Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Telecomprovider Ben is ook getroffen door de cyberaanval op Odido. Na het moederbedrijf waarschuwt nu ook Ben zijn klanten dat aanvallers klantgegevens hebben gestolen. Volgens Ben zijn er 'geen wachtwoorden, belgegevens of factuurgegevens betrokken'.

Ben meldt dat het gaat om persoonsgegevens afkomstig uit een klantcontactsysteem dat het bedrijf gebruikt. De betreffende informatie omvat volgens Ben mogelijk: de volledige naam van klanten, hun adres en woonplaats, het mobiele nummer dat zij gebruiken, het klantnummer dat zij hebben bij Ben, hun e-mailadres, hun geboortedatum en identificatiegegevens, zoals paspoort- of rijbewijsnummer en de geldigheidsduur daarvan.

Bij moederbedrijf Odido speelt hetzelfde. Aanvallers kregen toegang tot een klantcontactsysteem met daarin de gegevens van mogelijk 6,2 miljoen klanten. Ben en Odido informeren klanten nu, maar het kan enige tijd duren voordat alle klanten bericht krijgen. Tweakers heeft meldingen gehad van klanten die al bericht kregen van hun provider en van klanten die nog niet zijn geïnformeerd.

Ben benadrukt dat de aanvallers geen toegang hadden tot wachtwoorden voor 'Ik Ben', belgegevens van klanten, locatiegegevens, factuurgegevens en scans van identiteitsbewijzen.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 12-02-2026 14:39
256 • submitter: Wickex

12-02-2026 • 14:39

Submitter: Wickex

Lees meer

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026

Hackers zetten eerste batch met gestolen Odido-data online - update 2

Hackers zetten eerste batch met gestolen Odido-data online - update 2 Nieuws van 26 februari 2026

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein Nieuws van 19 februari 2026

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Reuters: Odido stelt beursgang uit na negatieve signalen

Reuters: Odido stelt beursgang uit na negatieve signalen Nieuws van 11 februari 2026

Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien

Ook datalek bij Autoriteit Persoonsgegevens, gegevens van werknemers ingezien Nieuws van 6 februari 2026

Odido verhoogt prijs van Klik&Klaar met 1 euro naar 26 euro per maand

Odido verhoogt prijs van Klik&Klaar met 1 euro naar 26 euro per maand Nieuws van 6 januari 2026

Meer producten en artikelen

Bedrijfsnieuws E-commerce Internettoegang Politiek en recht Privacy Ben Cybercrime Cybersecurity Datalek Hack Odido

IT-banen

Meer vacatures

Reacties (256)

256

255

100

12

0

142

Wijzig sortering

CaptainKansloos 12 februari 2026 15:02

Ook hier het zelfde commentaar als in de Odido thread; ik ben klant bij beide. Tenenkrommend dat op de formntpage van Ben geen enkele link naar dit lek of de info pagina staat!

Zoeken met de zoekfunctie daar levert niks op:

gehackt
hack
veiligeid
cyber
cyberaanval

Niks!

SinergyX @CaptainKansloos • 12 februari 2026 15:04

Zoek op: cyberincident
Kom je automatisch bij: Informatiepagina cyberincident | Ben

CaptainKansloos @SinergyX • 12 februari 2026 15:06

Dat is precies het punt; het feit dat het alleen met een 'precieze zoekterm' terug is te vinden is m.i. not done. Ben open, ben duidelijk (no pun intended), maak het zo makkelijk mogelijk vindbaar.

Dit is wat mij betreft een beetje "move along, there's nothing to see here".

[Reactie gewijzigd door CaptainKansloos op 12 februari 2026 15:07]

Blaz0r @CaptainKansloos • 12 februari 2026 18:14

De vraag is wat het goede woord is, en of we wel een goed woord voor hebben (zeker in het Nederlands). Als ik mijn deur niet op slot doe en er iemand binnen komt is het ook geen inbraak maar huisvredebreuk. Bij dit soort zaken komen de details eigenlijk nooit naar buiten, maar mogelijk is het dus helemaal niet "gehacked" (wat dat dan ook precies mag betekenen). Als er een database open stond zonder enige vorm van beveiliging viel er niet veel te "hacken"

Odido Ben kiest hier dus voor "Cyberincident" (nog zo een mooi woord), en zoeken op het woord cyber en cyberaanval zou zeker op deze pagina uit mogen komen.

[Reactie gewijzigd door Blaz0r op 12 februari 2026 18:25]

flaskk @CaptainKansloos • 12 februari 2026 15:31

Staat een blauwe banner bovenaan, maar valt niet echt op....

CaptainKansloos @flaskk • 12 februari 2026 15:38

In (mijn default) Firefox 147.0.3 is die niet zichtbaar (inprivate, alle cookies geaccepteerd). In Edge wel. In FF heb ik custom tracking protection aan, wellicht dat dit voor problemen zorgt.

Maar dan nog; die blauwe banner in een blauw-wit Ben kleurenschema; daar is over nagedacht natuurlijk. Die is niet 'per ongeluk' blauw. Maak hem dan oranje ofzo. Het is een gevaar; verkeersborden als waarschuwing zijn ook niet voor niks wit-rood en niet groen.

JnB007 @CaptainKansloos • 12 februari 2026 16:45

Daarom krijgen getroffen klanten ook een mail. Dan ben je toch geïnformeerd?

CaptainKansloos @JnB007 • 12 februari 2026 18:07

Bij Odido hebben ze al aangegeven dat het tot 48 uur kan duren. Ik heb van beide al een mail. Maar als je die nu nog niet hebt ontvangen, zit je er dan wel of niet bij?

Mijn punt is en blijft dat je de info 'lastiger dan noodzakelijkerwijs nodig is' kunt vinden. Dat is niet 'toevallig' zo; kleurkeuze, plaatsing en implementatie op de pagina. Daat zit een strategie achter. Die strategie laat m.i. te wensen over.

Vergeet ook nietbdat het lek al 4 dagen bestaat. Criminelen gaan niet op Odido of Ben wachten tot ze hun communicatie strategie hebben uitgedacht. Informeer al je klanten zsm en zo duidelijk mogelijk; zeker als je kijkt naar welke data precies gelekt is.

Om een beetje te chargeren; ze hadden de komende 48uur ook een waarschuwing als een soort 'cookie-banner' over de frontpage kunnen leggen. Dat hebben ze bewust niet gedaan.

[Reactie gewijzigd door CaptainKansloos op 12 februari 2026 18:16]

Datalek
Hack
Privacy

@JnB007 • 12 februari 2026 21:44

Daarom krijgen getroffen klanten ook een mail. Dan ben je toch geïnformeerd?

Moeten ze wel over een email adres beschikken. Anders krijg je een SMS bericht.
Kennelijk is dat een ander bericht dan het algemene 'oh shit jongens, we hebben het verneukt. sorry! laterzzz!!' bericht dat Odido er amateuristisch uitgeslingerd heeft in de loop van de afgelopen middag.

flaskk @CaptainKansloos • 12 februari 2026 15:47

Ja precies, het is dat overheid ze verplicht om het te communiceren, anders was het stilletjes over gewaaid.

DdeM @flaskk • 12 februari 2026 16:11

Staat inderdaad een blauwe banner, maar ik vermoed dat je die niet bedoelt https://imgur.com/a/zl51abn

CaptainKansloos @DdeM • 12 februari 2026 16:36

Nee, is een losse banner onder onder die uit je screenshot; staat boven de DubbelDikkeData advertentie, maar onder die standaard blauwe banner met witruimte eromheen. Punt is dat ie in verschillende browsers niet heel betrouwbaar werkt, afgezien van de kleurkeuze. Probeer Chrome eens.

DdeM @CaptainKansloos • 12 februari 2026 19:18

Oh geloof meteen dat die in Chrome wel werkt, is helaas een ding vandaag de dag dat chromium het nieuwe IE6 is.

Vinnie.1234 @flaskk • 12 februari 2026 16:06

Zie het niet staan op mijn mobiel in Edge en Chrome. Alleen gratis nummer behoud, betrouwbaar Odido netwerk en Gratis maandelijks aanpassen.

HijDieAllesWeet @flaskk • 12 februari 2026 16:19

is nog iets. Odido heeft helemaal niets op de homepage

jrswgtr @HijDieAllesWeet • 12 februari 2026 17:21

is nog iets. Odido heeft helemaal niets op de homepage

Op de homepagina van Odido staat wel degelijk een banner bovenaan..

HijDieAllesWeet @jrswgtr • 12 februari 2026 17:24

Ja inderdaad. Denk geblokt bij mij door de ad blocker of i don't care about cookies misschien? Maar zie niet waarom dat zo moet zijn. Ik zie die banner enkel in incognito modus (zonder add ons)

Datalek
Hack
Privacy

@HijDieAllesWeet • 12 februari 2026 21:47

Odido gebruikt Google Tag Manager. Die staat standaard op veel van de ad-blocker block lists.
Wss is het paniek geweest, heeft hun CMS oplossing geen mogelijkheid om een statusbalk toast-bericht te tonen en hebben ze snel snel via GTM een custom script oplossing uitgerold.

