Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt zijn klanten voor een cyberaanval. Daarbij is volgens de Nederlandse telecomprovider data van klanten gestolen. Het gaat om de gegevens uit een klantcontactsysteem van de provider. Mogelijk gaat het om de gegevens van miljoenen klanten.

Odido bevestigt de cyberaanval op zijn website. De provider spreekt over een incident in het weekend van 7 en 8 februari. Bij het incident zijn sommige klantgegevens 'geraakt', schrijft de provider. Cybercriminelen kregen onbevoegd toegang tot een klantcontactsysteem dat Odido gebruikt en hebben daar vervolgens gegevens van klanten gedownload.

Het gaat om een bestand met de gegevens van mogelijk 6,2 miljoen klanten, zegt een woordvoerder tegen Tweakers. Daar kunnen overigens wel dubbelingen in zitten: klanten met zowel een mobiel als een vast abonnement kunnen twee keer in die dataset staan.

De hackers hebben zelf laten weten dat ze de gegevens in handen hebben, zegt een woordvoerder van Odido tegen Tweakers. Vervolgens heeft het bedrijf 'de ongeautoriseerde toegang tot het systeem zo snel mogelijk beëindigd', schrijft het bedrijf op zijn website. De provider wil niet bevestigen of de daders om losgeld hebben gevraagd.

Uitgelekte data: namen, IBAN en mogelijk ID-gegevens

Klanten die betrokken zijn bij het datalek, krijgen een e-mail of sms van de provider. Vanwege het grote aantal klanten kan het tot 48 uur duren voordat iedereen op de hoogte is gesteld, aldus Odido. De betrokken klantgegevens omvatten volgens de provider 'mogelijk' de volledige naam en het adres van de gebruiker.

Daarnaast zijn ook de mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en de identificatiegegevens van klanten mogelijk betrokken bij het lek. Onder dat laatste vallen de paspoort- of rijbewijsnummers en informatie over de geldigheid daarvan.

Er zijn volgens Odido geen scans van identiteitsbewijzen uitgelekt. Er zijn ook geen wachtwoorden, belgegevens, locatiegegevens of factuurgegevens betrokken bij de cyberaanval. De 'operationele' kant van het bedrijf is niet getroffen, benadrukt het bedrijf daarnaast. Gebruikers kunnen dus veilig blijven internetten, tv-kijken en bellen.

De provider raadt verder aan om extra alert te zijn op phishing en op te passen bij het openen van linkjes in e-mails, sms'jes en appjes. Odido zegt dat de cyberaanval is gemeld bij de Autoriteit Persoonsgegevens en heeft extra beveiligingsmaatregelen getroffen.

Update, 14.11 uur – Tweakers heeft gesproken met een woordvoerder van Odido. Extra informatie uit dat gesprek is toegevoegd aan het artikel.

Datalek. Bron: Sarayut Thaneerat/Moment/Getty Images

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 12-02-2026 13:14
635 • submitter: init

12-02-2026 • 13:14

635

Submitter: init

Lees meer

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld
Flickr waarschuwt gebruikers voor datalek, gebruikersdata mogelijk blootgesteld Nieuws van 6 februari 2026
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien
Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien Nieuws van 6 februari 2026
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen
Actief misbruikte Ivanti-bug treft Rechtspraak, personeelsdata mogelijk gestolen Nieuws van 6 februari 2026
Lek bij muziekdienst SoundCloud treft bijna dertig miljoen gebruikers
Lek bij muziekdienst SoundCloud treft bijna dertig miljoen gebruikers Nieuws van 28 januari 2026
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour
Hackers publiceren namen en bestelinfo van klanten van kledingmerk Under Armour Nieuws van 21 januari 2026
Nederlands wellnesscentrum waarschuwt gasten voor gerichte phishing via WhatsApp
Nederlands wellnesscentrum waarschuwt gasten voor gerichte phishing via WhatsApp Nieuws van 12 januari 2026
Gegevens van ruim 1,9 miljoen mensen buitgemaakt bij hack op bierbrouwer Asahi
Gegevens van ruim 1,9 miljoen mensen buitgemaakt bij hack op bierbrouwer Asahi Nieuws van 27 november 2025
Datalek Postcode Loterij gaf 1580 deelnemers inzage in elkaars gegevens - update
Datalek Postcode Loterij gaf 1580 deelnemers inzage in elkaars gegevens - update Nieuws van 27 oktober 2025
Kledingbedrijf Mango meldt datalek van naam- en adresgegevens
Kledingbedrijf Mango meldt datalek van naam- en adresgegevens Nieuws van 16 oktober 2025
Bedrijf dat volgens Discord verantwoordelijk is voor datalek ontkent dat
Bedrijf dat volgens Discord verantwoordelijk is voor datalek ontkent dat Nieuws van 15 oktober 2025
Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn
Discord schat dat ID-bewijzen van 70.000 gebruikers mogelijk gestolen zijn Nieuws van 9 oktober 2025
Meer producten en artikelen
Beveiliging en antivirus Internettoegang Cybercrime Cybersecurity Datalek Hack Hackers Odido

Reacties (635)

-Moderatie-faq
635
629
273
31
0
315
Wijzig sortering

Sorteer op:

Weergave:
Ultraman Moderator VB 12 februari 2026 13:30
Als je het mij vraagt zou er een clausule of wet gemaakt mogen worden dat op moment dat een bedrijf/entiteit jouw gegevens lekt dat je daar een compensatie voor krijgt bijvoorbeeld in de vorm van een geldbedrag.

Het lekken van dit soort data is pijnlijk en kan serieus vervelend gebruikt worden door een kwaadwillende. Daar mag je verantwoordelijkheid bij verwachten en te vaak blijkt dat deze onvoldoende in acht genomen wordt. Zo'n datalek zou ook voor de lekkende partij schadelijk moet zijn zodat er meer stimulans is om beveiliging en toegang tot zulke data dicht te timmeren. Een vorm van schadeloosstelling richting de getroffene zou een mooier middel zijn dan een opgelegde boete door een overheidsorgaan.
Reageer
Bockelaar @Ultraman12 februari 2026 13:43
inderdaad. Je zult nu een nieuw paspoort aan moeten vragen of een nieuw rijbewijs zodat de oude nummer/vervaldatum niet meer valide is.
Die kosten mogen ze wat mij betreft zeker vergoeden.
Reageer
SkullboX @Bockelaar12 februari 2026 14:09
Ik heb zojuist een mail gehad van odido en er staat expliciet in dat "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" niet gelekt zijn. Ik heb zowel een mobiel als internet abonnement bij odido.

Wel:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
Dit is dus anders dan op de in het artikel gelinkte pagina over het incident.

Vraag mij af of dit persoonlijk is - dus dat Odido inmiddels heeft vastgesteld welke van mij gegevens (mogelijk) zijn gelekt - of of er een andere reden is dat de informatie in de mail verschilt van de pagina.

Edit: Voor de volledigheid ik heb een mobiel abonnement (eveneens internet) bij odido dus heb ooit ID gegevens verstrekt. Zowel mijn Rijbewijs als Paspoort die ik gebruikt kan hebben voor registratie zijn echter vorig jaar verlopen en vervangen - dus mogelijk is dat de reden dat deze niet gelekt zijn.

Hoe dan ook, flink kut.

[Reactie gewijzigd door SkullboX op 12 februari 2026 14:30]

Reageer
Legendhidde @SkullboX12 februari 2026 14:28
Lekker dan, kunnen ze Odido bellen en alles aan mijn abonnement veranderen want Odido vraagt alleen naar IBAN, geboortedatum, adres en woonplaats bij sensitieve gegevens. Tevens ook alle andere bedrijven zoals verzekeraars en medische instellingen.
Reageer
Beat The Best @Legendhidde12 februari 2026 15:35
Ik heb net contact gehad met Odido,

de toets vragen zijn uigebreid tot, de standaard, naam, rekening, leeftijd(gelekt).
maar ook het laatste bedrag dat afgeschreven is.

dus ze hebben die procedure al intern aangepast.
Reageer
DT2 @Beat The Best12 februari 2026 15:49
Heel fijn, maar deze standaard toetsvragen gebruikt vrijwel elk bedrijf en die gaan na deze hack hun procedures niet aanpassen. Dus ze kunnen er bij Odido geen misbruik meer van maken maar bij heel veel andere bedrijven wel...
Reageer
bousix @DT212 februari 2026 16:25
Verder vind ik het vervelend dat ik niet - als is het op verzoek - kan inzien welk identiteitsdocument ik jaren terug bij hen gebruikt heb. Was het mijn inmiddels verlopen rijbewijs of paspoort?
Reageer
Martinez- @Beat The Best12 februari 2026 15:46
Dat laatste bedrag weet ik zelf niet eens.

Implementeer nu gewoon een systeem waarbij je een code oid via je telefoon binnenkrijgt die je dan kunt opnoemen of valideren.
Reageer
hiostu @Martinez-12 februari 2026 16:00
Ze hebben je telefoonnummer dus ook dat is niet 100% veilig meer tegenwoordig. Laatste bedrag kun je opzoeken via je bankapp.
Reageer
sehnugr @hiostu12 februari 2026 16:07
Als ze mijn telefoonnummer hebben krijgen ze toch niet mijn berichten binnen mag ik hopen? Laatste bedrag kunnen ze nog een goede gok doen.

Maar goed, voorkomen is beter dan genezen. Beter gewoon zorgen dat die data niet leesbaar in de database staat, maar een beetje fatsoenlijk geencrypt. Nu zeg ik niet dat ik hier als eerste aan denk, maar het zou wel iets moeten zijn waar je tegenwoordig sneller bij stil staat en het valt me tegen dat een bedrijf als Odido dat niet op orde heeft. Maar ik denk dat dit bij nog veel meer bedrijven helaas zo zal zijn.
Reageer
royzegthoi @hiostu12 februari 2026 16:06
Ze weten je nummer maar hebben geen toegang tot je simkaart en dus geen toegang tot je sms, dus dat is zeker een oplossing. Een code zullen hackers niet zomaar onderscheppen, of je moet echt een grote jongen zijn, want een sim klonen doe je niet zomaar.


Kan wel weer heel vervelend worden als je wilt inloggen omdat er iets mis is met je simkaaet, en je dus geen 2fa via sms ontvangt om in te kunnen loggen.
Reageer
hiostu @royzegthoi12 februari 2026 16:17
Het is niet voor niets dat het advies vanuit veiligheidsoogpunt is om weg te migreren van 2fa via SMS. Juist omdat dit niet meer als heel veilig wordt gezien.
Reageer
WP_Pj @Martinez-12 februari 2026 16:22
Toen het nog T-Mobile was kon je inderdaad een wachtwoord opgeven dat je aan de medewerker van de klantenservice moest voorlezen voordat ze je gegevens deelden via de telefoon. Sindsdien nooit meer met ze gebeld, maar ik verwacht niet dat het nog werkt.
Reageer
Xiz @Beat The Best12 februari 2026 16:03
Ik betaal elke maand hetzelfde bedrag, namelijk de kosten voor mijn abonnement. De prijs daarvan is niet bepaald geheim.

Het feit dat ze denken dat ze het probleem opgelost hebben door te vragen naar een ander obscuur (maar niet geheim!) stukje informatie geeft wel aan dat ze er nog steeds geen fluit van snappen.
Reageer
Sluuut @Beat The Best12 februari 2026 16:05
Dus met andere woorden, er is slechts één valide controlevraag toegevoegd die niet gelekt is, maar mogelijk wel vrij eenvoudig te raden is. Stel je belt uit naam van 25 'klanten' en je geeft telkens 25 euro op, dan moet er toch wel 1 á 5 raak zijn;

Type abonnement - Gemiddelde maandkosten

Kleine databundel (bijv. 2–10 GB)~€14–€18
Middelgrote bundel (20 GB + bellen)~€20–€21
Unlimited basis~€25–€30
Unlimited middenklasse~€32–€37
Unlimited premium~€38–€49

Dan vervolgens een adres wijziging doorvoeren en een nieuwe iPhone 17 Pro Max bestellen.

[Reactie gewijzigd door Sluuut op 12 februari 2026 16:06]

Reageer
Merik @Legendhidde12 februari 2026 15:37
Inderdaad, zo heeft er in de V.S. ook al regelmatig simjacking plaatsgevonden. Zodat iemand anders ineens de beschikking heeft over je telefoonnummer, en daarmee narigheid kan uithalen.
Reageer
1Will @SkullboX12 februari 2026 14:26
Bij mij is het paspoort-/ID-nummer wel gelekt. Mijn IBAN dan weer (nog) niet:
Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Je wachtwoord van ‘Ik Ben’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Edit: deze mail heb ik inderdaad gehad van Ben, dus mobiel abonnement zoals @crooke al benoemt.

[Reactie gewijzigd door 1Will op 12 februari 2026 14:27]

Reageer
Merik @1Will12 februari 2026 15:30
Idem hier, wel IBAN, niet de ID. Als Odido mobiel klant
Reageer
Zandor @1Will12 februari 2026 15:37
Op de pagina van ben staat in de uitklapper gemeld dat wel ook je Iban is gelekt. Maar niet in de hoofdtekst op pagina ben/veiligheid.

Ik heb ze gebeld hoe het zit met Ben klanten en ze gaan het uitzoeken.
Reageer
crooke @SkullboX12 februari 2026 14:13
Ik heb alleen internet van odido en heb de zelfde mail als jou ontvangen. Ik las op /r/thenetherlands thread dat het lekken van passpoort/rijbewijs alleen om mobiele abbonementen zou gaan. Weet niet of dat klopt maar dacht benoem het even.
Reageer
Grotbewoner @crooke12 februari 2026 14:18
Ik heb naast vast internet ook een mobiel abonnement bij Odido en bij mij staat het volgende rijtje aan mogelijk gelekte info:
Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Reageer
SkullboX @Grotbewoner12 februari 2026 14:24
Puur uit interesse, is de ID kaart/paspoort/rijbewijs die jij hebt gebruikt voor identificatie nog geldig?

Ik heb (zie post hieronder) ook mobiel en internet maar mijn ID gegevens zijn niet gelekt - maar de documenten die ik gebruikt kan hebben voor identificatie zijn dan ook inmiddels verlopen.
Reageer
Mjappio @Grotbewoner12 februari 2026 14:34
Ik heb alleen een mobiel abonnement van Odido, bij mij is wel IBAN maar niet paspoort gegevens gelekt.
Reageer
KaleBrink @Grotbewoner12 februari 2026 15:38
Net als jij heb ik ook vast internet en een mobiel abonnement, maar in de mail die ik heb gekregen staat dat de volgende gegevens gelekt zijn.
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
Vreemd dat bij mij niet indentificatie gegevens gelekt zijn (net als bij @SkullboX ) en bij jou wel. Ik vraag mij af waar dat verschil in zit. Of zijn we verkeerd geïnformeerd?
Reageer
SkullboX @KaleBrink12 februari 2026 16:05
Is de ID kaart/rijbewijs/paspoort die jij hebt gebruikt bij het afsluiten van je mobiele abonnement nog geldig?

Zowel mijn rijbewijs als paspoort die ik gebruikt kan hebben tijdens het afsluiten (weet niet meer welke van de twee ik had gebruikt) zijn inmiddels verlopen en vervangen - dus ik dacht wellicht is dat de reden dat die niet gelekt zijn in mijn geval.
Reageer
KaleBrink @SkullboX12 februari 2026 16:16
Ik heb vorig jaar in een Odido winkel mijn mobiel abonnement verlengt met een ID kaart/rijbewijs die ze daar gescand hebben, en beiden zijn nog geldig. Ook ik weet even niet meer welke ik gebruikt heb. Dus het wel of niet geldig zijn van de indentificatie gegevens is dan denk ik niet de reden van het verschil in gelekte gegevens. Rijst de vraag. Waar zit dat verschil dan wel in?
Reageer
SkullboX @KaleBrink12 februari 2026 16:26
Thanks, dat was mijn enige hypothese maar lijkt dus ook niet te kloppen. :')

ben inderdaad benieuwd waar het verschil in zit. Heel blij dat ID bij mij niet gelekt is, maar belachelijk dat dat sowieso kan.
Reageer
SkullboX @crooke12 februari 2026 14:22
Ik heb zowel mobiel als internet bij odido - maar kan mij niet herinneren dat ik recentelijk mijn ID gegevens door heb moeten geven.

