Elke mei publiceert Verizon het Data Breach Investigations Report (DBIR) — een analyse van tienduizenden echte beveiligingsincidenten en datalekken wereldwijd. De editie van 2026 laat een opvallende verschuiving zien die iedereen raakt die software bouwt, koopt of beheert.
De grote verschuiving: kwetsbaarheden boven wachtwoorden
Negentien jaar lang waren gestolen inloggegevens — gebruikersnamen, wachtwoorden, sessietokens — de meest gebruikte manier voor aanvallers om ergens binnen te komen. Dit jaar is dat voor het eerst anders. Kwetsbaarheden in software zijn nu de belangrijkste inbraakroute, goed voor 31% van alle datalekken. Dat is een stijging van 55% ten opzichte van vorig jaar.
Wat betekent dat in de praktijk? Aanvallers scannen systematisch op bekende fouten in software — van webservers en VPN-systemen tot CMS-platformen en bedrijfsapplicaties. Ze hoeven geen wachtwoord te raden: als jouw software een bekende kwetsbaarheid heeft en die nog niet is gepatcht, is de deur open.
Patchen gaat langzamer, niet sneller
Het verontrustende is niet alleen dat aanvallers vaker kwetsbaarheden misbruiken, maar dat verdedigers langzamer worden met het dichten ervan. Het DBIR laat zien dat slechts 26% van de door CISA als kritiek aangemerkte kwetsbaarheden volledig werd opgelost in 2025. Het jaar ervoor was dat nog 38%. De mediane tijd tot volledig herstel steeg naar 43 dagen — meer dan genoeg voor een aanvaller om toe te slaan.
Tel daarbij op dat organisaties vorig jaar 50% meer kritieke kwetsbaarheden moesten patchen dan het jaar ervoor, en het beeld wordt duidelijk: de patch-snelheid houdt de aanvals-snelheid niet bij.
De mediane reparatietijd voor kritieke kwetsbaarheden is 43 dagen. In die tijd kan een aanvaller al lang binnen zijn.
Je leverancier als zwakste schakel
Misschien wel de meest impactvolle bevinding: 48% van alle datalekken begint bij een derde partij. Dat is een stijging van 60% ten opzichte van vorig jaar. Concreet: bijna de helft van alle lekken is niet te herleiden tot iets wat de organisatie zelf fout deed, maar tot een leverancier, clouddienst, softwarepakket of dienstverlener in de keten.
Dat sluit aan bij wat we ook in andere recente incidenten zien. De EssentialPlugin supply chain hack trof 400.000+ websites via een gekaapte WordPress-plugin. En supply chain attacks via dependencies groeien jaar op jaar. Het DBIR onderbouwt met harde cijfers wat die incidenten al lieten zien: je bent zo veilig als je zwakste leverancier.
Het rapport noemt specifiek dat MFA-problemen bij externe leveranciers gemiddeld een maand duurden om op te lossen, maar dat slechts 23% van die partijen het probleem überhaupt volledig oploste. Zwakke wachtwoorden en misconfiguraties bij derden bleven gemiddeld acht maanden bestaan.
Shadow AI: de onzichtbare datalekroute
Een relatief nieuwe categorie in het DBIR is het risico van ongeautoriseerd AI-gebruik door medewerkers, ook wel shadow AI genoemd. De cijfers zijn opvallend: 45% van werknemers gebruikt regelmatig AI-tools, een verdrievoudiging ten opzichte van vorig jaar. Van die gebruikers logt 67% in met een privé-account in plaats van een zakelijk account.
Het meest gedeelde datatype via ongeautoriseerde AI-platforms? Broncode. Gevolgd door interne documenten en klantgegevens. Shadow AI is inmiddels de derde meest voorkomende niet-kwaadwillende insideractie in data loss prevention-systemen — een verviervoudiging in één jaar.
Het is precies het scenario waar we eerder over schreven in Vibe-coded apps lekken bedrijfsdata: medewerkers met goede bedoelingen die onbewust gevoelige informatie delen met externe diensten. Een helder AI-beleid is geen luxe meer, maar noodzaak.
