Menu
Home
Diensten
CyberCheck
Wil je weten hoe weerbaar jouw organisatie écht is tegen digitale incidenten zoals ransomware of phishing? Onze CyberCheck geeft je snel en betrouwbaar inzicht in de sterktes en zwaktes van je ICT-beleid, processen en technische maatregelen. De CyberCheck onderzoekt o.a. in hoeverre je organisatie voorbereid is op cyberincidenten. Of je cybersecuritybeleid actueel, gedragen en werkbaar is en welke kwetsbaarheden er zitten in je systemen of organisatiecultuur.
CyberAwareness
Onze CyberAwareness aanpak gaat verder dan alleen een training, eenmalige les of checklist. Het is een maatwerkprogramma dat bestaat uit een slimme combinatie van e-learning, phishing-simulaties, in-company sessies en gamification. Medewerkers worden actief betrokken en leren te denken als een aanvaller. Op deze manier leren ze zwakheden te herkennen, risico’s melden en digitaal veiliger handelen. Door continu te meten hoe mensen reageren op dreigingen, houden we de effectiviteit scherp in beeld.
CyberCompliancy
CyberCompliancy is bij Securide een modulaire dienst. Dat betekent dat we aansluiten op wat jouw organisatie nodig heeft, op dat moment. CyberCompliancy is geen eenmalig traject, maar een manier om grip te houden op veranderende eisen, risico’s en verplichtingen. In veel gevallen start onze CyberCompliancy met een CompliancyCheck. Hiermee onderzoeken we aan welke wet- en regelgeving of standaarden jouw organisatie moet voldoen. In hoeverre je daar op dit moment aan voldoet en waar risico’s, kwetsbaarheden en afwijkingen zitten.
CyberControl
Cyberweerbaarheid regel je niet met losse maatregelen, maar met een samenhangende aanpak. Daarom hebben wij CyberControl ontwikkeld: een traject waarin techniek, gedrag en beleid samenkomen. Dit alles is afgestemd op jouw organisatie, jouw risico’s en jouw ambities. Geen standaardpakket, maar een structureel groeipad naar echte cyberweerbaarheid.
Over ons
Blogs
Contact
Nederlands
Blog
De Odido-hack: één phishingmail, 6,5 miljoen slachtoffers en 10 lessen voor jouw bedrijf!
Lezen in 12 min.
03 March 2026
De Odido-hack: één phishingmail, 6,5 miljoen slachtoffers en 10 lessen voor jouw bedrijf!
Begin februari 2026. Een klantenservicemedewerker van Odido ontvangt een e-mail die afkomstig lijkt van de IT-afdeling. Er wordt gevraagd om inloggegevens te bevestigen. Even later volgt een telefoontje, ogenschijnlijk van dezelfde IT-afdeling, met het verzoek een extra inlogpoging goed te keuren. Het lijkt routine. Het is het begin van een van de grootste datalekken in de Nederlandse telecomgeschiedenis.
De Odido-hack: één phishingmail, 6,5 miljoen slachtoffers en 10 lessen voor jouw bedrijf!

Binnen enkele dagen hebben aanvallers toegang tot het Salesforce-systeem van Odido. Niet via een geavanceerde technische hack. Niet via een kwetsbaarheid in de software. Maar via een medewerker die in goed vertrouwen meewerkte aan wat een normale IT-procedure leek te zijn. Het resultaat: de persoonlijke gegevens van 6,5 miljoen mensen en 600.000 bedrijven liggen op straat. Namen, adressen, IBAN-nummers, identiteitsdocumenten en zelfs interne klantenservice-notities.

Voor veel MKB-ondernemers voelt zo'n incident ver van hun bed. Odido is een grote telecomprovider met miljoenen klanten. Maar de lessen uit deze hack raken iedere organisatie, ongeacht de omvang. Want de methode die de aanvallers gebruikten, social engineering en phishing, is een methode die werkt bij elk bedrijf waar mensen werken; groot of klein! Het maakt gebruik van de mens als zwakste schakel in cybersecurity.

Les 1: cybersecurity gaat verder dan alleen IT!

