Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update

Basic-Fit is slachtoffer geworden van een datalek. Daarbij zijn de gegevens van onder anderen 200.000 Nederlandse leden gestolen, meldt het ANP. De gestolen data kan volgens de sportschoolketen worden gebruikt voor phishing.

Bij de hack zijn lidmaatschapsinformatie, naam- en adresgegevens, e-mailadressen, telefoonnummers, geboortedata en bankrekeninggegevens gestolen, meldt Basic-Fit in een persbericht. In totaal zijn volgens onder meer het AD de gegevens van een miljoen klanten uit Nederland, België, Luxemburg, Frankrijk, Spanje en Duitsland gelekt.

De aanval is ontdekt door de systeembewaking van het bedrijf. Basic-Fit meldt dat het de toegang van de hackers enkele minuten na die ontdekking kon blokkeren. De data lijkt vooralsnog niet beschikbaar op het darkweb. Klanten die geen e-mail hebben ontvangen, zijn niet betrokken bij het datalek.

Update, 9.53 uur – Toegevoegd dat ook Belgen zijn getroffen door het datalek.

Update 2, 11.51 uur – Informatie toegevoegd over de impact van het datalek buiten Nederland.

Basic-Fit. Bron: Sheldon Cooper/SOPA Images/LightRocket via Getty Images
Bron: Sheldon Cooper/SOPA Images/LightRocket via Getty Images

Door Imre Himmelbauer

Redacteur

Feedback • 13-04-2026 09:44
200 • submitter: Kriss1981

13-04-2026 • 09:44

200

Submitter: Kriss1981

Lees meer

Have I Been Pwned voegt Hallmark-datalek van 1,7 klanten toe aan database
Have I Been Pwned voegt Hallmark-datalek van 1,7 klanten toe aan database Nieuws van 13 april 2026
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien
Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers'
Rockstar bevestigt datadiefstal, 'heeft geen gevolgen voor bedrijf of spelers' Nieuws van 12 april 2026
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware Nieuws van 9 april 2026
Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers
Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers Nieuws van 9 april 2026
Meer producten en artikelen
Privacy Datalek Hack

Reacties (200)

-Moderatie-faq
200
199
81
11
0
99
Wijzig sortering

Sorteer op:

Weergave:
Anonymoussaurus
13 april 2026 09:45
Ik heb vanochtend een mail ontvangen van Basic-Fit. De mail luidt als volgt:
Hi <naam>,

Met dit bericht informeren we je over een ongeautoriseerde download van Basic-Fit-gegevens.

Wat is er gebeurd?
Wij hebben geconstateerd dat er ongeautoriseerde toegang is geweest tot het systeem dat de bezoeken van leden aan Basic-Fit-clubs registreert. De ongeautoriseerde toegang is binnen enkele minuten na ontdekking gestopt. Bij deze toegang zijn ook persoonsgegevens van jou gedownload.

We begrijpen dat dit bericht zorgwekkend kan zijn en het spijt ons als dit ongerustheid veroorzaakt.

Wat betekent dit voor jou?
Er is geen directe actie van jou vereist, maar we raden je wel aan alert te zijn op phishingpogingen.

Voor antwoorden op eventuele vragen kun je de onderstaande Q&A raadplegen. Als jouw vraag hier niet bij staat, neem dan contact met ons op via privacy@basic-fit.com, of via ons klantenservice team in de Basic-Fit app.

Vragen & antwoorden

Zijn mijn gegevens betrokken?
Helaas blijkt uit ons onderzoek dat jouw gegevens onderdeel zijn van de ongeautoriseerde download.

Welke gegevens zijn betrokken?
De betrokken gegevens zijn:
  • E-mailadres
  • Voor- en achternaam
  • Adres en woonplaats
  • Telefoonnummer
  • Bankrekeningnummer
  • Rekeninghouder
  • Geboortedatum
  • Lidmaatschapsinformatie

Was mijn wachtwoord betrokken?
Jouw Basic-Fit-wachtwoord was geen onderdeel van de ongeautoriseerde download.
 

Welke lidmaatschapsinformatie is betrokken?
Het betreft informatie die Basic-Fit bijhoudt over jouw lidmaatschap in de interne administratie. Specifiek gaat het om jouw lidmaatschapstype, betalingssaldo, Basic-Fit-pasnummer, een intern ID-nummer, de club en bezoektijden van jouw recente bezoeken van de afgelopen week, en de apparaatnaam van jouw telefoon (dit is de naam van jouw telefoon, bijvoorbeeld iPhone of Samsung, of de naam die jij zelf hebt gekozen).


Welke maatregelen heeft Basic-Fit genomen?
De ongeautoriseerde toegang is binnen enkele minuten na ontdekking gestopt. Daarnaast hebben wij het incident gemeld bij de Autoriteit Persoonsgegevens.

Zijn de gegevens op dit moment ergens zichtbaar of beschikbaar?
Op dit moment is de data, voor zover wij weten, nergens beschikbaar. Samen met externe specialisten houden wij nauwlettend in de gaten of de gedownloade gegevens openbaar worden gemaakt.

Wat moet ik doen als lid?
Je hoeft geen actie te ondernemen. In het algemeen adviseren wij wel extra alert te zijn op mogelijk verdachte situaties.

Wat kan er met mijn gegevens gebeuren?
Gedownloade gegevens kunnen worden misbruikt, bijvoorbeeld via nep-e-mails (phishing). Reageer nooit op e-mails of telefoongesprekken waarbij je wordt gevraagd gevoelige informatie in te voeren of op te geven, zoals wachtwoorden.

Wat zijn voorbeelden van phishing?

Voorbeeld 1
Je ontvangt een e-mail of sms-bericht dat lijkt te komen van jouw bank of een andere vertrouwde organisatie. In het bericht wordt jouw naam gebruikt en staat bijvoorbeeld (een deel van) jouw bankrekeningnummer. Dit is een veelgebruikte phishingtactiek om vertrouwen te wekken en jou te verleiden op een kwaadaardige link te klikken. Als je op die link klikt, word je doorgestuurd naar een neppagina waar je jouw (internetbankieren)-wachtwoord moet invullen.

Voorbeeld 2
Een ander voorbeeld is een bericht dat lijkt te komen van Basic-Fit. Daarin staat bijvoorbeeld dat je jouw contributie niet hebt betaald. Het bericht probeert je vervolgens te overtuigen om geld over te maken.

Wat moet ik doen als ik phishing vermoed?
Als je phishing vermoedt, deel dan geen gegevens. Sluit het bericht of verbreek de verbinding. Neem direct contact op met de organisatie via hun officiële website of telefoonnummer om te controleren of het bericht echt was.

[Reactie gewijzigd door Anonymoussaurus op 13 april 2026 09:46]

Reageer
BigSmurf @Anonymoussaurus13 april 2026 10:05
Hier ook vanmorgen deze mail ontvangen. Wat me stoort - los van het feit dat er dus wéér een grote toko is die z'n basale securityshit niet op orde heeft, wie had dat verwacht - is dat in de mail verschillende dingen op verschillende plekken worden gemeld. Ze melden in eerste instantie het lijstje met e-mail, naam, adres et cetera, maar vervolgens ook in een alinea verderop ook dat het gaat om je betalingssaldo, de club en bezoektijden van jouw recente bezoeken van de afgelopen week en de naam van je telefoon (die is gekoppeld aan je digitale pas).

Die bezoektijden zijn potentieel in combinatie met je adres nog wel lelijk en kan meer impact hebben dan alleen phishing. Er staat alleen afgelopen week (bij moment download), maar daar vertrouw ik voor geen meter op. Je kan in de app ook gewoon tot einde der tijden je bezoekmomenten terugzien, ik zou niet weten waarom in dit geval alleen de laatste week is gelekt. Iets met patroonherkenning.
Reageer
Paul @BigSmurf13 april 2026 11:33
los van het feit dat er dus wéér een grote toko is die z'n basale securityshit niet op orde heeft
Als bedrijf moet je 100 miljoen miljard dingen, dingetjes, en DINGEN allemaal 100% goed doen; je moet het iedere keer opnieuw allemaal exact juist doen, je moet het gevecht iedere keer opnieuw winnen.

De aanvallers kunnen gewoon proberen, proberen, proberen, proberen, ... en hoeven maar 1x te winnen.

Ik zeg niet dat je het niet moet proberen, je moet er juist heel veel moeite in steken, maar alleen het feit dat er een lek is wil niet zeggen dat ze achterover leunen en niks doen, dat ze slecht bezig zijn, dat het een zooitje is, etc..

Het KAN, zeker, maar het geeft vooral aan dat de aanvallers dit keer gewonnen hebben. Of de beveiliging er inderdaad een zooitje is kun je er in ieder geval niet direct uit afleiden. Je kunt je datacenter omtoveren tot fort Knox, je personeel tot het uiterste tergen met allerlei beveiligingsmaatregelen, en de boel potdicht houden, als de aanvallers (bijvoorbeeld) een zeroday ontdekken voordat jij dat gedaan hebt dan ga je alsnog nat.
Reageer
SunnieNL @Paul13 april 2026 12:51
In dit geval kun je je wel afvragen waarom je bankgegevens in het systeem staat wat registreert wanneer jij de gym bezoekt.

Of dat systeem doet meer dan ze zeggen of het systeem heeft te veel data. Daar had ook vinkje kunnen staan met 'betaald'.
Reageer
J_van_Ekris
@SunnieNL13 april 2026 14:11
Dat heet een CRM systeem. Je weet wel, als er iets niet klopt met je betalingen of toegang tot de gym, dat een medewerker jou als klant kan helpen met het oplossen daarvan...

[Reactie gewijzigd door J_van_Ekris op 13 april 2026 14:13]

Reageer
SunnieNL @J_van_Ekris13 april 2026 15:49
Ja, maar dat is wat anders dan een systeem wat bijhoudt of jij naar binnen gaat en hoe laat je weer uit klokt. En dat is waar BasicFit het in de communicatie over heeft. Die hoeft echt je bankgegevens niet te hebben, alleen een vinkje voor wel of niet toelaten.

