IBM: Kosten datalekken Benelux gestegen tot gemiddeld zes miljoen euro

IBM heeft haar onderzoek Cost of a Data Breach Report gepubliceerd, waaruit blijkt dat de kosten van datalekken in de Benelux zijn gestegen tot gemiddeld zes miljoen euro, ondanks een wereldwijde daling van de gemiddelde kosten. Daarnaast blijkt uit het onderzoek dat Artificial Intelligence een makkelijk te treffen en waardevol doelwit is.

Uit het onderzoek blijkt dat de gemiddelde kosten van een datalek in de Benelux in 2025 zijn opgelopen tot zes miljoen euro, een stijging ten opzichte van 550.000,- euro in 2024. De toename weerspiegelt een bredere ontwikkeling: datalekken worden niet alleen frequenter waargenomen, maar ook duurder. De schade per incident neemt toe, onder meer doordat het aantal gelekte persoonsgegevens is gestegen van gemiddeld 25.000 naar 26.400 records.

Een opvallend aspect van het onderzoek is de rol van Artificial Intelligence en automatisering. Organisaties die AI en security automation uitgebreid inzetten, rapporteren beduidend lagere kosten per incident (5,18 miljoen euro) dan organisaties die AI beperkt (5,83 miljoen euro) of helemaal niet (7,23 miljoen euro) gebruiken. Daarnaast verkort AI de reactietijd aanzienlijk: bedrijven met vergaande AI-integratie detecteren een datalek gemiddeld in 166 dagen en weten het incident binnen 51 dagen in te dammen. Bij organisaties zonder AI duurt dat respectievelijk 245 en 70 dagen.

Shadow AI
Toch brengt AI ook nieuwe risico’s met zich mee. Het gebruik van niet-goedgekeurde of ongecontroleerde AI-oplossingen, ook wel ‘shadow AI’ genoemd, verhoogt de totale kosten van een datalek met gemiddeld 200.474 euro. Dit komt bovenop de impact van andere risicofactoren, zoals supply chain aanvallen (274.804 euro) en de complexiteit van beveiligingssystemen (270.996 euro).

Om die risico’s te beheersen, nemen steeds meer organisaties aanvullende maatregelen. Zo geeft 37 procent aan toegangscontroles op AI-systemen te hanteren, voert 32 procent regelmatige modelaudits uit en valideert 29 procent actief de trainingsdata die AI-modellen gebruiken. Toch geeft slechts 27 procent van de organisaties aan over formeel beleid te beschikken om het gebruik van AI in goede banen te leiden; bij bijna de helft (48 procent) is dat beleid nog in ontwikkeling.

“De data toont aan dat er een kloof bestaat tussen AI-adoptie en toezicht, en dat cybercriminelen daar al gebruik van maken,” zegt Suja Viswesan, Vice President Security and Runtime Products bij IBM. “Het onderzoek laat een gebrek aan basiscontroles zien voor AI-systemen, waardoor gevoelige data wordt blootgesteld en modellen kwetsbaar zijn voor manipulatie. Nu AI steeds dieper wordt geïntegreerd in bedrijfsprocessen, moet AI-beveiliging als fundamenteel worden gezien. De kosten van niets doen zijn niet alleen financieel, maar betekenen ook verlies van vertrouwen, transparantie en controle.”

Operationele gevolgen van een datalek
Volgens het IBM onderzoek ervaart bijna elke onderzochte organisatie operationele verstoring na een datalek. Herstel duurt vaak langer dan 100 dagen. Ondanks een lichte afname ten opzichte van vorig jaar, gaf bijna de helft aan de prijzen van producten of diensten te willen verhogen vanwege het datalek, waarvan bijna een derde met een prijsstijging van 15 procent of meer.

Cost of a Data Breach Report
Het Cost of a Data Breach Report heeft de afgelopen 20 jaar bijna 6.500 datalekken onderzocht. Sinds het eerste onderzoek in 2005 is het type datalek sterk veranderd; risico’s zijn verschoven van fysieke diefstal naar digitale aanvallen, die steeds doelgerichter worden. Met de snelle opkomst van AI is dit jaar voor het eerst specifiek onderzocht hoe AI-beveiliging, governance, datalekken veroorzaakt door AI en shadow AI het risicoprofiel beïnvloeden. Het rapport van 2025, uitgevoerd door het Ponemon Institute en gesponsord en geanalyseerd door IBM, is gebaseerd op datalekken bij 600 organisaties wereldwijd, waaronder 30 in Nederland, die plaatsvonden tussen maart 2024 en februari 2025.