Datalekmanagement: welke lessen kunnen organisaties leren van Odido?

Afgelopen maand werd duidelijk dat ook grote organisaties kwetsbaar zijn voor datalekken. Na een gerichte phishingaanval kregen hackers toegang tot systemen van Odido en wisten zij persoonsgegevens van ruim 6,3 miljoen klanten buit te maken. De impact is enorm: mogelijke aansprakelijkheid, forse reputatieschade en bezorgde klanten.

In deze blog bespreken we wat een datalek precies is, welke verplichtingen organisaties hebben en vooral welke lessen het orgnisaties kunnen trekken uit het incident bij Odido. Want één ding staat vast: het is niet de vraag óf u een datalek krijgt, maar wanneer.

Wat is een datalek?

Juridisch gezien spreekt de AVG van een “inbreuk in verband met persoonsgegevens”. Een datalek kent drie vaste elementen:

1. Een inbreuk op de beveiliging, die leidt tot:
2. De vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of toegang tot:
3. Doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Daarmee geldt:

• Er moet altijd sprake zijn van een beveiligingsincident (bijvoorbeeld het omzeilen van een toegangsmaatregel).
• Er moet iets met persoonsgegevens zijn gebeurd.
• De gegevens moeten herleidbaar zijn tot echte personen.

Een simpel voorbeeld: een medewerker stuurt een e-mail met klantgegevens naar de verkeerde ontvanger. Dat is een datalek. Een geplande serverupdate waardoor een systeem even uitstaat, is dat niet.

In het geval van Odido werd de IT‑afdeling telefonisch verleid om een sessie goed te keuren. Hierdoor kreeg de hacker toegang tot systemen waarin persoonsgegevens stonden. Daarmee was het datalek een feit.

Wanneer is iets géén datalek?

Niet elk IT‑incident kwalificeert. Er is géén datalek wanneer:

• Er wel een inbreuk was, maar geen toegang tot persoonsgegevens (bijvoorbeeld volledig versleutelde data waar niemand bij kon).
• Er géén risico’s zijn voor betrokkenen, zoals bij een beveiligde USB‑stick die later wordt teruggevonden.

De kwalificatie maakt uit, want een datalek activeert wettelijke meldplichten. Bovendien bepaalt het of u 100 of 100.000 betrokkenen moet informeren, dat scheelt enorm in impact.

De rol van verwerkingsverantwoordelijke en verwerker

De verplichtingen rusten altijd primair op de verwerkingsverantwoordelijke. Een verwerker heeft alleen een contractuele verplichting om datalekken onverwijld te melden aan de verantwoordelijke. In de praktijk gaat dit vaak mis: termijnen verschillen per contract, waardoor datalekken te laat worden ontdekt of gemeld. Daarom is het verstandig om:

• Overal één uniforme meldtermijn af te spreken; of
• Een duidelijk overzicht van termijnen te maken.

Dit voorkomt tijdsverlies op cruciale momenten.

Wat moet een organisatie doen bij een datalek?

Zodra er een vermoeden is van een datalek, begint de 72‑uursmeldertimer te lopen. U moet dan drie dingen doen:

1. Melden bij de Autoriteit Persoonsgegevens (AP), tenzij er waarschijnlijk geen risico’s zijn;
2. Melden bij de betrokkenen, maar alleen als er een hoog risico ontstaat;
3. Registreren in het datalekkenregister.

Hieronder bespreek ik deze stappen uitgebreider.

1. Meldplicht aan de Autoriteit Persoonsgegevens

De AP moet geïnformeerd worden wanneer niet kan worden uitgesloten dat betrokkenen risico lopen. Twijfelt u? Dan melden organisaties in de praktijk meestal tóch. De reden is eenvoudig: wanneer u niet meldt, moet u bewijzen dat er waarschijnlijk geen risico’s waren, dat is juridisch gezien een zware last.

U hoeft niet te melden wanneer:

• U kunt uitsluiten dat persoonsgegevens toegankelijk waren;
• De verkeerde ontvanger bevestigt dat hij de e-mail direct verwijderd heeft;
• De gegevens aantoonbaar versleuteld waren.

Melden in Nederland gebeurt via het Meldloket Datalekken van de AP.