Een CRM doet inderdaad veel meer dan dat. Dat is het klant contact systeem. Waar je de data van het registrysysteem mogelijk wel weer in zet, maar je gaat niet het CRM inzetten voor het registreren bij de ingang.

Als het om het CRM gaat moet BasicFit het beestje gewoon bij de juiste naam noemen. Want nu lijkt het erop dat ze op die manier de publieke impact proberen te verkleinen.

[Reactie gewijzigd door SunnieNL op 13 april 2026 15:50]

Reageer
Rmaxx @Paul13 april 2026 12:11
Je gegevens verdelen, encrypten waar mogelijk , en zorgen dat asl je gehacked wordt de schade minimaal is, is gewoon een basis van waaruit je werkt. Al sje dat goe dinricht hoef je het dnek ik niet iedere keer opnieuw te doen. De basis zou moeten zijn dat ze er zelf vanuit gaan dat ze gehacked worden. niet OF het kan. Helaas mag een bedrijf bij een iso certificering in grote mate zelf bepalen wat de risico afwegingen zijn t.o.v. de maatregelen (lees kosten).
Reageer
Sharky @Rmaxx13 april 2026 13:26
Dat is toch ook wat @Paul zegt? Zorg voor een vooraf bepaald minimum aan beveiliging en assume breach. 100% veiligheid bestaat gewoon niet.
Reageer
Rmaxx @Sharky13 april 2026 13:34
Ja , maar ze hadden dus , vrij eenvoudig, meer kunnen doen, alleen zonder verplichting voelen bedrijven die noodzaak niet. (Zlefs als ze niks 'fout' doen, zoals odido).
Reageer
Sharky @Rmaxx13 april 2026 16:20
Ten eerste doe je een enorme aanname en ten tweede die verplichting is er wel. Of het nou vanuit AVG, NIS2, DORA, BIO2 of een andere wetgeving/certificering is.
Reageer
useruser @Paul13 april 2026 14:35
Ik denk dat we ons vooral moeten afvragen waarom al deze gegevens uberhaupt aanwezig zijn. Volgens mij heeft een fitness toko aan 2 dingen genoeg, membership ID en "betaald tot/geldig tot" datum. Alle andere informatie zoals voornaam, achternaam, adres, etc. is in principe overbodige info.
Reageer
Paul @useruser13 april 2026 14:50
Oh? Hoe moeten ze dan volgende maand van je rekening afschrijven? Je de factuur sturen? Je bereiken als de automatische incasso mislukt? Je benaderen als je je sporttas vergeten bent?

Een deel daarvan zijn ze simpelweg verplicht te hebben. Een individuele locatie heeft aan een webservice die je een membership ID (en een vorm van authenticatie) opgeeft en ja/nee terug stuurt mogelijk voldoende, maar het bedrijf zelf heeft veel meer nodig.
Reageer
RamRamNL @Paul13 april 2026 16:13
Klopt, maar in de externe communicatie staat duidelijk 'Wij hebben geconstateerd dat er ongeautoriseerde toegang is geweest tot het systeem dat de bezoeken van leden aan Basic-Fit-clubs registreert'. Wat ik me wel afvraag is hoe dit systeem precies werkt, want je kan namelijk met een pasje van een filiaal uit Maastricht ook gaan sporten in Groningen.
Reageer
rjtuijnman @useruser13 april 2026 15:34
Nou, ik zou ook wel willen vastleggen wanneer en hoe lang een lid aanwezig is geweest. Al is het maar om bij brand te kunnen zien wie er nog in het gebouw zouden moeten zijn. Maar uiteraard ook om een lid dat al weken niet langs is geweest even te kunnenbellen of er iets mis is!
Daarbij is een mailadres of telefoonnummer ook wel prettig als je een verbouwing of actie door wilt geven...
Reageer
rjtuijnman @Paul13 april 2026 15:31
Inderdaad! Dit soort 'conclusies' suggereren een 'deskundigheid' bij de schrijver die aan zelfoverschatting grenst. Ik ben in mijn jaren als systeembeheerder gelukkig gevrijwaard gebleven van datalekken, het waren mijn grootste angsten: inbraak en datalekken...
Mijn 'medeleven' gaat dan ook uit naar de IT'ers van ODIDO en Basic Fit! Sterkte mannen, dames ook...
Reageer
Nark0tiX @Paul13 april 2026 15:39
Dit soort hacks zijn makkelijk te voorkomen, deze data hoeft niet aan het web te hangen overigens. Voor dagelijks toegang enkel bijhouden of het account nog valide is. Ja nee.
Reageer
mphilipp @BigSmurf13 april 2026 10:18
los van het feit dat er dus wéér een grote toko is die z'n basale securityshit niet op orde heeft
Ja en nee...ja, ze zijn gehackt en er zijn niet-versleutelde gegevens gestolen, maar ze hadden wél binnen enkele minuten door dat er iemand bezig was die er niet thuishoorde. En dat is ook wel eens anders. Is het niet het OM dat volgens mij nog steeds niet weet hoe lang die hackers op het systeem geweest zijn?

Het mag duidelijk zijn dat er nog veel te verbeteren valt en dat bedrijven ervoor moeten zorgen dat alles goed versleuteld is, zodat áls er een inbraak plaatsvindt, ze alleen maar een zak met bitjes hebben waar ze niets mee kunnen. Maar BF had in ieder geval een vorm van intrusion detection waardoor dit opviel. Ik hoop tenminste niet dat het toeval was dat ze het opmerkten.
Want dát er een keer wordt ingebroken is bijna onvermijdelijk. Gelukkig lijken onze banken erg goed beveiligd, want reken er maar op dat het fanatiek geprobeerd wordt, maar tot nu toe (touch wood) is het nog niet gelukt...
Reageer
scsirob @mphilipp13 april 2026 10:27
[...]

Ja en nee...ja, ze zijn gehackt en er zijn niet-versleutelde gegevens gestolen, maar ze hadden wél binnen enkele minuten door dat er iemand bezig was die er niet thuishoorde.
Nee, dat staat er niet. Ze hebben het gestopt, enkele minuten nadat ze het doorhadden.

Dat sluit niet uit dat het lek er al dagen of weken was.
Reageer
mphilipp @scsirob13 april 2026 10:37
Zo had ik het niet gelezen. Kan inderdaad ook het geval zijn, maar dat weten we (nog) niet.
Reageer
JumpStart @scsirob13 april 2026 11:51
Dan nog zijn de hackers ontdekt tijdens exfiltratie van de gegevens.

Het zou gaan om 1 miljoen klantgegevens (waaronder dus 200.000 Nederlanders) op een totaal van 5,8 miljoen klanten. De diefstal was dus nog gaande toen er werd opgetreden.

Of de hackers (veel) eerder al binnenwaren is eigenlijk niet meer dan een kanttekening waard. Hier heeft in ieder geval netwerk monitoring z'n werk gedaan en een plotse piek in upload herkent als verdacht en ingegrepen.
Reageer
locke960 @scsirob13 april 2026 12:53
Het is geen toeval dat het zo verwoord is. Het is totaal betekenisloze informatie, maar het maakt een positieve indruk (zie ons eens goed bezig zijn in deze rotte situatie!) en het zet mensen die niet zo precies lezen op het verkeerde been.

Dit soort berichten worden altijd met het belang van het bedrijf in gedachte geschreven.
Reageer
Simon Weel @mphilipp13 april 2026 10:28
[...]

maar ze hadden wél binnen enkele minuten door dat er iemand bezig was die er niet thuishoorde.
Dat lees ik toch anders? In het bericht staat dat ze enkele minuten na ontdekking de boel blokkeerden. Het kan dus al veel langer gaande zijn geweest voordat het werd ontdekt.
Reageer
s0ulmaster @mphilipp13 april 2026 10:43
maar ze hadden wél binnen enkele minuten door dat er iemand bezig was die er niet thuishoorde.
Wat er staat is dat ze, binnen enkele minuten nadat ze het ontdenkt hadden, het lek hadden gedicht.

Er wordt niks gezecht over hoe lang ze binnen zijn geweest.
Reageer
anboni @mphilipp13 april 2026 12:07
Ja en nee...ja, ze zijn gehackt en er zijn niet-versleutelde gegevens gestolen, maar ze hadden wél binnen enkele minuten door dat er iemand bezig was die er niet thuishoorde.
Da's heel leuk. Dus ofwel de aanvallers zaten al dagen of weken binnen ofwel basic-fit heeft basic-security heel erg slecht op orde als er binnen enkele minuten van een miljoen klanten gegevens gescraped kunnen worden...
Reageer
Smeagolsan @mphilipp13 april 2026 12:45
Kan ook bullshit zijn en dat ze het maar wegmoffelen als "meteen" nadat het gemerkt is.

Zo zie je maar weer dat die grote landelijke toko's niet handig zijn, lekker lokaal blijven sporten en andere zaken doen, heb je al dit soort dingen ook niet met die datalekken en hacks.
Reageer
rphilipp64 @Smeagolsan13 april 2026 16:19
Want kleinere bedrijven hebben hun beveiliging beter op orde? Het enige wat je kan stellen is dat ze een minder interessant doelwit zijn. Ik zou eerder stellen dat kleine bedrijven die wél bewust omgaan met veiligheid van gegevens die ze verwerken, dat zeer waarschijnlijk doen door dat uit te besteden aan… grote landelijke (of internationale) software bedrijven.
Reageer
Robbierut4 @BigSmurf13 april 2026 10:37
Ik snap je zorgen dat ze exact weten wanneer jij je wekelijkse sport uurtje hebt en wanneer je dus niet thuis bent.

Dat gezegd hebbende is de kans erg klein dat mensen op basis van dat bij je gaan inbreken.

