| Ingediend | 17 februari 2026 |
|---|---|
| Beantwoord | 8 april 2026 (na 50 dagen) |
| Indieners | Sarah El Boujdaini (D66), Jan Schoonis (D66) |
| Beantwoord door | Vincent Karremans (VVD), van Marum |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2026Z03387.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-1560.html |
Ja.
De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte persoonsgegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede bescherming van persoonsgegevens zoals onder meer vereist in de Algemene Verordening Gegevensbescherming (AVG) noodzakelijk is en een integraal onderdeel moet zijn van primaire bedrijfsprocessen. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket onderzoek naar de aanval en de daders.
De AP heeft laten weten geen informatie te verstrekken over individuele zaken. In zijn algemeenheid houdt de AP bij omvangrijke datalekken onder meer toezicht op de naleving van de meldplicht datalekken en onderzoekt daarbij ook de beveiliging ten tijde van het lek en genomen vervolgstappen. Maar ook andere aspecten die specifiek zijn voor de datalekzaak kunnen door de AP worden onderzocht. Daarbij wordt ook rekening gehouden met signalen uit openbare bronnen en signalen uit klachten die de AP heeft ontvangen.
De AP beschikt over voldoende handhavende bevoegdheden vanuit de AVG om in te grijpen wanneer een (voorgenomen) verwerking van persoonsgegevens niet rechtmatig, behoorlijk en/of transparant plaatsvindt. Bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen of het opleggen van boetes.
De bij Odido gestolen persoonsgegevens zijn inmiddels gepubliceerd.2 In algemene zin geldt dat een dergelijke grootschalige publicatie in ieder geval het risico verhoogt op diverse vormen van oplichting en fraude zoals gerichte phishing en social engineering. Onder andere Odido, Veiliginternetten.nl, de politie en de AP communiceren naar aanleiding van het datalek actief waarvoor gestolen gegevens kunnen worden misbruikt en geven tips om gevolgen van het datalek zoveel mogelijk tegen te gaan.3
De AP heeft laten weten dat Odido het datalek tijdig heeft gemeld bij de AP. Odido geeft aan daarnaast proactief relevante overheidsinstanties, waaronder de RDI, te hebben geïnformeerd. De RDI is op basis van de verkregen informatie mogelijke vervolgstappen aan het onderzoeken. De AP meldt op haar website dat zij aanleiding ziet om tot formeel onderzoek over te gaan.4
Het is niet aan het kabinet om dit te beoordelen. Dit is in eerste instantie aan de AP. De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. De AP toetst daarnaast of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.
Zie het antwoord op de vraag 4. De vraag of Odido voldoende maatregelen heeft genomen om te voldoen aan de zorgplicht uit de Telecommunicatiewet en de AVG is aan de toezichthouders om te beoordelen.
Het toepasselijke normenkader stelt de strikte vereisten die noodzakelijk zijn voor een goede bescherming in een steeds veranderende dreigingscontext. Zoals aangegeven in het antwoord op vraag 3 valt Odido onder de zorgplicht van de Telecommunicatiewet. Onder de zorgplicht dienen aanbieders passende technische en organisatorische maatregelen te nemen om risico’s voor de beveiliging van hun netwerken of diensten te beheersen. Dit moet zorgen voor een veiligheidsniveau dat is afgestemd op risico's die zich voordoen. De RDI ziet toe op de naleving van de vereisten van deze zorgplicht.
Daarnaast zijn telecomproviders gebonden aan de AVG, waaronder de beginselen van behoorlijke gegevensverwerking. Het beginsel van dataminimalisatie houdt bijvoorbeeld in dat organisaties alleen persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor een vooraf bepaald, specifiek doel. Op verwerkingsverantwoordelijken rust daarnaast de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen dienen een op de risico’s voor de rechten en vrijheden van personen afgestemd beveiligingsniveau te waarborgen en rekening te houden met de stand van de techniek, alsook met de aard, omvang, context en doeleinden van de verwerking. Het waarborgen van passend bewustzijn van de beveiligingsrisico's bij personen die toegang hebben tot de te verwerken gegevens is daarbij van belang. Verwerkingsverantwoordelijken dienen hun beveiligingsmaatregelen doorlopend te evalueren en zo nodig aan te passen aan nieuwe risico’s, waaronder nieuwe cyberdreigingen. Op grond van de AVG fungeert de Functionaris gegevensbescherming (FG) als onafhankelijk adviseur en ziet toe op de naleving van het gegevensbeschermingsrecht waaronder de te nemen maatregelen.
