Iemand achter drie beeldschermen die de activiteit op systemen in de gaten houdt.
Inzicht16 juli · 17:007 min leestijd

Account takeovers verdrievoudigen: het probleem is niet je wachtwoordbeleid, maar hoe laat je het merkt

Over 2025 telde de privacytoezichthouder bijna drie keer zoveel gekaapte accounts als het jaar ervoor. En toch is het eerste waar de meeste ondernemers naar grijpen als ze dat horen hun wachtwoordbeleid: strengere eisen, vaker wisselen, nog een teken erbij. Dat is de verkeerde knop.

Een account takeover begint zelden met een gekraakt wachtwoord. Hij begint bijna altijd met een echte inlog: een afgekeken code, een gestolen sessie, of een medewerker die op een vlekkeloze neppagina zelf zijn gegevens invult. Je kunt je wachtwoordregels zo streng maken als je wilt, een aanvaller die met een geldige inlog binnenkomt loopt er dwars doorheen.

Mijn stelling is simpel. Het snelst groeiende datalekrisico is geen preventieprobleem, maar een detectieprobleem. De vraag is niet langer hoe je ze buiten houdt, maar hoe snel je ziet dat ze al binnen zijn.

De cijfers wijzen allemaal naar één categorie

Kijk eerst naar wat de rapportage precies zegt. In 2025 kwamen er bij de Autoriteit Persoonsgegevens 39.407 datalekmeldingen binnen, tegen 37.839 een jaar eerder. Die magere groei verbergt waar het echt schuift. De meeste meldingen blijven alledaagse missers, ruim 25.000 verkeerd geadresseerde brieven voorop. Maar de cyberaanvallen stegen van 1.500 naar 2.428 meldingen, en binnen die categorie sprong één patroon eruit: account takeovers gingen van ruim 600 naar ruim 1.700 meldingen, bijna een verdrievoudiging.

Dat is geen willekeurige uitschieter. De toezichthouder noemt de gekaapte account een populaire manier om gegevens buit te maken en een opstap naar een grotere aanval. En de reden dat juist deze categorie hard groeit, is dezelfde reden dat wachtwoordbeleid er niets tegen uitricht: de aanvaller hoeft je slot niet te kraken. Generatieve AI maakt een phishingmail zonder taalfouten en een nagemaakte inlogpagina in seconden, waardoor zo'n mail niet meer van een echte te onderscheiden is. Phishing is bij IBM dit jaar zelfs de nummer één toegangsweg tot een datalek geworden.

Wat er dan gebeurt, is dat de inlog écht is. De aanvaller heeft een geldig wachtwoord, of hij loopt met een gestolen sessietoken dwars om je multifactor heen. Voor je systeem ziet dat eruit als je eigen medewerker die inlogt. Er valt geen deur dicht, want de aanvaller heeft de sleutel gewoon in zijn hand. Elke euro die je in nóg strengere toegangseisen stopt, verdedigt een muur waar hij niet overheen klimt maar onderdoor loopt.

Wat de schade bepaalt is tijd, niet je slot

Als je een aanval niet aan de voordeur kunt tegenhouden, verschuift alles wat telt naar één getal: hoe lang hij binnen is voordat iemand het merkt. En dat getal is genadeloos. Een datalek dat begint met gestolen inloggegevens duurt gemiddeld zo'n 246 dagen om te ontdekken en in te dammen, becijfert IBM. Ruim acht maanden waarin een aanvaller met een geldige inlog rondkijkt, mailboxen doorzoekt, rechten uitbreidt en data wegsluist, terwijl jouw wachtwoordbeleid keurig denkt dat het zijn werk doet.

Dat is de kern die de AP-cijfers blootleggen. Een account takeover is zelden het einddoel, hij is het begin. De echte schade ontstaat in de stille periode erna, en die periode is precies zo lang als jouw detectie traag is. Twee bedrijven die op dezelfde dag hetzelfde gekaapte account krijgen, lopen totaal verschillende schade op. Het ene merkt het binnen een dag aan een sessie vanaf een vreemd apparaat, het andere hoort het pas als de gestolen data ergens opduikt. Dezelfde aanval, een ander verhaal, en het verschil zit volledig in detectietijd.

Het ongemakkelijke is dat je die detectietijd niet korter maakt met het gereedschap waar de meeste securitybudgetten naartoe gaan. Een aanvaller die AI inzet vindt de zwakke plekken in je omgeving sneller dan jij ze dicht, dus die wedloop win je niet door de voordeur nóg een keer te vergrendelen. Je wint hem door te kijken naar de sporen die een gekaapt account wél achterlaat: een inlog vanaf een onbeheerd apparaat, een sessie op een onmogelijke locatie, een net gekoppelde app, een verse sleutel die niemand aanvroeg. Die signalen liggen er al. Ze zijn alleen onzichtbaar zolang niemand kijkt.

Te laat merken is in Nederland ook een juridisch probleem

Er komt hier nog een reden bij om detectie serieuzer te nemen dan preventie, en die is juridisch. De meldplicht bij de AP kent een klok van 72 uur die pas begint te lopen op het moment dat je een datalek ontdekt. Geen ontdekking, geen melding. Een bedrijf dat een account takeover acht maanden mist, meldt niet netjes te laat, het meldt helemaal niet, tot de schade zich op een andere manier aandient.

