Fitnessketen Basic-Fit heeft vandaag, 13 april 2026, een datalek bekendgemaakt waarbij onbevoegden toegang kregen tot een intern systeem. In Nederland zijn de gegevens van circa 200.000 leden buitgemaakt, waaronder bankrekeninggegevens. Wereldwijd telt het lek 1 miljoen getroffen leden. Het bedrijf heeft de relevante toezichthouder voor gegevensbescherming ingelicht en getroffen leden per mail geïnformeerd.
Systeem voor clubbezoeken doelwit van aanval
De aanval richtte zich specifiek op het systeem dat bezoeken van leden aan Basic-Fit-clubs registreert. De onbevoegde toegang werd ontdekt door de eigen systeembewaking en binnen enkele minuten na ontdekking gestopt. Dat de aanval snel werd beëindigd, bleek echter geen garantie voor een beperkte schade. Externe beveiligingsexperts die het incident onderzochten, stelden vast dat de aanvallers in die korte tijdspanne toch grote hoeveelheden data hadden weten te downloaden. Over de identiteit van de daders of de manier waarop zij toegang verkregen, heeft Basic-Fit vooralsnog geen mededelingen gedaan.
Naam, adres en bankrekeningnummer gelekt
De aard van de buitgemaakte gegevens is persoonlijk en financieel gevoelig. Het gaat om lidmaatschapsinformatie, naam- en adresgegevens, e-mailadressen, telefoonnummers, geboortedatums en bankrekeninggegevens van actieve leden in meerdere landen. Basic-Fit bewaart geen identiteitsdocumenten van leden en er zijn geen wachtwoorden ingezien. De combinatie van persoonsgegevens en bankrekeninggegevens maakt het lek potentieel ernstig: met deze informatie kunnen kwaadwillenden gerichte phishingaanvallen opzetten of zich voordoen als betrouwbare instanties om aanvullende gegevens te ontfutselen.
‘Geen bewijs van misbruik’
Basic-Fit benadrukt dat er tot op heden geen aanwijzingen zijn dat de gestolen data daadwerkelijk is ingezet voor frauduleuze doeleinden. Uit het onderzoek is tot nu toe niet gebleken dat de data ergens beschikbaar is of misbruikt wordt. Samen met externe specialisten blijft Basic-Fit de situatie nauwlettend volgen. Het onderzoek is nog gaande en het bedrijf heeft aangegeven later meer informatie te verstrekken zodra dat beschikbaar is.
Grootste fitnessoperator van Europa getroffen
Het datalek raakt een van de grootste spelers in de Europese fitnessmarkt op een gevoelig moment. Basic-Fit is met meer dan 2.150 clubs de grootste fitnessoperator en franchisor van Europa, actief in twaalf landen via twee merken, met meer dan 5,8 miljoen lidmaatschappen. In Nederland alleen al gaat het om 200.000 getroffen leden, wereldwijd om 1 miljoen. Het bedrijf staat genoteerd aan Euronext Amsterdam onder de naam BFIT en zal het incident naar verwachting ook moeten toelichten aan aandeelhouders. De relevante toezichthouder voor gegevensbescherming is door Basic-Fit geïnformeerd en de betrokken leden zijn ingelicht.
Bronnen
- Opgelicht?! (AVRO TROS) – Groot datalek bij sportschool Basic-Fit, 13 april 2026: opgelicht.avrotros.nl
- Basic-Fit – officiële persrelease, 13 april 2026: corporate.basic-fit.com
- Hart van Nederland – Grote hack bij Basic-Fit: data 200.000 Nederlanders gelekt, 13 april 2026: hartvannederland.nl
- ANP – Datalek Basic-Fit treft in totaal 1 miljoen leden, 13 april 2026
