Telecomaanbieder Odido heeft excuses aangeboden voor een recent datalek in Nederland. Een vrouwelijke bestuurder zegt dat leden van de directie en medewerkers persoonlijk zijn bedreigd. Het bedrijf licht toe wat er is gebeurd en welke stappen volgen. De nadruk ligt op bescherming van persoonsgegevens onder de AVG en duidelijke communicatie naar klanten.
Excuses en bedreigingen benoemd
Odido erkent dat het incident onrust veroorzaakt. De onderneming biedt excuses aan aan klanten en partners. Daarbij zegt het management dat er sprake is van persoonlijke bedreigingen richting medewerkers.
Het bedrijf noemt die bedreigingen onacceptabel en vraagt om respect voor de mensen die het lek proberen op te lossen. Tegelijk belooft de directie regelmatige updates over het onderzoek. Het doel is herstel van vertrouwen met feiten in plaats van speculatie.
Odido zegt met interne teams en externe specialisten te werken aan een volledig beeld. Technische maatregelen worden opgeschaald waar dat nodig is. Ook wordt de klantenservice ingericht op veelgestelde vragen rond privacy, wachtwoorden en facturen.
“Het spijt ons. We begrijpen de zorgen. We zijn persoonlijk bedreigd en dat mag nooit gebeuren.”
Onzeker beeld van data
Het exacte type uitgelekte data is op het moment van schrijven nog in onderzoek. Klantdossiers bij telecombedrijven bevatten meestal naam- en adresgegevens, contactinformatie en contractgegevens. Soms staan daar ook icc- of simgegevens en betaalinformatie naast.
Het belangrijkste risico voor klanten is misbruik via phishing en identiteitsfraude. Aanvallers kunnen geloofwaardige nepmails sturen met bekende klantgegevens. Ook zogeheten sim-swapping, waarbij een crimineel een nieuw simkaartje op jouw nummer probeert te activeren, is een bekend risico.
Odido belooft per klantgroep te melden of hun gegevens geraakt zijn. Dat is cruciaal om gerichte maatregelen te nemen. Zonder die duidelijkheid blijft de onzekerheid onnodig groot.
AVG-meldplicht en toezicht
Onder de AVG moet een datalek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens (AP). Getroffen personen moeten “onverwijld” worden geïnformeerd als er een hoog risico is op misbruik. Dat betekent dat Odido helder moet maken wie precies geraakt is en wat zij zelf kunnen doen.
De wet eist ook passende technische en organisatorische maatregelen. Denk aan dataminimalisatie, versleuteling en strikte toegangsrechten. Hoe specifieker Odido die maatregelen kan uitleggen, hoe beter klanten risico’s kunnen inschatten.
De AP kan onderzoek doen en boetes opleggen als regels zijn geschonden. Daarnaast weegt mee of het bedrijf transparant is en snel herstelt. Goede documentatie van beslissingen en tijdlijnen is daarom essentieel.
NIS2 eist sterker toezicht
Telecom behoort tot de vitale digitale infrastructuur. De Europese NIS2-richtlijn vraagt om zwaardere eisen aan risicobeheer, incidentrespons en toeleveringsketens. Bestuurders moeten aantoonbaar toezicht houden op cyberbeveiliging.
In Nederland houdt de toezichthouder op digitale infrastructuur hierop toezicht, naast sectorale regels. Voor Odido betekent dit: periodieke risico-analyses, testen van noodprocedures en duidelijke afspraken met leveranciers. Ook loggen en monitoren moet op orde zijn om aanvallen snel te zien.
Deze plichten komen bovenop de AVG. Waar de AVG draait om privacy, richt NIS2 zich op continuïteit en weerbaarheid. Samen vormen ze de norm voor hoe telecombedrijven incidenten voorkomen en afhandelen.
Wat klanten nu kunnen doen
Wijzig wachtwoorden van het Odido-account en hergebruik geen wachtwoorden. Zet waar mogelijk tweestapsverificatie aan, ook voor e-mail en cloudopslag. Controleer bankafschriften en meld verdachte transacties direct bij de bank.
Wees extra alert op phishing via sms, e-mail en telefoon. Klik niet op links in onverwachte berichten en deel nooit pincode of volledige inloggegevens. Controleer afzenders en log in via de bekende website of app.
Vraag desnoods een markering aan bij de klantenservice als u bang bent voor sim-swapping. Extra identiteitscontrole bij simwissels kan helpen. Bewaar daarnaast een overzicht van verdachte berichten voor eventuele aangifte.
Transparantie en herstelplan
Voor duurzaam herstel is een helder tijdpad nodig: wat is gebeurd, wat is geraakt en welke maatregelen volgen wanneer. Een onafhankelijke audit en een publiek samenvattend rapport helpen vertrouwen terug te winnen. Klanten willen vooral weten welke concrete risico’s voor hén gelden.
Odido zegt te investeren in betere detectie, versleuteling en striktere toegangscontrole. Geautomatiseerde monitoring met algoritmen kan afwijkend gedrag sneller opsporen, maar moet goed worden ingericht en getest. Duidelijke rapportage over resultaten maakt die belofte toetsbaar.
Tot slot kan compensatie of hulp, zoals extra beveiligingsdiensten, aan de orde komen als schade aannemelijk is. Juridisch hangt dat af van de oorzaak en zorgplicht. Transparante communicatie blijft intussen de belangrijkste kortetermijnmaatregel.
