Alliance Select Foods International (ASFI) heeft deze week een cybersecurity-incident gemeld bij de Filipijnse National Privacy Commission (NPC). Het incident vond plaats in de ASFI-faciliteit in General Santos. Het bedrijf onderzoekt wat er precies is geraakt en waarom dit kon gebeuren. De melding is gedaan om aan de meldplicht te voldoen en mogelijke schade te beperken.
Melding bij Filipijnse NPC
ASFI heeft de NPC geïnformeerd over een digitaal incident in zijn vestiging in General Santos. De NPC is de nationale privacytoezichthouder van de Filipijnen. Welke systemen of gegevens precies zijn getroffen, is op het moment van schrijven niet openbaar. Het bedrijf zegt maatregelen te nemen en het onderzoek te versnellen.
Met de melding start in de Filipijnen een formeel proces. De NPC kan aanvullende informatie vragen en toezien op vervolgstappen. Als blijkt dat persoonsgegevens risico lopen, moeten getroffen personen worden geïnformeerd. Dat moet tijdig en duidelijk gebeuren.
Het bedrijf geeft aan de impact te willen beperken. Vaak betekent dit het isoleren van systemen en het verscherpen van toegangsrechten. Ook worden tijdelijke beveiligingsregels ingevoerd. Daarmee wil men misbruik of verdere verspreiding voorkomen.
Forensisch onderzoek gestart
ASFI is een forensisch onderzoek begonnen. Forensisch onderzoek is een technisch onderzoek naar de oorzaak en omvang van een incident. Specialisten kijken dan naar logbestanden, netwerkverkeer en toegang tot systemen. Zo wordt duidelijk welke gegevens en accounts zijn geraakt.
Bij vergelijkbare incidenten gaat het vaak om phishing of ransomware. ASFI heeft geen oorzaak genoemd. Daarom blijft nog onbekend hoe de aanvallers binnenkwamen. Ook is nog niet duidelijk of er gegevens zijn buitgemaakt.
Geraakte data kunnen gaan om personeel, leveranciers of klanten. Als dat zo is, volgt meestal ook directe communicatie aan betrokkenen. Op het moment van schrijven heeft ASFI daar geen details over gedeeld. De prioriteit ligt nu bij het veiligstellen van systemen.
In de voedingsindustrie zijn productielijnen vaak gescheiden van kantoor-IT. Die scheiding, ook wel netwerksegmentatie, kan uitval beperken. Toch kan een aanval indirect voor vertraging zorgen, bijvoorbeeld in planning of logistiek. Dat vergroot het belang van snelle detectie en herstel.
AVG en internationale plichten
Als er persoonsgegevens van EU-burgers zijn verwerkt, geldt de AVG ook voor een bedrijf buiten de EU. De AVG eist dat datalekken binnen 72 uur bij de bevoegde toezichthouder worden gemeld. In Nederland is dat de Autoriteit Persoonsgegevens. Betrokkenen moeten bovendien worden geïnformeerd als er een hoog risico is op misbruik.
Voor Nederlandse afnemers en partners speelt leveranciersrisico een grote rol. Denk aan verwerkersovereenkomsten, dataminimalisatie (alleen noodzakelijke data verzamelen) en versleuteling. Ook zijn standaardcontractbepalingen nodig bij doorgifte van data buiten de EU. Dit verkleint juridische en praktische risico’s bij incidenten.
Transparantie over getroffen systemen en data is cruciaal. Zo kunnen ketenpartners hun eigen risico inschatten en maatregelen nemen. Duidelijke logbestanden en incidentrapporten helpen daarbij. Dat versnelt ook het werk van toezichthouders.
Organisaties doen er goed aan hun processen te testen. Een tabletop-oefening maakt rollen en beslissingen helder. Zo wordt in een echt incident sneller gehandeld. Dat beperkt de schade en verkort de hersteltijd.
NIS2 versterkt meldplichten
De Europese NIS2-richtlijn scherpt cybersecurity-eisen voor veel sectoren aan, ook in de voedselketen. Bedrijven moeten risico’s beheersen en ernstige incidenten snel melden. In Nederland is de implementatie van NIS2 op het moment van schrijven in voorbereiding. Daardoor worden ook toeleveringsketens strenger beoordeeld.
NIS2 werkt met vroegtijdige waarschuwingen en opvolgrapportages. Een eerste melding kan al binnen 24 uur nodig zijn. Een volledig incidentrapport volgt daarna. Dit dwingt organisaties om detectie en rapportage op orde te hebben.
Een datalek is een inbreuk op de beveiliging die leidt tot verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens.
Voor Nederlandse importeurs en retailers betekent dit meer aandacht voor leveranciersbeveiliging. Contracten en audits worden concreter en meetbaarder. Denk aan eisen voor back-ups, responsprocedures en segmentatie. Zo verkleint de EU het systeemrisico in hele ketens.
Techniek en weerbaarheid
Basismaatregelen blijven het belangrijkst: multifactorauthenticatie, sterke wachtwoorden en tijdige updates. Netwerksegmentatie beperkt de impact als iets misgaat. Offline back-ups maken herstel mogelijk zonder losgeld te betalen. En trainingen verlagen de kans op geslaagde phishing.
Steeds meer organisaties gebruiken algoritmen voor dreigingsdetectie. Zulke systemen zoeken naar afwijkend gedrag in logbestanden en netwerkverkeer. Ze helpen sneller reageren, maar geven soms vals alarm. Menselijke beoordeling blijft dus nodig.
Heldere afspraken met leveranciers versnellen incidentrespons. Leg eisen voor monitoring, herstel en communicatie vast in contracten. Evalueer die afspraken jaarlijks met tests en audits. Zo wordt samenwerken in crisistijd voorspelbaar.
Transparante communicatie verkleint reputatieschade. Deel tijdig wat bekend is en wat nog onderzocht wordt. Geef praktische adviezen aan mogelijk getroffen personen. Dat helpt vertrouwen te behouden in de hele keten.
Wat dit nu betekent
Voor ASFI staat vast: onderzoek, herstel en heldere communicatie hebben prioriteit. De melding bij de NPC is daarvoor een belangrijke stap. Of Europese regels zoals de AVG of NIS2 ook gelden, hangt af van de betrokken data en relaties. Dat zal uit het lopende onderzoek moeten blijken.
Voor Nederlandse organisaties is de les breder. Incidenten bij leveranciers kunnen direct effect hebben op eigen processen. Daarom zijn ketenafspraken, technische basismaatregelen en snelle meldprocessen nodig. Zo blijven diensten draaien, zelfs als een partner wordt getroffen.
De komende dagen en weken moet duidelijk worden wat er precies is gebeurd. Dan wordt ook zichtbaar welke data en systemen zijn geraakt. Toezichthouders en partners verwachten daarbij volledige en tijdige updates. Dat is essentieel voor herstel en vertrouwen.
AI en datamodellen kunnen helpen bij detectie en analyse, maar lossen governance niet op. Regels zoals de AVG en NIS2 vragen om duidelijke processen en verantwoord handelen. Technologie ondersteunt die plicht, maar vervangt haar niet. Dat is de kern van weerbaarheid in de digitale economie.
