In februari 2026 werd Odido getroffen door het grootste datalek uit de Nederlandse geschiedenis. Gegevens van 6,2 miljoen klantaccounts kwamen op straat β namen, adressen, IBAN-nummers, geboortedatums en paspoortnummers. Geen BSN-nummers, geen wachtwoorden, geen volledige ID-scans β maar wΓ©l precies de combinatie waarmee criminelen overtuigende oplichting kunnen plegen. Wat kunnen bedrijven hiervan leren?
π° Wat gebeurde er precies?
Tijdlijn
- Weekend 7β8 februari 2026 β aanvallers krijgen toegang tot het klantcontactsysteem
- 12 februari 2026 β Odido maakt het datalek publiek
- 26 februari 2026 β hackgroep ShinyHunters publiceert eerste deel van de data na weigering losgeld
- 1 maart 2026 β volledige dataset (~21 miljoen regels) in één keer online gezet
- Maart 2026 β AP en RDI starten onderzoek naar bewaartermijnen en beveiliging
De aanvalsmethode
Geen technische hack in traditionele zin. Criminelen van de groep ShinyHunters stalen via phishing inloggegevens van medewerkers van externe callcenters (Concentrix en Vanad Interactions). Vervolgens belden ze deze medewerkers op, deden zich voor als de IT-afdeling van Odido, en overtuigden hen hun MFA-code goed te keuren. Eenmaal binnen downloadden ze via geautomatiseerde web scraping klantdata uit het CRM-systeem.
De impact
- π ~6,2 miljoen klantaccounts getroffen (incl. klanten van Ben)
- π Gelekt: namen, adressen, telefoonnummers, e-mailadressen, IBAN, geboortedatum, paspoortnummer + geldigheidsdatum, klantnummer, codewoorden helpdesk
- π NΓet gelekt: BSN-nummers, inlogwachtwoorden, volledige ID-scans, locatiegegevens, factuurgegevens
- β° Ook gegevens van oud-klanten gelekt die al jaren geen abonnement meer hadden
- π° ShinyHunters vroeg losgeld van miljoenen euro's β Odido weigerde te betalen
β οΈ Belangrijk
Dit artikel beschrijft een actueel incident van slechts twee maanden geleden. Het AP- en RDI-onderzoek loopt nog. Er zijn per april 2026 geen boetes opgelegd. Dit artikel wordt bijgewerkt zodra er nieuwe officiΓ«le informatie beschikbaar is.
π Les 1: de mens is de zwakste schakel, niet de firewall
De aanval begon niet met een technische kwetsbaarheid maar met een medewerker die een telefoontje aannam. Social engineering β iemand overtuigen iets te doen β is goedkoper en effectiever dan technisch inbreken.
De aanvallers gebruikten een klassieke combinatie:
- Phishing-mail om inloggegevens te stelen
- Telefonisch contact waarbij ze zich voordeden als IT-afdeling
- Overtuigen van de medewerker om MFA goed te keuren
- Toegang tot het CRM-systeem met legitieme credentials
Wat kun je doen?
- β Train medewerkers actief op phishing en social engineering
- β Verificatieprotocol voor IT-verzoeken per telefoon ("bel altijd terug via het officiΓ«le nummer")
- β MFA-hardening β gebruik hardware keys of authenticator apps, geen SMS
- β Beperk toegang tot klantdata strikt op need-to-know basis
π‘ Relevantie voor CleanInternet.nl
DNS-filtering blokkeert phishing-sites voordat medewerkers ΓΌberhaupt op een kwaadaardige link klikken. Dit voorkomt de eerste stap van de aanval.
π Les 2: externe medewerkers zijn onderdeel van jouw aanvalsoppervlak
De getroffen medewerkers werkten voor externe callcenters, niet voor Odido zelf. Toch hadden ze toegang tot 6,2 miljoen klantrecords. Dit is een klassiek probleem van derde-partij toegangsbeheer.
Wanneer je externe partijen toegang geeft tot je systemen, worden hun beveiligingsproblemen jouw beveiligingsproblemen.
Wat kun je doen?
- β Beoordeel welke toegang externe partijen Γ©cht nodig hebben (minimale rechten)
- β Netwerksegmentatie β isoleer externe toegang van je volledige klantsysteem
- β Contractueel vastleggen welke beveiligingseisen gelden voor leveranciers
- β Monitoring van externe toegang β detecteer afwijkend gedrag zoals bulkdownloads
βοΈ NIS2-koppeling
De Cyberbeveiligingswet verplicht organisaties om de beveiliging van hun supply chain te beoordelen. Externe callcenters met toegang tot je CRM vallen daar onder.
π Les 3: detectie faalde β 100 GB data verdween onopgemerkt
Bijna 100 gigabyte aan klantdata werd via geautomatiseerde scraping gedownload. Dat had detectiesystemen moeten triggeren β maar dat deed het niet tijdig.
Dit is een fundamenteel probleem: veel bedrijven investeren in preventie (firewalls, antivirus) maar niet in detectie. Als een aanvaller eenmaal binnen is, merkt niemand het.
Wat kun je doen?
