Simkaarten en adapters uitgestald op een display.
Nieuws14 juli · 00:104 min leestijd

ACM onderzoekt databescherming bij Odido na datalek

De ACM begint als derde toezichthouder een onderzoek naar de databescherming bij Odido, na het datalek van 6,2 miljoen klanten. Voor elk bedrijf met een klantenbestand verschuift de lat naar aantoonbaar passende maatregelen.

De ACM begint als derde toezichthouder een onderzoek naar de manier waarop Odido de persoonsgegevens van klanten beschermt, meldt de marktwaakhond, na het datalek waarbij data van 6,2 miljoen mensen op straat kwam.

Voor elk bedrijf dat klantgegevens beheert verschuift hiermee de lat. Rond één incident buigen zich nu drie toezichthouders én het Openbaar Ministerie, elk vanuit een eigen wet. De vraag is niet langer alleen óf je gehackt bent, maar of je kunt aantonen dat je beveiliging en je zorgplicht vooraf op orde waren. Aantoonbaar passende maatregelen nemen, en dat kunnen laten zien, wordt de norm waarop je wordt afgerekend.

Het logo van telecomprovider Odido, waar begin februari 2026 de gegevens van 6,2 miljoen klanten werden buitgemaakt. Bron: Odido / Wikimedia Commons (CC BY-SA 4.0)
Het logo van telecomprovider Odido, waar begin februari 2026 de gegevens van 6,2 miljoen klanten werden buitgemaakt. Bron: Odido / Wikimedia Commons (CC BY-SA 4.0)

Wat de ACM onderzoekt

De ACM toetst de maatregelen waarmee Odido klantdata beschermt. De kern is de zorgplicht: telecomaanbieders moeten persoonsgegevens op een passend niveau beschermen, zodat derden er geen toegang toe hebben. Die plicht staat in de Telecommunicatiewet en geldt voor iedere aanbieder.

Het gaat nadrukkelijk om een toets op de maatregelen zelf, niet om een boetebesluit. Welke sanctie Odido riskeert, is nog niet aan de orde. Dat maakt het onderzoek geen tandeloze exercitie: het antwoord op de vraag of de beveiliging destijds passend was, bepaalt of er later een handhavingstraject volgt.

Drie toezichthouders, elk een eigen wet

De ACM is niet de eerste. De AP en de RDI begonnen eerder dit jaar al met onderzoek; de marktwaakhond sluit nu als derde aan. Elke toezichthouder kijkt door een andere bril naar hetzelfde lek:

  • ACM: of Odido de zorgplicht rond databescherming uit de Telecommunicatiewet nakwam.
  • RDI (Rijksinspectie Digitale Infrastructuur): of de beveiliging van de systemen aan de technische eisen voldeed.
  • AP (Autoriteit Persoonsgegevens): of de bewaartermijnen van klantgegevens klopten onder de AVG.
  • OM: een strafrechtelijk onderzoek naar de daders.

Dat één datalek langs vier verschillende juridische kaders wordt gelegd, laat zien hoe breed de aansprakelijkheid rond klantdata inmiddels is. Een bedrijf hoeft niet alleen de privacywet op orde te hebben, maar ook de sectorregels en de technische beveiligingseisen die daaroverheen liggen.

De inbraak begon aan de balie

Het lek ontstond niet door een technisch gat in de firewall. Een oplichter praatte een klantenservicemedewerker de tweetrapscodes afhandig en drong zo de Salesforce-omgeving met klantgegevens binnen; de politie vermoedt Nederlandse daders. Buitgemaakt werden onder meer namen, adressen, telefoonnummers, e-mailadressen, IBAN-nummers en geboortedata, ook van mensen die al jaren geen klant meer waren. Nadat Odido weigerde losgeld te betalen, verscheen de dataset online.