Politiek en recht
Bedrijfsnieuws

@CaptainKansloos • 12 februari 2026 16:18

Ben alleen klant bij odido. Net een supportmail met de hint gestuurd dat ze wel eens een identiteitsfraude verzekering mogen aanbieden of iets dergelijks. Verwacht er niets van, maar ik moedig iedereen aan om de provider een dergelijke hint te sturen.

Wij de klanten zitten met de shit hiervan.

japs.prins @CaptainKansloos • 13 februari 2026 08:29

Ga naar de site van Odido en in je adresbalk:
site cyberaanval http://www.odido.nl/?
😊

[Reactie gewijzigd door japs.prins op 13 februari 2026 08:31]

charmala4 @CaptainKansloos • 12 februari 2026 19:24

Ja, hier ook nada bericht.
Schandalig. Ondertussen doen de hackers hun gang.

Soldaatje @charmala4 • 12 februari 2026 23:46

Check ook je spam, daar was de mail van Odido bij mij.

pheijms 12 februari 2026 15:24

Ik heb zojuist Simpel gebelt en zij gaven aan dat de hack alleen Odido en Ben betrof.

WargamingPlayer @pheijms • 12 februari 2026 18:27

Daarom heeft mijn moeder een E-mail van Simpel gekregen met de zelfde informatie als Ben en Odido.

Wat ik niet snap is dat de informatie van Odido en Ben met betrekking tot gelekte gegevens niet gelijk is. Wat mij aangeeft dat er veel meer gelekt is of dat ze nog niet eens weten wat er gelekt is.

pheijms @WargamingPlayer • 13 februari 2026 16:35

Dat is wel heel raar.

Was ze vroeger niet klant bij Odido? Mijn hele familie heeft Simpel en niemand heeft een mail gehad?

Ik las dat oud klanten ook mails krijgen van Odido en Ben.

Advanced03 12 februari 2026 14:41

Heb vorige maand nog 15 euro betaald om mijn telefoon nummer aan te passen door spammers en robo callers en nu is mijn gloednieuwe nummer WEER gelekt?

Het is tijd dat dit soort gegevenslekken keihard worden afgestraft...

thetakman @Advanced03 • 12 februari 2026 14:45

Ach wees gerust, het is niet alleen je telefoonnummer maar ook:

de volledige naam van klanten, hun adres en woonplaats, het mobiele nummer dat zij gebruiken, het klantnummer dat zij hebben bij Ben, hun e-mailadres, hun geboortedatum en identificatiegegevens, zoals paspoort- of rijbewijsnummer en de geldigheidsduur daarvan.

Met een beetje geluk hebben kwaadwillende nu alles wat ze nodig hebben om een bankrekening of credit card of wat dan ook op je naam te gaan aanvragen. Of nog veel ergere dingen om iemand kapot te maken.

Rhinosaur @thetakman • 12 februari 2026 14:55

Hebben burgers in dit soort gevallen ook recht op schadevergoeding als bedrijf aantoonbaar nalatig is geweest?

PCG2020 @Rhinosaur • 12 februari 2026 15:05

Dat is een goede vraag voor @Arnoud Engelfriet !

@PCG2020 • 12 februari 2026 15:07

Die kan ik wel beantwoorden door de vraag om te draaien; hoe kan je een schadevergoeding krijgen als er geen (aantoonbare) schade is?

PCG2020 @Skit3000 • 12 februari 2026 16:07

De vraag omdraaien komt eigenlijk neer op 'hoe kun je schadevergoeding krijgen als er geen (aantoonbare) nalatigheid is?' en dat is nu juist de crux: is Odido (aantoonbaar) nalatig geweest?

Wanneer een bedrijf binnen de technische en economisch verantwoorde mogelijkheden z'n beveiliging zo goed mogelijk op orde heeft, is het -denk ik- heel lastig om nalatigheid hard te maken. Maar wanneer het bijvoorbeeld duidelijk wordt dat er al langer ergens een lek zat, dat ondanks herhaaldelijk aandringen niet gedicht werd, is nalatigheid aantonen waarschijnlijk wel mogelijk.

Het is nu een kwestie van afwachten of er klanten zijn waarvan de buitgemaakte gegevens actief misbruikt gaan worden.

edit: Op deze pagina van een advocatenkantoor staat in begrijpelijke taal beschreven wie bij een datalek waarvoor verantwoordelijk is en of je aanspraak kunt maken op schadevergoeding.

[Reactie gewijzigd door PCG2020 op 12 februari 2026 17:28]

icecreamfarmer @PCG2020 • 12 februari 2026 16:51

Dan zijn ze nog verantwoordelijk voor de gevolgschaden.

Zie het als bij een lekkage bij je bovenburen. Ook al hebben ze een onderhoudscontract en monitoren ze het zaakje goed. Wanneer er echter iets kapot gaat en jij zit met schade dan zijn de bovenburen aansprakelijk.

Nu moet bijna iedereen nieuwe ID papieren en dergelijke gaan aanvragen. Mijn paspoort is pas net nieuw.

PCG2020 @icecreamfarmer • 12 februari 2026 17:23

Ik heb even gezocht en kwam op deze pagina van een advocatenkantoor onder meer dit tegen:

Aansprakelijkheid van bedrijven en ondernemers

Bedrijven en ondernemers die als verwerkingsverantwoordelijke optreden, dragen de volledige aansprakelijkheid voor schade door datalekken. Het bestuur van de organisatie is verantwoordelijk, niet de individuele medewerkers.

Aansprakelijkheid ontstaat bij:
Slechte of ontbrekende beveiligingsmaatregelen
Onnodig lang bewaren van persoonsgegevens
Geen schriftelijke afspraken met verwerkers
Te laat melden van datalekken
Hoeveel risico je loopt, hangt af van de beveiliging die je hebt geregeld. Als je kunt aantonen dat je alles op orde had, kom je er vaak beter vanaf.

Een datalek betekent trouwens niet automatisch dat je aansprakelijk bent. Slachtoffers moeten bewijzen dat ze schade hebben door jouw nalatigheid.

Overigens heb ik wel eens gelezen dat bedrijven een schadefonds oprichten om te zorgen dat ze eventuele schadeclaims kunnen betalen, omdat het risico op een datalek nooit 100% af te dekken is.

Even verderop op diezelfde pagina staat vermeld waar mensen die schade hebben geleden door een datalek recht op kunnen hebben.

@PCG2020 • 12 februari 2026 17:14

Ik zeg ook niet dat Odido niets voor klanten zou moeten doen. Dat is dan alleen geen schadevergoeding, maar eerder een compensatie voor kosten die je moet maken om mogelijke schade voor te zijn (zoals aanvragen nieuw paspoort, bsn nummer, etc).

En ja ik weet dat je bsn voor het leven is maar dan nog zou Odido zich dan in moeten zetten voor een lobby om dat te veranderen.

PCG2020 @Skit3000 • 12 februari 2026 20:25

In mijn reactie hierboven staat een link naar een pagina van een advocatenkantoor die over schadevergoedingen en compensaties bij datalekken gaat. Op die pagina wordt het aanvragen van een nieuw ID-bewijs ook als voorbeeld genoemd.

@PCG2020 • 12 februari 2026 22:18

Dank je voor het uitzoeken. Blijft het natuurlijk wel dat het een advocatenkantoor alles aangelegen ligt om klanten zich te laten denken dat dit kantoor hun absoluut kan helpen. In de praktijk denk ik dat het ze niet vaak is gelukt om in dergelijke gevallen een schadevergoeding los te krijgen...

WargamingPlayer @PCG2020 • 12 februari 2026 18:31

De vraag is meer, waarom hebben ze bepaalde data in hun systeem staan. Het is namelijk totaal onnodig. En wat moet een ID bewijs nummer in een “Marketing database”. Dat nummer had direct al verwijderd moeten zijn. Ze zijn dus gewoon nalatig doordat ze de data opgeslagen hebben in plaats van een simpele vlag dat de persoon geïdentificeerd is.

PCG2020 @WargamingPlayer • 12 februari 2026 20:16

Ik ben het met je eens. Het zou kunnen dat er een bepaalde termijn voor staat dat die gegevens beschikbaar moeten blijven. Ik weet daar ook het fijne niet van, maar dat zou sowieso zo kort mogelijk moeten zijn.

Miglow @PCG2020 • 12 februari 2026 16:24

Ik denk een voorzichtige ja, want ze hebben fe beveiliging binnen een paar dagen dusdanig opgeschroefd dat het nu weer veilig is tot het bewezen niet zo is.

PCG2020 @Miglow • 12 februari 2026 16:37

Wanneer de aanval een tot dan toe onbekend lek gebruikte, is het alsnog lastig om nalatigheid aan te tonen. Een lek waarvan je niet weet dat het bestaat, kun je immers ook niet dichten.

