Cyberexpert Groningen niet verrast door mega-hack Odido: 'Dit onderstreept hoe kwetsbaar ons online-databeheer is'

donderdag, 26 februari 2026 (21:28) - Dagblad van het Noorden

In dit artikel:

Tientallen tot mogelijk meer dan een miljoen klanten van telecomprovider Odido zien hun persoonsgegevens openbaar opduiken nadat hackersgroep Shinyhunters die data publiceerde uit protest tegen het niet betalen van losgeld (volgens de hackers een ‘bedrag met zeven cijfers’). De aanvallers beweren ruim 6,2 miljoen klanteninformatie te hebben buitgemaakt en dreigen dagelijks nog eens data van een miljoen klanten te publiceren zolang Odido niet betaalt. Als gevolg wordt dit gezien als de grootste online-inbraak in de Nederlandse geschiedenis.

Onder de gelekte gegevens staan namen, adressen, telefoonnummers en bankrekeningnummers; latere berichten noemen ook burgerservicenummers (BSN), schuldeninformatie en chatgesprekken. Volgens de Groningse cyberexpert Kees de Vey Mestdagh betekent dat niet per se dat criminelen meteen bankrekeningen kunnen leegtrekken: “Er kan veel ellende achter weg komen, maar om jouw rekening leeg te trekken ben je nog altijd zelf nodig.” Wel waarschuwt hij dat de gegevens misbruikt kunnen worden voor identiteitsfraude, het aanmaken van accounts op andermans naam en het bestellen van goederen waarvoor het slachtoffer opdraait.

De Vey Mestdagh wijst op de gevaren van social engineering en het belang van waakzaamheid bij verdachte telefoontjes, sms’jes, appjes en links in e-mails. Twee-factor-authenticatie biedt bescherming, maar kan door slinkse methodes worden omzeild. Hij pleit daarnaast voor structurele digitale weerbaarheidseducatie, bij voorkeur al op jonge leeftijd.

Een belangrijk kritiekpunt van de expert is de omvang van de verzamelde data: waarom zijn zulke gevoelige gegevens bij een telecomaanbieder opgeslagen? BSN’s en andere niet-noodzakelijke velden zouden volgens privacywetgeving niet gevraagd of langdurig bewaard mogen worden. De Vey Mestdagh verwacht daarom aansprakelijkheid voor Odido en mogelijk onderzoek door de Autoriteit Persoonsgegevens. De zaak benadrukt de noodzaak van strengere dataminimalisatie, betere beveiliging en meer aandacht voor cyberveiligheid in zowel bedrijfsleven als overheid.