NU+ | Zorgen na datalek Odido: 'Misbruik van identiteit merk je te laat'
In dit artikel:
Telecomprovider Odido heeft bij een cyberaanval mogelijk de persoonsgegevens van maximaal 6,5 miljoen mensen verloren; het gaat om zowel huidige als voormalige klanten. Gegevens die zijn buitgemaakt omvatten naam- en adresgegevens, bankgegevens en gegevens van identiteitsbewijzen. Sommige getroffen personen kregen alleen melding dat hun adresgegevens waren gelekt, bij anderen zijn meerdere categorieën data buitgemaakt. Odido heeft klanten per e-mail geïnformeerd welke informatie mogelijk is getroffen. Formeel bewaart het bedrijf klantgegevens maximaal twee jaar na beëindiging van een contract, maar meldingen aan mensen die al vijf jaar geleden klant waren, wijzen erop dat ook oudere data zijn gelekt.
Juridische vervolging is in principe mogelijk, maar hangt af van of de toezichthouder kan aantonen dat Odido onvoldoende beveiligd was en dat dat bekend had moeten zijn — kort gezegd: of er sprake is van verwijtbaar handelen. De Autoriteit Persoonsgegevens (AP) ziet toe op naleving van privacyregels en kan boetes opleggen tot 4 procent van de jaaromzet, maar in de praktijk worden zware boetes vooral gebruikt bij ernstige nalatigheid of gebrek aan medewerking. Omdat het datalek het gevolg was van een cyberaanval, speelt mee dat een volledig voorkomen van zulke incidenten lastig is; als Odido kan aantonen dat zij voldoende maatregelen had genomen, is vervolging minder waarschijnlijk.
Voor individuele getroffen personen gelden praktische stappen om schade te beperken. Controleer je kredietregistratie via mijnkredietregistratie.nl om te zien of er onbekende leningen op jouw naam staan; de kans dat iemand een krediet op jouw naam afsluit is echter klein vanwege identiteitscontroles door financiële instellingen. BSN en bankrekeningnummer zijn zeer gevoelige gegevens: in verkeerde handen verhogen ze de kans op identiteitsfraude en vormen ze bouwstenen voor gerichte phishing- of oplichtingscampagnes. Als je slachtoffer wordt van identiteitsfraude, doe aangifte bij de politie en meld het bij het Centraal Meldpunt Identiteitsfraude; de Rijksoverheid geeft aanvullende richtlijnen.
Odido zal bij een incident van deze omvang doorgaans externe cybersecurityexperts inschakelen om vast te stellen welke data zijn buitgemaakt en hoe, en om mogelijke communicatie en onderhandelingen met de aanvallers te voeren (bijvoorbeeld over verwijdering van data). Zulke onderzoeken en eventuele onderhandelingen vinden veelal achter gesloten deuren plaats; het publiek krijgt vaak pas maanden later volledig zicht op de genomen maatregelen en uitkomsten. Tot slot: blijf alert op verdachte e-mails en transacties, monitor bankrekeningen en volg de instructies en updates van Odido.