Het recente datalek bij Odido heeft grote impact gehad. Voor miljoenen klanten en (oud-)klanten is het een ingrijpende gebeurtenis: persoonsgegevens die je in vertrouwen deelt, blijken ineens in verkeerde handen terecht te zijn gekomen. Dat zorgt voor onzekerheid, zorgen over misbruik en het gevoel van verlies van controle over je eigen gegevens. Ook voor Odido zelf is dit een uiterst vervelende situatie, met reputatieschade, extra druk op medewerkers en intensieve opvolging richting klanten en toezichthouders.
Het is belangrijk om dat expliciet te benoemen. Dit soort incidenten raken mensen en organisaties diep. Juist daarom is het waardevol om los van schuldvragen te kijken wat we hiervan kunnen leren.
In deze blog analyseren we wat dit incident ons leert over governance en compliance, welke fundamentele vragen het oproept over databeheer en toegangsrechten, en wat organisaties vandaag al kunnen doen om hun risico’s structureel te verkleinen.
Op basis van betrouwbare berichtgeving lijkt het erop dat:
Het gaat om gegevens zoals namen, adressen, telefoonnummers, klantnummers, rekeningnummers, gevoelige aantekeningen en identiteitsgegevens. Ook zijn er volgens recente berichtgeving rijbewijzen, paspoorten en zelfs verblijfspapieren van diplomaten buitgemaakt. Er wordt gesproken over ongeveer 6,2 miljoen accounts.
Daarnaast is discussie ontstaan over bewaartermijnen. Oud-klanten van vijf tot tien jaar geleden ontvingen bericht dat hun gegevens mogelijk zijn buitgemaakt, terwijl in het privacy statement staat dat contractgegevens maximaal twee jaar na einde contract worden bewaard (met uitzonderingen voor wettelijke verplichtingen). Het onderzoek loopt nog, maar governance-technisch roept dit uiteraard veel vragen op.
Bij grote datalekken ligt de eerste focus bijna altijd op de vraag: hoe zijn ze binnengekomen? Maar minstens zo belangrijk is de vraag: wat konden de aanvallers doen nadat ze binnen waren? Want een succesvolle phishingmail hoeft niet in alle gevallen miljoenenrecords op te leveren. Dat gebeurt alleen als de interne inrichting dat mogelijk maakt.
Als een medewerkersaccount toegang geeft tot een systeem waarin volledige identiteitsgegevens zichtbaar zijn, dan gaat het niet alleen om beveiliging, maar om hoe data fundamenteel is georganiseerd. Zeker wanneer het gaat om gegevens zoals paspoortnummers of bankrekeninginformatie. Dat soort data hoort alleen toegankelijk te zijn voor functies die dat strikt noodzakelijk nodig hebben en dan nog bij voorkeur geminimaliseerd of gemaskeerd.
Wanneer in een systeem niet alleen actuele gegevens staan, maar ook historische data van vele jaren oud, en gevoelige identiteitsgegevens niet logisch zijn gescheiden van reguliere klantinformatie, dan is er een groter probleem dan alleen het binnenkomen. De echte kwetsbaarheid zit dan in de manier waarop data is opgeslagen, geclassificeerd en toegankelijk gemaakt. Een aanval kan de deur openen, maar de interne inrichting bepaalt hoeveel er vervolgens kan worden meegenomen. Governance is daarmee niet alleen een beschermingslaag aan de buitenkant, maar vooral een mechanisme om de schade aan de binnenkant te beperken.
Dat is op dit moment niet definitief vast te stellen. Onderzoeken lopen nog en het is aan de toezichthouder om te beoordelen of de AVG is overtreden. Wel staat in het privacy statement van Odido dat contractgegevens maximaal twee jaar na beëindiging worden bewaard, met uitzonderingen zoals fiscale verplichtingen (tot zeven jaar) of specifieke kredietconstructies.
