Lidl-webshop lekt de persoonsgegevens van Nederlandse en Belgische klanten na een hack bij een van zijn IT-dienstverleners, en waarschuwt getroffen klanten per e-mail voor phishing. De supermarktketen maakte het datalek op vrijdag 10 juli bekend op zijn Nederlandse en Belgische site.
Voor elke ondernemer met een webshop verschuift dit incident de vraag van "zijn je eigen systemen dicht" naar "wat gebeurt er bij de partijen aan wie je gegevens uitbesteedt". De inbraak vond niet plaats bij Lidl zelf, maar bij een externe leverancier. Toch is het Lidl dat zijn klanten moet waarschuwen, het lek bij de Autoriteit Persoonsgegevens moet melden en de reputatieschade draagt. Onder de AVG blijft de verwerkingsverantwoordelijke aansprakelijk, ook als de fout bij een verwerker ligt.
Welke gegevens zijn buitgemaakt
De aanvallers bemachtigden voor- en achternaam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van een onbekend aantal klanten. Minstens zo belangrijk voor het directe risico is wat niet is geraakt: wachtwoorden, factuur- en afleveradressen en bankgegevens bleven buiten de buit. Lidl zegt dat er op dit moment geen aanwijzingen zijn dat de gegevens al zijn misbruikt.
Dat onderscheid bepaalt de dreiging. Zonder wachtwoorden of betaalgegevens kunnen criminelen niet meteen inloggen of geld afschrijven. Maar een naam, e-mailadres, telefoonnummer en geboortedatum vormen samen precies de bouwstenen voor overtuigende phishing en identiteitsfraude.
De zwakke schakel zat bij een leverancier
Lidl geeft zelf aan dat het lek ontstond bij een van zijn IT-dienstverleners, waardoor de aanvallers kort toegang kregen tot klantdata. Dat maakt dit een klassieke ketenaanval: niet de bekende naam wordt gehackt, maar een toeleverancier die aan zijn systemen is gekoppeld.
Datzelfde patroon dook enkele weken terug op toen wachtwoordmanager LastPass klantgegevens verloor via een ingebroken salesleverancier in plaats van via zijn eigen omgeving. Voor een aanvaller is de rekensom simpel: een leverancier kraken die tientallen klanten bedient, levert meer op dan een enkele webshop.
Wat dit betekent voor jouw webshop
Elke koppeling met een externe partij is een potentiele ingang: je marketingplatform, je fulfilmentpartner, je CRM, je betaaldienst. Ze zien allemaal een stuk van je klantdata, en hun beveiliging wordt de jouwe. Weet daarom welke verwerkers en subverwerkers bij je gegevens kunnen, leg dat vast in verwerkersovereenkomsten, en houd een draaiboek klaar: een datalek moet in de regel binnen 72 uur bij de Autoriteit Persoonsgegevens liggen.
Wat je daarna precies aan gedupeerden moet communiceren, wordt bovendien strakker geregeld: het kabinet tuigt na de Odido-hack een handelingskader voor datalekslachtoffers op. Waarschuw je klanten proactief en wees concreet: leg uit dat je nooit via e-mail of telefoon om wachtwoorden of betaalgegevens vraagt, zodat een nagemaakt bericht sneller opvalt.
De hack bij Lidl laat zien hoe weinig de omvang van je eigen beveiliging uitmaakt zodra een schakel in je keten omvalt. Retailers zitten op bergen contactgegevens en besteden een groot deel van hun techniek uit, en zo wordt de zwakste leverancier de maat voor hun veiligheid. Dat is geen reden om alles zelf te bouwen, wel om te weten waar je data heen stroomt en wie je ermee vertrouwt.
Veelgestelde vragen
Grip op je datastromen
Dit lek ontstond bij een leverancier, niet bij Lidl zelf. Ik denk met je mee over waar je klantdata heen stroomt en bouw de koppelingen die je zelf in de hand houdt, van ontwerp tot realisatie en waar het kan self-hosted.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

