Mark JansenOp 25 maart 2026 maakte AFC Ajax bekend dat een hacker ongeautoriseerde toegang had verkregen tot delen van hun systemen. Een journalist legde daarna aanvullende kwetsbaarheden bloot. Het datalek trof honderden e-mailadressen en voor minder dan twintig personen ook namen, geboortedatums en aanvullende gegevens.
Wat er precies gebeurde bij het Ajax-datalek
Een onbekende hacker brak in op systemen van de Amsterdamse voetbalclub en stelde zo e-mailadressen van enkele honderden betrokkenen bloot. Nadat Ajax de inbraak ontdekte, toonde een onderzoeksjournalist bovendien dat ticketoverdrachten konden worden gemanipuleerd en dat stadionverbodregisters toegankelijk waren. Ajax meldde de inbreuk bij de Autoriteit Persoonsgegevens en deed aangifte bij de politie, zoals verplicht onder de Algemene Verordening Gegevensbescherming (AVG).
De club benaderde alle getroffen personen persoonlijk en schakelde externe beveiligingsexperts in om de kwetsbaarheden te dichten. Wie geen bericht van Ajax ontving, had volgens de club geen blootgestelde gegevens.
Waarom dit meer mensen raakt dan je denkt
Een datalek bij een grote organisatie als Ajax lijkt ver weg, maar de gevolgen kunnen voor gewone mensen zeer dichtbij komen. Blootgestelde e-mailadressen worden gebruikt voor phishingaanvallen: valse mails die jouw bankgegevens, wachtwoorden of BSN-nummer proberen te ontfutselen. Gecombineerde gegevens — naam, e-mailadres, geboortedatum — zijn voldoende voor identiteitsfraude.
Volgens het Centraal Bureau voor de Statistiek (CBS) steeg het aantal gemelde gevallen van cybercriminaliteit in Nederland in 2025 met 18 procent ten opzichte van het jaar daarvoor. Datalekken zijn daarbij een van de voornaamste bronnen van gestolen persoonsgegevens.
Wat je kunt doen als je getroffen bent
Als je een bericht van Ajax ontving, of als je je afvraagt of jouw gegevens ooit bij een ander datalek zijn buitgemaakt, zijn dit de directe stappen:
Controleer je blootstelling. Websites zoals haveibeenpwned.com tonen of jouw e-mailadres in bekende datalekken voorkomt.
Wijzig wachtwoorden. Gebruik een uniek wachtwoord per dienst en schakel tweefactorauthenticatie in. Een wachtwoordmanager helpt hierbij.
Wees alert op phishing. Na een datalek neemt het aantal gerichte phishingpogingen toe. Klik niet op links in onverwachte mails; bezoek websites altijd direct via de browser.
Meld verdachte activiteit. Bij misbruik van jouw gegevens kun je aangifte doen bij de politie en een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
De juridische kant: wat zijn jouw rechten?
De AVG geeft jou als betrokkene concrete rechten die ook na een datalek van kracht zijn:
- Recht op inzage: je kunt opvragen welke persoonsgegevens een organisatie van jou bewaart.
- Recht op verwijdering: je kunt vragen om wissing van jouw gegevens als er geen gegronde reden meer is om ze te bewaren.
- Recht op schadevergoeding: als een organisatie aantoonbaar nalatig was bij de beveiliging van jouw gegevens, heb je recht op compensatie voor geleden schade.
Ajax handelde snel door de Autoriteit Persoonsgegevens te informeren en betrokkenen te waarschuwen, wat wettelijk verplicht is binnen 72 uur na ontdekking van een inbreuk. Toch kunnen getroffen personen beoordelen of de genomen maatregelen voldoende waren.
Wanneer schakel je een IT-beveiligingsspecialist of jurist in?
Voor bedrijven die zelf persoonsgegevens verwerken, is dit datalek een wake-upcall. Organisaties met meer dan 250 medewerkers of die bijzondere persoonsgegevens verwerken, zijn verplicht een Functionaris voor Gegevensbescherming (FG) aan te stellen en een verwerkingsregister bij te houden.
Een IT-beveiligingsspecialist kan beoordelen of jouw systemen kwetsbaar zijn voor vergelijkbare aanvallen: onvoldoende toegangscontrole, zwakke authenticatie of verouderde software zijn vaak de oorzaak. Een gespecialiseerde jurist helpt bij het opstellen van dataverwerkingsovereenkomsten en bij het claimen van schadevergoeding als getroffen klant.
Op Expert Zoom vind je specialisten in informatiebeveiliging en privacyrecht die je snel en gericht kunnen adviseren — of je nu een individu bent die zijn rechten wil kennen, of een ondernemer die zijn digitale beveiligingsbeleid wil versterken.
Lessen voor organisaties: dataminimalisatie en toegangscontrole
Het Ajax-lek illustreert twee klassieke zwakke plekken. Ten eerste dataminimalisatie: sla alleen op wat strikt noodzakelijk is. Worden de e-mailadressen van stadionverbodhouders echt in hetzelfde systeem opgeslagen als reguliere fangegevens? Ten tweede toegangscontrole op rolniveau: medewerkers en externe partijen mogen alleen toegang hebben tot de gegevens die ze voor hun werk nodig hebben.
Penetratietests — waarbij ethische hackers een systeem proberen binnen te dringen — zijn een effectief middel om kwetsbaarheden te ontdekken vóórdat kwaadwillenden dat doen. De journalist die bij Ajax extra lekken blootlegde, deed in feite precies dat, zij het ongecoördineerd.
Wat te verwachten bij een datalek in jouw sector
Sectorspecifieke regelgeving verschilt. Zorgorganisaties hebben te maken met de NEN 7510-norm; financiële instellingen met DNB-richtlijnen; overheden met de BIO (Baseline Informatiebeveiliging Overheid). In alle gevallen geldt echter: transparantie naar betrokkenen is niet alleen wettelijk verplicht, maar ook essentieel voor vertrouwen.
De AVG-boetes kunnen oplopen tot vier procent van de wereldwijde jaaromzet of 20 miljoen euro — het hoogste bedrag telt. In 2025 legde de Autoriteit Persoonsgegevens volgens eigen opgave in totaal meer dan 12 miljoen euro aan boetes op aan Nederlandse organisaties.
Dit artikel is informatief van aard en vervangt geen juridisch of technisch advies. Raadpleeg een expert voor jouw specifieke situatie.
