Niet alleen Odido, ook overheid moet data strenger bewaken - Renske Leijten

In dit artikel:

Te midden van het overweldigende nieuws over internationale conflicten wijst de columnist op twee grotendeels onderbelichte maar urgente problemen: grote datalekken bij commerciële en overheidsinstellingen met directe gevolgen voor de veiligheid van burgers en overheidspersoneel.

Recent maakte telecombedrijf Odido bekend dat persoonsgegevens van meer dan zes miljoen mensen zijn gestolen. De buit omvatte gevoelige gegevens tot en met burgerservicenummers en paspoortgegevens, en zelfs interne aantekeningen over klanten (zoals betalingsgedrag en bedreigingen). Hackers toonden journalisten hoeveel er was buitgemaakt; veel informatie werd openbaar gezet, wat identiteitsfraude en misbruik vergemakkelijkt. Odido krijgt verwijten over nalatigheid, slechte communicatie richting klanten en het langdurig onversleuteld opslaan van grote hoeveelheden data. Als reactie worden klanten opgeroepen hun digitale veiligheid te verbeteren, maar de columnist benadrukt dat systemische maatregelen — minder data opslaan, sterke versleuteling en het scheiden van datasets — noodzakelijk zijn om herhaling te voorkomen.

Parallel daaraan ontdekte men een langlopende inbraak in systemen van justitiële en andere overheidsorganisaties. De kwetsbaarheid — een achterdeur in een beveiligingsprogramma — werd eind januari gedicht maar blijkt al sinds augustus 2025 te bestaan. Getroffen werden onder meer de Raad voor de Rechtspraak, het gevangeniswezen (DJI), de Autoriteit Persoonsgegevens en het College ter Beoordeling van Geneesmiddelen. Gevoelige gegevens van cipiers en ander gevangenispersoneel, inclusief werk- en woonadressen, zijn mogelijk ingezien. Dat plaatst deze medewerkers en hun gezinnen in direct gevaar: iemand met toegang tot die data kan naar de fysieke woonplaats van personeel toelopen. De staatssecretarissen informeerden de Kamer (brieven van 6 en 27 februari) over wat er gebeurde, maar volgens de columnist geven die communicatie onvoldoende inzicht in concrete beschermingsmaatregelen voor het getroffen personeel.

De column plaatst deze incidenten in een bredere context van structurele problemen: digitale inbraken gebeuren regelmatig, gestolen data heeft tastbare gevolgen in de echte wereld, en al jaren zijn er waarschuwingen (onder andere van de FBI) over de waarde van medische en andere persoonlijke data voor criminelen. Voorbeelden van gebrekkige publieke beveiliging noemen onder meer diagnostische centra die bevolkingsonderzoekdata onvoldoende beschermen en de uitbesteding van het BTW-aangiftesysteem aan een Amerikaans bedrijf, wat mogelijk toegang door Amerikaanse autoriteiten faciliteert.

De kernkritiek is bestuurlijk: verantwoordelijkheid voor digitaal beleid en cybersecurity ligt versnipperd over meerdere ministeries en bewindslieden, wat de aanpak verzwakt. De columnist vraagt om één duidelijke verantwoordelijke met mandaat om beleid te coördineren en pleit ervoor dat staatssecretaris Willemijn Aerdts de verantwoordelijkheid naar zich toe trekt. Concrete aanbevelingen omvatten dataminimalisatie, sterke encryptie, scheiding van datasets en betere bescherming en ondersteuning van personeel dat door datalekken in gevaar is gebracht.