Black Tern @PCG2020 • 13 februari 2026 12:13

Dit kan ook geheel anders. Kijk naar de regeling van ACM bij de energielevering:
ACM_vergoeding-stroomstoring-en-gasstoring

Hierbij maakt het niet uit hoe of wie de storing heeft veroorzaakt, wegzakkende veengrond, een overenthousiast gravende aannemer of wat dan ook.
De compensatie is een gekozen bedrag en staat niet in directe relatie met de feitelijke schade. De een komt thuis van wintersport en ziet alleen aan de bijschrijving op de rekening dat er een storing is geweest (heb ik ervaren), een ander komt thuis en ziet een bevroren CV!

Met zo'n systeem is er een mooie financiële prikkel om goed te investeren in beveiliging.

Een ander punt is: waarom zouden bedrijven niet verplicht worden om als je klant wordt aan te geven welke gegevens worden gevraagd en bewaard, en voor welke periode. Als klant kun je naar een andere leverancier gaan als jet 'onnodig veel' vindt.

PCG2020 @Black Tern • 13 februari 2026 16:19

Lees anders de pagina waar ik in mijn reactie naar linkte even, daar staat alles uitgelegd.

Black Tern @PCG2020 • 14 februari 2026 09:22

(Om welke reden dan ook kreeg ik van Tweakers een melding dat mijn certificaat ongeldig was, de tweede keer klikken op "Plaats reactie" plaatste mijn reactie op een vreemde plek)

Juist de tekst op die site onderstreept mijn punt, vermijd oeverloze, langdurige en dure juridische haarkloverij over wie aansprakelijk is waarbij de uitkomst onvoorspelbaar kan zijn en ook de eindeloze discussie met een onvoorspelbare uitkomst over de omvang van de schade.
Dat kan met een systeem zoals dat in de energiesector al 20 jaar wordt gebruikt:

gegevens gelekt ==> vast bedrag betalen

Zie ook de reactie van @Arnoud Engelfriet hieronder.

[Reactie gewijzigd door Black Tern op 14 februari 2026 09:24]

PCG2020 @Black Tern • 14 februari 2026 20:39

Ik heb de link naar die pagina om die reden juist toegevoegd.

@Skit3000 • 12 februari 2026 15:20

Immateriële schade voortkomend uit een data lek of andere overtreding, zoals een US-transfer zonder waarborgen, (bijvoorbeeld angst voor misbruik gegevens) is al eens aangenomen als grond voor schadevergoeding in Europese rechtbanken, maar moet inderdaad wel aangetoond worden en wordt niet automatisch aangenomen. Grondslag voor schadevergoeding uit schending AVG komt uit art 82 AVG.

maar, Overwegingen :

Article 82(1), read in the light of Article 8(1) of the Charter of Fundamental Rights of the European Union must be interpreted as meaning that an infringement of the provisions of that regulation is not sufficient, in itself, to constitute ‘damage’ within the meaning of Article 82(1).

"people claiming to have suffered non-material damage must convince a court that their fear is well-founded" (denk bijv. aan een 'geheim' adres)

daadwerkelijke materiele schade is natuurlijk aan te tonen, het verband met specifiek dit datalek wel lastiger.

(https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62021CJ0340, GC: T-354/22, CJEU C‑741-21, C-300/2, C-340/2, ECLI:NL:RBDHA:2023:14359, ECLI:NL:RVS:2024:2311)

[Reactie gewijzigd door StrongArmLance op 12 februari 2026 15:31]

0x0 @StrongArmLance • 12 februari 2026 17:05

Er zijn echter ook regels die stellen dat:

Er niet om meer informatie gevraagd mag worden dan strikt noodzakelijk.
Informatie niet langer bewaard mag worden dan noodzakelijk.
Er is daarbij voor bijvoorbeeld IDs ook nog eens een maximum termijn van 5 jaar.

De Telecomwet is ook behoorlijk tegenstrijdig met bijvoorbeeld de AVG.

Je hebt namelijk om een mobiele (of VoIP) aansluiting te verzorgen helemaal geen adres nodig,
Misschien om een SIM te sturen, maar daarna kan je het verwijderen.

De geboortedatum wordt gebruikt om als veiligheidsvraag te dienen. Dat is natuurlijk totale onzin.
Vraag dan om een wachtwoord of PIN. Ook dat is informatie die niet opgeslagen zou moeten zijn.

Informatie over ID (of nog erger een kopie daarvan) is bij SIM-only sowieso niet nodig.
Dat bij het afsluiten van een lening voor een nieuw toestel hier om wordt gevraagd is één ding, wanneer dat is afgerond kan de informatie worden verwijderd.

Daarbij zouden bedrijven simpelweg verplicht moeten worden om klanteninformatie die toegankelijk is via het internet te versleutelen. Klantenservice zou alleen toegang moeten hebben tot basale informatie die ontsleuteld wordt nadat de klant daar een eenmalige code voor heeft gegeven.

Het klinkt omslachtig, maar we worden iedere dag geconfronteerd met bedrijven die de boel (bewust) niet op orde hebben en dan achteraf iets doen aan het beveiligen van hun systemen.
Als klant geef jij je informatie in goed vertrouwen. Wordt dat vertrouwen geschonden dan zou er per gelekt/gestolen/weggeven data-point een behoorlijk bedrag moeten worden uitgekeerd.

Gaat een bedrijf daardoor failliet dan is dat pech. Er is vast wel een overnamekandidaat te vinden.

Het zijn altijd de consumenten die de lul zijn.

niki_lauda @0x0 • 12 februari 2026 20:17

Daarnaast zijn gegevens over bijvoorbeeld paspoort of id kaart, en bepaalde andere gegevens na een jaar echt niet meer nodig. Het adres kan na maanden al veranderd zijn

@0x0 • 12 februari 2026 21:45

Dit is geen reactie op mij denk ik?

Als oud klanten, dat wil zeggen contract einde langer dan 7 jaar gelden, hun data gelekt is, is het een grovere en directere overtreding van het noodzakelijkheidsbeginsel en waarschijnlijk van hun eigen bewaartermijnen beleid. Dat heeft alleen niets te maken met een mogelijke vordering tot schadevergoeding.

0x0 @StrongArmLance • 13 februari 2026 00:36

Denk dat ik op het verkeerde dingetje hebt geklikt

Maar het is een leuke aanvulling op wat jij zegt.

Er wordt te nonchelant met gegevens omgesprongen en er wordt nagenoeg niets gedaan om bedrijven vooraf te controleren, en als na een breach duidelijk is dat er ongeoorloofde informatie was opgeslagen of de boel niet op orde was, dan volgt er hooguit een kleine boete waar de getroffen klanten niets van terug zien.

Datalek
Hack
Privacy

@Skit3000 • 12 februari 2026 21:03

Indirecte schade valt volgens het Europees Hooggerechtshof ook onder de schade waarvoor bij een datalek onder de AVG/GDPR een schadevergoeding geeist kan worden. Daaronder valt bijv. ook psychologische schade zoals stress, slapeloosheid, algemene ongerustheid, etc.

Het is de vraag of proactieve handelingen zoals uit voorzorg een nieuw paspoort of nieuwe ID kaart aanvragen; dienstverleners voor identiteitsbescherming in de arm nemen; etc. wat allemaal voor de eigen gemoedsrust is, hier ook onder valt.

Denk dat als er een voldoende grote set gegevens van je uitgelekt is waar ook gevoelig spul in zit en niet alleen NAW en tel/mail, je toch al redelijk snel een goed verhaal bij het gerecht kunt maken waarmee je er zeg 200~500 EUR p.p. uit kunt halen.

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:04]

Arnoud Engelfriet @R4gnax • 13 februari 2026 09:53

Het probleem is aantonen dat je schade hebt. Of die nu direct of indirect is. En daarbij komt dat je er een bedrag op moet zetten, welk bedrag zet jij op "ik heb een week niet geslapen"? Je uurtarief mag niet. Eventuele medische zorg wordt door je verzekering gedekt (ook de psycholoog), zonder indicatie zelf een therapeut à 500 euro per uur inschakelen is niet redelijk dus blijft buiten de vergoeding.

Room42 @Skit3000 • 12 februari 2026 15:16

Het aanvragen van een nieuw paspoort en/of ID zijn toch wel concrete kosten. Zou niet vreemd zijn om die te kunnen verhalen op de lekkende partij.

WargamingPlayer @Room42 • 12 februari 2026 19:16

Ja, sterker nog, nieuw adres ook.

Room42 @WargamingPlayer • 12 februari 2026 19:41

Een adres is vaak al iets makkelijker te verkrijgen. Je geeft dat regelmatig weg, als je online bestelt. Maar je ID/paspoortgegevens niet.

WargamingPlayer @Room42 • 12 februari 2026 20:20

Meeste bedrijven vragen om:

Adres + geboortedatum + derde gegeven.

ocarina @Skit3000 • 12 februari 2026 15:28

Op dezelfde manier als dat je ook een boete krijgt als je nalaat je gordel om te doen bij het autorijden.