Sowieso weten ze niet of er nog iemand thuis is. En bot gezegd, de basic-fit gebruiker is nou niet perse een prime target. Als het nou premium super dure sportschool x was dan is het anders, maar bij basic-fit komt iedereen, van iemand in de bijstand tot welgestelde gepensioneerden.
Reageer
CAPSLOCK2000
@Robbierut413 april 2026 11:07
Dat gezegd hebbende is de kans erg klein dat mensen op basis van dat bij je gaan inbreken.
Ik denk dat je het groter moet zien. Ik ben het met je eens dat niemand gaat inbreken op grond van deze database, maar als je toch al van plan bent om ergens in te breken dan kan dit soort info helpen, bv om te leren wanneer er waasrschijnlijk niemand thuis is.

Dat moet je groter zien dan alleen deze klaten en alleen basicfit. Op grond van deze data zou je een AI-model kunnen trainen dat voor een willekeurige persoon (of pand) voorspelt wanneer ze naar de sportschool gaan. Daarnaast kun je ook wel iets zeggen over de levensstijl en het inkomen van mensen, zeker als je het combineert met data uit andere lekken.

Over een enkel datalek maak ik me niet zo veel zorgen. Ik maar me vooral zorgen over de constante stroom van gelekte data uit diverse bronnen die elkaar aanvult en versterkt.

Ik ga er helemaal van uit dat voor iedere nette OpenAI en Anthropic in de wereld er een duistere tegenhanger is die zich aan geen enkele regel* houdt en gewoon zoveel mogelijk data opslurpt om krachtige AI-modellen op te trainen voor crimineel gebruik.

* als er al regels zijn, er zijn nog genoeg landen waar alles mag omdat die niet met dataveiligheid, privacy of copyright bezig zijn en zeker niet met de rechten van buitenlanders.
Reageer
Robbierut4 @CAPSLOCK200013 april 2026 11:37
[...]

Ik denk dat je het groter moet zien. Ik ben het met je eens dat niemand gaat inbreken op grond van deze database, maar als je toch al van plan bent om ergens in te breken dan kan dit soort info helpen, bv om te leren wanneer er waasrschijnlijk niemand thuis is.

Dat moet je groter zien dan alleen deze klaten en alleen basicfit. Op grond van deze data zou je een AI-model kunnen trainen dat voor een willekeurige persoon (of pand) voorspelt wanneer ze naar de sportschool gaan. Daarnaast kun je ook wel iets zeggen over de levensstijl en het inkomen van mensen, zeker als je het combineert met data uit andere lekken.

Over een enkel datalek maak ik me niet zo veel zorgen. Ik maar me vooral zorgen over de constante stroom van gelekte data uit diverse bronnen die elkaar aanvult en versterkt.

Ik ga er helemaal van uit dat voor iedere nette OpenAI en Anthropic in de wereld er een duistere tegenhanger is die zich aan geen enkele regel* houdt en gewoon zoveel mogelijk data opslurpt om krachtige AI-modellen op te trainen voor crimineel gebruik.

* als er al regels zijn, er zijn nog genoeg landen waar alles mag omdat die niet met dataveiligheid, privacy of copyright bezig zijn en zeker niet met de rechten van buitenlanders.
"Uit onderzoek blijkt dat de meeste inbrekers gelegenheidsinbrekers zijn. Zij slaan hun slag als ze een kans zien."
Bron: Eigen Huis

Oftewel, leuk als ze vanalles weten, maar dit is maar van toepassing op een klein groepje inbrekers.

Gewoon je raam dicht doen is dus veel belangrijker om inbraak te voorkomen dan wat er ook lekt uit zo'n datalek. Tenzij je een high value target bent, en die kans is gewoonweg niet zo groot bij Basic Fit.

Blijft overigens dat deze data niet gelekt had moeten zijn, maar dat is een andere discussie.

[Reactie gewijzigd door Robbierut4 op 13 april 2026 11:37]

Reageer
anboni @Robbierut413 april 2026 12:09
Ik snap je zorgen dat ze exact weten wanneer jij je wekelijkse sport uurtje hebt en wanneer je dus niet thuis bent.
Wat dacht je van stalking? Als je stalker nu makkelijk te weten kan komen op welke tijden je bij welke vestiging ingecheckt bent, staat 'ie je daar straks op te wachten...
Reageer
Vaevictis_ @BigSmurf13 april 2026 11:24
Tijd dat bedrijven overal encryptie toepassen, data minimalisatie toepassen en gebruik maken van sharding. Dus meerdere databases voor verschillende doeleinden en niet alles in een CRM onderbrengen. Daarmee verklein je het risico op gevoelige datalek al aanzienlijk.

[Reactie gewijzigd door Vaevictis_ op 13 april 2026 11:25]

Reageer
L01 @Vaevictis_13 april 2026 14:39
Mijn twee favoriete quotes over encryptie zijn:

"If you think cryptography will solve your problem, either you don't understand cryptography, or you don't understand your problem."

"Cryptography is not magic pixie dust that you can sprinkle on a system to make it secure"

De meeste hacks worden niet op database niveau gedaan, maar op applicatie niveau.

Op dat niveau heb je geen encryptie want de mensen die de applicatie gebruiken moeten kunnen lezen wat er in de database staat.
Reageer
Blokker_1999
@BigSmurf13 april 2026 10:19
Als het klopt dat het enkel de afgelopen week is, en er is geen enkele reden om aan te nemen dat dat niet zo is, dan vind ik dat net een positief iets en toont het aan dat zij wel degelijk nadenken over niet meer data bij te houden dan strikt noodzakelijk.

Zonder te weten hoe men is binnen geraakt vind ik het dan ook spijtig dat mensen altijd zo snel reageren met dat bedrijven hun basis beveiliging niet op orde zouden hebben. Ja, er is iets mis gegaan bij dit bedrijf, en dat is niet goed. Maar stellen dat ze daardoor hun basis niet in orde hebben is ook weer heel kort door de bocht.
Reageer
BigSmurf @Blokker_199913 april 2026 10:28
Volledig oneens met je tweede alinea. Ik vind het juist spijtig dat er zoveel mensen zijn die dit soort lekken proberen te downplayen met "de communicatie is dit keer wel echt goed he, wauw" en "goed dat ze binnen een paar minuten hebben gereageerd".

Als in één lek praktisch alle gegevens van al je klanten gelekt kunnen worden, dan heb je je basis gewoon niet op orde. Daar mogen we heel, heel kritisch over zijn en het wordt tijd dat de hele juridische molen rondom beboeting en bestuurlijke aansprakelijkheid eindelijk eens serieus wordt ingezet om dit soort bedrijven op de vingers te tikken.
Reageer
xouns @BigSmurf13 april 2026 10:48
Wat een rare opmerking. In een CRM of een service pakket staan dit soort gegevens naast elkaar, en dat hoort daar ook. Als er toegang wordt gekregen tot het CRM (met de token van een medewerker of anders) dan heb je die toegang gewoon. Het is helemaal niet raar dat dit bij elkaar zit, aangezien de data uit het lijstje hierboven nodig is voor de uitvoering van het werk van de desbetreffende medewerker. En het is dus ook niet raar dat een aanvaller er dan toegang toe heeft.

Je moet namelijk af en toe een medewerker een email laten sturen. Of laten bellen. Of een brief laten sturen. En die berichten gaan over de bezoeken die de klant heeft gedaan. Ik zie hier eigenlijk weinig raars. Het is jammer, maar niet raar.
Reageer
T-MOB @xouns13 april 2026 11:01
Maar zo'n medewerker hoeft nooit gegevens van honderden klanten per uur te bekijken. Je kunt prima beveiliging inbouwen die een account blokkeert bij verdacht gebruik.
Reageer
P_Tingen @xouns13 april 2026 11:06
Klopt, maar dan moet je zeggen dat er toegang is verkregen tot het CRM pakket en niet "het systeem dat de bezoeken van leden aan Basic-Fit-clubs registreert". Dat suggereert namelijk dat het gescheiden systemen zijn
Reageer
indigo79 @xouns13 april 2026 11:15
Waarom moeten medewerkers zelfs weten wie wanneer in welke sportclub is geweest? Je hebt inderdaad statistische informatie nodig omdat die bepalend zijn voor je bedrijfsvoering. Maar eigenlijk is er geen enkele goede reden om individuele klanten op een dergelijk niveau op te volgen. We doen dat tegenwoordig graag omdat ons door leveranciers van marketingsoftware aangepraat is, maar eigenlijk heeft dat geen of nauwelijks meerwaarde en al zeker niet in verhouding tot de privacyschendingen die daar elke keer weer het gevolg van blijken te zijn.
Reageer
SunnieNL @xouns13 april 2026 12:55
Maar ze zeggen hier niet dat het om het crm gaat maar om het systeem dat de registratie doet wanneer je de gym bezoekt. Daar hoeft bepaalde data als bv bankrekening of geboortedatum niet in te staan. Eigenlijk zou alleen lidnummer genoeg zijn, mss met vinkje dat je wel of geen toegang mag hebben. De rest is daar niet in nodig.

Dus of ze geven nu publiek de verkeerde informatie dat het wel om het crm gaat of het systeem had meer informatie dan nodig.

[Reactie gewijzigd door SunnieNL op 13 april 2026 12:57]

Reageer
xSNAKEX @BigSmurf13 april 2026 12:42
Misschien is het handig om aan te geven wat je dan vindt dat de basis op orde hebben inhoud? Die basis bevat namelijk concrete beveiligingsmaatregelen en niet "deze gevolgen moeten onmogelijk zijn"

Het gene wat jij hier niet vindt kunnen is namelijk echt bij het grootste deel van de applicaties en bedrijven helaas gewoon mogelijk. Dat is misschien een trieste werkelijkheid en zeker bij grotere bedrijven moet dit gewoon op orde zijn, maar om het de basis te noemen vind ik toch echt niet correct. Een eerste stap zou zijn om het op applicatie niveau al aan te pakken zodat een klein bedrijf zich hier ook geen extra zorgen over hoeft te maken.

