Vraag 1

Bent u bekend met het bericht van de NOS over de cyberaanval bij Odido waarbij gegevens van circa 6,2 miljoen accounts zijn buitgemaakt door criminelen?1

Ja.

Vraag 2

Hoe beoordeelt u de omvang en ernst van dit datalek, mede gezien het feit dat ook gevoelige persoonsgegevens, zoals identiteitsdocumentnummers en rekeningnummers, mogelijk zijn gelekt?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte persoonsgegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede bescherming van persoonsgegevens zoals onder meer vereist in de Algemene Verordening Gegevensbescherming (AVG) noodzakelijk is en een integraal onderdeel moet zijn van primaire bedrijfsprocessen. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket onderzoek naar de aanval en de daders.

Vraag 3

In hoeverre heeft deze cyberaanval gevolgen voor de digitale veiligheid en weerbaarheid van Nederland, gezien de maatschappelijke rol van telecomproviders?

De AP heeft laten weten geen informatie te verstrekken over individuele zaken. In zijn algemeenheid houdt de AP bij omvangrijke datalekken onder meer toezicht op de naleving van de meldplicht datalekken en onderzoekt daarbij ook de beveiliging ten tijde van het lek en genomen vervolgstappen. Maar ook andere aspecten die specifiek zijn voor de datalekzaak kunnen door de AP worden onderzocht. Daarbij wordt ook rekening gehouden met signalen uit openbare bronnen en signalen uit klachten die de AP heeft ontvangen.
De AP beschikt over voldoende handhavende bevoegdheden vanuit de AVG om in te grijpen wanneer een (voorgenomen) verwerking van persoonsgegevens niet rechtmatig, behoorlijk en/of transparant plaatsvindt. Bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen of het opleggen van boetes.

Vraag 4

Hoe beoordeelt u het risico dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen kan dit hebben voor de veiligheid en privacy van betrokken burgers?

De bij Odido gestolen persoonsgegevens zijn inmiddels gepubliceerd.2 In algemene zin geldt dat een dergelijke grootschalige publicatie in ieder geval het risico verhoogt op diverse vormen van oplichting en fraude zoals gerichte phishing en social engineering. Onder andere Odido, Veiliginternetten.nl, de politie en de AP communiceren naar aanleiding van het datalek actief waarvoor gestolen gegevens kunnen worden misbruikt en geven tips om gevolgen van het datalek zoveel mogelijk tegen te gaan.3

Vraag 5

Heeft Odido het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens en andere relevante instanties, en bent u op de hoogte van eventuele lopende onderzoeken?

De AP heeft laten weten dat Odido het datalek tijdig heeft gemeld bij de AP. Odido geeft aan daarnaast proactief relevante overheidsinstanties, waaronder de RDI, te hebben geïnformeerd. De RDI is op basis van de verkregen informatie mogelijke vervolgstappen aan het onderzoeken. De AP meldt op haar website dat zij aanleiding ziet om tot formeel onderzoek over te gaan.4

Vraag 6

Is er volgens uw inschatting sprake van nalatigheid of onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido?

Het is niet aan het kabinet om dit te beoordelen. Dit is in eerste instantie aan de AP. De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. De AP toetst daarnaast of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.

Vraag 7

Welke risico’s lopen getroffen klanten en acht u de door Odido genomen maatregelen voldoende om deze risico’s te beperken?

Zie het antwoord op de vraag 4. De vraag of Odido voldoende maatregelen heeft genomen om te voldoen aan de zorgplicht uit de Telecommunicatiewet en de AVG is aan de toezichthouders om te beoordelen.

Vraag 8

Welke eisen worden momenteel gesteld aan telecomproviders ten aanzien van cyberbeveiliging en gegevensbescherming en voldoen deze volgens u nog aan de huidige dreigingscontext?

Het toepasselijke normenkader stelt de strikte vereisten die noodzakelijk zijn voor een goede bescherming in een steeds veranderende dreigingscontext. Zoals aangegeven in het antwoord op vraag 3 valt Odido onder de zorgplicht van de Telecommunicatiewet. Onder de zorgplicht dienen aanbieders passende technische en organisatorische maatregelen te nemen om risico’s voor de beveiliging van hun netwerken of diensten te beheersen. Dit moet zorgen voor een veiligheidsniveau dat is afgestemd op risico's die zich voordoen. De RDI ziet toe op de naleving van de vereisten van deze zorgplicht.
Daarnaast zijn telecomproviders gebonden aan de AVG, waaronder de beginselen van behoorlijke gegevensverwerking. Het beginsel van dataminimalisatie houdt bijvoorbeeld in dat organisaties alleen persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor een vooraf bepaald, specifiek doel. Op verwerkingsverantwoordelijken rust daarnaast de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen dienen een op de risico’s voor de rechten en vrijheden van personen afgestemd beveiligingsniveau te waarborgen en rekening te houden met de stand van de techniek, alsook met de aard, omvang, context en doeleinden van de verwerking. Het waarborgen van passend bewustzijn van de beveiligingsrisico's bij personen die toegang hebben tot de te verwerken gegevens is daarbij van belang. Verwerkingsverantwoordelijken dienen hun beveiligingsmaatregelen doorlopend te evalueren en zo nodig aan te passen aan nieuwe risico’s, waaronder nieuwe cyberdreigingen. Op grond van de AVG fungeert de Functionaris gegevensbescherming (FG) als onafhankelijk adviseur en ziet toe op de naleving van het gegevensbeschermingsrecht waaronder de te nemen maatregelen.
Het Nationaal Cyber Security Centrum staat rond actuele kwetsbaarheden en cyberdreigingen in nauw contact met partners binnen de telecomsector en werkt onder meer samen via het telecomgerichte Information Sharing and Analysis Center (ISAC).
EZK werkt samen met de telecomoperators in het Nationaal Continuïteit Overleg Telecom (NCOT) om gezamenlijk aan de continuïteit van de telecomdienstverlening te werken in het kader van de huidige dreiging.

