KLM datalek bij externe partner – maar neemt amper verantwoordelijkheid

Q: Wat is er precies gelekt bij het KLM datalek?

Bij het datalek zijn persoonsgegevens zoals voornaam, achternaam, contactgegevens, Flying Blue-nummer en tier level, de onderwerpregel van eerdere e-mails met de klantenservice en interne opmerkingen van medewerkers gelekt. Creditcardgegevens of paspoortnummers zijn volgens KLM niet betrokken.

Q: Hoe ernstig is het lek volgens privacyregels?

Volgens de Europese privacywetgeving (GDPR) is elk datalek waarbij persoonsgegevens worden blootgesteld ernstig. Zeker wanneer deze gegevens kunnen leiden tot phishing of identiteitsfraude, is er sprake van een ernstig risico voor betrokkenen.

Q: Is KLM verantwoordelijk voor fouten bij een derde partij?

Ja, KLM blijft verantwoordelijk voor de beveiliging van klantgegevens, ook wanneer die via een externe IT-partner worden verwerkt. Volgens de GDPR moeten bedrijven met zulke partijen verwerkersovereenkomsten afsluiten die de bescherming van gegevens garanderen.

Q: Wat kunnen klanten doen na dit datalek?

KLM raadt klanten aan om extra alert te zijn op verdachte e-mails, berichten of telefoontjes. Controleer steeds de afzender en klik niet zomaar op links. Verander eventueel wachtwoorden als je dezelfde contactgegevens ook elders gebruikt.

Q: Is er kans op phishing door dit lek?

Ja, dat is precies het risico. Doordat naam, e-mail en eerdere communicatie zijn gelekt, kunnen criminelen geloofwaardige phishingmails of telefoontjes opzetten die lijken te komen van KLM of een vertrouwde partij.

2 dagen geleden Computer & internet, Nieuws, Vervoer

KLM heeft vandaag aan klanten een e-mail gestuurd met de melding dat er persoonlijke gegevens zijn gelekt via een externe IT-partner. In een ronduit lauwe mededeling stelt KLM dat “een frauduleus persoon beperkte toegang kreeg” tot een systeem van een derde partij. En hoewel er volgens hen geen gevoelige gegevens zoals paspoortnummers of creditcardinformatie zijn buitgemaakt, blijken wel degelijk persoonsgegevens zoals naam, contactgegevens, Flying Blue-nummers en zelfs interne opmerkingen van klantenservice-agenten te zijn gelekt.

Minimaliseren in plaats van erkennen

Wat vooral opvalt aan de communicatie van KLM, is de passieve toon. Nergens wordt expliciet verantwoordelijkheid genomen. Nergens klinkt er enige empathie of daadkracht. KLM schrijft:

“We begrijpen dat dit bezorgdheid kan veroorzaken, en we betreuren het ongemak.”

Dat is een reactie die je geeft wanneer een vlucht vertraging heeft, niet wanneer persoonsgegevens van klanten op straat liggen.

Gevoelige gegevens? Jazeker!

KLM zegt dat er “geen paspoortnummers of boekingsinformatie” gelekt zijn. Maar dat is een afleidingsmanoeuvre. De gelekte gegevens kunnen net zo goed worden misbruikt voor phishing, identiteitsfraude of social engineering. De combinatie van naam, e-mailadres, Flying Blue-status en opmerkingen van klantenserviceagenten is méér dan genoeg om geloofwaardige frauduleuze communicatie op te zetten.

Wie garandeert dat kwaadwillenden die informatie niet gebruiken om zich voor te doen als KLM? Of om in te breken in andere accounts die gekoppeld zijn aan dat e-mailadres?

Externe partner? KLM blijft verantwoordelijk

KLM wijst erop dat de lek plaatsvond bij een externe partij. Maar dat ontslaat hen niet van hun verantwoordelijkheid. Als klant sluit je geen contract met een onbekende IT-leverancier, maar met KLM. Het is hun plicht om de beveiliging van klantgegevens te waarborgen, óók als ze die uitbesteden aan derden.

Volgens de GDPR zijn bedrijven verplicht om hun verwerkers (zoals derde partijen) te onderwerpen aan een zogeheten verwerkersovereenkomst, waarin afspraken worden vastgelegd over beveiliging, meldingsplicht en controle. De vraag dringt zich op: heeft KLM dit wél goed geregeld?

Waar blijft de transparantie?

Nergens in de KLM datalek e-mail wordt vermeld wanneer het datalek plaatsvond, hoe lang het duurde, of hoeveel klanten getroffen zijn. Ook ontbreken er antwoorden op essentiële vragen zoals:

Werd er actief op gezocht of gegevens ook zijn gedownload?
Wie is de derde partij waar het lek zich voordeed?
Wat wordt er concreet ondernomen om herhaling te voorkomen?

Het blijft vaag, nietszeggend en vooral ontwijkend.

Dit vraagt om stevige sancties

Het is tijd dat de Autoriteit Persoonsgegevens hier niet alleen een melding registreert, maar effectief optreedt. Boetes zijn op hun plaats. Want alleen wanneer er echt gevolgen zijn voor bedrijven die nalatig omspringen met klantdata, zal de veiligheid van persoonsgegevens serieuzer genomen worden.

De tijd van “excuusmailtjes” is voorbij.

Getroffen klant: “Dit stelt me allesbehalve gerust”

“Als getroffen klant van KLM voel ik me niet serieus genomen. De luchtvaartmaatschappij verschuilt zich achter een vage formulering, biedt geen concrete oplossingen en laat de verantwoordelijkheid over aan ‘de derde partij’. Dit is niet de manier waarop je omgaat met vertrouwen. En vertrouwen is, net als data, snel verloren en moeilijk terug te winnen.”

In perspectief: ook positieve beweging bij KLM

Hoewel het datalek zorgwekkend is, verdient het vermelding dat KLM de laatste tijd ook positieve stappen zet. Financieel is er herstel merkbaar: in het tweede kwartaal van 2025 steeg de omzet met 6,2 % en werd de schuldenlast verminderd. Ook op het vlak van duurzaamheid scoort KLM: het is wereldwijd de grootste afnemer van duurzame luchtvaartbrandstof (SAF), met 80.000 ton verbruikt in 2023.

Daarnaast wordt geïnvesteerd in stillere, modernere vliegtuigen en bracht KLM recent nog een loonvoorstel naar voren om een staking af te wenden. Zulke inspanningen verdienen erkenning, ook wanneer de kritiek terecht is.

Oproep aan KLM

KLM, het is tijd om op te staan. Geef volledige openheid van zaken. Toon leiderschap. Laat zien dat je de privacy van je klanten echt belangrijk vindt. En herstel het vertrouwen – niet met woorden, maar met daden.