[Reactie gewijzigd door xSNAKEX op 13 april 2026 12:45]

Reageer
dasiro @BigSmurf13 april 2026 10:53
los van het feit dat er dus wéér een grote toko is die z'n basale securityshit niet op orde heeft
Met de hoeveelheid lekken die de laatste tijd naar buiten komt, denk ik dat je je de vraag moet stellen hoeveel er hun security NIET op orde hebben. Dat er een exploit is voor je infrastructuur is niet leuk (vaak zelfs meerdere), maar het feit dat ze het zo snel merken en ingrijpen wil zeggen dat ze er toch serieus mee bezig zijn.
Reageer
Rmaxx @BigSmurf13 april 2026 12:06
Ook dat veel data niet versleuteld is terwijl dit voor de snelheid in dit geval niet veel uitmaakt. Vrijwel alle data hadden ze hier versleuteld kunnen opslaan zonder impact op hun service. Daarnaast ook raar dat zo'n enorme 'download' uberhaupt mogelijk is.. benieuwd wat het 'lek' is geweest. Maar dat zullen we wel nooit horen. En idd gestopt na 'ontdekking' zegt niks over hoe lang het al misbruikt werd.
Reageer
vinx77 @BigSmurf13 april 2026 12:17
Mogelijk beter op orde dan anderen. Ik ben 3 jaar niet meer lid, en heb geen mail gekregen. Dus of ze verbergen dat ze mijn gegevens nog hebben, of ze hebben daadwerkelijk mijn gegevens verwijderd volgens de EU-regels. We komen er wel achter, als de gegevens op het dark web komt.
Reageer
Bux666 @BigSmurf13 april 2026 12:57
Ik deel je mening. Wat mij ook stoort aan dit soort communicatie is dat er dit staat
Welke maatregelen heeft Basic-Fit genomen?
De ongeautoriseerde toegang is binnen enkele minuten na ontdekking gestopt. Daarnaast hebben wij het incident gemeld bij de Autoriteit Persoonsgegevens.
Het lijkt Mark Rutte wel: de vraag wordt niet beantwoord. Ze hebben de hackers kennelijk snel ontdekt en afgesloten. En ze hebben AP ingelicht. Mooi. Maar...welke maatregelen heeft Basic Fit nou genomen om dit te voorkomen?
Reageer
.Redman. @BigSmurf13 april 2026 14:51
Wat me stoort - [..] - is dat in de mail verschillende dingen op verschillende plekken worden gemeld. Ze melden in eerste instantie het lijstje met e-mail, naam, adres et cetera, maar vervolgens ook in een alinea verderop ook dat het gaat om je betalingssaldo, de club en bezoektijden van jouw recente bezoeken van de afgelopen week en de naam van je telefoon (die is gekoppeld aan je digitale pas).
In het lijstje staat 'Lidmaatschapsinformatie'. In de alinea verderop lichten ze toe wat daar onder verstaan wordt.

'Welke lidmaatschapsinformatie is betrokken?'

[Reactie gewijzigd door .Redman. op 13 april 2026 14:52]

Reageer
dudinson @Anonymoussaurus13 april 2026 09:54
Super vervelend dat het gebeurt is, maar ik moet ook zeggen dat deze mail een van de betere mails ik die ik heb gelezen na dit soort lek. Duidelijk wat er gestolen is, wat niet en goede voorbeelden voor wat er eventueel kan gebeuren met betrekking tot phishing. Toch een pluspuntje vindt ik.
Reageer
Andros @dudinson13 april 2026 09:56
Ook het eerste wat ik dacht. Die lekken gebeuren tegenwoordig steeds meer en ja, bedrijven maken fouten maar er valt ook iets over te zeggen hoe ze met zoiets om gaan. Direct klanten informeren en openheid geven is het beste dat ze nu konden doen, daar kan een onlangs getroffen telecomboer nog iets van leren...
Reageer
batjes @Andros13 april 2026 10:09
Fouten maken we allemaal, niemand en geen bedrijf is daar immuun voor. Hoe een fout hersteld wordt is wat er toe doet.

Dit is een voorbeeld van hoe het wel moet, Odido is een voorbeeld van hoe het niet moet.
Reageer
Loncle @dudinson13 april 2026 10:20
En toch, dit is wel waarom ik nooit mijn echte geboortedatum opgeef en een variant van mijn naam tenzij het echt noodzakelijk is (wat meestal niet het geval is)
Reageer
Cid Highwind @dudinson13 april 2026 12:41
“Wees extra alert” is alleen wel een erg minimale waarschuwing voor hoe hier dus als klant mee om te gaan en om hen een inschatting te geven van wat de mogelijke consequenties zijn.

Eigenlijk is dit het absolute minimum wat je als klant mag verwachten, met enkel lof voor het feit dat het minder beroerd is dan elders.
Reageer
iqcgubon @Anonymoussaurus13 april 2026 09:48
Was mijn wachtwoord betrokken?
Jouw Basic-Fit-wachtwoord was geen onderdeel van de ongeautoriseerde download.
Oef, gelukkig maar! Het enige wat je super makkelijk kan veranderen is niet gelekt. Wat een opluchting |:(
Reageer
moonlander @iqcgubon13 april 2026 09:57
Heel veel mensen gebruiken nog steeds dezelfde wachtwoorden bij verschillende diensten. Dus ja dat is wel belangrijk om te weten toch? Overigens zou het advies ook gelijk moeten zijn dat je overal een ander wachtwoord moet hebben, maargoed.
Reageer
Majhool @moonlander13 april 2026 10:26
Vergeet 2FA niet. En lidmaatschapsinformatie is heel snel aan te passen 8-)
Reageer
CAPSLOCK2000
@iqcgubon13 april 2026 10:46
Oef, gelukkig maar! Het enige wat je super makkelijk kan veranderen is niet gelekt. Wat een opluchting |:(
Daarom probeer ik zoveel mogelijk te liegen over mijn persoonsgegevens. Het is niet altijd mogelijk, maar de pizzaboer hoeft mijn naam en telefoonnummer niet te hebben.

Ik snap ook niet waarom een club als BasicFit uberhaupt persoonsgegevens nodig heeft? Het enige wat zo'n bedrijf hoeft te weten is dat lid 123 de contributie voor deze maand heeft betaald.
Ik geloof dat bedrijven tot op zekere hoogte bij moeten houden wie hun klanten zijn, misschien moeten we daar eerst iets aan veranderen, want volgens mij houden ze veel te veel bij.

Als het gaat om grote bedragen dan snap ik dat er wat info bij moet worden gehouden, maar voor een paar euro per maand lijkt me dat niet nodig.
Reageer
The-Source @CAPSLOCK200013 april 2026 10:52
In lijn met jouw voorbeeld. Ik doe mee in de Wie is de Mol app, daar is simpel inschrijven email + wachtwoord voldoende.

Maar insturen kijkersvraag komt een heel deel van 06 nummer verplicht veld, adres gegevens verplicht voorbij. Denk je nu echt dat ik dat naar waarheid ga invullen... nou nee.
Reageer
smv @CAPSLOCK200013 april 2026 10:59
Als ik het goed hebt, is dat ze ook graag je adres gegevens willen hebben, zodat als je niet meer betaald, ze geld bij je kunnen opeisen via instanties etc...


Wat mij veel meer opvalt, is dat er nu opeens met bosjes dataleks bekend worden.
Reageer
CAPSLOCK2000
@smv13 april 2026 11:23
Als ik het goed hebt, is dat ze ook graag je adres gegevens willen hebben, zodat als je niet meer betaald, ze geld bij je kunnen opeisen via instanties etc...
Ze kunnen je ook vooraf laten betalen en je gewoon niet binnen laten als er niet betaalt is. Dat is voor de klant sowieso een fijner model omdat die dan niet in de schulden kan komen door vergeten abonnement.
Wat mij veel meer opvalt, is dat er nu opeens met bosjes dataleks bekend worden.
IMHO is het verschil vooral dat er meer aandacht is voor lekken die een paar jaar geleden nog stilzwijgend zouden zijn opgelost zonder iemand te informeren.

Security gaat al lang niet meer om de vraag óf je "veilig" bent en óf je data uitlekt, maar meer om hoe lang het duurt tot er iets lekt en hoe je de gevolgen dan minimaliseert.
Reageer
ReneJong88 @smv13 april 2026 12:57
Ik heb hier geen bron voor maar mijn idee is ook dat er simpelweg een schuiving is in de werkwijze van de mensen hier achter.

Aantal jaar terug was het vooral ransomware maar nu "loont" dit soort praktijken waarschijnlijk meer.

Totdat er eens wat knappere wetgeving rond dit topic komt met beter richtlijnen voor data en wat te doen als bedrijven zich er niet aan houden etc.

Daarna zal het volgende wel weer hot worden. 😅
Reageer
Lord Anubis @CAPSLOCK200013 april 2026 12:41
Bij geen naam nodig of leeftijd dan kan iedereen naar binnen. Gebeurt nu ook maar toch.
Weet iemand tot hoe ver terug dit gaat kwa gestolen data? Jaar of meerdere jaren? Hoe lang bewaren zij jouw gegevens nadat je opgezegd had?
Reageer
Settler11 @Anonymoussaurus13 april 2026 10:36
Hier (nog) niet ontvangen. Al ben ik per 2 weken - na jarenlang lid te zijn - gewisseld van gym. Reden was dat daar mijn (fysieke) kluis opengebroken was...
Reageer
schaduw @Anonymoussaurus13 april 2026 11:01
Alsjeblieft Basic-Fit, fixed that for you
Welke gegevens zijn betrokken?
De betrokken gegevens zijn:
  • E-mailadres
  • Voor- en achternaam
  • Adres en woonplaats
  • Telefoonnummer
  • Bankrekeningnummer
  • Rekeninghouder
  • Geboortedatum
  • Lidmaatschapsinformatie
    • Lidmaatschapstype
    • Betalingssaldo
    • Basic-Fit-pasnummer
    • Een intern ID-nummer
    • De club die je bezoekt
    • De bezoektijden van jouw recente bezoeken van de afgelopen week
    • De apparaatnaam van jouw telefoon (dit is de naam van jouw telefoon, bijvoorbeeld iPhone of Samsung, of de naam die jij zelf hebt gekozen).
Reageer
P_Tingen @Anonymoussaurus13 april 2026 11:03
Even een domme vraag aan Basic Fit, maar als dit het gehackte systeem is:

- "het systeem dat de bezoeken van leden aan Basic-Fit-clubs registreert"

Waarom staat daar dan informatie in over je email- en woonadres, telefoonnummer en bankgegevens? Je zou toch zeggen dat bij de bezoekregistratie niet heel veel meer nodig is dan lidmaatschapsnummer, datum en tijd?

