De Odido-hack ontleed: belangen, risico’s en de afweging rond betaling

Posted on 08-03-2026 by Sijmen Ruwhof

Samenvatting

De vraag of Odido afpersgeld had moeten betalen is geen principiële zwart-witkwestie, maar een complexe risico- en schadeafweging. Daarbij botsen twee perspectieven: het beperken van directe schade voor miljoenen betrokkenen op korte termijn, en het voorkomen dat cyberafpersing als verdienmodel wordt versterkt op lange termijn.

In dit artikel worden de belangrijkste belangen, risico’s en argumenten geanalyseerd vanuit vier perspectieven: de organisatie zelf, getroffen klanten, de overheid en de bredere samenleving. De centrale conclusie is dat cyberafpersing zelden een moreel zuivere keuze laat: organisaties moeten uiteindelijk bepalen welke optie in een concreet incident de minste totale maatschappelijke schade veroorzaakt.

Inleiding

De hack bij Odido (voormalig T-Mobile en Tele2) en Ben, heeft in korte tijd geleid tot forse maatschappelijke onrust. Dat is begrijpelijk. Niet alleen vanwege de omvang van het incident, maar vooral vanwege de aard van de buitgemaakte gegevens en de mogelijke gevolgen voor miljoenen betrokkenen. In termen van schaal, gevoeligheid en potentiële maatschappelijke impact behoort dit incident tot de ernstigste datalekken die Nederland tot dusver heeft gekend.

Tegelijk valt op dat het publieke debat zich snel vernauwt tot een ogenschijnlijk simpele vraag: had Odido moeten betalen of niet? Die vraag lijkt overzichtelijk, maar is dat in werkelijkheid niet. Bij cyberafpersing is zelden sprake van een moreel zuivere keuze. Het gaat vrijwel altijd om een afweging tussen verschillende vormen van schade, op verschillende tijdshorizonten, voor verschillende groepen.

De vraag of Odido had moeten betalen is daarom geen morele zwart-witkwestie, maar een strategische afweging tussen verschillende soorten schade: voor klanten, voor de organisatie, voor de opsporing en voor de samenleving als geheel. De werkelijke vraag is: welke keuze leidt, gegeven de feiten, de dreiging en de context, tot de minste totale schade? Daarbij moet onderscheid worden gemaakt tussen korte termijn en lange termijn, tussen organisatiebelang en maatschappelijk belang, en tussen principiële reflexen en operationele realiteit.

Geen losgeld, maar afpersgeld

Om de discussie scherp te voeren, is terminologische precisie van belang. In veel berichtgeving wordt gesproken over “losgeld”, alsof sprake is van klassieke ransomware waarbij systemen zijn versleuteld en betaling nodig is om weer toegang te krijgen tot bestanden of bedrijfsprocessen.

Het gaat in de Odido-hack om ongeautoriseerde toegang, gevolgd door data-exfiltratie: het kopiëren en meenemen van gegevens uit systemen. In dat scenario wordt niet betaald om iets “terug” te krijgen, maar om publicatie, verkoop of verdere verspreiding van de data te voorkomen. Juridisch en praktisch is afpersgeld hier daarom de zuiverdere term.

Ook het woord “gestolen” verdient nuancering. In de volksmond is dat begrijpelijk taalgebruik, maar technisch gezien zijn de gegevens vooral gekopieerd en geëxfiltreerd. Het originele bestand blijft bestaan; de schade zit in het verlies van exclusiviteit, controle en vertrouwelijkheid.

Het centrale dilemma: twee tijdshorizonten, twee soorten schade

De afweging rond betalen of niet betalen is in dit type incidenten geen zwart-witvraag, maar een risicoanalyse op twee assen:

  1. Korte termijn: kan betaling de kans verkleinen dat miljoenen burgers direct en langdurig worden geraakt?
  2. Lange termijn: draagt betaling bij aan het in stand houden en versterken van het criminele verdienmodel?

Wie alleen naar de eerste as kijkt, zal eerder redeneren vanuit schadebeperking voor slachtoffers. Wie alleen naar de tweede as kijkt, zal sneller uitkomen bij het principiële uitgangspunt dat je niet moet betalen. Beide perspectieven bevatten valide argumenten. Geen van beide is op zichzelf voldoende.

Juist daarom is het problematisch wanneer het debat wordt gereduceerd tot slogans als “je betaalt criminelen nooit” of “je moet alles doen om schade te voorkomen”. De werkelijkheid is ingewikkelder: beide routes zijn onwenselijk, en soms moet gekozen worden voor de minst schadelijke van twee slechte opties.

De belangen verschillen per stakeholder

In deze discussie spelen uiteenlopende belangen en standpunten van verschillende partijen. De belangrijkste zijn:

  1. Odido als organisatie
  2. Huidige en voormalige klanten
  3. De overheid en toezichthouders
  4. Burgers die niet direct getroffen zijn, maar wel de maatschappelijke consequenties dragen

In sommige gevallen speelt ook de positie van cyberverzekeraars een rol, omdat zij voorwaarden stellen aan onderhandelingen, cyber incident response en mogelijke betalingen. Het is onbekend of een cyberverzekeraar een rol heeft gespeeld in de besluitvorming bij Odido.

Een serieus oordeel vereist dat al deze perspectieven worden meegewogen.