Ik heb overigens niet heel lang geleden een nieuw paspoort en rijbewijs ontvangen, dus wellicht is de vorm van identificatie die zij in het systeem hadden inmiddels verlopen (en misschien ook helemaal uit het systeem gehaald).
Reageer
Your potato @crooke12 februari 2026 14:23
Klopt, ik krijg zojuist een mail vanuit Ben, waar ik mijn mobiel abonnement heb lopen met de volgende inhoud:
Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Je wachtwoord van ‘Ik Ben’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Reageer
Sander schaap @crooke12 februari 2026 15:54
Ik heb zowel glasvezel internet als mobiel en bij mij is ID ook niet gelukt volgens de mail. Overigens ben ik al wel heel lang simonly klant en ik kan me niet herinneren wanneer ik bij een verlenging nog een ID heb moeten aanleveren.
Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Edit:
Ik bedenk mij net dat wij zakelijk (grote bank) ook Odido op onze zakelijke mobiele telefoons hebben

[Reactie gewijzigd door Sander schaap op 12 februari 2026 15:55]

Reageer
Cogency @Sander schaap12 februari 2026 16:00
Ik ook zakelijk, maar daar zie ik geen melding over. Zou consument en business gescheiden zijn en de business kant dus niet getroffen zijn?
Reageer
Sander schaap @Cogency12 februari 2026 16:05
Dat durf ik niet te zeggen. Gezien er alleen al in NL bij ons 30.000 mensen werken verwacht ik niet dat ik zelf een mailtje krijg, maar dat het via contracting/IT/facilities of iets dergelijks gaat. Ik zie vooralsnog overigens niks op ons intranet.
Reageer
gerwim @SkullboX12 februari 2026 14:22
Dit staat er dus in mijn email, ik heb een klik en klaar abbo:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Reageer
flaskk @gerwim12 februari 2026 14:29
Klik en klaar is ook soort mobiel abbo waarvan je de modem/router in bruikleen hebt en theoretisch ergens anders kan gebruiken dan je huis adres.
Reageer
rnldhfmmm @SkullboX12 februari 2026 14:21
Mischien zijn die paspoort/rijbewijs gegevens alleen voor klanten met een telefonie abbonement.

Voor het afsluiten van internet/tv heb je dat niet nodig.
Reageer
drdelta @rnldhfmmm12 februari 2026 16:24
Ik heb internet, én mobiele telefonie, en heb dit in de mail:
Om welke informatie gaat het?

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen

[Reactie gewijzigd door drdelta op 12 februari 2026 16:24]

Reageer
RacerBas @SkullboX12 februari 2026 15:08
Dat is gek want bij mij staat het er expliciet wel bij:
Je volledige naam

Je klantnummer

Je adres en woonplaats

Je telefoonnummer

Je e-mailadres

Je IBAN (rekeningnummer)

Je geboortedatum

Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Reageer
susse77 @SkullboX12 februari 2026 15:25
De mail betreft inderdaad volgens mij de individuele impact voor jou als klant?

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

    Mooi ruk idd
Reageer
Spykie @SkullboX12 februari 2026 15:32
Bij mij staat er expliciet dat "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" mogelijk wel gelekt zijn.

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Reageer
Ircghost @SkullboX12 februari 2026 14:32
Raar ik zit er ook in als actieve klant, en heb niks ontvangen..
Reageer
lappro @Ircghost12 februari 2026 14:59
ik heb 'm pas net gekregen, dus misschien komt ie er nog aan.
Reageer
Pukson @SkullboX12 februari 2026 14:27
Geen mail van Odido gehad, wel van Ben zojuist
Reageer
Djerique @SkullboX12 februari 2026 14:32
Ik heb zojuist een mail gehad van odido en er staat expliciet in dat "Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs" niet gelekt zijn.

Wel:


[...]
En de mensen die bij Odido zitten, die geen mail van Odido hebben ontvangen, liggen die gegevens dan niet op straat?

Ik hoor nu verhalen van mensen die wel en geen mails hebben ontvangen.

Blijkbaar zit er wel selectiecriteria in.
Reageer
SkullboX @Djerique12 februari 2026 14:33
Er staat in de post dat het nog even kan duren voordat ze naar alle klanten iets sturen, dus wellicht volgt dat nog. :/
Reageer
thetakman @SkullboX12 februari 2026 14:50
bij 6+ miljoen mensen gok ik dat dit echt wel bijna iedereen is.
Reageer
varkenshand @thetakman12 februari 2026 15:08
Dit lijkt erop dat een worst case vraag is gesteld. Als je dan als bedrijf het maximum noemt is dat meteen 'het getal'
Reageer
adamvansanten @SkullboX12 februari 2026 14:55
De gelekte informatie verschilt kennelijk per gebruiker. Ik zie mensen met een mobiel abonnement wiens identificatiegegevens gelekt zijn, maar ik heb ook (enkel) een mobiel abonnement bij Odido en ik krijg de volgende tekst in mijn mail:


Om welke informatie gaat het?

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
Wat niet is gelekt:
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Reageer
DanielRD @SkullboX12 februari 2026 15:39
Bij mij lijkt alles gelekt te zijn:

Om welke informatie gaat het?

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Ik vindt ook de manier waarop dit telkens gaat echt frustrerend, Hey! Al je gevoelige gegevens zijn gelekt door ondermaatse beveiliging aan onze kant. Sorry, we doen het niet weer. En daarmee is het dan maar opgelost?


Ik ben van mening dat in deze gevallen zij volledig verantwoordelijk gehouden worden, en hier een zware boete op moet komen, waarbij er een schadevergoeding naar de klant gaat om een nieuw paspoort, rijbewijs etc aan te vragen.


Het wordt tijd dat bedrijven echt verantwoordelijk gehouden worden, en er niet met een simpele en neppe sorry van af komen.
Reageer
fendt @DanielRD12 februari 2026 15:53
Bij mij ook helaas. Wat kunnen kwaadwillende hiermee? Identiteidsfraude? Abbonomenten en diensten in onze naam afnemen?
Wat kunnen we nu zelf het beste doen? Nieuw paspoort en rijbewijs aanvragen? Nieuw telefoonnummer nemen? Ik weet het niet maar ben er wel wat bezorgd over eerlijk gezegd.
Reageer
Technoid @SkullboX12 februari 2026 15:39
Deze mail heb ik gehad van Odidio:
Om welke informatie gaat het?

Onderzoek tot nu toe laat zien dat de informatie mogelijk het volgende bevat van de bij ons geregistreerde contactpersonen (niet eindgebruikers):

• Je volledige naam

• Je klantnummer

• Je adres en woonplaats

• Je telefoonnummer

• Je e-mailadres

• Je IBAN (rekeningnummer)

• Je geboortedatum

• Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Wat niet is gelekt:

• Gegevens van de eindgebruikers in je organisatie

• Je wachtwoord van ‘Mijn Odido Business’ en ‘Mijn Odido’

• Je belgegevens – gegevens over wie je hebt gebeld of wanneer

• Internet verbruiksgegevens

• Je locatiegegevens – waar je was

• Je factuurgegevens

[Reactie gewijzigd door Technoid op 12 februari 2026 15:40]

Reageer
loewie1984 @SkullboX12 februari 2026 15:42
Er staat expliciet bij dat deze gegevens wel gelekt zijn:
Om welke informatie gaat het?
Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
• Je volledige naam
• Je klantnummer
• Je adres en woonplaats
• Je telefoonnummer
• Je e-mailadres
• Je IBAN (rekeningnummer)
• Je geboortedatum
• Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
• Je wachtwoord van ‘Mijn Odido’
• Je belgegevens – gegevens over wie je hebt gebeld of wanneer
• Je locatiegegevens – waar je was
• Je factuurgegevens
• Scans van identiteitsbewijzen
Reageer
nicket84 @SkullboX12 februari 2026 16:02
In de mail die ik heb ontvangen staat dit juist onder het kopje van de informatie die WEL gestolen is;

---

Om welke informatie gaat het?
Onderzoek tot nu toe laat zien dat de informatie mogelijk het volgende bevat van de bij ons geregistreerde contactpersonen (niet eindgebruikers):
  • Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Gegevens van de eindgebruikers in je organisatie
  • Je wachtwoord van ‘Mijn Odido Business’ en ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Internet verbruiksgegevens
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • ---
Oei, ik had moeten verversen, ik ben niet de enige die dit deelt. Bij mij gaat het over een zakelijk 06 abonnement

[Reactie gewijzigd door nicket84 op 12 februari 2026 16:04]

Reageer
Gropah @SkullboX12 februari 2026 16:07
Ik heb ook screenshots voorbij zien komen van mails waarin staat dat er wel identificatiegevens (documentnummer + geldigheid) wel zijn gelekt. Dus wellicht dat dat per klant verschilt?
Reageer
DwarV @Bockelaar12 februari 2026 14:09
Ik snap eigenlijk sowieso. niet waarom paspoort nummers bekend zijn bij deze bedrijven.

Het liefst zou ik de bedrijven een token geven (e.g. zoals een API token voor zoiets als github); een soort public key; wat mij betreft via DigiD, waarmee ik me online zou moeten kunnen identificeren. Het zou helemaal mooi zijn als ik die dan vervolgens ook een vervaldatum zou kunnen geven. Bijvoorbeeld een dag: ik heb me bij het aangaan van een contract geidentificeerd en dus is deze informatie daarna niet meer nodig.

Daarmee los je natuurlijk lekken van andere info niet op

[Reactie gewijzigd door DwarV op 12 februari 2026 14:10]

Reageer
com2,1ghz @DwarV12 februari 2026 14:16
Want criminelen/kinderporno/terroristen die dan mogelijk een telefoon of internetabonnement hebben.

Van mij part verbieden ze ieder entiteit die een identiteitsbewijs archiveert.
Reageer
workzone @DwarV12 februari 2026 14:18
Er zijn inderdaad zoveel mogelijkheden om dit beter aan te pakken, en vooral geen klant gegevens opslaan die je niet meer nodig hebt. Ik snap dan ook niet dat er keer op keer dermate veel data gestolen kan worden voordat er alarmbellen afgaan.

Had de beveiliging ook weekend?
Reageer
Moortn @DwarV12 februari 2026 14:44
Dat is mogelijk met Decentralized IDs (DID) en volgens mij is dat onderdeel van de European Digital Identity.

Ook leeftijdsverificaties zijn zo mogelijk zonder dat een website allerlei info van je krijgt of overheden/derden weten waar jij je registreert. Dan kunnen we paspoorten en andere ID-kaarten alleen offline gebruiken ter verificatie.
Reageer
mac1987 @DwarV12 februari 2026 15:01
Klopt, maar inlichtingendiensten willen weten welke persoon achter welk nummer zit...
Reageer
Sleurhutje @DwarV12 februari 2026 15:14
Het nummer van je identiteitsbewijs is iets anders dan je BSN. Als ze het goed gedaan hebben, dan is je BSN afgeschermd bij het maken van een kopie.
Reageer
MrRobot @Bockelaar12 februari 2026 14:06
Ik betwijfel of de verloop status gecontroleerd wordt bij het aanvragen van een nieuwe dienst.

Het is meer om de identiteit te verifiëren.
Reageer
The Zep Man
@MrRobot12 februari 2026 14:07
Als het gebruikt wordt om identiteit te verifiëren, dan zijn die gegevens prima bruikbaar voor identiteitsfraude.
Reageer
bart.koppers @The Zep Man12 februari 2026 14:14
Die gegevens van rijbewijs en paspoort mogen bij aangaan contract gecheckt, maar mogen dacht ik niet gekopieerd worden naar hun systemen?
Reageer
The Zep Man
@bart.koppers12 februari 2026 14:20
Wet- en regelgeving spreken niet over kopiëren, maar over verwerking. Met de juiste juridische grondslag ("gerechtvaardigd belang") kan een organisatie zeker bepaalde zaken overnemen vanuit een identiteitsdocument voor verdere verwerking of latere controle. Het ligt aan de reden voor verwerking en het soort gegeven. Wat met een BSN gedaan mag worden is een stuk beperkter ten opzichte van een geboortedatum, bijvoorbeeld.
Reageer
Sleurhutje @bart.koppers12 februari 2026 15:20
Klopt, de scan die gemaakt is bevat wel het nummer van het identiteitsbewijs, maar de BSN zou net als de foto afgeschermd moeten worden bij het maken van de scan.

Identiteitsbewijs bij koop, huur of verkoop | Autoriteit Persoonsgegevens
Reageer
Pat-Juh @Bockelaar12 februari 2026 15:00
Laten we stellen €100 per persoon en 4 miljoen gelekte gegevens (niet alles is mogelijk gelekt en dubbele gegevens) dan kost het €400.000.000,00 Dat is een flinke som geld....


Vrij logisch dat iedereen gedekt wil zijn maar praktisch is het minder haalbaar denk ik.
Reageer
Sixer @Pat-Juh12 februari 2026 16:18
ziet er uit als een prima bedrag dat een bedrijf zegt , Joh laten we vooral aandacht besteden aan beveiliging anders gaan we meteen faliet.
Reageer
J_van_Ekris @Bockelaar12 februari 2026 16:11
Als er een aantoonbare schade is kun je Odido gewoon aansprakelijk stellen. Het probleem is dat met de omvangrijke datalekken van de laatste tijd: hoe toon je de schade van dit specifieke lek van Odido aan? Zolang je dat niet kan (want Odido kan deels terecht roepen dat die data waarschijnlijk allang op straat lag) is dat aantonen van schade lastig. En ja, dit is daarmee eigenlijk het failissement van privacy als concept...

[Reactie gewijzigd door J_van_Ekris op 12 februari 2026 16:11]

Reageer
Polderviking @Ultraman12 februari 2026 13:41
Schade hieruit is allen moeilijk te kwantificeren, en ik weet niet wat voor geldbedrag je aan denkt maar dat kan mijns inziens twee kanten op gaan. De vergoeding is zo klein dat je er niks aan hebt, of je kan er wel van op vakantie maar dan valt dat hele bedrijf om.
In beide gevallen kom ik daar niet echt verder mee, als iemand die vermoedelijk in dit lek zit.

Ik heb denk liever een sanctie waar dingen beter van worden, bijvoorbeeld dat bedrijven waar zo'n incident plaatsvind, en waar echt wat aan inrichting schort (medewerkers die zomaar datadumps kunnen draaien bijvoorbeeld) geforceerd worden een bepaalde investering te doen in het verbeteren van hun beleid.

[Reactie gewijzigd door Polderviking op 12 februari 2026 13:43]

Reageer
SirMemeAlot @Polderviking12 februari 2026 13:48
Wat stopt een bedrijf dan om lekker te wachten tot ze gehackt worden en dan pas wat aan het probleem te doen. Iets met put dempen als het kalf verdronken is.

Wij mij betreft zou er wel echt een pro-actieve incentive moeten komen om bedrijven te dwingen veiliger om te gaan met mijn gegevens. Iets in de trant van 50% abonnementsgeld van een bepaald termijn vergoed krijgen afhankelijk van de data. Nu kunnen dit soort budget fighters mooi budget blijven en dan achteraf sorry zeggen.
Reageer
Polderviking @SirMemeAlot12 februari 2026 13:52
Wat stopt een bedrijf dan om lekker te wachten tot ze gehackt worden en dan pas wat aan het probleem te doen. Iets met put dempen als het kalf verdronken is.
Volgens mij heb je best wat reputatieschade met zo'n voorval. Ik ben vast niet de enige die nu aan opzeggen denkt.
Verder lijkt mij dit een kwestie van dat bedrag hoog genoeg maken.
Vul het dan eventueel nog aan met een boete waarvan de opbrengsten weer naar het AP gaan ofzo.

Gaat met er vooral om dat zo'n sanctie ook verbetering brengt, niet precies welke vorm het heeft.

[Reactie gewijzigd door Polderviking op 12 februari 2026 13:57]

Reageer
laptopleon @Polderviking12 februari 2026 14:14
Overstappen naar wie dan? Zowel Ziggo Vodaphone als KPN en Delta zijn in het recente verleden gehackt qua klantgegevens, dus de reputatie van alle grote providers is al aan gort. En ik krijg net een mailtje van Ben dat hun klantgegevens ‘mogelijk zijn gelekt’.
Reageer
Polderviking @laptopleon12 februari 2026 14:16
Ik heb dit nog niet echt een zware overweging gegeven, maar de enige reden dat ik Odido heb is omdat Odido de enige was die over glasvezel kon leveren toen het bij ons werd aangelegd.
Dat alleenrecht is inmiddels verdwenen.
Reageer
The Zep Man
@laptopleon12 februari 2026 14:22
Overstappen naar wie dan? Zowel Ziggo Vodaphone als KPN en Delta zijn in het recente verleden gehackt qua klantgegevens, dus de reputatie van alle grote providers is al aan gort.
Via het KPN-netwerk kan je prima een andere (niet-dochter van KPN) ISP afnemen. Voor gebruik van dat netwerk via een ISP anders dan KPN verwerkt, KPN enkel het adres als persoonsgegevens. De rest wordt door de ISP verwerkt (inclusief naam, rekeningnummer, ...).

Al lekken er dan gegevens bij KPN, dan blijkt uit het lek dat er een glasverbinding voor provider X wordt geleverd op adres Y. Niet echt een risico van de klant van provider X.

[Reactie gewijzigd door The Zep Man op 12 februari 2026 14:44]

Reageer
NBK @laptopleon12 februari 2026 16:24
Je zou een beetje aan kunnen nemen dat Ziggo, KPN en Delta daarvan geleerd hebben en dat je gegevens daar nu wel veiliger zijn.

