Waarschijnlijk heb je het al meegekregen, maar Odido is recent gehackt. Miljoenen accounts en persoonsgegevens zijn hiermee gelekt. In het digitale tijdperk is data meer dan alleen infrastructuur. Het is ook omzet en concurrentiekracht. Vooral organisaties die veel data bezitten, trekken aandacht. Dat brengt veel risico’s met zich mee en trekt partijen en individuen met kwade bedoelingen aan.
▼
Waarom telecom in de frontlinie staat
Cybercriminelen hebben de data van ruim 6,5 miljoen gebruikers en 600.000 bedrijven weten te bemachtigen. Daarmee is de aanval één van de grootste datalekken ooit in Nederland geworden. Met name de aard van de gegevens laat zien hoe ernstig de situatie is. Zo zijn niet alleen gebruikersnamen gestolen, maar ook verdere persoonsgegevens zoals IBAN-nummers en identificatiegegevens. Deze zijn inmiddels ook uitgelekt door de hackers. Volgens berichtgeving wisten de hackers via phishing binnen te komen. Het is wrang dat via zoiets simpels zulke belangrijke gegevens bemachtigd konden worden.
Tegelijk onderstreept dit hoe belangrijk de menselijke factor is binnen systemen. Telecombedrijven beheren meer dan alleen contactgegevens. Ze vormen een schakel waarin belgedrag, dataverbruik, abonnementsvormen en betaalstromen samenkomen. Met de recente hack wordt helaas sterk aangetoond hoe kwetsbaar deze schakel kan zijn.
Wat betekent dit voor mijn organisatie?
Zoals benoemd raakt de ernst van deze situatie niet alleen de telecomsector. Het lek bij Odido laat zien hoe belangrijk het is dat niet alleen telecombedrijven, maar alle organisaties hun data beschermen. De betrouwbaarheid van jouw data bepaalt niet alleen de validatie van jouw onderzoek, maar ook de reputatie van je organisatie en hoe goed je je houdt aan de wetgeving.
Elke uitbreiding van dataverzameling vergroot het risicoprofiel. Meer opslag betekent meer toegangspunten. Meer systemen betekent meer potentiële kwetsbaarheden. Dat creëert een spanningsveld. Groei vraagt om data, maar veiligheid vraagt om begrenzing.
Na incidenten zie je vaak:
• stijging in klantenserviceverkeer
• daling in merkwaardering
• verhoogde aandacht van toezichthouders
• extra druk op communicatie en bestuur
In markten waar overstappen eenvoudig is, kan reputatieschade snel doorwerken in marktaandeel.
Aansprakelijkheid en de rol van de AVG
Daarnaast speelt de vraag of Odido aansprakelijk kan worden gesteld wanneer daadwerkelijk misbruik wordt gemaakt van de gelekte gegevens. Dat is een vraag die bij alle organisaties in een soortgelijk geval kan worden gesteld. Toch is aansprakelijkheid bij datalekken vaak lastig te bepalen. Er moet blijken dat in strijd met de wet is gehandeld. Daarnaast moet er een direct verband bestaan tussen het lek en de geleden schade. Er kan vertrouwen in een bedrijf worden aangetast of angst voor fraude ontstaan, maar of dit juridisch voldoende grond biedt, is moeilijk te bepalen.
De Algemene Verordening Gegevensbescherming (AVG) staat centraal bij een datalek van deze aard. Naast het melden van het lek bij de Autoriteit Persoonsgegevens (AP) moet Odido dit ook melden aan de betrokken klanten. Daarbij dient een zorgvuldig onderzoek naar de omvang en oorzaak van het lek plaats te vinden. Ook geldt een verantwoordingsplicht. Onder de AVG hebben partijen die met persoonsgegevens werken de plicht om logboeken bij te houden en te documenteren welke beschermingsmaatregelen worden genomen.
Wat dit moment markeert
Odido staat symbool voor een grotere realiteit. Het laat pijnlijk zien hoe normaal dit soort risico’s zijn geworden in een datagedreven economie. Wie vandaag data verzamelt, moet ook kunnen bewijzen dat die data veilig is. Een digitaal fundament dat sterk genoeg is om dit soort doelwitten te dragen, is daarom noodzakelijk.