Verzekeraar Aflac Life Insurance Japan heeft een datalek gemeld waarbij de persoonsgegevens van ongeveer 4,38 miljoen klanten zijn ingezien. De aanvallers hadden zeker tien dagen toegang tot het klantportaal voordat het bedrijf iets in de gaten had. Het gaat om de Japanse dochter van de Amerikaanse verzekeringsgigant Aflac Incorporated, en juist dat maakt de zaak leerzaam voor elk bedrijf dat werkt met dochterondernemingen, buitenlandse vestigingen of externe leveranciers die klantgegevens beheren.
Wat er precies gebeurde
Onbevoegden kregen tussen 15 en 25 juni herhaaldelijk toegang tot het polishoudersportaal van Aflac Japan. Opvallend is hoe het aan het licht kwam: het bedrijf ontdekte de inbraak pas op 25 juni, toen de systeembelasting opliep door een plotselinge piek in het verkeer. Niet een beveiligingsalarm, maar tragere servers vormden het eerste signaal. Daarna zijn de betrokken systemen stilgelegd.

De buitgemaakte gegevens omvatten namen, adressen, telefoonnummers en polisgegevens van die 4,38 miljoen klanten. Van ongeveer 230.000 klanten lekten bovendien de bankrekeninggegevens die zij voor hun premiebetalingen gebruiken, en daarnaast raakten zo'n 40.000 verzekeringskantoren betrokken. Creditcardnummers en het Japanse burgerservicenummer (My Number) zaten volgens Aflac niet in de gelekte data. Het bedrijf zegt vooralsnog geen misbruik te hebben vastgesteld en heeft de zaak gemeld bij de Japanse toezichthouder, de Financial Services Agency, en bij de politie.
Tien dagen onopgemerkt: het dochter- en derdenrisico
Voor het Amerikaanse moederbedrijf klonk de eerste boodschap geruststellend. In een melding aan de Amerikaanse beurstoezichthouder SEC benadrukte Aflac dat het incident beperkt bleef tot systemen in Japan en dat de Amerikaanse activiteiten niet zijn geraakt. Maar dat is precies de kern van het probleem. Een concern kan zijn hoofdkantoor tot in de puntjes beveiligen en toch via een dochter, een buitenlandse vestiging of een leverancier worden geraakt, met de reputatie- en juridische gevolgen die daar één op één bij horen.
Dat ketenrisico raakt ook het MKB. Wie software, hosting of administratie uitbesteedt, verplaatst het werk maar niet de verantwoordelijkheid: onder de AVG blijf je als verwerkingsverantwoordelijke aansprakelijk voor wat je verwerker met de gegevens van je klanten doet. Voor bedrijven die onder de nieuwe netwerk- en informatiebeveiligingsrichtlijn vallen wordt dat expliciet, want NIS2 verplicht je om de cyberrisico's in je hele toeleveringsketen te beoordelen en incidenten binnen strakke termijnen te melden. Het begint met een simpele vraag die veel organisaties niet scherp kunnen beantwoorden: waar staan de persoonsgegevens van je klanten fysiek, en op welke juridische grond? Een dochter of leverancier die jouw data beheert, beheert daarmee ook jouw risico.
Datalekcommunicatie bepaalt de nasleep
Dat het tien dagen duurde voordat de inbraak werd opgemerkt, is één ding. Hoe je daarna communiceert, is minstens zo bepalend. Onder de AVG moet je een datalek met risico voor betrokkenen binnen 72 uur bij de Autoriteit Persoonsgegevens melden, en getroffen personen onverwijld informeren zodra het risico hoog is. In Nederland gaat die lat juist omhoog: het kabinet werkt aan een handelingskader dat voorschrijft wat je klanten na een groot datalek precies moeten horen, inclusief voorbeeldteksten en richtlijnen per risicoprofiel. De aanleiding was de moeizame communicatie rond eerdere grote inbreuken, waarbij vooral de nasleep bepaalde of mensen zich konden wapenen tegen fraude of in onzekerheid bleven steken.
De Aflac-casus laat zien waarom die eisen er komen. Bij een lek van bankrekeningnummers is de kans op vervolgfraude, zoals phishing en spoofing waarbij oplichters zich als je bank of verzekeraar voordoen, concreet. Klanten die snel en volledig horen wat er is gebeurd, kunnen alert zijn op verdachte betalingsverzoeken; klanten die weken in het ongewisse blijven, niet.
Wat betekent dit voor jou
Geen enkel bedrijf is te klein voor dit scenario, en de zwakste schakel zit zelden op je eigen hoofdkantoor. Breng in kaart welke dochters, vestigingen en leveranciers klantgegevens verwerken, en leg per partij vast wie bij een incident wat en binnen welke termijn meldt. Zorg dat je detectie niet leunt op toeval, zoals servers die traag worden, maar op logging en monitoring die ongewone toegang zelf opmerkt. En schrijf je communicatiedraaiboek vandaag, niet op de dag dat het misgaat: wie je binnen 72 uur informeert, wat je klanten te horen krijgen en welke maatregelen je hen adviseert. Een datalek is voor een deel pech, maar de tien dagen stilte erna en de manier waarop je het uitlegt zijn een keuze.
Veelgestelde vragen
Grip op je ketenrisico
Ik help je in kaart brengen welke leveranciers en systemen jouw klantdata verwerken, en richt monitoring, meldketen en verwerkersafspraken zo in dat een lek bij een derde je niet verrast. Van meedenken en ontwerp tot realiseren en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
