De privégegevens van 21.000 klanten van de site VakantieVeilingen zijn in handen gekomen van een derde persoon. Het gaat om informatie van mensen die in 2014 en 2015 een boeking hebben gedaan.

Dat bevestigt het bedrijf achter VakantieVeilingen aan NU.nl na berichtgeving van RTL Nieuws. Door het lek waren de volledige namen, woonadressen en e-mailadressen inzichtelijk.

VakantieVeilingen stuurde in 2015 per abuis een link naar een klant, waarmee hij uiteindelijk toegang kreeg tot de privégegevens. Ook kon hij, en anderen die dezelfde link in hun bezit zouden hebben, informatie over de gewonnen veilingen inzien.

Het lek werd in 2015 aan VakantieVeilingen gemeld, waarna het bedrijf de betreffende pagina heeft beveiligd met een wachtwoord. Daardoor is de pagina sindsdien niet meer voor alle buitenstaanders toegankelijk.

"Aangezien de betreffende link alleen naar hem is verstuurd, is de kans nihil dat iemand anders destijds de gegevens heeft ingezien of gedownload", zegt Carel van Boetzelaer, directeur van VakantieVeilingen, tegen NU.nl. Het bedrijf heeft echter geen logbestanden over activiteit op deze pagina.

Donderdag bleek bij VakantieVeilingen dat de gegevens van de 21.000 klanten destijds niet alleen door de klant zijn ingezien, maar ook waren gedownload. Deze persoon heeft onlangs tweeduizend mensen uit de database gemaild. Dat gebeurde in een "emotionele opwelling" na een, voor hem frustrerende, ervaring met de klantenservice, aldus Van Boetzelaer.

De directeur van het bedrijf achter VakantieVeilingen laat weten dat het bedrijf inmiddels contact heeft gehad met de klant die de e-mail met de link heeft ontvangen. Hij heeft verklaard de gedownloade gegevens te hebben verwijderd en met niemand anders te hebben gedeeld.

Lek inmiddels gemeld bij toezichthouder

VakantieVeilingen zegt in 2015 niemand te hebben geïnformeerd over het lek, omdat het destijds niet duidelijk was dat de gegevens ook waren gestolen. De site heeft zaterdag alsnog melding gedaan bij de Autoriteit Persoonsgegevens, de Nederlandse privacyautoriteit.

Bedrijven zijn sinds 2016 wettelijk verplicht om datalekken binnen 72 uur te melden bij de privacywaakhond. Omdat dit lek plaatsvond vóór deze meldplicht werd ingevoerd, is VakantieVeilingen niet in overtreding.

Van Boetzelaer laat weten dat het bedrijf de klant niet strafrechtelijk laat vervolgen omdat hij de gegevens destijds heeft gedownload. "Wij hadden de link toen ook niet naar hem moeten sturen", zegt hij.