Datalek bij je leverancier? Dit moet je als ondernemer weten

24-02-2026 - Het recente datalek bij Odido laat opnieuw zien hoe kwetsbaar zelfs grote organisaties zijn voor cyberaanvallen. In één klap lagen de gegevens van miljoenen Nederlanders op straat, zelfs van klanten die al jaren geleden waren vertrokken. Voor ondernemers is dit een duidelijke waarschuwing: ook een datalek bij een leverancier kan gevolgen hebben voor jouw bedrijf.

Ook bij een extern datalek heb jij verplichtingen

Veel ondernemers gaan ervan uit dat bij een datalek bij een externe partij de verantwoordelijkheid voor het datalek volledig bij die leverancier ligt. Maar zodra een partij namens jou persoonsgegevens verwerkt, blijf jij eindverantwoordelijk voor wat er met die gegevens gebeurt. Of het nu gaat om een telecomprovider, een administratiesysteem, een cloudservice of een marketingbureau: jij blijft onder de AVG verantwoordelijk voor de bescherming van die data.
Dat betekent dat je bij een datalek bij een leverancier moet nagaan of gegevens van jouw klanten of medewerkers getroffen zijn. Zo ja, dan kan het nodig zijn dat jij zelf meldingen doet aan de Autoriteit Persoonsgegevens of betrokkenen informeert. Ook wanneer de fout niet bij jou ligt.

De gevolgen kunnen groot zijn

Een datalek kan meer betekenen dan alleen technische problemen. De reputatie van je bedrijf kan schade oplopen wanneer klanten twijfelen aan de veiligheid van hun gegevens. Daarnaast kunnen gedupeerden vragen stellen of zelfs een claim indienen wanneer zij schade lijden. Ook kan de Autoriteit Persoonsgegevens aanvullende vragen stellen of verzoeken om inzage in je datalekregister. En bovendien kost het onderzoek, de communicatie en de administratieve afhandeling vaak meer tijd dan ondernemers vooraf verwachten.

Wanneer het datalek binnen je eigen organisatie ontstaat

Mocht je zelf met een datalek te maken krijgen, dan is snel en zorgvuldig handelen belangrijk. Stel eerst vast welke gegevens zijn gelekt en van wie. Vervolgens neem je onmiddellijk maatregelen om het datalek te stoppen en de schade te beperken. Hoe gevoeliger de informatie, hoe groter het risico op schade. Tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’, moet je binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens. Bij een hoog risico moet je ook de betrokken personen informeren, zodat zij maatregelen kunnen nemen. Ook moet volgens de AVG elk datalek worden vastgelegd in een intern register, zelfs wanneer je geen meldplicht hebt.

Wanneer een leverancier – zoals Odido – wordt getroffen

Een datalek bij een externe partij kan dezelfde verplichtingen met zich meebrengen. Controleer welke persoonsgegevens een leverancier van jouw klanten of medewerkers bewaart en beoordeel of die gegevens zijn geraakt. Zijn ze mogelijk gelekt, dan moet je dezelfde stappen afwegen als wanneer het binnen je eigen systemen zou gebeuren.
Dit soort incidenten maakt meteen duidelijk hoe belangrijk actuele verwerkersovereenkomsten zijn. Daarin hoort onder andere te staan hoe snel een leverancier jou informeert, welke beveiligingsmaatregelen worden genomen en onder welke voorwaarden de gegevens worden verwerkt en gebruikt. Veel ondernemers ontdekken pas bij een incident dat deze afspraken niet compleet of verouderd zijn.

Goede voorbereiding verkleint risico’s

Door vooraf inzicht te hebben in welke partijen persoonsgegevens voor jou verwerken en onder welke voorwaarden, verklein je de risico’s aanzienlijk. Zorg dat je verwerkersovereenkomsten actueel zijn, dat je weet hoe je intern met datalekken omgaat en dat je een eenvoudig maar volledig datalekregister bijhoudt. Ook is het verstandig om ieder incident – hoe klein ook – te documenteren, zodat je later precies kunt aantonen wat er wanneer is gebeurd.

Schadevergoeding is niet vanzelfsprekend
De vraag of je schade kunt verhalen, hangt af van het aantonen van schade én het verband met het datalek. Dat maakt dit juridisch vaak ingewikkeld. Toch kan het zeker zinvol zijn om juridische ondersteuning te zoeken, zeker bij incidenten op grote schaal zoals nu bij Odido. De uitkomsten van lopende onderzoeken bepalen of er mogelijkheden zijn voor collectieve of individuele vorderingen.

Het Odido‑datalek is een waarschuwing

Dit incident laat zien hoe afhankelijk ondernemers zijn van hun digitale keten. Zelfs als je intern alles goed op orde hebt, kun je geraakt worden door fouten van leveranciers. Cyberveiligheid stopt dus niet bij de grenzen van je eigen bedrijf. Door duidelijke afspraken te maken, incidenten serieus te nemen en goed voorbereid te zijn, voorkom je dat een datalek leidt tot hoge schadeclaims.

Hulp nodig?

Wil je weten of jouw organisatie goed is voorbereid op een datalek of heb je vragen over jouw juridische positie? Neem contact met ons op. We denken graag met je mee!

Bij het samenstellen van dit artikel/deze nieuwsbrief is geen rekening gehouden met eventuele bijzondere van toepassing zijnde wetgeving en afspraken zoals opgenomen in de CAO en/of (arbeids)overeenkomst. Daarbij is rekening gehouden met de wetgeving die op het moment van het schrijven van de tekst geldend is. Het kan dus zijn dat, met de veranderende wetgeving, de inhoud later achterhaald is. Mocht je de informatie in de praktijk willen hanteren, neem dan van tevoren even contact op met een van de juristen van Recht-Direct zodat zij je goed kunnen informeren.