Van 't Schip attendeerde Van der Sar in 2019 al op datalek: 'Ajax deed er toen niks mee'

In dit artikel:

Wilfred Genee zei in Vandaag Inside dat Ajax al in 2019 op tekortkomingen in de cyberbeveiliging is gewezen, naar aanleiding van het datalek dat woensdag aan het licht kwam. Volgens Genee belde IT-klant Dennis Brinkhuis hem destijds met een link om kaarten te bestellen voor John van ’t Schip. Toen Brinkhuis die link opende, kon hij volgens Genee zonder moeite in het Ajax-systeem en kreeg hij toegang tot persoonsgegevens van medewerkers en seizoenkaarthouders, waaronder telefoonnummers en adressen van bekende relaties.

Brinkhuis schakelde Van ’t Schip in, die vervolgens contact zocht met Edwin van der Sar, toen algemeen directeur van Ajax. In de uitzending werd een spraakbericht van Van ’t Schip afgespeeld waarin hij kort aangeeft dat een extern hulpje snel veel interne gegevens kon inzien en dat dat niet de bedoeling leek. Brinkhuis zou later twee kaarten hebben gekregen; een aangeboden fles wijn werd niet geaccepteerd. Genee zegt dat de zaak destijds niet gemeld is bij de Autoriteit Persoonsgegevens.

Cybersecurity-expert Dave Maasland benadrukte in de uitzending dat als niet valt uit te sluiten dat onbevoegden bij persoonsgegevens kunnen, er melding aan de toezichthouder moet volgen. Volgens Maasland is het problematisch voor een club met een groot IT-team als een app of website zo onbeveiligd blijkt; het had preventief getest moeten worden. Het niet doen van een melding kan Ajax nu extra problemen opleveren.

Kortom: vandaag bekendgemaakte lekken zouden volgens Genee geen nieuw probleem geweest zijn maar een herhaling van een situatie uit 2019 die toen volgens hem intern is opgepakt zonder formele melding. De uitzending legt de nadruk op mogelijke nalatigheid rond rapportage en op de kwetsbaarheid van systemen bij een grote sportorganisatie.