1. Het perspectief van Odido

Voor Odido is dit incident in de eerste plaats een crisis op het snijvlak van security, juridische aansprakelijkheid, reputatie, governance en continuïteit. In zulke situaties maken organisaties doorgaans geen zuiver morele keuze, maar een combinatie van een juridische, operationele en financiële afweging, zoals mogelijke handhaving door de Autoriteit Persoonsgegevens, civiele claims en collectieve acties van gedupeerden.

Odido heeft publiekelijk aangegeven niet te willen onderhandelen met de criminelen:

“[..] Op advies van toonaangevende cybersecurityadviseurs en relevante overheidsinstanties, zoals de politie, heeft Odido besloten niet te onderhandelen met deze criminelen en zich niet door hen te laten chanteren. [..] Wij hebben hierin een zorgvuldige afweging gemaakt. Zowel toonaangevende experts als overheidsinstanties hebben ons dringend geadviseerd om niet met deze criminele groepering in contact te treden. Dit advies is gebaseerd op uitgebreide ervaring met deze specifieke groepering. [..]”

Waarom het besluit van Odido moeilijk te toetsen is

Dat is een verdedigbare lijn, maar de publiek beschikbare onderbouwing is beperkt. Daardoor blijven cruciale vragen open, zoals:

  1. is niet betalen vooral ingegeven door principe?
  2. of door de inschatting dat betaling in dit specifieke geval geen materieel effect zou hebben?
  3. is expliciet beoordeeld of de betreffende groep historisch afspraken nakomt?
  4. hoe zwaar zijn de belangen van miljoenen getroffen klanten in die afweging meegewogen?
  5. welke alternatieve schadebeperkende maatregelen zijn parallel daaraan getroffen?
  6. zou wel betaald zijn geweest als het afpersbedrag €10.000 zou zijn geweest en daarmee de kans genomen dat gegevens niet online zouden verschijnen?

Op vragen die ik aan de woordvoering heb voorgelegd, heeft Odido geen inhoudelijke toelichting gegeven. Dat is niet onverwacht: Odido geeft in de media nauwelijks interviews. Dat Odido daar terughoudend over communiceert, is vanuit crisismanagement deels verklaarbaar. Tegelijk kleeft daar een risico aan: als een organisatie wél de gevolgen van een beslissing externaliseert naar klanten, maar de afweging zelf onvoldoende inzichtelijk maakt, dan tast dat het vertrouwen verder aan.

Hoogte van het afpersgeld

De hoogte van het gevraagde afpersgeld bedroeg aanvankelijk een onbekend bedrag van zeven cijfers. Twee dagen voor de deadline werd het bedrag verlaagd naar €500.000, omdat hackersgroep ShinyHunters volgens eigen zeggen door Odido werd geghost in de chat.

In 2024 had Odido een omzet van 2,3 miljard euro. Het gevraagde afpersgeld bedraagt 0,02% van de jaaromzet en 8 cent per (voormalig) klant. Relatief ten opzichte van Odido’s omzet en het aantal betrokken klanten is het geëiste bedrag beperkt.

Wat staat er voor Odido op het spel?

Als de buitgemaakte data publiek of semipubliek beschikbaar komt, zijn voor Odido onder meer de volgende gevolgen voorstelbaar:

  1. aanzienlijke reputatie- en imagoschade;
  2. verslechtering van klantvertrouwen;
  3. commerciële uitstroom naar concurrenten;
  4. langdurige communicatie- en herstelkosten;
  5. mogelijk civiele procedures of collectieve acties;
  6. verscherpte aandacht en handhaving van toezichthouders en politiek;
  7. mogelijke strategische schade, bijvoorbeeld rond marktpositie of toekomstige kapitaalmarktambities.

Daarbij moet wel worden aangetekend dat de schade voor Odido niet één-op-één samenvalt met de schade voor klanten. Een beurs- of reputatie-effect is van andere orde dan langdurige identiteits- of veiligheidsrisico’s voor individuen. Dat verschil is cruciaal voor het begrijpen van dit dilemma.

Waarom boardrooms anders rekenen dan burgers

Vanuit boardroom-perspectief is de afweging meestal zakelijk: wat vergroot de kans op beheersing van totale schade? Dat is begrijpelijk, maar maatschappelijk niet altijd voldoende. Een telecomprovider beheert immers niet zomaar klantdata; het gaat om kernidentiteiten, contactgegevens, bankgegevens en legitimatiebewijsinformatie van een aanzienlijk deel van de Nederlandse bevolking.

Juist daardoor mag van een partij als Odido worden verwacht dat zij in haar besluitvorming niet alleen het bedrijfsbelang, maar ook het afgeleide belang van miljoenen burgers expliciet meeneemt.

Een filosofisch perspectief op cyberafpersing

Reputatie-expert Frank Peters krijgt maandelijks een belletje van een bedrijf dat te maken heeft met een ransomware-aanval. Peters stelt dat organisaties bij dit soort beslissingen vaak te weinig tegenspraak krijgen vanuit een ander perspectief dan juridisch of financieel risico. Hij suggereert daarom provocerend dat bestuurders bij dit soort dilemma’s zelfs een filosoof in de boardroom zouden moeten betrekken.

Met name een utilitaristische benadering, waarbij wordt gekeken naar welke keuze het grootste welzijn oplevert voor het grootste aantal mensen, kan volgens hem helpen om het besluitvormingsproces te verbreden.

Wanneer dat perspectief wordt toegepast op grote datalekken, verschuift de vraag van “ondersteunen we criminaliteit door te betalen?” naar “welke keuze beperkt de totale maatschappelijke schade het meest?”

