Het megagrote datalek bij Odido eerder deze maand kan haast niet onopgemerkt zijn gebleven. De hack heeft een grote invloed op ruim 6,2 miljoen klanten. Het is uniek dat van zo’n grote groep gebruikers zoveel gebundelde klantgegevens zijn uitgelekt. Van NAW-gegevens tot het e-mailadres en van geboortedatums tot paspoortnummers. “Het is een goudmijn voor criminelen”, aldus de NOS (2026).

Hoe kon dit gebeuren?

De grote vraag is natuurlijk: hoe heeft dit kunnen gebeuren? Had Odido dit kunnen voorkomen? En hebben ze gefaald in het bewaren van persoonsgegevens? Mondjesmaat weten we vandaag de dag al steeds meer antwoorden op deze vragen en ze zijn niet geruststellend.

Zo blijkt dat de criminelen bij Odido een wachtwoord hadden weten te bemachtigen. Vervolgens belden ze deze medewerkers op en deden ze zich voor als de ICT-afdeling van Odido om zo de tweestapsverificatie te omzeilen (Schellevis, 2026). Een relatief simpele manier, waarbij de mens wederom de zwakke schakel is gebleken (Van Klinken, 2026). Ook blijkt nu dat Odido klantgevevens langer heeft bewaard dan Odido’s eigen privacyverklaring en worden er vraagtekens gezet bij überhaupt de wijze waarop zoveel persoonsgegevens in één dataset kunnen staan (Snijders, 2026).

Eigenlijk kunnen we wel stellen dat Odido fout op fout heeft gemaakt. Om nog maar te zwijgen over de slechte communicatie naar de getroffen slachtoffers in de nasleep hiervan. Hoe kun je nou als telecomprovider een SMS sturen met een link naar de website voor meer informatie. Juist deze truc is geliefd bij criminelen (Vandaag Inside & Maasland, 2026).

Megaboete voor megadatalek?

Het wordt een interessant dossier voor de medewerkers van de Autoriteit Persoonsgegevens in de komende maanden. Voorgenoemde belooft namelijk niet veel goeds voor Odido. De maximale boete die volgens de AVG afgegeven kan worden bedraagt 4% over de totale wereldwijde jaaromzet (AP, z.d.). Met een jaaromzet van 2,3 miljard euro in 2024 kan dit dus oplopen tot een slordige boete van maximaal 92 miljoen euro (Telecompaper, 2025). Hopelijk heeft het bedrijfsleven haar lesje geleerd en worden ook op andere plekken de nodige stappen gezet.

De rol van de accountant

Ik denk dat deze casus ook maar weer het belang van de controlerend accountant laat zien. In een steeds verder digitaliserende wereld is het van belang dat onze klanten digitaal weerbaar zijn. 100% weerbaarheid is een illusie, maar meer aandacht voor cyber in de controle-aanpak, eindbesprekingen en het accountantsverslag kan mijns inziens geen kwaad.

Wijs je klanten bijvoorbeeld op de nieuwe Cyberbeveiligingswet die naar verwachting vanaf Q2 2026 in zal gaan. Onder deze wet kunnen bestuurders namelijk persoonlijk aansprakelijk worden gesteld (CCR, 2025). Dit is nogal een ingreep en zal ongetwijfeld bestuurders wakker schudden in hun aanpak richting cyber. Weet dat jij hier als accountant, als behoeder van het maatschappelijk verkeer, een bepalende rol in kan spelen.

Bronnen:

1. (z.d.). Boetes en andere sancties van de AP. Autoriteit Persoonsgegevens. Geraadpleegd op 21 februari 2026, van https://www.autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens/boetes-en-andere-sancties-van-de-ap

CCR. (2025). Handreiking Cybersecurity voor bestuurders en bedrijfseigenaren. https://www.cybersecurityraad.nl/site/binaries/site-content/collections/documents/2025/06/04/handreiking-cybersecurity-voor-bestuurders-en-bedrijfseigenaren/22092025-bkb-csr-handreiking-v10-digitaal.pdf

NOS. (2026, 13 februari). Gestolen data bij Odido zijn “goud waard voor criminelen”. https://nos.nl/artikel/2602162-gestolen-data-bij-odido-zijn-goud-waard-voor-criminelen

Schellevis, J. (2026, 13 februari). Odido-hackers kwamen binnen via phishing, deden zich voor als ICT-afdeling. NOS. https://nos.nl/artikel/2602283-odido-hackers-kwamen-binnen-via-phishing-deden-zich-voor-als-ict-afdeling

Snijders, A. (2026, 17 februari). Odido bewaart klantengegevens langer dan toegestaan: datalek treft veel oud-klanten. BNR. https://www.bnr.nl/nieuws/tech-innovatie/10594279/odido-bewaart-klantengegevens-langer-dan-toegestaan-datalek-treft-veel-oud-klanten

Telecompaper. (2025, 20 mei). Odido omzet groeit naar EUR 2,3 miljard in 2024, sims naar 7,3 miljoen. Telecompaper. https://www.telecompaper.com/nieuws/odido-omzet-groeit-naar-eur-23-miljard-in-2024-sims-naar-73-miljoen–1536980

Van Klinken, E. (2026, 13 februari). Odido-hack was resultaat van phishing: mens is zwakke schakel. Techzine.nl. https://www.techzine.nl/nieuws/security/575065/odido-hack-was-resultaat-van-phishing-mens-is-zwakke-schakel/

Vandaag Inside, & Maasland, D. (2026, 13 februari). Datalek bij Odido: alles wat je moet weten. “Hier moet je alert op zijn” | VANDAAG INSIDE [Video]. YouTube. https://www.youtube.com/watch?v=ivhtdt-xZTo