Dat dit nu bij Odido mis gaat verbaast mij overigens niet echt. Je leest de laatste jaren zoveel berichten over een leegloop aan personeel daar dat zelfs de stabiliteit van het netwerk in gevaar komt.

Ze hebben nog steeds op hun site staan dat je persoonsgegevens bij hun veilig zijn en geven tips om je online te beschermen... Jammer dat ze zich daar blijkbaar zelf niet aan hebben gehouden.

[Reactie gewijzigd door NBK op 12 februari 2026 16:27]

Reageer
Djerique @Polderviking12 februari 2026 14:34
[...]
Ik ben vast niet de enige die nu aan opzeggen denkt.
Je kan toch alleen in een abonnement direct opzeggen als er contractbreuk is gepleegd?
Reageer
Polderviking @Djerique12 februari 2026 14:38
Ik zit al langer bij ze dan mijn contractperiode, verder denk ik zonder het echt te hebben uitgezocht dat het uitlekken van je gegevens ook wel onder contractbreuk geschaard kan worden.

[Reactie gewijzigd door Polderviking op 12 februari 2026 14:39]

Reageer
Djerique @Polderviking12 februari 2026 15:04
het uitlekken van je gegevens ook wel onder contractbreuk geschaard kan worden.
Die optie zou vanuit het oogpunt van de consument fijn zijn, want dan kunnen alle Odido klanten, die zich hierdoor enorm geraakt voelen, per direct van hun abonnement af, indien ze zich hierdoor niet meer prettig voelen bij de provider.
Reageer
The Zep Man
@Polderviking12 februari 2026 14:01
Volgens mij heb je best wat reputatieschade met zo'n voorval. Ik ben vast niet de enige die nu aan opzeggen denkt.
Zolang voor de jaarrekening de verloren inkomsten van vertrekkende klanten gecombineerd met de kosten om dit probleem op te lossen lager geschat worden als de besparing die gemaakt werd op de kosten om dit "incident" te voorkomen. zal Odido hier niet wakker van liggen. Het nettoresultaat is dan immers positief.

De boetes die de AP uitschrijft zijn symbolisch.

[Reactie gewijzigd door The Zep Man op 12 februari 2026 14:21]

Reageer
drdelta @The Zep Man12 februari 2026 16:26
Schrijft het AP boetes uit voor data lekken als gevolg van hacks? Ik wou dat het waar was..
Reageer
SirMemeAlot @Polderviking12 februari 2026 14:40
Ik ben het met je eens dat we allebei het liefst verbetering willen zien de beveiliging ik denk dat we alleen afwijken in de weg er naar toe. Als je kijkt naar reputatieschade is een ook achteraf situatie, en daarbij betwijfel ik hoeveel mensen echt gaan opzeggen hierdoor. Denk dat de meesten denken, ach, weer 1 erbij op de lijst, en door.

Ik gok juist door een proactieve sanctie erop te leggen kunnen bedrijven vantevoren ook binnen het bedrijf zeggen, als X mis gaat dan kost het ons Y. Nu zie je vaak binnen bedrijven een groep die wel bezig is met security die gooien met termen met reputatieschade en omdat dit moeilijk kwantificeerbaar denkt de rest vd. organisatie vaak, owja das vervelend, maar willen we nu het product niet lanceren? Ach, het zal wel wat loslopen + we willen onze targets voor dit jaar halen. Lets go!
Reageer
jemson @SirMemeAlot12 februari 2026 14:13
Ik zou liever zien dat wettelijk afspraken gemaakt worden welke beveiliging ten minste nodig is bij het opslaan van bepaalde gegevens zodat direct duidelijk is wat het kost om die gegevens op te slaan. En ja, dat lijkt mij erg lastig om vast te leggen, maar je wilt er naartoe denk ik dat bedrijven sommige gegevens gewoon helemaal niet willen hebben ivm de kosten. Tja en hoe controleer je dan dat het ook gebeurd? is ook lastig.
Reageer
Vogel666 @jemson12 februari 2026 14:31
Nee, zeker niet!!!!

De wet wordt niet iedere dag opnieuw aangepast en dat is bij beveligingsbeleid wel nodig.

Het wordt dan juist heel makkelijk om je te verschuilen achter: "We hebben precies gedaan wat de wet ons voorschrijft en dat we dan nog steeds zo lek zijn als een mandje is niet ons probleem"
Reageer
jemson @Vogel66612 februari 2026 14:43
Dat is inderdaad waar en wellicht is de wet dan geen goed middel, maar de essentie waar ik naartoe wil is dat de bedrijven de houding moeten krijgen dat ze bepaalde gegevens gewoon niet willen hebben of willen opslaan vanwege de verantwoordelijkheid (en kosten) die dat met zich meebrengt. Dit zal dan (vermoed ik) afgedwongen moeten worden. Vandaar dat ik in de eerste instantie aan de wet dacht.
Reageer
Vogel666 @jemson12 februari 2026 14:57
Dit is al afgedwongen. het is voor ieder bedrijf verboden om data te bewaren waar zij geen noodzaak toe hebben.

...maar....die definitie van noodzaak is een beetje lastig te definiëren.

De wet aangaande contracten is hopeloos verouderd. Aangezien een naam niet uniek is wordt een klant geïdentificeerd op naam EN adres.
Als jij klantcontact hebt met Odido over een contractverlengingen...hoe lang moet die data dan bewaard worden? Bovendien is agressieve verkoop richting klanten en (recente) voormalige klanten ook gewoon toegestaan. Daarvoor hebben ze dus je gegevens nodig.
Reageer
Freaky_Angelus @Vogel66612 februari 2026 16:14
Er is geen enkele reden om bij een nieuw contract niet opnieuw een ID verificatie te vereisen, helemaal als je daarmee opslag en risico van een hack voorkomt. Je wordt er trouwens nu expliciet om gevraagd in de kleine lettertjes (dat alle gegevens nog correct zijn), dus technisch is er een verificatie die gewoon heel snel wordt doorgeklikt.

De noodzaak tot het hebben van een scan van paspoort/ID is heel dubieus als het na verificatie enkel opgeslagen blijft. Dus die wetgeving van 'afgedwongen' wordt al zwaar genegeerd hier, ze bevestigen zelf dat ze scans hebben. Er is geen reden tot de volledige naam, gezien de facturatie met een voorletter en achternaam ook werkt. Waarom een geboortedatum?

Hier zitten dus dingen in de verkeerde database die zeker niet nodig zijn voor facturatie en/of het kunnen voorzien van een klant in zijn benodigde ondersteuning als die een vraag heeft. Helemaal niet als dus nu de 'verificatie' zo lek als een mandje is door dit allemaal te lekken.

Het is dus helemaal niet gek om te stellen dat de helft van de gegevens niet meer opgeslagen hadden hoeven zijn en enkel met een vinkje van 'geverifieerd en valide' opgeslagen hadden kunnen zijn. Dus de manier van opslaan is een punt imo.

De gedachte om het probleem van 'welke data heeft noodzaak' op te lossen met een boete, uitebetaald richting de consument zelf, van het lekken van informatie, is niet vreemd. Maak er genoeg 'boete' van dat bedrijven echt absoluut die data niet meer kwijt willen raken (en dus ook niet meer willen hebben) en wat er niet is, kan niet gelekt worden. De maatschappij draait om geld, het hacken draait om datzelfde geld en... de oplossing zit in het gebruiken van het eigen systeem... geld(boetes).

Lost het ook meteen die knaapjes aan de deur op... Woont hier Apestaart35, voormalig klant bij XYZ? ... Wat denk je zelf?
Reageer
Currry @SirMemeAlot12 februari 2026 14:20
Naast wat redelijk is, je wil ook niet dat een schade bedrag een rekensom wordt om wel/niet te investeren in beveiliging. Maar eens, er moet een boete kunnen komen richting het bedrijf. En een eenvoudig proces (a la avg vergeet mij) om schade te claimen.
Reageer
Vogel666 @SirMemeAlot12 februari 2026 14:28
Het moet natuurlijk wel pijn doen: bijvoorbeeld verplicht een hele zwerm auditors moeten inhuren om onder toetsenbord te controleren of er een plakkertje met het wachtwoord zit tot en met iedere record in de database late scrutizen of dat record wel in de database aanwezig mocht zijn....

Dat kost klauwen met geld en zeeën met tijd. Een bedrijf wil dat geen 2e keer hoeven doen.
Reageer
LongTimeAgo @Polderviking12 februari 2026 14:07
De prijs van een nieuw paspoort (zonder gemeente heffing) is toch enigszins een beginpunt. :P
Reageer
Cave_Boy @LongTimeAgo12 februari 2026 14:37
Ik zou persoonlijk met gemeentelijke heffing als minimale beginpunt zien. Waarom zou een consument hierin nog extra kosten moeten mogen maken?
Reageer
Martinez- @Polderviking12 februari 2026 14:10
Ja, ik heb liever ook een sanctie om herhaling te voorkomen, maar tegelijkertijd is het lekken van deze gegevens potentieel zo schadelijk dat het je flink in de financiële nesten kan werken. En dat moet dan maar onder mijn eigen verantwoordelijkheid vallen?

Zonder het aanleveren van de gegevens krijg ik bij geen enkel bedrijf diensten. Het wordt tijd dat deze gewoon in bezit van de particulier blijven en dat geen enkel bedrijf in bezit mag zijn van je gegevens.
Reageer
GertMenkel
@Polderviking12 februari 2026 14:14
Al is de vergoeding maar een symbolische 5 euro per klant, 30 miljoen "ingebouwde" boete is toch al wel een reden om misschien je klantcontactsysteem wat vaker te auditen. Dan gaat het ze natuurlijk nog maar licht af.

Van mij mag een bedrijf dat iets als het documentnummer van je identiteitsbewijs lekt ook meteen dokken voor een nieuw identiteitsbewijs. Er zijn maar weinig bedrijven die je ID mogen vragen en die bedrijven worden geacht daar goed voor te waken, dan vind ik dat ze hun verantwoordelijkheid ook mogen nemen.

Beleid wordt zo goed opgevolgd als dat het geld en banen oplevert, de regeltjes aanpassen gaat weinig veranderen als er geen consequenties zitten aan het overtreden van de regeltjes, en consequenties komen er pas als het bedrijf financieel risico loopt.
Reageer
donkerlicht @Polderviking12 februari 2026 14:18
Er is inderdaad een grijs gebied, maar bij het lekken van paspoort- of rijbewijsnummers is de prijs voor een nieuw document wel op zijn plaats. Wanneer een bedrijf deze gegevens meent te moeten opslaan, moeten ze er ook zeer zorgvuldig mee omgaan. Dat doe ik zelf ook. Tegenwoordig vraag ik nadat ik ergens het paspoort- of rijbewijsnummer heb moeten opgegeven direct een nieuwe aan. Om eventuele misbruik te voorkomen.
Reageer
StarZ @Polderviking12 februari 2026 14:13
Dat laatste zou natuurlijk in elk geval moeten gebeuren. Het is al verplicht om zorgvuldig met data om te gaan.
Reageer
project.bobby @Polderviking12 februari 2026 14:13
Misschien, als startpunt, in ieder geval de kosten dekken voor:
Aanvraag nieuwe IBAN, rijbewijs, paspoort (etc) + overgangs/migratie kosten zodat die data in ieder geval direct onbruikbaar wordt.

Naam/ geb. datum / adres is wat problematischer.
Reageer
NBK @project.bobby12 februari 2026 16:28
Ik wil helemaal geen nieuwe IBAN. Degene die ik nu heb heb ik bijna net zolang als mijn BSN en (beide) ken ik uit mijn hoofd.
Reageer
thePiett @Polderviking12 februari 2026 14:41
Zo'n investering op bepaald van beleid is leuk, maar de uitkomst zal zijn: kost een vermogen, "cybersecurity experts" bedrijf X brengt een "advies" uit en vervolgens gebeurt er niks mee.
Reageer
Lisadr @Ultraman12 februari 2026 13:44
Normaal zou ik zeggen, dat gaat niet gebeuren, daar is de lobbykracht van bedrijven te sterk voor en de kennis van politici veel te beperkt.

 Maar het zou kunnen zijn dat tussen de 6,2 miljoen slachtoffers ook politici zitten en als ze zelf er last van hebben, dan zijn ze ineens wel bereid om actie te ondernemen.
Reageer
NBK @Lisadr12 februari 2026 16:31
Als die gegevens van politici straks inderdaad ook op straat liggen kunnen we ze allemaal een kaartje sturen met hun verjaardag. "Mogelijk gemaakt dankzij Odido". Ludieke actie maar misschien gaan ze zich dan eens realiseren wat zo'n lek betekend en dat de overheid het echt mogelijk moet gaan maken om op z'n minst een nieuw BSN aan te vragen.
Reageer
Ronwiel @Ultraman12 februari 2026 13:50
Veiligheidslekken zijn niet 100% uit te sluiten en voor sommigge gegevens geldt een wettelijke bewaartermijn. Daarnaast heeft de AP de mogelijkheid om extra boetes op te leggen bij onvoldoende beveiliginsmaatregelen.
Reageer
Lisadr @Ronwiel12 februari 2026 14:10
Een paar maanden geleden heeft RDI ze een boete gegeven van 1,5 miljoen euro. In 2024 een boete van 175.000 euro en in 2023 een boete van 500.000 euro.

175K voor Odido is vergelijkbaar met 3 euro boete voor Jan-Modaal en 1,5 miljoen vergelijkbaar met 28 euro. H

AP kan ze extra boetes geven, maar AP geeft zelden hoge boetes. Als AP ze de maximale 4% (96 miljoen euro) zou geven, dan worden ze wakker bij Odido.
Reageer
PCRaceMASTER @Ronwiel12 februari 2026 14:16
Ze hebben wel de mogelijkheid, maar niet de handhaving. Ze zijn voornamelijk afhankelijk van anonieme meldingen en gaan pas dan onderzoeken. Anders kijken ze pas bij een datalek, maar naar mijn mening is dat veel te laat.
Reageer
laptopleon @Ronwiel12 februari 2026 14:19
Dat veiligheidslekken niet zijn uit te sluiten, is geen excuus wat alles vergoelijkt. Je zou bijvoorbeeld verwachten dat zoiets gevoeligs als een kopie van een paspoort of rijbewijs na de aanmeldingsprocedure gewist wordt. De controle is immers gedaan en daarna heeft de kopie geen functie meer. Of, als die vanwege wettelijk eisen moet worden bewaard, zou je verwachten dat die ergens op een eenrichtingsverkeer server wordt gearchiveerd.
Reageer
TheRipper07 @Ultraman12 februari 2026 13:48
Voor welke soort nare praktijken kunnen dit soort gelekte gegevens bijvoorbeeld voor gebruikt worden?

Je zal altijd ook wachtwoorden etc nodig hebben voordat iemand zomaar overal bij kan toch? Of doel je er dan op dat het bijvoorbeeld makkelijker word wachtwoorden etc te hacken/achterhalen?
Reageer
demianmonteverd @TheRipper0712 februari 2026 13:56
Combineren met andere gevens. Niet alles hoeft uit een bron te komen, dat maakt dit soort zaken ook zo vervelend.
Reageer
roawser @TheRipper0712 februari 2026 14:03
Om te beginnen kunnen de boefjes een heel profiel van jou samenstellen door data uit verschillende hacks bijeen te zetten. Als je dat hebt, kun je bijvoorbeeld mensen phishingmailtjes gaan sturen die heel erg echt lijken, want het staat vol met persoonlijke details die alleen het bedrijf kent waaraan jij ze ooit hebt moeten geven (toch?). Al trapt maar 0,5% van de mensen in dat bedrog en klikt bv een kwaadaardige executable, of doet een transactie... vet kassa.

Erger nog, ze kunnen via slinkse methoden andere bedrijven en organisaties opbellen alsof jij het bent en op jouw naam contracten of leningen afsluiten, of goederen bestellen. Tegen de tijd dat jij erachter komt is de vogel allang gevlogen. Bij mijn apotheek bijvoorbeeld kan ik herhaalrecepten aanvragen met een willekeurig (!) mailadres , mijn naam en geboortedatum en een dag later heb ik de code van de afhaalkluis op dat mailadres.