Dat soort afwegingen zijn ongemakkelijk, maar volgens Peters onvermijdelijk in een tijd waarin organisaties steeds afhankelijker worden van digitale infrastructuur en cyberincidenten steeds vaker een groot publiek raken.

2. Het perspectief van huidige en voormalige klanten

Voor de meer dan zes miljoen klanten is de kwestie fundamenteel anders. Voor hen gaat dit niet primair over reputatie of governance, maar over de vraag of zeer gevoelige persoonsgegevens blijvend in omloop raken en welke risico’s dat oplevert voor hun privéleven, veiligheid en financiële positie.

Waarom dit datalek uitzonderlijk ernstig is

Niet elk datalek is even schadelijk. Veel datalekken bevatten verouderde, onvolledige of weinig bruikbare gegevens. Dat lijkt hier niet het geval. Juist de combinatie van omvang, accuraatheid, volledigheid en gevoeligheid maakt dit incident uitzonderlijk ernstig.

De buitgemaakte gegevens omvatten volgens beschikbare informatie onder meer:

  1. volledige NAW-gegevens;
  2. geboortedata;
  3. mobiele nummers;
  4. e-mailadressen;
  5. bankrekeningnummers;
  6. klantnummers;
  7. legitimatiebewijsgegevens, zoals documentnummer, vervaldatum en type document (rijbewijs, identiteitskaart, paspoort of verblijfsvergunning);
  8. telefonische verificatiegegevens, zoals codewoorden waarmee klanten hun identiteit kunnen bevestigen bij contact met de klantenservice;

    Onderstaande gegevens zijn ook gelekt, maar worden niet vermeld op Odido’s website:
  9. burgerservicenummer (soms via historische btw-nummers bij eenmanszaken);
  10. nationaliteit;
  11. gender (en aanhef);
  12. ingestelde taal;
  13. recente klantcommunicatie;
  14. notities van servicedeskmedewerkers bevatten soms gevoelige informatie, bijvoorbeeld dat klanten:
    • betaalafspraken niet nakomen;
    • een (financiële) bewindvoerder hebben. Bij 71.000 mensen staat het e-mailadres van deze bewindvoerder of een andere hulpverlener vermeld;
    • persoonlijke problemen hebben of zich hebben misdragen, bijvoorbeeld:
      • “gaat door een moeilijke periode”
      • “klant lijkt onder invloed te zijn tijdens het bellen. Is door winkel [..] uit de zaak verwijderd en heeft gedreigd daar de boel kort en klein te slaan.”
      • “Ex heeft zich voorgedaan als contractant.”
    • te maken hebben met pogingen tot accountovername of eerder slachtoffer zijn geweest van hacking.

Dat laatste punt verdient extra aandacht. Wanneer datasets niet alleen kale identiteitsvelden bevatten, maar ook context, notities of signalen over persoonlijke omstandigheden, neemt de schadepotentie sterk toe. Zulke informatie kan misbruikt worden voor selectie, manipulatie, intimidatie en zeer gerichte social engineering.

De gegevens zijn bovendien zeer betrouwbaar

Een telecomprovider is niet zomaar een databron. In vergelijking met bijvoorbeeld een webwinkel, nieuwsbriefsysteem of online forum heeft een telecomprovider vaak toegang tot gegevens die aan de voorkant al op identiteit worden gecontroleerd of in de praktijk zeer accuraat zijn. Daardoor geldt hier:

  1. namen en geboortedata zijn erg betrouwbaar;
  2. telefoonnummers zijn direct gekoppeld aan de contracthouder;
  3. e-mailadressen zijn vaak primaire adressen;
  4. bankrekeningnummers zijn operationeel bruikbare gegevens;
  5. documentgegevens hebben een hoge identificerende waarde.

Dat maakt deze dataset niet alleen bruikbaar voor opportunistische fraude, maar ook voor hoogwaardige, doelgerichte aanvallen.

Veel van deze schade is niet goed herstelbaar

Een onderschat aspect van grote datalekken is dat de schade vaak niet tijdelijk is. Een wachtwoord kan worden gewijzigd. Maar dat geldt niet of nauwelijks voor:

  1. geboortedatum;
  2. historische identiteitsgegevens;
  3. burgerservicenummer;
  4. adresgeschiedenis;
  5. jarenlang gebruikte e-mailadressen;
  6. primaire telefoonnummers;
  7. bankrelaties die in de praktijk zelden lichtvaardig worden gewijzigd.

Het kantelpunt voor privacy van miljoenen Nederlanders?

Wanneer de buitgemaakte Odido-dataset volledig openbaar wordt, verandert dat fundamenteel het speelveld rond privacybescherming. Voor miljoenen Nederlanders betekent dit dat een groot deel van hun kerngegevens zoals naam, adres, geboortedatum, IBAN, contact- en identiteitsgegevens permanent in omloop komt op internet.

Daarmee raakt een belangrijk deel van de strijd om persoonsgegevens privé te houden feitelijk verloren voor deze groep. Zodra zulke grote hoeveelheden betrouwbare persoonsgegevens breed beschikbaar zijn, verliezen toekomstige datalekken met vergelijkbare basisgegevens een groot deel van hun relevantie: die informatie staat immers al op internet.