Tegelijkertijd hebben ook oud-klanten van vijf tot tien jaar geleden bericht ontvangen over mogelijke blootstelling van hun gegevens. Dat lijkt erop te wijzen dat bepaalde gegevens mogelijk langer zijn bewaard dan de standaardtermijn uit het eigen beleid. Of dat daadwerkelijk in strijd is met de AVG, hangt af van de exacte context, openstaande verplichtingen en het doel waarvoor de data nog werd bewaard.
Een datalek betekent niet automatisch dat wetten zijn overtreden. Maar als governance in de praktijk afwijkt van wat op papier staat, ontstaat er wél een juridisch risico.
Een datalek is zelden alleen maar een technisch incident. Het raakt meerdere lagen van een organisatie:
Vertrouwen is kwetsbaar. Zeker wanneer gevoelige gegevens zoals bankrekeningnummers of identiteitsgegevens betrokken zijn. Klanten verwachten dat hun data veilig is. Als dat vertrouwen wankelt, herstel je dat niet zomaar.
De Autoriteit Persoonsgegevens kan onderzoeken of aan de AVG is voldaan. Als blijkt dat beveiliging of datamanagement onvoldoende was, kunnen handhavingsmaatregelen volgen.
Bij grote datalekken zien we steeds vaker dat partijen schadeclaims voorbereiden. Aansprakelijkheid is juridisch complex, maar het risico op procedures is reëel.
Een datalek zorgt voor enorme druk op support, IT, juridische teams en communicatieafdelingen. Tegelijkertijd ontstaat er intern vaak onrust. Medewerkers voelen zich aangesproken, soms zelfs persoonlijk verantwoordelijk.
Wanneer cybercriminelen dreigen om gestolen data te publiceren op het dark web, ontstaat er langdurige onzekerheid. In dit geval is er sprake van een dreiging tot openbaarmaking als er niet wordt betaald. Dat plaatst een organisatie in een uiterst lastige positie. Zelfs als er losgeld wordt geëist en betaald, is er nooit volledige zekerheid dat gegevens daadwerkelijk worden verwijderd of niet alsnog worden doorverkocht of gepubliceerd. Criminelen opereren buiten elk juridisch kader. Betalen biedt geen garantie.
Niemand is immuun voor cyberaanvallen. Dat is de realiteit. Aanvallers worden slimmer, phishingmails overtuigender en social engineering geraffineerder. Zelfs organisaties met uitgebreide beveiligingsmaatregelen kunnen doelwit worden.
Maar wat we bij grote incidenten vaak zien, is dat de échte schade niet alleen ontstaat door het binnenkomen, maar door wat er daarna beschikbaar is. Veel escalaties worden groter dan nodig omdat basisprincipes van governance niet structureel zijn ingericht of technisch worden afgedwongen. Juist daar zit het verschil tussen een incident en een crisis.
De eerste stap is kritisch kijken naar welke persoonsgegevens je als organisatie daadwerkelijk nodig hebt voor je dienstverlening. Dataminimalisatie betekent dat je niet méér gegevens verzamelt of bewaart dan noodzakelijk is voor het doel waarvoor ze zijn bedoeld. Elke extra dataset vergroot immers het risico bij een incident.
Hoe meer gevoelige gegevens je standaard verwerkt en bewaart, hoe groter de potentiële impact wanneer er iets misgaat. Door kritisch te bepalen welke data echt noodzakelijk is voor je dienstverlening en welke niet, beperk je structureel je risicoprofiel.
Advies: Breng in kaart welke persoonsgegevens je verwerkt, toets per gegeven het doel en de noodzaak en verwijder of anonimiseer wat niet strikt noodzakelijk is. Wat je niet verzamelt of niet bewaart, kan ook niet worden gelekt.
Minstens zo belangrijk als toegang beperken, is kritisch kijken naar hoe lang gegevens worden bewaard. Onder de AVG geldt het principe van opslagbeperking: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Data die geen functioneel of wettelijk doel meer dient, vormt vooral een risico.
