Een rood hangslot op een zwart computertoetsenbord
Nieuws1 juli · 06:295 min leestijd

Datalek bij Aflac Japan raakt 4,38 miljoen klanten: de les over dochter- en derdenrisico

Een hack bij de Japanse dochter van verzekeraar Aflac bleef tien dagen onopgemerkt en raakte 4,38 miljoen klanten. Een scherpe casus over dochter- en derdenrisico en over hoe je na een datalek communiceert.

Verzekeraar Aflac Life Insurance Japan heeft een datalek gemeld waarbij de persoonsgegevens van ongeveer 4,38 miljoen klanten zijn ingezien. De aanvallers hadden zeker tien dagen toegang tot het klantportaal voordat het bedrijf iets in de gaten had. Het gaat om de Japanse dochter van de Amerikaanse verzekeringsgigant Aflac Incorporated, en juist dat maakt de zaak leerzaam voor elk bedrijf dat werkt met dochterondernemingen, buitenlandse vestigingen of externe leveranciers die klantgegevens beheren.

Wat er precies gebeurde

Onbevoegden kregen tussen 15 en 25 juni herhaaldelijk toegang tot het polishoudersportaal van Aflac Japan. Opvallend is hoe het aan het licht kwam: het bedrijf ontdekte de inbraak pas op 25 juni, toen de systeembelasting opliep door een plotselinge piek in het verkeer. Niet een beveiligingsalarm, maar tragere servers vormden het eerste signaal. Daarna zijn de betrokken systemen stilgelegd.

Het Japanse Aflac-logo in katakana (アフラック) van dochteronderneming Aflac Life Insurance Japan, Aflac Life Insurance Japan Ltd. / Wikimedia Commons (publiek domein)
Het Japanse Aflac-logo in katakana (アフラック) van dochteronderneming Aflac Life Insurance Japan, Aflac Life Insurance Japan Ltd. / Wikimedia Commons (publiek domein)

De buitgemaakte gegevens omvatten namen, adressen, telefoonnummers en polisgegevens van die 4,38 miljoen klanten. Van ongeveer 230.000 klanten lekten bovendien de bankrekeninggegevens die zij voor hun premiebetalingen gebruiken, en daarnaast raakten zo'n 40.000 verzekeringskantoren betrokken. Creditcardnummers en het Japanse burgerservicenummer (My Number) zaten volgens Aflac niet in de gelekte data. Het bedrijf zegt vooralsnog geen misbruik te hebben vastgesteld en heeft de zaak gemeld bij de Japanse toezichthouder, de Financial Services Agency, en bij de politie.

Tien dagen onopgemerkt: het dochter- en derdenrisico

Voor het Amerikaanse moederbedrijf klonk de eerste boodschap geruststellend. In een melding aan de Amerikaanse beurstoezichthouder SEC benadrukte Aflac dat het incident beperkt bleef tot systemen in Japan en dat de Amerikaanse activiteiten niet zijn geraakt. Maar dat is precies de kern van het probleem. Een concern kan zijn hoofdkantoor tot in de puntjes beveiligen en toch via een dochter, een buitenlandse vestiging of een leverancier worden geraakt, met de reputatie- en juridische gevolgen die daar één op één bij horen.

Dat ketenrisico raakt ook het MKB. Wie software, hosting of administratie uitbesteedt, verplaatst het werk maar niet de verantwoordelijkheid: onder de AVG blijf je als verwerkingsverantwoordelijke aansprakelijk voor wat je verwerker met de gegevens van je klanten doet. Voor bedrijven die onder de nieuwe netwerk- en informatiebeveiligingsrichtlijn vallen wordt dat expliciet, want NIS2 verplicht je om de cyberrisico's in je hele toeleveringsketen te beoordelen en incidenten binnen strakke termijnen te melden. Het begint met een simpele vraag die veel organisaties niet scherp kunnen beantwoorden: waar staan de persoonsgegevens van je klanten fysiek, en op welke juridische grond? Een dochter of leverancier die jouw data beheert, beheert daarmee ook jouw risico.

