De afgelopen dagen is telecombedrijf Odido veel in het nieuws geweest vanwege de gegevens die gehackt zijn door de hackergroep ShinyHunters. Miljoenen gegevens zijn buitgemaakt, en de groep eiste dat Odido losgeld zou betalen, anders zou ze gevoelige informatie publiceren. Het bedrijf had tot vandaag dat te doen, maar het maakte bekend dat het geen losgeld zal betalen. ShinyHunters heeft als reactie daarop een deel van de buitgemaakte gegevens gepubliceerd. Vier vragen over de gestolen data. Hoe weet ik of ik in die data voorkom? Het is vrijwel onmogelijk om te checken of je voorkomt in de gegevens die vandaag openbaar zijn gemaakt. Dan zou je toegang moeten hebben tot het 'dark web', vervolgens deze specifieke site moeten vinden en daarna overweg moeten kunnen met een tekstbestand van 10 gigabyte. Dat bestand is ook opgesteld in een technisch format dat niet direct om te zetten is in een begrijpelijke tabel. Bovendien is het downloaden van de data strafbaar is, zegt een woordvoerder van de politie. De politie heeft de website ' Check Je Hack ', waarop burgers kunnen controleren welke data van hen gelekt zijn. Daar zal de informatie uit deze hack op een gegeven moment ook verschijnen; wanneer is onbekend. Ook zegt Odido in contact te zullen treden met klanten van wie de data vandaag naar buiten gebracht zijn. Wie gaat er nu met die data aan de haal en wat kunnen ze daarmee uitrichten? De gegevens over 430.000 consumenten en 290.000 bedrijven die vandaag openbaar zijn gemaakt, gaan alleen over naam, adres en eventuele aantekeningen die door Odido zijn gemaakt. Dat zijn aantekeningen zoals 'heeft deze klant een betalingsachterstand?' Gevoeliger materie zoals paspoortdata, mailadressen, telefoonnummers en geboortedata houden de hackers nog achter. De criminelen zeggen die later te kunnen publiceren, als Odido niet alsnog over de brug komt. Met zulke informatie is in theorie identiteitsfraude te plegen: het aanvragen van diensten of het doen van aankopen in naam van iemand die er niets van weet. Dit wordt echter steeds moeilijker, aangezien steeds meer bedrijven en overheidsorganisaties extra controles inbouwen waarmee iemand zijn identiteit moet bewijzen, bijvoorbeeld via DigiD of internetbankieren. Hoe dan ook is het met deze gegevens voor criminelen al een stuk makkelijker geworden om burgers op te lichten: die kunnen via mail of telefoon benaderd worden om op een link te klikken of een andere handeling te verrichten waarmee geld kan worden afgetroggeld. Ook bevatten de gelekte gegevens enkele tientallen btw-nummers van bedrijven. Dat is riskant als het om een eenmanszaak gaat. Tot 2020 bestonden de btw-nummers van die bedrijven uit het bsn-nummer van de ondernemer, vroeger bekend als het sofinummer. En omdat de gegevens in de gelekte bestanden soms oud zijn, kunnen hier dus bsn-nummers van personen tussen staan. Inmiddels wordt voor de btw-nummers van eenmanszaken niet meer het bsn-nummer gebruikt. De Autoriteit Persoonsgegevens heeft dit in 2018 verboden. Hoeveel geld wordt er van Odido geëist? En was het niet beter geweest als er was betaald? Eerder deze week noemde de hackersgroep nog "een bedrag met zeven cijfers" als voorwaarde om de data niet te verspreiden, oftewel: iets tussen 1 en 10 miljoen euro. Gisteren meldde een van de daders aan de NOS dat ze "ook wel akkoord gaan met een half miljoen" . Volgens de politie is het onverstandig losgeld te betalen in een zaak als deze, omdat zo een verdienmodel voor criminelen in stand wordt gehouden: elke hackactie die geld oplevert is immers weer motivatie voor de volgende. Bovendien is er geen garantie dat de data niet alsnog onderhands verpatst worden aan andere criminelen, of op een andere manier verspreid worden. Cybercrime-experts zeiden eerder wel tegen de NOS dat deze groep, ShinyHunters, de reputatie heeft te doen wat ze beloofd heeft als er eenmaal geld is overgemaakt. Zij wijzen er ook op dat het voor een bedrijf een 'simpele kosten-batenanalyse' is: wegen de kosten van het losgeld op tegen de reputatieschade voor het bedrijf, en de schade die hun klanten ondervinden? In dat geval kan het voor het bedrijf de moeite waard zijn om te betalen. Volgens cybersecurity-expert Joey Fennis betaalde ruim een kwart van de bij soortgelijke hacks getroffen bedrijven in Nederland daarom het afgelopen jaar geld aan de afpersers, in weerwil van het advies van de politie. Kun je nu als klant een schadevergoeding claimen? Odido schrijft zelf in antwoord op veelgestelde vragen dat een datalek niet automatisch recht geeft op compensatie. Volgens het bedrijf is er op dit moment ook geen aanleiding om te denken dat eventuele schade het gevolg is van het datalek. De Autoriteit Persoonsgegevens wil niet op dit specifieke geval ingaan, maar een woordvoerder laat weten dat schadevergoedingen onder bepaalde voorwaarden mogelijk zijn. Je moet bijvoorbeeld kunnen aantonen dat je schade hebt geleden, dat er een oorzakelijk verband is tussen het gegevenslek en de schade en dat het bedrijf je gegevens niet goed heeft beschermd.