Uw directie stond op de lijst — wat het Odido-lek onthult over uw eigen datakluis

TLDR

Ransomware-as-a-Service maakt supply chain-aanvallen schaalbaar — uw continuïteit hangt af van de zwakste schakel in uw keten.

Wat is er gebeurd?

Niet 6,2 miljoen accounts — 17 miljoen dataregels, zestien jaar bewaard. Odido's eigen directie stond erin. Op 3 maart 2026 bevestigde Odido dat bij een cyberaanval gegevens van klanten waren buitgemaakt. RTL Nieuws onthulde vervolgens de werkelijke omvang: geen 6,2 miljoen accounts, maar 17 miljoen dataregels. Gegevens die teruggaan tot 2010. Zestien jaar aan informatie die — op grond van Odido's eigen privacyverklaring — al jaren had moeten zijn vernietigd.

Waarom dit ertoe doet

De lijst bevatte een naam die er niet in had mogen staan: de CEO van Odido zelf. Als de architecten van het systeem zichzelf niet beschermen, is het systeem kapot. Dit is geen verhaal over een zwakke firewall — het is een verhaal over een bedrijfsmodel dat data behandelt als bezit, zonder te erkennen dat bezit ook verplichting inhoudt. Mijn forensische analyse van de gelekte dataset toont 5,5 miljoen "digital zombies": voormalige Odido-klanten van wie het contract al jaren geleden afliep, maar wiens volledige klantprofiel intact was gebleven. Naam, adres, geboortedatum, BSN, paspoortkopie — bewaard tot 2010 terug, in structurele strijd met Odido's eigen beleid.

Kamerdossier 2026Z04148/2026D09561 becijfert de maatschappelijke schadelast op €6,3 miljard per jaar. Conservatief. De financiële impact per gelekt record: €155 gemiddeld (IBM Cost of a Data Breach Report 2024).

Beleidscontext

Naast de operationele en financiële dimensie openbaart het Odido-lek een juridisch vraagstuk dat de hele markt raakt: de grondslag waarop Nederlandse organisaties al jaren paspoortkopieën verzamelen en bewaren is juridisch zwakker dan aangenomen. Artikel 33 van de Wwft verplicht organisaties de identiteit van klanten vast te stellen. Wat de wet niet vereist — en dit is juridisch cruciaal — is dat een kopie van het identiteitsbewijs wordt bewaard. AVG artikel 5 — het dataminimalisatiebeginsel — verbiedt het bewaren van meer gegevens dan noodzakelijk.

Wetsvoorstel 2026Z04148 — op 13 maart 2026 geaccepteerd door de Commissie Digitale Zaken — beoogt het Check Don't Store-principe wettelijk afdwingbaar te maken. De EUDI Wallet, die eind 2026 in Nederland verplicht wordt, biedt de technische infrastructuur voor precies dit model.

Wat kunt u morgen doen?

• Audit uw identiteitsgegevens. Welke persoonsdocumenten bewaart u? Van wie, en waarom? Wat is de juridische grondslag per categorie?
• Confronteer uw retentiebeleid met de werkelijkheid. Uw privacyverklaring belooft iets. Uw systemen doen mogelijk iets anders — al jarenlang.
• Verken alternatieven voor kopie-opslag. iDIN, DigiD en eIDAS bieden vandaag al verificatie-oplossingen die identiteit bevestigen zonder documentopslag.
• Begin nu met EUDI Wallet-voorbereiding. De verplichting treedt eind 2026 in werking. Organisaties die nu beginnen, vermijden een rush-implementatie.