Een lek is niet altijd te voorkomen, maar als blijkt dat Odido bijvoorbeeld heeft nagelaten zijn medewerkers op de klantenservice eens in de zoveel tijd een training in het herkennen van phishing te geven, dan vind ik een schadevergoeding persoonlijk wel op zijn plaats.

jrswgtr @ocarina • 12 februari 2026 15:59

Een boete en een schadevergoeding zijn niet hetzelfde.

jannesbeterams @Skit3000 • 12 februari 2026 15:17

Dat is een lekker groot grijs gebied. De schade kan namelijk ook berokkend worden zonder dat het directe verband aangetoond is. Daarmee kom je als gegevensverwerker lekker makkelijk weg.

kameleon20 @jannesbeterams • 12 februari 2026 15:49

Dan is het toch voor de gegevensverwerker om aan te tonen dat dit niet door hun lek komt?

Miglow @kameleon20 • 12 februari 2026 16:22

Wie eist bewijst en onschuldig tot het tegendeel bewezen is toch?

Geim @Miglow • 12 februari 2026 16:35

Jij hebt zeker nog nooit een akkefietje met de belastingdienst gehad?

Miglow @Geim • 12 februari 2026 17:15

Nee, maar weet dit: Van de overheid kun je niet winnen maar wel verliezen.

0x0 @Miglow • 12 februari 2026 17:13

Je kan eenvoudig bewijzen dan jouw gegevens zijn ontvreemd.
Die gegevens zijn niet vrijwillig overhandigd en dus is de ontvanger verantwoordelijk voor het veiligstellen daarvan.

Een rechter zal uit alle macht proberen hier niet in mee te gaan.

Mijn mening, maar bij mij is de emmer al een tidje aan het overlopen.

gaskabouter @0x0 • 12 februari 2026 18:18

Maar je kunt niet bewijzen dat degene die jou gegevens misbruikt ze ook daar gestolen heeft....

0x0 @gaskabouter • 12 februari 2026 19:31

Het gaat niet om het misbruik, het gaat erom dat jij verplicht informatie moet overhandigen om van een bepaalde dienst gebruik te mogen maken.

Op dat moment ligt de verantwoordelijkheid voor de veiligstelling van die informatie bij degene aan wie jij de informatie moet verstrekken.

Er zal heus wel ergens in de kleine lettertjes staan dat ze niet verantwoordelijk zijn, en daarom zal er duidelijkere wetgeving moeten komen. Kleine lettertjes gaan niet boven de grote letter van de wet.

De mindset van bedrijven en de insteek van de wetgeving moet veranderen.

Persoonlijke informatie wordt beschouwd als een materieel iets.
Je inboedel kan je vervangen, net als al je andere rotzooi.

Je identiteit kan je (bijna) niet veranderen. Alle informatie die we als "persoonlijk" beschouwen is heilig.
De straffen op het niet goed afschermen en beschermen van die gegevens moet loeihard zijn.

gaskabouter @0x0 • 12 februari 2026 20:05

Dat is mijn punt niet. Het punt is dat je bij eventueel misbruik van gegevens wel aan moet kunnen tonen waar die gegevens vandaan komen. En dat is in de praktijk bijna onmogelijk

En uiteindelijk moeten de daders gestraft worden en niet de slachtoffers. Ga in deze cyber wapenwedloop maar eens even beoordelen wat "niet goed" beveiligen is. Iedere kwetsbaarheid kan al misbruikt worden voor hij ontdekt is en wanneer moet je een patch uitbrengen en implementeren? In een uur? Een dag? Ook als daardoor de bedrijfsvoering stil komt te liggen terwijl het misschien ook in het weekend kan?
Zeg het maar, uiteindelijk zijn deze bedrijven niet de daders...

0x0 @gaskabouter • 12 februari 2026 22:19

Wat je niet hebt kan je niet kwijtraken.

Té veel informatie verzamelen én in verkeerde databases opslaan, gecombineerd met nul encyptie, valt niet goed te praten. Ongeacht of het een configuratieprobleem is.

De slachtoffers van de diefstal zijn de klanten.
Het bedrijf is slechts slachtoffer van computervredebreuk.

gaskabouter @0x0 • 12 februari 2026 22:26

En voor alledrie die aannames heb je natuurlijk een bron? Verkeerde database? Nul encryptie? Waar haal je die wijsheid vandaan?
Ook voor bedrijven loopt de schade van dit soort problemen vaak in de tonnen

0x0 @gaskabouter • 13 februari 2026 00:13

Je kan ook zelf even lezen, en daarbij ook reacties zien op een wat ruimere schaal die betrekking heeft op andere "incidenten" als deze.

Op basis van onderzoek betreft het incident persoonsgegevens uit een klantcontactsysteem

De term "klantcontactsysteem" is enorm vaag, maar het is in ieder geval niet het enige klantcontactbestand dat zij gebruiken. Rijst de vraag waarom er meerdere bestanden nodig zijn.

De onderste drie datapoints zijn zeker niet voor nodig om met een klant in contact te komen.
Daarbij lijkt het dat Odido/Ben geen fysieke post stuurt ("Betrokken klanten ontvangen rechtstreeks een e-mail vanaf het mailadres info@mail.odido.nl of een sms...").
Dan is dus ook het adres en de woonplaats niet nodig.

Verder lijkt deze dataset ook niet aan het facturerings- en/of verplichte metadata-systeem gekoppeld te zijn ("Er zijn geen wachtwoorden, belgegevens of factuurgegevens betrokken."). Dat maakt dat deze verzameling gegevens dus feitelijk alleen met toestemming van de klant samengesteld had mogen worden, simpelweg omdat het voor de uitvoering van de geleverde diensten niet nodig is.

Aangezien er wordt gesproken over 6.2 miljoen klanten lijkt dat zo'n beetje het complete klantenbestand te omvatten. Het lijkt mij zeer onwaarschijnlijk dat al die klanten hebben ingestemd met een veredelde marketingdatabase die al deze informatie bevat.
(De laatste alinea heb ik niet nagezocht en ik heb Odido/Ben onder één noemer samengevat)

Dit is volgens de bedrijven de informatie die in het bestand stond:

Volledige naam
Adres en woonplaats
Mobiele nummer
Klantnummer
E-mailadres
IBAN (rekeningnummer)
Geboortedatum
Identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid)

Verder is het duidelijk dat er geen encryptie is toegepast. Was dat wel het geval dan had dat zeer zeker vermeld geweest door de bedrijven. Was de encryptie enigzins afdoende dan hadden de hackers (gewoon een dief dus) niet aangegeven dat ze de informatie in handen hebben omdat er niets met de versleutelde informatie gedaan kan worden.

Wat jij aannames noemt is voor anderen gewoon conclusies gebaseerd op de beschikbare informatie.

Ook voor bedrijven loopt de schade van dit soort problemen vaak in de tonnen

Dat is niet het probleem van de getroffen klanten.

Ik vind het overigens hilarisch dat klanten wordt geadviseerd om goed naar het emailadres te kijken wanneer een bericht van Odido wordt ontvangen, om phishing te vermijden**.
Want een emailadres spoofen is zooooooo moeilijk.

Als je verder nog vragen hebt dan kun je hier terecht:
https://newsroom.odido.nl/odido-informeert-klanten-over-cyberaanval/
https://www.odido.nl/veiligheid

Edit:
** Zeker nu duidelijk is geworden dat Odido, zoals verwacht, zelf slachtoffer is geworden van Phishing.

Training, training, training!
Encryptie, encryptie, encryptie!
Training, training, training!

...en vooral niet afschuiven op "buitenlandse contact centres" , zoals Odido doet.

[Reactie gewijzigd door 0x0 op 13 februari 2026 17:43]

WargamingPlayer @0x0 • 16 februari 2026 04:30

Als ze dat doen, dan is hun ISO ook niks waard.

beeldbuijs @Skit3000 • 12 februari 2026 15:23

Dat lijkt me iets te eenvoudig geredeneerd.

dabrainz @Skit3000 • 12 februari 2026 15:30

Die is er nu nog niet, maar lijkt me dat de schade snel genoeg aantoonbaar wordt als er inderdaad creditcards op je naam etc aangevraagd worden.

Politiek en recht
Bedrijfsnieuws

@Rhinosaur • 12 februari 2026 15:17

Nee dat heb je niet. Al heb je een behoorlijke schade, de advocaat van Odido zal altijd betogen dat er geen causaal verband is tussen het uitlekken van jou gegevens bij Odido en de fraudeur die jou schade heeft toegebracht via identiteitsfraude.

PCG2020 @wiseger • 12 februari 2026 17:51

Nee dat heb je niet. Al heb je een behoorlijke schade, de advocaat van Odido zal altijd betogen dat er geen causaal verband is tussen het uitlekken van jou gegevens bij Odido en de fraudeur die jou schade heeft toegebracht via identiteitsfraude.

