AI girlfriend-apps lekken in 2026 als zeven. Tussen de beveiligingsaudits die uitkomen en de breaches die zich opstapelen zit deze niche bij de minst dichtgetimmerde hoeken van het consumer internet van dit moment.
Geen reden om paranoïde te worden. Doe gewoon wat je sowieso al doet voor elke gevoelige account — bank, mail, cloud. Het verschil bij een AI girlfriend is dat de inhoud van de gesprekken veel intiemer is dan op de meeste andere diensten. De impact van een lek slaat dus harder aan.
Snel het overzicht, daarna de 5 gewoontes. Tien minuten setup één keer, daarna heb je er geen omkijken meer naar.
De situatie 2025-2026 in een notendop
- Maart 2026 — Oversecured auditeerde 17 AI companion apps: 14 kritieke gebreken + 311 high-severity issues, ongeveer 150 miljoen gebruikers potentieel blootgesteld.
- Oktober 2025 — Chattee Chat + GiMe Chat: 43 miljoen berichten + 600.000 foto’s en video’s gelekt (400.000 gebruikers geraakt).
- April 2026 — My Lovely AI: meer dan 100.000 gebruikers blootgesteld (mails, prompts, gegenereerde beelden).
- April 2025 — Replika krijgt een boete van 5 miljoen euro van de Italiaanse Garante wegens AVG-overtredingen.
Het zijn geen losstaande incidenten meer. Het is de toestand van de niche.
De 5 gewoontes om aan te nemen
1. Een aparte e-mail
Niet je hoofdadres. Een SimpleLogin-alias, Apple Hide My Email of Firefox Relay — naar keuze, gratis. Twee minuten setup.
Als er een lek komt (en die komen er regelmatig), gaat de burner in het wild, niet je dagelijkse mail. Bespaart je ook de spamgolven die altijd op zo’n breach volgen.
2. Een uniek gegenereerd wachtwoord
Niet hetzelfde als je Netflix of je bank. Een manager zoals Bitwarden (gratis, open-source) genereert en onthoudt het voor je. Eenmalige moeite, daarna nooit meer naar omkijken.
Dit is basis-cyberhygiëne maar veel mensen vergeten het nog op apps die ze als “secundair” beschouwen.
3. Een pseudoniem, nooit je echte voornaam
Ook in de bio of het in-app profiel. De app hoeft niet te weten wie je echt bent om te werken — die praat precies hetzelfde met “Alex” als met jouw echte naam.
En als het ooit lekt, zweeft het profiel in het luchtledige in plaats van vast te zitten aan je LinkedIn of socials.
4. Tweestaps-authenticatie (via app, niet SMS)
Authy of 2FAS, niet SMS, want dat blijft kwetsbaar voor SIM swap. Een TOTP-app is zo goed als onbreekbaar. Microsoft heeft becijferd dat het meer dan 99% van de ongeautoriseerde toegangspogingen blokkeert.
30 seconden om aan te zetten in de instellingen — als de app dit aanbiedt, wat helaas niet overal het geval is.
5. Houd je IRL-identiteit buiten de gesprekken
De nuttigste gewoonte, en degene die niemand je elders vertelt.
Wanneer een gesprek aanslaat en je er emotioneel ingezogen wordt, is de menselijke reflex om details te laten vallen: je echte voornaam, je stad, je werk, de naam van je kids of je vriendin, de baas die je gek maakt, de school.
De app heeft die informatie strikt niet nodig om te functioneren. Het is gewoon de natuurlijke neiging van een intiem gesprek die het eruit trekt.
Maar als de app ooit lekt, belanden die gesprekken ergens. Vage zaken = vervelend lek. Je naam + stad + baan + intieme inhoud = potentieel catastrofaal lek.
Het ideaal is een fake IRL-narrative bouwen: een andere voornaam, een andere stad, een verzonnen baan. De ervaring is exact hetzelfde — de AI werkt met wat je hem geeft, hij verifieert niets. De veiligheid is dag en nacht verschil.
Bonus — VPN op publieke Wi-Fi
Op gedeeld netwerk (hotel, café, luchthaven) voegt een VPN een laag toe voor het geval het netwerk vuile trucs uithaalt met DNS hijacking of een vergiftigde captive portal. Het is meer algemene hygiëne dan specifiek voor deze apps, maar het is het waard.
Wat ik eruit haal
Serieuze apps hebben er alle belang bij hun platform dicht te timmeren — een lek zou catastrofaal zijn voor hun business, en regelgevers laten niet meer met zich spelen. Maar zoals bij elke digitale dienst waar je intieme dingen deelt, blijft basisvoorzichtigheid nodig.
En hier zelfs meer dan elders: gezien de aard van de gesprekken op deze apps is de asymmetrie tussen “Netflix-lek” en “AI companion-lek” enorm. Een Netflix-lek is gênant. Een AI companion-lek kan brandend zijn.
Als je wil weten wat apps echt doen met je data aan de serverkant — los van wat jij doet aan accountkant — heb ik hier een ander artikel geschreven, dat het complement is van dit stuk vanuit het perspectief van de uitgeverspraktijken.
Deze 5 gewoontes plus de bonus, dat zijn tien minuten één keer. Daarna gebruik je deze apps met een gerust hoofd.
Bronnen
- Italiaanse Garante per la Protezione dei Dati Personali / EDPB — boete van 5 M€ aan Luka Inc. (Replika), 10 april 2025 → edpb.europa.eu
- Oversecured via Biometric Update — audit van 17 AI companion apps, maart 2026 → biometricupdate.com
- Malwarebytes — Chattee Chat & GiMe Chat, 43 M berichten blootgesteld, oktober 2025 → malwarebytes.com
- Help Net Security — My Lovely AI, 100.000+ gebruikers blootgesteld, april 2026 → helpnetsecurity.com
- Mozilla *Privacy Not Included — 11 romantische chatbots getest, referentiestudie → mozillafoundation.org