kunt nalopen. Wie dat overslaat en meteen over sessiegedrag begint, lost het kleine probleem op en laat het grote openstaan.
En toch houd ik mijn lijn. Voor de meeste organisaties is preventie een verzadigde investering: het staat er al, en de marginale euro levert er nog maar weinig extra op. De snelst groeiende categorie in de AP-cijfers is juist degene die om die investering heen loopt, omdat ze op een echte inlog draait. De volgende verbetering zit dus niet in strenger van hetzelfde, maar in de knop die de meeste MKB'ers nog helemaal niet hebben omgezet: iemand of iets dat naar aanmeld- en sessiegedrag kijkt. Dat is bovendien geen dure aankoop. Het is aandacht voor sporen die je systemen toch al vastleggen.
De knop die niemand omzet
De rapportage over 2025 is minder een eindstand dan een richtingwijzer. De alledaagse missers, de verkeerd geadresseerde brief voorop, blijven het grootste bulkgetal. Maar de groei zit in de gerichte aanval, en die verschuift de vraag onherroepelijk. Niet meer of het je kan overkomen, maar hoe snel je het ziet als het gebeurt.
Een strenger wachtwoordbeleid is een geruststellend antwoord op de eerste vraag en geen antwoord op de tweede. De bijna verdrievoudiging van gekaapte accounts vertelt je niet dat je sloten zwakker zijn geworden. Ze vertelt je dat aanvallers de sloten omzeilen, en dat de organisaties die er het minst slecht van afkomen niet degene zijn met de dikste deur, maar degene die het snelst merken dat er iemand binnen is. Detectietijd is de knop die bijna niemand omzet. En het is precies de knop waar de cijfers je naartoe wijzen.
Veelgestelde vragen
Detectie die vanzelf kijkt
Detectie is een ontwerpkeuze, geen aankoop. Ik denk met je mee welke signalen ertoe doen, ontwerp de flow die aanmeld- en sessiegedrag in de gaten houdt en bouw de melding die afgaat voordat een gekaapt account weken onopgemerkt blijft.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
