{"id":2852,"date":"2026-02-12T15:26:48","date_gmt":"2026-02-12T19:26:48","guid":{"rendered":"https:\/\/avr-law.com\/?p=2852"},"modified":"2026-02-12T18:09:09","modified_gmt":"2026-02-12T22:09:09","slug":"datalek-avg-nederland-ap-odido","status":"publish","type":"post","link":"https:\/\/avr-law.com\/en\/2026\/02\/datalek-avg-nederland-ap-odido\/","title":{"rendered":"Datalek AVG Nederland: juridische gevolgen onder de AVG na incidenten bij AP en Odido"},"content":{"rendered":"
\"Datalek<\/figure>\n\n\n\n

Inleiding<\/h2>\n\n\n\n

Begin februari 2026 werd Nederland geconfronteerd met twee opvallende datalekken. Eerst werd bekend dat bij de Dutch Data Protection Authority (Autoriteit Persoonsgegevens)<\/a> (AP) persoonsgegevens van (oud-)medewerkers door onbevoegden waren ingezien. Enkele dagen later meldde Odido <\/a>een grootschalige cyberaanval waarbij gegevens van miljoenen klanten zijn buitgemaakt.<\/p>\n\n\n\n

Deze gebeurtenissen onderstrepen dat digitale kwetsbaarheden zich niet beperken tot \u00e9\u00e9n sector. Zowel toezichthouders als commerci\u00eble organisaties kunnen worden getroffen. In het kader van een datalek AVG Nederland rijst dan direct de vraag: welke verplichtingen gelden onder de Algemene Verordening Gegevensbescherming (AVG) en welke rechten hebben betrokkenen?<\/p>\n\n\n\n

Het juridisch kader bij een datalek onder de AVG<\/h2>\n\n\n\n

Wanneer sprake is van een datalek in Nederland, vormt de AVG het centrale juridische kader. Organisaties die persoonsgegevens verwerken, moeten passende technische en organisatorische maatregelen treffen om gegevens te beveiligen.<\/p>\n\n\n\n

De belangrijkste wettelijke verplichtingen zijn:<\/p>\n\n\n\n

    \n
  • Artikel 32 AVG<\/strong> \u2013 passende technische en organisatorische beveiligingsmaatregelen<\/li>\n\n\n\n
  • Artikel 33 AVG<\/strong> \u2013 meldplicht bij datalekken aan de toezichthouder<\/li>\n\n\n\n
  • Artikel 34 AVG<\/strong> \u2013 informatieplicht richting betrokkenen<\/li>\n\n\n\n
  • Artikel 82 AVG<\/strong> \u2013 recht op schadevergoeding<\/li>\n<\/ul>\n\n\n\n

    Daarnaast geldt de verantwoordingsplicht (artikel 5 lid 2 AVG). Organisaties moeten niet alleen voldoen aan de AVG, maar dit ook kunnen aantonen.<\/p>\n\n\n\n

    Bij een datalek AVG Nederland wordt de naleving van deze verplichtingen centraal beoordeeld.<\/p>\n\n\n\n

    Het eerste incident: gegevensinzage bij de Autoriteit Persoonsgegevens<\/h2>\n\n\n\n

    Het eerste incident betrof de AP zelf. Door misbruik van een softwarekwetsbaarheid kregen onbevoegden toegang tot werkgerelateerde gegevens van (oud-)medewerkers.<\/p>\n\n\n\n

    Volgens de berichtgeving ging het onder meer om:<\/p>\n\n\n\n

      \n
    • Namen<\/li>\n\n\n\n
    • Zakelijke e-mailadressen<\/li>\n\n\n\n
    • Telefoonnummers<\/li>\n\n\n\n
    • Functiegegevens<\/li>\n\n\n\n
    • Mogelijk interne personeelsinformatie<\/li>\n<\/ul>\n\n\n\n

      Hoewel het geen grootschalig consumentenlek betreft, is de principi\u00eble betekenis aanzienlijk. Ook een toezichthouder moet voldoen aan dezelfde beveiligings- en meldverplichtingen die zij bij andere organisaties handhaaft.<\/p>\n\n\n\n

      Het tweede incident: grootschalig datalek bij Odido<\/h2>\n\n\n\n

      Enkele dagen later volgde het omvangrijke incident bij Odido. Hierbij zijn naar schatting gegevens van miljoenen klanten buitgemaakt.<\/p>\n\n\n\n

      De gelekte gegevens omvatten onder meer:<\/p>\n\n\n\n

        \n
      • Naam- en adresgegevens<\/li>\n\n\n\n
      • E-mailadressen en telefoonnummers<\/li>\n\n\n\n
      • Geboortedata<\/li>\n\n\n\n
      • Klantnummers<\/li>\n\n\n\n
      • IBAN-gegevens<\/li>\n\n\n\n
      • Mogelijk identificerende documentinformatie<\/li>\n<\/ul>\n\n\n\n

