Vestiging van supermarktketen Lidl met parkeerplaats en klanten.
Nieuws10 juli · 18:104 min leestijd

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Lidl-webshop lekt de persoonsgegevens van Nederlandse en Belgische klanten na een hack bij een van zijn IT-dienstverleners, en waarschuwt getroffen klanten per e-mail voor phishing. De supermarktketen maakte het datalek op vrijdag 10 juli bekend op zijn Nederlandse en Belgische site.

Voor elke ondernemer met een webshop verschuift dit incident de vraag van "zijn je eigen systemen dicht" naar "wat gebeurt er bij de partijen aan wie je gegevens uitbesteedt". De inbraak vond niet plaats bij Lidl zelf, maar bij een externe leverancier. Toch is het Lidl dat zijn klanten moet waarschuwen, het lek bij de Autoriteit Persoonsgegevens moet melden en de reputatieschade draagt. Onder de AVG blijft de verwerkingsverantwoordelijke aansprakelijk, ook als de fout bij een verwerker ligt.

Welke gegevens zijn buitgemaakt

De aanvallers bemachtigden voor- en achternaam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van een onbekend aantal klanten. Minstens zo belangrijk voor het directe risico is wat niet is geraakt: wachtwoorden, factuur- en afleveradressen en bankgegevens bleven buiten de buit. Lidl zegt dat er op dit moment geen aanwijzingen zijn dat de gegevens al zijn misbruikt.

Dat onderscheid bepaalt de dreiging. Zonder wachtwoorden of betaalgegevens kunnen criminelen niet meteen inloggen of geld afschrijven. Maar een naam, e-mailadres, telefoonnummer en geboortedatum vormen samen precies de bouwstenen voor overtuigende phishing en identiteitsfraude.

De zwakke schakel zat bij een leverancier

Lidl geeft zelf aan dat het lek ontstond bij een van zijn IT-dienstverleners, waardoor de aanvallers kort toegang kregen tot klantdata. Dat maakt dit een klassieke ketenaanval: niet de bekende naam wordt gehackt, maar een toeleverancier die aan zijn systemen is gekoppeld.

Datzelfde patroon dook enkele weken terug op toen wachtwoordmanager LastPass klantgegevens verloor via een ingebroken salesleverancier in plaats van via zijn eigen omgeving. Voor een aanvaller is de rekensom simpel: een leverancier kraken die tientallen klanten bedient, levert meer op dan een enkele webshop.

Wat dit betekent voor jouw webshop

Elke koppeling met een externe partij is een potentiele ingang: je marketingplatform, je fulfilmentpartner, je CRM, je betaaldienst. Ze zien allemaal een stuk van je klantdata, en hun beveiliging wordt de jouwe. Weet daarom welke verwerkers en subverwerkers bij je gegevens kunnen, leg dat vast in verwerkersovereenkomsten, en houd een draaiboek klaar: een datalek moet in de regel binnen 72 uur bij de Autoriteit Persoonsgegevens liggen.

Wat je daarna precies aan gedupeerden moet communiceren, wordt bovendien strakker geregeld: het kabinet tuigt na de Odido-hack een handelingskader voor datalekslachtoffers op. Waarschuw je klanten proactief en wees concreet: leg uit dat je nooit via e-mail of telefoon om wachtwoorden of betaalgegevens vraagt, zodat een nagemaakt bericht sneller opvalt.

De hack bij Lidl laat zien hoe weinig de omvang van je eigen beveiliging uitmaakt zodra een schakel in je keten omvalt. Retailers zitten op bergen contactgegevens en besteden een groot deel van hun techniek uit, en zo wordt de zwakste leverancier de maat voor hun veiligheid. Dat is geen reden om alles zelf te bouwen, wel om te weten waar je data heen stroomt en wie je ermee vertrouwt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je datastromen

Dit lek ontstond bij een leverancier, niet bij Lidl zelf. Ik denk met je mee over waar je klantdata heen stroomt en bouw de koppelingen die je zelf in de hand houdt, van ontwerp tot realisatie en waar het kan self-hosted.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Verken verder

In dit artikel

Hoofdonderwerpen

Kort genoemd

Concepten

PhishingDatalekLeveranciersrisicoIdentiteitsfraudeKetenaanvalKetenbeveiligingVerantwoordelijkheid van verwerkingsverantwoordelijke

Gerelateerde artikelen

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn
Nieuws
4 min

25 jun 12:54

Canvas-hack: minister weet nog niet hoeveel Nederlandse slachtoffers er zijn

Bij leerplatform Canvas, gebruikt door veel Nederlandse onderwijsinstellingen en trainingsbedrijven, zijn gegevens buitgemaakt door crimineel collectief ShinyHunters. Onderwijsminister Letschert laat weten dat nog onbekend is hoeveel Nederlandse studenten zijn getroffen.

AI en de AVG: het risico zit niet in het model, maar in je data
Inzicht
7 min

19 jun 19:05

AI en de AVG: het risico zit niet in het model, maar in je data

Bedrijven die AI weghouden van klantdata uit angst voor de AVG lossen het verkeerde probleem op. Het risico zit niet in de AI, maar in slordige dataomgang die AI alleen uitvergroot.

De Odido Data-inbreuk: Een Diepgaande Analyse van AI-gedreven Cyberdreigingen en Preventiestrategieën
Inzicht
8 min

20 feb 20:06

De Odido Data-inbreuk: Een Diepgaande Analyse van AI-gedreven Cyberdreigingen en Preventiestrategieën

Een analyse van de Odido data-inbreuk (6,2 miljoen getroffenen). Dit artikel onderzoekt de risico's van Automated Social Engineering, de impact van AI op cybercriminaliteit en biedt strategische preventiekaders voor moderne organisaties.

AI voor de makelaar: woningteksten, leadopvolging en bezichtigingsplanning automatiseren
Gids
8 min

2 jul 20:31

AI voor de makelaar: woningteksten, leadopvolging en bezichtigingsplanning automatiseren

Woningteksten schrijven, Funda-leads opvolgen en bezichtigingen inplannen kost een makelaarskantoor uren per week. Ik laat stap voor stap zien waar AI dat werk overneemt, en precies waar de AVG-grens ligt.

AI voor verenigingen en stichtingen: ledenadministratie, vrijwilligersplanning en subsidieaanvragen automatiseren
Gids
9 min

2 jul 18:32

AI voor verenigingen en stichtingen: ledenadministratie, vrijwilligersplanning en subsidieaanvragen automatiseren

Een praktisch stappenplan voor het bestuur van een club of stichting zonder IT-budget: terugkerende ledenvragen, vrijwilligersroosters, subsidieaanvragen en AVG-proof ledendata met gratis en goedkope tools.