Vraag 9

Ziet u aanleiding om aanvullende eisen of toezichtmaatregelen te treffen richting telecomproviders om grootschalige datalekken te voorkomen?

Op dit moment ziet de Staatssecretaris van Economische Zaken geen aanleiding om aanvullende eisen te stellen richting telecomproviders om grootschalige datalekken te voorkomen. Zoals uiteengezet in het antwoord op vraag 8 zijn onder de toepasselijke wet- en regelgeving, waaronder de Telecomwet en de AVG, organisaties zelf verantwoordelijk voor het nemen van passende maatregelen om, mede gelet op de huidige dreigingscontext, (grootschalige) datalekken te voorkomen. Het is aan de toezichthouders om daarop toe te zien en in dit verband de nodige toezichtmaatregelen te treffen. Dit is niet aan mij als bewindspersoon.

Vraag 10

Welke rol ziet u voor de overheid bij het ondersteunen van bedrijven en burgers bij het beperken van schade na grootschalige datalekken?

De AP ziet als onafhankelijke toezichthouder toe op de naleving van de AVG en kan handhavend optreden wanneer organisaties tekortschieten. Daarnaast heeft de toezichthouder een belangrijke rol in voorlichting. Door het geven van uitleg, richtsnoeren en praktische handvatten ondersteunt de toezichthouder organisaties en burgers bij de toepassing van de AVG en het uitoefenen van hun rechten.
Ook Veiliginternetten.nl geeft adviezen in deze casus. Dit is een publiek-private website om neutrale informatie over digitale veiligheid te verstrekken aan burgers. Het Nationaal Cyber Security Centrum (NCSC) deelt via openbare kanalen diverse adviezen en richtlijnen over cybersecurity, zoals beveiligingsadviezen, dreigingsinformatie en maatregelen om digitale incidenten te voorkomen of te beperken. Het Ministerie van EZK verstrekt jaarlijks via Mijn Cyberweerbare Zaak subsidie aan kleinere mkb’ers ter versterking van hun digitale weerbaarheid.
Mensen die vermoeden dat ze slachtoffer zijn geworden van diefstal van hun gegevens kunnen op de site van de politie controleren of hun data in handen is gevallen van criminelen.

Vraag 11

Acht u de oproep van Odido aan klanten om «extra alert» te zijn voldoende, of ziet u een verantwoordelijkheid voor aanvullende beschermingsmaatregelen richting getroffen klanten?

Zoals uiteengezet in het antwoord op vraag 8, stelt het toepasselijke normenkader, in het bijzonder de AVG, de nodige strikte vereisten. De AP ziet toe op de naleving van dat kader.

Vraag 12

Bestaan er landelijke richtlijnen of protocollen voor ondersteuning van burgers die slachtoffer zijn van grootschalige datalekken waarbij identiteitsgegevens zijn buitgemaakt? Zo ja, worden deze in dit geval toegepast?

Het handelingskader voor slachtoffers van datalekken wordt vormgegeven door de AVG. De AVG verplicht verwerkingsverantwoordelijke organisaties om betrokkenen te informeren over een «hoog risico» datalek. De wijze waarop betrokkenen in lijn met de AVG dienen te worden geïnformeerd, wordt uitgewerkt in richtsnoeren van het Europees Comité voor gegevensbescherming (EDPB). Het is aan de AP om daarop toe te zien. Tevens heeft de AP op grond van de AVG de eigen wettelijke taak om voorlichting te geven aan burgers over hun rechten en handelingsmogelijkheden uit hoofde van de AVG bij datalekken. De website van de AP biedt een overzicht van mogelijkheden voor betrokkenen bij een datalek.
Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Digitale Economie en Soevereiniteit en de aangenomen motie van het lid Rajkowski die opriep voor een duidelijk handelingskader voor slachtoffers van datalekken en de gedane toezegging5.

