Boardroom-schok: de architecten stonden er zelf in

De lijst bevatte een naam die er niet in had mogen staan: de CEO van Odido zelf. Niet als bijvangst, niet als gevolg van een onvoorziene kwetsbaarheid — maar als logisch gevolg van het systeem dat zijn eigen bedrijf had gebouwd.

Op 3 maart 2026 bevestigde Odido dat bij een cyberaanval gegevens van klanten waren buitgemaakt. Daniël Verlaan en Jasper Bunskoek van RTL Nieuws onthulden vervolgens de werkelijke omvang: geen 6,2 miljoen accounts, maar 17 miljoen dataregels. Gegevens die teruggaan tot 2010. Zestien jaar aan informatie die — op grond van Odido's eigen privacyverklaring — al jaren had moeten zijn vernietigd.

Dat is de eigenlijke schok voor elke bestuurskamer in Nederland. Niet het lek zelf — lekken zijn een operationeel risico. De schok is de architectonische keuze die eraan voorafging: data bewaren omdat het kan, zonder te vragen of het mag. Wie gegevens opslaat die hij niet nodig heeft, schept een gevaar dat hij niet kan beheersen.

"Data die u bewaart is geen asset. Het is aansprakelijkheid — en bij dit lek ook persoonlijk gevaar voor de directie."

Odido's directie stond op de lijst. Als de mensen die het systeem bouwden en goedkeurden er zelf niet veilig in zijn, is het systeem niet onveilig door pech. Het systeem is kapot door ontwerp.

De systeemfout: data als toxic asset

Het Odido-lek is geen verhaal over een zwakke firewall of een onoplettende medewerker. Het is een verhaal over een bedrijfsmodel dat data behandelt als bezit, zonder te erkennen dat bezit ook verplichting inhoudt.

Mijn forensische analyse van de gelekte dataset toont 5,5 miljoen "digital zombies": voormalige Odido-klanten van wie het contract al jaren — in sommige gevallen meer dan een decennium — geleden afliep, maar wiens volledige klantprofiel intact was gebleven. Naam, adres, geboortedatum, BSN, paspoortkopie — bewaard tot 2010 terug, in structurele strijd met Odido's eigen beleid dat een maximale bewaartermijn van twee jaar hanteert.

Deze data was geen vergissing. Databases worden niet vanzelf twaalf jaar groot. Dat vereist actieve keuzes: géén opschoonprocedure inrichten, géén technische waarborgen bouwen die afdwingen wat de privacyverklaring belooft. De kloof tussen beleid en praktijk — in dit geval meer dan een decennium breed — is het bewijs dat retentiebeleid in veel organisaties een document is, geen systeem.

17 mln
dataregels in de gelekte dataset (niet 6,2 mln accounts)
5,5 mln
digital zombies — ex-klanten tot 2010, buiten retentiebeleid bewaard
€6,3 mrd
maatschappelijke schadelast per jaar (Kamerdossier 2026Z04148, conservatief)
€155
gemiddelde kosten per gelekt record (IBM Cost of a Data Breach Report 2024)

De financiële impact is kwantificeerbaar. Kamerdossier 2026Z04148/2026D09561 — in behandeling bij de Tweede Kamer Commissie Digitale Zaken — becijfert de maatschappelijke schadelast op €6,3 miljard per jaar. Conservatief. Meer dan het volledige jaarbudget van de Nationale Politie. Elke bestuurder die de schade van dit lek als "een zaak van Odido" beschouwt, onderschat de systemische reikwijdte van de keuze die eraan ten grondslag ligt.

Nationale veiligheidslaag: dit is geen consumentenkwestie

Beveiligingsincidenten bij telecomproviders worden doorgaans behandeld als consumentenproblemen. Het Odido-lek is dat niet. De dataset bevat een veiligheidslaag die de vraag van consumentenbescherming ver overstijgt.

Mijn analyse identificeert 38 Politiek Prominente Personen (PPP's) — personen met publieke of politieke functies — wier BSN-nummer en paspoortkopie zijn blootgesteld. Meer dan 16.000 medewerkers van vitale sectoren werden getroffen: 161 ASML-medewerkers, meer dan 570 politie- en defensiemedewerkers, en personeel van Philips, NXP, Schiphol en drinkwaterbedrijven. Gegevens die bij de verkeerde partijen direct operationeel zijn in te zetten voor spionage, social engineering of gerichte chantage.

Follow the Money reconstrueerde dit patroon in zijn analyse van 5 maart 2026: vitale sectoren zijn systematisch blootgesteld, niet incidenteel. Dat maakt dit lek tot een veiligheidsvraagstuk dat op bestuursniveau van de getroffen organisaties — niet alleen bij Odido — aandacht verdient.

  • 2.990 kwetsbare personen — GGZ-patiënten, slachtoffers van stalking, mensen onder getuigenbescherming — wier locatiegegevens en contactinformatie in de dataset zitten.
  • 300.000 zakelijke dossiers met privé-IBAN-nummers: kant-en-klare infrastructuur voor CEO-fraude.
  • 4.249 MKB-eigenaren traceerbaar op zowel KvK-nummer als privé-bankrekening.

