Bruin hangslot op een computertoetsenbord, symbool voor digitale beveiliging en datalekken.
Nieuws8 juli · 18:104 min leestijd

AP telt 39.407 datalekmeldingen, account takeovers bijna verdrievoudigd

De privacytoezichthouder kreeg in 2025 ruim 39.000 datalekmeldingen en waarschuwt voor een sterke stijging van account takeovers via phishing. AI maakt die aanvallen makkelijker, precies waar de meldplicht en je beveiliging nu op de proef worden gesteld.

De Autoriteit Persoonsgegevens (AP) kreeg in 2025 39.407 meldingen van datalekken binnen, iets meer dan de 37.839 van een jaar eerder, en waarschuwt in de nieuwe Datalekkenrapportage voor een zorgelijke stijging van account takeovers. Bij zo'n overname kaapt een aanvaller, vaak via phishing, een zakelijk account en gebruikt dat als opstap naar een grotere aanval.

Voor Nederlandse organisaties raakt dit twee wettelijke plichten tegelijk. Elk ernstig datalek moet binnen 72 uur bij de AP gemeld worden, en de AVG verplicht je de persoonsgegevens die je verwerkt passend te beveiligen. De cijfers laten zien waar het risico het snelst groeit: niet in exotische hacks, maar in gekaapte inloggegevens van je eigen medewerkers.

Brieven bovenaan, cyberaanvallen in opmars

De meeste datalekken blijven alledaagse fouten. Ruim 25.000 van de meldingen vielen in de categorie 'brief', meestal een verkeerd geadresseerd poststuk, gevolgd door ruim 4.200 meldingen door e-mail. Cyberaanvallen waren goed voor 2.428 meldingen, tegen 1.500 in 2024.

Datalekken door cyberaanvallen en het aandeel account takeovers, 2024 en 2025 (bron: AP Datalekkenrapportage 2025)

Binnen die cyberaanvallen springt één patroon eruit. Account takeovers stegen van 600 naar ruim 1.700 meldingen, een van de hardste stijgers in het rapport. "De AP ziet dat dit een populaire manier is voor cybercriminelen om gegevens buit te maken en als opstart voor grotere aanvallen", aldus de toezichthouder. Ook ransomware bleef een factor: 136 aanvallen leidden tot 283 gemelde datalekken, tegen 127 aanvallen een jaar eerder.

AI maakt phishing goedkoper en overtuigender

Nieuw in de toon van de rapportage is de rol van kunstmatige intelligentie. De snelle groei van AI vergroot de risico's op phishing en datalekken, waarschuwt de AP, die organisaties oproept om nú in actie te komen en hun digitale veiligheid op orde te brengen. Phishingmails zonder taalfouten, nagemaakte inlogpagina's en overtuigende nepberichten zijn met generatieve AI in seconden te maken. Dat verlaagt de drempel voor precies de aanval die het hardst groeit: het buitmaken van een wachtwoord.

Dezelfde toezichthouder waarschuwde eerder al dat gegevens die medewerkers in AI-chatbots plakken er nooit meer volledig uit te krijgen zijn, een risico dat groeit naarmate 'shadow AI' zich zonder beleid over een organisatie verspreidt.

Wat dit betekent voor je meldplicht en beveiliging

Twee dingen worden hierdoor concreter. Ten eerste de beveiligingsplicht: omdat de meeste digitale schade via gekaapte accounts binnenkomt, is meervoudige verificatie op e-mail en zakelijke systemen geen luxe meer maar de eerste verdedigingslinie, naast wachtwoordbeleid en het trainen van medewerkers om phishing te herkennen. Wie wil weten waar de gaten zitten, kan beginnen met de vijf beveiligingslagen die je als MKB zelf kunt nalopen.

Ten tweede de meldplicht. Detecteer je een account takeover of ransomware-aanval, dan moet je inschatten of persoonsgegevens geraakt zijn en dat binnen 72 uur bij de AP melden, ook in het weekend. En de handhaving verscherpt: dezelfde toezichthouder legde in mei 2026 nog een boete van 100 miljoen euro op aan taxidienst Yango voor het opslaan van data op Russische servers.

Van pech naar doelwit

De rode draad in de rapportage is een verschuiving van pech naar doelwit. Een verkeerd geadresseerde brief is een ongeluk; een account takeover is een aanval die iemand bewust op jouw organisatie richt. Naarmate AI die aanvallen goedkoper en geloofwaardiger maakt, verschuift de vraag van of het je kan overkomen naar hoe snel je het ziet en hoe je de schade beperkt. De cijfers van dit jaar zijn daarmee minder een eindstand dan een richtingwijzer.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Beveiliging als ontwerpkeuze

Account takeovers beginnen vaak bij losse tools en accounts die langs elkaar heen werken. Ik ontwerp en bouw je software end-to-end, met meervoudige verificatie, veilige koppelingen en self-hosted waar dat kan, zodat je gegevens binnen je eigen muren blijven.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Digitale soevereiniteit is risicobeheer, geen politiek
Inzicht
8 min

16 jun 13:31

Digitale soevereiniteit is risicobeheer, geen politiek

Soevereiniteit wordt gevoerd als een principekwestie over Amerika en Big Tech. Daardoor schuift de nuchtere ondernemer het weg. Onterecht: waar je data staat en van wie je software is, is gewoon een bedrijfsrisico.

100 miljoen boete voor Yango: wat het MKB moet leren over waar je data staat
Nieuws
6 min

9 mei 15:18

100 miljoen boete voor Yango: wat het MKB moet leren over waar je data staat

De Autoriteit Persoonsgegevens beboette taxi-app Yango met 100 miljoen euro omdat klantgegevens naar Rusland gingen. Geen ver-van-je-bed-show: ook jouw MKB-data staat vaker buiten je zicht dan je denkt.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Vijf toezichthouders dringen samen aan op digitale autonomie
Nieuws
3 min

10 jul 12:25

Vijf toezichthouders dringen samen aan op digitale autonomie

Voor het eerst roepen alle vijf toezichthouders, ACM, AFM, AP, DNB en RDI, bedrijven en overheid samen op om digitale autonomie te versnellen en bij IT-inkoop overstapbaarheid af te dwingen. Wat verandert er voor jou?

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan
Nieuws
4 min

6 jul 20:11

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan

Solvinity, het bedrijf achter DigiD, vecht in een kort geding het verbod aan waarmee de staat zijn overname door het Amerikaanse Kyndryl blokkeerde. De zaak toont hoe eigenaarschap van digitale infrastructuur een veiligheidskwestie is geworden.