Let op: organisaties met internationale activiteiten moeten soms ook buitenlandse toezichthouders informeren. Daarnaast kunnen in bepaalde sectoren aanvullende meldplichten gelden, zoals:

• De Wft‑meldplicht voor financiële instellingen;
• De NIS2‑plicht voor aanbieders van essentiële diensten.

2. De betrokkenen informeren

Het informeren van klanten of medewerkers is alleen verplicht wanneer er een hoog risico is. Dit is de meest gevoelige stap, omdat reputatieschade vrijwel altijd volgt. Dat gebeurde ook bij Odido: direct na de melding stond het datalek prominent in het nieuws.

De informatie moet daarom:

• duidelijk en begrijpelijk zijn;
• alle relevante feiten bevatten;
• uitleggen welke risico’s er zijn en welke maatregelen zijn genomen;
• vermelden waar mensen terecht kunnen met vragen.

In de praktijk is dit lastig, omdat een organisatie vaak nog geen volledig beeld heeft van het lek. Daarom is het verstandig om een PR‑professional in te schakelen en een goed bereikbaar klantcontactpunt te organiseren.

3. Het datalekkenregister

Elke organisatie moet alle datalekken vastleggen, ook de kleintjes. In het MKB gebeurt dit vaak met een simpel excelbestand. Grote organisaties gebruiken gespecialiseerde software. Het register bevat onder andere:

• datum en aard van het datalek;
• welke personen zijn geïnformeerd;
• waarom (niet) is gemeld bij de AP;
• maatregelen om herhaling te voorkomen.

Een opvallende observatie: organisaties met nul datalekken per jaar hebben meestal geen perfect systeem, maar een meldcultuurprobleem.

Is een datalek een AVG‑overtreding?

Een datalek zélf is geen overtreding. Wat wel een overtreding kan zijn, is het ontbreken van passende beveiligingsmaatregelen.

Organisaties moeten aantonen dat zij:

• risico’s in kaart hebben gebracht;
• technische en organisatorische maatregelen hebben genomen;
• periodiek evalueren of maatregelen nog passend zijn.

Wanneer dit niet kan worden aangetoond, kan de AP een onderzoek starten en in theorie een boete opleggen. In de praktijk blijft het boeterisico relatief beperkt, omdat de AP maar beperkte capaciteit heeft.

Aansprakelijkheid richting betrokkenen

Betrokkenen kunnen schade claimen wanneer zij daadwerkelijk schade hebben geleden. Dit is vaak moeilijk te bewijzen, omdat niet duidelijk is wat er exact met gestolen data gebeurt. Toch is vergoeding mogelijk voor:

• verlies van controle over persoonsgegevens;
• gevoelens van angst, onrust of frustratie.

Vergoedingen liggen meestal tussen € 500 en € 2.500 per persoon. Voor grote bedrijven kunnen de kosten flink oplopen, maar de grootste schade is vrijwel altijd reputatieschade, zoals nu bij Odido goed zichtbaar is.

Wat kunnen organisaties leren van het datalek bij Odido?

De belangrijkste lessen:

1. Menselijke fouten blijven het grootste risico

De aanval bij Odido begon met een simpele social‑engineeringtruc. Training en awareness blijven cruciaal.

2. Snelle communicatie voorkomt extra schade

Wacht niet te lang met informeren. Onduidelijkheid leidt altijd tot wantrouwen.

3. Zorg voor een strak intern proces

• Wie doet wat als er een verdacht incident is?
• Wie maakt de risicoanalyse?
• Wie onderhoudt het datalekregister?

Organisaties die dit vooraf inrichten, reageren sneller en betrouwbaarder.

4. Verwerkersrelaties moeten scherp geregeld zijn

Zorg dat contracten duidelijke meldtermijnen en verantwoordelijkheden bevatten.

5. Transparantie is essentieel voor behoud van vertrouwen

Datalekken zijn niet volledig te voorkomen, maar de manier waarop u communiceert maakt het verschil.

Conclusie

Het datalek bij Odido laat opnieuw zien dat geen enkele organisatie immuun is. Juist in het MKB is het belangrijk om processen helder te hebben, omdat capaciteit en expertise vaak beperkter zijn. Door duidelijke procedures, goede beveiligingsmaatregelen en transparante communicatie kunt u de impact van een datalek drastisch verkleinen.

Heeft u vragen over datalekmanagement of wilt u uw interne procedures laten beoordelen? Laat u goed adviseren. Dit voorkomt problemen achteraf.