Wat doet de rest van die data dan daar?

[Reactie gewijzigd door P_Tingen op 13 april 2026 11:04]

Reageer
SunnieNL @P_Tingen13 april 2026 15:54
Geen domme vraag...

Dus BasicFit spreekt niet de waarheid over welk systeem er is geraakt (want dat lijkt het CRM en niet de 'prikklok') of de registry tool had veel en veel te veel informatie om zijn werk te kunnen doen.
Reageer
Raymond Deen @Anonymoussaurus13 april 2026 12:52
Na dit zoveelste lek begin ik mij ondertussen af te vragen of alle systemen nou zo lek zijn ontworpen. Ik snap ook eerlijk gezegd niet die focus op dat het wachtwoord niet gelekt is, want dat is tegenwoordig één van de minst erge gegevens om te lekken.

Het gaat om die andere gegevens die er wél toe doen!

Maak het gewoon onmogelijk dat er een volledige kant-en-klare klantenlijst uitgedraaid kan worden uit het systeem en versleutel alle datavelden fatsoenlijk zodat ook een dump van een database niks oplevert. Zorg er ook voor dat er niet een mogelijkheid is om vanaf een account seriematig alle klanten langs is te gaan, maar bouw daar een vertraging in zoals bij verkeerd inloggen vaak gebeurt.

Als het nodig is om wél een compleet klantenbestand uit te draaien, dan zou ik graag de zeer goede redenen daarvoor willen zien, want ik kan ze niet bedenken.
Reageer
SunnieNL @Raymond Deen13 april 2026 15:56
Een database dump ontgrendelt alle informatie als je die via de normale wegen opvraagt. Een dump via een API zal jouw geen versleutelde informatie geven omdat je daar niets mee kan. Doel van de API is juist om informatie te geven die je wel kan gebruiken anders kun je de API net zo goed weghalen.

Goede reden voor compleet klantenbestand uitdraaien? Ik noem er een: backup.

[Reactie gewijzigd door SunnieNL op 13 april 2026 15:56]

Reageer
stijn014 13 april 2026 09:45
Ook gegevens van Belgen gelekt: https://www.hln.be/tech/basic-fit-getroffen-door-hackers-ook-belgen-onder-de-slachtoffers~a9ee7e3e/
Reageer
TheVivaldi @stijn01413 april 2026 09:52
cc @@Imre Himmelbauer
Reageer
AuteurImre Himmelbauer Redacteur @TheVivaldi13 april 2026 09:57
Is toegevoegd!
Reageer
ccnl @Imre Himmelbauer13 april 2026 10:55
Volgens mij zijn alle landen betroffen

Frankrijk https://www.basic-fit.com/fr-fr/service-a-la-clientele

Duitsland https://www.basic-fit.com/de-de/faq

Spanje https://www.basic-fit.com/es-es/servicio-al-cliente
Reageer
tc982 @Imre Himmelbauer13 april 2026 12:25
Toch een klein kantje van kritiek, waarom nog steeds een NL alleen headline terwijl er toch veel Vlamingen de site ook volgen. Moet er nog Nederlandse in de titel staan? En kan dat niet algemener nu dat blijkt dat half Europa mee in de lek zit?
Reageer
TheVivaldi @Imre Himmelbauer13 april 2026 10:00
Top, dank je wel (en zo snel ook!) :)
Reageer
neversium @stijn01413 april 2026 09:53
Waarschijnlijk alle basic fit leden in Europa.
Reageer
Esumontere @neversium13 april 2026 10:11
Nee, niet dus. 200.000 Nederlanders is een fractie van hun Nederlandse klantenbestand.
Reageer
PrimusIP 13 april 2026 09:54
Gaat lekker met al die datalekken. Maakt me weer extra bewust dat ik alleen maar met email aliassen wil gaan werken. Voorkomt helaas niet alles, maar het is iig 'iets'.
Reageer
TD-er @PrimusIP13 april 2026 10:18
Als je andere gegevens zoals woonadres, telefoonnummer, rekeningnummer etc. gelekt zijn zoals hier, dan maakt het nog steeds niet uit of je andere email-adressen gebruikt.

Naast dat adressen als "basicfit@famjanssen.nl" prima te koppelen valt aan "ah@famjanssen.nl" en "jumbo@famjanssen.nl" bijv.

Zoals een ander al noemde, zijn hier ook de bezoektijden gelekt en dat is icm. je huisadres mogelijk nog vervelender dan dat je phishingmail kunt ontvangen.
Reageer
batjes @TD-er13 april 2026 10:30
Aliassen voor rekeningnummers met aliasnamen zou wel fijn zijn.

De overige gevevens vul ik zelf toch nooit naar waarheid in tenzij overheid, werkgever of bank. Steam denkt ook al 20 jaar dat ik in Huis 1 woon in Dorp met postcode 6666.
Reageer
Argantonis @TD-er13 april 2026 11:00
Als iemand jou gericht zou willen aanvallen, ok. Maar in 99% van de gevallen gaan hackers echt geen mogelijke andere aliasen op een eigen domein proberen te raden. Niet dat je daarvoor hetzelfde wachtwoord zou moeten gebruiken, maar dat zou sowieso niet moeten.
Reageer
indigo79 @Argantonis13 april 2026 11:18
Menselijke hackers niet, maar een LLM kan uit een paar gelekte datasets wél een heel degelijk profiel samenstellen...
Reageer
TD-er @Argantonis13 april 2026 11:47
Naast dat het kinderlijk eenvoudig is om patronen in mail-adressen te herkennen als je maar genoeg data hebt, is er hier meer gelekt wat niet zo makkelijk uniek te maken is per plek waar je je gegevens moet invullen (mits naar waarheid ingevuld)

Mocht er bijv. een grote supermarkt-keten een groot datalek hebben, dan is de kans aanzienlijk dat adres-gegevens en telefoonnummers kloppen, omdat veel klanten ook gebruik maken van thuisbezorg-services.

Voor iets als BasicFit, zou een thuis-adres al niet eens hoeven te kloppen volgens mij. Enige reden waarom zij wellicht je adresgegevens nodige hebben (wat ik nu kan bedenken) is voor het geval je achter loopt met betalingen en ze een aanmaning ofzo zouden moeten sturen. Maar daarvoor is een email-adres al voldoende lijkt me?

Anyway, als de inbrekers die deze data verzameld hebben, de dataset te gelde willen maken, dan zou deze wellicht meer waarde kunnen hebben als ze er meer gegevens aan kunnen koppelen. Dus in die zin is het zeker wel de moeite waard om ook op niet al te generieke domeinnamen te sorteren om de data te kunnen matchen.
Reageer
Mark de Vaal @PrimusIP13 april 2026 09:58
Ik heb hier een 25 jaar oud email adres voor en al betrokken bij 100+ datalekken. Alle shit komt hier op binnen.
Reageer
Sluuut @Mark de Vaal13 april 2026 10:38
Volgens mij doelt PrimusIP erop dat je voor elke dienst een ander alias moet gebruiken, zodat je altijd kunt achterhalen wat er waar gelekt is, bijvoorbeeld als er phising word gemaild naar basticfit_sluuut@whatever.nl je dat terug kunt zien en de partij verantwoordelijk kunt houden voor vervolg problemen.
Reageer
Pino Blauw 13 april 2026 09:59
Een sportschool heeft deze gegevens niet nodig om hun dienst te kunnen verlenen. Het wordt echt tijd dat we massaal gaan eisen dat regelgeving omtrent identficatie plicht aangepast wordt. Je zou een sportschool abbonement anoniem af moeten kunnen sluiten en toegang moeten kunnen krijgen op basis van een klantnummer. Meer heeft een sportschool niet nodig.

Als het abbonement Bijv gebaseerd is op 3 bezoeken (ongeacht wie bezoekt) per week is inkomsten verlies door het delen van een toegangspas verwaarloosbaar.

Ik heb het idee dat de overheids lobby en grote bedrijven eigenlijk positief tegen dit soort incidenten aan kijken. Dat de gewone burgers hun privacy verliezen past helemaal in het you will own nothing and you will be happy sociaal economische slaven plaatje.

[Reactie gewijzigd door Pino Blauw op 13 april 2026 10:11]

Reageer
thomas.tnc @Pino Blauw13 april 2026 10:06
Niet eens, een sportschool abonnement is persoonlijk dus moeten ze wel weten met wie ze te maken hebben. Dit geldt ook voor bijv. een NS abonnement. Anders wordt hier misbruik van gemaakt.
Reageer
Pino Blauw @thomas.tnc13 april 2026 10:09
Waarvoor misbruik kunnen ze maken? Als het abbonement gebaseerd is op 3 bezoeken (ongeacht wie bezoekt) per week is inkomsten verlies door het delen van een toegangspas verwaarloosbaar.
Reageer
thomas.tnc @Pino Blauw13 april 2026 10:13
Klopt maar dan heb je het over een andere abonnementsvorm. Bij de BF is dit onbeperkt sporten en daar kan dan dus misbruik van gemaakt worden.

Er zijn ook genoeg andere sportscholen waar je op een rittenkaart kan sporten. Bijv. bij mijn lokale zwembad heb ik ook zo’n pas en kan ik die gewoon opwaarderen daar.
Reageer
J_van_Ekris
@Pino Blauw13 april 2026 10:37
Omdat 3 bezoeken per week vaak goedkoper is dan 3x een bezoek per week. Mensen zijn slimmer dan je denkt.
Reageer
Argantonis @Pino Blauw13 april 2026 11:35
Als als als. Abonnementen zijn gewoon persoonsgebonden, en juist sportscholen draaien daarop. Het zou totaal niet aan te bieden zijn voor de huidige prijzen als mensen daadwerkelijk zoveel zouden komen opdagen als zou mogen.
Reageer
Pasteis @Pino Blauw13 april 2026 10:08
Een sportschool heeft deze gegevens niet nodig om hun dienst te kunnen verlenen. Het wordt echt tijd dat we massaal gaan eisen dat regelgeving omtrent identficatie plicht aangepast wordt. Je zou een sportschool abbonement anoniem af moeten kunnen sluiten en toegang moeten kunnen krijgen op basis van een klantnummer. Meer heeft een sportschool niet nodig.