De realiteit wordt dan dat het beschermen van deze persoonsgegevens niet langer draait om het voorkomen van openbaarmaking, maar om het omgaan met de gevolgen van het feit dat ze al publiek beschikbaar zijn.

Mogelijke misbruikscenario’s

Voor betrokkenen neemt het risico toe op identiteitsfraude, oplichting, financiële fraude, phishing, malware-infecties, identiteitsmisbruik en doxing. Criminelen kunnen zich met de gelekte gegevens geloofwaardig voordoen als bank, overheid, telecomprovider of zelfs als het slachtoffer zelf. Ook kunnen bankrekeningnummers, contactgegevens en identiteitsinformatie worden gebruikt voor ongeautoriseerde incasso’s, gerichte fraude en social engineering.

Vooral de combinatiewaarde van de dataset maakt het risico groot. Een los telefoonnummer of e-mailadres is vervelend; een volledig profiel met naam, geboortedatum, adres, IBAN, documentinformatie en interne context is van een andere orde en biedt criminelen een zeer bruikbare basis voor gerichte aanvallen.

Impact op de levens van betrokkenen

De gevolgen van dit datalek beperken zich niet tot een tijdelijk privacy-incident, maar kunnen voor sommige betrokkenen jarenlang doorwerken in hun persoonlijke veiligheid, financiële positie en dagelijks leven.

De dataset bevat een uitzonderlijk compleet en betrouwbaar persoonsprofiel, waardoor langdurig misbruik mogelijk wordt. Voor specifieke groepen kan openbaarmaking van adres- en identificatiegegevens directe fysieke veiligheidsrisico’s opleveren. Digitaal vergroot de betrouwbaarheid van de gegevens de kans op succesvolle phishing en andere vormen van social engineering. Financieel kunnen combinaties van persoonsgegevens en bankgegevens worden gebruikt voor identiteitsfraude, incassomisbruik en geraffineerde oplichting.

Daarnaast kan het incident emotionele en praktische gevolgen hebben. Betrokkenen kunnen gevoelens van stress, onzekerheid en verlies van controle ervaren, zeker wanneer hun gegevens permanent online circuleren. Ook kunnen zij veel tijd en energie kwijt zijn aan schadebeperking, zoals het monitoren van transacties, aanpassen van accounts, contact met instanties en het melden van misbruik. In gevallen waarin aanvullende contextinformatie of interne notities zijn gelekt, kan bovendien reputatieschade ontstaan.

Niet iedereen wordt even hard geraakt

Een belangrijk punt in dit debat is dat impact ongelijk verdeeld is. Voor sommige mensen blijft het risico abstract of beperkt. Voor anderen kan publicatie van deze data verstrekkende gevolgen hebben.

Mensen met een verhoogd fysiek dreigingsprofiel of een beschermde woon- of leefsituatie lopen bij dit datalek een groter risico op intimidatie, bedreiging, chantage, doxing en vergelding. Dat geldt onder meer voor functionarissen in justitie, politie, defensie en inlichtingen, maar ook voor politici, onderzoeksjournalisten, klokkenluiders, personen onder getuigenbescherming, mensen met een geheim adres en bewoners van opvanglocaties. Voor deze groepen kan publicatie van adres- en contactgegevens zorgvuldig opgebouwde beschermingsmaatregelen doorbreken en leiden tot directe veiligheidsrisico’s.

Ook voor andere groepen kan de impact van het datalek groter zijn dan gemiddeld. Ouderen en personen met schuldenproblematiek lopen bijvoorbeeld een verhoogd risico op financiële fraude en sociale manipulatie. Daarnaast kunnen bestuurders, hulpverleners en IT-professionals doelwit worden van gerichte phishing of misbruik van hun professionele positie. Tot slot kunnen personen met een verhoogd maatschappelijk spanningsprofiel, zoals religieuze leiders of activisten, extra kwetsbaar zijn voor doxing, intimidatie of ideologisch gemotiveerde dreiging. Deze voorbeelden illustreren dat de risico’s van een datalek niet voor iedereen gelijk zijn.

Waarom klanten deze afweging anders ervaren

De principiële keuze om niet te betalen kan maatschappelijk verdedigbaar zijn. Maar voor klanten voelt die keuze al snel anders wanneer zij zelf de langste en zwaarste consequenties dragen. Dan ontstaat de vraag of een moreel standpunt van de organisatie niet feitelijk wordt afgewenteld op de burgers wier gegevens zijn gelekt. Dat is geen eenvoudig verwijt, maar wel een legitieme vraag.

3. Het perspectief van de overheid

Overheidsinstanties zoals politie, toezichthouders en kabinet hanteren in de regel een consistente lijn: niet betalen. Die lijn is begrijpelijk en in algemene zin rationeel.

Visie van de politie

De algemene visie van de politie op chantage is:

“[..] niet betalen, omdat dit het probleem niet oplost. Bovendien geeft betalen het signaal af dat ransomware effectief is, waardoor cybercriminelen doorgaan met hun activiteiten. Het is uiteraard een eigen afweging. Als er geen andere uitweg is, en er wordt besloten toch te betalen, dan is het extra belangrijk de politie daarvan op de hoogte te stellen omdat betalingsinformatie van grote waarde is voor het opsporingsonderzoek.”

