Nederland heeft de afgelopen maanden een reeks datalekken meegemaakt die er in elk opzicht bovenuit steken. Niet zozeer vanwege de technische complexiteit van de aanvallen, die valt in veel gevallen nog mee, maar vanwege de manier waarop betrokken bedrijven en organisaties omgaan met hun verantwoordelijkheid. Traag communiceren. Vage taal. En na de storm: een VPN-aanbieding als doekje voor het bloeden.
Het is tijd om te benoemen wat hier eigenlijk speelt.
Odido: het grootste datalek in de Nederlandse geschiedenis
In februari 2026 werd Odido getroffen door een cyberaanval uitgevoerd door hackersgroep ShinyHunters. De omvang: ruim 6,2 miljoen (oud-)klanten getroffen. Namen, adressen, telefoonnummers, bankrekeningnummers, e-mailadressen en interne klantnotities buitgemaakt. Het is het grootste datalek in de Nederlandse geschiedenis.
Wat daarna volgde is veelzeggend. Odido positioneerde zichzelf in de communicatie primair als slachtoffer van een externe aanval. Technisch klopt dat maar het negeert een cruciale vraag: had het zo ver kunnen komen?
Want Odido had in 2025 al een boete van 1,5 miljoen euro gekregen van de Autoriteit Persoonsgegevens wegens onvoldoende beveiliging van haar systemen. Er waren blijkbaar ook waarschuwingen van softwarebedrijf Salesforce over kwetsbaarheden in de gebruikte systemen. Die zijn, zo lijkt het, in de wind geslagen.
De “oplossing” die Odido haar klanten aanbood na het lek: een F-Secure VPN-tool – toevallig ook geschikt om langs Nederlandse politieblokkades te surfen. Dezelfde politie die vervolgens probeerde de verspreiding van de gestolen data te stoppen. De ironie schrijft zichzelf.
Inmiddels is de teller van wegglopende klanten fors opgelopen. Het aantal nieuwe internetklanten daalde met 85 procent. En claimorganisatie Consumers United in Court heeft een massaclaim ingediend: Odido zou onvoldoende beveiligingsmaatregelen hebben genomen, en slachtoffers hebben mogelijk recht op financiële compensatie.
De gestolen gegevens zijn inmiddels toegevoegd aan Have I Been Pwned en aan Check je Hack van de politie. Check je e-mailadres als je ooit klant bent geweest bij Odido of dochtermerken zoals Ben.
Bevolkingsonderzoek Nederland: medische data van bijna een miljoen vrouwen
Als je denkt dat Odido erg was, dan heeft het datalek bij het bevolkingsonderzoek baarmoederhalskanker een nog duisterdere dimensie. In juli 2025 werd laboratorium Clinical Diagnostics in Rijswijk gehackt door hackersgroep Nova. Buitgemaakt: de persoonsgegevens en medische uitslagen van aanvankelijk gemelde 485.000 vrouwen – later bleek dat dit aantal opliep tot minimaal 715.000, en mogelijk zelfs 941.000.
Het ging hier niet om e-mailadressen of telefoonnummers. Het ging om BSN-nummers, namen, adressen, geboortedata en de uitslag van medische onderzoeken. Intiem, gevoelig, onvervangbaar.
Wat hier bijzonder zorgelijk is: het lab wist blijkbaar al een maand dat de hack had plaatsgevonden voordat Bevolkingsonderzoek Nederland op de hoogte werd gesteld. Er zijn sterke aanwijzingen dat Clinical Diagnostics de zaak aanvankelijk onder de pet wilde houden om reputatieschade te voorkomen. Pas toen de druk te groot werd, kwamen ze naar buiten.
Losgeld werd betaald – naar verluidt miljoenen euro’s. Toch publiceerde Nova een deel van de gegevens alsnog. Zo gaat dat met criminelen.
Het gevolg: vrouwen die deelnamen aan een kankerscreening zien hun meest persoonlijke medische informatie op het dark web verschijnen. Transgender en non-binaire mensen zagen ook hun genderidentiteit gelekt. En het uitnodigingsprogramma voor baarmoederhalskankeronderzoek liep vertraging op doordat het lab tijdelijk buiten gebruik was.
Dit is geen datalek. Dit is institutioneel falen op meerdere niveaus tegelijk.
Booking.com: oud probleem, oude lessen, geen excuses
In april 2026 bevestigde Booking.com dat onbevoegde derden toegang hadden gekregen tot klantgegevens: namen, e-mailadressen, fysieke adressen, telefoonnummers en boekingsdetails.
Hoeveel klanten getroffen zijn? Onbekend. Wanneer de aanval plaatsvond? Onbekend. Hoe het kon gebeuren? Onbekend. Booking.com communiceerde het absolute minimum en noemde het probleem “onder controle.”
