Artikel · 19 mei 2026

Salesforce zit morgen aan de Kamer-tafel over cyberveiligheid, drie maanden na het Odido-lek via hun platform

De vaste Kamercommissie Digitale Zaken houdt morgen een rondetafelgesprek over cyberveiligheid. In tweede herziene convocatie is aan blok 1 (Experts) Salesforce toegevoegd. De leverancier wiens platform drie maanden eerder de poort was waarlangs 6,2 miljoen Nederlanders hun gegevens verloren. Een feitelijke reconstructie en de vragen die de commissie zou moeten stellen.

Twee gespierde armen, één in een wit overhemd en één in een rood shirt, die elkaar in een vaste, hechte handdruk omklemmen. Beeldtaal: 'Epic Handshake'-meme, gebruikt als beeld voor een onverwachte alliantie tussen partijen die elkaar in het publieke debat juist zouden moeten controleren. — Tweede Kamer × Salesforce: een handdruk die je in dit dossier eerder zou verwachten in een sales-pitch dan in een rondetafelgesprek over cyberveiligheid.

Op woensdag 20 mei 2026, tussen 15:00 en 18:00 uur, houdt de vaste commissie voor Digitale Zaken van de Tweede Kamer een rondetafelgesprek over cyberveiligheid en informatiebeveiliging. Het gesprek vindt plaats in de Troelstrazaal en is via Debat Direct te volgen.

In het eerste blok, getiteld “Experts”, zat tot voor kort een vaste lijst toezichthouders en sectorvertegenwoordigers. Toen verscheen er een tweede herziene convocatie. Reden: “toevoeging spreker aan blok 1”. De toegevoegde spreker is Johan van Streun, Vice President Solution Engineering, Public Sector bij Salesforce.

Drie maanden eerder lekten via de Salesforce-omgeving van Odido de persoonsgegevens van 6,2 miljoen Nederlanders.

Dit artikel reconstrueert de feiten en formuleert de vragen die niet aan Salesforce gesteld zouden moeten worden, maar aan de commissie die Salesforce uitnodigde.

Wat er morgen gebeurt

De rondetafelbijeenkomst is opgedeeld in drie blokken:

Blok 1, Experts (15:00–16:00): Cyberveilig Nederland (Liesbeth Holterman), Digitale Dolle Mina’s (Chantal Stekelenburg), Z-CERT (Wim Hafkamp). En, in tweede herziene convocatie toegevoegd: Salesforce (Johan van Streun).

Blok 2, Casussen (16:00–17:00): Bevolkingsonderzoek Nederland (Elza den Hertog) en GGD GHOR Nederland (Fred Hoekstra). Twee organisaties uit de zorgketen die recent met grote cyberincidenten te maken hadden of risico lopen.

Blok 3, Toezicht en handhaving (17:00–18:00): Autoriteit Persoonsgegevens (Aleid Wolfsen), Nationaal Cyber Security Centrum (Matthijs van Amelsfort), Inspectie Gezondheidszorg en Jeugd (Janet Helder).

Twee dingen vallen op aan de samenstelling.

Het eerste is dat één commerciële leverancier in blok 1 zit naast publieke en non-profit experts, in plaats van in een apart casus-blok zoals Odido of KLM zouden krijgen. Het tweede is dat deze leverancier in tweede herziene convocatie is toegevoegd, dat wil zeggen: na de eerste convocatie, en na een eerste herziening. Wie het verzoek heeft gedaan om Salesforce als spreker toe te voegen, is uit de openbare documenten van de Kamer niet af te leiden.

Wat er drie maanden geleden gebeurde

In de eerste week van februari 2026 ontdekte Odido (voorheen T-Mobile) dat aanvallers hadden ingebroken in de Salesforce-omgeving die het bedrijf gebruikt voor klantregistraties. De aanval bleek tweetraps:

Klantenservicemedewerkers, waarschijnlijk werkzaam bij externe callcenters, kregen phishingmails. Wie op de link klikte en inlogde, gaf zijn of haar inloggegevens af.
Vervolgens belden de aanvallers diezelfde medewerkers. Ze deden zich voor als de ICT-afdeling van Odido en vroegen om de inlogpoging via tweefactorauthenticatie goed te keuren. Bij meerdere medewerkers werkte dat.

