AP: AI vergroot gevaren van cyberaanvallen
De snelle groei van artificiële intelligentie (AI) vergroot de gevaren van cyberaanvallen. Er ontstaan meer risico’s op phishing en datalekken. Daarvoor waarschuwt de Autoriteit Persoonsgegevens (AP) in het jaarlijkse overzicht van datalekken in Nederland. Organisaties moeten nú in actie komen en hun digitale veiligheid op orde brengen, aldus de AP. Alleen zo kunnen zij gegevens van mensen beschermen tegen steeds geavanceerdere vormen van cybercriminaliteit.
De risico’s komen van twee kanten en versterken elkaar, tot grote zorg van de AP. Phishingaanvallen, die door AI steeds geavanceerder kunnen worden, zijn zowel een gevolg van datalekken als steeds vaker de oorzaak daarvan.
Steeds echter lijkende phishingberichten
Aan de ene kant stelt AI criminelen in staat om sneller en op grotere schaal steeds echter lijkende nepberichten (phishingberichten) te maken en naar potentiële slachtoffers te sturen. Als ingrediënten voor die gerichte, gepersonaliseerde phishingberichten gebruiken criminelen onder meer informatie die zij eerder al in handen hebben gekregen na datalekken. Denk aan de naam en contactgegevens van een potentieel slachtoffer plus de naam van de bank van deze persoon of van een bedrijf waar diegene klant is.
Drie keer zo veel 'account takeovers'
Aan de andere kant zijn phishingaanvallen niet alleen een gevolg van datalekken, maar daar ook – steeds vaker – een oorzaak van. Een e-mail met daarin een echt lijkende neplink kan er bijvoorbeeld toe leiden dat het account van een werknemer van een organisatie wordt overgenomen, waarna een grotere cyberaanval op de organisatie begint.
De AP ziet een sterke stijging van dit soort 'account takeovers': van 607 in 2024 naar 1.742 in 2025 – bijna een verdrievoudiging.
Vliegwieleffect dreigt
Zo dreigt er alles bij elkaar een vliegwieleffect. Criminelen kunnen met door AI gegenereerde phishingberichten vaker en sneller proberen data te stelen. Om vervolgens de gestolen data in AI-toepassingen te stoppen, die er weer nieuwe, 'verbeterde' phishingberichten mee maken. Waarmee de criminelen vervolgens weer particulieren of werknemers proberen op te lichten, enzovoorts. Zo ontstaat er een steeds sterkere wisselwerking tussen datalekken en cybercriminaliteit. Daarom is het essentieel dat organisaties hun digitale bescherming op peil brengen.
Kant-en-klare 'phishing kits'
Een zorgelijke ontwikkeling hierbij is de beschikbaarheid van kant-en-klare 'phishing kits'. Dat zijn complete, digitale doe-het-zelfpakketten waarmee kwaadwillenden zonder al te veel technologische kennis aan de slag kunnen. Deze phishing kits worden verhandeld op het internet. In de nieuwste datalekkenrapportage gaat de AP hier dieper op in.
Ingrijpende hacks
'De afgelopen tijd hebben we in Nederland een reeks aan grote en ingrijpende hacks gezien. Door AI dreigen de gevaren bij zulke datalekken alleen maar groter te worden', waarschuwt AP-vicevoorzitter Monique Verdier.
Bovenaan de agenda
De Tweede Kamer heeft dit jaar in commissiedebatten en vergaderingen speciale aandacht besteed aan de problematiek rond datalekken en cyberveiligheid. De AP heeft op uitnodiging van de Kamer toelichting hierop gegeven. De gevolgen van de opkomst van AI voor datalekken en cyberveiligheid laten zien dat de maatschappelijke urgentie geen moment mag verslappen, integendeel. Verdier: 'Digitale veiligheid moet absoluut bovenaan de agenda staan.'
Beveiliging is chefsache
Ook voor organisaties is het noodzaak om naar digitale veiligheid te kijken. De AP adviseert daarover in de nieuwste datalekkenrapportage, maar ook tijdens doorlopende overleggen met onder meer bedrijfsleven en overheid. De ontwikkelingen laten zien hoe nauw AI, cyberveiligheid en de bescherming van persoonsgegevens inmiddels met elkaar zijn verweven. Daarom zet de AP zich in voor veilige en weerbare digitale diensten, zodat mensen erop kunnen vertrouwen dat hun persoonsgegevens in de digitale wereld goed worden beschermd.
Van bestuurders en directies van met name grotere organisaties verwacht de AP onderhand dat zij digitale veiligheid als hoofdzaak behandelen en niet als een ondergeschoven kindje. Verdier: 'Digitale veiligheid is chefsache. Je hebt als directeur of bestuursvoorzitter ook een maatschappelijke verantwoordelijkheid. Richting je klanten en je medewerkers. En als je er zakelijker naar wilt kijken: je kostenpost na een hack is tig keer groter dan de investering waarmee je van tevoren je digitale zaken op orde kunt brengen. Bespaar jezelf de ellende dat je klanten bij je weglopen, omdat jij hun gegevens niet goed genoeg beveiligt. Word, kortom, niet de volgende die wordt gehackt. Breng je beveiliging nú op orde.'
Verder lezen
Meer informatie staat in de nieuwste datalekkenrapportage van de AP. In totaal zijn in 2025 bij de AP 39.407 datalekken gemeld, tegenover 37.839 in 2024. Cyberaanvallen waren de oorzaak van 2.428 van de gemelde datalekken.