Dat klopt niet. Odido is als verwerkingsverantwoordelijke namelijk de partij die moet zorgen dat jouw persoonlijke gegevens veilig zijn.

Een advocaat kan dus wel betogen dat er geen causaal verband is tussen het lekken van de gegevens en de identiteitsfraude, maar een lek is sowieso het gevolg van een (al dan niet onbekend) gat in de beveiliging. De advocaat kan daarom alleen betogen dat (in dit geval) Odido de gegevens zo goed mogelijk beveiligd heeft, maar nooit dat de identiteitsfraude geen gevolg is van het lekken van de gegevens.

peggman @wiseger • 12 februari 2026 21:59

En als je kan bewijzen dat er gebruik is gemaakt van gegevens waarover alleen odido beschikt? Ik gebruik een catchall voor email op mijn eigen domein waarbij elke partij een eigen email krijgt. Als er door fraudeurs nu het emailadres "odido@domeinnaam.nl wordt gebruikt, weet ik dat zij de bron zijn van de gelekte gegevens.

Politiek en recht
Bedrijfsnieuws

@peggman • 12 februari 2026 22:10

Je kan dat niet bewijzen, dat is nu net de crux. Je NAW, rekening nummer, ID nummer et cetera zijn ook zaken die je elders afgeeft. En ook elders heb je regelmatig lekken.

Uiteraard kan jij stellen dat je een uniek email adres gebruikt, maar als de tegenpartij dat betwist, hoe bewijs je dat dan dat je echt dat e-mailadres nergens anders voor gebruikt hebt?

Trouwens ook criminelen combineren gegevens verzamelingen om een profiel van hun potentiële slachtoffer op te bouwen. Dus ook daar kan een ander e-mailadres gekoppeld worden aan je gegevens.

Ik had zelf een tijdje terug nog met creditcard fraude te maken. Kaart geblokkeerd, geld teruggehad. Maar hoe ze aan mijn gegevens zijn gekomen, dat weet ICS niet. Want overal kunnen gegevens gelekt worden.

icecreamfarmer @Rhinosaur • 12 februari 2026 15:28

Ik heb dat net wel via de mail gevraagd waar ik de kosten van een nieuwe bankpas en paspoort plus andere gevolgschade kan declareren. Dit is niet een kleine lek maar bijna alle persoonlijke gegevens ook die voor identificatie bij andere diensten gebruikt worden zijn gelekt.

Spider-Gwen @icecreamfarmer • 12 februari 2026 17:54

Hou ons op de hoogte wat hun reactie daarop is!

Netsrek @Rhinosaur • 12 februari 2026 16:11

Tsja, kijk eens naar het enorme lek bij het bevolkingsonderzoek waar zelfs BSN's etc allemaal gelekt zijn. Ik denk dat je kan fluiten naar een schadevergoeding.

We zullen moeten accepteren dat je gegevens een keer of 1000 tijdens je gehele leven lekker, want potdicht is het nergens.

vinkjb @Rhinosaur • 12 februari 2026 16:23

Is dit het eerste waar je aan denkt? een financieele slag slaan, triest

icecreamfarmer @vinkjb • 12 februari 2026 16:56

Nee schade verhalen dit is niet een gebruikersnaam die uitgelekt is maar paspoort en bank gegevens.

gielie @thetakman • 12 februari 2026 15:08

Wel handig dat deze info op straat ligt, heb je straks 87 nieuwe abonnementen op jouw naam staan met bijbehorende schuld van een "gratis" iPhone.

Odido

@gielie • 12 februari 2026 15:27

Dat zal ook wel meevallen aangezien je een betaling moet doen van 1 cent om je bankrekening te verifiëren.

gielie @jongetje • 12 februari 2026 16:19

Met de gegevens die gelekt zijn kan je gewoon een bank rekening openen.

xenn99 @gielie • 12 februari 2026 16:57

Nee dat niet, voor het openen van een rekening moet je altijd een kopie van je ID geven en die zijn niet gelekt. (Ik heb die zelf ook nooit hoeven geven bij Ben, enkel een ID nummer en vervaldatum.)
Maar allerlei andere dingen kunnen natuurlijk wel op jouw naam worden aangevraagd.

Als dat op een ander adres gebeurd kraait er geen haan naar en kom je er pas jaren later achter als er een incasso bureau op wordt gezet, ik heb dat een aantal jaar geleden zelf meegemaakt, stond er ineens een deurwaarder op de stoep omdat ik zogenaamd duizenden euro's schuld zou hebben.
Uiteindelijk opgelopen tot een rechtszaak want het bedrijf geloofde mij niet.
Ik heb daar gelukkig wel gelijk gekregen en alles is kwijtgescholden, maar het heeft wel een hoop tijd en moeite gekost.

Datalek
Hack
Privacy

@xenn99 • 12 februari 2026 21:09

Een incassobureau is nog tot daaraan toe. Die kunnen niet zomaar de deur intrappen en pakken wat ze willen. Ze kunnen je wel tergen en het leven zuur maken, maar niet je huis leegruimen.

Ik ken mensen die het gehad hebben met een foutje van de gemeente. Een gemeentelijke dienst die tegen alle werkwijzen in gebruik maakte van een lokale kopie van de basisadministratie. Die hopeloos achterhaald was en waar nog gegevens van een oude bewoner in stond die het bij de overheid een beetje bont had gemaakt qua open schulden.

Dan krijg je de gerechtsdeurwaarder en politie op visite, en die mag dus wel naar binnen forceren en pakken wat 'ie kan. Als je geluk hebt ben je op dat moment thuis en kun je nog duidelijk maken dat er echt sprake is van een identiteitsverwisseling. Zo niet? Deur kapot. Huis leeg.

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:10]

Odido

@gielie • 12 februari 2026 17:30

Ik heb nooit mijn bsn aan BEN en Odido gegeven. Zou ook niet weten waarom ze die zouden moeten hebben.

Skywalker27 @thetakman • 12 februari 2026 14:52

Leuk dat je BSN op je kopie paspoort staat als je dit niet hebt afgeschermd. Gelukig geen scans lees ik terug.

[Reactie gewijzigd door Skywalker27 op 12 februari 2026 14:55]

Zandor @thetakman • 12 februari 2026 14:57

Je vergeet nog je rekeningnummer, Iban

Carlos0_0 @thetakman • 12 februari 2026 16:38

Ja precies, ach volgens Odido kan je vanavond nog gewoon veilig tv kijken.
Maar je halve identiteit ligt wel open op straat, maar je kan nog wel veilig tv kijken

.

bram-024 @thetakman • 12 februari 2026 18:34

Het gekke is in mijn e-mail van Ben staat expliciet het volgende dat wel en niet gelekt is:

Met deze gegevens kunnen ze dus een portering aanvragen en zo heb je dus direct mijn 06 in handen om overal wachtwoord vergeten te doen en te resetten…. Of ben ik nu gek?

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:

Je volledige naam
Je klantnummer
Je adres en woonplaats
Je telefoonnummer
Je e-mailadres
Je geboortedatum

Wat niet is gelekt:

Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs
Je wachtwoord van ‘Ik Ben’
Je belgegevens – gegevens over wie je hebt gebeld of wanneer
Je locatiegegevens – waar je was
Je factuurgegevens
Scans van identiteitsbewijzen

Datalek
Hack
Privacy

@bram-024 • 12 februari 2026 21:13

Met je NAW en contactgevens zouden ze theoretisch idd middels social engineering aan de haal kunnen gaan met bijv. je 06 nummer door deze over te laten schrijven. Of een nieuwe SIM aan te vragen en op te laten sturen naar ... "oh; ja, nee-- ik was recent verhuisd. Mijn nieuwe adres is XYZ..."

Hopelijk zijn Ben en Odido (eigenlijk dus gewoon: Odido. Ben is niet meer dan een alternatief label; een onder-merk) wel zo wijs om dit soort overzetverzoeken niet meer toe te laten zonder verificatie in persoon bij een winkelfiliaal. Maar ergens vermoed ik van niet.
Het zal vooral downplayen en daarna business-as-usual worden ...

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:16]

bytemaster460 @thetakman • 12 februari 2026 22:42

Tegenwoordig moet je je altijd identificeren. Enkel gegevens opsturen is al jaren niet meer voldoende.

PCG2020 @Advanced03 • 12 februari 2026 15:16

Simpel: je zegt je abonnement op wegens geschaad vertrouwen. Als klant kun je op die manier een bedrijf economisch "straffen".

Djordjo @PCG2020 • 12 februari 2026 17:40

Klinkt leuk, maar dat is geen grond voor directe ontbinding van een contract.

Datalek
Hack
Privacy

@Djordjo • 12 februari 2026 21:25

Grove wanprestatie kan weldegelijk een reden zijn om een contract eenzijdig op te zeggen, vziw.
Het probleem is dat bedrijven die gepakt worden met een data-lek, meestal niet al te loslippig zijn over precies wat voor een bende hun intern beveiligsbeleid was, dus zie het maar eens te bewijzen. Het interne reilen en zeilen komt vaak alleen naar buiten als er onder dwang van gerecht of overheid externe audits uitgevoerd moeten worden. Zie bijv. Clinical Diagnostics en Bevolkingsonderzoek Nederland.