Vraag 13

Op welke wijze houdt de Autoriteit Persoonsgegevens toezicht op de opvolging van dit incident, en beschikt de toezichthouder volgens u over voldoende bevoegdheden en capaciteit om effectief toezicht te houden bij grootschalige datalekken?

Vraag 14

Welke lessen trekt u uit dit incident voor het beleid richting de markt op het gebied van de weerbaarheid van organisaties die grote hoeveelheden persoonsgegevens verwerken?

Zie het antwoord op vraag 2.

Vraag 1

Bent u bekend met het artikel «Groei maskeert kwetsbaarheid kleinbedrijf: Microbedrijven lopen op cashmuur af» in het Financiële Dagblad van 9 januari 2026, waaruit blijkt dat de financiële positie van micro- en kleine mkb-bedrijven (tot € 2 miljoen omzet) snel verslechtert, ondanks omzetgroei?1

Ja

Vraag 2

Herkent u het geschetste beeld dat deze bedrijven steeds minder rendement halen en nauwelijks nog financiële buffers hebben?

Uit de langjarige cijfers van de Conjunctuurenquête2 van het CBS blijkt dat sinds 2022, na de coronacrisis, een aantal bedrijven in alle grootteklassen aangeeft financiële beperkingen te ondervinden. Het aandeel nam toe van ongeveer 5% in 2022 tot ongeveer 10% eind december 2025. Het aandeel specifiek in het kleinbedrijf (met 5–50 werkzame personen) dat financiële beperkingen ervaart nam toe van 6,8% in 2022 naar 12,9% in 2025. Dit brengt het aandeel terug richting percentages die voor corona zijn gemeten. Het aandeel bedrijven dat financiële beperkingen ervaart, blijft nog steeds een kleine minderheid.
Deze trend wordt bevestigd in recente enquêtes van de Kamer van Koophandel3 en panelonderzoek4 uit oktober 2025 van Qredits. Tegelijkertijd blijkt uit de Conjunctuurenquête dat 90% van de ondervraagde bedrijven niet aangeeft financiële beperkingen te ervaren. Via de Financieringsmonitor en de Conjunctuurenquête, beiden uitgevoerd door het CBS, en andere onderzoeken blijf ik continu de financiële positie van het mkb monitoren.

Vraag 3

Hoe beoordeelt u de conclusie uit het onderzoek dat veel ondernemers hun coronasteun en andere leningen hebben moeten gebruiken om kosten te dekken in plaats van te investeren?

Zoals de onderzoekers van Teamleader aangegeven is er onvoldoende data om deze conclusie te trekken. Wel hebben de onderzoekers aangegeven dit te vermoeden. Ik zie dit als een logisch gevolg van de uitzonderlijke omstandigheden tijdens en na de coronaperiode. Voor veel ondernemers was het noodzakelijk om steun en leningen in te zetten om acute verplichtingen na te komen.
De coronasteunmaatregelen waren hoofdzakelijk gericht op het behoud van banen en werkgelegenheid, de voortgang van bedrijfsactiviteiten en het behoud van economische groei. De steunmaatregelen droegen bij aan een verbetering van de liquiditeit en solvabiliteit van bedrijven. Afgelopen jaar heb ik uw Kamer de evaluatie van de Tegemoetkoming Ondernemers Getroffen Sectoren COVID-19 (TOGS) en Tegemoetkoming Vaste Lasten (TVL) gestuurd.5 Recentelijk heeft ook de Minister van Financiën, mede namens het Ministerie van Economische Zaken (EZ) en Sociale Zaken en Werkgelegenheid (SZW), uw Kamer de synthesestudie coronasteunmaatregelen6 gestuurd. Dit syntheseonderzoek concludeert, op basis van eerdere evaluaties, dat het coronasteunpakket als geheel doeltreffend was in het behoud van werkgelegenheid en waardeketens.

Vraag 4

Welke lessen trekt u hieruit voor de opzet en de inzet van toekomstige steun- of stimuleringsregelingen?

Alle maatregelen en financiële instrumenten voor het bedrijfsleven worden (periodiek) geëvalueerd en lessen hieruit zullen worden meegenomen bij een eventuele crisis.

Vraag 5

In hoeverre deelt u de zorgen dat microbedrijven als «kanarie in de kolenmijn» bij een kleine tegenvaller al in grote problemen komen, mede doordat marges onder druk staan en vaste lasten en rentes stijgen?