In een nieuwsartikel over de Odido-hack schrijft de politie:

“Odido heeft bekendgemaakt geen losgeld te betalen aan de cybercriminelen. Het besluit van het bedrijf sluit aan bij de visie van de politie. ‘Ons advies aan slachtoffers van ransomware is: niet betalen als criminelen losgeld eisen. [..] De uiteindelijke afweging is aan het slachtoffer, maar je kunt er niet vanuit gaan dat je data veilig is als je betaalt. We weten vanuit onderzoek dat criminelen de gegevens niet altijd verwijderen, alsnog doorverkopen of opnieuw om geld vragen. [..]”

De politie doet in dit nieuwsartikel geen uitspraak over de vraag of specifiek is onderzocht of ShinyHunters afspraken nakomt (bijvoorbeeld: geen publicatie na betaling). De passage “we weten vanuit onderzoek” lijkt vooral te verwijzen naar algemene bevindingen over ransomwaregroepen.

In een BNR-interview (vanaf 21:55) zegt Stan Duijf als hoofd Operatiën verantwoordelijk voor de aanpak van cybercrime: “Als overheid en daarmee ook de politie adviseren we altijd om niet te betalen.”

De argumenten van de politie en overheid in algemene zin om niet te betalen zijn valide. Toch is er ook een zwakke plek in het standaardadvies: het is generiek. Het zegt weinig over de vraag of in een specifiek incident, met een specifieke dreigingsactor, een specifieke dataset en specifieke maatschappelijke gevolgen, een uitzondering verdedigbaar kan zijn.

Het Maastricht-voorbeeld laat zien waarom maatwerk soms nodig is

In een NRC-artikel beschrijft oud-bestuurder Nick Bos van de Universiteit Maastricht hoe de universiteit in 2019 te maken kreeg met ransomware. De criminelen versleutelden in korte tijd het computernetwerk en eisten €200.000. Daarmee zou de universiteit een ‘sleutel’ krijgen om het netwerk te herstellen. De politie adviseerde destijds om niet te betalen.

De schade zou in dat scenario echter groot zijn. De 5.000 aan de universiteit verbonden wetenschappers zouden onderzoeksgegevens verliezen en 22.000 studenten zouden een half jaar studievertraging oplopen. Toen duidelijk werd dat dit tot omvangrijke schadevergoedingen zou kunnen leiden, maakte de universiteit een kosteninschatting van tientallen miljoenen euro’s per maand en besloot uiteindelijk te betalen, waarna het netwerk kon worden hersteld.

Het probleem met een generiek “niet betalen”-advies

In de praktijk zijn incidenten onderling niet goed vergelijkbaar. Er is een groot verschil tussen:

  • versleutelde back-ups bij een middelgroot bedrijf;
  • operationele verstoring van een ziekenhuis;
  • exfiltratie van miljoenen nauwkeurige persoonsgegevens;
  • diefstal van beperkte, slecht bruikbare data;
  • chantage door een opportunistische actor zonder reputatie;
  • afpersing door een actor met een bekend “pay-or-leak”-profiel.

Een generiek advies kan beleidsmatig logisch zijn, maar doet niet automatisch recht aan incident-specifieke proportionaliteit. In dat spanningsveld ontstaat frictie.

4. Het perspectief van de samenleving als geheel

De Ultimatum Game uit de gedragseconomie laat zien dat mensen in conflictsituaties vaak niet handelen als strikt rationele economische beslissers. Dat mechanisme speelt waarschijnlijk ook een rol in het publieke debat rond cyberafpersing. Wanneer gevoelens van onrechtvaardigheid en boosheid meespelen, kiezen mensen geregeld voor een optie die henzelf óók schaadt, simpelweg om de ander niet te laten winnen.

Voor mensen die geen klant zijn of niet direct geraakt worden, is het eenvoudiger om te redeneren vanuit principe: betaal criminelen niet. Dat is begrijpelijk. Wie afstand heeft tot de schade, kijkt vaker naar normstelling en precedentwerking.

Daarom is het verstandiger om deze discussie niet te voeren in termen van morele zuiverheid alleen, maar in termen van:

  • prikkels;
  • verwachte gedragingen van daders;
  • waarschijnlijkheid van vervolgschade;
  • verdeling van risico’s;
  • totale maatschappelijke schade.

Dat dwingt tot een moeilijker, maar wel eerlijker gesprek.

Welke cruciale feiten nog ontbreken

Deze analyse is gebaseerd op publieke berichtgeving, interviews met betrokken experts, en informatie uit cyber incident response-praktijk en cyber threat intelligence-onderzoek. Daarbij moet worden erkend dat een aantal feiten nog onduidelijk is, zoals de exacte omvang van de dataset en de mate waarin deze al is verspreid:

  • 6,2 of 8 miljoen klantgegevens?
    Allereerst is de exacte omvang van de buitgemaakte dataset nog onduidelijk. Odido spreekt over ongeveer 6,2 miljoen getroffen klanten, terwijl de hackersgroep ShinyHunters stelt dat het om ongeveer 8 miljoen klanten gaat. Vaak maken hackers claims die groter zijn dan de daadwerkelijke dataset.
  • Welke onderdelen van klantprofielen daadwerkelijk zijn buitgemaakt
    Daarnaast is nog niet volledig duidelijk welke onderdelen van klantprofielen daadwerkelijk zijn buitgemaakt. Op de informatiepagina van Odido wordt een aantal categorieën persoonsgegevens genoemd, maar belangrijke details bleken daarin te ontbreken. Ook is niet duidelijk of bij alle betrokken klanten dezelfde set gegevens is gelekt, of dat de buitgemaakte informatie per persoon sterk kan verschillen.
  • Wie hebben de dataset allemaal in handen?
    Een derde onzekerheid betreft de mate waarin de dataset al is verspreid. Op de dag dat het betaalultimatum afliep werd ongeveer één miljoen records gepubliceerd, maar het is onbekend hoeveel gegevens inmiddels via andere kanalen zijn gedeeld of doorverkocht. Zodra datasets door meerdere partijen worden verspreid of opgeslagen, wordt het vrijwel onmogelijk om verdere verspreiding nog te controleren.