Ik heb het idee dat de overheids lobby en grote bedrijven eigenlijk positief tegen dit soort incidenten aan kijken. Dat de gewone burgers hun privacy verliezen past helemaal in het you will own nothing and you will be happy sociaal economische slaven plaatje.
Een abonnement is persoonsgebonden en dat snap ik heel goed... want anders kan een hele straat straks meeliften op een of enkele abonnementen. Dat is geen houdbaar business model.
Reageer
Pino Blauw @Pasteis13 april 2026 10:11
Op waarvoor manier meeliften? Als het abbonement gebaseerd is op 3 bezoeken (ongeacht wie bezoekt) per week is inkomsten verlies door het delen van een toegangspas verwaarloosbaar.
Reageer
Pasteis @Pino Blauw13 april 2026 10:19
Op waarvoor manier meeliften? Als het abbonement gebaseerd is op 3 bezoeken (ongeacht wie bezoekt) per week is inkomsten verlies door het delen van een toegangspas verwaarloosbaar.
Nog steeds geen goed business model... of je nu 3 abonnees hebt die alledrie elke maand betalen of 1x 3 abonnement betaald voor 3x is toch niet 1 op 1 vergelijkbaar. Want je kunt het abonnement niet 3x zo hoog maken om de 3 abonnees te compenseren.

Slapende abonnees vormen een belangrijk verdienmodel voor sportscholen.
Reageer
Cid Highwind @Pasteis13 april 2026 12:58
De vraag die gesteld moet worden is waarom het businessmodel “slapend rijk worden” in stand gehouden zou moeten worden, wanneer dit enkel bestaat bij de gratie van een bovenmaatse datahonger met dus de bijbehorende veiligheidsrisico’s?

Verdient dat werkelijk meer wettelijke bescherming dan de veiligheid van persoonsdata en de klanten zelf, terwijl dit voor het aanbieden van de werkelijke dienst, het kunnen sporten, heel niet nodig is?

Ik snap dat ondernemend Nederland op de achterste benen zal staan. Maar soms zijn regels nodig omdat gebleken is dat het uitblijven hiervan enkel heeft geleid tot commerciële uitwassen die even absurd als ingeburgerd zijn tegelijkertijd.
Reageer
Pasteis @Cid Highwind13 april 2026 13:15
De vraag die gesteld moet worden is waarom het businessmodel “slapend rijk worden” in stand gehouden zou moeten worden, wanneer dit enkel bestaat bij de gratie van een bovenmaatse datahonger met dus de bijbehorende veiligheidsrisico’s?

Verdient dat werkelijk meer wettelijke bescherming dan de veiligheid van persoonsdata en de klanten zelf, terwijl dit voor het aanbieden van de werkelijke dienst, het kunnen sporten, heel niet nodig is?

Ik snap dat ondernemend Nederland op de achterste benen zal staan. Maar soms zijn regels nodig omdat gebleken is dat het uitblijven hiervan enkel heeft geleid tot commerciële uitwassen die even absurd als ingeburgerd zijn tegelijkertijd.
Ik durf niet te zeggen dat het business model je rijk maakt, want de kosten van een sportschool kunnen hoog zijn. Bovendien is het niet de taak van een sportschool om te attenderen dat je niet naar desportschool toe gaat terwijl je abonnement doorloopt... dat is een eigen keuze.

Bovendien heeft het helemaal geen wettelijke bescherming en zie ik niks in om hier ook nog eens regels aan te verbinden. Mensen moeten zelf ook verantwoordelijk zijn en blijven in hun abonnementen.

Er zijn andere manieren om het probleem (data) aan te pakken dan een heel business model om te gooien.
Reageer
Cid Highwind @Pasteis13 april 2026 14:09
Bovendien heeft het helemaal geen wettelijke bescherming en zie ik niks in om hier ook nog eens regels aan te verbinden. Mensen moeten zelf ook verantwoordelijk zijn en blijven in hun abonnementen.
Dat heeft er natuurlijk niks mee te maken dat sportscholen dus hun geld vooral verdienen met degenen die geen, of zo min mogelijk de dienst afnemen waar men voor betaalt, en waar dus die extra persoonsgegevens voor nodig zijn ten opzichte van een simpel enkel kaartje, een strippenkaart, of een eventueel anoniem abonnement, alternatieven waarvoor IT veiligheid dus inherent minder urgent zou zijn, omdat er minder data wordt opgeslagen.

Nu is het een geval van wel de lusten, niet de lasten.

Of het daarmee wel of geen vetpot voor hen is, is eveneens niet relevant. Men heeft gekozen voor een business model wat met extra verantwoordelijkheden komt, die dus niet (afdoende) worden genomen.
Reageer
Pasteis @Cid Highwind13 april 2026 16:17
Ik probeer het niet te verdedigen, hè, maar wel vanuit het perspectief van de ondernemers te bekijken… een enkel kaartje, strippenkaart of anoniem abonnement (dat ook dus te delen valt) is helemaal niet in het belang van de ondernemer en kost simpelweg een hoop geld (of m.a.w. levert te weinig op)

Dat ze persoonsgebonden abonnementen hebben en daardoor persoonsgegevens nodig hebben, kan ik begrijpen. Dit betekent wel dat ik vind dat ze hierin ook hun verantwoordelijkheid moeten nemen om de veiligheid hiervan te borgen.

Bovendien kun je natuurlijk iets van een hash bedenken waarmee je de veiligheid van de adresgegevens borgt, alhoewel ik niet weet of er een wet bestaat die verplicht dat je NAW moet hebben bij het afsluiten van abonnementen.
Reageer
Cid Highwind @Pasteis13 april 2026 16:35
Yep, ik snap ook waar het vandaan komt, en wat je insteek is :)

Het is ook zeker altijd waken dat het middel niet erger is dan de kwaal. Maar tegelijkertijd is het ook goed de gevolgen te bekijken van bepaalde verdienmodellen die dus ook overduidelijk met nadelen komen die op consumenten worden afgewimpeld met een BP-style “we’re sorry”, zonder dat er werkelijk verantwoording wordt genomen.

Dat vereist een zeer fijne balans. En in de regel slaat deze uit in het voordeel van de ondernemer.
Reageer
litebyte @Pino Blauw13 april 2026 10:14
Ze hoeven na het aanmaken van het account het iig niet te bewaren.
Reageer
FrostyPeet @Pino Blauw13 april 2026 10:33
Anoniem een lidmaatschap werkt niet. O.a. de belastingdienst kan inzage eisen, want zwart geld witwassen enzo. Sportschool wil ook geen contant geld hebben want diefstal, dus overboeken via bankrekening o.i.d.

Ben het met je eens dat deze gegevens wel goed beveiligd moeten worden.
Reageer
Pino Blauw @FrostyPeet13 april 2026 10:51
Bij overboeking is het niet nodig dat de sportschool het rekeningnummer aan de pashouder linkt. De betaling kan met een betalingskenmerk gekoppeld worden. Ook witwassen is onzin. Zwembaden werken ook met anonieme strippenkaarten.
Reageer
curkey @Pino Blauw13 april 2026 12:21
Voor je boekhouding en betalingsbeheer etc moet je toch echt wel bijhouden wie je klanten zijn en waar ze wonen, nog los van je eventuele behoefte om persoonsgebonden situaties te kunnen valideren.
Reageer
brutus0 13 april 2026 09:48
Ik vind het toch wel apart dat zulke grote bedrijven gewoon gehackt worden. ik snap dat ze een target zijn en zullen blijven. maar dan verwacht je dat de security echt goed in elkaar zit, maar als ik een groot bedrijf zou zijn infesteer in security want een hack kun je voorkomen of tegengaan maar de schade die het aan je bedrijfs naam doet blijft.
Reageer
curkey @brutus013 april 2026 09:57
Het is geen triviaal spelletje natuurlijk. Grote bedrijven hebben ook weer complexere landschappen.

Om inbraak tegen te gaan moeten alle deuren en ramen gesloten zijn. Om in te kunnen breken heb je maar één openstaand raampje nodig.

De vraag is hoe snel ze de daadwerkelijke inbraak gedetecteerd hebben. Nu grepen ze in na de download van data. Was dit ook echt het eerste moment?
Reageer
Wasabi! @curkey13 april 2026 10:32
Het katten/hondenluikje niet vergeten, de backdoor.

YouTube: Burglar Breaks And Enters Home Through Pet Door | 10 News First
Reageer
adje123 @brutus013 april 2026 09:59
Ik weet niet hoe Basic Fit gehackt is maar de security in bedrijf kan op en top geregeld zijn, maar onoplettende medewerkers kunnen altijd een rol spelen in een hack of een datalek.
Reageer
PdeBie @brutus013 april 2026 10:00
Volledig onkwetsbaar voor hacks ga je nooit zijn. Zelfs grote regeringsinstanties waarvan je hoopt dat ze goed beveiligd zijn worden gehackt (FBI bijvoorbeeld).
Reageer
J_van_Ekris
@brutus013 april 2026 10:28
Ik vind het toch wel apart dat zulke grote bedrijven gewoon gehackt worden.
Aan het einde van de dag ben je als groot bedrijf afhankelijk van die zwaar onderbetaalde weekendkracht die netjes met zijn credentials van zijn bijbaantje omgaat. Als je een goed security management hebt wordt de kans veel kleiner, maar hij zal nooit een absolute nul worden.