In de praktijk zien we vaak dat gegevens blijven staan “voor het geval dat”, of omdat systemen niet goed zijn ingericht om automatisch op te schonen. Juist daar ontstaat kwetsbaarheid. Hoe langer historische data beschikbaar blijft, hoe groter de potentiële impact wanneer iemand toegang krijgt tot een systeem.
Advies: Zorg dat bewaartermijnen niet alleen in beleid of een privacyverklaring staan, maar ook technisch worden afgedwongen. Werk met geautomatiseerd retentiebeleid, voer periodieke controles uit op oude datasets en richt duidelijke lifecycle-processen in. Wat tijdig wordt verwijderd of geanonimiseerd, kan ook niet meer worden buitgemaakt.
Zelfs als je kritisch hebt bepaald welke gegevens je verwerkt, blijft de vraag: wie mag daar vervolgens bij? Toegang tot persoonsgegevens moet altijd gebaseerd zijn op functie en noodzaak. Hoe breder toegangsrechten zijn ingericht, hoe groter de impact wanneer een account wordt misbruikt.
In veel dagelijkse klantcontacten zijn naam, klantnummer en contractinformatie bijvoorbeeld voldoende om een vraag te behandelen of een wijziging door te voeren. Volledige paspoortnummers of complete IBAN’s zijn in de meeste operationele processen zelden noodzakelijk. Dat betekent dat deze gegevens niet standaard zichtbaar of toegankelijk hoeven te zijn voor alle medewerkers binnen een afdeling.
Advies: Richt toegangsrechten in op basis van functie en noodzaak, en evalueer deze regelmatig. Zorg dat medewerkers alleen toegang hebben tot de informatie die zij nodig hebben om hun werk uit te voeren. Wanneer een account wordt misbruikt, moet de impact beperkt blijven tot een afgebakend deel van de data, niet tot het volledige klantbestand.
Hoe goed systemen ook zijn ingericht, uiteindelijk werken mensen ermee. En juist social engineering richt zich op die menselijke kant. Aanvallers spelen in op vertrouwen, urgentie en autoriteit. Dat maakt dat zelfs goed getrainde medewerkers onder druk een fout kunnen maken. Dat is geen individueel falen, maar een realiteit waar je als organisatie rekening mee moet houden.
Bewustwording is daarom geen bijzaak, maar een structureel onderdeel van governance. Medewerkers moeten begrijpen waarom bepaalde beveiligingsmaatregelen bestaan, welke risico’s er spelen en wat hun rol daarin is. Zeker functies met toegang tot gevoelige systemen verdienen extra aandacht.
Advies: Investeer in training en bewustwordingsprogramma’s, voer bijvoorbeeld phishing-simulaties uit en zorg voor duidelijke en laagdrempelige meldprocedures. Maak veiligheid bespreekbaar, zonder schuldcultuur. Wanneer medewerkers zich bewust én ondersteund voelen, verklein je de kans dat een aanval slaagt en vergroot je de kans dat een incident snel wordt herkend en beperkt.
Veel organisaties gaan ervan uit dat governance en compliance goed geregeld zijn. Er is beleid opgesteld, er zijn beveiligingsmaatregelen ingericht en er wordt gewerkt volgens de AVG. Het kan op papier kloppen, maar in de praktijk moet het ook aantoonbaar werken. Worden bewaartermijnen daadwerkelijk technisch afgedwongen? Zijn toegangsrechten echt gebaseerd op noodzaak? Is gevoelige informatie logisch gescheiden en beperkt zichtbaar? Juist op die punten ontstaan vaak ongemerkt risico’s.
Een datalek ontstaat zelden door één grote fout. Meestal is het een optelsom van kleine kwetsbaarheden in toegang, bewaartermijnen en inrichting. Wil je weten of jouw organisatie risico loopt? Met een Governance & Compliance Scan brengen we helder in kaart waar je staat, waar mogelijke risico’s zitten en welke concrete stappen je kunt zetten om de impact van een incident te beperken.
Plan een scan en zorg dat je grip hebt, vóórdat een incident je dwingt om achteraf te reageren!