        Bij een dergelijk grootschalig datalek in Nederland rijzen vragen over de adequaatheid van beveiligingsmaatregelen, de tijdigheid van melding en de mogelijke civielrechtelijke aansprakelijkheid.<\/p>\n\n\n\n

        Aansprakelijkheid en schadevergoeding<\/h2>\n\n\n\n

        Artikel 82 AVG bepaalt dat iedere betrokkene recht heeft op vergoeding van materi\u00eble of immateri\u00eble schade indien deze het gevolg is van een inbreuk op de AVG.<\/p>\n\n\n\n

        Daarbij gelden enkele belangrijke voorwaarden:<\/p>\n\n\n\n

          \n
        • Er moet sprake zijn van aantoonbare schade;<\/li>\n\n\n\n
        • Er moet een causaal verband bestaan tussen het datalek en de schade;<\/li>\n\n\n\n
        • De organisatie kan zich slechts disculperen indien zij bewijst dat haar geen enkel verwijt treft.<\/li>\n<\/ul>\n\n\n\n

          Een datalek AVG Nederland leidt dus niet automatisch tot schadevergoeding. Wel kan het aanleiding geven tot individuele claims of collectieve procedures, afhankelijk van de concrete omstandigheden.<\/p>\n\n\n\n

          Wat kunt u doen bij een datalek?<\/h2>\n\n\n\n

          Voor consumenten<\/h3>\n\n\n\n
            \n
          • Wees alert op phishing en frauduleuze communicatie.<\/li>\n\n\n\n
          • Controleer uw banktransacties zorgvuldig.<\/li>\n\n\n\n
          • Activeer tweefactorauthenticatie waar mogelijk.<\/li>\n\n\n\n
          • Verstrek geen persoonsgegevens via verdachte links of telefoongesprekken.<\/li>\n<\/ul>\n\n\n\n

            Voor organisaties<\/h3>\n\n\n\n

            De recente incidenten benadrukken het belang van structurele AVG-compliance. Organisaties doen er goed aan om:<\/p>\n\n\n\n

              \n
            • Regelmatig risicoanalyses uit te voeren;<\/li>\n\n\n\n
            • Beveiligingsmaatregelen te actualiseren;<\/li>\n\n\n\n
            • Interne datalekprocedures te testen;<\/li>\n\n\n\n
            • Compliance zorgvuldig te documenteren.<\/li>\n<\/ul>\n\n\n\n

              Meer informatie over onze dienstverlening op het gebied van privacyrecht en gegevensbescherming vindt u op onze privacyrechtpagina. Wij ondersteunen organisaties eveneens bij compliance en risicobeheersing.<\/p>\n\n\n\n

              Conclusie<\/h2>\n\n\n\n

              De recente datalekken bij zowel de Autoriteit Persoonsgegevens als Odido tonen aan dat digitale risico\u2019s sectoroverstijgend zijn. De AVG stelt duidelijke eisen aan beveiliging, meldplicht en aansprakelijkheid.<\/p>\n\n\n\n

              Voor betrokkenen is het van belang alert te blijven en hun rechten te kennen. Voor organisaties is aantoonbare naleving van de AVG essentieel om juridische en reputatieschade te beperken.<\/p>","protected":false},"excerpt":{"rendered":"

              Inleiding Begin februari 2026 werd Nederland geconfronteerd met twee opvallende datalekken. Eerst werd bekend dat bij de Autoriteit Persoonsgegevens (AP) […]<\/p>\n","protected":false},"author":3,"featured_media":2853,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_eb_attr":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[20,184],"tags":[],"ppma_author":[23],"class_list":["post-2852","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-advice-juridisch-advies","category-legal-analysis-juridische-analyse"],"jetpack_publicize_connections":[],"authors":[{"term_id":23,"user_id":3,"is_guest":0,"slug":"avr-law","display_name":"Avr-Law","avatar_url":{"url":"https:\/\/avr-law.com\/wp-content\/uploads\/2024\/02\/cropped-AVR-law-logo.png","url2x":"https:\/\/avr-law.com\/wp-content\/uploads\/2024\/02\/cropped-AVR-law-logo.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/posts\/2852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/comments?post=2852"}],"version-history":[{"count":1,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/posts\/2852\/revisions"}],"predecessor-version":[{"id":2854,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/posts\/2852\/revisions\/2854"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/media\/2853"}],"wp:attachment":[{"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/media?parent=2852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/categories?post=2852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/tags?post=2852"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/avr-law.com\/en\/wp-json\/wp\/v2\/ppma_author?post=2852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}