De Odido-hack laat zien dat cybersecurity geen geïsoleerd IT-probleem is. De kwetsbaarheden die werden blootgelegd raken aan alle drie de pijlers van cyberweerbaarheid: mens, proces en techniek.

Mens: Een medewerker werd via phishing en een overtuigend telefoontje misleid om inloggegevens te delen en vervolgens een extra inlogpoging goed te keuren. Daarmee werd de technische beveiliging volledig omzeild. De medewerker was niet nalatig, men was gewoonweg niet (voldoende) getraind om dit type aanval te herkennen.

Proces: Er ontbraken duidelijke procedures voor het omgaan met waarschuwingen van leveranciers. Odido is namelijk in aanloop naar de daadwerkelijke hack meermaals gewaarschuwd over de kwetsbaarheid van het proces. Hier is helaas niet adequaat op gereageerd.

Techniek: Toegangsrechten waren te ruim, monitoring ontbrak en gevoelige data was onnodig breed toegankelijk.

Dat de aanval bij een mens, betekent niet dat techniek er niet toe doet. Integendeel. Nadat de aanvallers binnen waren, bleek dat essentiële technische maatregelen simpelweg ontbraken. Waarom kon een klantenservicemedewerker bij de volledige gegevens van miljoenen klanten? Waarom waren paspoortnummers en complete IBAN-nummers zichtbaar? En waarom kon iemand miljoenen records uit het systeem halen zonder dat er ergens een alarm afging?

Goede autorisatie, beperkte toegangsrechten en actieve monitoring hadden de schade drastisch kunnen beperken, ook nadat de aanvallers toegang hadden gekregen. En die dreiging wordt steeds groter. Met de opkomst van AI kunnen criminelen vrijwel foutloze phishingmails opstellen, stemmen nabootsen en uiterst overtuigende scenario's opbouwen. Waar een slecht geschreven e-mail met spelfouten vroeger de alarmbellen deed rinkelen, zijn de aanvallen van vandaag bijna niet van echt te onderscheiden.

Pas wanneer je de drie aspecten, mens, proces en techniek, in samenhang aanpakt, ontstaat echte weerbaarheid. Een beveiliging met een uitstekende firewall , maar met medewerkers die niet altert zijn op gevaren van buitenaf, is ngo steeds een kwetsbare beveiliging. Een getraind team zonder goede processen weet niet wat te doen bij een incident. En de beste procedures zijn nutteloos als de technische basis ontbreekt.

Voor MKB-bedrijven is het verleidelijk om cybersecurity volledig bij de ICT-afdeling of IT-leverancier neer te leggen. Maar de Odido-zaak bewijst dat cyberweerbaarheid een vraagstuk is dat aandacht vraagt op elk niveau van de organisatie.

Les 2: weet wie toegang heeft tot welke gegevens

Een van de meest opvallende aspecten van de Odido-hack is de omvang van de schade via één enkel account. Doordat één klantenservicemedewerker haar Salesforce-inloggegevens kwijtraakte, kregen de aanvallers toegang tot de gegevens van miljoenen mensen. Dat roept fundamentele vragen op.

Waarom had een klantenservicemedewerker toegang tot volledige paspoortnummers en rijbewijsgegevens? Waarom waren complete IBAN-nummers zichtbaar, in plaats van slechts de laatste vier cijfers? Waarom kon zij bij profielen van oude klanten die allang geen actief abonnement meer hadden?

Het principe van "least privilege", het beperken van toegangsrechten tot wat strikt noodzakelijk is voor de functie, is een van de basisprincipes van informatiebeveiliging. In de praktijk zien we dat veel organisaties hier moeite mee hebben. Accounts krijgen ruime rechten "voor het gemak" of "omdat het altijd zo is geweest". Met goede RBAC-policies (Role Based Access Control) had de schade bij Odido een fractie kunnen zijn van wat het nu is.

Dit geldt net zo goed voor MKB-organisaties. Wie in jouw organisatie heeft toegang tot klantgegevens? Tot financiële data? Tot persoonsgegevens? En is die toegang ook daadwerkelijk noodzakelijk voor hun werk? Het doorlichten en beperken van toegangsrechten is geen spannende maatregel, maar het is een van de meest effectieve.

