Van 't Schip attendeerde Van der Sar in 2019 al op cyberveiligheid: 'Ajax deed er toen niks mee'

In dit artikel:

Vandaag Inside-presentator Wilfred Genee zegt dat Ajax al in 2019 op een beveiligingsprobleem binnen de club was gewezen. Tijdens de uitzending vertelde Genee dat een IT-adviseur van hem, Dennis Brinkhuis, destijds via een link in staat was binnen te komen in Ajax’ systemen. Brinkhuis zou persoonsgegevens en telefoonnummers van seizoenkaarthouders en medewerkers hebben kunnen zien — onder wie John van ’t Schip, Johnny de Mol, Peter R. de Vries en leidinggevenden bij Heineken — en zelfs kaarten en seizoenplaatsen hebben besteld.

Na ontdekking belde Brinkhuis Van ’t Schip, die vervolgens een spraakbericht stuurde naar toenmalig algemeen directeur Edwin van der Sar om te waarschuwen dat gegevens “onbeveiligd” leken. Volgens Genee kregen Brinkhuis en zijn contact uiteindelijk twee kaarten; er werd niet gemeld dat de club de Autoriteit Persoonsgegevens (AP) heeft geïnformeerd. Genee stelt dat Ajax destijds niet heeft gehandeld naar de melding.

Cybersecurity-expert Dave Maasland reageert kritisch: als toegang tot zulke gegevens niet is uit te sluiten, moet dat gemeld worden aan de toezichthouder, omdat de informatie misbruikt kan worden. Hij wijst erop dat het nalaten van een melding nu extra problemen kan opleveren, zeker omdat Ajax over een groot IT-team beschikt en verwacht mag worden dat webapps en ticketplatforms getest zijn. Dat maakt de situatie pijnlijk voor een club van Ajax’ formaat.

Context: onder de AVG (GDPR) bestaat een meldplicht bij datalekken (doorgaans binnen 72 uur), vooral wanneer persoonsgegevens risico lopen te worden misbruikt. Als Ajax in 2019 inderdaad geen melding heeft gedaan, kan dat zowel privacyrechtelijke als reputatieschade veroorzaken. De zaak kreeg opnieuw aandacht nu woensdag een nieuw datalek bij Ajax naar buiten kwam.