Op 25 maart 2026 werd via de officiële kanalen van AFC Ajax bekendgemaakt dat de club te maken heeft met een ernstig datalek. Hackers wisten toegang te krijgen tot de systemen en konden gegevens van meer dan 300.000 supporters inzien. Dit incident raakt niet alleen Ajax-fans, maar laat ook zien hoe kwetsbaar persoonlijke gegevens online kunnen zijn.
Hoe is het Ajax-datalek ontstaan?
Ajax ontdekte dat een hacker in Nederland onrechtmatig toegang had gekregen tot delen van de computersystemen. De hacker kon zien welke informatie in de computers van Ajax stond. Dit gebeurde ergens tussen maart 2025 en maart 2026.
Wat kon de hacker allemaal zien? Van honderdduizenden geregistreerde supporters stonden er persoonsgegevens in de computer. Ook stadionverboden en seizoenkaarten waren zichtbaar. Dat zijn zeer gevoelige dingen.
Het ergste deel? Een journalist van RTL Nieuws kon aantonen dat het mogelijk was om seizoenkaarten van eigenaar te laten veranderen. In slechts enkele seconden kon een kaart worden gestolen. Dit laat zien hoe slecht de beveiliging werkelijk was.
Welke gegevens zijn werkelijk gestolen?
Ajax zegt dat de werkelijke schade beperkt was. Van enkele honderden mensen zijn alleen e-mailadressen ingezien. Van minder dan twintig personen zijn ook gevoelige gegevens zoals geboortedata en stadionverboden ingezien.
Maar RTL Nieuws vond meer problemen. Het was mogelijk om Ajax-seizoenkaarten over te zetten naar anderen. Stadionverboden konden zomaar worden veranderd. Dit betekent dat criminelen veel meer hadden kunnen stelen dan Ajax erkent.
Vijfhonderdachtendertig Ajax-supporters met een stadionverbod liepen extra risico. Hun namen, e-mailadressen en geboortedatums konden door criminelen worden gezien en misbruikt.
Waarom is dit datalek zo ernstig?
Dit gaat niet alleen om Ajax. Het gaat om wat hackers met jouw gegevens kunnen doen. Privacy-expert Bart Schermer legt uit dat deze informatie tegen je wordt gebruikt. Potentiële werkgevers kijken online naar jou. Als zij zien dat jij een stadionverbod hebt, kunnen zij je niet aannemen. Dit kan je toekomst veranderen.
Criminelen gebruiken gestolen e-mailadressen voor phishing. Dit zijn nep-e-mails die echt lijken. Zij schrijven dat jij jouw Ajax-account moet beveiligen. Jij klikt op een link en vult je wachtwoord in. Maar het is vals. Nu hebben criminelen jouw wachtwoord en kunnen zij inloggen op al je andere accounts.
De Autoriteit Persoonsgegevens onderzoekt nu Ajax. Bedrijven moeten datalekken melden binnen zesenzeventig uur. Ajax deed dit. Maar het feit dat het melden moest gebeuren, laat zien hoe ernstig dit is.
Dit gebeurt niet alleen bij Ajax
Dit is niet de eerste keer dat een grote organisatie slecht beveiligd is. Vorig jaar had ook het ministerie van Financiën een groot datalek. Ook het telecombedrijf Odido had problemen met beveiliging.
Dit patroon herhaal zich overal. Nederlandse bedrijven gebruiken oude computersystemen. Veiligheid is niet belangrijk totdat iets fout gaat. Hackers zijn niet meer alleen nerds in hun kamer. Het zijn criminele organisaties met tools en geld. Zij hebben geduld en kennis.
Amsterdam's Politie onderzoekt nu of dit incident gekoppeld is aan het criminele forum LeakBase. Daar werden databases van Nederlandse bedrijven verkocht. Dit duidt op een groeiende markt voor gestolen gegevens.
Dit zijn de stappen die jij NU moet nemen
Je kunt niet voorkomen dat bedrijven gehackt worden. Maar jij kunt jezelf beschermen. Deze stappen zijn niet moeilijk.
Stap 1. Check of jouw gegevens gestolen zijn
Ga naar haveibeenpwned.com en typ jouw e-mailadres in. Deze website laat zien of jouw gegevens in bekende datalekken voorkomen. Dit duurt tien seconden.
Als jouw e-mailadres in het Ajax-lek zit, krijg je direct een waarschuwing. Je weet dan dat jij gegevens hebt achtergelaten. Je kunt nu voorzorgsmaatregelen nemen.
Stap 2. Verander jouw Ajax-wachtwoord direct
Log in op mijn.ajax.nl. Ga naar je accountinstellingen. Verander jouw wachtwoord nu. Maak het willekeurig en lang. Minstens zestien karakters met nummers en symbolen.
Gouden regel: jouw Ajax-wachtwoord mag NOOIT hetzelfde zijn als jouw e-mail, bank of sociale media.
Stap 3. Gebruik een wachtwoordmanager
Dit is nu niet meer optioneel. Een wachtwoordmanager slaat al jouw wachtwoorden versleuteld op. Jij hoeft maar één sterk wachtwoord te onthouden.
Goede keuzes zijn:
Een wachtwoordmanager maakt sterke wachtwoorden voor jou. Hij slaat ze veilig op. Jij voert je wachtwoorden niet meer handmatig in.
Stap 4. Zet tweestapsverificatie aan
Tweestapsverificatie betekent dit. Jij logt in met je wachtwoord. Daarna moet jij nog één ding doen. Dit kan een code zijn die jij in je telefoon ontvangt. Of je toont je gezicht of vingerafdruk.
Dit is zeer belangrijk. Als een crimineel jouw wachtwoord steelt, kan hij nog niet inloggen. Hij moet ook het tweede bewijs hebben.
Zet dit aan bij:
- Je e-mailaccount (zeer belangrijk)
- Je Ajax-account
- Je bank
- Je sociale media
Stap 5. Wees voorzichtig met verdachte e-mails
Na dit datalek sturen criminelen phishing-e-mails. Deze e-mails zien er uit alsof ze van Ajax komen. Zij zeggen dat jij jouw account moet beveiligen. Zij vragen je om op een link te klikken.
Klik NOOIT op deze link. Ajax vraagt je nooit om je wachtwoord in te geven via e-mail. Dit is altijd vals.
Let op deze dingen:
- Controleer het e-mailadres van de afzender
- Hover over links (beweeg je muis erboven) en kijk waar ze echt naartoe gaan
- Ajax gebruikt altijd je volledige naam, niet "Beste klant"
- Let op spelfout in de e-mail
Stap 6. Controleer je Ajax-account op verdachte activiteit
Controleer regelmatig jouw Ajax-account. Kijk of er dingen zijn veranderd:
- Wordt jij van onbekende plaatsen ingelogd?
- Zijn jouw kaarten weg?
- Is jouw e-mailadres of telefoonummer gewijzigd?
Als iets vreemd is, verander je wachtwoord direct en bel Ajax Fancare.
Wat doet Ajax nu?
Ajax zegt dat zij beveiligingsmaatregelen hebben genomen. Zij hebben externe experts ingehuurd om het incident te onderzoeken. Zij hebben het lek gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie.
Maar dit had niet moeten gebeuren. Ajax had hun computersystemen beter moeten beveiligen voordat dit gebeurde. Dit is een falen van Ajax, niet van jou.
