De Autoriteit Persoonsgegevens (AP) heeft haar Datalekkenrapportage 2024 gepubliceerd en daarin valt vooral de forse toename van datalekken door cyberaanvallen op. Nederland blijkt een aantrekkelijk doelwit voor cybercriminelen. Geopolitieke spanningen vertalen zich naar digitale dreigingen en een succesvolle cyberaanval ondermijnt het vertrouwen in organisaties, de economie en de samenleving. In 2024 kreeg de AP bijna 38.000 meldingen van datalekken. Cyberaanvallen namen toe en schade liep op tot tonnen. De AP signaleert dat veel organisaties reactief handelen en pas na een incident in actie komen. De toezichthouder roept op tot een proactieve aanpak: organisaties moeten aantoonbaar ‘in control’ zijn – vóórdat het misgaat.

In dit artikel zetten we de belangrijkste signalen uit de rapportage op een rij en leggen we uit wat u nu kunt doen om grip te houden op risico’s en ketenafhankelijkheden.

Cyberaanvallen: groeiend gevaar en meer datadiefstal

Uit de rapportage blijkt dat het aantal datalekken door gerichte cyberaanvallen flink is toegenomen. In 2024 ontving de AP 1.430 datalekmeldingen die het gevolg waren van hacking, ransomware, malware of phishing – een stijging van 9% ten opzichte van 2023. Met name ransomware-aanvallen zorgen voor veel schade: criminelen stelen nu bij minstens 53% van deze aanvallen data, terwijl dat in 2023 bij 24% van de gevallen gebeurde. Deze bijna verdubbeling laat zien hoe ransomware steeds vaker gepaard gaat met datadiefstal. Zo kunnen aanvallers organisaties extra onder druk zetten door te dreigen gevoelige informatie te lekken als er niet betaald wordt. Een enkel incident kan enorme gevolgen hebben: door een hack bij een IT-leverancier (klantcommunicatiebedrijf AddComm) raakten bijvoorbeeld meer dan 5.000 organisaties – en circa 1,5 miljoen mensen – betrokken bij één datalek. Dit toont aan hoe één cyberaanval zich als een olievlek door een keten van bedrijven kan verspreiden (leveranciersketen-risico). De AP ziet dan ook regelmatig dat één aanval een hele keten van dienstverlening treft.

Account-takeovers: het grootste aandeel in aanvallen

Opvallend is dat account-takeovers verantwoordelijk waren voor 42% van alle gemelde cyberaanvallen in 2024. Bij een account-takeover krijgt een onbevoegde toegang tot een account, vaak via gestolen of geraden inloggegevens. Zo’n overgenomen account lijkt op het eerste gezicht minder ernstig dan ransomware. Het is echter zo dat cybercriminelen een gekaapt account kunnen gebruiken om van binnenuit phishingmails te versturen of om malware verder te verspreiden in de organisatie.

De AP dringt er bij organisaties op aan zich beter te wapenen tegen account-takeovers. Enkele belangrijke maatregelen die elke organisatie zou moeten nemen:

• Multifactorauthenticatie (MFA) inschakelen op alle accounts. Hiermee wordt het veel lastiger voor aanvallers om met alleen een wachtwoord binnen te dringen.
• Verdachte inlogpogingen detecteren en opvolgen: stel alerts in of gebruik monitoring om ongebruikelijke login-locaties of -tijden op te merken. Vroegtijdige detectie kan een aanval in de kiem smoren.
• Minimaliseer data en toegangsrechten: geef accounts alleen toegang tot gegevens die ze echt nodig hebben, en bewaar zo min mogelijk persoonsgegevens. Wat niet verzameld of bewaard wordt, kan ook niet gestolen worden.
• Controleer regelmatig de beveiliging van systemen en data, zowel intern als bij externe dienstverleners. Test bijvoorbeeld de sterkte van wachtwoorden, de werking van MFA en of leveranciers hun beveiligingsafspraken nakomen.