Het Nationaal Cyber Security Centrum staat rond actuele kwetsbaarheden en cyberdreigingen in nauw contact met partners binnen de telecomsector en werkt onder meer samen via het telecomgerichte Information Sharing and Analysis Center (ISAC).
EZK werkt samen met de telecomoperators in het Nationaal Continuïteit Overleg Telecom (NCOT) om gezamenlijk aan de continuïteit van de telecomdienstverlening te werken in het kader van de huidige dreiging.
Op dit moment ziet de Staatssecretaris van Economische Zaken geen aanleiding om aanvullende eisen te stellen richting telecomproviders om grootschalige datalekken te voorkomen. Zoals uiteengezet in het antwoord op vraag 8 zijn onder de toepasselijke wet- en regelgeving, waaronder de Telecomwet en de AVG, organisaties zelf verantwoordelijk voor het nemen van passende maatregelen om, mede gelet op de huidige dreigingscontext, (grootschalige) datalekken te voorkomen. Het is aan de toezichthouders om daarop toe te zien en in dit verband de nodige toezichtmaatregelen te treffen. Dit is niet aan mij als bewindspersoon.
De AP ziet als onafhankelijke toezichthouder toe op de naleving van de AVG en kan handhavend optreden wanneer organisaties tekortschieten. Daarnaast heeft de toezichthouder een belangrijke rol in voorlichting. Door het geven van uitleg, richtsnoeren en praktische handvatten ondersteunt de toezichthouder organisaties en burgers bij de toepassing van de AVG en het uitoefenen van hun rechten.
Ook Veiliginternetten.nl geeft adviezen in deze casus. Dit is een publiek-private website om neutrale informatie over digitale veiligheid te verstrekken aan burgers. Het Nationaal Cyber Security Centrum (NCSC) deelt via openbare kanalen diverse adviezen en richtlijnen over cybersecurity, zoals beveiligingsadviezen, dreigingsinformatie en maatregelen om digitale incidenten te voorkomen of te beperken. Het Ministerie van EZK verstrekt jaarlijks via Mijn Cyberweerbare Zaak subsidie aan kleinere mkb’ers ter versterking van hun digitale weerbaarheid.
Mensen die vermoeden dat ze slachtoffer zijn geworden van diefstal van hun gegevens kunnen op de site van de politie controleren of hun data in handen is gevallen van criminelen.
Zoals uiteengezet in het antwoord op vraag 8, stelt het toepasselijke normenkader, in het bijzonder de AVG, de nodige strikte vereisten. De AP ziet toe op de naleving van dat kader.
Het handelingskader voor slachtoffers van datalekken wordt vormgegeven door de AVG. De AVG verplicht verwerkingsverantwoordelijke organisaties om betrokkenen te informeren over een «hoog risico» datalek. De wijze waarop betrokkenen in lijn met de AVG dienen te worden geïnformeerd, wordt uitgewerkt in richtsnoeren van het Europees Comité voor gegevensbescherming (EDPB). Het is aan de AP om daarop toe te zien. Tevens heeft de AP op grond van de AVG de eigen wettelijke taak om voorlichting te geven aan burgers over hun rechten en handelingsmogelijkheden uit hoofde van de AVG bij datalekken. De website van de AP biedt een overzicht van mogelijkheden voor betrokkenen bij een datalek.
Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Digitale Economie en Soevereiniteit en de aangenomen motie van het lid Rajkowski die opriep voor een duidelijk handelingskader voor slachtoffers van datalekken en de gedane toezegging5.
Zie het antwoord op vraag 2.
De vragen van het lid de leden El Boujdaini (D66) en Schoonis (D66) (2026Z03387) over het bericht «Hack bij Odido, gegevens miljoenen klanten in handen van criminelen» kunnen niet binnen de gebruikelijke termijn worden beantwoord, aangezien deze gebundeld worden en gelijktijdig worden aangeboden met de vragen van Kathmann, (GL-Pvda) en Mudtluer (GL-PVDA) en de aanvullende vragen van El Boujdaini (D66) over de Odido hack. Ik zal uw Kamer zo spoedig mogelijk de antwoorden op de vragen doen toekomen.