Wel of niet betalen?

Wat gebeurt er als er niet wordt betaald?

Wanneer niet wordt betaald, zijn grofweg de volgende scenario’s voorstelbaar:

  1. Publicatie van buitgemaakte data
    Het meest voor de hand liggende risico is dat (delen van) de dataset publiek of semipubliek beschikbaar komen.
  2. Selectieve verkoop van datasets
    Gegevens kunnen exclusief worden verkocht aan gespecialiseerde criminele partijen die zich richten op identiteitsfraude, phishingcampagnes of doxing.
  3. Beperkte ondermijning van het afpersmodel
    Op macroniveau kan structurele weigering bijdragen aan het ondermijnen van het verdienmodel. Dat effect ontstaat echter vooral als dit breed en consequent gebeurt. Eén individuele weigering heeft daarop doorgaans beperkte invloed.
  4. De criminaliteit stopt niet
    Het is te simplistisch om te veronderstellen dat het economische model achter data-exfiltratie volledig verdwijnt wanneer niemand meer betaalt. Dat betekent dat organisaties ook zonder afpersbetalingen doelwit blijven van aanvallen gericht op het buitmaken van grote hoeveelheden persoonsgegevens. Geëxfiltreerde data kan immers nog steeds worden verkocht, verruild of ingezet worden voor vervolgactiviteiten zoals gerichte phishing, identiteitsfraude of andere vormen van cybercriminaliteit. Daarnaast is datapublicatie op een zogenoemde leaksite goed voor de reputatie- en afschrikkingswaarde voor de aanvallers (“kijk wat wij kunnen”). De veronderstelling dat niet betalen automatisch leidt tot minder aanvallen, is daarom te simplistisch. Het kan effect hebben op één verdienmodel, maar niet noodzakelijk op de totale criminele businesscase.

Waarom zou je wél betalen?

Een inhoudelijk serieuze analyse moet ook de argumenten vóór betaling erkennen.

  1. Mogelijke reductie van directe schade
    Als betaling de kans aantoonbaar vergroot dat data niet verder wordt verspreid, kan dat directe en langdurige schade voor betrokkenen beperken.
  2. Onderhandelen kan in sommige gevallen rationeel zijn
    Voor aanvallers is publicatie van data niet alleen een drukmiddel, maar ook een reputatiemechanisme richting toekomstige slachtoffers: het laat zien dat dreigementen geloofwaardig zijn. Ook speelt mee dat hackersgroepen strategisch opereren: zij kiezen doelwitten, bedragen en deadlines vaak zodanig dat slachtoffers onder maximale druk komen te staan. Die druk is bedoeld om rationele besluitvorming te versmallen en de kans op snelle betaling te vergroten. Tegen die achtergrond is het begrijpelijk dat organisaties soms toch in termen van schadebeperking gaan redeneren. Sommige criminele groepen onderhouden bewust een reputatie van voorspelbaarheid: niet omdat zij betrouwbaar zijn in morele zin, maar omdat hun verdienmodel afhangt van geloofwaardige dreiging én geloofwaardige naleving van afspraken.
  3. Signaal naar slachtoffers dat alle opties zijn benut
    Voor een getroffen organisatie kan het van belang zijn te kunnen uitleggen dat zij alle plausibele routes heeft onderzocht om verdere verspreiding en schade te beperken.
  4. Mogelijk extra operationeel inzicht
    In sommige gevallen levert contact of onderhandeling aanvullende informatie op over de aard van de buitgemaakte data, de aanvalsmethode of de omvang van het incident.
  5. Grotere kans om ShinyHunters op te sporen
    De politie geeft aan dat “betalingsinformatie van grote waarde is voor het opsporingsonderzoek”. Dat kan aanknopingspunten geven om daders te identificeren en toekomstige aanvallen te voorkomen. Hackaanvallen verlopen vaak via het anonieme Tor-netwerk, wat opsporing bemoeilijkt. Daardoor kunnen cryptobetalingen een aanvullend spoor opleveren voor onderzoek.

Waarom zou je níét betalen?

De tegenargumenten zijn minstens zo zwaarwegend.

