Hackers stelen gegevens van 200.000 Basic-Fit leden

Hackers stelen gegevens van 200.000 Basic-Fit leden

2026-04-14 economie

Veldhoven, dinsdag, 14 april 2026.
Cybercriminelen hebben binnen enkele minuten bankgegevens, namen en adressen van ongeveer 200.000 Nederlandse Basic-Fit leden gestolen. De sportschoolketen werd maandagochtend getroffen door een cyberaanval die in totaal 1 miljoen leden in zes Europese landen raakte. Vestigingen in Veldhoven en Valkenswaard behoren tot de getroffen locaties. Basic-Fit bewaart geen identiteitsdocumenten en wachtwoorden bleven veilig, maar leden moeten oppassen voor phishing-pogingen via e-mail. De aanval werd snel ontdekt en gestopt, maar hackers hadden al genoeg tijd om gevoelige informatie te downloaden. Alle getroffen leden zijn inmiddels per e-mail gewaarschuwd door het bedrijf.

Welke gegevens zijn gestolen

De hackers kregen toegang tot een centraal systeem dat lidgegevens van meerdere landen opslaat [1]. De gestolen informatie bevat namen, adressen, e-mailadressen, telefoonnummers, geboortedatums en bankrekeningnummers [1][2][3]. Ook lidmaatschapsgegevens zoals abonnementsnummers, abonnementstypen en recente sportschoolbezoeken werden buitgemaakt [4]. Basic-Fit bewaart geen identiteitsdocumenten van leden, dus deze informatie is niet gelekt [1][2]. Ook kregen de aanvallers geen toegang tot wachtwoorden [1][2][3].

Snelle ontdekking maar te laat

Basic-Fit ontdekte de cyberaanval binnen enkele minuten door systeem-monitoring tools [2]. Het bedrijf stopte de aanval snel, maar de hackers hadden al genoeg tijd om gegevens te downloaden [2][3]. Ongeveer een vijfde van alle klantgegevens was al gedownload tegen de tijd dat de aanval werd gestopt [5]. Het exacte tijdstip van de aanval heeft Basic-Fit niet bekendgemaakt [5]. Het bedrijf meldde de datalek binnen 72 uur bij de Nederlandse Autoriteit Persoonsgegevens, zoals de wet vereist [5].

Europese omvang van de aanval

De cyberaanval raakte Basic-Fit leden in zes landen: Nederland, België, Frankrijk, Spanje, Luxemburg en Duitsland [2][4][6]. In totaal werden gegevens van ongeveer 1 miljoen leden gestolen [2][4]. In Nederland zijn 200.000 leden getroffen [1][2][3]. In België ligt het aantal getroffen leden tussen de 150.000 en 200.000 [5]. Basic-Fit heeft meer dan 2.150 sportscholen in 12 landen en bedient ongeveer 5,8 miljoen leden [3][4].

Gevolgen voor lokale vestigingen

De vestigingen van Basic-Fit in Veldhoven en Valkenswaard behoren tot de getroffen locaties in Nederland [1]. Het bedrijf gebruikt een centraal systeem voor alle vestigingen, waardoor de hack alle Nederlandse locaties heeft geraakt [4]. Basic-Fit heeft geen aparte systemen per vestiging, dus alle leden van de lokale sportscholen in de regio zijn mogelijk getroffen [alert! ‘inference based on centralized system description’]. Het franchise model dat Basic-Fit in zes andere landen gebruikt, werd niet geraakt omdat dit een apart systeem heeft [2].

Waarschuwingen voor phishing

Basic-Fit heeft alle getroffen leden per e-mail geïnformeerd over de datalek [1][2][3]. Het bedrijf waarschuwt dat het hoofdrisico voor leden phishing-pogingen zijn [2]. Deze nepberichten kunnen proberen persoonlijke informatie of geld te stelen door zich voor te doen als echte bedrijven [GPT]. Basic-Fit benadrukt dat het nooit om creditcardgegevens via e-mail, telefoon of WhatsApp zal vragen [5]. Het bedrijf zegt momenteel geen aanwijzingen te hebben dat de gestolen gegevens zijn misbruikt of openbaar zijn gemaakt [1][3].

Context van toenemende cyberaanvallen

De Basic-Fit hack is onderdeel van een golf van cyberaanvallen in Nederland tussen 2023 en 2026 [7]. Eerdere grote datalekken troffen onder andere NS en VodafoneZiggo via Nebu Breach in 2023, waarbij meer dan 2 miljoen mensen werden geraakt [7]. In 2024 veroorzaakte een ransomware-aanval op AddComm lekken bij meer dan 5.000 organisaties, wat 1,5 miljoen mensen raakte [7]. Dit jaar werden ook Odido met 6,2 miljoen getroffen klanten en reisplatform Booking.com door hackers aangevallen [5][7]. Op dezelfde dag als de Basic-Fit hack meldde ook Booking.com een apart beveiligingsincident [5].

Reactie en onderzoek

Basic-Fit werkt samen met externe specialisten om de situatie te monitoren [1]. Het bedrijf heeft een onderzoek gestart naar hoe de aanvallers toegang kregen en wie verantwoordelijk is [4]. De identiteit van de hackers is nog onbekend [4][5]. Basic-Fit heeft maatregelen genomen om verdere schade te voorkomen, maar heeft niet bekendgemaakt welke specifieke stappen zijn ondernomen [1]. Het onderzoek heeft tot nu toe niet aangetoond dat de gegevens ergens beschikbaar zijn of zijn misbruikt [4].

Bronnen

• omroepveldhoven.nl
• www.reuters.com
• nltimes.nl
• therecord.media
• www.vrt.be
• today.rtl.lu
• www.reddit.com

cyberaanval sportschool