Les 3: zonder monitoring ben je blind

Een van de meest verontrustende details van de Odido-hack is dat de aanvallers miljoenen records konden benaderen en kopiëren zonder dat er een alarm afging. Geen automatische melding bij ongebruikelijk dataverkeer. Geen blokkade bij het massaal opvragen van klantgegevens. Geen signaal dat er iets niet klopte. Monitoring en anomaliedetectie (analyseren van ongebruikelijke gevallen of acties) zijn essentieel om schade te beperken, juist als preventie faalt. Als een klantenserviceaccount plotseling miljoenen records benadert in plaats van de gebruikelijke tientallen per dag, zou dat direct moeten opvallen.

Veel MKB-bedrijven hebben echter geen actieve monitoring op ongebruikelijk gedrag in hun systemen. Ze merken pas dat er iets mis is als de schade al is aangericht, of erger: als ze het van buitenaf te horen krijgen. Monitoring hoeft niet ingewikkeld of duur te zijn. Het begint met simpele vragen: weet je wie er in je systemen zit? Kun je zien wat ze doen? En word je gewaarschuwd als er iets afwijkt van het normale patroon?

Les 4: bewaar niet wat je niet nodig hebt

In het Salesforce-systeem van Odido stonden volledige paspoortnummers, rijbewijsgegevens, IBAN-nummers en gedetailleerde klantenservicenotities. De vraag die gesteld mag worden: was al die data daadwerkelijk nodig in dat systeem? Het principe van dataminimalisatie, een kernvereiste van de AVG, stelt dat organisaties alleen persoonsgegevens mogen bewaren die noodzakelijk zijn voor het doel waarvoor ze worden verzameld. En niet langer dan nodig. In de praktijk zien we dat veel organisaties data verzamelen "omdat het kan" en bewaren "voor het geval dat". Hoe meer gevoelige data je opslaat, hoe groter de schade bij een lek.

Maar dataminimalisatie gaat verder dan alleen niet verzamelen wat je niet nodig hebt. Het betekent ook actief opruimen. Ga na welke klantgegevens je nu werkelijk nodig hebt. Bewaar je nog data van klanten die al jaren geen klant meer zijn? Staan er documenten in je systemen die allang verwijderd hadden moeten zijn? Elke record die je niet bewaart, is een record dat niet gelekt kan worden.

Les 5: voorbereiding en communicatie bepalen in welke mate een incident een crisis wordt!

Odido heeft na de hack een aantal stappen gezet: melding bij de Autoriteit Persoonsgegevens, communicatie naar klanten via e-mail en sms, het aanbieden van een beveiligingspakket aan alle gedupeerden en afstemming met politie en justitie. De vraag die iedere ondernemer zichzelf moet stellen is: had jouw organisatie ditzelfde kunnen doen? En even belangrijk: had jouw organisatie het even snel en gestructureerd kunnen doen?

Het verschil tussen een beheersbaar incident en een volledige crisis zit vrijwel altijd in de voorbereiding. Organisaties die vooraf hebben nagedacht over scenario's, die weten wie welke beslissingen neemt en die een communicatieplan hebben klaarliggen, herstellen sneller en met minder schade.

Juist die communicatie wordt vaak onderschat. Hoe en wanneer je communiceert naar klanten, medewerkers, partners en toezichthouders bepaalt in grote mate hoe zij je na het incident beoordelen. Te laat communiceren wekt wantrouwen. Onduidelijk communiceren zaait paniek. En niet communiceren is geen optie: de AVG verplicht je om betrokkenen tijdig te informeren.

Een vooraf opgesteld (crisis)communicatieplan, met heldere boodschappen, verantwoordelijkheden en kanalen, voorkomt dat je in de chaos van het moment de verkeerde keuzes maakt. Voor MKB-bedrijven hoeft dit niet ingewikkeld te zijn. Maar je moet wel weten wat je doet als het misgaat. Wie informeert de klanten? Wie meldt het bij de Autoriteit Persoonsgegevens? Wie schakelt een specialist in? Wie communiceert intern? Zonder die voorbereiding verlies je kostbare tijd op het moment dat elke minuut telt.