Ik onderschrijf het grote belang van het microbedrijf. De financiële knelpunten die zich nu voordoen, hebben meerdere oorzaken, zoals stijgende lonen, energie- en huurprijzen. Alle bedrijven hebben te maken met deze prijsstijgingen. Echter, in combinatie met de smalle marges die door de kostenstructuur in een aantal sectoren bestaan, zoals horeca en detailhandel, kunnen de kostenstijgingen daar meer effect hebben. Onder reguliere omstandigheden is het een gebruikelijk proces dat bedrijven verdwijnen die financieel niet gezond zijn, een zwak businessmodel hebben of zich niet kunnen aanpassen aan veranderende omstandigheden. De huidige stijging van het aantal bedrijven dat vrijwillig stopt, kan een indicatie zijn dat er nu een inhaalslag plaatsvindt. Hierdoor blijven financieel gezonde bedrijven over die een stabiele basis vormen voor de economie. Ik blijf de ontwikkelingen in het mkb zorgvuldig monitoren.

Vraag 6

Ziet u aanleiding voor aanvullend beleid om deze bedrijven weerbaarder te maken?

Ik zie nu geen aanleiding tot aanvullend beleid. Op verschillende manieren ondersteunen we al het mkb. Denk bijvoorbeeld aan Qredits, dat zich richt op mkb-ondernemers die financiering of coaching nodig hebben, maar niet in het reguliere financieringscircuit terecht kunnen. Of aan de Borgstelling MKB-kredieten (BMKB). Er is een samenhangend palet van instrumenten om financiële problemen tijdig te herkennen en aan te pakken. Zo speelt het Ondernemersklankbord (OKB) een belangrijke rol bij het vroegtijdig signaleren van financiële kwetsbaarheid en het bieden van onafhankelijke begeleiding aan ondernemers. Daarnaast biedt Geldfit Zakelijk ondernemers laagdrempelig inzicht in hun financiële situatie en toegang tot passende ondersteuning bij (dreigende) schulden. OKB en Geldfit Zakelijk worden financieel ondersteund door Economische Zaken en dragen eraan bij dat ondernemers eerder hulp zoeken en problemen niet onnodig escaleren. Ook zijn er fiscale instrumenten die zich specifiek richten op het mkb, zoals de Zelfstandigenaftrek en de mkb-winstvrijstelling.

Vraag 7

Hoe kijkt u aan tegen de verslechterende toegang tot financiering voor met name micro-ondernemingen?

Uit de meeste recente CBS-Financieringsmonitor blijkt geen verslechtering in de toegang tot financiering voor het microbedrijf. De afgelopen jaren weet het microbedrijf juist vaker aan financiering te komen. Zo zijn er meer microbedrijven overgegaan tot een financieringsaanvraag en hebben deze aanvragen ook vaker geleid tot financiering. Dit is goed nieuws. Toch blijven er microbedrijven, die lastig financiering weten te vinden. Voor deze ondernemers is er onder andere de FinancieringsGids (voor informatie en advies) en Qredits (voor microkredieten).

Vraag 8

Welke concrete stappen neemt u om de toegang tot krediet, inclusief non-bancaire financieringsvormen, te verbeteren?

Allereerst kunnen ondernemers terecht bij de FinancieringsGids. Hier vinden ondernemers informatie over kredietverleners (bancair en non-bancair) en financieringsadviseurs. Daarnaast staat er op de FinancieringsGids ook informatie over, bijvoorbeeld, hoe je het beste een financieringsaanvraag kunt indienen. Voor ondernemers die meer hulp nodig hebben is er ook de optie om een financieringsadviseur van de KvK te spreken of contact op te nemen met een private financieringsadviseur die is aangesloten bij het keurmerk Erkend Financieringsadvies MKB. Net als vorig jaar blijf ik dit jaar de FinancieringsGids door ontwikkelen.
Voor directe kredieten is er bovendien Qredits. Qredits verstrekt met name microkredieten, vooral aan starters en microbedrijven. In 2025 heb ik hierom een garantie afgegeven op een lening van de Europese Investeringsbank (EIB) aan Qredits. Met deze lening van € 40 mln. kan Qredits kredieten aan ondernemers verstrekken.
Ook stimuleer ik de professionalisering van de non-bancaire sector en financieringsadviseurs via stichting Finankeur. Deze stichting heeft drie gedragscodes: Erkend MKB Financier, Kort Zakelijk Krediet en Erkend Financieringsadvies MKB. Door deze gedragscodes wordt het voor ondernemers overzichtelijker welke financiers en financieringsadviseurs betrouwbaar zijn. Finankeur gaat komend jaar in gesprek met de sector over de versterking van de codes.

Vraag 9

In hoeverre herkent u het belang van goed betalingsgedrag in de keten als essentieel instrument om de liquiditeitspositie van kleine ondernemers te verbeteren? Welke aanvullende maatregelen overweegt u om dit te bevorderen, bijvoorbeeld via strengere handhaving van betaaltermijnen?

Goed betalingsgedrag is essentieel voor de liquiditeitspositie van kleine ondernemers en speelt een belangrijke rol in het voorkomen van schulden. Ik onderschrijf het belang van tijdige betalingen en blijf inzetten op de bewustwording en naleving van wettelijke betaaltermijnen. Daarnaast wordt er gekeken naar mogelijkheden om handhaving en transparantie rondom betaalgedrag verder te versterken.

