Bol ontkent dat zijn Belgische webwinkel is getroffen door een datalek. Het bedrijf reageert op berichten op sociale media en vragen van klanten in België en Nederland. Op het moment van schrijven zegt Bol geen bewijs te hebben gevonden voor een inbraak in zijn systemen. Het bedrijf benadrukt dat de webwinkel normaal draait en dat regels zoals de AVG en meldplicht datalek 72 uur worden gevolgd.
Bol ontkent datalek bij webwinkel
Bol stelt dat er geen aanwijzingen zijn voor ongeautoriseerde toegang tot klantgegevens. Het bedrijf zegt extra controles te hebben uitgevoerd na de online berichten. Er is volgens Bol geen verstoring in bestellingen, betalingen of accounts gemeld.
De Belgische activiteiten van Bol blijven volgens het bedrijf beschikbaar zoals gebruikelijk. Inlog- en betaalprocessen functioneren normaal. De klantenservice is opgeschaald om vragen sneller te beantwoorden.
Het bedrijf houdt de situatie actief in de gaten. Interne teams analyseren logbestanden en recente wijzigingen. Eventuele nieuwe signalen worden direct onderzocht en opgevolgd.
Geen melding bij toezichthouders
Onder de Europese privacywet AVG geldt een meldplicht bij datalekken. Bedrijven moeten ernstige incidenten binnen 72 uur rapporteren aan de toezichthouder. Bij hoog risico moeten ook betrokken klanten worden geïnformeerd.
Bol geeft aan dat het, op het moment van schrijven, geen datalek heeft vastgesteld. Daardoor is er nu geen melding gedaan bij de Autoriteit Persoonsgegevens (Nederland) of de Gegevensbeschermingsautoriteit (België). Dat kan veranderen als nieuw feitenonderzoek daar aanleiding toe geeft.
Toezichthouders kunnen hoge boetes opleggen bij schending van de AVG. Transparante communicatie en snelle opvolging verkleinen de risico’s voor klanten. Zij hebben bovendien recht op inzage en uitleg bij een bevestigd incident.
Organisaties moeten een inbreuk in verband met persoonsgegevens binnen 72 uur na ontdekking melden aan de toezichthouder. Bij een hoog risico voor betrokkenen moeten ook de getroffen personen worden geïnformeerd.
Mogelijke verwarring met phishing
Berichten over datalekken ontstaan vaak door phishing of misbruik van hergebruikte wachtwoorden. Criminelen sturen nep-mails met links naar valse inlogpagina’s. Ook zogenoemde credential stuffing gebruikt eerder gelekte wachtwoorden van andere diensten.
Klanten zien dan ongebruikelijke inlogpogingen of ontvangen verdachte sms’jes. Dat lijkt op een lek bij de webwinkel, maar is dat niet altijd. Het verschil is dat bij phishing de inbraak buiten het systeem van het bedrijf begint.
Praktische tips helpen meteen. Zet tweestapsverificatie aan waar mogelijk en gebruik unieke wachtwoorden per dienst. Controleer het afzenderadres en klik niet op links in onverwachte berichten.
Aanpak en onderzoek intern
Bij vermoedens van een lek starten bedrijven meestal een gestandaardiseerd incidentproces. Ze controleren toegangslogboeken, API-verkeer en recente software-updates. Ook leveranciers en betaalpartners worden betrokken om een ketenprobleem uit te sluiten.
Bedrijven gebruiken monitoringsoftware en algoritmen om afwijkingen te zien. Zulke systemen herkennen bijvoorbeeld ongebruikelijke inlogpatronen of datastromen. Menselijke analisten beoordelen vervolgens de bevindingen en zetten vervolgstappen uit.
Bij een bevestigd lek volgen technische en juridische maatregelen. Denk aan het intrekken van sessies, het resetten van sleutels en het informeren van partners en klanten. Op het moment van schrijven meldt Bol dat deze stappen niet nodig zijn geweest.
Europese regels sturen aanpak
Naast de AVG gelden voor grote platforms verplichtingen uit de Digital Services Act (DSA). Online marktplaatsen moeten systeemrisico’s beperken en processen op orde hebben. Dat raakt ook de afhandeling van misbruik en nepcommunicatie richting klanten.
De NIS2-richtlijn breidt cybersecurityplichten uit voor vitale en belangrijke sectoren, waaronder online marktplaatsen. Lidstaten werken aan nationale wetten met strengere incidentmelding en beveiligingseisen. In Nederland en België wordt invoering vanaf 2024-2025 verwacht.
Voor klanten betekent dit snellere meldingen en duidelijkere informatie bij incidenten. Voor bedrijven betekent het extra audits, rapportage en technische maatregelen. Niet naleven kan leiden tot sancties en reputatieschade.
Wat klanten nu kunnen doen
Controleer recente bestellingen en inloggeschiedenis van uw account. Verander uw wachtwoord naar een uniek en sterk wachtwoord. Overweeg een wachtwoordmanager voor extra gemak en veiligheid.
Wees alert op phishing via e-mail, sms en sociale media. Controleer altijd het webadres voor u inlogt en deel nooit verificatiecodes met anderen. Ga bij twijfel direct naar de officiële website of app en meld verdachte berichten bij de klantenservice.
Maak gebruik van uw rechten onder de AVG als u zorgen heeft. U kunt vragen welke gegevens zijn opgeslagen en hoe die worden beveiligd. Bij een bevestigd datalek heeft u recht op informatie over de aard en gevolgen van het incident.