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:25]

bytemaster460 @R4gnax • 12 februari 2026 22:40

Dan moet je wel eerst de reden van dit lek weten om te bepalen of het een grove wanprestatie is. Als dit het resultaat is van een onbekende kwetsbaarheid of een individuele medewerker die onopzettelijk een fout heeft gemaakt zal een rechter niet snel oordelen dat het een grove wanprestatie is.

Datalek
Hack
Privacy

@bytemaster460 • 12 februari 2026 22:41

Klopt. Dat schreef ik dus ook: boven krijgen of dat het geval is, is moeilijk. Meestal komt dat niet uit omdat men de lippen op elkaar weet te houden en alles intern afhandelt.

n0elite @FicoF • 12 februari 2026 14:54

Ben je nou serieus? Phishing, scam, reclame, 2fa stealers. Allemaal reële gevaren. Helemaal icm met de andere gelekte data

[Reactie gewijzigd door n0elite op 12 februari 2026 14:55]

xxs @Advanced03 • 12 februari 2026 14:55

Doe eens een voorstel hoe dit bedrijven gestaft moeten worden en mail onze nieuwe staatssecretaris.

Datalek
Hack
Privacy

@xxs • 12 februari 2026 21:19

Permanente aansprakelijkheid voor enige vorm van identiteitsdiefstal.
Dat moet gewoon een vorm van maandelijkse afdracht zijn samen met alle andere firma's die ooit een data lek gehad hebben, wat een gezamenlijke pot ingaat. En daaruit worden voor alle burgers die ooit getroffen zijn door een data-lek waar hun gegevens in zouden kunnen zitten, voorzien van extra diensten voor identiteitsbescherming, extra verzekeringen, en onmiddelijke bijstand en ontzorging zodra er stront aan de knikker komt.

Zeg maar een soort van omgekeerde van de thuiskopie-heffing, waar alle burgers defacto geld in een pot moeten stoppen om bedrijven schadeloos te stellen als er iemand een keer een stukje muziek of video downloadt. Met het verschil dat het hier niet een eenmalige toeslag is, maar - omdat die gegevens in principe tot aan je dood toe misbruikt kunnen worden - een jaren- en jaren-lang terugkerende tax.

Moet je eens zien hoe snel beveiliging op orde gemaakt kan worden als men ineens een terugkerende kostenpost van een paar miljoen elk financieel kwartaal moet gaan verantwoorden aan aandeelhouders ...

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:22]

Wailing_Banshee 12 februari 2026 14:43

Ik snap niet dat er zo de nadruk op gelegd dat er geen factuurgegevens zijn gestolen. Ik zou het erger vinden dat mijn identificatie gestolen is dan dat mijn factuurgegevens gestolen zouden zijn.... Met alleen een bankrekening nummer kun je niet zo heel veel, met een identificatie wel. Zeker in combinatie met NAW gegevens.

Skear @Wailing_Banshee • 12 februari 2026 14:58

Ja precies. Odido meldt bijna trots dat de operationele kant niet is geraakt, terwijl dat voor de consument veel makkelijker op te lossen zou zijn.

Liever mijn telefoonnummer, wachtwoord dan mijn adres, documentnummer etc.

thetakman @Skear • 12 februari 2026 15:19

Zit liever een dag zonder TV en glasvezel dan dat mijn zooi op straat ligt.

Gadgeteer @Skear • 12 februari 2026 15:53

Met jouw telefoonnummer en wachtwoord kunnen ze toch je adresgegevens uit de app halen? Wat is het verschil?

Neurosis @Gadgeteer • 12 februari 2026 15:55

Wachtwoord heb je vrij eenvoudig gewijzigd. Verhuizen of je telefoonnummer wijzigen doe je niet zomaar.

@Gadgeteer • 12 februari 2026 22:36

Een wachtwoord staat natuurlijk nooit plain opgeslagen

Gadgeteer @jcbvm • 13 februari 2026 11:12

Ik reageerde op de reactie van Skear. Ik gaf niet aan dat ze een ww plain opslaan.

Inmiddels overigens ook hier de mail ontvangen.

Morrowind3 @Wailing_Banshee • 12 februari 2026 14:56

Ik vind het ook zo grappig dat je melden dat je "Locatiegegevens" niet gelekt zijn (Zie mededeling van moederbedrijf Odildo). De criminelen weten precies waar je huis woont maar geen zorgen, ze weten niet met welke 5G mast je verbonden bent

Skear @Morrowind3 • 12 februari 2026 15:39

Ja, precies en dit ook.

Waarom melden we dit?

We willen altijd transparant en eerlijk zijn naar onze klanten, en we willen je informeren zodat je alert kunt zijn op eventuele ongebruikelijke activiteiten. Daarnaast willen we benadrukken dat jouw veiligheid onze hoogste prioriteit heeft. Door dit incident kan niemand jouw mobiele locatiegegevens of je privécontacten inzien.

Ze hebben gewoon meldplicht... pffft, transparantie.

aikebah @Skear • 12 februari 2026 22:17

Zo lang de voordeligheid van het abonnementstarief afhankelijk is van hoe kort je klant bent (inflatiecorrectie alleen op lopende abonnementen, niet op het tarief voor een kersvers nieuw abonnement van gelijke strekking) weet je dat "eerlijk" een woord is waar ze de betekenis niet van kennen. Transparant zijn ze dan weer wel, want "inflatiecompensatie" is een zeer transparante leugen waar iedereen zo doorheen kijkt.

thetakman @Wailing_Banshee • 12 februari 2026 14:46

Is meer dat ze iets moeten roepen wat volgens een vertegerwoordiger "gelukkig niet gestolen is"

Beetje als een auto kopen die na 2 dagen een kapot motorblok heeft, waarop de garage zegt.. Maar geluidsinstallatie werkt gelukkig nog wel!

beeldbuijs @Wailing_Banshee • 12 februari 2026 15:20

Factuurgegevens worden regelmatig ingezet ter verificatie. Dus je belt naar je provider om je abonnement aan te laten passen en dan vraagt de klantenservicemedewerker eerst wat het laatstbetaalde bedrag is en de laatste cijfers van je bankerekeningnummer.

Zeker nu allerlei andere gegevens zijn uitgelekt, is dit interessant om te weten, want een hackert weet dit volgens Ben dus niet. Dus je IBAN / oude facturen zijn nog te gebruiken als verificatie.

icecreamfarmer @Wailing_Banshee • 12 februari 2026 15:33

Mijn idee.

steye @Wailing_Banshee • 12 februari 2026 16:00

Als factuurgegevens gestolen zijn, dan kan er nog makkelijker gevist worden naar: factuur met nummer xxx en bedrag y is niet voldaan. Maak nu alsnog het bedrag over naar [malafide rekening].

GranCanaria 12 februari 2026 14:48

Wanneer mag de consument een rechtzaak aanspannen tegen een bedrijf als Odido om het feit dat zijn gegevens gestolen zijn.

Odidio meldt dit en moet waarschijnlijk wat onderzoek doen etc maar de consument is uiteindelijk de dupe omdat die nu risico loopt op allerlei hacks en dingen die ze met alle gegevens kunnen doen.

iam2noob4u @GranCanaria • 12 februari 2026 15:04

Wat geeft je het idee dat een consument geen rechtszaak aan mag spannen? De vraag is of het kostentechnisch interessant is. Wat dat betreft zou je kunnen kijken naar een collectieve vordering. Daar zou ik overigens best aan mee willen doen.

Warri @iam2noob4u • 12 februari 2026 15:29

Een collectieve vordering heeft geen enkel kans van slagen als je niet kan bewijzen dat je schade hebt geleden.
Al wordt je in de toekomst slachtoffer van phishingaanvallen, dan nog moet je kunnen aantonen dat het komt door deze hack.

Dit is Nederland niet de VS

Datalek
Hack
Privacy

@Warri • 12 februari 2026 21:37

Een collectieve vordering heeft geen enkel kans van slagen als je niet kan bewijzen dat je schade hebt geleden.

Je hebt altijd schade geleden. Want volgens het Europees Hooggerechtshof valt ook indirecte schade onder verhaalbare schade bij een datalek onder de AVG/GDPR. Waaronder psychische schade zoals stress, slapeloosheid, algemeen gevoel van onrust en aantasting van de persoonlijke sfeer welk het leefgenot ontneemt, elk beetje extra aandacht dat je moet schenken aan een binnenkomend tekstberichtje of mailtje om zeker te weten dat het geen phish is, etc.
In dat laatste geval kost het je zelfs een aantoonbaar iets. Namelijk: tijd. En dat is zelfs kwantificeerbaar en is een waarde aan te koppelen. Zeg à gemiddeld uurloon voor alles wat je tijdens werkuren lastig valt; en à uurloon met overurentoeslag in de vrije avonden en weekenden.

