Datalek bij Odido: wat betekent deze cyberaanval voor jouw organisatie?
Odido heeft bekendgemaakt dat het in het weekend van 7 en 8 februari 2026 is getroffen door een cyberincident waarbij persoonsgegevens van miljoenen (oud-)klanten zijn buitgemaakt. Volgens berichtgeving gaat het onder meer om naam- en adresgegevens, contactgegevens en klantinformatie.
Het datalek bij Odido roept vanzelfsprekend vragen op bij betrokken klanten. Maar minstens zo relevant is de vraag die dit incident oproept voor andere organisaties: Wat betekent het als zelfs een grote telecomaanbieder slachtoffer wordt van een cyberaanval?
Datalek bij Odido: één weekend, langdurige gevolgen
Volgens Odido vond de ongeautoriseerde toegang plaats in één weekend. Dat onderstreept hoe snel een digitale inbreuk zich kan voltrekken. De gevolgen beperken zich echter zelden tot die paar dagen.
Het datalek zet vrijwel onmiddellijk een keten van juridische en organisatorische verplichtingen in werking. Er moet onderzoek worden gedaan naar de aard en omvang van het incident, beoordeeld worden of melding aan de Autoriteit Persoonsgegevens (AP) noodzakelijk is en, indien sprake is van een hoog risico, betrokkenen moeten worden geïnformeerd. Tegelijkertijd ontstaat reputatiedruk en groeit het risico op aansprakelijkheidsclaims.
Een incident dat technisch gezien kort duurt, kan daardoor maandenlange impact hebben.
AVG en datalekken: jouw juridische zorgplicht
Wanneer persoonsgegevens worden buitgemaakt, komt de Algemene Verordening Gegevensbescherming (AVG) direct in beeld. Artikel 32 AVG verplicht organisaties om passende technische en organisatorische maatregelen te treffen. Die verplichting is risicogebaseerd. Er wordt gekeken naar:
- de aard en omvang van de gegevensverwerking;
- de gevoeligheid van de gegevens;
- de risico’s voor betrokkenen; en
- de stand van de techniek.
Bij een cyberaanval wordt altijd achteraf gekeken of die maatregelen daadwerkelijk passend waren. Niet of absolute veiligheid is gegarandeerd, maar of aantoonbaar serieus werk is gemaakt van digitale weerbaarheid.
Het aansprakelijkheidsrisico bij een datalek kan aanzienlijk zijn. Op grond van artikel 82 AVG kunnen betrokkenen schadevergoeding vorderen, ook voor immateriële schade.
NIS2 en cybersecurity: bestuurders zijn verantwoordelijk
Met de komst van NIS2 is cybersecurity nadrukkelijk een governancevraagstuk geworden. Voor organisaties die onder deze richtlijn vallen, rust er een expliciete verantwoordelijkheid op het bestuur om toezicht te houden op risicobeheer en beveiligingsmaatregelen.
Dat betekent dat digitale weerbaarheid niet langer uitsluitend bij IT ligt. Het is onderdeel van strategisch risicomanagement. Bestuurders moeten weten welke risico’s er zijn, welke maatregelen zijn genomen en hoe wordt gehandeld wanneer zich een incident voordoet.
In een eerdere blog over de NIS2-richtlijn en cybersecurityverplichtingen heb ik uitgebreid uiteengezet welke organisaties onder de richtlijn vallen, welke zorgplichten gelden en welke sancties kunnen worden opgelegd bij niet-naleving.
Digitale weerbaarheid is risicobeheersing
Het gaat niet om de vraag of jouw organisatie ooit wordt aangevallen. Die kans is reëel. De vraag is of je kunt aantonen dat je er alles aan hebt gedaan om risico’s te beperken en schade te voorkomen.
Is jouw risicoanalyse actueel? Is duidelijk vastgelegd welke beveiligingsmaatregelen zijn getroffen en waarom die passend zijn? Weet het bestuur wat haar rol is bij een cyberincident? En ligt er een werkbaar plan klaar voor het moment dat het misgaat?
Als die vragen niet overtuigend kunnen worden beantwoord, is dit het moment om daar kritisch naar te kijken.
Wil je weten of jouw organisatie juridisch voorbereid is op een datalek?
Wachten tot zich een incident voordoet is geen strategie. Juridische voorbereiding vooraf maakt het verschil tussen beheersbare schade en langdurige problemen.
Wil je weten of jouw organisatie juridisch voorbereid is op een cyberincident? Dan is dit het moment om jouw digitale weerbaarheid kritisch te laten toetsen. Neem vandaag nog contact op voor een vrijblijvend adviesgesprek over privacy & cybersecurity met mij of één van mijn andere collega’s gespecialiseerd in privacyrecht.
