De Odido-hack: wat er misging en wat het zegt over cybersecurity in Nederland

Het is inmiddels een van de grootste datalekken in de Nederlandse geschiedenis. In het weekend van 7 en 8 februari 2026 wisten hackers van de beruchte groep ShinyHunters binnen te dringen in de systemen van Odido. De gegevens van ruim 6,2 miljoen klanten van Odido en dochteronderneming Ben zijn daarbij buitgemaakt. Dat is meer dan een derde van de Nederlandse bevolking.

Hoe het kon gebeuren

Je zou verwachten dat een groot telecombedrijf zijn systemen hermetisch heeft afgesloten. Maar de aanval was geen geavanceerde technische operatie. De hackers maakten gebruik van phishing en social engineering om toegang te krijgen tot een Salesforce-omgeving waarin klantgegevens waren opgeslagen. Ze manipuleerden medewerkers om inloggegevens af te geven, waarna ze toegang kregen tot het volledige klantcontactsysteem. Geen firewall ter wereld beschermt je tegen een medewerker die goedwillig zijn wachtwoord doorgeeft.

Wat er precies is gelekt

De dataset is zorgwekkend breed. Het gaat om namen, adressen, e-mailadressen, telefoonnummers, geboortedata, bankrekeningnummers en nummers van identiteitsbewijzen. Maar wat de situatie extra ernstig maakt, zijn de interne klantnotities die ook zijn buitgemaakt. Notities bedoeld voor intern gebruik zijn nu in handen van criminelen. Odido had dit aanvankelijk niet aan klanten laten weten en leek zelf ook verrast dat deze informatie onderdeel uitmaakte van de gestolen data.

Losgeld betalen of niet

ShinyHunters eiste een bedrag van meer dan een miljoen euro en gaf Odido een deadline tot 26 februari. Odido weigerde te betalen, op advies van cybersecurityexperts en overheidsinstanties, omdat onderhandelen met criminelen criminaliteit stimuleert. Op zich een principieel en verdedigbaar standpunt. Maar de gevolgen zijn concreet en pijnlijk: volgens Security.nl begonnen de hackers daarna data te publiceren op het dark web, waarbij op 26 februari de gegevens van zo’n 430.000 personen en 290.000 bedrijven openbaar verschenen.

Of Odido de juiste keuze heeft gemaakt valt te betwisten. De reputatieschade, juridische risico’s en maatschappelijke impact zijn aanzienlijk. Tegelijkertijd is het ook zo dat betalen geen garantie geeft dat criminelen de data verwijderen of niet opnieuw toeslaan.

Wat dit betekent voor getroffen klanten

De directe risico’s zijn serieus. Met een combinatie van naam, adres, geboortedatum, bankrekeningnummer en paspoortnummer kunnen criminelen zeer geloofwaardige phishingaanvallen uitvoeren, identiteitsfraude plegen of nep-incasso’s versturen. Het Centraal Meldpunt Identiteitsfraude zag het aantal meldingen in korte tijd meer dan verdubbelen.

Als compensatie biedt Odido twee jaar gratis toegang tot F-Secure beveiligingssoftware aan. Dat is beter dan niets, maar het lost het kernprobleem niet op: je geboortedatum en paspoortnummer kun je niet zomaar wijzigen.

De les die niemand wil trekken

De Odido-hack is geen incident. Het is een symptoom. Bedrijven met enorme hoeveelheden klantdata investeren structureel te weinig in twee dingen: het beperken van toegangsrechten en het trainen van medewerkers op social engineering. In dit geval hadden klantenservicemedewerkers toegang tot een systeem met data van miljoenen mensen, en was het mogelijk om via phishing die toegang te onderscheppen.

De technische beveiliging was waarschijnlijk prima in orde. Maar menselijke handelingen vallen buiten het bereik van techniek, tenzij je systemen zodanig ontwerpt dat één gecompromitteerd account niet direct toegang geeft tot de volledige klantendatabase. Dat principe, least privilege access, is al jaren bekend en wordt nog altijd stelselmatig genegeerd in de praktijk. Met exposure management breng je structureel in kaart waar je organisatie kwetsbaar is, voordat een aanvaller dat doet.

Wat je nu het beste kunt doen als bedrijf

Als klant van Odido of Ben: ga uit van het worst case scenario, controleer je accounts en wees extra alert op verdachte berichten die persoonlijke informatie bevatten. Zet tweefactorauthenticatie aan op al je belangrijke accounts.

Als organisatie is dit het moment om je eigen beveiliging kritisch te bekijken. Wie heeft toegang tot welke systemen? Zijn die rechten nog proportioneel? Weet je hoe je medewerkers reageren als iemand belt die zegt van de IT-afdeling te zijn? Een penetratietest geeft je een eerlijk beeld van waar je organisatie kwetsbaar is, inclusief de menselijke kant. En voor organisaties die continu inzicht willen in wat er op hun netwerk gebeurt, biedt een Security Operations Center de monitoring en detectie die je nodig hebt om snel in te grijpen als er iets misgaat.

De hack bij Odido laat zien dat geen enkel bedrijf immuun is. De kwetsbaarheid zit zelden in de techniek. Het zit hem in mensen, processen en de aanname dat het met ons wel los zal lopen. Die aanname klopt niet.