Het Odido datalek en losgeld
In het weekend van 7 en 8 februari 2026 kreeg Odido de eerste signalen dat er sprake was van een groot datalek, waarbij de persoonsgegevens van ongeveer 6,2 miljoen klanten en ex-klanten waren buitgemaakt. Deze persoonsgegevens betroffen namen, adressen, telefoonnummers en bankrekeningnummers van klanten en ex klanten.
Op 24 februari 2026 werd wereldkundig dat Odido wordt afgeperst door een hackersgroep Shinyhunters. Shinyhunters zegt dat de omvang van het lek nog veel groter is. De groep claimt gegevens van ongeveer 8 miljoen klanten te hebben en spreekt over tientallen miljoenen datavelden.
In een bericht op het darkweb zetten de hackers het telecombedrijf onder druk met een ultimatum. Er zou een bedrag van meer dan 1 miljoen euro moeten worden betaald om lekkage van de persoonsgegevens te voorkomen.
Duidelijk is wel dat Odido dus wordt afgeperst. De vraag is nog even of Odido daadwerkelijk gaat betalen of niet.
Komen datalekken vaak voor?
Datalekken komen helaas vaak voor. Daarbij is er ook sprake van bekende instituten, waaronder de Raad voor de Rechtspraak en de AP zelf in 2026, door een kwetsbaarheid in Ivanti software. Maar ook de Universiteit Eindhoven werd slachtoffer in 2025, in 2019 de Universiteit Maastricht, waarbij uiteindelijk ook losgeld is betaald.
Het is een moeilijke afweging voor een getroffen instelling om al dan niet te besluiten om losgeld te betalen. Weiger je om georganiseerde misdaad te belonen, of stel je de continuïteit van de onderneming en de belangen van de betrokkenen voorop? Voor beiden is wat te zeggen. Parameters kunnen zijn de aard van de gelekte gegevens en de potentiële impact op de rechten en vrijheden van betrokkenen. Of de mate waarin de instelling al dan niet in haar continuïteit is getroffen. En de alternatieven voor het weer operationeel worden, door middel van backups.
Geeft betaling zekerheid?
Dat de Autoriteit Persoonsgegevens (AP) in haar rapportage van oktober 2024 vermeldt dat niet betalen de norm is (‘80% betaalt niet’) en dat betaling geen zekerheid geeft dat de persoonsgegevens veilig zullen zijn, mag geen verbazing wekken. Een toezichthouder kan immers moeilijk adviseren toe te geven aan afpersing. Publicatie in 2025 van een rapport van Sophos (The state of ransomware 2025) geeft aan dat ondertussen in ongeveer 50% van de gevallen wordt betaald om de dat weer terug te krijgen.
In het onderzoek van Sophos valt verder te lezen dat het gemiddelde gevraagde bedrag aan losgeld significant daalt, met ongeveer 50% van US$ 2 miljoen in 2024 naar US$ 1 miljoen in 2025. Ook betaalde uiteindelijk ongeveer de helft minder dan het gevraagde bedrag, een derde betaalde het gevraagde bedrag en de rest betaalde meer. Al met al is de trend dat meer getroffen instellingen melden te betalen maar dat het betaalde bedrag vaak lager ligt dan het gevraagde bedrag.
Wat niet valt op te maken uit het onderzoek van Sophos is hoeveel procent van de instellingen die hebben betaald, de data niet hebben teruggekregen. Sophos omschrifjt het zo: ‘49% of victims paid the ransom to get their data back. While this represents a slight drop from last year’s 56%, it is the second highest ransom payment rate in six years.’. Door sommigen wordt dit gelezen alsof slechts 49% van de slachtoffers hun data terugkregen nadat was betaald, lees ik hierin dat dat 49% van de slachtoffers hebben betaald om hun data terug te krijgen. Of er in alle gevallen is geleverd voor het geld, wordt uit dit onderzoek niet duidelijk. Het rapport van verzekeraar Hiscox merkt in haar “CYBER READINESS REPORT2025“ wel op: ‘For those who paid a ransom, 60% recovered some or all of their data. Two-out-of-five (41%) were given a recovery key, but still had to rebuild their systems. Paying a ransom does not always solve the problem. Instead, for 31% who paid, attackers demanded more money”.
Zakendoen met criminelen
Met andere woorden, zakendoen met criminelen betekent dat niet noodzakelijkerwijs de hoogste ethische normen aan dat zakendoen ten grondslag liggen. Overwegingen kunnen zijn dat ondanks betaling, het weer up-and-running zijn toch het opnieuw inrichten van de systemen vergt en betalen dus niet noodzakelijkerwijs een quick fix is. Als het gaat om het verlies van data door encryptie, is dat weer een andere situatie dan het beschikbaar zijn van die data voor de criminelen die dat dan weer via het darkweb kunnen verhandelen. Op dat moment telt het belang van de betrokkenen ook weer zwaarder om dat te voorkomen. En uiteraard is dan ook van belang hoe gevoelig de persoonsgegevens zijn en hoe gemakkelijk daar identiteitsfraude mee kan worden gepleegd. Met andere woorden, iedere situatie vraagt weer om een eigen beoordeling van de gevolgen.
Losgeld betalen: praktische en juridische afweging (geen automatische oplossing)
Bestuurders en directies komen in crisissituaties vaak uit bij dezelfde vraag: betalen of niet? Er bestaat geen algemene wettelijke regel die betaling altijd verbiedt of altijd voorschrijft.
Zakelijk gezien spelen doorgaans vijf factoren:
Type incident: gaat het om datadiefstal, om versleuteling (ransomware), of om beide?
Herstelbaarheid zonder betaling: zijn back-ups betrouwbaar, getest en snel terug te zetten? Kunt u kernprocessen tijdelijk handmatig uitvoeren?
Continuïteit en veiligheid: wat is de impact op dienstverlening (bijvoorbeeld zorgcontinuïteit, onderwijsroosters, bereikbaarheid, betalingen)?
Effect van betaling: levert betaling daadwerkelijk een werkende decryptiesleutel op, en is er enige controleerbaarheid dat data niet alsnog worden gedeeld? In de praktijk is die controle beperkt.
Juridische randvoorwaarden: een betaling kan problematisch worden als u (direct of indirect) betaalt aan een gesanctioneerde partij. Laat dit vooraf toetsen. Ook kunnen verzekeringsvoorwaarden, meldplichten in contracten en sectorregels een rol spelen.
Daarnaast geldt: zelfs als u na betaling weer “bij data kunt”, volgt vaak een intensief hersteltraject. Denk aan het opsporen en verwijderen van backdoors, het resetten van accounts, het herinrichten van identity & access management, het herstellen van domeincontrollers en het opnieuw uitrollen van endpoints. Zonder grondige incident response en forensisch onderzoek is de kans reëel dat u opnieuw wordt getroffen.
Advies
Heeft u vragen naar aanleiding van dit artikel? Onze advocaten staan klaar om u te adviseren! Neem contact op met een van onze advocaten via de mail, telefonisch of vul het contactformulier in voor een vrijblijvend eerste gesprek.