Als bedrijf moet alles overal 100% kloppen, inclusief al je IT toeleveranciers. De tegenstanders hoeven maar een keer geluk te hebben dat iets of iemand een moment van zwakte heeft. En voor die tegenstanders is er een hele serieuze busisness-case voor een hack. Vaak kopen die hackers zero-days, bekende zwakheden, etc. en gebruiken die bij meerdere slachtoffers. Dus zelfs als alles bij een bedrijf perfect in orde is, kan het wel eens zijn dat door zwaktes in systemen (die wellicht zelfs niet bekend bij de fabrikant) je alsnog gehackt wordt.
Reageer
ZpAz @brutus013 april 2026 10:09
Met de ogenschijnlijke verhoging van het aantal lekken recent, denk ik dat veel bedrijven het niet echt goed voor elkaar hebben. Daarbij dat veel van deze lekken gecoordineert zijn door hackers die gewoon AI systemen rond laten scannen en eventueel hier en daar wat bijsturen.
Reageer
CAPSLOCK2000
@brutus013 april 2026 11:15
Ik vind het toch wel apart dat zulke grote bedrijven gewoon gehackt worden. ik snap dat ze een target zijn en zullen blijven. maar dan verwacht je dat de security echt goed in elkaar zit, maar als ik een groot bedrijf zou zijn infesteer in security want een hack kun je voorkomen of tegengaan maar de schade die het aan je bedrijfs naam doet blijft.
Dat werkt helaas twee kanten op. Goede IT is duur en veilige IT helemaal. Als het te duur wordt dan accepteren ze liever wat reputatieschade. Dan maar wat minder klanten zolang de totale winst maar maximaal is.

In mijn ervaring valt het overigens wel mee met die reputatieschade. Sterker nog, ik zie eerder het omgekeerde patroon, namelijk dat de extra aandacht voor het bedrijf vooral werkt als reclame. Ik durf te wedden dat er een hoop mensen zijn die bij het lezen denk "oh, he, de sportschool, daar moet ik ook weer eens naar toe" en vervolgens naar BasicFit gaan, net zoals iedereen. Het aantal bedrijven dat ooit failliet is gegaan door een datalek is op de vingers van 1 hand te tellen.
(Als je nu denkt aan Diginotar... ten eerste is dat 15 jaar geleden, ten tweede is dat bedrijf niet failliet gegaan omdat de klanten niet meer wilden maar omdat hun vergunning werd ingetrokken)
Reageer
maxkranendijk 13 april 2026 10:18
Waarom is er nog geen standaard vergoeding bij een hack voor elke klant (bv 10 a 15e). Het gebeurd zoveel dat de reputatieschade wel meevalt.

Nu hebben al die bedrijven bewust een matige beveiliging inclusief matige processen om de beveilig goedkoop te houden. Bij een eventuele hack heb je uiteraard reputatieschade maar die is minder hoog dan de kosten voor compensatie aan klanten of een fatsoenlijke beveiliging te hebben.
Reageer
robertpNL @maxkranendijk13 april 2026 10:31
Je krijgt dan te maken met nieuwe uitdagingen: regelgeving, administratie, handhaving én het ontstaan van een nieuwe markt.

Regelgeving: wanneer moet je uitbetalen, hoeveel en hoe vaak? Geldt dit per incident of ook per poging? Waar ligt de grens van een ‘hack’? Moet je ook betalen als alleen een e-mailadres is uitgelekt? Het bepalen van die grenzen is complex.

Administratie: bedrijven moeten per klant bijhouden welke vergoedingen zijn uitgekeerd. Dat brengt extra kosten met zich mee, waardoor abonnementen waarschijnlijk duurder worden.

Handhaving: wie controleert of bedrijven daadwerkelijk alle gedupeerden uitbetalen? Dat zal via de overheid moeten verlopen, wat betekent dat er aanvullende wetgeving nodig is.

Nieuwe markt: er kan een nieuwe business ontstaan waarbij mensen zich actief aanmelden voor datalekmeldingen om per bedrijf een vergoeding te ontvangen. Dat creëert een extra inkomstenstroom, maar ook nieuwe risico’s.
Reageer
maxkranendijk @robertpNL13 april 2026 10:42
Hele terechte punten, maar er is vast wel een model te bedenken. Als is het maar om een gebaar richtingen de getroffen klanten te geven via een klein bedrag (en de bedrijven die het daadwerkelijk financieel voelen). Is er meteen een incentive om niet informatie van (oud)klanten 15+ jaar te behouden zoals bij Odido.
Reageer
Daoka @robertpNL13 april 2026 11:26
Ik denk dat het niet zo moeilijk hoeft te zijn. Ik denk niet dat we specifiek een model nodig hebben. Elke hack is anders dus laat de AVG het bepalen gebaseerd op verschillende factoren:
Hoe lang was de hack gaande (en nee niet dat ze per dag betalen maar wel van hadden ze er mogelijk realistisch gezien sneller achter kunnen komen)?
Wat is er gelekt (email, adres, ect) en van hoeveel klanten?
Heeft het bedrijf genoeg (realistische) maatregelen genomen om hacken tegen te gaan?
Hoeveel is het bedrijf waard of hoeveel financiële mogelijkheden hebben ze (bedrijven hoeven niet door de boete failliet te gaan tenzij het bedrijf echt nalatig geweest is)?
En waarschijnlijk nog wel en een aantal dingen.

Ik denk door aan zulke dingen te denken dat de AVG zeker wel een getal kan verzinnen. + een administratieve en onkosten vergoeding natuurlijk.

Daarnaast kan het bedrijf de AVG betalen en kan AVG het geld over maken of ieder geval contact opnemen. Dan is er geen controle nodig om of bedrijven dus echt hebben betaald. (ook hiervoor dus de administratieve vergoeding).

En daarnaast ook de komende 2-3 jaar moeten verhogingen van prijzen worden goedgekeurd door de AVG om te voorkomen dat dus klant uiteindelijk weer de pineut zijn en dus de boete betalen.
Reageer
Piemol @maxkranendijk13 april 2026 10:58
Dan worden gegevens gehackt en eisen de hackers standaard €1/persoon minder dan er wettelijk vergoed moet worden. De hackers laten dan nergens publiekelijk doorschemeren dat ze gegevens hebben gejat, zodat de organisatie goedkoop (relatief gezien dan) van hun probleem kan komen door het af te kopen (mits de organisatie het ook onder de pet weet te houden).

Wellicht geeft zo'n wet dus meer of nieuwe problemen dan dat het oplost, omdat er al vanuit wetgeving waarde aan de data gekoppeld wordt.
Reageer
IStealYourGun @maxkranendijk13 april 2026 12:52
Waarom ga je ervanuit dat die beveiliging maar matig is. Naar mijn ervaring hebben grotere bedrijven juist hun beveiliging beter op orde dan de gemiddelde kmo (kleine/middelgrote onderneming). Maar zolang er mensen achter de knoppen zitten kan het altijd fout lopen. Er moet maar een keer iemand in een phishingmail trappen (ondanks de nodige trainingen) en ze zitten binnen.
Reageer
KoensSocialL @maxkranendijk13 april 2026 14:41
Ze dekken zich bij de customer service al in.
Ik wil compensatie:

We begrijpen dat deze situatie zorgen kan hebben veroorzaakt en het spijt ons dat dit het geval is.

Dit incident geeft echter geen aanleiding tot compensatie.
Reageer
EmbarrassedBit @maxkranendijk13 april 2026 16:20
Omdat het forfaitariseren van schadevergoedingen altijd als gevolg heeft dat de handelingen of nalatigheden die er toe aanleiding geven, objectief genormaliseerd worden.

Anders gesteld: leden van de samenleving verliezen hun politieke aanspraak om niet te dulden dat bepaalde zaken gewoon tot de zgn. "cost of doing business" gerekend worden. Als je er een prijs op plakt is daarmee immers juridisch de kous af, en is er geen restant van niet-gecompenseerde onrechtvaardigheid meer over op basis waarvan die situatie politiek geproblematiseerd kan worden. Je garandeert slechte beveiliging naar de toekomst toe door al op voorhand aan te geven dat je afkoopbaar bent tegen een bepaalde prijs.

[Reactie gewijzigd door EmbarrassedBit op 13 april 2026 16:33]

Reageer
Handjes 13 april 2026 09:49
Waarom heeft Basic-Fit gegevens als geboortedatum nodig? Zelfs adresgegevens lijken me niet relevant voor hun dienstverlening.
Reageer
Wildfire @Handjes13 april 2026 09:54
Geboortedatum waarschijnlijk omdat je enkel als volwassene gebruik kan/mag maken van de diensten.

Adres? Lijkt me bittere noodzaak als bedrijf zijnde, je hebt een sportschool abonnement maar er zijn gewoon af en toe wanbetalers. Dan is het toch wel handig als je een adres hebt om betalingsherinneringen en aanmaningen naar toe te sturen....
Reageer
The Zep Man
@Wildfire13 april 2026 10:11
Geboortedatum waarschijnlijk omdat je enkel als volwassene gebruik kan/mag maken van de diensten.
Daar hoeft geen geboortedatum voor verwerkt te worden. Enkel een "is minstens <jaar> oud" vinkje is voldoende.
Adres? Lijkt me bittere noodzaak als bedrijf zijnde, je hebt een sportschool abonnement maar er zijn gewoon af en toe wanbetalers. Dan is het toch wel handig als je een adres hebt om betalingsherinneringen en aanmaningen naar toe te sturen....
Je kan ook gewoon een abonnement vooruit laten betalen en meteen een abonnement pauzeren bij gebrek aan betaling.

Een belangrijkere reden lijkt mij de verplichting om adressen te verwerken bij facturatie. In mijn ervaring is in veel van dit soort gevallen het voldoende voor een klant om een nepadres op te geven. Er is toch geen controle en het betreft enkel een dienstverlening niet geleverd aan het adres.
Reageer
batjes @Wildfire13 april 2026 10:13
Voordeel in deze, is dat de sportschool abo's eigenlijk een beetje tegen een scam aanhangen.

Zodra iemand stopt met betalen, wordt de toegang ontzegt tot de sportschool. Er wordt niet echt aan aanmaningen e.d. gedaan, er valt meestal niet meer dan 1 of 2 tientjes te eisen en streep dat af tegen de honderden mensen die wel betalen maar nooit komen opdagen en tel uit je winst.

