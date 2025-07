Vorig jaar is een recordaantal datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld, zo laat de privacytoezichthouder in de vandaag verschenen Datalekkenrapportage 2024 weten. In totaal ging het om bijna 38.000 datalekken die werden gemeld. In 2023 werden er nog 25.000 datalekken gerapporteerd. De toename is volgens de toezichthouder te verklaren door de mogelijkheid om bulkmeldingen te doen en aanvallen op bedrijven die tot datalekken bij allerlei andere bedrijven leiden. In een bulkmelding meldt een organisatie meerdere van dezelfde datalekken in één melding. Er werden bijna 24.000 enkele meldingen van datalekken gedaan en 14.000 datalekken gedaan via bulkmeldingen.

Bijna achtduizend datalekmeldingen waren het gevolg van fouten bij het versturen van post. Een kleine zevenduizend datalekmeldingen vielen in de categorie cyberaanval. Het hoge aantal meldingen in deze categorie is volgens de AP te verklaren door meer dan 5400 datalekmeldingen na de cyberaanval bij AddComm. Dit is een klantcommunicatiebedrijf dat vorig jaar mei slachtoffer van een ransomware-aanval werd. De aanval raakte ook ruim vijfduizend klanten van AddComm uit de hele leveranciersketen. Bij de aanval werden gegevens van anderhalf miljoen mensen gecompromitteerd.

Als er wordt ingezoomd op datalekken veroorzaakt door cyberaanvallen blijkt dat organisaties basale beveiligingsmaatregelen niet altijd implementeren. "Veel cyberaanvallen hadden voorkomen kunnen worden met bepaalde basisbeveiligingsmaatregelen", zegt Nienke Kolthof, Coördinator datalekken bij de AP, tegenover Security.NL. In veertig procent van de onderzochte gevallen was er wel beleid tegen cyberaanvallen, maar werd het niet juist uitgevoerd, of was er gebrekkige controle op (uitvoering van) dit beleid.

In een derde van de gevallen was er geen of onvoldoende beleid tegen cyberaanvallen. De AP adviseert organisaties dan ook basale maatregelen als multifactorauthenticatie (MFA) te implementeren, op verdachte inlogpogingen te monitoren en kritisch na te denken over het verwerken en bewaren van gegevens. "Wat je niet (meer) hebt, kan ook niet lekken”, is een bekende spreuk, zo stelt de AP.

Sommige partijen, zoals privacystichting noyb, vinden dat de AP vaker boetes zou moeten opleggen. "Het opleggen van boetes is een belangrijk middel om achter de hand te hebben", stelt Kolthof. "We kijken altijd naar wat we het meest geschikte middel vinden om ervoor te zorgen dat die digitale beveiliging, die digitale weerbaarheid in Nederland omhoog gaat of hoog blijft. Tot nu toe schatten wij vaak in dat dat werkt door voorlichten, tijdig bijsturen, onze verwachtingen uitspreken en duidelijk maken wat de schade is voor de organisatie zelf of mensen als het niet goed gaat. Dat is de keuze die we daarin maken."

De Belgische privacytoezichthouder GBA liet deze week weten dat menselijke fouten vaak de belangrijkste oorzaak van datalekken zijn. "Er is altijd ergens een mens in het spel", merkt Kolthof op. Bij cyberaanvallen blijkt dat mensen bijvoorbeeld in phishing trappen, en zo aanvallers toegang tot systemen geven. "We willen als AP niet zeggen dat de meeste datalekken door menselijke fouten worden veroorzaakt, maar er zijn bij datalekken wel vaak menselijke elementen aan de hand. En wat wij graag van organisaties willen is dat ze maatregelen nemen dat een menselijke fout niet meteen tot een hele grote hack leidt."