Eenmaal binnen koppelden de aanvallers een malafide “connected app” aan de Salesforce-omgeving, een digitale uitbreiding waarmee zij rechtstreeks toegang kregen tot de database. Met geautomatiseerde datascrapers haalden zij vervolgens zoveel mogelijk klantgegevens binnen voordat verdachte activiteit werd opgemerkt.

De buit: persoonsgegevens van 6,2 miljoen huidige en voormalige Odido-klanten, inclusief klanten van dochterbedrijf Ben. Adressen, telefoonnummers, geboortedata, bankrekeningnummers. De hackersgroep Shinyhunters claimde de aanval en is later begonnen met het publiceren van de gestolen data, in delen, als drukmiddel om losgeld af te dwingen. Odido weigerde te betalen.

Uit eerder onderzoek dat ik publiceerde bleek dat de gelekte dataset niet alleen actuele klanten betrof, maar 17 miljoen dataregels omvatte, met records die tot 16 jaar oud waren. Tussen die records bevonden zich gegevens van 38 ministers, 5,5 miljoen burgers die formeel geen klant meer waren, en kwetsbare doelgroepen die volgens de bewaartermijn al lang verwijderd hadden moeten zijn. Zie ook mijn wetsvoorstel 2026Z04148 dat dit type onnodige private opslag wettelijk moet verbieden.

Salesforce waarschuwde meermaals voor exact deze methode

Dit is het deel dat morgen niet onbesproken kan blijven. Het patroon is namelijk niet nieuw, en Salesforce wist dat.

Oktober 2025: Salesforce publiceert een officiële security-update over een opkomende campagne waarbij aanvallers, later geïdentificeerd als Shinyhunters, via phishingsites en telefonische manipulatie inloggegevens en MFA-codes proberen te stelen, met als doel toegang tot Salesforce-omgevingen.
Najaar 2025: Beveiligingsbedrijf Mandiant (onderdeel van Google) en de FBI brengen vergelijkbare waarschuwingen uit. Meerdere grote Salesforce-klanten worden slachtoffer: KLM-Air France, Google, Palo Alto, allemaal via dezelfde methode.
30 januari 2026: Salesforce waarschuwt opnieuw, expliciet, voor een nieuwe golf van social engineering-aanvallen tegen Salesforce-omgevingen, waarbij aanvallers gebruikers verleiden om malafide apps toe te staan.
Begin februari 2026: De Odido-hack vindt plaats. Op of kort voor 6 februari.

Tussen de laatste waarschuwing en de hack zat dus minder dan een week.

Salesforce zelf is in zijn publieke reactie consistent: “Deze gevallen hebben niets te maken met een inherent probleem in Salesforce. Deze aanvallen maken gebruik van social engineering en misleidende authenticatieprompts.” Het platform zelf zou niet lek zijn; de zwakke plek zou liggen in de inrichting en het beheer door de klant.

Technisch klopt dat. Maar het is ook precies hier dat het verhaal ongemakkelijk wordt voor de Kamer-tafel waar deze leverancier morgen als expert zit.

Waarom “geen lek in onze software” niet genoeg is

Als één klant via social engineering wordt overrompeld, is dat een incident. Als KLM, Google, Palo Alto én Odido in nagenoeg dezelfde periode op dezelfde manier worden gepenetreerd via Salesforce-omgevingen, is dat geen serie incidenten meer. Dat is een structureel kenmerk van de wijze waarop het platform standaard wordt geleverd en geconfigureerd.

