De Autoriteit Persoonsgegevens (AP) kreeg in 2025 39.407 meldingen van datalekken binnen, iets meer dan de 37.839 van een jaar eerder, en waarschuwt in de nieuwe Datalekkenrapportage voor een zorgelijke stijging van account takeovers. Bij zo'n overname kaapt een aanvaller, vaak via phishing, een zakelijk account en gebruikt dat als opstap naar een grotere aanval.
Voor Nederlandse organisaties raakt dit twee wettelijke plichten tegelijk. Elk ernstig datalek moet binnen 72 uur bij de AP gemeld worden, en de AVG verplicht je de persoonsgegevens die je verwerkt passend te beveiligen. De cijfers laten zien waar het risico het snelst groeit: niet in exotische hacks, maar in gekaapte inloggegevens van je eigen medewerkers.
Brieven bovenaan, cyberaanvallen in opmars
De meeste datalekken blijven alledaagse fouten. Ruim 25.000 van de meldingen vielen in de categorie 'brief', meestal een verkeerd geadresseerd poststuk, gevolgd door ruim 4.200 meldingen door e-mail. Cyberaanvallen waren goed voor 2.428 meldingen, tegen 1.500 in 2024.
Binnen die cyberaanvallen springt één patroon eruit. Account takeovers stegen van 600 naar ruim 1.700 meldingen, een van de hardste stijgers in het rapport. "De AP ziet dat dit een populaire manier is voor cybercriminelen om gegevens buit te maken en als opstart voor grotere aanvallen", aldus de toezichthouder. Ook ransomware bleef een factor: 136 aanvallen leidden tot 283 gemelde datalekken, tegen 127 aanvallen een jaar eerder.
AI maakt phishing goedkoper en overtuigender
Nieuw in de toon van de rapportage is de rol van kunstmatige intelligentie. De snelle groei van AI vergroot de risico's op phishing en datalekken, waarschuwt de AP, die organisaties oproept om nú in actie te komen en hun digitale veiligheid op orde te brengen. Phishingmails zonder taalfouten, nagemaakte inlogpagina's en overtuigende nepberichten zijn met generatieve AI in seconden te maken. Dat verlaagt de drempel voor precies de aanval die het hardst groeit: het buitmaken van een wachtwoord.
Dezelfde toezichthouder waarschuwde eerder al dat gegevens die medewerkers in AI-chatbots plakken er nooit meer volledig uit te krijgen zijn, een risico dat groeit naarmate 'shadow AI' zich zonder beleid over een organisatie verspreidt.
Wat dit betekent voor je meldplicht en beveiliging
Twee dingen worden hierdoor concreter. Ten eerste de beveiligingsplicht: omdat de meeste digitale schade via gekaapte accounts binnenkomt, is meervoudige verificatie op e-mail en zakelijke systemen geen luxe meer maar de eerste verdedigingslinie, naast wachtwoordbeleid en het trainen van medewerkers om phishing te herkennen. Wie wil weten waar de gaten zitten, kan beginnen met de vijf beveiligingslagen die je als MKB zelf kunt nalopen.
Ten tweede de meldplicht. Detecteer je een account takeover of ransomware-aanval, dan moet je inschatten of persoonsgegevens geraakt zijn en dat binnen 72 uur bij de AP melden, ook in het weekend. En de handhaving verscherpt: dezelfde toezichthouder legde in mei 2026 nog een boete van 100 miljoen euro op aan taxidienst Yango voor het opslaan van data op Russische servers.
Van pech naar doelwit
De rode draad in de rapportage is een verschuiving van pech naar doelwit. Een verkeerd geadresseerde brief is een ongeluk; een account takeover is een aanval die iemand bewust op jouw organisatie richt. Naarmate AI die aanvallen goedkoper en geloofwaardiger maakt, verschuift de vraag van of het je kan overkomen naar hoe snel je het ziet en hoe je de schade beperkt. De cijfers van dit jaar zijn daarmee minder een eindstand dan een richtingwijzer.
Veelgestelde vragen
Beveiliging als ontwerpkeuze
Account takeovers beginnen vaak bij losse tools en accounts die langs elkaar heen werken. Ik ontwerp en bouw je software end-to-end, met meervoudige verificatie, veilige koppelingen en self-hosted waar dat kan, zodat je gegevens binnen je eigen muren blijven.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
