en_US English
en_US English nl_NL Dutch

Blogs

Vertrouwd Veilig Samen

Wat bestuurders in onderwijs en zorg kunnen leren van de Odido-hack

Wat bestuurders in onderwijs en zorg kunnen leren van de Odido-hack

De recente cyberaanval op Odido is op het eerste gezicht een klassiek beveiligingsincident: phishing, misbruik van accounts en grootschalige datadiefstal. Maar wie beter kijkt, ziet dat dit incident niet alleen over cybersecurity gaat. Het gaat over bestuurlijke verantwoordelijkheid voor databeheer.

 

Bij de aanval kregen criminelen toegang tot persoonsgegevens van ongeveer 6,2 miljoen accounts. Opvallend – en bestuurlijk relevant – is dat ook gegevens van oud-klanten werden buitgemaakt. Mensen die al vijf tot tien jaar geen klant meer waren, bleken nog in systemen aanwezig. Daarmee verschuift de kern van het probleem: niet alleen hoe zijn ze binnengekomen?, maar ook waarom stond die data er nog?

 

Waarom dit onderwijs- en zorgbestuurders direct raakt

Onderwijsinstellingen en zorgorganisaties verwerken grote hoeveelheden gevoelige persoonsgegevens. Denk aan:

 

  • leerling- en studentdossiers
  • patiënt- en cliëntgegevens
  • gegevens van oud-medewerkers
  • historische onderzoeks- of behandeldata
  • gegevens bij externe leveranciers en in back-ups

 

In veel organisaties groeit data door de jaren heen. Systemen worden uitgebreid, leveranciers wisselen, processen veranderen. Maar historische gegevens verdwijnen zelden actief. Zolang er geen incident plaatsvindt, lijkt dat geen probleem. Totdat er wél iets gebeurt. Dan blijkt dat een datalek niet alleen huidige betrokkenen raakt, maar ook oud-leerlingen, voormalige cliënten of medewerkers van jaren geleden. De groep getroffenen wordt groter dan verwacht. De meldplicht wordt omvangrijker. De reputatie-impact neemt toe.

 

En de bestuurlijke vraag komt onvermijdelijk op tafel:
hoe kon deze data nog aanwezig zijn?

 

Het dubbele risico van oude data

Historische data creëert een dubbel risico:

 

  1. Juridisch risico
    De AVG schrijft dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk. Dataminimalisatie en opslagbeperking zijn geen administratieve formaliteiten, maar wettelijke verplichtingen. Wanneer gegevens van voormalige betrokkenen jarenlang blijven bestaan zonder duidelijke grondslag, ontstaat niet alleen een beveiligingsrisico, maar ook een compliancevraagstuk.
  2. Cyberrisico
    Data die nog bestaat, kan worden buitgemaakt. In veel incidenten blijkt achteraf dat juist historische gegevens de grootste impact veroorzaken — simpelweg omdat het volume groter is dan gedacht. De les is ongemakkelijk maar helder: oude data vergroot de impact van een incident aanzienlijk.

 

Waar het in de praktijk misgaat

De Odido-case legt patronen bloot die ook in onderwijs en zorg herkenbaar zijn:

 

  1. Beleid zonder technische borging
    Bewaartermijnen zijn vaak vastgelegd in beleid of reglementen. Maar systemen verwijderen gegevens niet automatisch. Niemand controleert structureel of data daadwerkelijk wordt opgeschoond.
  2. Onvoldoende overzicht
    Persoonsgegevens bevinden zich verspreid over leerlingadministraties, ECD’s, HR-systemen, samenwerkingsplatforms, e-mailomgevingen, archieven en leveranciers. Zonder integraal overzicht is sturing vrijwel onmogelijk.
  3. Zwakke exit-processen
    Wanneer een medewerker uit dienst gaat, een leerling vertrekt of een behandelrelatie eindigt, is het proces vaak administratief geregeld — maar technisch niet volledig. Accounts blijven bestaan, autorisaties blijven actief, dossiers blijven toegankelijk.

 
Met elke overgang ontstaat nieuwe ‘achterblijvende’ data.

 

Dit is geen IT-vraagstuk, maar een governance-vraagstuk

Voor bestuurders ligt hier een fundamentele verantwoordelijkheid. Privacy en informatiebeveiliging zijn geen uitvoeringskwesties alleen; ze raken:

 

  • continuïteit van de organisatie
  • vertrouwen van ouders, studenten, cliënten en medewerkers
  • toezicht door de Autoriteit Persoonsgegevens
  • reputatie en publieke verantwoording

 
De kernvraag is niet alleen:
‘Zijn onze systemen goed beveiligd?’
Maar ook:
‘Hebben wij nog persoonsgegevens die we eigenlijk niet meer zouden moeten hebben?’

 
Die tweede vraag wordt in veel bestuurskamers minder vaak gesteld.

 

Wat bestuurders concreet zouden moeten agenderen

Een incident als dit vraagt niet alleen om technische maatregelen, maar om bestuurlijke reflectie. Denk aan:

 

  • Worden bewaartermijnen technisch afgedwongen of alleen administratief vastgelegd?
  • Is er integraal overzicht van waar persoonsgegevens zich bevinden, inclusief leveranciers en back-ups?
  • Zijn exit-processen aantoonbaar sluitend?
  • Wordt periodiek gecontroleerd of historische data daadwerkelijk wordt verwijderd?
  • Is dataminimalisatie onderdeel van risicomanagement en interne audits?

 
Dit zijn governancevragen, geen operationele details.

 

De belangrijkste les

De grootste misvatting bij datalekken is dat ze alleen huidige betrokkenen raken. De realiteit is vaak anders: historische data komt terug om organisaties te achtervolgen. Goed databeheer is daarom niet alleen een privacyverplichting, maar een van de krachtigste vormen van risicobeheersing.
Want gegevens die er niet meer zijn, kunnen ook niet worden gestolen.

 
Check Privacy is uw partner voor privacy- en informatiebeveiliging. Onze specialisatie is onderwijs en zorg. We staan u bij met advies, maar ook met de implementatie en uitvoering. Zo zorgen we dat u uw governance op orde heeft. Neem contact met ons op als u wilt weten hoe uw organisatie ervoor staat.

recent post

Blogs en Artikelen

Wat bestuurders in onderwijs en zorg kunnen leren van de Odido-hack

Veiligheid in scholen vraagt soms om moeilijke keuzes

De boete voor de HAN laat zien hoe complex informatiebeveiliging in het onderwijs is — zelfs met de beste intenties

VIEW MORE