Het recente datalek bij Odido heeft veel stof doen opwaaien. Volgens berichtgeving van onder meer NOS en NU.nl gaat het mogelijk om miljoenen accounts. Per klant kunnen naam- en adresgegevens, geboortedatum, IBAN en in sommige gevallen identificatienummers zijn buitgemaakt. Dat is gevoelige informatie. Niet omdat er direct geld wordt gestolen, maar omdat je met deze combinatie van gegevens iemand geloofwaardig kunt imiteren.
Wat er technisch exact is gebeurd, wordt nog onderzocht. Publiek is bevestigd dat aanvallers toegang kregen tot een klantcontactsysteem en gegevens hebben gedownload. Nederlandse media beschrijven een scenario waarin medewerkers via phishing zijn misleid en vervolgens telefonisch zijn bewogen om extra beveiligingsstappen goed te keuren. Daarna zouden gegevens geautomatiseerd zijn verzameld. Of alle details kloppen, moet nog blijken. Maar het patroon is herkenbaar.
Waarom dit ook voor Westlandse ondernemers relevant is
Het is verleidelijk om te denken dat dit een probleem is van grote telecombedrijven. Maar het onderliggende mechanisme is voor het MKB minstens zo relevant.
Veel ondernemers werken met externe IT-partners, cloudplatforms, administratiesoftware en soms uitbesteed klantcontact. Daarmee ontstaat afhankelijkheid. Niet van één systeem, maar van een hele keten van mensen, accounts en rechten. En juist daar gaat het vaak mis.
Dit soort incidenten ontstaat zelden door één ontbrekend beleidsdocument. Het ontstaat doordat toegang te ruim is ingericht, doordat monitoring tekortschiet en doordat organisaties onvoldoende actief sturen op leveranciers en uitbesteed werk. Met andere woorden: het is een governanceprobleem, geen puur technisch probleem.
Wat moet je doen als jouw gegevens mogelijk gelekt zijn?
Voor ondernemers en medewerkers die mogelijk zelf geraakt zijn, is het belangrijk om rustig en gestructureerd te handelen.
Controleer informatie altijd via de officiële website van de betrokken organisatie en klik niet zomaar op links in e-mails. Wees extra alert op phishing, zeker wanneer criminelen beschikken over naam, IBAN en geboortedatum. Pas wachtwoorden aan als je die op meerdere plekken gebruikt. En neem bij twijfel contact op met je bank of je IT-partner. Snel reageren beperkt schade aanzienlijk.
Maar minstens zo belangrijk is de vraag wat je als ondernemer intern moet organiseren.
Drie structurele lessen voor het MKB
Allereerst begint weerbaarheid bij toegang. Niet iedereen hoeft overal bij te kunnen. In de praktijk hebben medewerkers en soms ook leveranciers bredere rechten dan strikt noodzakelijk. Periodieke controle van toegangsrechten is geen formaliteit, maar een basismaatregel.
Daarnaast verdienen contracten met leveranciers meer aandacht dan ze vaak krijgen. Veel MKB-bedrijven hebben keurige SLA’s, maar daarin staat zelden concreet hoe snel een incident moet worden gemeld, of auditrechten zijn vastgelegd en hoe logging is ingericht. Dat lijken juridische details, maar in werkelijkheid zijn het afspraken die bepalen hoe snel je kunt ingrijpen.
Tot slot moet je testen wat je hebt ingericht. Een phishing-simulatie of gerichte securitycheck bij kritieke leveranciers laat zien hoe weerbaar je organisatie daadwerkelijk is. Niet op papier, maar in de praktijk. Zonder toetsing weet je simpelweg niet waar je staat.
Cybersecurity is ondernemersverantwoordelijkheid
Wat dit datalek uiteindelijk laat zien, is dat cybersecurity geen onderwerp is dat je volledig kunt uitbesteden aan een IT-partner. Het raakt reputatie, continuïteit en aansprakelijkheid. De Europese NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet wordt ingevoerd, onderstreept dat bestuurders actief toezicht moeten houden op digitale risico’s, ook in de keten.
Dat geldt straks formeel voor grotere organisaties, maar de onderliggende verantwoordelijkheid geldt voor iedere ondernemer. De echte vraag is niet hoe groot dit specifieke lek uiteindelijk blijkt te zijn. De echte vraag is of jij inzicht hebt in wie toegang heeft tot jouw kritieke processen en of je daar actief regie op voert.
Wie dat vandaag organiseert, verkleint de kans dat hij morgen verrast wordt.
Door: Patrick Jordens
