In februari 2026 is Odido getroffen door een grote cyberaanval waarbij persoonlijke gegevens van miljoenen klanten zijn gestolen. Criminelen wisten toegang te krijgen tot systemen van het telecombedrijf, vermoedelijk via een hack op het klantenserviceplatform.
Vandaag ging ons Tweede Kamerlid Queeny Rajkowski in debat over de gevolgen van deze hack en hoe we ervoor kunnen zorgen dat we digitaal weerbaarder zijn.
Lees hieronder de spreektekst (gesproken woord geldt).
Voorzitter,
De hackersgroep ShinyHunters was tot voor kort onbekend bij het grote publiek. Inmiddels zorgen zij voor grote onrust onder miljoenen Nederlanders. Mensen vragen zich af: word ik straks opgelicht? Kan ik een e-mail van een bedrijf nog vertrouwen? Hoe weet ik of een link veilig is?
En het lek is nog niet voorbij. Er zouden nog miljoenen gegevens achter de hand worden gehouden, waaronder documentnummers van paspoorten, rijbewijzen en identiteitsbewijzen. Met zulke informatie wordt identiteitsfraude, phishing en oplichting wel heel eenvoudig.
Wat deze zaak extra zorgwekkend maakt, is dat er méér gegevens op straat lijken te liggen dan je redelijkerwijs van een telecomprovider zou verwachten. Er zijn signalen dat ook zeer gevoelige informatie is bewaard en gepubliceerd, waaronder gegevens van slachtoffers van stalking en huiselijk geweld. Voor hen kan dit directe en gevaarlijke gevolgen hebben.
Voorzitter, 100% veiligheid bestaat niet, ook niet online. Maar dat mag nooit een excuus zijn om achterover te leunen. We moeten twee dingen tegelijk doen: datalekken zoveel mogelijk voorkomen én klaarstaan met een stevig plan als het misgaat. Dat vraagt actie van de samenleving, van bedrijven én van de overheid.
Daarom roep ik het kabinet op tot actie met in ieder geval de volgende 7 punten, om datalekken te voorkomen én een plan voor eerste hulp aan slachtoffers.
1. Versneld invoeren van NIS2
Kan de staatssecretaris toezeggen dat alles op alles wordt gezet om de NIS2-richtlijn zo snel mogelijk in te voeren? Nederland loopt achter. Verdere vertraging kunnen we ons niet veroorloven.
2. Duidelijkheid over het bewaren van adresgegevens
Is de staatssecretaris bereid de toezichthouder te vragen om met een helder advies te komen: wanneer is het noodzakelijk om adresgegevens te bewaren en wanneer niet? Als je een concertticket aan de balie koopt, wordt je adres niet gevraagd. Online is dat ineens wél standaard. Dat verschil verdient uitleg en begrenzing. Dataminimalisatie moet het uitgangspunt zijn. De Digitale Dolle Mina’s hebben ideeën over hoe dit vorm zou kunnen krijgen.
3. Modernisering van de toezichthouder
De toezichthouder moet niet alleen handhaven, maar ook actiever richting geven. Bedrijven hebben behoefte aan duidelijke richtlijnen: welke data móet je bewaren en welke juist niet? Dat voorkomt onnodige opslag van gevoelige gegevens – en dus risico’s. Dus een toezichthouder die niet alleen achteraf beboet, maar ook vooraf mee kan denken.
4. Investeren in weerbaarheid via HackShield
Digitale weerbaarheid begint vroeg. Laten we ervoor zorgen dat HackShield blijft bestaan, zodat kinderen op de basisschool al leren over de kansen én gevaren van technologie. Zo bouwen we aan een generatie die digitaal vaardig en weerbaar is. Kan de staatssecretaris hierop reageren.
5. Aanpak van cybercriminelen
Wat is er nog nodig om cybercriminelen, zodra zij worden gepakt, daadwerkelijk achter slot en grendel te krijgen? Is er sprake van een wettelijke lacune waardoor cybercrimenelen nu soms tot vrijuit gaan? (motie 1)
6. Europese sanctielijsten
Hoe staat het met de uitvoering van moties en toezeggingen aan mijn adres om cybercriminelen op Europese sanctielijsten te plaatsen wanneer zij zich bevinden in landen zonder uitleveringsverdrag, zoals Rusland? Graag een stand van zaken.
7. Een concreet handelingskader voor slachtoffers
Voorzitter, met alleen een naam of een IBAN kan een crimineel weinig. Maar met een combinatie van naam, adres, rekeningnummer en documentgegevens wordt oplichting plotseling een stuk eenvoudiger. Phishingmails worden realistischer. En veel bedrijven gebruiken precies deze gegevens om iemands identiteit te verifiëren.
Een naam verander je niet zomaar. Een nieuw paspoort aanvragen kan, een nieuwe bankrekening openen ook. Maar een BSN vervangen is vrijwel onmogelijk. En toch moeten we slachtoffers méér kunnen bieden dan het advies om “goed op te letten”.
Daarom vraag ik de staatssecretaris om samen met onder andere de toezichthouder, data-experts en het bedrijfsleven te komen tot een duidelijk handelingskader voor slachtoffers van datalekken.
Welke gegevens moeten vervangbaar worden? Onder welke voorwaarden? Wat kan de overheid faciliteren? En hoe zorgen we dat slachtoffers snel, praktisch en effectief geholpen worden?
Bij deze kondig ik aan graag als Tweede Kamer ook dit gesprek te willen voeren middels een rondetafel met experts, waar we o.a. Odido kunnen uitnodigen. Ik kom nog met een voorstel richting de Kamer hierover.
Voorzitter, voorkomen is beter dan genezen. Maar als gegevens eenmaal op het darkweb circuleren, moet de overheid naast haar burgers staan. Niet met goede bedoelingen, maar met een concreet plan. Dat zijn we de miljoenen Nederlanders die nu in onzekerheid zitten, verschuldigd.