Les 6: test je beveiliging voordat een aanvaller het voor je doet

Had Odido regelmatig phishing-simulaties uitgevoerd onder medewerkers, dan was de kwetsbaarheid van de klantenservice eerder aan het licht gekomen. Had men de Salesforce-configuratie periodiek laten toetsen, dan waren de te ruime toegangsrechten en het ontbreken van monitoring eerder opgemerkt. In beide gevallen had de aanval voorkomen of de schade beperkt kunnen worden.

Veel MKB-bedrijven testen hun beveiliging pas nadat het is misgegaan. Want in de praktijk van alledag zijn er altijd urgentere zaken. Maar de Odido-hack toont aan hoe riskant dit is. Proactief testen hoeft echt geen groot project te zijn. Een gerichte phishing-simulatie laat zien hoe alert je medewerkers werkelijk zijn. Een controle van toegangsrechten onthult of accounts meer privileges hebben dan nodig. Een eenvoudige configuratie-review van je belangrijkste systemen brengt kwetsbaarheden aan het licht die je anders pas ontdekt wanneer een aanvaller ze vindt.

De organisaties die het minst verrast worden door een cyberincident, zijn de organisaties die zichzelf regelmatig

Les 7: ga ervan uit dat het toch een keer misgaat

Geen enkele organisatie is onkwetsbaar. Odido niet, jouw leverancier niet en ook jouw eigen bedrijf niet. De vraag is niet óf je ooit met een cyberincident te maken krijgt. De vraag is wanneer. En of je er dan klaar voor bent.

Organisaties die dat accepteren, handelen anders. Ze investeren niet alleen in het voorkomen van incidenten, maar ook in het beperken van schade als het tóch misgaat. Ze oefenen scenario's, testen hun responsplannen en evalueren regelmatig of hun maatregelen nog passen bij de dreigingen van vandaag.

Dat klinkt misschien overweldigend, maar het hoeft niet groots te beginnen. Een eenvoudige oefening, waarin je met je team doorneemt wat je doet bij een ransomware-aanval of datalek, levert al enorm veel inzicht op. Vaak ontdek je dan pas waar de gaten zitten, en dat is precies het moment om ze te dichten.

Les 8: een waarschuwing is pas nuttig als je er vervolgens iets mee doet

Wat deze zaak extra pijnlijk maakt, is dat Salesforce meermaals voordat de hack plaatsvond, een waarschuwing had uitgegeven over precies de aanvalsmethode die later bij Odido werd gebruikt. Hoewel het onduidelijk is hoe Odido deze waarschuwing heeft opgepakt, werd het incident niet voorkomen. Omdat het een succesvolle aanval bleek, mogen we aannemen dat de waarschuwingen die Odido eerder kreeg, niet met voldoende urgentie zijn opgepakt. En daardoor ging het dus alsnog mis.

Helaas is dit herkenbaar voor veel organisaties. Waarschuwingen komen binnen via leveranciers, brancheorganisaties of het NCSC, maar verdwijnen in een mailbox of worden als "niet urgent" geprioriteerd. Een organisatie die weerbaar wil zijn, heeft niet alleen goede beveiliging nodig, maar ook processen om signalen snel te beoordelen en om te zetten in maatregelen.

Les 9: de schade is altijd veel groter dan je denkt

Wanneer ondernemers aan cyberincidenten denken, denken ze vaak aan losgeld of downtime. Dit terwijl de daadwerkelijke schade vele malen groter is. Zo ook bij Odido. De directe schade was al stevig: hackersgroep ShinyHunters eiste meer dan een miljoen euro losgeld. Die Odido vervolgens weigerde te betalen, waarna op 1 maart de volledige dataset op het darkweb werd gepubliceerd.

De werkelijke schade reikt veel verder. De reputatieschade voor Odido is aanzienlijk. Het vertrouwen van miljoenen klanten is geschaad. Er loopt een strafrechtelijk onderzoek. De Autoriteit Persoonsgegevens onderzoekt of Odido heeft voldaan aan de AVG-verplichtingen, met mogelijke boetes tot 4% van de wereldwijde jaaromzet. Daarnaast zijn er de kosten voor crisismanagement, juridische bijstand, PR en het aanbieden van een beveiligingspakket aan alle gedupeerden. En tot slot wordt er volop gespeculeerd of de geplande beursgang van Odido, na dit incident nog wel kan doorgaan?

