Air France & KLM getroffen door datalek via derde partij

Datalekken nemen in 2024 opnieuw toe in Nederland.

🧩TL;DR

In juli 2025 werden Air France en KLM getroffen door een datalek via een externe leverancier. Daarbij kwamen namen, contactgegevens en Flying Blue-nummers van klanten in verkeerde handen terecht, met risico op phishing en identiteitsfraude. Het incident benadrukt de kwetsbaarheid van supply chains en het belang van ketenverantwoordelijkheid.

Ondertussen laten cijfers uit Nederland zien dat datalekken structureel toenemen: in 2024 registreerde de Autoriteit Persoonsgegevens 37.839 meldingen, ruim 12.000 meer dan een jaar eerder. Vooral verkeerd verzonden documenten en e-mails blijven de grootste oorzaak.

In juli 2025 kwamen Air France en KLM in het nieuws door een datalek veroorzaakt door een externe leverancier. Het ging hierbij niet om een directe aanval op de luchtvaartmaatschappijen zelf, maar om een zogenoemde supply chain-aanval. Het betrokken externe contactcenterplatform werd misbruikt, waardoor gegevens van klanten van beide maatschappijen in verkeerde handen terechtkwamen.

De gelekte informatie omvatte namen, contactgegevens en Flying Blue-lidmaatschapsnummers. Hoewel er geen financiële gegevens, wachtwoorden of reisgegevens zijn buitgemaakt, vormt het incident toch een aanzienlijk risico. Deze persoonsgegevens kunnen immers gebruikt worden voor phishingaanvallen of identiteitsfraude, met mogelijk verstrekkende gevolgen voor getroffen klanten.

Hoe kon dit gebeuren?

Dit incident laat zien hoe kwetsbaar organisaties zijn wanneer ze samenwerken met externe partijen. Air France en KLM hadden hun eigen IT-omgeving mogelijk goed beveiligd, maar de aanval richtte zich op een leverancier in de keten. Dat brengt het principe van ketenverantwoordelijkheid nadrukkelijk naar voren: organisaties blijven eindverantwoordelijk voor de bescherming van persoonsgegevens, óók wanneer deze via derden worden verwerkt.

In de praktijk betekent dit dat de beveiliging van klantdata niet alleen afhankelijk is van interne maatregelen, maar ook van de weakest link in het netwerk van leveranciers en partners. Als één partij onvoldoende maatregelen neemt, kan dat gevolgen hebben voor de hele keten.

Wat had er moeten gebeuren om dit te voorkomen?

Het Air France & KLM-incident benadrukt het belang van structurele beveiliging in de hele keten. Om dit te voorkomen, zijn meerdere maatregelen noodzakelijk:

  • Strenge leveranciersbeoordeling
    Vooraf toetsen hoe leveranciers omgaan met databeveiliging, inclusief certificeringen en beveiligingsstandaarden.
  • Contractuele borging van verantwoordelijkheden
    Vastleggen dat leveranciers voldoen aan specifieke normen voor informatiebeveiliging, en duidelijke afspraken maken over incidentmeldingen en audits.
  • Periodieke controle en audits
    Leveranciersrelaties blijven monitoren, omdat veiligheid een continu proces is. Een eenmalige check bij de start is niet voldoende.
  • Zero Trust-aanpak
    Externe partijen alleen minimale toegang geven tot systemen en data, en continu valideren of deze toegang nog terecht is.
  • Bewustwording en voorbereiding
    Medewerkers trainen in het herkennen van phishing en fraude, want criminelen benutten vaak buitgemaakte gegevens om zich geloofwaardig voor te doen.
Security
Lees meer

Ketenverantwoordelijkheid in de praktijk

Dit datalek toont dat beveiliging in de digitale wereld niet langer een interne aangelegenheid is. Organisaties zijn verplicht om verantwoordelijkheid te nemen voor de hele keten, van hun eigen systemen tot de externe partijen die zij inschakelen. Alleen door gezamenlijke afspraken, continue controle en het afdwingen van hoge beveiligingsnormen bij leveranciers kan het risico op datalekken echt beperkt worden.

Datalekken in Nederland

Uit recente cijfers van de Autoriteit Persoonsgegevens (AP) en het Centraal Bureau voor de Statistiek (CBS) blijkt dat datalekken in Nederland een steeds groter probleem vormen.

Aantal meldingen

In 2024 werden er 37.839 datalekken gemeld bij de AP – een forse stijging ten opzichte van 25.694 meldingen in 2023.

Soorten incidenten

  • 41%: verkeerd verzonden brieven of pakketten
  • 18%: e-mails met persoonsgegevens
  • 8%: cyberincidenten zoals hacking, malware of phishing
  • 33%: overige incidenten

Sectoren met de meeste meldingen

  • Openbaar bestuur en overheid: 2.540 meldingen
  • Gezondheids- en welzijnszorg: 2.400 meldingen
  • Handel, vervoer en horeca: 1.090 meldingen
  • Financiële dienstverlening: 980 meldingen
  • Onderwijs: 500 meldingen
  • Overige sectoren variëren van enkele honderden tot tientallen meldingen

Deze cijfers laten zien dat datalekken niet alleen multinationals treffen, maar een dagelijkse realiteit zijn voor organisaties in vrijwel elke sector. Wie persoonsgegevens verwerkt, draagt dus altijd verantwoordelijkheid – ook voor de beveiliging binnen de gehele keten van leveranciers en partners.

Bronnen: KLM, AP en CBS

nis2-cirkel-1

Is uw organisatie voorbereid op de NIS2 wetgeving?

Doe het Self Assessment en ontdek het zelf!

NIS2 Self Assessment

Klaar om te sparren over de cyberveiligheid van uw bedrijf?

Avista-Shegani

Avista denkt graag
met u mee.

ADRES

Blauwhekken 5b
4751 XD Oud Gastel

CONTACT

CUSTOMER CARE

LINKS

Building Our Future - Your.Cloud - White
ISO-27001