Vraag 1

Bent u bekend met het bericht van de NOS over de cyberaanval bij Odido waarbij gegevens van circa 6,2 miljoen accounts zijn buitgemaakt door criminelen?1

Ja.

Vraag 2

Hoe beoordeelt u de omvang en ernst van dit datalek, mede gezien het feit dat ook gevoelige persoonsgegevens, zoals identiteitsdocumentnummers en rekeningnummers, mogelijk zijn gelekt?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte persoonsgegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede bescherming van persoonsgegevens zoals onder meer vereist in de Algemene Verordening Gegevensbescherming (AVG) noodzakelijk is en een integraal onderdeel moet zijn van primaire bedrijfsprocessen. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket onderzoek naar de aanval en de daders.

Vraag 3

In hoeverre heeft deze cyberaanval gevolgen voor de digitale veiligheid en weerbaarheid van Nederland, gezien de maatschappelijke rol van telecomproviders?

De AP heeft laten weten geen informatie te verstrekken over individuele zaken. In zijn algemeenheid houdt de AP bij omvangrijke datalekken onder meer toezicht op de naleving van de meldplicht datalekken en onderzoekt daarbij ook de beveiliging ten tijde van het lek en genomen vervolgstappen. Maar ook andere aspecten die specifiek zijn voor de datalekzaak kunnen door de AP worden onderzocht. Daarbij wordt ook rekening gehouden met signalen uit openbare bronnen en signalen uit klachten die de AP heeft ontvangen.
De AP beschikt over voldoende handhavende bevoegdheden vanuit de AVG om in te grijpen wanneer een (voorgenomen) verwerking van persoonsgegevens niet rechtmatig, behoorlijk en/of transparant plaatsvindt. Bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen of het opleggen van boetes.

Vraag 4

Hoe beoordeelt u het risico dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen kan dit hebben voor de veiligheid en privacy van betrokken burgers?

De bij Odido gestolen persoonsgegevens zijn inmiddels gepubliceerd.2 In algemene zin geldt dat een dergelijke grootschalige publicatie in ieder geval het risico verhoogt op diverse vormen van oplichting en fraude zoals gerichte phishing en social engineering. Onder andere Odido, Veiliginternetten.nl, de politie en de AP communiceren naar aanleiding van het datalek actief waarvoor gestolen gegevens kunnen worden misbruikt en geven tips om gevolgen van het datalek zoveel mogelijk tegen te gaan.3

Vraag 5

Heeft Odido het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens en andere relevante instanties, en bent u op de hoogte van eventuele lopende onderzoeken?

De AP heeft laten weten dat Odido het datalek tijdig heeft gemeld bij de AP. Odido geeft aan daarnaast proactief relevante overheidsinstanties, waaronder de RDI, te hebben geïnformeerd. De RDI is op basis van de verkregen informatie mogelijke vervolgstappen aan het onderzoeken. De AP meldt op haar website dat zij aanleiding ziet om tot formeel onderzoek over te gaan.4

Vraag 6

Is er volgens uw inschatting sprake van nalatigheid of onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido?

Het is niet aan het kabinet om dit te beoordelen. Dit is in eerste instantie aan de AP. De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. De AP toetst daarnaast of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.

Vraag 7

Welke risico’s lopen getroffen klanten en acht u de door Odido genomen maatregelen voldoende om deze risico’s te beperken?

Zie het antwoord op de vraag 4. De vraag of Odido voldoende maatregelen heeft genomen om te voldoen aan de zorgplicht uit de Telecommunicatiewet en de AVG is aan de toezichthouders om te beoordelen.

Vraag 8

Welke eisen worden momenteel gesteld aan telecomproviders ten aanzien van cyberbeveiliging en gegevensbescherming en voldoen deze volgens u nog aan de huidige dreigingscontext?

Het toepasselijke normenkader stelt de strikte vereisten die noodzakelijk zijn voor een goede bescherming in een steeds veranderende dreigingscontext. Zoals aangegeven in het antwoord op vraag 3 valt Odido onder de zorgplicht van de Telecommunicatiewet. Onder de zorgplicht dienen aanbieders passende technische en organisatorische maatregelen te nemen om risico’s voor de beveiliging van hun netwerken of diensten te beheersen. Dit moet zorgen voor een veiligheidsniveau dat is afgestemd op risico's die zich voordoen. De RDI ziet toe op de naleving van de vereisten van deze zorgplicht.
Daarnaast zijn telecomproviders gebonden aan de AVG, waaronder de beginselen van behoorlijke gegevensverwerking. Het beginsel van dataminimalisatie houdt bijvoorbeeld in dat organisaties alleen persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor een vooraf bepaald, specifiek doel. Op verwerkingsverantwoordelijken rust daarnaast de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen dienen een op de risico’s voor de rechten en vrijheden van personen afgestemd beveiligingsniveau te waarborgen en rekening te houden met de stand van de techniek, alsook met de aard, omvang, context en doeleinden van de verwerking. Het waarborgen van passend bewustzijn van de beveiligingsrisico's bij personen die toegang hebben tot de te verwerken gegevens is daarbij van belang. Verwerkingsverantwoordelijken dienen hun beveiligingsmaatregelen doorlopend te evalueren en zo nodig aan te passen aan nieuwe risico’s, waaronder nieuwe cyberdreigingen. Op grond van de AVG fungeert de Functionaris gegevensbescherming (FG) als onafhankelijk adviseur en ziet toe op de naleving van het gegevensbeschermingsrecht waaronder de te nemen maatregelen.
Het Nationaal Cyber Security Centrum staat rond actuele kwetsbaarheden en cyberdreigingen in nauw contact met partners binnen de telecomsector en werkt onder meer samen via het telecomgerichte Information Sharing and Analysis Center (ISAC).
EZK werkt samen met de telecomoperators in het Nationaal Continuïteit Overleg Telecom (NCOT) om gezamenlijk aan de continuïteit van de telecomdienstverlening te werken in het kader van de huidige dreiging.