Daarom, minimaliseer / fake zoveel mogelijk de gegevens die je afgeeft tot het basale dat ze nodig hebben om hun dienst te kunnen verlenen.
Reageer
Aldy @TheRipper0712 februari 2026 14:10
Heb je gelezen wat er allemaal gestolen is? Hiermee kun je al heel veel doen, bijvoorbeeld identiteitsdiefstal. Als je klant bent (geweest) bij T-Mobile of Odido, dan zal ik je rekening maar in de gaten houden. Iemand kan artikelen of diensten bestellen onder jouw naam en met jouw rekeningnummer en als er ID-gegevens bij moeten, dan hebben ze die ook nog. Zoveel fantasie heb je niet nodig om te zien wat er allemaal met deze gegevens kan gebeuren.
Reageer
ledroledro @TheRipper0712 februari 2026 14:19
Ze hebben telefoon informatie in combinatie met email adres.
Ze kunnen via SMS Hijacking (dit kost de hacker vaak geld per Hijack, dus zullen ze dit alleen voor gerichte aanval doen) alle sms verkeer onderscheppen.
Ik kan me voorstellen dat er een wachtwoord ge-reset wordt, de bevestigings code wordt dan naar de hacker gestuurd en dan kan hij je wachtwoord wijzigigen en heeft toegang tot je email en kan dan voor allerlei andere diensten wachtwoorden resetten via bevestings email naar je gehackte email adres.

Ze hebben je paspoort of rijbewijs id nummer geboorte datum. Een beetje zoeken op het internet naar foto's kunnen ze een mooie fake paspoort ID screenshot photoshoppen en daarmee toegang tot allerlei andere diensten krijgen.

Er is zoveel identificeerbare informatie gelekt voor zoveel mensen. Dit klinkt echt als de meest dramatische hack in Nederlandse geschiedenis.
Reageer
KWOAD @TheRipper0712 februari 2026 14:47
Ik ben vooral bang dat met zo veel gegevens van mij identiteitsfraude makkelijk is. Als ze zelfs bankrekening en nummers van legitimatie hebben, is een valse incasso ook zo gemaakt. Niet moedwillig door een bedrijf, maar wel iemand die op mijn naam een abonnement aanvraagt.
Reageer
Aristo @Ultraman12 februari 2026 13:37
Precies. Als toevoeging misschien ook het type gegevens wat gelekt is zwaarder beboeten op basis van gevoeligheid, zoals identiteitsdocumenten. Hopelijk zet dat bedrijven aan het denken om eens goed te overwegen of dergelijke gegevens überhaupt opgeslagen dienen te worden. Wat niet opgeslagen wordt kan immers ook niet lekken.
Reageer
Koepert @Aristo12 februari 2026 14:10
Precies dit. Want waarvoor zijn al die identiteitsgegevens nodig? Juist. Voor identificatie. Prima. Dat snap ik. Zorg dan dat je bij het 'onboarden' deze gegevens aangeleverd krijgt, vervolgens in je database een groen vinkje zet dat ze juist aangeleverd zijn en daarna de gegevens weer verwijderd. Want als bedrijf zijnde hoef jij theoretisch niet continu de gevoelige data van een gebruiker opgeslagen te houden. Je hoeft alleen maar te weten of iemand is wie hij zegt te zijn en tot wanneer eventueel dat ID geldig is. Prima, geef dat vinkje die houdbaarheidstermijn, waarna bovenstaande proces opnieuw moet.

En ja ik snap ook dat je dan bepaalde scenario's gaat krijgen (misbruik van data/abo etc) waarbij je dan iets meer je best moet doen om gegevens te overleggen, maar ook daar is vast een oplossing voor te bedenken. Maar altijd maar de data opslaan "om het opgeslagen te hebben" is echt n nare eigenschap. Je zou bij een opvraag van overheid bijvoorbeeld kunnen kijken naar het intrekken van bovenstaande vinkje waarna een gebruiker zijn gegevens opnieuw moet aanleveren. Risico is dat je dan bij bepaalde gevallen die niet krijgt, dat klopt.
Reageer
YopY @Aristo12 februari 2026 14:23
Maar we hebben ook wetgeving dat duidelijk aangeeft dat bijvoorbeeld identiteitsdocumenten maar beperkt en alleen zo lang als nodig is opgeslagen mogen worden; de controle daarop mag ook wel strakker. Als dat hier het geval is tenminste, het kan natuurlijk zijn dat het bedrijf zegt "ja dat moest want reden xyz".

Maar daarnaast, dit was een lek in "een klantcontactsysteem", iets dat de afgelopen tijd erg vaak lijkt voor te komen - vorige keren was dat Zendesk volgens mij, vorig jaar was dat ook zo bij Discord. Die bedrijven mogen (moeten) ook onder de loep genomen worden, zeker als ze (zoals Zendesk) in / vanuit de VS opereren (het is van origine een Deens bedrijf maar hun HQ is in de VS zoals bij veel van origine Europese bedrijven, wordt gezien als een vereiste om in de VS zaken te kunnen doen)
Reageer
gerbennn @Ultraman12 februari 2026 13:41
Eens. Er wordt altijd snel gesmeten drogreden dat we geen Amerikaanse toestanden willen en privacy is lastig op geld te waarderen, maar de 0 euro schade die een rechter aan datalekken hangt is gewoon onhoudbaar.
Zou misschien niet nodig hoeven zijn als het toezicht en de handhaving voldoende tanden zou hebben. Maar de AP schiet daar gewoon ernstig tekort (sterker die lekken juist lekker mee met de private sector).
Reageer
arjankoole
@gerbennn12 februari 2026 13:45
Dat kan ook zonder zo'n absurde claim cultuur op te tuigen als aan de andere kant van de plas.

Dat kan gewoon wettelijk geregeld worden. Want ik ben het best met je eens: ze mogen best pijn hebben van zoiets.
Reageer
Lothlórien @Ultraman12 februari 2026 13:52
Niet helemaal mee eens. Schadeloosstelling kan men zich voor verzekeren en dat zal waarschijnlijk ook wel gebeuren, anders heb je een bedrijf dat na een dergelijke gebeurtenis nog vééél minder budget heeft om de kans op een toekomstig lek zo klein mogelijk te maken. De echte schade zit bij dit soort gevallen vaak in Imagoschade.

Het is geen kwestie van de security op orde hebben om het risico tot nul te reduceren
Reageer
ledroledro @Lothlórien12 februari 2026 14:23
Ik weet niet of een bedrijg uitkering krijgt van de verzekering voor nalatigheid. Ik kan me verzekeren tegen inbraak, maar als ik de deur open heb gelaten krijg je in principe niks uitgekeerd.
Reageer
Lothlórien @ledroledro12 februari 2026 16:09
Dan ga je ervan uit dat er grove nalatigheid in het spel is. Odido is wel ISO27001 gecertificeerd en heeft dus minimaal jaarlijks te maken met audits e.d. Het is simpelweg nog niet bekend gemaakt welke aanvalsvector hieraan ten grondslag lag.
Reageer
DNA_Saint @Ultraman12 februari 2026 13:38
Helemaal mee eens.

Wedden dat we over een maandje een mailtje krijgen met compensatie in de vorm van 1 maand gratis ESPN, 2 gratis films of iets dergelijks.
Reageer
Pablo @Ultraman12 februari 2026 13:41
Op zijn minst het dekken van de kosten voor het aanvragen van bijvoorbeeld nieuwe indeticatie bewijzen en alle kosten die daar uit voort vloeien.
en dan de tijd die je wellicht er voor vrij moet nemen om dit te regelen

Het kan toch niet zo zijn, dat jij als klant daar maar zelf voor moet opdraaien.
Reageer
mfkne @Ultraman12 februari 2026 13:48
Tenminste zou het getroffen klanten in staat moeten stellen om contracten meteen en zonder boete te ontbinden. Wellicht zorgt dat ervoor dat men zorgvuldiger met de data van klanten omgaat.
Reageer
magwelwatminder @Ultraman12 februari 2026 13:49
Ik zou een verplichte investering in oplossingen wel fijn vinden. Ik heb al meerdere sorry emails door datalekken en vervolgens laten ze mij maar dealen met spam telefoontjes op spoofed 06 nummers (vorig jaar gewoon een maand lang elke dag).
Reageer
HeroS @Ultraman12 februari 2026 13:50
Op zich mee eens maar zou misschien beter zijn dat er een wet komt dat dit soort gegevens niet langer dan x periode opgeslagen worden.

Als een bedrijf dat dan toch doet dan volgt er een x boete.
Reageer
RiDo78 @Ultraman12 februari 2026 13:51
Nee dat vind ik niet. Natuurlijk is het een goede drijfveer voor bedrijven om hun informatiebeleid en beveiliging op orde te hebben.


Maar dergelijke gegevens zijn redelijk statisch. Met andere woorden, als jouw NAW gegevens ergens opduiken, kun jij dan bewijzen bij wie het lek zit? Zeker als er niet een van jouw (ongelimiteerde) emailadressen in de dataset zit wordt dat knap lastig.


Dus als een bedrijf een lek heeft dan moet die mogelijke compensatie geen reden zijn om het lek in de doofpot proberen te stoppen. Bedenk dat de imagoschade nu alleen al een (te) grote drempel is.
Reageer
Mosterd @Ultraman12 februari 2026 13:51
Eens, ik zeg dit al jaren maar elke keer wordt bij een datalek het bedrijf als evenveel slachtoffer aangemerkt (door justitie/ACM/tweakers) terwijl er vaak juist bij het bedrijf de zaken niet op orde zijn, zij het:
  • Gegevens langer bewaren dan nodig
  • Verkeerde gegevens bewaren
  • Matige IT-upkeep
  • Offerte mail in de prullenbak van IT-partner om beveiliging up to date te brengen of te checken
Dan ben je in mijn ogen geen slachtoffer meer, maar in Nederland is dat schijnbaar anders. En als kers op de taart mag je als burger ook nog finaal de lul zijn, want:
  • Nep offerte betaald uit de mail in de stijl van Odido die erg echt lijkt vanwege de lek? Tja had je beter moeten kijken, jouw schuld.
  • Boete of incassokosten omdat je dingen te laat betaald vanwege het grote aantal datalekken en mails die er legitiem uitzien maar je geen tijd hebt gehad om te dubbel checken? Tja, jouw schuld had je sneller moeten zijn.
Eindstand; burger de klos, bedrijf evengoed slachtoffer, en over tot de orde van de dag…
Reageer
RobinNL @Ultraman12 februari 2026 13:53
Het is nu idd een mededeling dat er een lek is en de klanten moeten maar even opletten of ze niks verdachts zien. Lekker de bal bij ons leggen. Odido komt er gemakkelijk gemakkelijk van af (al weten we niet wat er achter de schermen mogelijk gebeurt).

Het zou voor bedrijven 'beter' zijn dat ze (financiële) schade lijden bij een datalek. Dat geeft misschien ook meer de noodzaak om te blijven investeren in cybersecurity (i.p.v. partner zijn van TeamNL).

Maar aangezien ze 6-8 miljoen klanten hebben verwacht ik dat ik wel een mailtje van ze krijg.
Reageer
com2,1ghz @Ultraman12 februari 2026 13:57
Wat weer doorverekend wordt aan de klanten.
Reageer
Martinez- @com2,1ghz12 februari 2026 15:56
Moet je wel eerst nog klanten hebben.
Reageer
Senaxx @Ultraman12 februari 2026 13:59
Dit heb ik ook al geopperd in meerdere berichten op Tweakers. Even een melding doen bij de AP en een eventuele boete is niet genoeg. Van de personen waarvan de data lekt kan dit enorm hinderlijk zijn, en er moet een motivatie zijn voor bedrijven om hun data beter te beschermen. Ze moeten zeker naar data minimalisatie gaan kijken, bewaartermijnen voor de data. Ophouden dit allemaal uit te wisselen met 3e partijen.

Voor vergoeding zou je kunnen denken aan een classificatie van de gegevens. Een IBAN / Telefoonnummer telt misschien zwaarder dan een e-mailadres (voorbeeld).
Reageer
R_Zwart @Ultraman12 februari 2026 14:00
Eens, maar dan wel beperkt tot de werkelijke financiele schade. DUs bijvoorbeeld de kosten voor een nieuw ID. En we moeten dan niet gaan klagen als de kosten van allerlei diensten omhoog gaan. Dat is de keerzijde van zo'n regeling.
Reageer
Baps @Ultraman12 februari 2026 14:01
Als je het mij vraagt zou er een clausule of wet gemaakt mogen worden dat op moment dat een bedrijf/entiteit jouw gegevens lekt dat je daar een compensatie voor krijgt bijvoorbeeld in de vorm van een geldbedrag.
Die clausule is er in principe al. Artikel 82 lid 1 AVG luidt:
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
Dat is in diverse rechtszaken zo uitgelegd dat je recht hebt op materiële schade die je hebt gemaakt naar aanleiding van het lek, mits deze kosten gerechtvaardigd zijn. Het moet dan wel voldoende verband hebben met het datalek. Zo heeft iemand die na een datalek duizenden euro's uitgaf aan beveiligingsmaatregelen voor zijn woning géén kosten vergoed gekregen omdat dit onvoldoende relatie had met het datalek (Uitspraak).

Immateriële schade is schade door stress, angst of het verlies van controle over persoonsgegevens. Het Hof van Justitie heeft bepaald dat die schade door de betrokken persoon dan wel concreet moet kunnen worden onderbouwd. Je moet dus enigszins aannemelijk maken dat je immateriële schade hebt geleden naar aanleiding van het datalek. Het is echter nog niet heel duidelijk wat je dan concreet moet maken, gezien immateriële schade niet iets tastbaars is in de vorm van facturen of i.d.


Kortom, er is dus al een wettelijke mogelijkheid om je schade te claimen, alleen hebben we dit (opzich niet onlogisch) zo in elkaar gezet dat je niet zomaar 'gratis geld' kunt claimen en wel iets van schade moet bewijzen.
Reageer
okkies @Ultraman12 februari 2026 14:02
Eens. Maar als ik realistisch nadenk, worden deze kosten dan weer verhaald op de eindgebruikers.
Reageer
Luchtbakker @Ultraman12 februari 2026 14:04
Schadevergoedingen worden gewoon opgenomen in de abonnementsprijzen. Dus als een bedrijf verplicht is dit mee te nemen is in zijn AV dan gaan de prijzen omhoog en betaal je indirect mee aan de schadevergoeding dat je uitgekeerd krijgt.
Reageer
Hetisweergezell @Luchtbakker12 februari 2026 15:42
Dan kunnen ze doen maar omdat ze dan duurder worden ten opzichte van de concurrent zullen we daardoor wel klanten (kunnen) verliezen. Dus als de boete maar hoog genoeg is dan zal het wel degelijk effect kunnen hebben.
Reageer
franssie
@Ultraman12 februari 2026 14:14
In geval van het lekken van ID nummers (of erger kopieën) zou het bedrag gelijk kunnen staan aan de vervangingswaarde.
Reageer
fruitbakje @Ultraman12 februari 2026 14:15
Dat bestaat allang, dat noemen ze grove nalatigheid. Als je de bestaande wetgeving en rechtspraak inclusief handhaving van bijvoorbeeld AP bij vorige datalekken) niet toereikend vindt rondom grove nalatigheid, laat het vooral weten, dan kan er daadwerkelijk een inhoudelijke discussie gevoerd worden ;). Hetzelfde geldt natuurlijk voor de schadeloosstelling.
Reageer
JT @Ultraman12 februari 2026 14:19
De vraag is of het altijd te voorkomen is. Ik ben op zich voorstander van wat je zegt, alleen dan wel met toetsing op een aantal aspecten die bepalen of je de schade moet vergoeden:
  • Heb je de verzamelde data geminimaliseerd?
  • Heb je de juiste technische afweermiddelen in gebruik?
  • Zijn de juiste processen en het juiste beleid beschikbaar om te voorkomen?
  • Enzovoort
Ik denk namelijk niet dat het realistisch is dat elk bedrijf zich zou kunnen weren tegen bijvoorbeeld grote statelijke actoren met idioot veel middelen, een lading zero days op de plank enzovoort. Als een bedrijf dan redelijkerwijs al het mogelijke heeft gedaan, waarbij ik ook vind dat er een ondergrens moet zijn waaraan sowieso moet worden voldaan, dan is de vraag of het reëel is dat ze moeten bloeden.

Het lijkt er wel op dat T-Mobile volgens dat soort criteria zou moeten betalen want wat doe je met al die ID-informatie...

[Reactie gewijzigd door JT op 12 februari 2026 14:20]

Reageer
bzuidgeest @Ultraman12 februari 2026 14:28
Er bestaan verzekeringen tegen identiteitsdiefstal. Het zou standaard moeten zijn dat je die voor een X aantal jaren van ze krijgt aangeboden. Of dat een bedrijf er een heeft die een schadevergoeding aan de klanten moet uitkeren.


Uiteindelijk gebeuren ongelukken als dit gewoon. Mensen die menselijke fouten maken. Het enige dat je kan doen is zorgen dat het goed word afgehandeld voor de benadeelde klant.
Reageer
Papa Eelko @Ultraman12 februari 2026 14:41
informatie verschaffen over de oorzaak van het data-lek; en duidelijk aangeven of dit het gevolg is van nalatigheid en van wie.
Reageer
player-x @Ultraman12 februari 2026 14:46
Als je het mij vraagt zou er een clausule of wet gemaakt mogen worden dat op moment dat een bedrijf/entiteit jouw gegevens lekt dat je daar een compensatie voor krijgt bijvoorbeeld in de vorm van een geldbedrag.
Dat niet alleen, er zou bij het lekken van dergelijke data, ook een politie onderzoek moeten plaats vinden, en bij aangetoonde nalatigheid, de verantwoordelijke personen vervolgen voor nalatigheid.