Datalekcommunicatie bepaalt de nasleep

Dat het tien dagen duurde voordat de inbraak werd opgemerkt, is één ding. Hoe je daarna communiceert, is minstens zo bepalend. Onder de AVG moet je een datalek met risico voor betrokkenen binnen 72 uur bij de Autoriteit Persoonsgegevens melden, en getroffen personen onverwijld informeren zodra het risico hoog is. In Nederland gaat die lat juist omhoog: het kabinet werkt aan een handelingskader dat voorschrijft wat je klanten na een groot datalek precies moeten horen, inclusief voorbeeldteksten en richtlijnen per risicoprofiel. De aanleiding was de moeizame communicatie rond eerdere grote inbreuken, waarbij vooral de nasleep bepaalde of mensen zich konden wapenen tegen fraude of in onzekerheid bleven steken.

De Aflac-casus laat zien waarom die eisen er komen. Bij een lek van bankrekeningnummers is de kans op vervolgfraude, zoals phishing en spoofing waarbij oplichters zich als je bank of verzekeraar voordoen, concreet. Klanten die snel en volledig horen wat er is gebeurd, kunnen alert zijn op verdachte betalingsverzoeken; klanten die weken in het ongewisse blijven, niet.

Wat betekent dit voor jou

Geen enkel bedrijf is te klein voor dit scenario, en de zwakste schakel zit zelden op je eigen hoofdkantoor. Breng in kaart welke dochters, vestigingen en leveranciers klantgegevens verwerken, en leg per partij vast wie bij een incident wat en binnen welke termijn meldt. Zorg dat je detectie niet leunt op toeval, zoals servers die traag worden, maar op logging en monitoring die ongewone toegang zelf opmerkt. En schrijf je communicatiedraaiboek vandaag, niet op de dag dat het misgaat: wie je binnen 72 uur informeert, wat je klanten te horen krijgen en welke maatregelen je hen adviseert. Een datalek is voor een deel pech, maar de tien dagen stilte erna en de manier waarop je het uitlegt zijn een keuze.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je ketenrisico

Ik help je in kaart brengen welke leveranciers en systemen jouw klantdata verwerken, en richt monitoring, meldketen en verwerkersafspraken zo in dat een lek bij een derde je niet verrast. Van meedenken en ontwerp tot realiseren en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen
Nieuws
5 min

4 jul 06:11

Datalek bij pacemakerfabrikant Medtronic raakt 3,8 miljoen mensen

Bij Medtronic, maker van pacemakers en insulinepompen, zijn de gegevens van ruim 3,8 miljoen mensen gelekt na een inbraak in de eigen bedrijfssystemen. Een scherpe casus over het risico van je leverancier.

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling
Nieuws
5 min

1 jul 12:07

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling

Een configuratiewijziging in een Microsoft-omgeving maakte gevoelige persoonsgegevens bijna een jaar toegankelijk binnen Avans' systeem AMIGO. Geen hack, wel een pijnlijke les over toegangsbeheer voor elk bedrijf.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan
Nieuws
4 min

6 jul 20:11

DigiD-beheerder Solvinity vecht overnameverbod van de staat aan

Solvinity, het bedrijf achter DigiD, vecht in een kort geding het verbod aan waarmee de staat zijn overname door het Amerikaanse Kyndryl blokkeerde. De zaak toont hoe eigenaarschap van digitale infrastructuur een veiligheidskwestie is geworden.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

AI voor de makelaar: woningteksten, leadopvolging en bezichtigingsplanning automatiseren
Gids
8 min

2 jul 20:31

AI voor de makelaar: woningteksten, leadopvolging en bezichtigingsplanning automatiseren

Woningteksten schrijven, Funda-leads opvolgen en bezichtigingen inplannen kost een makelaarskantoor uren per week. Ik laat stap voor stap zien waar AI dat werk overneemt, en precies waar de AVG-grens ligt.