Vraag 9

Ziet u aanleiding om aanvullende eisen of toezichtmaatregelen te treffen richting telecomproviders om grootschalige datalekken te voorkomen?

Op dit moment ziet de Staatssecretaris van Economische Zaken geen aanleiding om aanvullende eisen te stellen richting telecomproviders om grootschalige datalekken te voorkomen. Zoals uiteengezet in het antwoord op vraag 8 zijn onder de toepasselijke wet- en regelgeving, waaronder de Telecomwet en de AVG, organisaties zelf verantwoordelijk voor het nemen van passende maatregelen om, mede gelet op de huidige dreigingscontext, (grootschalige) datalekken te voorkomen. Het is aan de toezichthouders om daarop toe te zien en in dit verband de nodige toezichtmaatregelen te treffen. Dit is niet aan mij als bewindspersoon.

Vraag 10

Welke rol ziet u voor de overheid bij het ondersteunen van bedrijven en burgers bij het beperken van schade na grootschalige datalekken?

De AP ziet als onafhankelijke toezichthouder toe op de naleving van de AVG en kan handhavend optreden wanneer organisaties tekortschieten. Daarnaast heeft de toezichthouder een belangrijke rol in voorlichting. Door het geven van uitleg, richtsnoeren en praktische handvatten ondersteunt de toezichthouder organisaties en burgers bij de toepassing van de AVG en het uitoefenen van hun rechten.
Ook Veiliginternetten.nl geeft adviezen in deze casus. Dit is een publiek-private website om neutrale informatie over digitale veiligheid te verstrekken aan burgers. Het Nationaal Cyber Security Centrum (NCSC) deelt via openbare kanalen diverse adviezen en richtlijnen over cybersecurity, zoals beveiligingsadviezen, dreigingsinformatie en maatregelen om digitale incidenten te voorkomen of te beperken. Het Ministerie van EZK verstrekt jaarlijks via Mijn Cyberweerbare Zaak subsidie aan kleinere mkb’ers ter versterking van hun digitale weerbaarheid.
Mensen die vermoeden dat ze slachtoffer zijn geworden van diefstal van hun gegevens kunnen op de site van de politie controleren of hun data in handen is gevallen van criminelen.

Vraag 11

Acht u de oproep van Odido aan klanten om «extra alert» te zijn voldoende, of ziet u een verantwoordelijkheid voor aanvullende beschermingsmaatregelen richting getroffen klanten?

Zoals uiteengezet in het antwoord op vraag 8, stelt het toepasselijke normenkader, in het bijzonder de AVG, de nodige strikte vereisten. De AP ziet toe op de naleving van dat kader.

Vraag 12

Bestaan er landelijke richtlijnen of protocollen voor ondersteuning van burgers die slachtoffer zijn van grootschalige datalekken waarbij identiteitsgegevens zijn buitgemaakt? Zo ja, worden deze in dit geval toegepast?

Het handelingskader voor slachtoffers van datalekken wordt vormgegeven door de AVG. De AVG verplicht verwerkingsverantwoordelijke organisaties om betrokkenen te informeren over een «hoog risico» datalek. De wijze waarop betrokkenen in lijn met de AVG dienen te worden geïnformeerd, wordt uitgewerkt in richtsnoeren van het Europees Comité voor gegevensbescherming (EDPB). Het is aan de AP om daarop toe te zien. Tevens heeft de AP op grond van de AVG de eigen wettelijke taak om voorlichting te geven aan burgers over hun rechten en handelingsmogelijkheden uit hoofde van de AVG bij datalekken. De website van de AP biedt een overzicht van mogelijkheden voor betrokkenen bij een datalek.
Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Digitale Economie en Soevereiniteit en de aangenomen motie van het lid Rajkowski die opriep voor een duidelijk handelingskader voor slachtoffers van datalekken en de gedane toezegging5.