Een nieuwe ID kaart kost me 80 euro, die ga ik wel verhalen op ODIDO!
Reageer
druktemaker @Ultraman12 februari 2026 14:05
Nogal een populistische post, je weet simpelweg niet hoe het lek tot stand is gekomen.
Reageer
Mathi159 @Ultraman12 februari 2026 14:13
Tsja, wat is de schade dat hackers nu mijn adres weten? Voor een paar Euro is die data gewoon te koop bij het Kadaster namelijk...
Reageer
duspol @Ultraman12 februari 2026 14:49
Heel goed idee om een geldbedrag uit te keren aan klanten dan leren ze misschien om hun systeem beter te beveiligen eigenlijk ben je nergens meer veilig ben benieuwd wanneer DigiD aan de beurt is
Reageer
gratis_vodka @Ultraman12 februari 2026 14:58
is het niet gewoon ook wanprestatie, en daarom een valide reden om je contract op te zeggen?
Reageer
SniperEye @Ultraman12 februari 2026 15:06
Na de PSN hack in 2011 voor Sony een verzekering tegen identiteitsdiefstal voor een jaar aan aan getroffen gebruikers.


Het lijkt mij tegenwoordig onbetaalbaar om als bedrijf zo’n verzekering af te sluiten.


Overigens heb ik als klant van Odido nog geen mail gehad. Naar verluid zou daar maximaal 48 uur duren.
Reageer
PrinceXEvil @Ultraman12 februari 2026 15:47
Waarom niet twee vliegen in 1 klap? Alle data die lekt, moet worden vervangen. Of op zijn minst worden aangeboden aan de slachtoffers. Vooral overheid data, en de kosten hiervan mogen de "lekkers" zelf betalen.
  1. De data die is gestolen is niets meer waard (als dat kan)
  2. De kosten hiervan worden door de bedrijven/instanties betaald. (die lekken)
Dan heb je tenminste een mooie business case waarom je meer aan beveiliging moet doen.

Even praktisch gezien (snap dat sommige data niet gewisseld kan/wil worden).
Reageer
DirtyBird @Ultraman12 februari 2026 16:28
Dat lijkt me niet reëel. Alles is te hacken of te saboteren. Hooguit als uit onderzoek nalatigheid blijkt zou dit m.i. te rechtvaardigen zijn.
Reageer
technobabbel 12 februari 2026 13:21
Net ook de mail gekregen. Wat ik wel onbegrijpelijk vind en zeer ernstig is dat ze ook Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid) opgeslagen hebben. Totaal onnodig, ze doen de identificatiecheck bij afsluiten contract, deze gegevens hoeven zeer zeker niet opgeslagen te worden.

Voor mij reden om bij deze provider weg te gaan.
edit:
Wel vreemd, op de website staat dat identificatiegegevens wel gelekt zijn, in de mail die ik ontvangen heb staat ✱niet✱. Geeft ook niet echt vertrouwen. Ik ga er maar vanuit van wel.

[Reactie gewijzigd door technobabbel op 12 februari 2026 13:26]

Reageer
KWOAD @technobabbel12 februari 2026 14:44
Ja, ik zou ook direct weg willen gaan. WARE HET NIET DAT IK AL EEN PAAR JAAR WEG BEN BIJ ODIDO!!!

Dus ook als je al een paar jaar geen klant was, zijn je gegevens gelekt. Dit was mijn e-mail waarin staat was wat uitgelekt:

Je volledige naam
  • Je klantnummer
  • Je adres en woonplaats
  • Je telefoonnummer
  • Je e-mailadres
  • Je IBAN (rekeningnummer)
  • Je geboortedatum
  • Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Wat niet is gelekt:
  • Je wachtwoord van ‘Mijn Odido’
  • Je belgegevens – gegevens over wie je hebt gebeld of wanneer
  • Je locatiegegevens – waar je was
  • Je factuurgegevens
  • Scans van identiteitsbewijzen
Reageer
Huaw @KWOAD12 februari 2026 15:34
Ik heb ook een mail gehad, terwijl ik ook geen actieve klant meer ben.

Gelukkig beloven ze ze op hun website dat je account wordt verwijderd als je geen actieve klant meer bent..

"Als je je abonnement opzegt of op naam van iemand anders zet, stopt je account voor Mijn Odido automatisch"

Nu zal met het verwijderen van een account niet alle klant gegevens worden verwijderd, maar een deel van die gegevens zouden dan wel verwijderd mogen worden.

Ze geven ook aan dat je locatie gegevens niet zijn gelekt, maar dat maakt mij vooral nieuwsgierig welke locatie gegevens ze van mij hebben.
Reageer
KWOAD @Huaw12 februari 2026 16:08
Hmm, mijn account bestond anders nog steeds wel. Ik kon er alleen niks mee. Geen gegevens inzien, alleen mijn wachtwoord aanpassen. Dus waarom kan een hacker wel mijn gegevens inzien, maar ik niet wanneer ik inlog?
Reageer
djiwie @Huaw12 februari 2026 16:09
Je account voor Mijn Odido en gegevens in hun administratie zijn 2 verschillende dingen. Je account zal vast verwijderd worden, maar dat er in andere systemen nog wel gegevens over jou bewaard worden staat daar dus los van.
Reageer
scsirob @KWOAD12 februari 2026 15:46
Naast de vraag waarom ze het recht menen te hebben om dit soort gegevens langer te bewaren dan dat je klant bent, zet ik ook een vraagteken bij het lijstje wat niet gelekt is.

Waarom zou een bedrijf jaren na afloop van de overeenkomst nog locatiegegevens moeten hebben? Die zijn alleen van belang op het moment van afrekenen, daarna is er geen rechtmatig bedrijfsbelang meer.

Waarom worden bedrijven niet verplicht om alles behalve factuurgegevens te verwijderen na afloop van de overeenkomst?
Reageer
Xmoo @scsirob12 februari 2026 16:04
Ik ben dus al sinds eind 2023 geen klant meer bij Odido en heb ook het mailtje gehad.

Gelijk gebeld en gevraagd hoelang mijn data bewaard blijft, waarop ik als antwoord kreeg gemiddeld 6 jaar.

Gelijk maar een mail gestuurd om gebruik te maken van recht van inzake en recht op vergetelheid. Niet dat het echt zin heeft... maar toch wel handig om te weten wat ze daadwerkelijk van mij hebben. Heb nu het gevoel dat het mailtje een standaard template is per dienst/product dat je afgenomen hebt/ afneemt.
Reageer
KWOAD @Xmoo12 februari 2026 16:09
Ik heb ook maar het formulier ingevuld voor het verwijderen. Ik hoop wel dat ze eerst je inzage verwerken, en dan pas je verwijderverzoek.
Reageer
dooiedodo @technobabbel12 februari 2026 13:43
Een eerste reactie is inderdaad logisch om odido gedag te zeggen, maar om wat objectiever te kijken:

je lost niks op door bij een provider weg te gaan als de diefstal al is gebeurd.

De enige reden om een provider op zij te zetten is het product wat ze leveren niet meer voldoet of te duur is. Je gegevens komen niet terug van de diefstal door naar KNP of wat dan ook te gaan.
Reageer
kassius81 @dooiedodo12 februari 2026 13:59
Als flink wat mensen weg gaan bij Odido na dit lek, lost dit zeker wel wat op. Andere providers zullen dan met gehaaste spoed hun policies onder de loep nemen om dit bij hun systemen te voorkomen. Nu bij Odido blijven zitten geeft het signaal af: Gebeurd is gebeurd, zand erover, ik vind het niet zo erg. Met als resultaat dat andere providers het ook een storm in een glas water vinden en risico mitigerende maatregelen minder prioriteit geven.
Reageer
dooiedodo @kassius8112 februari 2026 14:03
fair enough, ik zit meer op gedachte 'better the devil you know', geloof er geen moer van dat een andere provider inderdaad beter beveiligd en het zou me nog meer geld kosten ook. Ieder zn keuze
Reageer
md10 @dooiedodo12 februari 2026 14:25
Toch is dat zeker het geval. KPN met stip op no 1 tav beveiliging, ik heb bij T mobile, Ziggo en KPN gewerkt
Reageer
dooiedodo @md1012 februari 2026 14:41
in dat geval is het alleen maar belangrijk te weten in welk systeem de hack heeft plaats gevonden (talkdesk, maestro of salesforce) en dan er zeker van zijn dat de andere provider dat niet gebruit. Gezien deze dingen tegenwoordig alleen maar als SaaS worden afgenomen, gaat het meer om leverancier securitgy ipv telecom security (of ben ik nu te kort door de bocht?)


ow, door nieuws: Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido is het eigenlijk duidelijk dat het Meastro is, gezien die de 360 klant beeld data heeft

[Reactie gewijzigd door dooiedodo op 12 februari 2026 15:23]

Reageer
Captain Pervert @dooiedodo12 februari 2026 15:51
Elders in deze thread beweren 2 mensen dat het om Salesforce gaat.
Reageer
Cerebriform @dooiedodo12 februari 2026 13:55
Misschien stoppen ze met opslaan van onze paspoortnummers als we nu weg gaan, waarom hebben ze dat eigenlijk?
Reageer
dooiedodo @Cerebriform12 februari 2026 14:00
ze hebben een verplichting voor aantonen identificatie check gedaan te hebben om fraude te voorkomen. Dat doen ze met het scannen id en dan het document nummer bewaren voor audits. Gelukkig kan geen hond met dat nummer iets.

Het gaat mij meer om iban en andere details, voor mensen die phising niet duidelijk kunnen herkennen, is dit echt de jackpot voor criminelen
Reageer
One-eye864 @dooiedodo12 februari 2026 15:35
Met welk nummer kan geen hond iets? Want de geldigheidsdatum en het documentnummer van een ID kaart is in heel veel gevallen toch echt al genoeg om abonnementen/verplichtingen aan te gaan op naam van iemand anders
Reageer
Hielke Hoeve @Cerebriform12 februari 2026 13:58
Dat gaat geen enkele organisatie doen. Er is een reden dat ze deze informatie moeten vragen en het wordt (tijdelijk) opgeslagen. Processen om het te verwijderen zodra het niet meer nodig is kost geld en is niet zichtbaar voor de klant, dus doet men het niet.
Reageer
EvaluationCopy @Hielke Hoeve12 februari 2026 14:13
Ach kom. Een bedrijf van dit formaat móet ergens een dataretentietabel hebben en daar naar handelen. ISO27001 auditoren checken hier keihard op, of de policies in lijn zijn met wetgeving én controleren of het juist wordt uitgevoerd.
Reageer
demianmonteverd @dooiedodo12 februari 2026 13:53
Je laat zien dat het gevolgen heeft voor partijen om zaken niet op orde te hebben.
Reageer
Schway @demianmonteverd12 februari 2026 13:58
Ja, want een groot datalek en met de billen bloot in de media, een melding bij AP, en een compleet onderzoek naar de oorzaak laat het niet zien! /s
Reageer
demianmonteverd @Schway12 februari 2026 14:00
Inderdaad. Dat is zwaar onvoldoende en heeft bijna geen gevolgen en is vergeten na x maanden (behalve hier wellicht). Maar als je punt is dat we niet weten hoe moeilijk het is geweest om de hack uit te voeren, dan ben ik het natuurlijk wel met je eens.
Reageer
ep667 @Schway12 februari 2026 14:46
Nou ja, ik ben een hangende plaat in deze thread. Maar blijkbaar is het onvoldoende, want de manier waarop Odido het zelf brengt toont nu niet echt van verantwoordelijkheid nemen richting de 6 miljoen klanten die getroffen zijn. De FAQ eindigt met een duidelijke: ons niet bellen, wij weten het ook allemaal niet.

Dus misschien is er dan meer nodig. De enige manier waarop je zo'n bedrijf raakt is in de omzet. Dus vertrekken.
Reageer
berkes @dooiedodo12 februari 2026 14:01
Als een provider (of eender welke leverancier) je vertrouwen schaadt, lost weggaan wel zeker iets op.
Dit specifieke lek toont aan dat: Odido security niet voldoende op orde had (je vertrouwen dat ze jou gegevens en accounts goed beschermen), teveel informatie opslaat (je vertrouwen dat ze alleen opslaan wat écht nodig is om de deel-dienst te draaien), en de communicatie daarover niet duidelijk doen (je vertrouwen dat ze fouten toegeven, daarvan leren en goed weten wat een fout voor gevolgen heeft)

Het helpt idd natuurlijk niet om de gelekte gegevens te "ontlekken".

Maar het helpt zeker om naar een partij over te stappen waarbij je wel vertrouwt dat ze dit goed of beter doen.
Reageer
cc12 @berkes12 februari 2026 15:52
Maar het helpt zeker om naar een partij over te stappen waarbij je wel vertrouwt dat ze dit goed of beter doen.
Tsja, en hoe weet je dat een ander partij het wel in orde heeft? Op hun blauwe ogen geloven? Door de ISO-certificaten??
Reageer
XWB Developer @technobabbel12 februari 2026 13:49
Ik heb nooit een identificatiecheck moeten doen om een internetabonnement af te sluiten bij Odido, bij wat voor contract heb je dit moeten doen?
Reageer
tszcheetah @XWB12 februari 2026 13:54
Voor vast is dat niet nodig, bij mobiele abonnementen geldt wel indentificatieplicht.
Reageer
PoJa84 @tszcheetah12 februari 2026 13:56
Hm, bij mij niet.
Wellicht de nuancering dat het nodig is als je een abbonement + toestellening afsluit...
Reageer
R_Zwart @PoJa8412 februari 2026 14:02
Dan sluit je immers een lening af en dan is het wel logisch dat je wilt weten met wie je te maken hebt. Als je alleen aan abonnement afsluit blokkeren ze je gewoon als je een betalingsachterstand hebt.
Reageer
PoJa84 @R_Zwart12 februari 2026 15:28
Precies mijn punt. Identificatieplicht voor de lening, niet voor het abbo.
Reageer
djiwie @PoJa8412 februari 2026 16:11
Ik heb meerdere keren bij verschillende providers (ook Odido) een sim only afgesloten en ook dan moet je een ID-verificatieproces door.
Reageer
SB-Potato @XWB12 februari 2026 13:55
Dat vraag ik mij ook af. Ik heb dit zelf namelijk nooit hoeven invullen. Ik heb alleen een telefoonabonnement en ben nooit bij het BKR geregistreerd. Misschien wordt dit pas gevraagd wanneer je een abonnement afsluit waarbij een BKR-registratie nodig is, omdat het officieel als een lening wordt gezien? Dat lijkt mij op dit moment de enige verklaring waarom ik dit in het verleden niet heb hoeven doen.
Reageer
LongJoy1980 @SB-Potato12 februari 2026 14:14
Afgelopen december abo verlengd. Zoals gewoonlijk heb ik gewoon mijn ID moeten laten zien.
Reageer
SB-Potato @LongJoy198012 februari 2026 14:17
Check, dan is dat het dus niet. Geen idee waarom ik dat niet heb hoeven doen dan, wellicht omdat ik nog een Tele2 klant ben die gewoon overgestroomd is naar Odido. Ik kan me niet herinneren dat ik ooit mijn ID heb aangeleverd, maar kan ook zijn dat ik het al weer vergeten ben.
Reageer
LongJoy1980 @SB-Potato12 februari 2026 15:46
+5

Ja, in de meeste gevallen heb je bij het verlengen van een telefoonabonnement jouw geldige identiteitsbewijs nodig. Telecomproviders zijn namelijk verplicht om te controleren wie het contract aangaat of verlengt, zeker als dit gepaard gaat met een nieuwe telefoon (toestelkrediet).

Autoriteit Persoonsgegevens

Autoriteit Persoonsgegevens

+1

Hier is wat je moet weten over de identificatieplicht bij verlengen:

Verlengen in de winkel: Je moet fysiek een geldig identiteitsbewijs (paspoort, ID-kaart of rijbewijs) laten zien.

Online verlengen: Vaak moet je een scan of foto van je identiteitsbewijs uploaden, of via iDIN (identificatie via je bank) je gegevens bevestigen.

Bij aflevering (nieuw toestel): Als je een nieuw toestel krijgt toegestuurd, moet je vaak aan de koerier je ID laten zien om het pakketje in ontvangst te nemen.

Buitenlands paspoort: Als je geen Nederlands identiteitsbewijs hebt, is het proces vaak strikter en moet je documenten opsturen ter verificatie.

Uitzondering (Sim Only): Bij een sim-only verlenging (zonder nieuw toestel en zonder nieuw BKR-krediet) is de controle soms minder strikt, maar providers hebben nog steeds het recht om een geldige legitimatie te vragen.

