De recente cyberaanval bij Odido in februari 2026, waarbij persoonsgegevens van miljoenen klanten in handen van criminelen zijn gekomen, laat opnieuw zien hoe groot de impact van datalekken bij kritieke dienstverleners kan zijn. Opvallend is dat Odido transparant en snel heeft gecommuniceerd over het incident, de mogelijke gevolgen en de maatregelen die worden genomen. Die openheid helpt klanten en organisaties om tijdig risico’s te begrijpen en passende acties te ondernemen. Tegelijkertijd brengt deze situatie nieuwe dreigingen met zich mee voor bedrijven die afhankelijk zijn van telecomdiensten of waarvan medewerkers klant zijn bij Odido.
⚠️ Update: Laatste ontwikkelingen (17 februari 2026)
Sinds de eerste melding van het datalek bij Odido zijn er nieuwe details naar buiten gekomen. Dit is wat we nu weten op basis van de laatste berichtgeving:
- Omvang en getroffen data: Odido heeft bevestigd dat de gegevens van circa 6,2 miljoen klanten (inclusief het dochtermerk Ben) zijn buitgemaakt. Het gaat om namen, adressen, geboortedata, IBAN-nummers, telefoonnummers en in sommige gevallen de nummers en geldigheidsdata van identiteitsbewijzen (paspoort of rijbewijs). Wachtwoorden en belhistorie zijn volgens Odido veilig gebleven.
- Oorzaak aanval: Volgens bronnen rondom het onderzoek wisten hackers toegang te krijgen tot de Salesforce-klantomgeving door middel van social engineering bij medewerkers. Criminelen wisten inloggegevens en 2FA-codes van helpdeskmedewerkers te bemachtigen, waardoor ze toegang kregen tot de systemen.
- Overschrijding bewaartermijn: Uit onderzoek van het Financieel Dagblad blijkt dat Odido gegevens van voormalige klanten veel langer bewaarde dan de eigen privacyvoorwaarden toestaan. Gegevens van klanten die al jaren weg waren (soms tot wel 10 jaar na contracteinde), zijn ook onderdeel van het lek, terwijl deze na twee jaar verwijderd hadden moeten zijn. De Autoriteit Persoonsgegevens (AP) onderzoekt deze overtreding.
- Extra veiligheidsmaatregelen: Odido heeft per direct strengere verificatieregels ingevoerd. Voor gevoelige wijzigingen, zoals het aanvragen van een nieuwe simkaart, worden nu extra controles uitgevoerd om identiteitsfraude (zoals SIM-swapping) te voorkomen.
- Compensatie: Hoewel er veel vragen zijn over schadevergoedingen, stelt Odido zich op het standpunt dat er (nog) geen sprake is van directe financiële compensatie, tenzij klanten aantoonbare financiële schade hebben geleden. Juridische experts waarschuwen dat collectieve claims in Nederland vaak een langdurig proces zijn.
De gevolgen voor zakelijke klanten
Op basis van de informatie die Odido zelf deelt, ligt het grootste risico niet in de continuïteit van de dienstverlening, maar in het mogelijke misbruik van gelekte persoonsgegevens. Omdat gegevens zoals naam, adres, contactgegevens, bankinformatie en in sommige gevallen identificatiegegevens zijn buitgemaakt, beschikken criminelen over sterke identiteitsinformatie. Hiermee kunnen zij zich overtuigend voordoen als klanten, leveranciers of dienstverleners. Voor organisaties betekent dit een verhoogd risico op gerichte social engineering, waarbij aanvallers proberen vertrouwen te winnen via bekende communicatiekanalen zoals telefoon, e-mail of berichtenapps.
Hoe kan dit datalek misbruikt worden?
Bij dit soort datalekken draait het misbruik vooral om identiteit, vertrouwen en toegang. Omdat de gelekte gegevens sterke persoonlijke informatie bevatten (contactgegevens, IBAN, mogelijk ID-gegevens), kunnen criminelen zich zeer geloofwaardig voordoen als echte personen of organisaties. Voor bedrijven ontstaan daardoor meerdere vormen van misbruik.
Identiteitsfraude
Criminelen kunnen zich voordoen als klanten, medewerkers, leveranciers of partners. Omdat ze beschikken over echte persoonsgegevens kunnen ze vertrouwen winnen bij helpdesks, supportafdelingen of financiële teams. Dit kan leiden tot ongeautoriseerde wijzigingen in accounts, contracten of contactgegevens. Voor bedrijven betekent dit dat verificatie op basis van standaard persoonsgegevens minder betrouwbaar wordt.