Die herkomst is precies waarom de zorgplicht-toets van de ACM ertoe doet. Een aanval via een medewerker aan de telefoon raakt niet je technische muren, maar je processen: hoe je toegang inricht, hoe streng je uitgifte van codes is en hoe lang je oude gegevens bewaart. Dat zijn keuzes die je vooraf maakt, en die een toezichthouder achteraf kan beoordelen.

De lijn wordt strakker

Dat drie toezichthouders zich op één datalek storten, tekent een strengere handhavingslijn. Het kabinet werkt daarnaast aan een handelingskader dat voorschrijft wat organisaties na een groot datalek aan slachtoffers moeten communiceren. De aandacht verschuift van de vraag óf je getroffen bent naar de vraag of je vooraf de juiste maatregelen nam, en of je dat kunt bewijzen.

Voor elk bedrijf met een klantenbestand is dat de bruikbare les. Leg vast welke gegevens je bewaart, hoe lang, wie erbij kan en hoe je ze beveiligt. Precies dat is straks het eerste waar een toezichthouder naar vraagt, en het verschil tussen een incident dat je overkomt en een verwijt dat je aan te rekenen valt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Aantoonbaar op orde

Kun jij vandaag laten zien welke klantdata je bewaart, wie erbij kan en hoe die beveiligd is? Ik denk met je mee, ontwerp je datastromen en toegang en bouw ze end-to-end, self-hosted waar dat kan, zodat je zorgplicht niet alleen een belofte is maar aantoonbaar klopt.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Koude acquisitie na de opt-in wet van 2026: zo leg je toestemming aantoonbaar vast in je CRM
Gids
Uitgebreide gids10 min

8 jul 13:03

Koude acquisitie na de opt-in wet van 2026: zo leg je toestemming aantoonbaar vast in je CRM

Sinds 1 juli 2026 vervalt de klantrelatie als reden om te bellen: je hebt vooraf aantoonbare toestemming nodig. Een stappenplan om opt-in vast te leggen in je CRM, je koude lijst te filteren en je acquisitie om te bouwen.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Vijf toezichthouders dringen samen aan op digitale autonomie
Nieuws
3 min

10 jul 12:25

Vijf toezichthouders dringen samen aan op digitale autonomie

Voor het eerst roepen alle vijf toezichthouders, ACM, AFM, AP, DNB en RDI, bedrijven en overheid samen op om digitale autonomie te versnellen en bij IT-inkoop overstapbaarheid af te dwingen. Wat verandert er voor jou?

Politie vermoedt Nederlandse daders achter Odido-hack
Nieuws
3 min

9 jul 10:14

Politie vermoedt Nederlandse daders achter Odido-hack

De politie ziet sterke aanwijzingen dat Nederlandse criminelen achter de Odido-hack zitten, op basis van een opgenomen telefoongesprek. De inbraak begon niet met een technisch lek, maar met een oplichter aan de telefoon.

Kabinet bouwt handelingskader voor datalek-slachtoffers: dit moet jouw organisatie straks communiceren
Nieuws
5 min

23 jun 18:34

Kabinet bouwt handelingskader voor datalek-slachtoffers: dit moet jouw organisatie straks communiceren

Het kabinet werkt aan een handelingskader dat voorschrijft wat organisaties hun klanten moeten vertellen na een groot datalek. De Odido-hack was de aanleiding. Voor elk bedrijf met persoonsgegevens gaat de communicatielat omhoog.

De Odido Data-inbreuk: Een Diepgaande Analyse van AI-gedreven Cyberdreigingen en Preventiestrategieën
Inzicht
8 min

20 feb 20:06

De Odido Data-inbreuk: Een Diepgaande Analyse van AI-gedreven Cyberdreigingen en Preventiestrategieën

Een analyse van de Odido data-inbreuk (6,2 miljoen getroffenen). Dit artikel onderzoekt de risico's van Automated Social Engineering, de impact van AI op cybercriminaliteit en biedt strategische preventiekaders voor moderne organisaties.