Hackers dreigen donderdag gestolen klantgegevens van telecomaanbieder Odido online te zetten. Het gaat mogelijk om data van miljoenen Nederlanders. Het bedrijf onderzoekt wat precies is buitgemaakt en hoe groot het risico is. De kwestie laat zien hoe Europese digitalisering gevolgen bedrijfsleven en burgers direct raakt.
Hackers dreigen met publicatie
Cybercriminelen stellen dat zij klantgegevens van Odido hebben buitgemaakt en die donderdag zullen publiceren. Zulke publicaties gebeuren vaak op fora op het dark web, waar data snel wordt gekopieerd. Het is op het moment van schrijven onduidelijk hoeveel records het betreft. Ook is nog niet onafhankelijk bevestigd welke datasets zijn geraakt.
Bij dit soort dreigementen proberen aanvallers druk te zetten om losgeld af te dwingen. Bedrijven worden dan voor de keuze gesteld: betalen of de data zien uitlekken. Veiligheidsexperts raden betalen af, omdat er geen garantie is dat data daarna wordt verwijderd. Bovendien kan betalen in strijd zijn met sanctieregels als de dadergroep is gelinkt aan gesanctioneerde partijen.
Voor telecomaanbieders is de impact van datadiefstal groot. Zij beheren veel identiteits- en contactgegevens en hebben een rol in verificatie bij bankieren en overheidsdiensten. Een lek kan daarom ook keteneffecten hebben buiten de telecomsector. Dit verhoogt de druk op snelle en zorgvuldige incidentafhandeling.
Gevoelige data mogelijk buitgemaakt
Telecomdata bevat vaak naam, adres, e‑mail, telefoonnummer en klantnummer. Ook kunnen IBAN, contract- en factuurgegevens aanwezig zijn. Soms bewaart een aanbieder kopieën van identiteitsbewijzen voor specifieke processen, zoals nummerbehoud of zakelijk beheer. De inhoud van gesprekken wordt normaal niet opgeslagen, maar verkeersgegevens (wie belt wanneer) zijn gevoelige metadata.
Als zulke gegevens openbaar worden, neemt het risico op misbruik toe. Denk aan gerichte phishing per sms of e‑mail, identiteitsfraude of misleiding van klantenservice. Met voldoende details kunnen criminelen inloggen via wachtwoordresets of een simwissel proberen. Dat laatste heet sim‑swapping, waarbij jouw nummer naar een andere simkaart wordt overgezet.
Welke datavelden hier precies spelen is nog niet helder. Dat maakt het lastig om al te voorspellen wat het individuele risico is. Wel is het verstandig uit te gaan van een conservatief scenario en voorzorgsmaatregelen te nemen. Odido zal getroffen klanten hierover moeten informeren zodra er duidelijkheid is.
“Bij een ernstig datalek geldt: binnen 72 uur melden bij de Autoriteit Persoonsgegevens (volgens de AVG).”
Risico’s voor klanten en mkb
De directe dreiging is phishing, vaak via sms (smishing) of WhatsApp. Berichten lijken echt en gebruiken naam, klantnummer of adres om vertrouwen te wekken. Klik niet op links en log niet in via doorgestuurde pagina’s. Ga altijd zelf naar de officiële website of app.
Een tweede risico is sim‑swapping. Met gelekte persoonsgegevens kan een aanvaller de klantenservice overtuigen om een nummer over te zetten. Daarna kunnen zij sms-codes voor inloggen of bankieren onderscheppen. Extra verificatie bij nummeroverdracht verkleint dit risico aanzienlijk.
Voor mkb-accounts met meerdere nummers spelen extra gevaren. Een aanvaller kan beheerdersrechten misbruiken om bundels, simkaarten of doorschakelingen te wijzigen. Dit kan leiden tot kosten, uitval of doorbraak naar andere systemen via sms‑verificatie. Organisaties doen er goed aan beheerrechten te beperken en logins met sterke multifactor-authenticatie te beveiligen.
AVG en toezicht in Nederland
De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP). Als het lek een hoog risico vormt voor betrokkenen, moeten zij ook individueel worden geïnformeerd. Versleuteling en dataminimalisatie kunnen de impact en meldplichten beperken. Hoge boetes zijn mogelijk bij nalatigheid.
Telecomaanbieders vallen daarnaast onder toezicht van de Rijksinspectie Digitale Infrastructuur (RDI) voor netwerk- en informatiebeveiliging. Zij moeten passende technische en organisatorische maatregelen treffen. Ook gelden sectorale regels voor vertrouwelijkheid van communicatie. Het Nationaal Cyber Security Centrum (NCSC) kan waar nodig operationele ondersteuning bieden.
De Europese NIS2-richtlijn scherpt zorgplichten en meldtermijnen verder aan. Op het moment van schrijven is de implementatie in Nederland gaande en worden aanbieders aangespoord om processen hierop in te richten. Voor het bedrijfsleven betekent dit zwaardere eisen aan risicobeheer, leveranciersketens en rapportage. Dat vraagt om aantoonbare governance, niet alleen techniek.
Odido’s stappen en plichten
In deze fase draait het om drie sporen: forensisch onderzoek, beperken van schade en heldere communicatie. Forensisch werk brengt in kaart welke systemen en datasets zijn geraakt. Schadebeperking kan bestaan uit wachtwoordresets, extra verificatie bij nummeroverdracht en monitoring op misbruik. Communicatie moet feitelijk zijn en concrete handelingsperspectieven bieden.
Samenwerking met politie en gespecialiseerde partijen is gebruikelijk. Denk aan het downhalen van downloadlinks, monitoren van verspreiding op het dark web en ondersteuning aan klanten. Het aanbieden van identiteitsmonitoring of kredietbewaking kan helpen als er ID- of betaalgegevens zijn gelekt. Dergelijke maatregelen zijn in Europa steeds vaker norm bij grote lekken.
Losgeld betalen blijft een lastige, maar risicovolle keuze. Het biedt geen garantie en kan vervolglekken zelfs uitlokken. Bovendien kan betaling verboden zijn bij gelinkt sanctierisico. Transparant handelen en versneld versterken van beveiliging zijn structureel effectiever.
Wat u nu kunt doen
Wees extra alert op ongevraagde berichten over Odido, facturen of pakketjes. Klik niet op links en deel geen codes of wachtwoorden. Log altijd in via de officiële app of website die u zelf opent. Controleer of tweestapsverificatie aanstaat bij e‑mail, bank en clouddiensten.
Vraag uw provider om extra verificatie bij nummeroverdracht of simwissel. Voor zakelijke beheerders: beperk rechten, zet meldingen aan voor wijzigingen en gebruik unieke, sterke wachtwoorden via een wachtwoordmanager. Controleer bankafschriften vaker en stel waar mogelijk transactiemeldingen in. Meld verdachte activiteit direct bij bank en provider.
Denkt u dat uw identiteitsgegevens zijn misbruikt, neem dan contact op met de Fraudehelpdesk en doe aangifte. Bewaar bewijs van valse berichten en transacties. Volg de updates van Odido en de Autoriteit Persoonsgegevens voor specifieke instructies. Zo verkleint u de kans op schade, ook als de aangekondigde publicatie donderdag daadwerkelijk plaatsvindt.