De ACM begint als derde toezichthouder een onderzoek naar de manier waarop Odido de persoonsgegevens van klanten beschermt, meldt de marktwaakhond, na het datalek waarbij data van 6,2 miljoen mensen op straat kwam.
Voor elk bedrijf dat klantgegevens beheert verschuift hiermee de lat. Rond één incident buigen zich nu drie toezichthouders én het Openbaar Ministerie, elk vanuit een eigen wet. De vraag is niet langer alleen óf je gehackt bent, maar of je kunt aantonen dat je beveiliging en je zorgplicht vooraf op orde waren. Aantoonbaar passende maatregelen nemen, en dat kunnen laten zien, wordt de norm waarop je wordt afgerekend.

Wat de ACM onderzoekt
De ACM toetst de maatregelen waarmee Odido klantdata beschermt. De kern is de zorgplicht: telecomaanbieders moeten persoonsgegevens op een passend niveau beschermen, zodat derden er geen toegang toe hebben. Die plicht staat in de Telecommunicatiewet en geldt voor iedere aanbieder.
Het gaat nadrukkelijk om een toets op de maatregelen zelf, niet om een boetebesluit. Welke sanctie Odido riskeert, is nog niet aan de orde. Dat maakt het onderzoek geen tandeloze exercitie: het antwoord op de vraag of de beveiliging destijds passend was, bepaalt of er later een handhavingstraject volgt.
Drie toezichthouders, elk een eigen wet
De ACM is niet de eerste. De AP en de RDI begonnen eerder dit jaar al met onderzoek; de marktwaakhond sluit nu als derde aan. Elke toezichthouder kijkt door een andere bril naar hetzelfde lek:
- ACM: of Odido de zorgplicht rond databescherming uit de Telecommunicatiewet nakwam.
- RDI (Rijksinspectie Digitale Infrastructuur): of de beveiliging van de systemen aan de technische eisen voldeed.
- AP (Autoriteit Persoonsgegevens): of de bewaartermijnen van klantgegevens klopten onder de AVG.
- OM: een strafrechtelijk onderzoek naar de daders.
Dat één datalek langs vier verschillende juridische kaders wordt gelegd, laat zien hoe breed de aansprakelijkheid rond klantdata inmiddels is. Een bedrijf hoeft niet alleen de privacywet op orde te hebben, maar ook de sectorregels en de technische beveiligingseisen die daaroverheen liggen.
De inbraak begon aan de balie
Het lek ontstond niet door een technisch gat in de firewall. Een oplichter praatte een klantenservicemedewerker de tweetrapscodes afhandig en drong zo de Salesforce-omgeving met klantgegevens binnen; de politie vermoedt Nederlandse daders. Buitgemaakt werden onder meer namen, adressen, telefoonnummers, e-mailadressen, IBAN-nummers en geboortedata, ook van mensen die al jaren geen klant meer waren. Nadat Odido weigerde losgeld te betalen, verscheen de dataset online.
Die herkomst is precies waarom de zorgplicht-toets van de ACM ertoe doet. Een aanval via een medewerker aan de telefoon raakt niet je technische muren, maar je processen: hoe je toegang inricht, hoe streng je uitgifte van codes is en hoe lang je oude gegevens bewaart. Dat zijn keuzes die je vooraf maakt, en die een toezichthouder achteraf kan beoordelen.
De lijn wordt strakker
Dat drie toezichthouders zich op één datalek storten, tekent een strengere handhavingslijn. Het kabinet werkt daarnaast aan een handelingskader dat voorschrijft wat organisaties na een groot datalek aan slachtoffers moeten communiceren. De aandacht verschuift van de vraag óf je getroffen bent naar de vraag of je vooraf de juiste maatregelen nam, en of je dat kunt bewijzen.
Voor elk bedrijf met een klantenbestand is dat de bruikbare les. Leg vast welke gegevens je bewaart, hoe lang, wie erbij kan en hoe je ze beveiligt. Precies dat is straks het eerste waar een toezichthouder naar vraagt, en het verschil tussen een incident dat je overkomt en een verwijt dat je aan te rekenen valt.
Veelgestelde vragen
Aantoonbaar op orde
Kun jij vandaag laten zien welke klantdata je bewaart, wie erbij kan en hoe die beveiligd is? Ik denk met je mee, ontwerp je datastromen en toegang en bouw ze end-to-end, self-hosted waar dat kan, zodat je zorgplicht niet alleen een belofte is maar aantoonbaar klopt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