Gerichte phishing en social engineering
Met echte naam- en contactgegevens kunnen aanvallers zeer overtuigende berichten sturen via e-mail, sms, WhatsApp of telefoon. Dit kan gericht zijn op medewerkers, klanten of zakelijke contactpersonen. In plaats van algemene phishing worden aanvallen persoonlijk en contextueel, waardoor medewerkers sneller geneigd zijn te reageren of informatie te delen.
Factuurfraude en wijziging van betaalgegevens
Omdat bankrekeningnummers en identiteitsinformatie bekend kunnen zijn, kunnen criminelen financiële processen proberen te manipuleren. Ze kunnen bijvoorbeeld vragen om betaalgegevens te wijzigen, valse facturen sturen of zich voordoen als leverancier of dienstverlener. Dit raakt vooral inkoop- en administratieve processen en kan direct financiële schade veroorzaken.
Account overname en toegangsmisbruik
Persoonsgegevens worden vaak gebruikt bij account herstel of identiteitsverificatie. Aanvallers kunnen deze informatie gebruiken om wachtwoordresets aan te vragen, toegang tot accounts te krijgen of zich voor te doen als een legitieme gebruiker.
CEO-fraude
Met persoonlijke gegevens over leidinggevenden of contactpersonen kunnen aanvallers zich voordoen als managers of beslissers en dringende financiële of operationele verzoeken doen. Omdat de informatie echt lijkt, is de kans groter dat medewerkers handelen zonder extra controle.
Opbouw van uitgebreide profielen voor toekomstige aanvallen
Zelfs als gegevens niet direct worden misbruikt, kunnen ze worden gecombineerd met andere datalekken om uitgebreide profielen van personen of organisaties te maken. Deze informatie kan later worden gebruikt voor gerichte supply chain aanvallen, fraude of spionage.
Advies aan bedrijfsklanten van Odido
Voor organisaties die Odido gebruiken of waarvan medewerkers klant kunnen zijn, is het verstandig om het incident te behandelen als een verhoogde dreigingsperiode. De telecomdienst werkt nog, maar criminelen kunnen de gelekte gegevens gebruiken om vertrouwen te misbruiken.
Het kan geen kwaad om medewerkers proactief te informeren dat een belangrijke leverancier is getroffen door een datalek en dat zij mogelijk gerichter benaderd kunnen worden. Door transparant te communiceren voorkom je onzekerheid en vergroot je de kans dat medewerkers verdachte situaties herkennen.
Vraag medewerkers om extra alert te zijn op onverwachte telefoontjes, berichten of verzoeken waarbij persoonlijke informatie wordt gebruikt om vertrouwen te winnen. Leg uit dat aanvallers zich kunnen voordoen als Odido, banken, leveranciers, collega’s of interne afdelingen. Vooral verzoeken rond betalingen, accountwijzigingen of verificatiecodes verdienen extra aandacht.
Daarnaast is het verstandig om een duidelijk intern meldpunt aan te wijzen waar medewerkers verdachte communicatie direct kunnen rapporteren. Een laagdrempelig meldproces zorgt ervoor dat signalen snel zichtbaar worden en voorkomt dat incidenten onopgemerkt blijven.
Ook helpt het om tijdelijk extra nadruk te leggen op verificatieprocedures. Medewerkers moeten weten dat het altijd toegestaan is om verzoeken te controleren via een tweede kanaal of om extra bevestiging te vragen, zeker bij financiële of accountgerelateerde handelingen.
Tot slot is het belangrijk om de menselijke kant te benadrukken: medewerkers hoeven geen security-experts te zijn, maar hun alertheid kan wel het verschil maken.
Conclusie
De manier waarop Odido het incident communiceert verdient erkenning. Door snel duidelijkheid te geven over de aard van het lek en de mogelijke risico’s, stelt het bedrijf klanten en partners in staat om tijdig maatregelen te nemen. Tegelijkertijd laat dit incident zien dat cyberaanvallen zelden beperkt blijven tot één organisatie. In een sterk verbonden digitale economie kunnen incidenten bij één partij doorwerken in de hele keten. Voor bedrijven is het daarom essentieel om niet alleen hun eigen beveiliging te monitoren, maar ook de risico’s die ontstaan bij leveranciers en dienstverleners waarvan zij afhankelijk zijn.
Voor organisaties die hun digitale weerbaarheid willen versterken, betekent dit dat continue monitoring van leveranciers en hun cyberincidenten steeds belangrijker wordt. Inzicht in incidenten bij kritieke partijen helpt bedrijven om sneller risico’s te herkennen en proactief maatregelen te nemen voordat schade ontstaat. Juist bij incidenten zoals deze wordt duidelijk hoe belangrijk zicht op de supply chain is voor effectieve risicobeheersing.
