37.839 datalekken gemeld, vooral door menselijke fouten en phishing
De Autoriteit Persoonsgegevens (AP) publiceerde begin juli haar jaarlijkse Datalekkenrapportage en die laat weinig te raden over: 2024 is het jaar met het hoogste aantal datalekmeldingen ooit. In totaal werden 37.839 datalekken gemeld, een stijging van bijna 50% ten opzichte van 2023 (25.694 meldingen). Opnieuw zijn verkeerd verzonden brieven, e-mails én phishing de grootste oorzaken van datalekken. De menselijke factor blijft daarmee de belangrijkste zwakke plek in de bescherming van persoonsgegevens.
Groot deel datalekken niet nader onderzocht
Opvallend is dat bij ruim 11.000 meldingen geen nader onderzoek of monitoring heeft plaatsgevonden. Dat betekent dat van bijna een derde van alle datalekken niet duidelijk is wat precies de oorzaak of het verloop is geweest. Hierdoor ontbreekt inzicht in de aard van deze datalekken en is het mogelijk dat terugkerende patronen of risico’s onopgemerkt blijven. Dit onderstreept het belang van betere registratie en analyse, zodat organisaties effectiever kunnen leren van incidenten en structurele verbeteringen kunnen doorvoeren.
Brieven en e-mail opnieuw grootste oorzaak
Veruit de meeste datalekken ontstaan nog altijd door menselijke fouten. In 2024 werden 7.937 meldingen gedaan over verkeerd verzonden brieven en 3.332 meldingen over verkeerd verzonden e-mails. Daarmee vormen deze incidenten samen bijna een derde van alle datalekmeldingen.
Veel voorkomende fouten bij e-mail zijn onder meer:
-
Een verkeerde ontvanger selecteren (bijvoorbeeld door auto-complete)
-
Een typefout in het e-mailadres (@homtail.com i.p.v. @hotmail.com)
-
Een verkeerde of niet bedoelde bijlage meesturen
-
Een bijlage met verborgen informatie, zoals een extra tabblad of BSN-nummers
-
Vergeten classificatie of beveiliging goed toe te passen
Deze fouten tonen aan dat zowel techniek als processen tekortschieten, maar vooral dat de mens het verschil maakt.
Steeds meer cyberaanvallen: phishing en account-takeovers nemen toe
Naast de grote groep datalekken die ontstaat door menselijke fouten, blijken ook cyberaanvallen een groeiend aandeel te hebben in het totaal aantal meldingen. In 2024 werd volgens dezelfde Datalekkenrapportage van de Autoriteit Persoonsgegevens 1.430 keer melding gedaan van een datalek na een cyberaanval, wat neerkomt op bijna 4% van alle datalekken.
Bij deze cyberaanvallen krijgen aanvallers op verschillende manieren toegang tot gevoelige gegevens. In 12% van de onderzochte cyberaanvallen gebeurde dit via menselijke misleiding, bijvoorbeeld doordat een medewerker op een phishinglink klikt en inloggegevens invult. In andere gevallen (28%) kwam de toegang door het misbruiken van technische kwetsbaarheden, zoals niet-gepatchte systemen. Ook kwam toegang regelmatig door het gebruik van zwakke of eerder gelekte wachtwoorden (9%). In 48% van de gevallen bleef de precieze toegangsmethode onbekend.
Een opvallende vorm van cyberaanval is de account-takeover: in 2024 werd 42% van de onderzochte cyberaanvallen veroorzaakt doordat een aanvaller een account, bijvoorbeeld een mailbox, wist over te nemen. Dit soort aanvallen kan grote gevolgen hebben, zoals het versturen van phishingmails vanuit betrouwbare accounts of het verder verspreiden van ransomware binnen een organisatie.
Deze cijfers maken duidelijk dat organisaties niet alleen moeten inzetten op het voorkomen van menselijke fouten, maar ook weerbaar moeten zijn tegen steeds geavanceerdere digitale aanvallen van buitenaf.
Grote impact van cyberaanvallen
2024 liet zien hoe één cyberaanval duizenden organisaties tegelijk kan raken. Een ransomware-aanval op klantcommunicatiebedrijf AddComm leidde tot meer dan 1,5 miljoen slachtoffers. Dit soort incidenten benadrukt het risico van ketenwerking: organisaties zijn kwetsbaar als leveranciers hun beveiliging niet op orde hebben.
Sectoren met de meeste datalekken
De meeste meldingen kwamen, net als voorgaande jaren, uit de sectoren:
-
Gezondheid & welzijn (6.873 meldingen)
-
Openbaar bestuur (4.874 meldingen)
-
Financiële dienstverlening (1.985 meldingen)
In deze sectoren worden veel gevoelige persoonsgegevens verwerkt, waardoor ook kleine incidenten snel moeten worden gemeld.
Belangrijkste lessen uit de AP-rapportage 2024
-
Blijf investeren in bewustwording: Techniek dekt nog niet alle risico’s; op de korte termijn blijven medewerkers de eerste verdedigingslinie.
-
Investeer in oplossingen om menselijke fouten te voorkomen: Slimme technologie die menselijke fouten én phishing voorkomt, kan het grootste deel van de datalekken direct wegnemen.
-
Maak beleid concreet en houd toezicht op naleving: In 40% van de onderzochte gevallen was beleid wel aanwezig, maar werd het niet goed uitgevoerd of gecontroleerd.
-
Implementeer multi-factorauthenticatie (MFA) en monitor verdachte inlogpogingen: Bescherm accounts tegen overnames en detecteer verdachte activiteiten vroegtijdig.
-
Verzamel en bewaar zo min mogelijk data: “Wat je niet hebt, kan ook niet lekken.” Beperk opslag van persoonsgegevens tot het strikt noodzakelijke.
-
Evalueer continu je leveranciers: Eén zwakke schakel in de keten kan desastreuze gevolgen hebben voor de hele organisatie.
Conclusie: Combineer mens, proces en slimme technologie voor betere bescherming
De cijfers over 2024 laten weinig ruimte voor twijfel: menselijke fouten bij brieven en e-mail, én digitale aanvallen zoals phishing blijven de grootste bedreigingen voor privacy en gegevensbescherming. Organisaties doen er verstandig aan niet alleen te investeren in technologie, maar vooral ook te focussen op heldere procedures en blijvende bewustwording van medewerkers. Slimme technologische oplossingen kunnen helpen om menselijke fouten en phishing te voorkomen, maar blijven slechts één onderdeel van een bredere aanpak. Alleen de combinatie van mens, proces én technologie zorgt voor duurzame verbetering van de digitale weerbaarheid.
