Gegevens 1,1 miljoen Nederlanders gestolen bij aanval op sportketen Sprinter

In dit artikel:

Sportketen Sprinter is door de Spaanse privacytoezichthouder AEPD beboet wegens een omvangrijk datalek na een ransomware-aanval eind 2023. Bij de inbraak raakten de gegevens van bijna 6,4 miljoen personen buit, onder wie ruim 1,1 miljoen Nederlanders. Gestolen informatie omvatte klantnamen, adressen, e‑mailadressen, telefoonnummers, geboortedata en ID-/belastingnummers; van medewerkers zijn ook kopieën van paspoorten en andere identiteitsbewijzen, gezondheidsgegevens en bankgegevens meegenomen.

De AEPD oordeelt dat Sprinter onvoldoende technische en organisatorische maatregelen had genomen: interne waarschuwingen waren niet opgevolgd, bestaande kwetsbaarheden in de infrastructuur maakten snelle zijwaartse bewegingen van de aanvallers mogelijk en de daders gebruikten geldige inloggegevens om toegang te krijgen (hoe die waren bemachtigd, is onduidelijk). Daarnaast kreeg het publiek niet tijdig voldoende informatie over het incident. Volgens de toezichthouder zijn meerdere bepalingen van de AVG overtreden.

De aanvankelijk opgelegde boete bedroeg 2,6 miljoen euro; door erkenning van fouten en het accepteren van een verlaagde boete (op grond van Spaanse regels die kortingen toestaan) viel het uiteindelijke bedrag met 40% terug tot ongeveer 1,6 miljoen euro. Sprinter sloot eind 2023 ook zijn winkels in Nederland.