Ernst & Young meldt een datalek nadat aanvallers toegang kregen tot een extern supportsysteem waarin documenten met belastinggegevens van klanten stonden, blijkt uit een klantmelding die beveiligingsmedia inzagen.
Voor een Nederlandse ondernemer verschuift dit de vraag over gegevensbescherming naar buiten de eigen muren. De data die hier blootlag, persoonlijke en financiële gegevens uit belastingaangiften, is precies het soort informatie dat je aan je accountant of fiscaal adviseur toevertrouwt. De inbraak zat niet in EY's kernsystemen, maar in een ticketplatform van een derde partij. Dat maakt de keten van vertrouwen zichtbaar: je fiscale gegevens zijn zo goed beveiligd als de zwakste leverancier die je adviseur inschakelt.
Wat er precies gebeurde
De aanvallers hadden tussen 28 maart en 12 april 2026 toegang tot het systeem, waarna EY op 23 april afwijkende activiteit opmerkte. Het gaat om een extern IT-servicemanagementplatform dat de fiscale praktijk van EY gebruikt voor klantsupport; de naam van dat systeem is niet vrijgegeven. Klanten dienden via dat platform supporttickets in, en in die tickets zaten documenten met persoonlijke en financiële gegevens die worden gebruikt om belastingaangiften op te stellen.
Hoeveel klanten geraakt zijn, heeft EY niet bekendgemaakt. De meldingen die tot nu toe zijn opgedoken betreffen Amerikaanse klanten; of het incident ook klanten in andere landen raakt, is onbevestigd. Geen enkele ransomware- of afpersgroep heeft de aanval opgeëist, en EY zegt geen aanwijzing te hebben dat de gegevens gericht zijn misbruikt. Het kantoor beveiligde de systemen, schakelde externe specialisten in, waarschuwde de federale opsporingsdiensten en biedt getroffenen 24 maanden identiteitsmonitoring via Experian, met een inschrijftermijn tot 31 oktober 2026.

Waarom dit je leveranciersrisico raakt
Het patroon is niet nieuw, maar wel hardnekkig: de zwakke plek zit steeds vaker bij een leverancier, niet bij het bedrijf zelf. Toen een hack bij een IT-dienstverlener persoonsgegevens van de Lidl-webshop lekte, was het Lidl dat zijn klanten moest waarschuwen en het lek moest melden, niet de gehackte leverancier. Dezelfde logica geldt hier: EY draagt de melding en de reputatieschade, ook al zat de inbraak bij een derde.
Voor jouw organisatie ligt de spiegel dubbel. Vertrouw je gevoelige data toe aan een adviseur of softwareleverancier, dan erf je hun beveiligingsrisico. En lekt via jouw eigen leverancier de data van je klanten of medewerkers, dan blijf jij, en niet je leverancier, degene die het lek binnen 72 uur bij de Autoriteit Persoonsgegevens moet melden. Dat betekent weten welke externe partijen jouw data verwerken, wat er in je verwerkersovereenkomsten staat, en of je die data desnoods zelf kunt exporteren.
De zwakste schakel verschuift naar buiten
De kern van dit lek is niet de omvang, die EY nog niet eens heeft gedeeld, maar de plek. Een van de grootste advieskantoren ter wereld, dat bedrijven juist inhuurt voor onder meer risicobeheersing, raakte klantdata kwijt via een support-tool van een ander. Naarmate meer gevoelige processen via externe platforms lopen, verschuift de vraag van "zijn mijn systemen dicht" naar "ken ik elke partij die aan mijn data zit". Dat inzicht is het echte gevolg van deze melding, of je nu EY-klant bent of niet.
Veelgestelde vragen
Grip op je dataketen
Ik help je in kaart brengen waar je gevoelige data terechtkomt en bouw waar het kan self-hosted koppelingen en systemen, zodat je minder afhankelijk bent van de supportplatforms van derden. Van meedenken en ontwerp tot realisatie en beheer.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
