De afgelopen dagen kwam naar buiten dat bij Odido klantgegevens zijn ingezien nadat een medewerker via meekijksoftware toegang gaf aan een onbevoegde partij. Geen geavanceerde hack. Geen zero-day exploit. Geen staatsacteur.

Maar iets misschien nog ongemakkelijkers: menselijke onwetendheid gecombineerd met social engineering.

En wat krijgen klanten als ‘goedmakertje’? Gratis beveiligingssoftware van F-Secure.

Dat voelt… ongemakkelijk.

Geen hack, maar vertrouwen dat misbruikt werd

Laten we eerlijk zijn.

Dit is geen technisch hoogstandje van cybercriminelen. Dit is:

Een medewerker die via remote software toegang verleent

Onvoldoende verificatieprocedures

Onvoldoende technische begrenzing van wat medewerkers überhaupt mogen zien

En waarschijnlijk een gebrek aan “zero trust” inrichting

Social engineering werkt niet omdat systemen zwak zijn. Het werkt omdat processen en menselijk gedrag zwak worden gemaakt.

Als een medewerker volledige inzage kan geven in klantdata via meekijksoftware, dan ligt het probleem niet bij de klant.

Gratis antivirus als oplossing?

Na het incident biedt Odido klanten gratis beveiligingssoftware aan van F-Secure.

Maar laten we even logisch nadenken:

De klant is niet gehackt

De klant heeft niets verkeerd gedaan

Het lek zat intern

De toegang werd verleend via een medewerker

Een virusscanner op de laptop van de klant voorkomt niet dat een medewerker morgen opnieuw via social engineering toegang verleent.

Dat is alsof je na een inbraak bij een bank tegen rekeninghouders zegt:

“Hier, een gratis slot voor je fiets.”

Het voelt als een doekje voor het bloeden.

Goed bedoeld wellicht, maar het adresseert de kern niet.

Het echte probleem: dataminimalisatie ontbreekt

De fundamentele vraag is:

Waarom kan een medewerker überhaupt zóveel zien?

Goede beveiliging begint niet bij antivirus.

Goede beveiliging begint bij:

Dataminimalisatie

Least privilege

Logging & auditing

Multi-factor verificatie

Zero trust-architectuur

Tijdelijke toegang in plaats van permanente inzage

En misschien wel het belangrijkste:

Minder data opslaan.

Want wat er niet is, kan ook niet lekken.

Bij JustBSocial is het uitgangspunt anders

Op JustBSocial hanteren we een fundamenteel ander principe:

Data is niet een bezit van het platform.

Data is tijdelijk in bewaring.

Daarom is het recht op vergetelheid geen knop ergens diep verstopt in een menu, maar de standaard.

🔐 Eén jaar inactiviteit = account automatisch verwijderd

Geen slapende profielen die jaren blijven hangen

Geen onnodige opslag van historische data

Geen eindeloze bewaartermijnen “voor het geval dat”

Een jaar geen activiteit?

Dan wordt het account en bijbehorende data verwijderd.

Niet omdat het moet van de AVG.

Maar omdat het logisch is.

De grotere discussie

Dit incident laat iets zien dat breder speelt:

Grote bedrijven verzamelen enorm veel data.

Meer dan strikt noodzakelijk.

En vertrouwen vervolgens op processen en medewerkers om daar zorgvuldig mee om te gaan.

Maar mensen maken fouten.

Altijd.

Daarom moet architectuur fouten kunnen opvangen.

Niet vertrouwen op goede bedoelingen, maar op structurele beperkingen.

Privacy is geen extraatje

Privacy is geen marketingtool.

Geen tijdelijke actie.

Geen gratis antiviruspakket.

Privacy is een ontwerpkeuze.

En misschien is het tijd dat meer bedrijven zich afvragen:

Hebben wij écht al deze data nodig?

Of verzamelen we gewoon omdat het kan?

Wil je een platform waar:

Geen algoritmes je sturen

Geen data eindeloos wordt bewaard

En waar vergetelheid standaard is

Dan weet je waar je moet zijn.

Jouw tijdlijn.

Jouw data.

Jouw regels.