De vraag die elke CISO en bestuurder zich moet stellen, is niet "zijn wij gehackt?" maar "welke data over onze medewerkers, klanten en relaties bewaren wíj die bij een lek nationale veiligheidsimplicaties heeft?"

Juridische aardverschuiving: de basis voor paspoortkopieën wankelt

Naast de veiligheidsdimensie openbaart het Odido-lek een juridisch vraagstuk dat de hele markt raakt: de grondslag waarop Nederlandse organisaties al jaren paspoortkopieën verzamelen en bewaren, is juridisch zwakker dan aangenomen.

Artikel 33 van de Wwft verplicht organisaties de identiteit van klanten vast te stellen. Wat de wet niet vereist — en dit is juridisch cruciaal — is dat een kopie van het identiteitsbewijs wordt bewaard. Verificatie is een alternatief voor kopie, niet een aanvulling daarop. Organisaties die dit jarenlang verkeerd hebben geïmplementeerd, bewaren documenten die zij wettelijk nooit hoefden te bewaren.

Danny Mekić onderzocht in 2024 voor de TU Delft de juridische status van paspoortkopieën in Nederland. Zijn conclusie: een paspoortkopie vormt een ernstiger privacyschending dan een losse combinatie van persoonsgegevens, omdat het één document verstrekt waarmee meerdere vormen van identiteitsfraude gelijktijdig mogelijk zijn.

AVG artikel 5 — het dataminimalisatiebeginsel — verbiedt het bewaren van meer gegevens dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Zestien jaar bewaartermijn voor voormalige telecomklanten is hiermee onverzoenbaar. De Autoriteit Persoonsgegevens heeft instrumenten om dit te handhaven. De vraag is niet óf maar wanneer.

Wetsvoorstel 2026Z04148 — op 13 maart 2026 geaccepteerd door de Commissie Digitale Zaken — beoogt het Check Don't Store-principe wettelijk afdwingbaar te maken: verificatie van identiteit zonder opslag van documenten. De EUDI Wallet, die eind 2026 in Nederland verplicht wordt, biedt de technische infrastructuur voor precies dit model.

"De juridische richting is helder. Wie nu begint met afbouwen van onnodige documentopslag, loopt voor op wat wetgeving straks afdwingt."

Wat uw organisatie vandaag moet doen

Het Odido-lek vraagt om vier concrete acties — ongeacht sector of omvang.

Audit uw identiteitsgegevens. Welke persoonsdocumenten bewaart u? Van wie, en waarom? Wat is de juridische grondslag per categorie? Veel organisaties hebben nooit een systematische inventarisatie gemaakt van de documenten die zij routinematig opslaan als onderdeel van onboarding-processen, HR-procedures of leveranciersbeheer. Begin daar.

Confronteer uw retentiebeleid met de werkelijkheid. Uw privacyverklaring belooft iets. Uw systemen doen mogelijk iets anders — al jarenlang. Uw Functionaris voor Gegevensbescherming moet kunnen aantonen dat wat beloofd wordt ook technisch wordt afgedwongen, niet slechts beschreven. Het Odido-lek toont wat er gebeurt als die kloof tien jaar lang niet gedicht wordt.

Verken alternatieven voor kopie-opslag. iDIN, DigiD en eIDAS bieden vandaag al verificatieoplossingen die identiteit bevestigen zonder documentopslag. Bits of Freedom heeft de Check Don't Store-aanpak gevalideerd als technisch en juridisch uitvoerbaar voor een groot deel van de huidige toepassingen. Voor veel processen waarbij paspoortkopieën worden bewaard, bestaat al een privacy-veilig alternatief.

Begin nu met EUDI Wallet-voorbereiding. De verplichting om de Europese digitale identiteitsportemonnee te accepteren als verificatiemiddel treedt eind 2026 in werking. Organisaties die nu beginnen, vermijden een rush-implementatie later — en positioneren zichzelf als koplopers in een markt die toch die kant opgaat.

Conclusie: wat u niet opslaat, kan niet lekken

MFA-beleid en zero-trust architectuur zijn zinvolle maatregelen — maar ze beschermen niet tegen een datalek van gegevens die twaalf jaar zijn bewaard zonder operationeel doel. Als de data er niet was geweest, was de schade er niet geweest.

"Wat je niet opslaat, kan niet lekken." Check Don't Store is geen slogan — het is het enige verdedigingsmechanisme dat werkt voor data die er nooit had mogen zijn. Wetsvoorstel 2026Z04148 ligt bij de Tweede Kamer. Bits of Freedom valideert de aanpak. De EUDI Wallet maakt hem infrastructureel mogelijk. Den Haag is aan zet.

Maar bestuurders hoeven niet te wachten op wetgeving om te stoppen met het bewaren van data die zij niet nodig hebben. De keuze om de datakluis te lichten is al van u.