Mensen hebben vaak enige schaamte om zich op te zeggen bij hun sportschool, ook al zijn ze al 3 jaar niet geweest. Storneren of blokkeren is een optie, geen menselijke interactie voor vereist.
Reageer
PomPomPom @Wildfire13 april 2026 10:50
Nou, ik vind eigenlijk dat Handjes een punt heeft. Je zou betaalt denk ik vooruit. En ja je hebt een abbo (dus beloofd dat je nog voor x maanden zal betalen) maar eigenlijk zouden we dat niet moeten willen.
Reageer
neversium @Handjes13 april 2026 09:55
Mensen dienen een minimale leeftijd te hebben om naar de sportschool te mogen en adresgegevens heb je nodig bij wanbetalers
Reageer
jongetje @neversium13 april 2026 10:14
Die leeftijd kun je ook bij de balie verifiëren en een medewerker een vinkje laten zetten de check.

Moest bij de inschrijving van een school voor extra zorg de diagnose tonen. Deze heeft de medewerker gelezen en een vinkje in het systeem gezet. Hiermee kun je deze informatie nooit lekken als je die niet hebt.
Reageer
Hans1990 @Handjes13 april 2026 09:56
Bedrijven willen nog wel eens weten in welke postcode gebieden hun klanten wonen. En ook noodzakelijk om facturen/aanmaningen schriftelijk te ontvangen.

Geboortedatum zie ik niet veel waarde in, maar geboortejaar wel. Als je ziet dat groot deel van je abonnee's 50+ is, dan is het nuttiger om wekelijks een 50+ spinning class te organiseren dan een bodybuilding activiteit..

[Reactie gewijzigd door Hans1990 op 13 april 2026 09:57]

Reageer
rs24a @Handjes13 april 2026 09:58
Ze hebben een minimumleeftijd voor het mogen hebben van een sportschool abonnement (al dan niet met begeleiding).
Reageer
DarkTemple @rs24a13 april 2026 10:02
Dat is alsnog geen noodzaak om geboortedatum op te slaan lijkt mij. Als bij aanmelden gecontroleerd wordt dat iemand meerderjarig is, is dit toch voldoende? Als ze je accepteren, op basis van leeftijd, wat heeft geboortedatum daarna nog voor nut?
Reageer
bzzzt @DarkTemple13 april 2026 10:07
Extra identificatie? Wordt nog wel eens gebruikt om te verifiëren of ik echt ben die ik zeg te zijn en om kans op persoonsverwisseling te verkleinen als ik een instantie telefonisch probeer te bereiken...
Reageer
M14 @Handjes13 april 2026 10:06
Beide zijn relevant voor hun dienstverlening.

Adresgegevens in geval van wanbetalers. Ieder bedrijf, vereniging of stichting waar je lid bent of iets af neemt vraagt om adresgegevens.

Geboortedatum: Dat is best wel relevant voor fitness gerelateerde data ;). En er wordt ook verwacht dat een bedrijf neemt voor zijn leden, zeker wanneer ze minderjarig zijn ... Maar daar moet je wel die informatie voor hebben.
Reageer
Shadow_Agent 13 april 2026 09:50
Misschien zou het interessant zijn om te weten hoeveel % van Nederland nog geen slachtoffer is geworden van een datalek....
Reageer
bzuidgeest @Shadow_Agent13 april 2026 10:10
Let mee google that for you:

https://www.bitdefender.com/en-us/blog/hotforsecurity/dutch-privacy-watchdog-says-nearly-every-netherlands-resident-has-had-their-data-leaked

in 2022 was het bijna 0%, dus het zal nu wel 0% zijn. Wat je hier leest is het topje van de ijsberg. Ik snap niet dat mensen zich er zo druk nog over maken. Het letterlijk meerdere keren per dag prijs. Wat zegt het gelinkte artikel 20.000 melding per jaar? deel maar door het aantal dagen per jaar.
Reageer
R3N3S @bzuidgeest13 april 2026 10:46
Ik ben vooral benieuwd naar de leeftijdscategorie van de mensen die echt slachtoffer worden van een datalek . Ik denk dat ik het antwoord wel weet en dat, klinkt heel cru / onverschillig, die doelgroep er over een generatie niet meer is.

Buiten beschouwing de WhatsApp oplichting van een aantal jaren geleden (Pap, ik heb een nieuwe telefoon, mag ik geld lenen). Denk dat daar best wat mensen in getrapt zijn.
Reageer
bzuidgeest @R3N3S13 april 2026 12:04
Ik begrijp je opmerking en de context dus cru vind ik wel meevallen.

Maar ik denk dat je, je wel vergist. Zodra dit generatie weg is, komen wij aan de beurt. Het is namelijk niet omdat oude mensen dom zijn, het is dat de wereld verder gaat waar zij afremmen.

Voor de huidige generatie ouderen is het internet het ding, maar voor ons gaat er ook wat zijn. Virtual Reality? Ai? Ook voor ons telt dat we de jeugd niet meer kunnen volgen of de nieuwe dingen begrijpen. En als je kijkt naar hoe weinig de meeste begrijpen van de machines die ze gebruiken.... Op icoontjes kunnen duwen is geen begrip. Ook denk dat je zelfs de huidige generatie overschat.
Reageer
sterkeronline 13 april 2026 09:52
Het maakt me eigenlijk al niet meer uit allemaal.

Ik ben inmiddels al bij zoveel datalekken betrokken dat deze er ook nog wel bij kan.
Reageer
esvier @sterkeronline13 april 2026 09:55
Helaas is het inderdaad al zo triest.
Reageer
nickyvandijk @sterkeronline13 april 2026 10:07
Laat in ieder geval de noodzaak in dat bedrijven strenger moeten worden bij de identiteitscontrole van klanten. In het verleden was het zo dat scammers alleen al met een emailadres en adresgegevens van iemand konden betalen met Klarna namens die persoon.

Het kunnen geven van persoonsgegevens inclusief BSN is niet langer een geldige bevestiging van identiteit.
Reageer
Quilt @sterkeronline13 april 2026 12:12
Een phising mail van zogezegd Basic Fit op het moment dat je abonnement afloopt, met de vraag om te betalen of tegen korting een doorlopende opdracht te regelen... lijkt mij erg effectief om mensen te bedriegen.


De bijkomende context doet veel meer dan gewoon NAW.
Reageer
beeldbuijs 13 april 2026 09:54
Er zijn zo vaak grote data-lekken dat je je kunt afvragen hoeveel het nog uitmaakt als wéér dezelfde gegevens van half Nederland gelekt zijn. Dagelijkse phishingpogingen zijn zo normaal geworden dan je zou verwachten dat op een bepaald moment niemand daar toch meer in trapt?
Reageer
bzuidgeest @beeldbuijs13 april 2026 10:06
Zelfs de oplettendste mens heeft wel eens een slechte dag. En dan kan je op een phisingmail klikken. Ze worden uiteindelijk gemaakt om mensen voor het lapje te houden.

Ik zie aan de email headers en afzender adressen vaak al meteen de nepheid, maar zoveel mensen hebben helemaal geen besef van dat soort dingen. Geen idee waarom een url of emailadres eruit ziet zoals het er uitziet.
Reageer
Rhinosaur @beeldbuijs13 april 2026 10:04
We moeten fundamenteel anders gaan denken over identiteit. Waarom moet ik mijn gegevens met tig bedrijven delen. Ik wil het liefst dat er één app komt, waar vanuit ik toestemming geef aan bedrijven om mijn persoonsgegevens uit te lezen en dat zij dan een versleutelde kopie ervan bewaren of een gehashte versie die wel herkenbaar is door mijn centrale gegevens-app of register, maar dat bij lekken een ander helemaal niks aan heeft.

Het moet afgelopen zijn dat elk bedrijf persoonsgegevens opslaat.
Reageer
J_van_Ekris
@Rhinosaur13 april 2026 10:35
We moeten fundamenteel anders gaan denken over identiteit.
Helemaal mee eens.
Het moet afgelopen zijn dat elk bedrijf persoonsgegevens opslaat.
Ik denk dat je daar niet aan ontkomt. Een bedrijf moet weten (en zelfs later kunnen aantonen aan de belastingdienst) wie wat gekocht heeft, en waar zaken bezorgd moeten worden. Een centrale plek waar alle identiteiten van alle Nederlanders wordt vastgelegd is zo kwetsbaar als het maar zijn kan.

Wat ik wel denk is dat we af moeten van het concept dat je met informatie zomaar wat kan. In deze hack zit (weer...) het IBAN nummer. Wat het gevoelig maakt is dat je er wat mee kan (zoals automatische incassos). Daar moeten we vanaf.

Lost dat alles op. Denk het niet, want phishing zal wel doorgaan. Maar het maakt wel uit dat je specifieke informatie in ieder geval niet kan misbruiken, waardoor de economische waarde zit dalen (en de business case van de hackers dus zwakker wordt).
Reageer
beeldbuijs @Rhinosaur13 april 2026 12:33
Nog beter: Bedrijven mogen verwijzen naar jouw persoonsgegeven (bijvoorbeeld geboortedatum) in die centrale app, maar die zelf niet opslaan.

Al die lekken tonen aan dat er slordig met data wordt omgesprongen maar ook als dat beter was geregeld: Je hebt maar één rotte appel nodig. En je ontkomt er niet aan bepaalde gegevens te delen als je bijvoorbeeld wil voorkomen dat minderjarigen alcohol of vapes bestellen.

Uiteindelijk is juist dat anonieme karakter, dat gebrek aan identificatie bij het gebruik van e-mail, social media, etc het probleem: Iedereen kan zich voordoen als iedereen.

Beter zou het zijn dat je je mail, social media, Marktplaatsverkopers, telefoontjes etc kunt filteren op wel of niet geauthentificeerde gebruikers. Wil je je echte naam niet bekendmaken als je mij mailt? Prima, maar dan hoef ik jouw mailtje niet te zien, of alleen met een dikke vette waarschuwing erbij.
Reageer

Om te kunnen reageren moet je ingelogd zijn