Ajax onderzoekt een datalek in de eigen organisatie in Amsterdam. Trainer John van ’t Schip had de clubleiding hier eerder dit seizoen al voor gewaarschuwd. Het incident kwam recent aan het licht en kan gevolgen hebben voor spelers, staf en mogelijk fans. De zaak onderstreept het belang van goede beveiliging, zeker nu algoritmen steeds betere phishing en deepfakes mogelijk maken onder de Europese AVG en de aankomende AI-verordening.
Van ’t Schip waarschuwde eerder
Van ’t Schip trok intern eerder aan de bel over onregelmatigheden rond accounts en documenttoegang. Dat betrof signalen zoals onverwachte inlogpogingen en vreemde verzoeken om bestanden te delen. Zulke signalen zijn vaak voorbodes van misbruik van inloggegevens. De club nam de zorgen mee, maar het incident kon desondanks plaatsvinden.
Waarschuwingen van medewerkers zijn cruciaal om lekken sneller te vinden. Zeker in omgevingen waar veel mensen met gevoelige data werken, zoals een profclub met medische en contractgegevens. Een snelle interne escalatie verkleint de schade en versnelt herstel. Het helpt ook om later beter te reconstrueren wat er is misgegaan.
Het is op het moment van schrijven niet duidelijk welke data precies bekeken of gekopieerd zijn. Ajax geeft nog geen volledige technische details vrij. Dat is gebruikelijk zolang forensisch onderzoek loopt. Openbaarmaking volgt meestal zodra betrokkenen zijn geïnformeerd en risico’s zijn ingedamd.
Ajax onderzoekt oorzaak datalek
De club onderzoekt of de toegang is verkregen via phishing, een gelekt wachtwoord of een fout in het delen van cloudbestanden. Dit zijn de meest voorkomende routes bij incidenten in suites zoals Microsoft 365 of Google Workspace. Ook ketenpartijen, zoals ticketing- of data-analyseleveranciers, kunnen een zwakke plek vormen. Een fout daar kan doorwerken naar systemen van de club.
Forensische analyse richt zich op inloglogboeken, rechtenstructuren en recente wijzigingen. Daarbij kijkt men naar onbekende apparaten, nieuwe doorstuurregels in e-mail en verdachte API-sessies. Herstelmaatregelen zijn vaak direct: wachtwoorden resetten, tokens intrekken en toegang tijdelijk beperken. Daarna volgt structurele verbetering van beleid en techniek.
Ajax zal betrokkenen moeten informeren als er een hoog risico voor hun privacy is. Denk aan identiteitsfraude of gerichte oplichting met misbruik van contactgegevens. Tijdige en duidelijke communicatie beperkt vervolgschade. Het vergroot bovendien het vertrouwen dat de club de zaak serieus neemt.
Risico’s voor spelers en fans
Profclubs verwerken veel persoonsgegevens: namen, contactgegevens en betalingsinformatie van fans. Bij spelers en staf gaat het vaak ook om medische en prestatiegegevens. Zulke gegevens zijn aantrekkelijk voor criminelen en gevoelig voor chantage of doxing. Een datalek kan daarom snel maatschappelijke impact hebben.
Voor fans ligt het risico vooral bij phishing en fraude, bijvoorbeeld via nagemaakte betaalverzoeken. Voor spelers en staf kan publicatie van medische of contractdata schadelijk zijn voor loopbaan en onderhandelingspositie. Ook scouting- en wedstrijdplannen kunnen sportief nadeel opleveren als ze uitlekken. Dat maakt strikte toegangscontrole en dataminimalisatie extra belangrijk.
Clubs kunnen de schade beperken door snelle wachtwoordresets en het blokkeren van verdachte mails. Daarnaast helpt het om monitoring op dataverkeer te verscherpen. Denk aan waarschuwingen bij massale exports of ongebruikelijke nachtelijke downloads. Dit zijn eenvoudige, maar effectieve drempels.
AVG-meldplicht en AP-toezicht
Onder de Algemene verordening gegevensbescherming (AVG) moet een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens worden gemeld als er kans is op risico’s. Betrokkenen moeten een bericht krijgen als het om een hoog risico gaat. De club moet ook vastleggen wat er is gebeurd en welke maatregelen zijn genomen. Dat is nodig voor toezicht en eventuele evaluatie achteraf.
Speciale categorieën data, zoals gezondheidsinformatie van spelers, vallen onder zwaardere AVG-eisen. Verwerking mag dan alleen met extra waarborgen, zoals strikte rolgebaseerde toegang en versleuteling. Een Data Protection Impact Assessment (DPIA) is in zulke omgevingen vaak verplicht. Zo’n risicoanalyse legt vast waarom verwerking nodig is en hoe risico’s worden beperkt.
Ook als een leverancier de oorzaak is, blijft de club mede verantwoordelijk als verwerkingsverantwoordelijke. Contracten moeten daarom duidelijke afspraken bevatten over beveiliging, audits en incidentmeldingen. Dit heet ketenverantwoordelijkheid. Het voorkomt dat zwakke plekken uitbestede diensten onopgemerkt blijven.
Een datalek is elke inbreuk op de beveiliging die leidt tot het per ongeluk of onrechtmatig wissen, verliezen, wijzigen, verstrekken of raadplegen van persoonsgegevens (AVG, art. 4).
Praktische aanpak: techniek én training
Meervoudige verificatie (MFA) en passkeys verkleinen de kans dat gestolen wachtwoorden werken. Zero-trust-principes beperken wat een aanvaller kan zodra die binnen is. Versleuteling van gevoelige mappen en e-mail maakt buitgemaakte data minder bruikbaar. Dat geldt ook voor Data Loss Prevention, dat grote exports of het delen met privé-accounts blokkeert.
AI-systemen voor anomaliedetectie kunnen afwijkend gedrag sneller signaleren. Ze markeren bijvoorbeeld een bulkdownload of een login uit een ongewoon land. Zulke modellen zijn niet feilloos en geven soms valse meldingen. Heldere procedures helpen om snel te beoordelen en alleen echte incidenten op te schalen.
Menselijke fouten blijven de grootste factor. Gerichte phishingcampagnes, vaak met AI-gegenereerde teksten of deepfake-audio, worden steeds geloofwaardiger. Regelmatige trainingen en realistische simulaties houden medewerkers scherp. Een eenvoudig meldpunt verlaagt drempels om verdachte zaken direct te delen.
NIS2 en Europese regels
De EU-richtlijn NIS2 breidt de beveiligingsplicht voor netwerk- en informatiesystemen uit naar meer sectoren en middelgrote bedrijven. Sportclubs vallen niet altijd direct onder NIS2, maar leveranciers van digitale diensten vaak wel. Daardoor krijgt de keten indirect strengere eisen. Denk aan logging, incidentrespons en periodieke audits.
De AI-verordening (AI Act) raakt clubs vooral als zij AI inzetten voor biometrie of geautomatiseerde besluitvorming. Dat zijn mogelijk hoogrisicotoepassingen met extra verplichtingen, zoals risicobeheer en menselijke controle. Voor dagelijkse security is de AVG nu het belangrijkst. Daarin staan dataminimalisatie, doelbinding en transparantie centraal.
Voor Nederlandse organisaties betekent dit: privacy by design toepassen en processen aantoonbaar borgen. Een duidelijke inventaris van datastromen is nodig om snel te kunnen melden bij een lek. Ook contracten met IT- en data-analyticleveranciers moeten op orde zijn. Zo komen techniek, beleid en wetgeving samen in de praktijk.