- β Stel alerts in op ongebruikelijke data-exports of bulkdownloads
- β Behavioral analysis β detecteer afwijkend gebruikersgedrag (bijv. een medewerker die ineens miljoenen records opvraagt)
- β Logging van alle toegang tot klantdata, inclusief externe gebruikers
- β Regelmatige penetratietests op je CRM en klantcontactsystemen
π‘ Hoe CleanInternet.nl had kunnen helpen
Fase 1 - Phishing: DNS-filtering had de phishing-site geblokkeerd voordat de medewerker erop kon klikken. Bij CleanInternet.nl worden kwaadaardige sites automatisch geblokkeerd op basis van realtime threat intelligence.
Fase 2 - Data-exfiltratie: Netwerkmonitoring had de 100GB outbound traffic kunnen detecteren. Bij CleanInternet.nl zie je in real-time welke datastromen er lopen en krijg je alerts bij ongebruikelijk grote uploads of downloads.
Belangrijk: Dit had de social engineering niet voorkomen, maar wel de schade beperkt door snellere detectie en blokkering van de eerste aanvalsfase.
π Les 4: bewaar alleen wat je echt nodig hebt
Een van de pijnlijkste aspecten: ook oud-klanten van jaren geleden waren getroffen. Odido stelde maximaal twee jaar te bewaren, maar de praktijk bleek anders. De AP onderzoekt momenteel of de bewaartermijnen zijn overschreden.
Dit is een klassiek probleem: bedrijven bewaren data "voor het geval dat", maar vergeten het op te ruimen. Bij een datalek betaal je daar de prijs voor.
Wat kun je doen?
- β Documenteer voor elk type data hoe lang je het bewaart en waarom
- β Automatiseer het verwijderen van data na de bewaartermijn
- β Dataminimalisatie β sla niet meer op dan noodzakelijk (AVG-verplichting)
- β Controleer regelmatig of oude klantdata nog aanwezig is
βοΈ Juridische noot
Onder de AVG is het bewaren van data langer dan noodzakelijk een overtreding, los van of er een lek plaatsvindt. De AP kan hier zelfstandig op handhaven.
π Les 5: incident response en communicatie bepalen je reputatie
De communicatie van Odido werd breed bekritiseerd: tegenstrijdige berichten, een SMS met een link (precies wat criminelen ook sturen), en oud-klanten die pas via journalisten hoorden dat hun data gelekt was.
Bij een datalek is hoe je reageert minstens zo belangrijk als wat er is gebeurd. Goede communicatie kan vertrouwen herstellen; slechte communicatie maakt het alleen maar erger.
Wat kun je doen?
- β Incident response plan β documenteer stap-voor-stap wat te doen bij een breach
- β Communicatielijnen β wie communiceert wat naar klanten, pers, toezichthouders?
- β Communiceer nooit via SMS met links β dat schept verwarring met phishing
- β Ken je experts vooraf β forensische experts, advocaten, PR-bureau
Tools voor incident response
Goede communicatie tijdens een crisis vereist de juiste tools. Organisaties met kritieke dienstverlening gebruiken gespecialiseerde platforms zoals CrisisRadar β een Nederlands AI-platform dat je ondersteunt met slimme suggesties voor crisiscommunicatie.
Je blijft zelf in controle, maar de AI helpt je sneller de juiste woorden te vinden voor verschillende doelgroepen en kanalen. Van social media tot persberichten β alles vanuit één platform. Ook voor bedrijven kan dit waardevol zijn bij incident response.
β° NIS2 meldplicht
De Cyberbeveiligingswet verplicht een getrapt meldproces: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur, eindrapport binnen een maand. Zonder voorbereid incident response plan is dit vrijwel onmogelijk.
π Hoe CleanInternet.nl helpt
CleanInternet.nl had de Odido-aanval niet volledig voorkomen β de aanval liep via social engineering van menselijke medewerkers. Maar meerdere lagen hadden de schade kunnen beperken:
| Aanvalsfase | Wat CleanInternet.nl doet |
|---|---|
| Phishing-link in mail | DNS-filtering blokkeert de kwaadaardige site |
| Data-exfiltratie via netwerk | Monitoring detecteert ongebruikelijke outbound traffic |
| C2-communicatie malware | C2-server blokkering voorkomt terugkoppeling |
| Bewijs na incident | Logging biedt forensisch bewijs |
Belangrijk: Netwerkbeveiliging is één laag. Je hebt ook training, toegangsbeheer, encryptie en incident response nodig. Geen enkele oplossing voorkomt alles β maar meerdere lagen samen maken het aanvallers veel moeilijker.
β Conclusie
Het Odido-datalek laat zien dat de grootste dreiging niet uit een technische hack komt, maar uit een medewerker die een overtuigend telefoontje aanneemt. Technische maatregelen zijn noodzakelijk maar niet voldoende β bewustwording, toegangsbeheer en goede detectie zijn minstens zo belangrijk.
Voor MKB-bedrijven zijn de lessen helder: beperk toegang, train mensen, detecteer afwijkingen snel, en weet wat je moet doen als het toch misgaat.
Het goede nieuws: je hoeft niet de fouten van Odido te herhalen. Leer van wat er mis ging, en zorg dat jouw bedrijf beter voorbereid is.
