De Autoriteit Persoonsgegevens (AP) heeft de afgelopen weken 46 bedrijven uit met name de cultuur- en entertainmentsector op het matje geroepen. Volgens de toezichthouder brachten zij hun bezoekers niet op de hoogte toen bleek dat hun persoonlijke gegevens op straat waren beland, zegt een woordvoerder tegen NU.nl.

Daarnaast hebben de bedrijven zich niet bij de autoriteit gemeld toen bleek dat hun ticketleverancier de gegevens had gelekt.

De AP wil niet zeggen welke bedrijven precies stil bleven, maar geeft wel aan dat het om grote en kleine organisaties gaat. "Denk aan musea, theaters, dierentuinen, evenementenbureaus, circussen, maar ook bedrijven in de retail die acties hebben gehad met de verkoop van toegangskaarten", laat woordvoerder Silvia Pilger weten.

De bedrijven maakten gebruik van Ticketcounter. Deze leverancier kwam er in februari achter dat gegevens van honderdduizenden mensen per ongeluk openbaar online stonden. De gelekte namen, woonadressen, geboortedatums, e-mailadressen, telefoonnummers en bankgegevens bleken ook verhandeld te worden.

Niet alleen Ticketcounter, maar ook de zakelijke klanten van het bedrijf hadden zich na het datalek bij de AP moeten melden. Ticketcounter heeft de bedrijven zelf actief op die meldplicht gewezen, blijkt uit de brief die de toezichthouder heeft verstuurd aan de bedrijven die desondanks geen actie ondernamen.

Slachtoffers kunnen doelwit worden van oplichters

"Volgens de informatie van de AP heeft uw organisatie geen melding gedaan van dit incident en heeft u de betrokkenen niet geïnformeerd", staat in de brief. "Mogelijk lopen deze betrokkenen (onnodig) risico omdat zij er niet van op de hoogte zijn dat hun persoonsgegevens betrokken zijn bij het datalek."

Criminelen kunnen de gelekte informatie gebruiken om mensen op te lichten. Een bericht dat meer persoonlijke gegevens bevat, kan daardoor geloofwaardiger overkomen. Oplichters kunnen bijvoorbeeld een e-mail sturen en schrijven dat blijkt dat een betaling van een bepaald bankrekeningnummer is mislukt en zogenaamd alsnog een betaling eisen.

De AP kan niet inschatten hoeveel mensen niet op de hoogte zijn dat hun gegevens zijn gelekt. Eerder werd duidelijk dat mensen die tussen 2017 en begin augustus 2020 via Ticketcounter een kaartje hebben gekocht zijn getroffen. De ticketverkoper waarschuwde eerder al dat zij alert moeten zijn voor pogingen tot oplichting.