Dat maakt detectietijd niet alleen een operationeel maar een compliance-getal. Wie zijn beveiliging afmeet aan preventie, aan een streng wachtwoordbeleid en een aangezette MFA, vinkt de verkeerde vraag af. De toezichthouder vraagt niet alleen of je de deur op slot had, maar of je passende beveiliging had, en of je op tijd zag en meldde dat er iemand binnen was. Op dat tweede punt zakt een organisatie die alleen aan de voorkant investeert.

Om eerlijk te zijn: wachtwoordbeleid en MFA zijn niet zinloos

Het sterkste tegenargument verdient zijn beste vorm, want het klopt grotendeels. Preventie is geen theater. Sterk wachtwoordbeleid en multifactor-authenticatie blokkeren de overgrote meerderheid van de aanvallen, en zonder die basis is detectie een verloren zaak: dan komen er zoveel echte inbraken binnen dat geen mens de signalen nog kan volgen. Heb je die basis niet op orde, dan is dát je eerste zet, geen monitoringproject. Zet MFA overal aan, ruim zwakke wachtwoorden op, en begin met de beveiligingslagen die je als MKB zelf kunt nalopen. Wie dat overslaat en meteen over sessiegedrag begint, lost het kleine probleem op en laat het grote openstaan.

En toch houd ik mijn lijn. Voor de meeste organisaties is preventie een verzadigde investering: het staat er al, en de marginale euro levert er nog maar weinig extra op. De snelst groeiende categorie in de AP-cijfers is juist degene die om die investering heen loopt, omdat ze op een echte inlog draait. De volgende verbetering zit dus niet in strenger van hetzelfde, maar in de knop die de meeste MKB'ers nog helemaal niet hebben omgezet: iemand of iets dat naar aanmeld- en sessiegedrag kijkt. Dat is bovendien geen dure aankoop. Het is aandacht voor sporen die je systemen toch al vastleggen.

De knop die niemand omzet

De rapportage over 2025 is minder een eindstand dan een richtingwijzer. De alledaagse missers, de verkeerd geadresseerde brief voorop, blijven het grootste bulkgetal. Maar de groei zit in de gerichte aanval, en die verschuift de vraag onherroepelijk. Niet meer of het je kan overkomen, maar hoe snel je het ziet als het gebeurt.

Een strenger wachtwoordbeleid is een geruststellend antwoord op de eerste vraag en geen antwoord op de tweede. De bijna verdrievoudiging van gekaapte accounts vertelt je niet dat je sloten zwakker zijn geworden. Ze vertelt je dat aanvallers de sloten omzeilen, en dat de organisaties die er het minst slecht van afkomen niet degene zijn met de dikste deur, maar degene die het snelst merken dat er iemand binnen is. Detectietijd is de knop die bijna niemand omzet. En het is precies de knop waar de cijfers je naartoe wijzen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Detectie die vanzelf kijkt

Detectie is een ontwerpkeuze, geen aankoop. Ik denk met je mee welke signalen ertoe doen, ontwerp de flow die aanmeld- en sessiegedrag in de gaten houdt en bouw de melding die afgaat voordat een gekaapt account weken onopgemerkt blijft.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur
Gids
Uitgebreide gids11 min

15 jul 13:01

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur

Je softwareleverancier of hosting is gehackt en je klantdata is mogelijk gelekt. Dit is het incident-playbook: ben jij verantwoordelijke, is het meldplichtig bij de AP, wat vertel je je klanten, en hoe voorkom je dat je vastzit aan de gehackte partij.

Wat je in een chatbot typt, krijg je nooit meer terug: de blinde vlek in je AI-gebruik
Inzicht
7 min

15 jul 09:00

Wat je in een chatbot typt, krijg je nooit meer terug: de blinde vlek in je AI-gebruik

De delete-knop in je chatbot haalt het gesprek alleen weg bij jou. Juridisch en technisch is je invoer een blijvende registratie, en dus verschuift de enige beslissing die telt naar het moment voor je op enter drukt.

AVG-checklist voor generatieve AI: zo zet je ChatGPT en Copilot rechtmatig in
Gids
Uitgebreide gids9 min

14 jul 14:47

AVG-checklist voor generatieve AI: zo zet je ChatGPT en Copilot rechtmatig in

Je gebruikt ChatGPT of Copilot, maar legde nergens vast op welke grondslag. Deze checklist loodst je langs de AVG voor generatieve AI: van de eerste vraag tot grondslag, verwerkersovereenkomst, DPIA en de waarborgen die de AP eist.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt
Gids
8 min

1 jul 17:45

Wat is vendor lock-in? Betekenis, voorbeelden en hoe je eruit komt

Vendor lock-in is de situatie waarin overstappen zo duur of ingewikkeld is dat je vastzit. Wat het is, hoe het eruitziet per softwarecategorie, en een zelftest plus beslisboom naar je volgende stap.