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:41]

bytemaster460 @R4gnax • 12 februari 2026 22:47

Dt is allemaal niet of nauwelijks te bewijzen als een gevolg van een specifiek datalek. Het is leuk dat het in die wet staat maar in de praktijk nauwelijks toepasbaar als het gaat om datalekken.

Datalek
Hack
Privacy

@bytemaster460 • 12 februari 2026 22:49

"Sinds mijn gegevens bij XYZ gelekt zijn zit ik elke dag in de zenuwen of er ergens misbruik van gemaakt wordt. Ik slaap slecht. Mijn werkprestaties leiden er onder. Ik merk dat ik elke keer schrik als ik van een onbekend adres een e-mail krijg." etc. etc.

Voilà, bewijs. Als jij niet binnen datzelfde tijdsbestek melding gehad hebt dat jouw gegevens binnen meerdere data lekken hebben gezeten waar je op die manier psychische lasten van kunt zijn gaan ondervinden, is het klinkklaar bij wie de oorzaak ligt.

[Reactie gewijzigd door R4gnax op 12 februari 2026 22:50]

bytemaster460 @R4gnax • 12 februari 2026 23:19

Dat is geen bewijs. Dat is een bewering waarvan de rechter nog moet vaststellen of die waar is en als die waar is moet nog vastgesteld worden dat het inderdaad met het datalek te maken heeft of dat jij die indruk hebt dat het daarmee te maken heeft. Kun je één zaak noemen waarbij dit ooit succesvol was!

Datalek
Hack
Privacy

@bytemaster460 • 12 februari 2026 23:24

https://www.gld.nl/nieuws...-schadevergoeding-betalen

Dat betrof medische gegevens - een andere categorie bijzonder persoonsgegeven.
Daar werd 300 EUR toegekend vanwege de vertrouwensbreuk en de aanhoudende onzekerheid om verder nog gegevens te willen delen met anderen, zoals hulpverleners.

[Reactie gewijzigd door R4gnax op 12 februari 2026 23:25]

bytemaster460 @R4gnax • 13 februari 2026 08:08

Je zegt het zelf al. Dat is heel wat anders dan persoonsgegevens waar het hier om ging.

Datalek
Hack
Privacy

@bytemaster460 • 13 februari 2026 19:16

Vooruit dan:

https://infocuria.curia.e...=first&part=1&cid=3394677

Een arrest van het Europees Hooggerechtshof zelf.
Lees vooral even paragraaf 84, lid 2 en 3 waar de eindconclusie is dat de definitie van AVG artikel 82.1 inzake geleden immateriële schade, is dat hier ook alle vormen van vrees of ergernis onder vallen, en dat de mate van daadwerkelijke schuld van de verwerkingsverantwoordelijke buiten beschouwing dient te worden gelaten in het vaststellen van de verschuldigde schadevergoeding.

bytemaster460 @R4gnax • 14 februari 2026 17:45

Jij doet nu alsof ik heb ontkend dat je die schade kan claimen. Dat heb ik nergens gezegd Ik heb alleen gezegd dat het heel lastig is om dat te bewijzen en vroeg jou om voorbeelden van zaken waarin de rechter dat bewezen achtte. Die zaken heb ik nog steeds niet gezien.

vdr01 @GranCanaria • 12 februari 2026 15:00

Als enkele consument is dit bijna niet te doen. Maar een class action lawsuit lijkt mij goed geschikt hiervoor. Dwz 1 of een paar advocaten spannen een lawsuit aan namens alle deelnemende klanten. Dat kost in beginsel niets voor de klant maar als de rechter besluit tot schadevergoeding wordt deze uitgekeerd minus een percentage dat naar de advocaten gaat. Als de rechter besluit dat Odido niets te verwijten valt en er daardoor ook geen schadevergoeding op zijn plaats is krijgen zowel advocaten als klanten helemaal niets.
Bovenstaande laat onverlet dat je altijd zelf een zaak kunt aanspannen al kan dat een kostbare
aangelegenheid worden.

[Reactie gewijzigd door vdr01 op 12 februari 2026 15:05]

Warri @GranCanaria • 12 februari 2026 14:59

dat mag altijd, de kosten zullen alleen niet opwegen tegen de baten.

STIMPPYYY 12 februari 2026 15:14

Benieuwd of ex-klanten ook slachtoffer zijn. Tijd lang klant geweest bij Odido, maar nu sinds een half jaar niet meer. Nog geen mail ontvangen...

Bubblewrap80 @STIMPPYYY • 12 februari 2026 22:40

Ik ben sinds een aantal maanden geen klant meer bij Ben, maar kreeg vandaag wel een mail dat er gegevens gelekt zijn.

Yersios1812 @STIMPPYYY • 13 februari 2026 14:15

Helaas wel, ben ex-klant en had mn account destijds verwijderd, Vanochtend mail gekregen met deze info:

“Je ontvangt deze e-mail omdat we je uit voorzorg willen waarschuwen voor mogelijke risico’s als gevolg van een cyberaanval bij Odido, die ook jou als oud-klant raakt. Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging van het contract en overstap naar een andere aanbieder jouw contactgegevens. Omdat jij minder dan 2 jaar geleden overgestapt bent, stonden jouw gegevens nog in het systeem en daarom heb je email ontvangen.“

Drum 12 februari 2026 16:25

Met alle lekken welke plaats hebben gevonden zal ondertussen de kans dat je gegevens op straat liggen groter zijn dan de kans dat ze niet op straat liggen. De persoonsgegevens op zichzelf kunnen dus niet meer als geheim beschouwd worden, en daarmee (naar mijn mening) ook niet als verificatiemiddel gebruikt worden door instanties/bedrijven.
Er ligt dus een opgave voor de overheden/bedrijven om hun processen aan te passen aan de nieuwe realiteit.

MrAngry @Drum • 12 februari 2026 16:32

Daar staan we nu dus als samenleving. Als je iets aan een bedrijf doorgeeft dan moet je het gelijk als gelekt beschouwen.

Drum @MrAngry • 12 februari 2026 16:42

Zeker, en een verificatie-systeem gebaseerd op breed gelekte gegevens kan je ondertussen als nalatig gaan beschouwen.

Datalek
Hack
Privacy

@MrAngry • 12 februari 2026 21:58

De reden dat ik bij contactgegevens altijd zo min mogelijk op geef.
Nee- als een bestelling vertraagd is, of om wat voor reden dan ook niet geleverd kan worden, dan maakt me dat echt niet uit. Dat realiseer ik me op een gegeven moment echt zelf ook wel - en neem ik zelf wel contact op met de winkel via de online account; of ik loop gewoon even binnen als er een lokale vestiging is.

Hulleman @Drum • 12 februari 2026 16:29

Wat zie je dan voor je? Alleen nog verificatie middels biometrie?

MrAngry @Hulleman • 12 februari 2026 16:39

Ze zullen met iets moeten gaan verifieren dat jij alleen kan weten. Dus we sturen je een sms met een code, of we maken een bedrag van 1 cent over op je rekening wat is de omschrijving, zoiets. Al het andere is gelekt dus, adrs, nummer, geboortedatum etc allemaal waardeloos.

[Reactie gewijzigd door MrAngry op 12 februari 2026 16:39]

Drum @Hulleman • 12 februari 2026 16:38

Ik zou zeggen: Tom poes verzin een list

. Het zal ongetwijfeld mogelijk zijn om centraal digitaal systeem op te tuigen ter identificatie waar vervolgens bedrijven/webshops een digitaal verzoek naartoe sturen om de ID te verifiëren bij een bestelling/contract.

Mijn punt is vooral dat je niet meer uit kunt gaan van identificatie op basis van "onbekende" persoonsgegevens (geboorteplaats, geboortedatum, etc.) als van een groot deel van de bevolking deze gegevens op straat liggen.

Hoi1966 12 februari 2026 14:42

Ongelooflijk, moeten ze toch iets op verzinnen, waarom al de gegevens bewaren al die tijd. Kan me voorstellen dat ze iets nodig hebben bij het afsluiten van een dienst, maar daarna kan het 1 en ander verwijderd worden lijkt me.

Elorad @Hoi1966 • 12 februari 2026 14:45

Precies, waarom moet tot in de eeuwigheid mijn paspoort/rijbewijs nummer bewaard worden? Doe verificatie, zet een boolean geverifieerd op true en flikker de zooi weg.

Naw gegevens snap ik, maar als die ID data is nergens voor nodig. Levert alleen maar meer risico op.

gorgi_19 @Elorad • 12 februari 2026 15:08

Op de vraag waarom ze deze gegevens moeten bewaren, is het antwoord: dat moeten ze voor de wet doen, en dat mogen ze ook van de wet doen.