De menselijke factor blijft hardnekkig
Ondanks alle technologische verschuivingen speelt de mens een rol in 62% van alle datalekken. Sociale engineering — phishing, smishing, voice phishing — evolueert mee met de technologie. Het rapport signaleert een stijging van 40% in mobiele social engineering-aanvallen, aangedreven door AI-gegenereerde berichten die overtuigender zijn dan ooit.
De combinatie is verraderlijk: AI maakt aanvallen schaalbaarder en geloofwaardiger, terwijl diezelfde AI bij de verdedigers leidt tot nieuwe lekrisico's via shadow AI. Aanvallers gebruiken AI om sneller te werken — van het vinden van kwetsbaarheden tot het schrijven van malware — terwijl verdedigers de governance nog niet op orde hebben.
Ransomware: minder betalen, meer druk
Het DBIR meldt dat de mediane ransomware-betaling is gedaald naar 139.875 dollar, een lichte daling ten opzichte van vorig jaar. Belangrijker: 69% van de slachtoffers kiest ervoor om niet te betalen. Maar voor het MKB is de operationele schade vaak erger dan het losgeld zelf — dagen tot weken stilstand, dataverlies en reputatieschade.
Bij de helft van de ransomware-slachtoffers die eerder te maken hadden met een infostealer of credential-diefstal, waren de inloggegevens al binnen 95 dagen voor het ransomware-incident gestolen. Credential-diefstal is dus vaak de voorbode van een grotere aanval — nog een reden om tweestapsverificatie en wachtwoordmonitoring serieus te nemen.
Wat je hieraan kunt doen
1. Patch snel en structureel
Zorg dat beveiligingsupdates voor je software, servers en afhankelijkheden niet weken of maanden blijven liggen. Automatiseer waar mogelijk en maak patching een vast onderdeel van je onderhoudsproces — niet iets dat erbij komt als het uitkomt.
2. Controleer je leveranciers
Vraag je softwareleveranciers en clouddiensten hoe zij omgaan met kwetsbaarheden en patching. Welke SLA hanteren ze? Hoe snel worden kritieke patches uitgerold? Dit is precies wat de Cyberbeveiligingswet en NIS2 ook van je vragen: ketenverantwoordelijkheid.
3. Stel AI-richtlijnen op
Met 45% van je medewerkers die regelmatig AI-tools gebruikt, kun je het je niet veroorloven om geen beleid te hebben. Bepaal welke tools zijn toegestaan, onder welke voorwaarden, en welke data er niet in mag. Lees onze handleiding voor AI-beleid voor een concrete aanpak.
4. Investeer in bewustzijn
Technische maatregelen zijn essentieel, maar de menselijke factor speelt bij 62% van de lekken mee. Zorg dat medewerkers phishing herkennen, weten wanneer ze alarm moeten slaan, en begrijpen waarom ze geen bedrijfsdata in willekeurige AI-tools moeten plakken.
5. Bouw security in vanaf het begin
Laat je software bouwen of ontwikkel je zelf? Dan is security by design geen luxe. Dependency scanning, geautomatiseerde updates en een duidelijk patchbeleid horen bij het fundament — niet bij de afronding.
Conclusie
Het Verizon DBIR 2026 maakt pijnlijk duidelijk: de basis is niet op orde. Organisaties worden langzamer met patchen terwijl aanvallers sneller worden. Bijna de helft van alle lekken begint bij een leverancier in de keten. En shadow AI introduceert een nieuw type risico dat de meeste organisaties nog niet beheersen.
Het goede nieuws: de oplossingen zijn niet exotisch. Snel patchen, leveranciers bevragen, AI-beleid opstellen en security vanaf het ontwerp inbouwen. Het zijn dezelfde dingen die de nieuwe cyberwetten ook van je vragen — en die het DBIR nu met cijfers onderbouwt.
Wil je weten hoe jouw software ervoor staat, of zoek je een partner die security serieus neemt? Neem contact op — we denken graag mee.