Mobiel.nl

Mobiel.nl

+6
Reageer
cc12 @SB-Potato12 februari 2026 15:58
Ik heb mijn mobiele abbonement ook afgesloten ten tijde van Tele2 maar heb helemaal geen idee meer. Ik vermoed dat er toch wel sprake is van een id bewijs. Wellicht heeft Tele2/Odido deze gegevens op den duur gewist?
Reageer
NicoHF @XWB12 februari 2026 14:03
In ieder geval als je klik en klaar afsluit en je haalt het op in de winkel.
Ze moesten perse een kopie van mijn rijbewijs maken voor het 'sysyeem'.
Ik had gezegd dat ik zo min mogelijk gegevens erin wil hebben en mijn kopie kunnen inzien, pasfoto en volgens mij ook het rijbewijs nummer waren zwart geblokt.
Reageer
dabrainz @XWB12 februari 2026 13:55
Wellicht bij een mobiel abonnement met telefoon "op afbetaling" voor een kredietcheck.
Reageer
Triblade_8472 @XWB12 februari 2026 13:58
Odido doet ook in telefoonabonnementen, daar is dat wel verplicht.
Reageer
Keypunchie
@technobabbel12 februari 2026 13:31
In mijn mail staat:
Naam
Klantnummer
adres/woonplaats
telefoonnummer
email
IBAN
Geboortedatum,
Nummer van paspoort/ID-bewijs

Dat is wel echt pijnlijk en gevoelig. Bij veel sites geef ik random gegevens op, maar net mijn telecomprovider doe ik dat liever niet. Ook zijn dit allemaal gegevens die niet makkelijk te wijzigen zijn :-/
Reageer
wiezalditzijn @Keypunchie12 februari 2026 13:45
Gek, bij mij staat juist het volgende

Om welke informatie gaat het?


Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:


Je volledige naam

Je klantnummer

Je adres en woonplaats

Je telefoonnummer

Je e-mailadres

Je IBAN (rekeningnummer)

Je geboortedatum

Wat niet is gelekt:


Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Je wachtwoord van ‘Mijn Odido’

Je belgegevens – gegevens over wie je hebt gebeld of wanneer

Je locatiegegevens – waar je was

Je factuurgegevens

Scans van identiteitsbewijzen
Reageer
Baps @wiezalditzijn12 februari 2026 13:52
Wat voor abonnement hebben jullie? Ik heb namelijk niet eens een mail, terwijl ik toch echt zowel een mobiel als glasvezel abonnement bij Odido heb.
Reageer
Settler11 @Baps12 februari 2026 14:02
Wellicht ontvangen alleen de slachtoffers een mailing? (ook geen mail gehad)
Reageer
Baps @Settler1112 februari 2026 14:08
Dat zou inderdaad kunnen. In dat geval vind ik het best interessant dat Odido kennelijk wel in staat is geweest zo snel helder te hebben wie wel/geen slachtoffer is geweest. Je zou zeggen dat als hackers toegang hebben tot klantgegevens (en zeker van 6,2 miljoen mensen), dit betekent dat alle klanten van Odido eronder zouden vallen. Vanuit Privacy perspectief dus best interessant waar dit (kennelijke) onderscheid dan uit voortkomt.
Reageer
Padvinder @Settler1112 februari 2026 14:25
Uit het artikel:
Vanwege het grote aantal klanten kan het tot 48 uur duren voordat iedereen op de hoogte is gesteld, aldus Odido.
Ik heb ook nog niets ontvangen, zal nog wel komen.
Reageer
Polderviking @Baps12 februari 2026 14:13
Ze moeten 6 miljoen mensen mailen, dat doe je niet even in tien minuten.
Lijkt me niet ondenkbaar dat de mail nog onderweg is.

In het artikel staat ook dat er een doorlooptijd van twee dagen verwacht moet worden.

[Reactie gewijzigd door Polderviking op 12 februari 2026 14:14]

Reageer
dabrainz @wiezalditzijn12 februari 2026 13:54
Dan heb jij die mogelijk niet afgegeven als klant?

Ik heb het er wel bij staan. Wellicht hangt het per abonnement oid af of je dat op die manier hebt moeten valideren.
Reageer
JoeB2C @wiezalditzijn12 februari 2026 14:02
Bij mij staat het er wel bij, dus ik vermoed dat ze intern goed in beeld hebben wat er daadwerkelijk per account is gelekt.
Reageer
3raser @wiezalditzijn12 februari 2026 14:03
Ik kan me voorstellen dat paspoort/identiteitsbewijs niet bekend is bij klanten met bijvoorbeeld alleen glasvezel internet maar wel weer bij klanten met een mobiel abonnement. Het zou ze dan ook sieren als ze daadwerkelijk per klant kunnen aangeven wat er gelekt is.
Reageer
Thalaron @3raser12 februari 2026 14:31
Ik en mijn vrouw hebben alleen een mobiel abonnement, ID bewijs is gecontroleerd bij ontvangst van nieuw abbo met toestel, echter staat bij ons ID bewijs er ook niet bij.


Wellicht afhankelijk van wanneer/ hoe lang geleden ze het hebben verwerkt?
Reageer
DavidZnay @technobabbel12 februari 2026 13:41
Wat ik wel onbegrijpelijk vind en zeer ernstig is dat ze ook Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid) opgeslagen hebben.
Sterker nog, volgens mij moeten providers dit soort identificatiegegevens zelfs weggooien.

Alleen voor werkgevers, sommige overheidsinstanties, financiële instelling, notarissen etc. kan gelden dat ze dat soort gegevens vasthouden. En dan gelden er duidelijke regels over het hoe en wat.
edit:
paspoortnummer mag blijkbaar wel, BSN en volledige kopie paspoort mag niet. Toch slordig dat dit allemaal maar in één database lijkt te staan.

[Reactie gewijzigd door DavidZnay op 12 februari 2026 13:48]

Reageer
Henkieschmenkie @DavidZnay12 februari 2026 13:45
Meteen melding maken bij de AP dan.
Reageer
ep667 @technobabbel12 februari 2026 13:45
Net ook de mail gekregen. Wat ik wel onbegrijpelijk vind en zeer ernstig is dat ze ook Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid) opgeslagen hebben. Totaal onnodig, ze doen de identificatiecheck bij afsluiten contract, deze gegevens hoeven zeer zeker niet opgeslagen te worden.

Voor mij reden om bij deze provider weg te gaan.
Het is echt bizar dat ze paspoortgegevens bewaren en zelfs direct koppelen aan betaalgegevens en NAW. Door dit lek is een enorm risico op identiteitsfraude ontstaan, want de criminelen hebben vrijwel alles wat ze nodig hebben.

En het meest bizarre is dat het bericht van Odido overkomt als ‘oepsiefloepsie kan gebeuren, we zullen het nooit meer doen’.

Zou voor mij ook reden zijn daar weg te rennen, ware het niet dat mijn contracten nog 12 en 15 maanden lopen. En dit zal vast geen opzeggingsgrond zijn want ze gaan het echt echt nooit meer doen, erewoord.

Plus: die faq op hun website is ook een knap staaltje politiek om de hete brei heen kletsen. In de categorie: houd uw rekening goed in de gaten. Ja, want mensen kunnen allerlei dingen afsluiten op je naam. Door jullie nalatigheid.

En het ergste is nog dat er eigenlijk ook gewoon staat: ons niet bellen.

Echt hoor. Een lek of een hack, dat kan gebeuren. Maar neem dan als bedrijf verantwoordelijkheid.

[Reactie gewijzigd door ep667 op 12 februari 2026 13:58]

Reageer
asing @technobabbel12 februari 2026 13:45
Think again, ook een andere grote provider is al eens gehackt. Het is niet meer de vraag of maar wanneer het gebeurt. Als je ziet hoeveel systemen online zijn dan is het zo goed als onmogelijk om alles veilig te houden.
Reageer
dutchminator @asing12 februari 2026 15:26
Het is Odido blijkbaar niet eens opgevallen dat iemand een bulk export van 6 miljoen prive-gegevens heeft gedaan, ze moesten er door de daders op gewezen worden... Dat is niet "het is zo goed als onmogelijk", dat is bijzonder nalatig.
Reageer
Bernii @technobabbel12 februari 2026 14:14
Deze gegevens worden ook bij andere providers opgeslagen. Ik werk met meerdere providersystemen voor werk en bij andere providers is dit niet anders. Daarnaast is de andere kant van de medaille ook dat deze gegeven bekend moeten zijn bij een contractsopvraag. Je wil natuurlijk niet dat iemand zomaar een abonnement met toestel van 1000 euro op je naam kan afsluiten. Overigens zijn bepaalde gegevens er de laatste jaren al afgegaan.


Ben zelf ook Odido-klant en vindt dit heel vervelend. Maar iemand wint hier mee. Zowel de klant als Odido. Hacks komen helaas voor (kijk maar eens in je wachtwoorden-app).
Reageer
Triblade_8472 @technobabbel12 februari 2026 13:57
Je kan wel leuk naar een ander gaan, maar die bewaard exact hetzelfde. Ze zijn namelijk verplicht die nummers te bewaren.
Reageer
ep667 @Triblade_847212 februari 2026 14:07
Ze zijn het niet verplicht, maar mogen het wel. Ik kan me ook nog voorstellen dat je dat bij het aangaan van een toestellening doet. Maar niet bij een simpel sim-only abonnement.

Daarnaast: kan bij iedereen gebeuren, zeker. Maar gaan anderen er dan ook net zo slecht mee om?

Ik ben met je eens: opzeggen lost het probleem niet op. Maar is wel het enige signaal dat klanten kunnen geven aan Odido. Die wijzen verder iedere directe verantwoordelijkheid richting getroffen klanten af.

[Reactie gewijzigd door ep667 op 12 februari 2026 14:07]

Reageer
Triblade_8472 @ep66712 februari 2026 14:12
Wat is directe verantwoordelijkheid afwijzen? Ik lees op hun website:
De ongeautoriseerde toegang tot het systeem is zo snel mogelijk beëindigd. Daarnaast heeft Odido externe cybersecurity-experts ingeschakeld om te ondersteunen bij het nemen van aanvullende beveiligingsmaatregelen als onderdeel van de respons op dit incident.
Daarna hebben ze in de FAQ:
We nemen dit incident zeer serieus. Direct nadat we het datalek hebben ontdekt hebben we:
  • De ongeautoriseerde toegang tot het klantcontactsysteem geblokkeerd.
  • Aanvullende beveiligingsmaatregelen getroffen.
  • De monitoring van ongebruikelijke activiteiten verder opgeschaald.
  • Bewustzijn van medewerkers verhoogd over de werkwijze cybercriminelen (phishing).
Ik heb zelf alleen internet van hen en nog geen mail ontvangen. Over de inhoud daarvan kan ik dus niet oordelen, maar de website is netjes mijns inziens.
Reageer
ep667 @Triblade_847212 februari 2026 14:43
Wat jij hier quote is leuk en deels gewoon wettelijk verplicht, maar is heel erg 'we zullen het nooit meer doen, erewoord'.

Er zijn 6 miljoen mensen getroffen. Dat is een derde van Nederland. Een groot deel daarvan snapt niet wat de politieke teksten op die website betekenen. Kent de implicaties niet. Toch staat onderaan de FAQ eigenlijk gewoon 'ons niet bellen'.

Dat is wat ik bedoel met directe verantwoordelijkheid: zorgen dat mensen antwoord op hun vraag krijgen en mogelijk zelfs geleden schade vergoed krijgen. En dat gebeurt niet.

Waar kun je dan aan denken?
  • Het direct instellen van een klantenserviceteam dat klanten die niet begrijpen wat er is gebeurd te woord kunnen staan.
  • Het opstellen van een pagina in begrijpelijke taal met daarbij ook een stappenplan hoe je fraude kunt herkennen.
  • Het met een druk op de knop mogelijk maken om een verzoek tot doen tot inzage van de bewaarde gegevens en (daarna) met een druk op de knop een verzoek doen tot verwijderen daarvan.
  • En uiteindelijk: een mogelijkheid creëren om geleden schade te declareren.
Dan steek je de hand in eigen boezem.
Reageer
Triblade_8472 @ep66712 februari 2026 15:51
Maar dat is toch niet serieus werkbaar voor een bedrijf?

Ik snap de emotie erbij wel, maar 6 miljoen belletjes gaat alleen het systeem overbelasten en worden mensen nóg bozer.

De site is volgens mij gewoon netjes én in begrijpelijke taal geschreven. Er staat netjes "Hieronder lees je concrete situaties waarvan we je vragen om hierbij extra op te letten:" Dus dat is toch dan wat jij wil?

Mensen krijgen dus gewoon netjes antwoord op hun vragen, de site is best uitgebreid. Wat mis jij dan nog aan info?

Schade claimen net zo. Je kan dat nu al natuurlijk bij een rechter, maar welke schade komt door Odido dan? Ik snap dat het niet leuk is om te horen, maar het is wél de werkelijkheid. Hoe voorkom je gigantisch misbruik?

Bij mijn gemeente is ook een datalek geweest. Toevallig sindsdien allemaal spam en belletjes. Wat win ik met een schadeclaim? Wie garandeert de rechter dat het daar vandaan komt?


Als een bedrijf inderdaad netjes is geweest in de beveiliging, dan treffen ze gewoon geen blaam. Dan ligt het volledig bij de criminelen! Er is een team bezig met het onderzoek. Laten we daar op wachten. Als je daarna alsnog schade wilt claimen wegens bewust onvoldoende beveiliging, be my guest.

Je gaat toch ook mensen dom noemen omdat hun telefoon uit hun zak stak en deze gestolen is? Kom op. Verstandig? Nee. Maar de schuld ligt bij de criminelen!


Wél zou ik vanuit onze overheid een team wensen die onafhankelijk onderzoek doet naar dit soort lekken, waar meer dan (pak m beet) 500.000 burgers bij betrokken zijn. Als er dan bewust onveilig is omgegaan met zaken, dan hoort er een bijpassende straf bij, eentje voor de bedrijfsleiding en een voor het bedrijf als organisatie.
Reageer
cc12 @Triblade_847212 februari 2026 16:04
Ze nemen dit incident zeer serieus volgens Odido

Dit hadden ze vanaf het begin al moeten doen. :(
Reageer
Triblade_8472 @cc1212 februari 2026 16:05
Deden ze dat niet? Of bedoel je wat anders?
Reageer
juwlez @technobabbel12 februari 2026 13:39
In de mail die mijn moeder van Odido heeft ontvangen wordt dat niet benoemd maar in de mail die ik heb ontvangen wel, lekker duidelijk dit.
Reageer
menne @juwlez12 februari 2026 13:54
Zou het kunnen dat per persoon/klant soms andere gegevens gelekt zijn? En dat daarom de e-mails kunnen verschillen. Als dat zo is was het wel handig geweest om dat ook in de e-mail te benoemen.
Reageer
Polderviking @juwlez12 februari 2026 14:07
Misschien heeft je moeder die gegevens nooit verstrekt?
Ik kan me ook niet heugen ODIDO ooit van legitimatie data voorzien te hebben.
Maar ik heb alleen internet en sim-only mobiel, volgens mij komt het legitimeren pas in beeld als je een toestel bij je abonnement neemt ofwel een schuld bij ze aangaat.
Reageer
juwlez @Polderviking12 februari 2026 14:15
Dat is een goed punt. We hebben beide vast (internet en tv) maar ik had tot kort ook een sim only (sinds een paar weken zowel vast als mobiel overgezet naar een andere provider).
Reageer
bie100 @Polderviking12 februari 2026 14:24
Dat is een goed punt mijn vrouw heeft ook sim-only maar toen was dat nog van T-Mobile ook geen legitimatie hoeven laten zien

Gelukkig dan maar als je van geluk kan spreken dan
Reageer
cc12 @Polderviking12 februari 2026 15:47
Misschien heeft je moeder die gegevens nooit verstrekt?
Ik kan me ook niet heugen ODIDO ooit van legitimatie data voorzien te hebben.
Maar ik heb alleen internet en sim-only mobiel, volgens mij komt het legitimeren pas in beeld als je een toestel bij je abonnement neemt ofwel een schuld bij ze aangaat.
Odido mag hier wel wat meer duidelijkheid aan geven bij welke klanten welk informatie is gelekt.
Reageer
Tc99m @technobabbel12 februari 2026 13:52
Wat ik wel onbegrijpelijk vind en zeer ernstig is dat ze ook Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid) opgeslagen hebben. Totaal onnodig, ze doen de identificatiecheck bij afsluiten contract, deze gegevens hoeven zeer zeker niet opgeslagen te worden.
Ik vraag me af of telecomproviders die informatie niet moeten bewaren van de wetgever. Ze hebben in ieder geval wel het recht om dat te doen: https://www.autoriteitper...obiele-telefoon-aanvragen

[Reactie gewijzigd door Tc99m op 12 februari 2026 13:52]

Reageer
erikieperikie @technobabbel12 februari 2026 13:57
Voor mij reden om bij deze provider weg te gaan.
Een begrijpelijke reactie. Want, natuurlijk, bij ODIDO blijken de zaakjes (beveiliging en wat ze opslaan) niet op orde. Echter roept het de vraag op: waar ga je dan wel naartoe? Kun je erop vertrouwen dat andere providers deze gegevens niet opslaan? En dat ze hun beveiliging wel op orde hebben? Kunnen ze zonder (een deel van) deze gegevens? Welke gegevens hebben ze minimaal (wettelijk) nodig en wat als die toch lekken? Immers, dat kan elders ook gebeuren.

