De Autoriteit Persoonsgegevens (AP) ontving in 2025 meer dan 39.000 meldingen van datalekken, een lichte stijging ten opzichte van bijna 38.000 meldingen in 2024. Dit blijkt uit de Datalekkenrapportage 2025 die de privacytoezichthouder recent publiceerde.

De meeste datalekken werden veroorzaakt door fouten bij het versturen van brieven. Van de ruim 39.000 meldingen vielen er meer dan 25.000 in de categorie 'Brief', vaak door verkeerd geadresseerde poststukken. Op de tweede plaats staan datalekken door e-mail, met meer dan 4.200 meldingen, eveneens meestal door adresseringsproblemen. Cyberaanvallen leidden tot 2.400 datalekmeldingen, een stijging ten opzichte van 1.500 in 2024. Binnen deze categorie was er een opvallende toename van account takeovers, waarbij aanvallers via phishing toegang tot accounts verkrijgen. Van de 2.400 cyberaanvallen waren er ruim 1.700 gerelateerd aan deze methode, tegenover 600 in het voorgaande jaar.

De AP noemt account takeovers een populaire tactiek voor cybercriminelen om persoonsgegevens te bemachtigen en als startpunt voor grotere aanvallen. Daarnaast werden in 2025 136 ransomware-aanvallen gemeld, die samen 283 datalekken veroorzaakten, iets meer dan de 127 aanvallen in 2024. Ook fysieke incidenten, zoals het verliezen of stelen van laptops, telefoons en dossiers, leidden tot meer dan 400 datalekken, vooral binnen de sector gezondheid en welzijn. De AP benadrukt dat organisaties die usb-sticks toestaan, deze goed moeten beveiligen en dat bij een verbod op usb-gebruik medewerkers bewust gemaakt moeten worden van de risico’s en veilige alternatieven aangeboden dienen te worden.