  1. Je houdt het afpersmodel in stand
    Elke betaling bevestigt dat data-exfiltratie en publicatiedreiging financieel lonend kunnen zijn.
  2. Er is nooit garantie
    Zelfs wanneer een groep doorgaans afspraken nakomt, blijft er onzekerheid over kopieën, doorverkoop, interne lekken of latere publicatie. Je kunt er niet vanuit gaan dat criminelen buitgemaakte data daadwerkelijk verwijderen na betaling, ook niet als zij een zogenoemde verwijderlog toesturen (iets wat cyber incident response-bedrijven vaak vragen).
  3. Betalen kan precedentwerking hebben
    Als een land, sector of type organisatie bekendstaat als betalingsbereid, stijgt de aantrekkelijkheid als doelwit.
  4. Je financiert indirect vervolgcriminaliteit
    Betaald geld kan worden ingezet voor infrastructuur, tooling, recruitment en nieuwe aanvallen op andere slachtoffers.
  5. Betalen kan reputatie- en governanceproblemen creëren
    Ook intern en extern kan betaling vragen oproepen over bestuur, ethiek, risicobeleid en transparantie. Wanneer publiekelijk bekend wordt dat afpersgeld is betaald, kan dit reputatieschade veroorzaken. Daarom communiceren organisaties hier doorgaans terughoudend of helemaal niet over.
  6. Opnieuw worden afgeperst
    Het betalen van afpersgeld aan cybercriminelen wordt vaak gezien als een garantie voor herhaald slachtofferschap, maar in de praktijk ligt dit genuanceerder. Binnen het ransomware-ecosysteem speelt reputatie namelijk een belangrijke rol. Criminele groepen opereren in een informele ondergrondse markt waarin hun geloofwaardigheid invloed heeft op de bereidheid van toekomstige slachtoffers om te betalen. Wanneer een organisatie betaalt en de criminelen vervolgens hun beloftes, zoals het leveren van een decryptiesleutel of het niet publiceren van gestolen data, niet nakomen, schaadt dat hun reputatie.

Daarom komt het relatief weinig voor dat dezelfde organisatie opnieuw door dezelfde groep wordt afgeperst nadat een betaling heeft plaatsgevonden en afspraken zijn nagekomen. Een tweede afpersingspoging zou het impliciete vertrouwen dat tijdens de eerste aanval ontstond ondermijnen en daarmee de kans verkleinen dat toekomstige slachtoffers bereid zijn om te betalen.

Kun je hackersgroepen vertrouwen die bedrijven afpersen?

Hier is nuance noodzakelijk. De veelgehoorde stelling dat “criminelen per definitie niet te vertrouwen zijn” is moreel begrijpelijk, maar analytisch te grof. De relevantere vraag is niet of een groep betrouwbaar is in absolute zin, maar of zij instrumenteel voorspelbaar is binnen haar eigen criminele model.

Een groep die leeft van afpersing heeft er belang bij dat toekomstige slachtoffers geloven dat betaling zin kan hebben. Dat creëert een economische prikkel om afspraken vaak genoeg na te komen om de reputatie van “pay and it won’t leak” overeind te houden.

Dat is geen garantie. Het is ook geen morele rehabilitatie. Het is simpelweg hoe marktdynamiek, zelfs in criminele context, kan werken. Juist daarom hoort in een volwassen afweging thuis:

  • wat is de historische reputatie van deze actor?
  • hoe consistent is die reputatie?
  • op welke bronnen is die inschatting gebaseerd?
  • hoe betrouwbaar zijn die bronnen?
  • geldt dat ook voor dit type data en dit type incident?

Wie die vragen niet stelt, voert geen volledige risicoanalyse.

Over wat we van de ShinyHunters weten, heb ik een separaat artikel geschreven. Sommige cyber incident response-experts achten het plausibel dat betaling de kans op verdere publicatie had kunnen verkleinen, hoewel daar nooit garanties voor bestaan.

Conclusie

De Odido-hack laat zien hoe inadequaat simpele antwoorden zijn bij complexe cyberincidenten. De keuze om wel of niet te betalen is geen morele zwart-witkwestie, maar een strategische afweging tussen verschillende vormen van schade, verdeeld over verschillende groepen en verschillende tijdshorizonten.

Niet betalen kan maatschappelijk verdedigbaar zijn, omdat het het afpersmodel niet beloont en geen valse garanties koopt. Tegelijk kan betaling in een concreet geval verdedigbaar zijn als daarmee de kans op grootschalige, langdurige schade voor miljoenen betrokkenen aantoonbaar wordt verkleind. Dat maakt dit dossier niet eenvoudiger, maar wel eerlijker om te analyseren.

Bestuurders worden daarbij geconfronteerd met een ongemakkelijke realiteit: soms bestaat er geen goede keuze, alleen een keuze tussen twee slechte opties. De vraag is dan niet welke beslissing moreel het zuiverst is, maar welke beslissing de minste totale schade veroorzaakt, en of die keuze zorgvuldig, proportioneel en transparant is gemaakt.

Juist daarom verdient deze discussie minder morele reflexen en meer feitelijke proportionaliteit.

Bijlage: Hoeveel Nederlandse organisaties betalen losgeld aan criminele hackers?

Schattingen lopen sterk uiteen: afhankelijk van bron en definitie varieert het aandeel organisaties dat betaalt van ongeveer 9% tot ruim 50%.

Volgens de politie
Tom Meurs is operationeel specialist cybercriminaliteit bij de politie en promoveerde op cyberaanvallen. Voor zijn onderzoek analyseerde hij 500 hacks die tussen 2019 en 2023 bij de politie zijn geregistreerd. “Van de grote bedrijven doet gemiddeld 40% aangifte na een hack, van kleinere bedrijven is dit maar 10%. Ze zijn bang voor reputatieschade, of denken dat een aangifte geen zin heeft.”

Volgens Meurs kiest ongeveer 25% van de Nederlandse bedrijven er toch voor om te betalen. Een belangrijke factor daarbij is de aanwezigheid van een offline back-up van de getroffen systemen. “Als dat wel zo is, wordt er 27 keer minder vaak betaald.” De dreiging dat gestolen gegevens openbaar worden gemaakt, zoals bij de aanval op Odido, blijkt volgens Meurs weinig invloed te hebben op de beslissing om al dan niet te betalen. Wel heeft deze dreiging effect op de hoogte van het bedrag dat bedrijven bereid zijn te betalen. “Bedrijven betalen dan vijf keer meer.”