Kortom: hoe ga jij hiermee om, behalve door weg te lopen? En in het algemeen, hoe kunnen we hiermee omgaan op een iets minder reactieve manier?
Reageer
kozue @technobabbel12 februari 2026 14:01
Wel vreemd, op de website staat dat identificatiegegevens wel gelekt zijn, in de mail die ik ontvangen heb staat ✱niet✱. Geeft ook niet echt vertrouwen. Ik ga er maar vanuit van wel.
Ik denk dat ze dat alleen vermelden als ze die ook van je hebben en mogelijk gelekt zouden kunnen zijn. Voor sommigen wellicht wel, voor anderen niet. Het enige wat ik van Odido heb is een glasvezel abo, en heb nooit een ID bewijs op hoeven sturen. Zou ik ook nooit doen, hebben ze niks mee te maken. En in mijn mail stond het ID ook in het lijstje van niet-gelekte gegevens. Wat ze niet hebben kunnen ze niet lekken.

Maar wat me ook verbaast is dat er in dat lijstje "locatiegegevens" staat. Dat is dus blijkbaar iets wat ze wel van sommige mensen bij houden, maar toevallig van mij niet hebben? Hoe komen ze aan die gegevens? Waarom houden ze dat überhaupt bij? Lijkt me niet door de beugel kunnen vanuit de AVG. Locatie bijhouden is niet nodig voor hun dienstverlening en heb ik nooit toestemming voor gegeven.
Reageer
Triblade_8472 @kozue12 februari 2026 14:18
Ik gok getraceerd over het mobiele netwerk? Wellicht omdat de veiligheidsdiensten dit (op)gevraagd hebben. Of je was in de buurt waar er ellende was, risicovoetbalwedstrijden, protesten e.d.

Op hun website schrijven ze trouwens:
De betrokken informatie omvat NIET:
  • Wachtwoorden van 'Mijn Odido'
  • Belgegevens (wie je hebt gebeld, wanneer)
  • Locatiegegevens
  • Factuurgegevens
  • Scans van identiteitsbewijzen
Dus dat dit gemaild wiezalditzijn in 'Odido waarschuwt voor datalek: klantgegevens gestolen bij cyberaanval' is, is wel heel vreemd. Of wellicht een uniek geval? Of te snel klanten ingelicht met te brede info?
Reageer
R_Zwart @technobabbel12 februari 2026 14:06
Heb jij je moeten identificeren toen je klant werd?
Reageer
Tc99m @R_Zwart12 februari 2026 14:08
Ik heb kort Odido Klik & Klaar gebruikt, en toen heb ik inderdaad mijn rijbewijs moeten laten scannen. BSN, foto, e.d. werd hierbij wel afgeschermd.

Ik heb ook Odido glasvezel, daarvoor heb ik me niet hoeven te identificeren.

[Reactie gewijzigd door Tc99m op 12 februari 2026 14:08]

Reageer
Triblade_8472 @Tc99m12 februari 2026 15:55
Precies. Je hoeft je alleen te identificeren als het mobiele verbindingen betreft.
Reageer
duspol @technobabbel12 februari 2026 14:51
Ja al je gegevens liggen op straat echt belachelijk dat dit nog kan waarschijnlijk willen zo weinig geld aan beveiliging besteden
Reageer
J.A.477 @technobabbel12 februari 2026 13:27
Zou dit bij een Vodafone/KPN beter geregeld zijn?
Reageer
R_Zwart @J.A.47712 februari 2026 14:03
Ieder netwerk is lek. Ook het netwerk van jouw werkgever of Tweakers of wie dan ook. Het is alleen de vraag wanneer een hacker binnenkomt, niet of een hacker binnen komt.
Reageer
J.A.477 @R_Zwart12 februari 2026 14:08
Dat was precies mijn punt ;) overstappen heeft daarom helaas ook 0,0 effect.
Reageer
kozue @J.A.47712 februari 2026 13:43
Ik zou er vanuit gaan van niet. Alle bedrijven lekken op een bepaald moment je data. Daarom zo weinig mogelijk data aan bedrijven geven.
Reageer
dabrainz @J.A.47712 februari 2026 13:54
De kans is daar waarschijnlijk net zo groot dat het gebeurt.. En als je nu overstapt hebben twee providers je gegevens. 💀 Twee keer zoveel kans.
Reageer
md10 @dabrainz12 februari 2026 14:23
Wat wordt hier een onzin gepost.... KPN heeft zaken veel, heel veel beter beveiligd... Daar zit ook 100x meer IT kennis dan bij Odi
Reageer
CootjevdKamp @J.A.47712 februari 2026 13:30
Hoop ik toch wel van een bedrijf dat verantwoordelijk is voor Het Netwerk van Nederland.
Reageer
J.A.477 @CootjevdKamp12 februari 2026 13:31
Ja ik hoopte dit ook bij Odido ;) maar daar blijkt het toch ook net wat anders te liggen.
Reageer
Mosterd @DigitalExorcist12 februari 2026 13:35
Kan ik voor vouchen, Vodafone pakte phishing SMS berichten vanaf hun 06-blokken heel snel op, KPN zei bij een soortgelijk incident praktisch “dat is niet onze verantwoordelijkheid, want het kan ook spoofing zijn” en wees mij de deur (onzin, we gebruiken in Nederland nog geen STIR/SHAKEN en dat is aan de providers zelf, het argument “we doen wat we kunnen” gaat niet op maar het niet-uitvoeren om geld te besparen t.b.v. aandeelhouders kan maar door gaan…)
Reageer
DigitalExorcist @Mosterd12 februari 2026 13:48
Weliswaar privé, maar nog steeds KPN:

- Overgang KPN-nummer (zakelijk) naar Vodafone (privé) incl. nummerbehoud. Bij Vodafone aangevraagd. Ging allemaal prima. Overzetting op dag <x> geregeld. Op die dag gewoon m'n Vodafone SIM erin gedaan, geactiveerd, geen enkel punt, nummerbehoud en alles werkte. Twee maanden later verzoek van KPN of ik het nummer nog over wilde zetten. "Dat héb ik al gedaan.. ik bel nu met Vodafone". "Nee meneer, we zien dat u belt met het nummer dat u bij KPN heeft". Ja omdat ik nummerbehoud heb. "Nee hoor, dat kan niet, want Vodafone heeft nooit een portering bij ons aangevraagd". Nou, ik weet vrij zeker dat mijn telefoon "VODAFONE" zegt.. "Nee dat kan niet meneer, wij hebben geen verzoek gehad!". Mooi zo gelaten, tegen zoveel domheid kan ik niet op.

- Verhuizing van mijn ouders. KPN verhuispakket destijds aangevraagd. Vorige bewoners hadden Ziggo. KPN: "Prima, u kunt op de dag van verhuizing aan de slag!". Mooi, ik kom in hun nieuwe woning, geen ISRA-punt te vinden. KPN gebeld: "Ja hoor, die moet er zijn, in de meterkast". Euh nee, daar zit weliswaar een gat in de wand, maar géén kabels.. "Dan sturen we over 3 weken een monteur". Mooi, en als die niks kan vinden? "Dan trekt die monteur de kabel vanaf de straat de woning in. Komt helemaal goed!". Monteur 3 weken (!!) later, anderhalf uur te laat zonder excuses of wat dan ook. "Nou meneer, laat het ISRA-punt maar even zien". Ja dat is er dus niet, daarom ben jij hier. "Ohh.. ja maar op de tekening staat dat die in de meterkast zi-- ... hee dat is gek, er is geen ISRA-punt!". Ja goh je méént het. Maar gelukkig kun jij die kabel vanaf de straat naar binnen trekken. "Oooh haha nee dat kan en mag ik helemaal niet! Da's een hele andere afdeling bij ons! Fijne dag nog". Gelijk die hele teletubbie-bende van ze opgezegd, Ziggo aangevraagd, anderhalve dag later probleemloos online.

Zakelijk:

- Router bij klant defect. "Over 6 dagen komt er wel iemand kijken". Huh hoezo 6 dagen. "Ja planningdingetje maar komt helemaal goed!". KPN-monteur komt 6 dagen (!) later bij bedrijf langs. Met een nieuwe router. Die géén bridge ondersteunt. Ik heb die gast moeten uitleggen wát uberhaupt bridge modus was en wat ie daarmee moest doen. En toen bleek de juiste firmware niet compatible te zijn....

Je kan een hóóp betekenissen aan de "K" in KPN hangen, maar Koninklijk is daar niet één van.
Reageer
md10 @DigitalExorcist12 februari 2026 14:22
Iedereen kan blaten over KPN , feit is dat er >10x zoveel aan security functionarissen bij KPN rondlopen dan bij Odido
Reageer
DigitalExorcist @md1012 februari 2026 16:29
Wil niet zeggen dat ze ook maar iets kunnen.....
Reageer
HakanX @Mosterd12 februari 2026 14:29
Kan ik voor vouchen, Vodafone pakte phishing SMS berichten vanaf hun 06-blokken heel snel op, KPN zei bij een soortgelijk incident praktisch “dat is niet onze verantwoordelijkheid, want het kan ook spoofing zijn” en wees mij de deur (onzin, we gebruiken in Nederland nog geen STIR/SHAKEN en dat is aan de providers zelf, het argument “we doen wat we kunnen” gaat niet op maar het niet-uitvoeren om geld te besparen t.b.v. aandeelhouders kan maar door gaan…)
Stir/shaken heb je niet bij het ouderwetse sms protocol (spamfilter zou wel kunnen). Dat is idd makkelijk spoofbaar. Maar de provider zelf kan natuurlijk wel zien of de sms echt vanaf dat nummer is gestuurd. Ze hebben gewoon de moeite niet genomen.
Reageer
Mosterd @HakanX12 februari 2026 14:52
Klopt, maar in het geval van KPN was het dus ook een spam call vanaf een 06 nummer en geen SMS.
Reageer
bigbramel @technobabbel12 februari 2026 13:31
Totaal onnodig, ze doen de identificatiecheck bij afsluiten contract, deze gegevens hoeven zeer zeker niet opgeslagen te worden.
Dus je vindt het geen probleem dat iemand anders met alleen je nam en adres (beide redelijke publieke gegevens) op elk moment je contract kan aanpassen? Of een extra SIM-kaart op je naam bestellen? etc.
Reageer
Gubbel @bigbramel12 februari 2026 13:32
Wat probeer je hier te beweren? Dat dat de reden is om paspoort gegevens op te slaan? Dat is namelijk totaal onnodig om zo'n scenario te voorkomen.
Reageer
PlasticPimple @Gubbel12 februari 2026 13:36
Odido zal wel willen (of misschien wel moeten) aantonen, ook naderhand, dat een bepaald abonnement echt door J. Jansen is afgesloten.
Reageer
Birdstrike @PlasticPimple12 februari 2026 14:00
J. Jansen! u riep mij? Op zich wel blij met zo’n algemene naam :)

Ik vraag me wel af welk paspoort ze van mij hebben. Is dat ergens te zien? In de contract aanvraag waarschijnlijk.
Reageer
bigbramel @Gubbel12 februari 2026 13:47
Als je met paspoort als controle het contract hebt afgesloten, is het in mijn mening heel normaal om bijvoorbeeld het paspoortnummer op te slaan om bij elke toekomstige aanpassing op dat contract (zoals nieuwe of extra SIM-kaart) controle te kunnen uitvoeren.

Dan hoef jij als gebruiker niet elke keer je paspoort op te sturen (wat ook problematisch kan zijn) en alsnog makkelijk dingen aanpassen. Zeker als deze aanpassingen via de telefoon gedaan worden.

Laat wel duidelijk zijn dat deze extra check standaard is geworden nadat het bekend werd dat criminelen met standaard PI en masse SIM-kaarten aanvroegen op andermans contracten.
Reageer
phamoen @bigbramel12 februari 2026 13:57
Je zou een hash op kunnen slaan, maar zeker niet het paspoortnummer zelf. Kom op zeg.
Reageer
ep667 @phamoen12 februari 2026 14:13
Bij voorkeur dan ook nog in een losse database met alleen klantnummer als identifier. Zo moeilijk is het niet.
Reageer
bigbramel @phamoen12 februari 2026 14:33
Dat is zeker een beter idee, maar niet het punt in de eerdere discussies.

Het oorspronkelijk punt was dat het totaal geen reden om paspoort/ID-kaart etc überhaupt op te slaan.
Reageer
Tegengeluidjes 12 februari 2026 13:36
We raken enorm afhankelijk van digitale systemen én van hoe goed bedrijven hun beveiliging op orde hebben. Maar realistisch gezien … die race om perfecte digitale beveiliging win je nooit volledig. Er zullen altijd nieuwe kwetsbaarheden opduiken, hoe goed de beveiliging ook is.

Misschien moeten we als samenleving opnieuw nadenken over wat écht online moet en wat bewust offline kan blijven, in plaats van te vertrouwen dat digitale beveiliging ooit 100% waterdicht is.
Reageer
iAR @Tegengeluidjes12 februari 2026 13:43
Ik wil niet te cynisch over komen; maar dit gaat echt nooit (meer) gebeuren.
Reageer
ATS @Tegengeluidjes12 februari 2026 13:45
Ik denk dat het meer een kwestie is van minimaliseren van wat je als organisatie überhaupt hebt als data. Waarom data als nummers en vervaldata van identiteitsbewijzen opslaan? Je wéét dat dat gevoelige gegevens zijn die misbruikt kunnen worden, en je hebt ze niet nodig nadat je de initiële controle gedaan hebt.
En daarna zouden gegevens niet en-masse beschikbaar moeten zijn.
Reageer
Quintiemero @Tegengeluidjes12 februari 2026 13:49
De AVG eist geen 100% veiligheid. Maar passende maatregeln.
Reageer
Lazerus @Tegengeluidjes12 februari 2026 13:51
Het doel is niet perfecte digitale beveiliging. Begin eerst een met laaghangend fruit. Gegevens ontkoppelen, versleutelen, certificaten bijhouden, 2FA, data die niet meer nodig verwijderen (zoals scans van ID’s nadat acceptatie is voltooid). Dan beperk je de schade met minimale moeite.
Reageer
kozue @Tegengeluidjes12 februari 2026 13:53
Ik ben al veel langer bewust bezig met wat ik wel en niet online wil doen/hebben. En bijna altijd komt dat uit op offline blijven. Ik heb niet zo veel accounts en zaken die internet nodig hebben, en als het internet landelijk helemaal uit zou vallen ondervind ik daar persoonlijk geen problemen van. Ik kan alleen m'n werk niet meer doen (niet vanuit huis, maar naar kantoor komen wordt ook zinloos). Meer mensen zouden zich bewust moeten zijn van de risico's van afhankelijkheid van internet. Goede exercitie: zet het modem een hele dag uit (en je mobiel op flight mode) en kijk hoe dat je leven beïnvloed. Als je bepaalde zaken echt mist raad ik aan daar een alternatief voor te hebben.
Reageer
sapphire @Tegengeluidjes12 februari 2026 13:55
Dé perfecte beveiliging bestaat ook gewoon niet, en als het in de buurt komt is het waarschijnlijk vrijwel onwerkbaar voor de gebruikers er van.

Mij is altijd geleerd dat het geen kwestie is van óf men binnen komt maar wanneer men binnen komt. Dus niet alleen je muur naar buiten zo goed mogelijk dichttimmeren maar wat doe je en welke maatregelen heb je voor als mensen eenmaal binnen zijn. Detectie, segmentatie en snel kunnen en weten hoe te handelen als er iets gevonden word.

Roepen 'tja de perfecte beveiliging bestaat nou eenmaal niet dus sorry' is wel wat gemakszuchtig en als je alles serieus op orde hebt en er lekt wat uit omdat men binnen kwam door een onbekende, ongepatchte zero-day dan is dat zuur maar ergens nog uitlegbaar (maar als je goede detectie hebt kun je ook als men zo binnenkomt nog een hoop schade voorkomen).

