Handen met belastingformulieren naast een rekenmachine en een laptop.
Nieuws17 juli · 18:104 min leestijd

Ernst & Young meldt datalek na hack van fiscaal supportsysteem

Ernst & Young meldt een datalek na een hack van een extern supportsysteem van zijn fiscale praktijk, waarbij belastingdocumenten van klanten werden blootgesteld. Het incident toont hoe je fiscale data ook risico loopt bij de leveranciers van je adviseur.

Ernst & Young meldt een datalek nadat aanvallers toegang kregen tot een extern supportsysteem waarin documenten met belastinggegevens van klanten stonden, blijkt uit een klantmelding die beveiligingsmedia inzagen.

Voor een Nederlandse ondernemer verschuift dit de vraag over gegevensbescherming naar buiten de eigen muren. De data die hier blootlag, persoonlijke en financiële gegevens uit belastingaangiften, is precies het soort informatie dat je aan je accountant of fiscaal adviseur toevertrouwt. De inbraak zat niet in EY's kernsystemen, maar in een ticketplatform van een derde partij. Dat maakt de keten van vertrouwen zichtbaar: je fiscale gegevens zijn zo goed beveiligd als de zwakste leverancier die je adviseur inschakelt.

Wat er precies gebeurde

De aanvallers hadden tussen 28 maart en 12 april 2026 toegang tot het systeem, waarna EY op 23 april afwijkende activiteit opmerkte. Het gaat om een extern IT-servicemanagementplatform dat de fiscale praktijk van EY gebruikt voor klantsupport; de naam van dat systeem is niet vrijgegeven. Klanten dienden via dat platform supporttickets in, en in die tickets zaten documenten met persoonlijke en financiële gegevens die worden gebruikt om belastingaangiften op te stellen.

Hoeveel klanten geraakt zijn, heeft EY niet bekendgemaakt. De meldingen die tot nu toe zijn opgedoken betreffen Amerikaanse klanten; of het incident ook klanten in andere landen raakt, is onbevestigd. Geen enkele ransomware- of afpersgroep heeft de aanval opgeëist, en EY zegt geen aanwijzing te hebben dat de gegevens gericht zijn misbruikt. Het kantoor beveiligde de systemen, schakelde externe specialisten in, waarschuwde de federale opsporingsdiensten en biedt getroffenen 24 maanden identiteitsmonitoring via Experian, met een inschrijftermijn tot 31 oktober 2026.

Kantoor van Ernst & Young met het bedrijfslogo op de gevel. Bron: Avi1111 dr. avishai teicher / Wikimedia Commons (CC BY-SA 3.0)
Kantoor van Ernst & Young met het bedrijfslogo op de gevel. Bron: Avi1111 dr. avishai teicher / Wikimedia Commons (CC BY-SA 3.0)

Waarom dit je leveranciersrisico raakt

Het patroon is niet nieuw, maar wel hardnekkig: de zwakke plek zit steeds vaker bij een leverancier, niet bij het bedrijf zelf. Toen een hack bij een IT-dienstverlener persoonsgegevens van de Lidl-webshop lekte, was het Lidl dat zijn klanten moest waarschuwen en het lek moest melden, niet de gehackte leverancier. Dezelfde logica geldt hier: EY draagt de melding en de reputatieschade, ook al zat de inbraak bij een derde.

Voor jouw organisatie ligt de spiegel dubbel. Vertrouw je gevoelige data toe aan een adviseur of softwareleverancier, dan erf je hun beveiligingsrisico. En lekt via jouw eigen leverancier de data van je klanten of medewerkers, dan blijf jij, en niet je leverancier, degene die het lek binnen 72 uur bij de Autoriteit Persoonsgegevens moet melden. Dat betekent weten welke externe partijen jouw data verwerken, wat er in je verwerkersovereenkomsten staat, en of je die data desnoods zelf kunt exporteren.

De zwakste schakel verschuift naar buiten

De kern van dit lek is niet de omvang, die EY nog niet eens heeft gedeeld, maar de plek. Een van de grootste advieskantoren ter wereld, dat bedrijven juist inhuurt voor onder meer risicobeheersing, raakte klantdata kwijt via een support-tool van een ander. Naarmate meer gevoelige processen via externe platforms lopen, verschuift de vraag van "zijn mijn systemen dicht" naar "ken ik elke partij die aan mijn data zit". Dat inzicht is het echte gevolg van deze melding, of je nu EY-klant bent of niet.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je dataketen

Ik help je in kaart brengen waar je gevoelige data terechtkomt en bouw waar het kan self-hosted koppelingen en systemen, zodat je minder afhankelijk bent van de supportplatforms van derden. Van meedenken en ontwerp tot realisatie en beheer.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur
Gids
Uitgebreide gids11 min

15 jul 13:01

Je IT-leverancier is gehackt: het stappenplan voor het mkb in de eerste 72 uur

Je softwareleverancier of hosting is gehackt en je klantdata is mogelijk gelekt. Dit is het incident-playbook: ben jij verantwoordelijke, is het meldplichtig bij de AP, wat vertel je je klanten, en hoe voorkom je dat je vastzit aan de gehackte partij.

Phishingcampagne misbruikt LastPass en Bitwarden om hoofdwachtwoorden te stelen
Nieuws
4 min

14 jul 18:11

Phishingcampagne misbruikt LastPass en Bitwarden om hoofdwachtwoorden te stelen

Een nieuwe phishingcampagne misbruikt LastPass en Bitwarden met valse beveiligingsmails en nagemaakte DocuSign-pagina's om hoofdwachtwoorden te stelen. LastPass bevestigt dat het niet is gehackt. De belangrijkste tegenzet is je personeel waarschuwen.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Het MKB voelt zich veiliger dan ooit. Dat gevoel is inmiddels zelf het risico.
Inzicht
8 min

17 jul 13:04

Het MKB voelt zich veiliger dan ooit. Dat gevoel is inmiddels zelf het risico.

Nederlandse bedrijven meldden vorig jaar minder cyberaanvallen dan in de negen jaar dat dit wordt gemeten.

Passkeys uitrollen in Entra ID: van sms-MFA naar phishing-bestendige inlog voor je hele team
Gids
Uitgebreide gids11 min

16 jul 21:05

Passkeys uitrollen in Entra ID: van sms-MFA naar phishing-bestendige inlog voor je hele team

Microsoft maakt passkeys de standaard in Entra ID en zet sms-MFA uit. Deze gids loodst je door het complete migratiepad: het juiste type per rol, het registratiemoment beveiligen tegen vishing, en herstel regelen zonder dat iemand buitengesloten raakt.

Cyberaanval bij logistiekbedrijf Nichirei ontwricht KFC en Glico in Japan
Nieuws
4

16 jul 18:27

Cyberaanval bij logistiekbedrijf Nichirei ontwricht KFC en Glico in Japan

Een cyberaanval bij het Japanse koel- en vrieslogistiekbedrijf Nichirei legde de aanvoer bij KFC, Kura Sushi en Glico stil. Geen van die merken werd zelf gehackt. Dit toont het ketenrisico dat NIS2 en de Cyberbeveiligingswet adresseren.