De cijfers suggereren dat organisaties hun afweging bij een ransomware-incident primair baseren op bedrijfscontinuïteit en financiële impact. Dat is vanuit risicomanagementperspectief verklaarbaar, maar het laat tegelijkertijd zien dat de belangen van betrokkenen — bijvoorbeeld klanten of burgers van wie gegevens zijn buitgemaakt — vaak een secundaire rol spelen in die besluitvorming. Wanneer de dreiging vooral wordt vertaald naar financiële schade voor de organisatie, ontstaat het risico dat de maatschappelijke impact van datalekken onderbelicht blijft.

Volgens de Autoriteit Persoonsgegevens
Volgens een rapport over ransomware van de Autoriteit Persoonsgegevens (AP) werden in 2023 in totaal 178 unieke ransomware-aanvallen gemeld bij de AP. In ongeveer 50% van de onderzochte aanvallen versleutelden cybercriminelen niet alleen systemen, maar buitmaakten zij ook (persoons)gegevens. Uit het onderzoek blijkt dat ongeveer 9% van de onderzochte organisaties besluit losgeld te betalen na een ransomware-aanval.

Volgens cybersecuritybedrijven
Veel bedrijven gaan uiteindelijk overstag om afpersgeld te betalen, zegt zowel cybercrime-expert Tom Sturme als ransomware-onderhandelaar Joey Fennis. Volgens laatstgenoemde betaalde ruim 25% van de bij soortgelijke hacks getroffen bedrijven in Nederland in 2025 geld aan de afpersers.

Beveiligingsexpert Frank Groenewegen van Deloitte, die gehackte bedrijven bijstaat, zei in 2021 dat het in zijn ervaring 60% betaalt. “Soms hebben ze geen andere keuze”, zegt Groenewegen. “In de meeste gevallen die ik zie, zien ondernemers echt geen andere optie.” De gevallen waarbij losgeld wordt betaald uit een zakelijke afweging – herstel is wel mogelijk, maar duurder – zijn volgens hem zeldzamer. “Ik heb veel bedrijven bijgestaan waar echt alle data weg was. Die hebben dan de keuze: betalen, of weken tot maanden bezig zijn met herstellen en soms zelfs failliet gaan.”

Volgens een verzekeraar
De NOS schrijft in 2021 dat uit onderzoek van verzekeraar Hiscox blijkt dat 58% van de succesvol aangevallen bedrijven betaalt. Dat onderzoek ging onder meer over Nederland; specifieke cijfers over de Nederlandse situatie zijn niet bekend.

Volgens een reputatie-expert
Reputatie-expert Frank Peters krijgt maandelijks een belletje van een bedrijf dat te maken heeft met een ransomware-aanval. Hij heeft inmiddels veertig van dit soort afperssituaties meegemaakt. Volgens hem kiest 70% voor de zorgplicht van hun klanten en besluiten organisaties te betalen. Peters stelt dat hij in zijn praktijk niet heeft gehoord dat data na betaling alsnog wordt gepubliceerd, hoewel ook hij benadrukt dat daarvoor nooit garanties bestaan en hij daar zelf ook niet actief op monitort.

Case study: KNVB en Clinical Diagnostics
In Nederland zijn er eerder incidenten geweest waarbij organisaties ervoor kozen om wél afpersgeld te betalen nadat gevoelige gegevens waren buitgemaakt.

Een bekend voorbeeld is de cyberaanval op de KNVB in 2023. Hackersgroep LockBit wist toegang te krijgen tot interne systemen en dreigde onder meer kopieën van identiteitsbewijzen, contracten en andere vertrouwelijke documenten van (oud-)Oranje-spelers en medewerkers openbaar te maken. De KNVB besloot uiteindelijk onder begeleiding van externe experts afpersgeld te betalen om publicatie van de gegevens te voorkomen. Volgens de bond woog het voorkomen van mogelijke verspreiding van persoonsgegevens zwaarder dan het principe om niet met cybercriminelen te onderhandelen.

Een ander voorbeeld is het medisch laboratorium Clinical Diagnostics in Rijswijk, dat in 2025 werd getroffen door een ransomware-aanval van de groep Nova. Daarbij werden zeer gevoelige medische gegevens buitgemaakt van onder meer ongeveer 485.000 vrouwen die deelnamen aan het bevolkingsonderzoek naar baarmoederhalskanker, inclusief persoonsgegevens en medische testresultaten. Volgens berichten betaalde het laboratorium losgeld om verdere publicatie van de gestolen gegevens te voorkomen.

Deze incidenten illustreren dat organisaties in de praktijk soms voor een moeilijke afweging staan. Betaling kan worden gezien als een poging om verdere schade voor betrokken personen te beperken, maar biedt tegelijkertijd geen absolute garantie dat gestolen gegevens niet alsnog openbaar worden gemaakt of later opnieuw opduiken.

De criminele hackers hebben na betaling van KNVB en Clinical Diagnostics geen gegevens meer geopenbaard.

About Sijmen Ruwhof

Independent IT Security Researcher / Ethical Hacker
This entry was posted in data leakage, ransomware. Bookmark the permalink.