Dit is niet de eerste keer. In 2018 meldde Booking.com een datalek 22 dagen te laat aan de Autoriteit Persoonsgegevens – ruim boven de wettelijke termijn van 72 uur. Dat leverde een boete op van 475.000 euro. In 2020, 2022 en 2024 volgden nieuwe incidenten. Phishing-aanvallen op reizigers stegen in 2024 met 900 procent, mede door criminelen die AI inzetten.
Toch lijkt Booking.com keer op keer verrast te worden.
De Autoriteit Persoonsgegevens is inmiddels op de hoogte en doet samen met het bedrijf onderzoek naar de oorzaak. Of dat tot een formeel onderzoek leidt, hangt af van wat er wordt gevonden. Gezien de track record zou dit niemand verbazen.
Basic-Fit: 200.000 Nederlandse klanten in april 2026
Twee weken geleden, op 13 april 2026, meldde fitnessketen Basic-Fit een datalek. Geraakt: 200.000 Nederlandse leden, onderdeel van een Europees totaal van één miljoen getroffen klanten. Gestolen: namen, adressen, telefoonnummers, e-mailadressen, geboortedatums en bankrekeningnummers.
Opvallend: Basic-Fit communiceerde relatief snel en direct. Klanten werden per mail geïnformeerd. Dat is hoe het hoort.
Het neemt niet weg dat het incident opnieuw laat zien hoe aantrekkelijk consumentendatabases zijn voor aanvallers. Financiële gegevens gecombineerd met persoonsgegevens zijn goud waard op het dark web.
Het patroon dat niemand wil zien
Als je deze incidenten naast elkaar legt, zie je een patroon.
Bedrijven bewaren te veel. Odido had klantgegevens van miljoenen oud-klanten nog jarenlang opgeslagen. Clinical Diagnostics had data van vrouwen van vóór 2017 in zijn systemen. Hoe lang is te lang? De AVG is duidelijk: niet langer dan noodzakelijk. In de praktijk: zolang het systeem niet opgeruimd wordt.
Waarschuwingen worden genegeerd. Odido had een boete gekregen voor onvoldoende beveiliging. Er waren meldingen over kwetsbaarheden in het systeem. Toch gebeurde het. Blijkbaar weegt de pijn van een hack pas zwaar genoeg nadat het te laat is.
Communicatie dient het bedrijf, niet de klant. Booking.com vertelt niet wanneer de hack plaatsvond of hoeveel mensen getroffen zijn. Clinical Diagnostics hield een maand lang de mond. Odido positioneert zichzelf als slachtoffer. De getroffen persoon – jij, ik, iemands moeder die meedeed aan kankerscreening – krijgt vaagheid en vertragingen.
Toezicht heeft tanden, maar slaat ze zelden in. De Autoriteit Persoonsgegevens heeft de bevoegdheid om forse boetes op te leggen. De praktijk is dat onderzoeken lang duren en uitkomsten beperkt zijn. Bedrijven rekenen de kans in – en nemen het risico.
Wat kun jij doen?
Je hebt het lek zelf niet veroorzaakt. Maar je kunt wel bepalen hoe je ermee omgaat.
Controleer of je gegevens gelekt zijn. Ga naar haveibeenpwned.com of politie.nl/check-je-hack. Vul je e-mailadres in. Zeker als je ooit klant was bij Odido, Ben, Booking.com of Basic-Fit.
Wees extra alert op phishing. Criminelen combineren gelekte data om gerichte aanvallen te doen. Een “echte” mail met jouw naam, adres en boekingsdetails kan alsnog nep zijn. Klik niet zomaar op links in mails over datalekken.
Gebruik unieke wachtwoorden per dienst. Als één account gecompromitteerd is, moeten niet al je andere accounts dat ook zijn. Een wachtwoordmanager helpt hierbij.
Overweeg een identiteitswaakhond. Diensten zoals die van je bank of gespecialiseerde partijen kunnen je waarschuwen als jouw gegevens gebruikt worden voor kredietaanvragen of andere handelingen.
Dien een klacht in als je schade ondervindt. Via de Autoriteit Persoonsgegevens, via claimorganisaties zoals CUIC bij Odido, of via je bank als je financieel gedupeerd bent.
Tot slot
De vraag is niet meer of bedrijven gehackt worden. De vraag is of ze serieus genoeg omgaan met de gegevens die ze van jou bewaren. En of de consequenties voor slordigheid zwaar genoeg zijn om gedrag te veranderen.
Op dit moment is het antwoord op beide vragen: onvoldoende.
Dat moet veranderen.
Ps. Zelf goede cybersecurity nodig? Wij heben een prachtige cybersecurity dienst voor zzp’ers tot mkb’ers. Meer info hier: tiensecurity.nl!