Na een recente cyberaanval bij telecomprovider Odido eisen klanten in Nederland een nieuw paspoort op kosten van het bedrijf. De provider gaat daar op het moment van schrijven niet op in. De onrust draait om privacyrisico’s en identiteitsfraude na mogelijk uitgelekte klantgegevens. Europese privacyregels en Nederlandse procedures bepalen wat bedrijven en burgers nu wel en niet moeten doen.
Odido wijst paspoortclaims af
Odido krijgt sinds de aanval verzoeken van klanten om de kosten van een nieuw paspoort te vergoeden. Het bedrijf zegt daar nu niet mee te starten en verwijst naar het lopende onderzoek. Een generieke vergoeding voor documentvervanging is niet aan de orde, stelt de provider. Eventuele schadeclaims worden later en individueel beoordeeld.
De aanval richtte zich op digitale systemen van Odido, waarbij onbevoegden toegang zouden hebben gekregen tot persoonsgegevens. Welke soorten gegevens precies zijn geraakt, is nog onderwerp van onderzoek en communicatie richting klanten. De kern van de zorg is dat gegevens buiten de beveiligde omgeving terecht zijn gekomen. Dat vergroot kans op misbruik, ook als diensten gewoon blijven werken.
De afwijzing van paspoortclaims leidt tot frustratie bij een deel van de klanten. Zij vrezen identiteitsfraude en willen een direct, tastbaar middel om risico te verlagen. Odido zegt de impact te willen beperken met beveiligings- en ondersteuningsmaatregelen. Klanten vragen ondertussen om duidelijkheid over wat precies is gelekt en welke hulp beschikbaar is.
Risico op identiteitsfraude
Bij een datalek stijgt het risico op phishing en social engineering. Criminelen gebruiken echte klantgegevens om fraude geloofwaardig te maken. Bij telecomklanten speelt ook sim-swapping: het overzetten van een telefoonnummer naar een andere simkaart om verificatiecodes te onderscheppen. Zo’n aanval kan 2FA-codes voor bank- of e-mailaccounts buitmaken.
Als kopieën van identiteitsdocumenten of documentnummers zijn gelekt, ontstaat extra zorg. Met die gegevens kunnen kwaadwillenden pogingen doen om contracten, accounts of aankopen af te sluiten. Organisaties vragen daarvoor wel controles, maar criminelen proberen die te omzeilen. Het blijft daarom belangrijk om onverwachte aanvragen en e-mails te wantrouwen.
“Identiteitsfraude is het misbruiken van iemands persoonsgegevens om financiële of andere voordelen te behalen.”
Niet alle risico’s zijn met een nieuw paspoort opgelost. Het burgerservicenummer (BSN) verandert niet en blijft gevoelig als het eenmaal is uitgelekt. Een nieuw document verlaagt sommige kansen op misbruik, maar voorkomt phishing of gerichte oplichting niet. Gerichte beveiligingsmaatregelen en alert gedrag blijven nodig.
AVG verplicht datalekmelding
De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om ernstige datalekken binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP). Betrokken personen moeten worden geïnformeerd als er een hoog risico is voor hun rechten en vrijheden. Dat betekent concreet heldere uitleg over wat is gelekt, mogelijke gevolgen en beschermende stappen. Dit past binnen de Europese inzet op betrouwbare digitalisering en dataveiligheid.
Slachtoffers kunnen onder artikel 82 AVG schadevergoeding eisen als zij schade en causaliteit kunnen aantonen. Dat is in de praktijk vaak juridisch complex. Een bedrijf mag algemene claims afwijzen als de noodzaak of schade niet is onderbouwd. Wel moet het bedrijf passende technische en organisatorische beveiliging kunnen aantonen, zoals versleuteling (encryptie) en toegangsbeheer.
Telecomaanbieders vallen daarnaast onder nationale beveiligingsplichten uit de Telecommunicatiewet. De komende NIS2-richtlijn, die Nederland nog implementeert, verhoogt de lat voor cyberbeveiliging en rapportage bij essentiële en belangrijke diensten. Strenger toezicht en zwaardere sancties moeten de gevolgen van incidenten voor burgers en bedrijfsleven beperken. Voor providers betekent dit meer aandacht voor detectie, respons en transparante communicatie.
Vervanging paspoort: wie betaalt?
In Nederland verstrekken gemeenten paspoorten en identiteitskaarten. Vervanging kost geld en de tarieven verschillen per gemeente. Een nieuw document krijgt een nieuw documentnummer, maar het BSN blijft gelijk. Dat maakt vervanging geen universele oplossing na een datalek.
Autoriteiten adviseren vervanging meestal alleen bij vermissing, diefstal of aangetoond misbruik. Bij uitsluitend een datalek is het vaak effectiever om gerichte beveiligingsstappen te nemen, zoals extra verificaties en monitoren op misbruik. Een nieuw document biedt wel gemoedsrust, maar voorkomt niet dat gelekte gegevens voor phishing worden gebruikt. Gemeenten vergoeden de kosten doorgaans niet zonder wettelijke grond of toezegging van een verantwoordelijke partij.
Een bedrijf kan er vrijwillig voor kiezen kosten te vergoeden, maar is daartoe niet automatisch verplicht. Bij concrete schade kunnen klanten een claim indienen met bewijs, bijvoorbeeld fraudevaststellingen of gemaakte kosten. Rechtsbijstand of een geschillencommissie kan helpen bij een inhoudelijke beoordeling. Dit maakt de Europese privacyregels tastbaar voor consumenten en bedrijven in de praktijk.
Wat klanten nu kunnen doen
Wijzig direct wachtwoorden van Odido- en e-mailaccounts en zet waar mogelijk twee-factor-authenticatie (2FA) aan. Controleer of bij de provider extra verificatie voor nummerwijzigingen en sim-swaps kan worden ingesteld. Wees extra alert op onverwachte telefoontjes, sms’jes en e-mails die om codes of inloggegevens vragen. Deel geen persoonsgegevens via links in berichten, maar ga zelf naar de officiële website.
Houd bank- en betaalapps scherper in de gaten en stel transactiealerts in. Gebruik, als beschikbaar, een identiteits- of kredietmonitoringsdienst die misbruik sneller signaleert. Vraag organisaties waarmee u zaken doet om een notitie van verhoogd risico op uw dossier. Dat maakt extra controles bij wijzigingen of aanvragen waarschijnlijker.
Bij vermoedens van misbruik: neem contact op met de Fraudehelpdesk, uw bank en de politie, en vraag uw gemeente naar vervolgstappen. Bewaar alle bewijsstukken, zoals e-mails, brieven en afschriften. Dit is belangrijk voor eventuele schadeclaims richting het betrokken bedrijf. Zo combineert u praktische beveiliging met uw rechten onder de AVG.