De sportwinkelketen Sprinter is hard geraakt door de gevolgen van een grootschalig datalek dat eind 2023 plaatsvond, maar waarvan de volledige omvang pas nu duidelijk is geworden. Bij een ransomware-aanval wisten criminelen de persoonsgegevens van bijna 6,4 miljoen mensen buit te maken, waaronder meer dan 1,1 miljoen Nederlanders. De Spaanse privacytoezichthouder AEPD legde de keten hiervoor een forse boete op, die laat zien hoe zwaar dergelijke nalatigheid tegenwoordig wordt aangerekend.
Digitale weerbaarheid
Volgens de toezichthouder hadden de gevolgen van het incident voorkomen kunnen worden als Sprinter voldoende technische en organisatorische beveiligingsmaatregelen had genomen. De aanvallers kregen toegang tot de systemen met geldige inloggegevens, wat wijst op gebrekkige interne beveiliging. Hoe deze gegevens precies in handen van de criminelen zijn gekomen, is nooit opgehelderd, maar duidelijk is wel dat zij zich daarna snel en ongehinderd door de IT-omgeving konden bewegen.
De buitgemaakte informatie was omvangrijk en gevoelig. Van klanten werden onder meer namen, adressen, e-mailadressen, telefoonnummers, geboortedata en ID- of belastingnummers gestolen. Bij medewerkers ging het nog verder: kopieën van paspoorten en andere identiteitsbewijzen, gezondheidsgegevens en rekeninginformatie vielen eveneens in handen van de aanvallers. Zulke data kunnen langdurige gevolgen hebben voor de betrokkenen, bijvoorbeeld in de vorm van identiteitsfraude of financiële schade.
Beveiliging
De AEPD concludeert dat Sprinter meerdere bepalingen van de Algemene verordening gegevensbescherming (AVG) heeft overtreden. Niet alleen schoot de beveiliging tekort, ook interne waarschuwingen zouden zijn genegeerd en kwetsbaarheden in de infrastructuur bleven bestaan. Daarnaast kregen slachtoffers volgens de toezichthouder niet tijdig en niet volledig genoeg informatie over wat er was gebeurd en welke gegevens waren getroffen.
Op basis van deze bevindingen legde de AEPD een boete op van 2,6 miljoen euro. De Spaanse wet biedt echter de mogelijkheid tot boeteverlaging wanneer organisaties verantwoordelijkheid nemen. Door de overtredingen te erkennen en akkoord te gaan met betaling, kreeg Sprinter veertig procent korting. De uiteindelijke boete kwam daarmee uit op ongeveer 1,6 miljoen euro.
Datalek
Het datalek vormt een wrang sluitstuk van Sprinters activiteiten in Nederland, waar de keten eind 2023 al besloot alle winkels te sluiten. Tegelijkertijd onderstreept de zaak hoe groot het belang is van digitale weerbaarheid. Voor bedrijven is het een duidelijke waarschuwing: investeren in informatiebeveiliging en transparante communicatie is geen luxe, maar een noodzakelijke voorwaarde om het vertrouwen van klanten en medewerkers te behouden.