| Ingediend | 27 februari 2026 |
|---|---|
| Beantwoord | 9 april 2026 (na 41 dagen) |
| Indiener | Sarah El Boujdaini (D66) |
| Beantwoord door | Aerdts , David van Weel (VVD) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2026Z03910.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-1562.html |
Ja
De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte gegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede beveiliging van persoonsgegevens zoals vereist in de Algemene Verordening Gegevensbescherming (AVG) pure noodzaak is en een cruciaal onderdeel van de bedrijfsprocessen moet zijn. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval en de daders.
De gelekte gegevens waaronder ook het BSN zijn niet direct bruikbaar voor fraudeurs om zelfstandig fraude op naam van gedupeerden te plegen. Criminelen gebruiken de gegevens vooral om phishingaanvallen uit te voeren en gedupeerden te verleiden om op een link te klikken of nog meer gegevens prijs te geven.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert niet om paspoorten of identiteitskaarten te vernieuwen. Er zijn alleen paspoortnummers gelekt. Alleen met die informatie kunnen criminelen niet zelfstandig fraude plegen. Zij kunnen die informatie echter wel gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Met behulp van de gestolen informatie proberen ze dan om zo betrouwbaar mogelijk te lijken en in te spelen op het gevoel van burgers met als doel om meer informatie te ontfutselen of burgers te verleiden op een link, button of QR-code te klikken.
In algemene zin is een datalek een inbreuk in verband met het recht op persoonsgegevens. Of, en zo ja in hoeverre, de privacy en het recht op gegevensbescherming van betrokken in deze concrete zaak zijn geschonden, is niet aan het kabinet om te beoordelen. Dit is aan de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouders of in voorkomende gevallen aan de rechter om te beoordelen.
Het besluit van Odido om geen losgeld te betalen sluit aan bij de visie van het kabinet. Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.
Het OM gaat over de opsporingsprioriteit. De politie is onder gezag van het Openbaar Ministerie een opsporingsonderzoek gestart. Een team van het Team High Tech Crime, dat gespecialiseerd is in dit soort cybercriminaliteit, doet onderzoek naar het incident.
De overheid geeft praktische tips om de digitale weerbaarheid van burgers te vergroten. Zo hebben burgers de mogelijkheid om websites zoals veiliginternetten.nl en die van het NCSC te raadplegen waar veel informatie en adviezen worden gegeven over hoe ze zich online kunnen beschermen en over de basisprincipes van digitale weerbaarheid. Via Centraal Meldpunt Identiteitsfraude (CMI) kan er melding worden gedaan van fraude, hier is ook een specifieke pagina over de Odido hack. Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Economische Zaken – digitale economie en soevereiniteit en de aangenomen motie van het lid Rajokowski die opriep tot een duidelijk handelingskader voor slachtoffers van datalekken.3
Door het Ministerie van Justitie en Veiligheid worden met de politie en het OM worden gesprekken gevoerd over wat er nodig is om de aanpak van online criminaliteit een stap verder te brengen, daarin zullen de recente incidenten zoals de hacks bij Clinical Diagnostics en Odido worden meegenomen.
In het coalitieakkoord is verder aangekondigd dat de strafmaxima voor zware cyberdelicten zullen worden verhoogd. Bij de nadere beleidsuitwerking hiervan zal ook aandacht worden besteed aan deze recente incidenten.
Dit is helaas niet gelukt.
Hierbij deel ik u, mede namens de Staatssecretaris van Economische Zaken en Klimaat, mede dat de schriftelijke vragen van het lid El Boujdaini (D66), van uw Kamer aan de Minister van Justitie en Veiligheid over het bericht «Odido-datalek erger dan gemeld, ook burgerservicenummers gelekt». (ingezonden Klik of tik om een datum in te voeren.) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.