Voor een MKB-bedrijf zou een vergelijkbaar incident al snel existentieel kunnen zijn. Niet alleen financieel, maar ook in termen van klantvertrouwen en marktpositie. De kosten van een cyberincident zijn vrijwel altijd vele malen hoger dan de investering die nodig was geweest om het te voorkomen of om er adequaat op te reageren.

Les 10: jouw data is ook andermans verantwoordelijkheid, en andersom

De Odido-hack raakt niet alleen Odido. De 6,5 miljoen mensen wiens gegevens zijn gelekt, vertrouwden erop dat hun telecomprovider zorgvuldig met hun data zou omgaan. Maar onder de gedupeerden bevinden zich ook 600.000 bedrijven. Bedrijven die wellicht zakelijk klant zijn bij Odido en wiens bedrijfsgegevens nu publiekelijk beschikbaar zijn.

Dit illustreert een belangrijk punt: cyberweerbaarheid stopt niet bij je eigen organisatie. Als jij gegevens deelt met een leverancier, partner of dienstverlener, maak je jezelf ook afhankelijk van hun beveiligingsniveau. En omgekeerd: als jij gegevens van klanten of partners beheert, dragen zij de gevolgen als het bij jou misgaat.

Steeds vaker vragen opdrachtgevers en ketenpartners daarom om aantoonbare beveiliging. Niet omdat het moet van de wet, maar omdat vertrouwen een concurrentievoordeel is geworden. Organisaties die hun digitale weerbaarheid niet op orde hebben, lopen het risico buitengesloten te worden.

Wat betekenen de lessen uit de Odido-hack voor jouw organisatie?

De Odido-hack is geen geïsoleerd incident. Het is een voorbeeld van hoe een combinatie van menselijke kwetsbaarheid, onvoldoende toegangsbeheer, gebrek aan monitoring en het niet opvolgen van waarschuwingssignalen kan leiden tot een datalek van ongekende omvang. De methodes die de aanvallers gebruikten zijn niet voorbehouden aan grote organisaties. Ze werken net zo goed (misschien zelfs beter) bij MKB-bedrijven waar minder capaciteit is voor beveiligingsmaatregelen.

Bij Securide helpen we organisaties, klein en groot, om cyberweerbaar te worden. Daarbij kijken we altijd naar de drie aspecten die jouw cyberweerbaarheid bepalen: mens, proces en techniek.

Met onze CyberCheck brengen we in kaart waar jouw kwetsbaarheden zitten, van toegangsrechten en monitoring tot incidentrespons; vervolgens geven we concrete aanbevelingen om dit aan te pakken. Met onze CyberAwareness-programma's trainen we medewerkers om social engineering en phishing te herkennen. Zodat zij de eerste verdedigingslinie vormen in plaats van dat zij de zwakste schakel blijken te zijn. En met CyberControl ontwikkelen we samen een roadmap: welke risico’s moeten binnen welke termijn beheersbaar zijn en welke maatregelen zijn daarvoor nodig?

Wil jij weten hoe cyberweerbaar jouw bedrijf is en/of hoe jij deze lessen kunt implementeren in jouw bedrijf? Neem dan nu contact met ons op voor een vrijblijvende afspraak. Cyberweerbaar zijn begint met inzicht, gevolgd door actie. Niet morgen, maar vandaag.

Nieuwsgierig wat wij voor jou kunnen betekenen?
Oplossingen
CyberCheck
CyberAwareness
CyberCompliancy
Kennisbank
Blogs
In het nieuws
Over ons
Ons verhaal
Contact
Volg ons
LinkedIn
Instagram
Securide
Vanadiumweg 11a
3812 PX Amersfoort
[email protected]
Algemene Voorwaarden
Privacyverklaring
Coordinated Vulnerability Disclosure (CVD)
© Securide 2025