De AP stelt dat met deze relatief laagdrempelige stappen de kans op een account-takeover aanzienlijk wordt verkleind, of de impact ervan wordt beperkt.

Grote impact voor slachtoffers en organisaties

Datalekken door cyberaanvallen hebben grote impact op de levens van slachtoffers. Persoonsgegevens in verkeerde handen leiden al snel tot vervolgschade. Bijvoorbeeld: met een kopie van een identiteitsbewijs kunnen fraudeurs zich voordoen als het slachtoffer en financiële of criminele activiteiten op diens naam uitvoeren. De AP signaleerde via het Centraal Meldpunt Identiteitsfraude (CMI) dat er in 2024 duizenden gevallen van (mogelijke) identiteitsfraude waren als gevolg van dergelijke datadiefstal.

Ook voor getroffen organisaties zijn de gevolgen fors. Naast imagoschade kunnen de directe financiële kosten hoog oplopen. Uit de AP-rapportage volgt dat een cyberaanval een organisatie gemiddeld € 103.976 kost. Er zijn zelfs voorbeelden uit 2024 van aanvallen die de organisatie “tonnen” hebben gekost.

Daarnaast loopt een organisatie bij nalatigheid risico op handhaving en juridische claims. De AP kan na een datalek onderzoek instellen en sancties opleggen. In 2024 heeft de AP 28 zeer ernstige datalekken onderzocht; in enkele gevallen werd een boete uitgedeeld bijvoorbeeld omdat de basisbeveiliging duidelijk tekortschoot. Ook kunnen slachtoffers schadevergoeding eisen. Als blijkt dat een organisatie in strijd met de AVG (GDPR) heeft gehandeld – bijvoorbeeld door onvoldoende beveiligingsmaatregelen – en iemand lijdt daardoor schade, dan heeft het slachtoffer recht op compensatie. Zij kunnen daarvoor een rechtszaak aanspannen. Met andere woorden: een datalek kan leiden tot toezichtmaatregelen én aansprakelijkheid jegens gedupeerden.

AP eist beter cyberbeveiligingsbeleid van organisaties

De bevindingen van de AP tonen dat veel organisaties nog niet voldoende zijn voorbereid op de digitale aanvallen. Uit verdiepend onderzoek bleek dat in 33% van de gevallen geen of onvoldoende beleid tegen cyberaanvallen bestond en in 40% wel beleid was maar de uitvoering of controle daarop ernstig tekort schoot. Met andere woorden, in driekwart van de onderzochte datalekken ontbraken effectieve maatregelen of werd het eigen cybersecuritybeleid niet nageleefd. Dit maakte de getroffen organisaties onnodig kwetsbaar. Slechts 15% van de ondervraagde organisaties gaf aan dat de aanval echt niet te voorkomen was. De AP verwacht dan ook meer van organisaties op dit gebied.

Concreet roept de AP alle organisaties die persoonsgegevens verwerken op om nú proactief maatregelen te nemen tegen cyberaanvallen. Dit begint bij een solide cyberbeveiligingsbeleid op directieniveau, dat regelmatig wordt bijgewerkt en getoetst. Daarnaast moet aandacht worden besteed aan de digitale weerbaarheid binnen de hele keten.

De Datalekkenrapportage 2024 is een wake-up call voor organisaties in alle sectoren. Cyberaanvallen zijn een groeiend risico en de schade – financieel én maatschappelijk – kan enorm zijn. Het is aan bestuurders en privacyprofessionals om hier prioriteit aan te geven. Bescherm de gegevens van klanten en medewerkers door structureel werk te maken van cybersecurity.

Download hier het volledige rapport van de AP.

Heeft u vragen over het interpreteren van deze rapportage of wilt u sparren over het verbeteren van uw cyberweerbaarheid? Neem gerust contact met ons op. Als privacy-experts helpen wij organisaties om effectief beleid te ontwikkelen en uit te voeren, zodat datalekken voorkomen kunnen worden.

Naar het overzicht