Is men nalatig geweest om wat voor reden dan mag dat van mij best eens aangepakt worden ipv een 'sowwie we zijn zo zielig en hebben er alles aan gedaan en hier heb je een gratis filmpakket ter compensatie'.
Reageer
demianmonteverd @Tegengeluidjes12 februari 2026 13:58
We weten nog niet eens de oorzaak en dan gaan we al roepen dat het niet waterdicht kan worden? Dat is echt te makkelijk toch? Misschien is waterdicht niet het doel, gewoon op orde zou het toch moeten zijn. Dat moet dus nu nog blijken. Ik hoop dat jij gelijk hebt hoor, dat het echt de hack van de laatste twintig jaar was qua moeilijkheidsgraad overigens.
Reageer
Triblade_8472 @Tegengeluidjes12 februari 2026 16:00
Ik denk dat we meer moeten nadenken over slimmere systemen om de schade te beperken.

Bijvoorbeeld lijkt het mij volledig onnodig om een BSN overal achter te laten. Er zal vast een slim systeem te bedenken zijn om een BSN-afgeleide te genereren per doel. En als er dan een kraak blijkt, dan trek je dat nummer in (of wordt voor je gedaan) en basta.

Dan heb je dus identificatie indien nodig voor alleen dat doel, en bij problemen trek je die in. Je BSN blijft dan dus altijd buiten schot.

En het nummer van je ID/paspoort, dat ze dat (mogen) onthouden slaat sowieso nergens op, want je hebt je al geïdentificeerd en is er dus geen reden meer om dat nogmaals te doen. En zo wel, dan doe je dat gewoon nog een keer. Beter dan oneindig opslaan. Dus je hebt hierin zeker gelijk dat we er opnieuw over moeten nadenken.
Reageer
sgouman 12 februari 2026 13:27
Tweakers schrijft dat Odido de toegang tot de systemen zo snel mogelijk heeft beeindigd.

op nu.nl staat echter het volgende:

Odido kwam achter het lek omdat de persoon of organisatie die de persoonlijke gegevens in handen heeft, contact met het bedrijf heeft opgenomen, zegt een woordvoerder van Odido tegen NU.nl.

Wat niet echt strijkt met wat er op Tweakers staat. Wat is het nou?
Als het namelijk klopt van nu.nl heeft Odido niet echt hun beveiliging op orde. Dat je door de hacker op de hoogte wordt gebracht dat hij in het systeem heeft gezeten.
Reageer
Wraldpyk @sgouman12 februari 2026 13:38
Net als dat NOS ook schrijft dat Odido spoedig een email gaat sturen naar getroffen klanten, en in dit artikel staat dat dat al gebeurd is. Ik heb (nog) niets dus ik weet nog niet of mijn gegevens er bij zitten. Maar als de aantallen kloppen dan zou het vrijwel iedereen moeten zijn gok ik.
Reageer
Lamith @Wraldpyk12 februari 2026 13:49
Odido zegt zelf dat het tot 48 uur kan duren voor je iets ontvangt. Mooi moment voor mij om een overstapje te regelen in ieder geval.
Reageer
EBrinkman92 @Lamith12 februari 2026 14:05
Als jouw informatie al gejat is krijg je die informatie niet terug of van het internet verwijderd met een overstap naar een andere provider waar dit trouwens net zo goed ook had kunnen gebeuren als de verkeerde persoon op het verkeerde linkje zou klikken.

Probeer dan iets van een schade vergoeding na te jagen wegens incorrect behandelen van privé data.
Reageer
dutchgio @sgouman12 februari 2026 13:38
Dat sluit de opmerking van Tweakers niet uit, zo snel mogelijk is dan dus wel nadat ze zo'n bericht hebben ontvangen en er achter kwamen dat er een lek was. Het is niet ongebruikelijk dat hackers contact leggen om het bedrijf af te persen om de gegevens anders online te zetten.
Reageer
Zezura @sgouman12 februari 2026 13:48
@AverageNL
Reageer
3raser @sgouman12 februari 2026 14:18
"Zo snel mogelijk" is relatief. Het is in ieder geval altijd nadat ze leerden dat ze gehackt waren. Of ze daar zelf achter kwamen of dat de hackers hen informeerden doet er dan niet toe.
Als het namelijk klopt van nu.nl heeft Odido niet echt hun beveiliging op orde.
Ze zijn gehackt dus ze hebben hun beveiliging niet in orde. Zelfs als het klopt dat ze het zelf hebben ontdekt is het nog niet op orde want het was te laat.

[Reactie gewijzigd door 3raser op 12 februari 2026 14:19]

Reageer
Hippe Lip 12 februari 2026 14:17
Op de pagina van Odido hierover stellen ze bij de Veelgestelde Vragen zelf de vraag:

Wanneer heeft de cyberaanval plaatsgevonden en is de data gelekt?”

Helaas geven ze daar zelf geen antwoord op en zeggen ze alleen “In het weekend van 7 en 8 februari jl. hebben ons de eerste signalen bereikt dat er sprake is van een datalek”, maar dat kan betekenen dat de hack al twee weken daarvóór heeft plaatsgevonden…
Reageer
Ome Kor @Hippe Lip12 februari 2026 16:13
maar dat kan betekenen dat de hack al twee weken daarvóór heeft plaatsgevonden…
Dat denk ik, de eerste phishingmailtjes die ik heb ontvangen zijn van 29 en 30 januari. Ze kwamen zogenaamd van mijn bank. Ik heb een speciaal e-mailadres voor communicatie met bedrijven.
Reageer
mikeyfire643 12 februari 2026 14:26
Voor de tweakers die hun gegevens willen laten verwijderen als oud klant:

Mobiel: https://assets.odido.nl/x/569f8a2b4d/aanvraagformulier-mobiel-b2c-verwijdering-2024.pdf

Internet: https://assets.odido.nl/x/2793f2c97f/aanvraagformulier-internet-tv-verwijdering-2024.pdf

info:https://www.odido.nl/privacy#se5
Reageer
greg-a @mikeyfire64312 februari 2026 14:43
grappig, de PDFs zijn (iig bij mij) niet meer te downloaden.


<Code>AccessDenied</Code>
Reageer
mikeyfire643 @greg-a12 februari 2026 14:45
Ik kan ze nog steeds downloaden! Ook waar ik niet ingelogd ben bij Odido.
Reageer
KWOAD @mikeyfire64312 februari 2026 14:50
Zat ik ook naar te kijken, maar ik loop in dat formulier wel vast. Ik ben namelijk al jaren geen klant meer, en weet dus ook niet welk bankrekening of telefoonnummer ze van mij hebben.
Reageer
GlobalHawk 12 februari 2026 15:23
Daarom kwamen ze afgelopen maandag dus met de mededeling dat de geplande beursgang ineens niet meer doorgaat:

https://www.reuters.com/business/corrected-odido-shelves-ipo-plans-because-muted-investor-response-volatility-2026-02-09/

https://fd.nl/bedrijfsleven/1586055/odido-blaast-beursgang-af
Reageer
pheijms 12 februari 2026 15:25
Ik heb zojuist de helpdesk van Simpel gebeld en zij gaven aan dat de hack alleen Odido en Ben betrof en dat ik me geen zorgen hoefde te maken.
Reageer
Eochaidh 12 februari 2026 15:46
Is kijken hoe ze hier op reageren...

Geachte heer/mevrouw,

Naar aanleiding van uw bericht over de recente cyberaanval waarbij onder andere identificatiegegevens (nummer en geldigheid van paspoort en/of rijbewijs) mogelijk zijn gelekt, wend ik mij tot u in verband met het risico op identiteitsfraude.

U geeft aan dat mijn identificatiegegevens mogelijk onderdeel zijn van de gelekte dataset. Het betreft hier gevoelige persoonsgegevens die bij misbruik kunnen leiden tot aanzienlijke financiële en immateriële schade. Om dit risico te beperken overweeg ik mijn paspoort en rijbewijs uit voorzorg te laten vervangen.

Op grond van artikel 82 van de Algemene Verordening Gegevensbescherming (AVG) heeft iedere betrokkene recht op vergoeding van materiële en immateriële schade die het gevolg is van een inbreuk op de AVG. De kosten van vervanging van een identiteitsbewijs kunnen hieronder vallen indien deze in redelijkheid noodzakelijk zijn ter beperking van schade als gevolg van het datalek.

Ik verzoek u daarom om:
  • Schriftelijk te bevestigen of mijn specifieke paspoort- en rijbewijsgegevens daadwerkelijk zijn gelekt;
  • Uw concrete risico-inschatting met betrekking tot identiteitsfraude te delen;
  • Te bevestigen dat Odido de kosten van vervanging van mijn paspoort en rijbewijs zal vergoeden indien deze vervanging redelijkerwijs noodzakelijk is in verband met dit datalek;
  • Informatie te verstrekken over de door Odido gehanteerde schade- en compensatieregeling.
Ik zie uw inhoudelijke reactie binnen een redelijke termijn graag tegemoet.

Met vriendelijke groet,
Reageer
Martinez- @Eochaidh12 februari 2026 16:18
Prima opzet wat mij betreft. Lijkt me goed als we dat massaal op deze manier gaan doen en druk erop gaan zetten.

Ja, ook die medewerkers voelen zich vervelend, maar het risico ligt echt bij de particulier.
Reageer
Orthodroom 12 februari 2026 13:16
Toch bijzonder dat ik het hier eerder lees dan dat ik van hun bericht krijg.

Te snel gelezen. Kennelijk ben ik dan niet getroffen.

[Reactie gewijzigd door Orthodroom op 12 februari 2026 13:17]

Reageer
dutchgio @Orthodroom12 februari 2026 13:19
Staat wel in de bron dat betrokken klanten worden geïnformeerd:
  • Hoe weten klanten dat zij betrokken zijn bij het datalek?

    We zullen alle klanten die betrokken zijn persoonlijk een email sturen. De afzender van deze mail is info@mail.odido.nl. Dit kan tot 48 uur duren. Klanten waar we geen emailadres van hebben zullen we een sms sturen.

    Niet alle klanten zijn geraakt, we sturen dus alleen informatie aan klanten die geraakt zijn.

    Heb je geen email ontvangen van info@mail.odido.nl of SMS? Check je spam folder voor de zekerheid. Zit daar ook niets in, ga er dan vanuit dat je niet bent geraakt.
Reageer
Naafkap @dutchgio12 februari 2026 13:24
Ik snap dit nooit. Hier niks ontvangen. Stuur gewoon ook een bericht naar klanten die niet getroffen zijn
Reageer
DdeM @Naafkap12 februari 2026 13:34
Simpele reden waarom ze dat niet doen, zoveel mail sturen kost vaak geld.
Reageer
kozue @DdeM12 februari 2026 13:48
Mail sturen kost geen geld. Je hoeft alleen je server even te laten rammelen. Die staat toch wel aan, Het kost hooguit geld omdat het scriptje wat langs de data gaat wat complexer moet worden, maar waarschijnlijk wordt dat gedaan door iemand in loondienst die er niet extra voor betaald krijgt. Hij zal alleen z'n anderen werkzaamheden iets later moeten doen.
Reageer
DdeM @kozue12 februari 2026 16:05
By far de meeste bedrijven gebruiken een of ander CRM platform voor klant contact en bij veruit de meeste daarvan zijn er kosten verbonden aan het versturen van mails boven of per een x aantal. Als voorbeeld Salesforce die 10 euro per maand rekend per 1000 mails.
Reageer
RoninOrO @DdeM12 februari 2026 13:51
Nah, iets met slapende honden wakker maken.... elke klant die dit niet hoort is een win....
Reageer
Senaxx @DdeM12 februari 2026 14:09
Met een reclame mail is dat ook geen probleem, die gaat ook naar alle Odido gebruikers :)
Reageer
alt-92 @DdeM12 februari 2026 15:31
zoveel mail sturen kost vaak geld.
Ik reken 25€ per frontpage post.
Betaling binnen 30 dagen te voldoen.
Reageer
cyber_rova @Orthodroom12 februari 2026 13:17
Dan ben je waarschijnlijk als klant niet betrokken, zoals het bericht aangeeft. Het persbericht van Odido stelt ook het volgende: "Betrokken personen ontvangen zo spoedig mogelijk rechtstreeks een e-mail van Odido. Vanwege de oplage kan het informeren van alle betrokken klanten tot 48 uur in beslag nemen."


Zie: https://newsroom.odido.nl/odido-informeert-klanten-over-cyberaanval/#

[Reactie gewijzigd door cyber_rova op 12 februari 2026 13:20]

Reageer
Dryw.Filtiarn @cyber_rova12 februari 2026 13:22
Dat zou dan wel een bijzondere uitzondering zijn gezien het aldus media gaat om meer dan 6 miljoen klanten 🤔

Met dergelijke aantallen vermoed ik toch dat het volledige klantenbestand geraakt is op basis van marktaandeel en totaal aantal Nederlanders.
Reageer
Craftop @Dryw.Filtiarn12 februari 2026 13:31
De media meldt het volgende:
"Criminelen hadden daardoor toegang tot een bestand met klantgegevens van mogelijk 6,2 miljoen mensen, zegt een woordvoerder van Odido aan NOS."

Er staat dus niet dat het om 6.2 miljoen gaat, maar dat dit mogelijk is. Kan dus ook 1 miljoen zijn
Reageer
lenwar
@Dryw.Filtiarn12 februari 2026 13:32
Zakelijke klanten? Als iemand privé en zakelijk een odido-telefoonnummer heeft, kan het hard gaan? Mogelijk zowel mobiel als vast? (Afhankelijk van hoe zij administreren, kun je er al 3x in staan.)
Reageer
mailpigeon @Dryw.Filtiarn12 februari 2026 13:45
De NOS schreef 'mogelijk' en dat is correct hier.
Mogelijkheid is/was er dat zoveel mensen geraakt zouden en of konden worden.

Het domme is dat ze gewoon een Google search hebben gedaan op hoeveel mensen klant zijn bij Odido, en dat gewoon klakkeloos hebben overgenomen.

Maar als dat echt het geval was dan waren er ook niet zoveel mensen hier (waaronder ik) die geen mail hebben ontvangen en dus zijn het sowieso al geen 6,2 miljoen.
Reageer
ATS @cyber_rova12 februari 2026 13:46
Als je over twee dagen nog niets gekregen hebt, dan ben je waarschijnlijk niet betrokken dus.
Reageer
Kid_Stevie @Orthodroom12 februari 2026 13:19
We zullen alle klanten die betrokken zijn persoonlijk een email sturen. De afzender van deze mail is info@mail.odido.nl. Dit kan tot 48 uur duren. Klanten waar we geen emailadres van hebben zullen we een sms sturen.

Niet alle klanten zijn geraakt, we sturen dus alleen informatie aan klanten die geraakt zijn.

Heb je geen email ontvangen van info@mail.odido.nl of SMS? Check je spam folder voor de zekerheid. Zit daar ook niets in, ga er dan vanuit dat je niet bent geraakt.
https://www.odido.nl/veiligheid

Maar ook dat hadden ze wel alvast even kunnen mailen.
Reageer
e.dewaal @Orthodroom12 februari 2026 13:22
Dat lijkt me ook niet meer dan logisch. Even 6 miljoen mensen (volgens de nos) op de hoogte brengen voordat de pers er lucht van krijgt is een redelijk onmogelijke opgave.
Reageer
PCG2020 @Orthodroom12 februari 2026 13:29
Het kan tot 48 uur na uitgave van het persbericht duren voor je bericht ontvangt. Pas als je op (of eigenlijk ná) 14 februari nog geen bericht hebt ontvangen van Odido, kun je met enige zekerheid zeggen dat jouw gegevens waarschijnlijk niet betrokken zijn bij het datalek.
Reageer
RetroMan @Orthodroom12 februari 2026 13:29
Nog 47 1/2 uur wachten voordat je die conclusie kunt trekken. En hopen dat de methodiek op basis waarvan wordt vastgesteld of jouw informatie is gelekt, correct is.
Reageer
Jeldert @Orthodroom12 februari 2026 13:17
Ik heb een e-mail ontvangen om 12:45.

Tweakers is er dus snel bij.
Reageer
Dryw.Filtiarn @Orthodroom12 februari 2026 13:17
Hier inderdaad ook eerder “breaking news” berichten via de media dan dat ik persoonlijk informatie ontvang van hen 😑
Reageer
moonlander @Dryw.Filtiarn12 februari 2026 14:21
Verstuur jij maar eens miljoenen emails naar klanten. Dat duurt even voordat die batch de deur uit is. Kan echt uren duren.
Reageer
monsieurpinot @Orthodroom12 februari 2026 13:18
Ik kreeg zakelijk (op mijn werk waar we teamstelefonie afnemen) om 13:02 een e-mail. Privé (toevallig ook bij Odido) niets gekregen

[Reactie gewijzigd door monsieurpinot op 12 februari 2026 13:20]

Reageer
HuisRocker @Orthodroom12 februari 2026 13:23
Ja, dat viel mij ook al op, al was het verschil bij mij (maar) 2 minuten.
Reageer
Javaantje_75 @Orthodroom12 februari 2026 13:37
Hier ook (nog) geen bericht ontvangen.
Reageer
craymour @Orthodroom12 februari 2026 13:59
6.2 miljoen klanten ? Lijkt op iedereen.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq