De Autoriteit Persoonsgegevens ontving vorig jaar 39.407 datalekmeldingen. Twee derde ging over verkeerd geadresseerde brieven. Zorgwekkender vindt de toezichthouder de sterke toename van account takeovers, die volgens de AP grotendeels op het conto van AI-phishing komt.
De privacytoezichthouder heeft haar Datalekkenrapportage 2025 gepubliceerd. Daarin telt de instantie ruim 39.000 meldingen, iets meer dan de bijna 38.000 in 2024. Opvallend is dat dat cijfer lager uitvalt dan de 44.374 meldingen die de AP eerder dit jaar in haar jaarverslag noemde. Waarom dit aantal naar beneden is bijgesteld is niet bekend, maar een logische reden zou kunnen zijn dat dubbele meldingen er nu uit zijn gefilterd.
De meeste datalekken hebben weinig met hacks te maken. Van alle meldingen ging het in 25.189 gevallen om een brief, meestal verkeerd geadresseerd. Instanties zoals de Belastingdienst, het UWV en de Sociale Verzekeringsbank versturen jaarlijks enorme hoeveelheden post. Gaat daar iets mis, dan telt dat al snel op. E-mail volgt op ruime afstand met ruim 4200 meldingen, ook hier spelen voornamelijk adresseringsfouten de hoofdrol.
Een uitschieter is het datalek bij dienstverlener AddComm, goed voor 5407 meldingen. Dat bedrijf werd al in 2024 door getroffen door een ransomware-aanval. Omdat het bedrijf klantenservicediensten aan andere organisaties levert, waren de gevolgen daarvan ook nog in 2025 merkbaar. Cyberaanvallen waren vorig jaar in totaal verantwoordelijk voor 2400 meldingen, tegenover 1500 een jaar eerder.
Account takeovers verdrievoudigen
Binnen die categorie springt een ontwikkeling eruit. Bij 1742 datalekken speelden account takeovers een rol. In 2024 ging het nog om 607 gevallen. Aanvallers krijgen daarbij, vaak via phishing, toegang tot een account en gebruiken dat om data te stelen of grotere aanvallen op te zetten. “De AP ziet dat dit een populaire manier is voor cybercriminelen om gegevens buit te maken”, schrijft de toezichthouder.
De AP wijst nadrukkelijk naar kunstmatige intelligentie. Taalmodellen maken het namelijk stukken makkelijker om overtuigende, gepersonaliseerde phishingberichten te schrijven en schrijfstijlen te kopiëren. Dat sluit aan bij het beeld dat de NCTV eerder schetste in de Cybersecurity Assessment Netherlands 2025. Generatieve AI verlaagt de drempel voor aanvallers en verbreedt de groep die geavanceerde aanvallen kan uitvoeren. Internationaal groeit account takeover uit tot een van de snelst stijgende dreigingen, zo bleek eerder al uit andere onderzoeken.
Verloren apparaten en ransomware
Ransomware zorgde vorig jaar voor 136 aanvallen en 283 meldingen meldt de AP, iets meer dan de 127 aanvallen in 2024. Dat de toezichthouder daar goed zicht op heeft, is niet nieuw. In 2024 meldde de AP al dat het aantal ransomware-aanvallen hoger lag dan gedacht en jaren eerder ook al dat datalekken door cyberaanvallen bijna verdubbelden.
Daarnaast leidden zoekgeraakte of gestolen laptops, telefoons en dossiers tot ruim vierhonderd meldingen. De meeste daarvan kwamen uit de sector gezondheid en welzijn, die al langer koploper is in het aantal meldingen. De AP adviseert organisaties goede monitoring in te zetten tegen phishing en accountovernames.