Vraag 13

Op welke wijze houdt de Autoriteit Persoonsgegevens toezicht op de opvolging van dit incident, en beschikt de toezichthouder volgens u over voldoende bevoegdheden en capaciteit om effectief toezicht te houden bij grootschalige datalekken?

Vraag 14

Welke lessen trekt u uit dit incident voor het beleid richting de markt op het gebied van de weerbaarheid van organisaties die grote hoeveelheden persoonsgegevens verwerken?

Zie het antwoord op vraag 2.

Vraag 1

Bent u bekend met het artikel «Groei maskeert kwetsbaarheid kleinbedrijf: Microbedrijven lopen op cashmuur af» in het Financiële Dagblad van 9 januari 2026, waaruit blijkt dat de financiële positie van micro- en kleine mkb-bedrijven (tot € 2 miljoen omzet) snel verslechtert, ondanks omzetgroei?1

Ja

Vraag 2

Herkent u het geschetste beeld dat deze bedrijven steeds minder rendement halen en nauwelijks nog financiële buffers hebben?

Uit de langjarige cijfers van de Conjunctuurenquête2 van het CBS blijkt dat sinds 2022, na de coronacrisis, een aantal bedrijven in alle grootteklassen aangeeft financiële beperkingen te ondervinden. Het aandeel nam toe van ongeveer 5% in 2022 tot ongeveer 10% eind december 2025. Het aandeel specifiek in het kleinbedrijf (met 5–50 werkzame personen) dat financiële beperkingen ervaart nam toe van 6,8% in 2022 naar 12,9% in 2025. Dit brengt het aandeel terug richting percentages die voor corona zijn gemeten. Het aandeel bedrijven dat financiële beperkingen ervaart, blijft nog steeds een kleine minderheid.
Deze trend wordt bevestigd in recente enquêtes van de Kamer van Koophandel3 en panelonderzoek4 uit oktober 2025 van Qredits. Tegelijkertijd blijkt uit de Conjunctuurenquête dat 90% van de ondervraagde bedrijven niet aangeeft financiële beperkingen te ervaren. Via de Financieringsmonitor en de Conjunctuurenquête, beiden uitgevoerd door het CBS, en andere onderzoeken blijf ik continu de financiële positie van het mkb monitoren.

Vraag 3

Hoe beoordeelt u de conclusie uit het onderzoek dat veel ondernemers hun coronasteun en andere leningen hebben moeten gebruiken om kosten te dekken in plaats van te investeren?

Zoals de onderzoekers van Teamleader aangegeven is er onvoldoende data om deze conclusie te trekken. Wel hebben de onderzoekers aangegeven dit te vermoeden. Ik zie dit als een logisch gevolg van de uitzonderlijke omstandigheden tijdens en na de coronaperiode. Voor veel ondernemers was het noodzakelijk om steun en leningen in te zetten om acute verplichtingen na te komen.
De coronasteunmaatregelen waren hoofdzakelijk gericht op het behoud van banen en werkgelegenheid, de voortgang van bedrijfsactiviteiten en het behoud van economische groei. De steunmaatregelen droegen bij aan een verbetering van de liquiditeit en solvabiliteit van bedrijven. Afgelopen jaar heb ik uw Kamer de evaluatie van de Tegemoetkoming Ondernemers Getroffen Sectoren COVID-19 (TOGS) en Tegemoetkoming Vaste Lasten (TVL) gestuurd.5 Recentelijk heeft ook de Minister van Financiën, mede namens het Ministerie van Economische Zaken (EZ) en Sociale Zaken en Werkgelegenheid (SZW), uw Kamer de synthesestudie coronasteunmaatregelen6 gestuurd. Dit syntheseonderzoek concludeert, op basis van eerdere evaluaties, dat het coronasteunpakket als geheel doeltreffend was in het behoud van werkgelegenheid en waardeketens.

Vraag 4

Welke lessen trekt u hieruit voor de opzet en de inzet van toekomstige steun- of stimuleringsregelingen?

Alle maatregelen en financiële instrumenten voor het bedrijfsleven worden (periodiek) geëvalueerd en lessen hieruit zullen worden meegenomen bij een eventuele crisis.

Vraag 5

In hoeverre deelt u de zorgen dat microbedrijven als «kanarie in de kolenmijn» bij een kleine tegenvaller al in grote problemen komen, mede doordat marges onder druk staan en vaste lasten en rentes stijgen?

