Een datalek bij iFood heeft de persoonlijke gegevens van maar liefst 1,2 miljoen gebruikers blootgelegd, maar het bedrijf heeft ervoor gekozen de getroffen klanten niet te waarschuwen. Het incident, dat zich in december vorig jaar voordeed, werd door de onderneming omschreven als een geïsoleerd voorval dat snel onder controle werd gebracht. Volgens het bedrijf bleef de schade beperkt tot ongeveer twee procent van het totale klantenbestand. De officiële erkenning kwam pas op woensdag 3 juni 2026, via een verklaring van het bedrijf. Daarin werd benadrukt dat de impact klein was en dat er geen sprake was van een grootschalige aanval.
Wat er precies is gebeurd
In diezelfde verklaring gaf iFood toe dat naam- en CPF-gegevens van gebruikers zijn gelekt. Het bedrijf benadrukte echter dat er geen inloggegevens zoals wachtwoorden zijn buitgemaakt. Ook financiële informatie, betalingsgegevens en bankrekeningnummers zouden veilig zijn gebleven. De onderneming stelde dat er geen bewijs is dat transacties op het platform zijn ingezien door onbevoegden. De exacte toedracht van het lek blijft vooralsnog onduidelijk; iFood heeft niet gemeld wie er verantwoordelijk is of hoe het lek kon ontstaan.
Waarom de klant niet is gewaarschuwd
iFood rechtvaardigde het uitblijven van een melding aan de getroffen gebruikers door te verwijzen naar de Algemene Verordening Gegevensbescherming (AVG). Het bedrijf stelde dat het incident geen risico of relevante schade voor de betrokkenen met zich meebrengt. Daarom zou er volgens de criteria van de Nationale Autoriteit voor Gegevensbescherming (ANPD) geen verplichting bestaan om individuele meldingen te doen. Deze interpretatie van de wet roept echter vragen op, vooral onder deskundigen op het gebied van digitale veiligheid. De onderneming benadrukte dat alle communicatie uitsluitend via officiële kanalen plaatsvindt.
Deskundigen waarschuwen voor risico’s
Hoewel wachtwoorden en financiële data niet zijn gelekt, waarschuwen specialisten dat het blootleggen van namen en CPF-nummers niet onschuldig is. Het CPF-nummer is een gevoelig gegeven dat in verkeerde handen kan worden gebruikt voor identiteitsfraude of gerichte phishing-aanvallen. Zelfs zonder directe toegang tot accounts, kan deze informatie worden ingezet om slachtoffers te misleiden. iFood houdt echter vol dat er geen sprake is van relevant gevaar voor de gebruikers. De discussie over de drempel voor het melden van datalekken lijkt hiermee een nieuwe impuls te krijgen.
Communicatie via officiële kanalen
In haar verklaring adviseerde iFood klanten om verdachte berichten over het lek te negeren en alleen te vertrouwen op officiële communicatie. Het bedrijf gaf echter niet aan of het van plan is om de 1,2 miljoen getroffenen alsnog individueel te informeren. Tot nu toe is onbekend of de Autoriteit voor Gegevensbescherming op de hoogte is gesteld van het incident. De maatregelen die iFood heeft genomen om herhaling te voorkomen, zijn niet gespecificeerd. De onderneming blijft benadrukken dat er geen onmiddellijk gevaar is voor de betrokkenen.
Wat dit betekent voor de privacywetgeving
De gang van zaken roept fundamentele vragen op over de handhaving van de privacywet. Bedrijven kunnen onder de huidige regels zelf bepalen of een datalek ernstig genoeg is om te melden, zolang ze zich baseren op objectieve criteria. Dit leidt tot verschillende interpretaties en mogelijk tot een gebrek aan transparantie voor consumenten. iFoods besluit om niet te communiceren kan dan ook een breder debat aanwakkeren over de effectiviteit van de zelfregulering binnen de digitale economie. De gebeurtenis onderstreept hoe groot de kloof kan zijn tussen wettelijke naleving en feitelijke bescherming van privacy.