Mark JansenMall of the Netherlands — het grootste winkelcentrum van Nederland in Leidschendam met ruim 15 miljoen bezoekers per jaar — werd in maart 2026 getroffen door een datalek. Persoonsgegevens van klanten die zich hadden aangemeld voor de nieuwsbrief of loyaliteitsprogramma werden blootgesteld. Wat zijn uw rechten, en wat moet u nú doen?
Wat is er precies gebeurd?
Westfield Mall of the Netherlands, geëxploiteerd door het internationale vastgoedbedrijf Unibail-Rodamco-Westfield (URW), meldde in maart 2026 een datalek aan de Autoriteit Persoonsgegevens. Getroffen gegevens betreffen:
- Naam en e-mailadres
- Telefoonnummer
- Postcode
- Geboortedatum
Volgens eerste berichten zijn geen financiële gegevens — zoals creditcardnummers, bankrekeningen of wachtwoorden — buitgemaakt. Het lek treft klanten die zich hadden ingeschreven voor de nieuwsbrief of het loyaliteitsprogramma van het winkelcentrum.
Het winkelcentrum opende in 2021 en trok in het afgelopen jaar een recordaantal van 15 miljoen bezoekers. Met zoveel klantprofielen in het systeem is de potentiële omvang van het lek aanzienlijk.
Wat zijn uw rechten bij een datalek?
De Algemene Verordening Gegevensbescherming (AVG) — de Europese privacywet die ook in Nederland van kracht is — geeft consumenten sterke rechten bij een datalek. De belangrijkste zijn:
Recht op informatie: Het bedrijf dat het datalek veroorzaakte, is verplicht u te informeren als uw gegevens zijn getroffen. Dit moet "zonder onredelijke vertraging" gebeuren zodra zij het lek ontdekken. Heeft u geen bericht ontvangen maar vermoedt u dat u getroffen bent? U heeft het recht te vragen of uw gegevens zijn uitgelekt.
Recht op inzage: U kunt altijd opvragen welke persoonsgegevens een organisatie van u heeft opgeslagen, hoe ze worden gebruikt en met wie ze worden gedeeld. Dit is een kosteloos recht.
Recht op verwijdering ("recht op vergetelheid"): Na een datalek kunt u vragen uw gegevens volledig te verwijderen uit hun systemen. Het bedrijf is verplicht dit te honoreren tenzij er een wettelijke grondslag is om de gegevens langer te bewaren.
Recht op schadevergoeding: Heeft u aantoonbare schade geleden door het lek — zoals fraude met uw gegevens, financieel verlies, of aantoonbare stress — dan kunt u juridisch schadevergoeding claimen van het bedrijf. Dit gaat via de rechter of via een klachtenprocedure bij de Autoriteit Persoonsgegevens.
Wat moet u nu concreet doen?
Als u vermoedt dat uw gegevens zijn getroffen door het datalek bij Mall of the Netherlands, zijn dit de stappen die IT-beveiligingsexperts aanbevelen:
Stap 1: Controleer uw e-mail Wacht op een officiële melding van Mall of the Netherlands of Westfield. Klik op geen enkele link in e-mails die beweren van het winkelcentrum te komen zonder dit te verifiëren — cybercriminelen misbruiken datalekken om phishing-campagnes te lanceren.
Stap 2: Verander wachtwoorden Heeft u hetzelfde wachtwoord gebruikt op de website van het winkelcentrum als op andere accounts? Verander dan direct al uw wachtwoorden. Gebruik een wachtwoordbeheerder om sterke, unieke wachtwoorden bij te houden.
Stap 3: Monitor uw e-mailaccount Stel tweestapsverificatie (2FA) in op uw e-mailaccount. Dit voorkomt dat criminelen toegang krijgen tot uw account, zelfs als ze uw e-mailadres kennen.
Stap 4: Wees alert op phishing Met uw naam, geboortedatum en telefoonnummer kunnen criminelen geloofwaardige phishingberichten opstellen die lijken te komen van uw bank, DigiD of andere vertrouwde diensten. Wees extra waakzaam de komende weken.
Stap 5: Dien een klacht in Bent u niet tevreden met hoe Mall of the Netherlands het lek heeft afgehandeld? U kunt een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
GDPR en aansprakelijkheid: wanneer kunt u schadevergoeding eisen?
De AVG stelt duidelijk dat organisaties verantwoordelijk zijn voor de bescherming van de persoonsgegevens die zij verwerken. Wanneer een lek ontstaat door onvoldoende beveiligingsmaatregelen, kan de organisatie aansprakelijk worden gesteld. De Autoriteit Persoonsgegevens kan boetes opleggen van maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet — afhankelijk van welk bedrag hoger is.
Als individuele consument kunt u schadevergoeding eisen als u kunt aantonen:
- Dat uw gegevens zijn gelekt
- Dat u daardoor concrete schade heeft geleden
- Dat het lek te wijten is aan nalatigheid van de organisatie
Dit vereist juridisch bewijs. Een IT-specialist of juridisch adviseur kan u helpen documenteren hoe het lek u heeft getroffen.
De bredere context: datalekken in de detailhandel
Mall of the Netherlands is niet de eerste grote retailer die met een datalek te maken krijgt. In 2026 zijn er al meerdere grote datalekken in de Nederlandse retailsector geweest, waaronder een eerdere hack van het Ministerie van Financiën die zakelijke systemen trof. Cybercriminelen richten zich steeds vaker op winkelcentra, loyaliteitsprogramma's en e-commerceplatforms omdat deze grote hoeveelheden klantdata bevatten.
Voor bedrijven is de boodschap duidelijk: AVG-compliance vereist niet alleen papieren beleid, maar ook technische maatregelen zoals encryptie van klantdata, regelmatige beveiligingstests en snelle respons bij incidenten.
Heeft u vragen over uw rechten na een datalek, of wilt u uw bedrijfsbeveiliging laten beoordelen? Op ExpertZoom vindt u IT-specialisten met expertise in cybersecurity en GDPR. Meer over digitale veiligheid leest u ook in ons artikel over de hack bij het Ministerie van Financiën.