Ik onderschrijf het grote belang van het microbedrijf. De financiële knelpunten die zich nu voordoen, hebben meerdere oorzaken, zoals stijgende lonen, energie- en huurprijzen. Alle bedrijven hebben te maken met deze prijsstijgingen. Echter, in combinatie met de smalle marges die door de kostenstructuur in een aantal sectoren bestaan, zoals horeca en detailhandel, kunnen de kostenstijgingen daar meer effect hebben. Onder reguliere omstandigheden is het een gebruikelijk proces dat bedrijven verdwijnen die financieel niet gezond zijn, een zwak businessmodel hebben of zich niet kunnen aanpassen aan veranderende omstandigheden. De huidige stijging van het aantal bedrijven dat vrijwillig stopt, kan een indicatie zijn dat er nu een inhaalslag plaatsvindt. Hierdoor blijven financieel gezonde bedrijven over die een stabiele basis vormen voor de economie. Ik blijf de ontwikkelingen in het mkb zorgvuldig monitoren.

Vraag 6

Ziet u aanleiding voor aanvullend beleid om deze bedrijven weerbaarder te maken?

Ik zie nu geen aanleiding tot aanvullend beleid. Op verschillende manieren ondersteunen we al het mkb. Denk bijvoorbeeld aan Qredits, dat zich richt op mkb-ondernemers die financiering of coaching nodig hebben, maar niet in het reguliere financieringscircuit terecht kunnen. Of aan de Borgstelling MKB-kredieten (BMKB). Er is een samenhangend palet van instrumenten om financiële problemen tijdig te herkennen en aan te pakken. Zo speelt het Ondernemersklankbord (OKB) een belangrijke rol bij het vroegtijdig signaleren van financiële kwetsbaarheid en het bieden van onafhankelijke begeleiding aan ondernemers. Daarnaast biedt Geldfit Zakelijk ondernemers laagdrempelig inzicht in hun financiële situatie en toegang tot passende ondersteuning bij (dreigende) schulden. OKB en Geldfit Zakelijk worden financieel ondersteund door Economische Zaken en dragen eraan bij dat ondernemers eerder hulp zoeken en problemen niet onnodig escaleren. Ook zijn er fiscale instrumenten die zich specifiek richten op het mkb, zoals de Zelfstandigenaftrek en de mkb-winstvrijstelling.

Vraag 7

Hoe kijkt u aan tegen de verslechterende toegang tot financiering voor met name micro-ondernemingen?

Uit de meeste recente CBS-Financieringsmonitor blijkt geen verslechtering in de toegang tot financiering voor het microbedrijf. De afgelopen jaren weet het microbedrijf juist vaker aan financiering te komen. Zo zijn er meer microbedrijven overgegaan tot een financieringsaanvraag en hebben deze aanvragen ook vaker geleid tot financiering. Dit is goed nieuws. Toch blijven er microbedrijven, die lastig financiering weten te vinden. Voor deze ondernemers is er onder andere de FinancieringsGids (voor informatie en advies) en Qredits (voor microkredieten).

Vraag 8

Welke concrete stappen neemt u om de toegang tot krediet, inclusief non-bancaire financieringsvormen, te verbeteren?

Allereerst kunnen ondernemers terecht bij de FinancieringsGids. Hier vinden ondernemers informatie over kredietverleners (bancair en non-bancair) en financieringsadviseurs. Daarnaast staat er op de FinancieringsGids ook informatie over, bijvoorbeeld, hoe je het beste een financieringsaanvraag kunt indienen. Voor ondernemers die meer hulp nodig hebben is er ook de optie om een financieringsadviseur van de KvK te spreken of contact op te nemen met een private financieringsadviseur die is aangesloten bij het keurmerk Erkend Financieringsadvies MKB. Net als vorig jaar blijf ik dit jaar de FinancieringsGids door ontwikkelen.
Voor directe kredieten is er bovendien Qredits. Qredits verstrekt met name microkredieten, vooral aan starters en microbedrijven. In 2025 heb ik hierom een garantie afgegeven op een lening van de Europese Investeringsbank (EIB) aan Qredits. Met deze lening van € 40 mln. kan Qredits kredieten aan ondernemers verstrekken.
Ook stimuleer ik de professionalisering van de non-bancaire sector en financieringsadviseurs via stichting Finankeur. Deze stichting heeft drie gedragscodes: Erkend MKB Financier, Kort Zakelijk Krediet en Erkend Financieringsadvies MKB. Door deze gedragscodes wordt het voor ondernemers overzichtelijker welke financiers en financieringsadviseurs betrouwbaar zijn. Finankeur gaat komend jaar in gesprek met de sector over de versterking van de codes.

Vraag 9

In hoeverre herkent u het belang van goed betalingsgedrag in de keten als essentieel instrument om de liquiditeitspositie van kleine ondernemers te verbeteren? Welke aanvullende maatregelen overweegt u om dit te bevorderen, bijvoorbeeld via strengere handhaving van betaaltermijnen?

Goed betalingsgedrag is essentieel voor de liquiditeitspositie van kleine ondernemers en speelt een belangrijke rol in het voorkomen van schulden. Ik onderschrijf het belang van tijdige betalingen en blijf inzetten op de bewustwording en naleving van wettelijke betaaltermijnen. Daarnaast wordt er gekeken naar mogelijkheden om handhaving en transparantie rondom betaalgedrag verder te versterken.