Concreet zijn er drie ontwerp- en governancekeuzes die Salesforce zelf maakt:

Wie mag een “connected app” toevoegen. In de Odido-zaak konden gewone klantenservicemedewerkers een externe applicatie koppelen aan de productiedatabase. In een veilig ingerichte omgeving zou dat alleen een beheerder mogen doen, na expliciete goedkeuring. Salesforce levert die strengere instelling niet als standaard.
Het rechtenmodel. Klantenservicemedewerkers met productietoegang tot alle 6,2 miljoen records (niet alleen die van de klant aan de lijn) is een rechtenstructuur die door de leverancier wordt aangereikt, geconfigureerd en (in veel implementaties) onderhouden.
Detectie van afwijkend gedrag. Een geautomatiseerde datascraper die in korte tijd miljoenen records ophaalt, is statistisch evident afwijkend gedrag. Dat dat detectiemechanisme niet automatisch is geactiveerd of niet effectief alert geeft, is een eigenschap van het platform, niet uitsluitend van de klant.

Met andere woorden: de stelling “de klant heeft het verkeerd ingericht” is alleen een verdedigbare positie als de leverancier aantoonbaar maximaal heeft geprobeerd te voorkomen dat klanten het verkeerd inrichten. Waarschuwen via een blogpost is dat niet. Niet als hetzelfde aanvalspatroon zich binnen één kalenderjaar bij vier grote klanten herhaalt.

De wet die morgen niet zonder Salesforce besproken wordt

Het is in deze context dat het rondetafelgesprek van morgen plaatsvindt. De Tweede Kamer heeft op 15 april 2026 de Cyberbeveiligingswet (Cbw) aangenomen, de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet ligt nu bij de Eerste Kamer en de verwachte inwerkingtreding is 1 juli 2026. Parallel werkt het kabinet aan het Cyberbeveiligingsbesluit en aan ministeriële regelingen waarin de zorgplicht, de meldplicht en (relevant hier) de omgang met leveranciers verder wordt uitgewerkt.

De rondetafel van 20 mei valt precies in dat venster tussen wetsbehandeling en inwerkingtreding. Wat hier gezegd wordt over wat “werkt” in cyberveiligheid, kleurt mee in:

De interpretatie en handhaving van de Cbw-zorgplicht;
De definitieve teksten van de algemene maatregelen van bestuur;
De manier waarop de toezichthouders (AP, NCSC, sectortoezichthouders) hun rol invullen;
Het aankomende beleidsdebat over leveranciersaansprakelijkheid, een onderwerp dat in NIS2 nog grotendeels onontgonnen is en waar de Kamer in een volgende ronde aanvullende wetgeving zal moeten overwegen.

Salesforce zit precies op die uitlooppositie. Niet om uitgevraagd te worden over een lek, maar om, vanuit het label “Expert”, mee te vormen wat de Kamer onder een effectieve cyberveiligheidsaanpak verstaat.

De Autoriteit Persoonsgegevens zegt het zelf

In de position paper die de Autoriteit Persoonsgegevens op 13 mei 2026 ten behoeve van dit rondetafelgesprek heeft ingediend (kenmerk 2026Z09729), schrijft de toezichthouder dat bedrijven, overheden en ICT-leveranciers hun basisbeveiliging onvoldoende op orde hebben en dat de capaciteit voor toezicht ernstig tekortschiet. Volgens de AP werden in 2025 ruim 44.000 datalekken gemeld, tegenover circa 38.000 een jaar eerder.

Eén van de partijen die de AP daar (impliciet maar onmiskenbaar) in adresseert is een ICT-leverancier wiens omgeving in 2025–2026 het aanvalsoppervlak vormde voor minimaal vier grote datalekken. Dezelfde leverancier zit morgen, één blok eerder dan de AP, aan diezelfde tafel.

De vragen, niet aan Salesforce maar aan de commissie

Salesforce zal morgen vrijwel zeker drie dingen zeggen, in deze volgorde: “Onze software zelf was niet lek.” “Wij hebben de markt herhaaldelijk gewaarschuwd.” “Zero Trust is de oplossing voor dit type aanval.” Daar is op alle drie iets op af te dingen, en de andere experts aan tafel (Cyberveilig Nederland, Digitale Dolle Mina’s, Z-CERT) zijn ruimschoots in staat dat te doen.

