De Nederlandse Basketball Bond (NBB) informeert over een datalek dat betrekking heeft op documenten binnen onze topsportomgeving.
Wat is er gebeurd?
Tot 31 december 2024 werden binnen een aantal van onze topsportprogramma’s documenten opgeslagen in een online omgeving (Basketballonline), met name voor de logistieke organisatie rondom internationale toernooien. Hoewel de database van deze omgeving goed beveiligd en niet publiek toegankelijk was, is door een technische fout één specifieke map waarin documenten waren opgeslagen tijdelijk onbedoeld indexeerbaar geweest via zoekmachines zoals Google. Hierdoor konden documenten via een gerichte zoekopdracht vindbaar zijn.
Op vrijdag 18 juli 2025 heeft een oplettend familielid van een sporter gemeld dat het mogelijk was om via een gerichte zoekopdracht bij een persoonlijk document van de sporter te komen. Daarop heeft de NBB de volgende acties ondernomen:
Op zaterdag 19 juli en zondag 20 juli heeft de NBB de indexering via zoekmachines verwijderd en de toegang tot de betreffende map afgesloten zodat een gerichte zoekopdracht niets meer kon opleveren.
Op maandag 21 juli is een melding van een datalek bij de Autoriteit Persoonsgegevens gedaan.
Het betrof geen hack of cyberaanval, maar een tijdelijke onbedoelde vindbaarheid van een documentenmap. Hoewel de map mogelijk sinds november 2020 onbedoeld indexeerbaar is geweest heeft technisch onderzoek dit niet definitief kunnen uitwijzen. Er is wel aangetoond dat er vanaf 1 januari 2025 – het moment dat de NBB overstapte van Basketballonline naar een nieuwe omgeving – tot de melding op 18 juli geen aanwijzingen zijn voor onbevoegde toegang door kwaadwillenden.
Op wie heeft dit betrekking?
Dit incident heeft uitsluitend betrekking op documenten van atleten en betrokkenen binnen onze topsportprogramma’s die gebruik maakten van de online omgeving Basketballonline.
Er is geen sprake van een datalek met betrekking tot ledenadministratie, competitiegegevens, verenigingen of andere algemene NBB-systemen.
Om welke gegevens kan het gaan?
Het ging mogelijk om documenten zoals geboortecertificaten en ID-documenten met persoonsgegevens zoals naam, geboortedatum, adres, email, telefoonnummer en – indien aanwezig op identificatiedocumenten – BSN-nummers of ID-nummers.
Hoewel er geen aanwijzingen zijn dat gegevens daadwerkelijk door kwaadwillende zijn ingezien of misbruikt, kunnen wij dit niet volledig uitsluiten. Daarom heeft de NBB zoveel mogelijk betrokkenen binnen de topsportprogramma’s – van wie het vermoeden bestaat dat hun documenten in de betreffende map zaten – rechtstreeks geïnformeerd en publiceren we het bericht ook op onze website.
Waar moeten betrokken binnen de topsportprogramma’s op letten?
We vragen (voormalige) betrokkenen uit onze programma’s die in het verleden gebruik hebben gemaakt van Basketballonline extra alert te zijn op ongebruikelijke of verdachte activiteiten. Met persoonsgegevens kunnen kwaadwillenden zich bijvoorbeeld voordoen als een bank, overheidsinstantie of andere organisatie.
Let daarbij extra op bij concrete situaties zoals deze:
- Blijf alert op onverwachte telefoontjes, sms’jes, appjes of e-mails waarin om persoonlijke informatie wordt gevraagd. Met je naam, adres, telefoonnummer en e-mailadres kunnen cybercriminelen je proberen te benaderen waarbij zij zich kunnen voordoen als iemand van je bank of een andere organisatie.
- E-mails, sms’jes en appjes met links naar onbekende websites. Vaak kun je een verdachte e-mail, sms of app herkennen aan typefouten en onbekende afzenders. Check het telefoonnummer of wat er na het ‘@’-teken van een e-mailadres staat.
- Krijg je een onverwacht telefoontje van een onbekend nummer? Controleer dat dan door de beller te vragen naar de voor- en achternaam en het algemene telefoonnummer van het bedrijf. Ga naar de website van het bedrijf om te controleren of het nummer klopt. Bel dit nummer dan zelf en vraag naar de medewerker die jou heeft gebeld.
- Geef nooit zomaar je wachtwoorden, pincodes, bankgegevens of aanvullende identiteitsgegevens af.
Meer informatie over identiteitsfraude en wat je kunt doen, vind je via www.rijksoverheid.nl/onderwerpen/identiteitsfraude en www.politie.nl/onderwerpen/checkjehack.html.
Waarom publiceren wij dit bericht nu?
Het datalek is direct na de ontdekking gemeld bij de Autoriteit Persoonsgegevens (AP). Doordat niet met volledige zekerheid uit te sluiten is dat de persoonsgegevens door onbevoegden zijn ingezien en/of gedownload in de periode voor januari 2025, hebben we in nauw overleg met de AP besloten om mogelijke betrokkenen te mailen en een bericht op onze website te plaatsen. We willen transparant zijn en op deze wijze de mogelijke betrokkenen die van Basketballonline gebruik hebben gemaakt vragen extra alert te zijn op verdachte activiteiten.
Vragen?
Voor vragen kan contact worden opgenomen via privacy@basketball.nl.
