Odido gaat klanten niet compenseren na megadatalek, zegt topman. 'Maar ik beloof te leren van deze ervaring'

In dit artikel:

Deense topman Jakob Abildgaard van het voormalige T-Mobile Nederland, nu Odido, heeft in een boodschap aan klanten gereageerd op het grote datalek dat het bedrijf recentelijk trof. Hij erkent de persoonlijke impact voor getroffen klanten, biedt zijn excuses aan en zegt dat het bedrijf lessen zal trekken. Tegelijk benadrukt hij dat Odido zichzelf ook als slachtoffer ziet: „Er is bij ons ingebroken.”

Het lek, dat uitgroeide tot een van de grootste cyberincidenten in Nederland, ontstond volgens Odido na een succesvolle voice-phishingaanval. Een medewerker werd misleid door iemand die zich voordeed als interne IT-medewerker en logde in op een nagemaakte portaal; zo werden wachtwoord en beveiligingscode buitgemaakt. De aanvallers – volgens het bedrijf leden van de groep ShinyHunters – trokken vervolgens klantgegevens op een subtiele manier uit systemen, zonder meteen alarm te slaan.

Odido kreeg flinke kritiek op de communicatie rond de hack; Abildgaard erkent dat het bedrijf terughoudend was om eerst de feiten scherp te hebben, maar achteraf misschien zichtbaarder had moeten reageren om begrip te tonen. Hij zegt dat het bedrijf op advies van politie en cyberexperts geen losgeld betaalde, omdat dat geen garanties bood en crimineel betalen het maatschappelijke fundament zou ondermijnen.

Het incident leidde tot onderzoeken door onder meer de Autoriteit Persoonsgegevens, een massaclaim en aanzienlijke reputatieschade. Vragen blijven over de omvang van de bewaarde data: ook oud-klanten ontvingen waarschuwingen en in vrijetekstvelden van klantenservice-systemen waren soms gevoelige persoonlijke opmerkingen te vinden. Daarnaast kwam aan het licht dat netwerkgegevens, zoals MAC-adressen, via leverancier Lifemote verwerkt werden — informatie die privacydeskundigen als risicovol bestempelen. Abildgaard stelt dat die data versleuteld waren en binnen Europa opgeslagen.

Als reactie kondigt Odido extra stappen aan: een reeks video-uitleg door Abildgaard, forsere investeringen in beveiliging, een striktere beoordeling van welke gegevens echt bewaard moeten blijven en aanvullende klantondersteuning. Het bedrijf zal alleen schade vergoeden als klanten aantoonbare schade hebben. Abildgaard wil het onderwerp ook breder agenderen bij politiek en bedrijven: hij waarschuwt dat cybercriminaliteit een groeiend en blijvend probleem is dat verdere aandacht en samenwerking vraagt.