De vragen die ontbreken, en die alleen door de commissie zelf gesteld kunnen worden, zijn:

1. Op wiens verzoek is Salesforce in tweede herziene convocatie aan blok 1 (Experts) toegevoegd?

2. Waarom zit een commerciële leverancier in het expertsblok, en niet in een aparte sessie met direct betrokken partijen, naast Odido of KLM?

3. Welke andere CRM- of cloudleveranciers met vergelijkbare betrokkenheid bij de mega-datalekken van 2025–2026 zijn voor dit blok overwogen, en op grond waarvan zijn zij niét uitgenodigd?

4. Acht de commissie het verenigbaar met haar zorgvuldigheidsplicht dat de leverancier wiens platform de afgelopen 12 maanden bij minimaal vier mega-datalekken in de keten zat (Odido, KLM, Google en Palo Alto) meeschrijft aan de begripsvorming rond de Cyberbeveiligingswet en de uitwerking ervan?

5. Is Salesforce, dat blijkens de samenstelling van de delegatie ook als Public Sector partner aan tafel zit, op enige wijze geconsulteerd of geraadpleegd bij de totstandkoming van de algemene maatregelen van bestuur of ministeriële regelingen onder de Cbw?

Het zijn vragen die feitelijk te beantwoorden zijn. Antwoorden waarop de Kamer recht heeft, en het publiek met haar.

Wat dit zegt over de wetgevende keten

Het is gemakkelijk om dit weg te zetten als één rondetafelgesprek met één discutabele uitnodiging. Het is interessanter om het patroon te zien.

In het wetgevingsproces rond complexe digitale onderwerpen heeft het Nederlandse parlement zich de afgelopen jaren in toenemende mate laten informeren door partijen met directe commerciële belangen in de uitkomst. Bij DigiD/Solvinity, bij de Belastingdienst-Adobe-keten, bij de NU.nl/NOS-coalitie van adverteerders die “transparantie” definieert, en nu bij de Cyberbeveiligingswet. De woorden zijn telkens dezelfde: expertise, publiek-privaat partnership, toegevoegde waarde. De ongemakkelijke implicatie is dat de Kamer steeds vaker een marktpartij vraagt om de spelregels te helpen ontwerpen van het spel waarin diezelfde marktpartij meespeelt.

In andere sectoren noemen we dat regulatory capture en proberen we het juist te voorkomen. In de digitale sector lijken we het structureel als kennisbron te organiseren.

Het rondetafelgesprek van 20 mei is daarmee niet vreemd, het is exemplarisch.

Methode en bronnen

Dit artikel is gebaseerd op:

De officiële convocatie van de Tweede Kamer voor het rondetafelgesprek (activiteit 2026A02097), inclusief de tweede herziene convocatie waarin Salesforce als spreker is toegevoegd.
De LinkedIn-aankondiging van Bart Schellekens (Privacy & Responsible Tech), die als eerste de definitieve samenstelling van het rondetafelgesprek publiceerde.
De position paper van de Autoriteit Persoonsgegevens (kenmerk 2026Z09729) van 13 mei 2026.
Berichtgeving over het Odido-datalek door NOS, Security.NL, Tweakers, Nederland Digitaal, ICTMagazine.nl en Klantcontact.nl tussen 12 februari en 3 maart 2026.
De publieke security-updates van Salesforce uit oktober 2025 en 30 januari 2026.
De wetsstukken en parlementaire dossiers rond de Cyberbeveiligingswet en de NIS2-richtlijn, beschikbaar via tweedekamer.nl en de NCTV.
Mijn eigen voorgaande publicaties over het Odido-datalek (forensische analyse, 17 miljoen dataregels, 38 ministers in dataset) en het bijbehorende wetsvoorstel 2026Z04148.

De primaire bronnen zijn op verzoek beschikbaar. Voor vragen, correcties of aanvullingen, ook van Salesforce of de commissie Digitale Zaken, gebruik het contactformulier.

Update zal volgen na het rondetafelgesprek van 20 mei. De position papers en het verslag zullen dan publiek beschikbaar zijn op tweedekamer.nl onder activiteit 2026A02097.

← terug naar artikelen