Zie bijvoorbeeld deze vraag:

Vraagt u een abonnement voor een mobiele telefoon aan? Dan mag de telecomaanbieder een kopie maken van uw identiteitsbewijs, zoals uw paspoort of identiteitskaart. Hierbij moeten in ieder geval uw burgerservicenummer (BSN) en uw pasfoto zijn afgeschermd.

Een (afgeschermde) kopie van het identiteitsbewijs is bedoeld om achteraf te kunnen bewijzen wie het telefoonabonnement heeft afgesloten en om identiteitsfraude tegen te gaan.

De reden waarom ze dit doen, is (in eerdere beantwoording van kamervragen), als volgt:

quote: https://zoek.officielebek...l/ah-tk-20132014-294.html
De kopie van dat document kan dan als (potentieel) bewijsstuk dienen in de daarop volgende juridische procedure. Voor telecombedrijven is daarom van belang om ook na het aangaan van de overeenkomst aan te kunnen tonen met welk document de identificatie heeft plaatsgevonden.

De vraag ligt dus niet alleen bij bedrijven: “Waarom bewaar je al mijn gegevens?”, maar ook bij de wetgever: “Welke bewijspositie verplichten we bedrijven om in stand te houden?”

Als we vinden dat ID-kopieën niet structureel of langdurig bewaard moeten worden, dan moet ook duidelijk worden vastgelegd hoe lang bedrijven die bewijspositie moeten kunnen onderbouwen bij betwisting van een contract.

[Reactie gewijzigd door gorgi_19 op 12 februari 2026 15:13]

FricoRico @gorgi_19 • 12 februari 2026 15:15

De nadruk hoort dan wel te liggen op 'afgeschermde'. Dat is hier dus duidelijk niet het geval geweest. Je kan ook stellen dat de eerste of laatste cijfers van je documentnummer en geldigheid ook voldoende is.

Daarnaast staat is alles dus vrij beschikbaar binnen 1 systeem, zonder verdere encryptie. Als laatste is het gewoon ongekend dat het systeem geen beveiligingen heeft die inschakelen zodra er 6,2 miljoen records worden opgevraagd/geexporteerd. Het gaat niet om een kleine hoeveelheid data, en ook niet om een klein bedrijf.

Dit is naar mijn mening gewoon zeer ernstige nalatigheid van de provider.

beeldbuijs @FricoRico • 12 februari 2026 15:28

Inderdaad, dit kan blijkbaar veel te makkelijk. Maar de scans van identiteitsbewijzen zijn bij Ben niet uitgelekt. Dus het lijkt er op dat die beter beveiligd zijn, apart bewaard worden of zo. Ik heb ook nog nooit meegemaakt dat ze om het rijbewijs/paspoortnummer vroegen.

Elorad @FricoRico • 12 februari 2026 18:04

Precies dat, als je belt vanaf een onbekend nummer en ze vragen om je id nummer, dan is het niet zo heel ingewikkeld dat degene die jij aan de lijn hebt, intoetst wat jij zegt, dit wordt door een encryptie mechanisme heengehaald en vergeleken met de opgeslagen geëncrypte string en als het matcht, krijg je een ok terug. Als dan de gegevens worden gejat en je hebt de decryptie sleutel niet, kan je er niks mee. Of stel ik het allemaal wat te simplistisch voor?

Datalek
Hack
Privacy

@Elorad • 12 februari 2026 21:30

Nee. Dat is inderdaad hoe je dit zou kunnen gebruiken. In dat geval geef je feitelijk de medewerker gewoon een surrogaat-wachtwoord. Dat zal alleen in de praktijk niet zijn hoe e.e.a. ingericht en ingezet wordt.

[Reactie gewijzigd door R4gnax op 12 februari 2026 21:30]

aikebah @R4gnax • 12 februari 2026 22:27

Dan nog zou je het niet moeten encrypten, maar enkel "secure hashen" zodat hooguit met veel rekenwerk "kandidaat-documentnummers" te reverse-engineeren zijn met uiteraard voor ieder record een eigen random salt in de hash.

Datalek
Hack
Privacy

@aikebah • 12 februari 2026 22:29

Wat @Elorad beschrijft is ook een oneway-hash en hash-verificatie. Niet het vergelijken van decrypted data.

aikebah @R4gnax • 12 februari 2026 22:31

Nee, die heeft het over een door een "encryptie mechanisme" heen halen encryptie is altijd een omkeerbare versleuteling.

Datalek
Hack
Privacy

@aikebah • 12 februari 2026 22:33

dit wordt door een encryptie mechanisme heengehaald en vergeleken met de opgeslagen geëncrypte string

Hier wordt bedoeld het hashen van de plain text telefonisch opgegeven waardes om deze daarna met de gehaste opgeslagen waardes in het CRM systeem te vergelijken. Alleen de verkeerde terminologie is gebruikt. Maar de intentie is duidelijk.

aikebah @R4gnax • 12 februari 2026 22:35

Mischien wel, misschien niet...

Datalek
Hack
Privacy

@gorgi_19 • 12 februari 2026 21:29

Voor telecombedrijven is daarom van belang om ook na het aangaan van de overeenkomst aan te kunnen tonen met welk document de identificatie heeft plaatsgevonden.

Daarvoor heb je niet een kopie identiteitsbewijs nodig. Zelfs met het gebruik van een geredacteerde kopie geeft je dat al veel meer gegevens dan je nodig hebt. Dat aantonen gebeurt in de regel op basis van de combinatie documentnummer en uitgifte- en/of vervaldatum. Hotels gebruiken dat systeem ook. (Ook wettelijk opgelegd.)

beerse @Elorad • 12 februari 2026 15:03

Als je naar de klantenservice belt vanaf een 'onbekend' nummer omdat je eigen nummer het niet doet. Dan hebben ze een paar gegevens nodig om te controleren dat jij het bent. In de regel zijn dat zaken die anderen niet zo snel van jou hebben maar zij wel omdat ze het toch al moeten controleren.

Nu maar hopen dat mijn gegevens in dat bestand niet vooraan staan en meteen gebruikt worden om misbruik van te maken...

AnonymousGerbil

@Hoi1966 • 12 februari 2026 15:20

waarom al de gegevens bewaren al die tijd.

Gelukkig hebben ze al die gegevens. Hoe zouden ze anders al die klanten kunnen waarschuwen dat die gegevens gestolen zijn?

Hoi1966 @AnonymousGerbil • 12 februari 2026 16:05

Kan ook met een sms of zo, maar al die overige gegevens bewaren is onzin, echt onzin

Datalek
Hack
Privacy

@Hoi1966 • 12 februari 2026 21:31

Doen ze ook met een SMS als ze geen andere contactgegevens zoals e-mail hebben.

Hoi1966 @R4gnax • 13 februari 2026 12:09

En als men niet veel gegevens bewaard had dan had men ook niet veel kunnen hacken

12 februari 2026 14:47

Why the f&ck zijn deze gegevens niet encrypted?

smiba @410Gone • 12 februari 2026 15:01

Tja als het decryptable is, dan is het ook te hacken natuurlijk.

Als het systeem de data kan decrypten is het zo simpel als gewoon de key uit dat systeem halen en het zelf doen

Bas_f @smiba • 12 februari 2026 15:20

Ja, maar die key kan op meerdere verschillende plekken in meerdere delen zijn opgeslagen, waardoor de hacker toegang moet hebben tot al die onderdelen. In het verleden heb ik software gemaakt voor de tandheelkunde en een van de beveiligingsmethodes was het opslaan van klantgegevens op die manier. De wat oudere collega's vonden het maar onhandig, omdat wij nu zelf de gegevens niet meer konden inzien en dus onze klanten niet konden helpen met het inzien en/of aanpassen van patientgegevens.

En in het geval van Odido is het simpel: U wou goedkoop? U krijgt goedkoop.

Verwijderd @Bas_f • 12 februari 2026 15:54

Netjes, zo zie ik het graag. Net zoals alle ontsleutelings codes beneden de webroot /www/ of /html/ plaatsen. Als een adminpaneel dan gehacked is, kunnen ze niet bij de sleutels. Maar ja, als ze root op de server hebben dan heb je wel grotere problemen, dan is alles verloren.

Datalek
Hack
Privacy

@Bas_f • 12 februari 2026 21:33

In het verleden heb ik software gemaakt voor de tandheelkunde en een van de beveiligingsmethodes was het opslaan van klantgegevens op die manier. De wat oudere collega's vonden het maar onhandig, omdat wij nu zelf de gegevens niet meer konden inzien en dus onze klanten niet konden helpen met het inzien en/of aanpassen van patientgegevens.

Row-level encryption met key-escrow, inderdaad.
Heb collega's die ook aan de backend integratie met software bedoeld voor het afhandelen van medische gegevens gewerkt hebben, en dat soort techniek is daar - eigenlijk - gewoon standaard. Als je het niet doet, ben je een prutser.

steye @410Gone • 12 februari 2026 16:05

Omdat het klantcontactsysteem wel toegang moet hebben tot deze gegevens. Als jij belt, wil je snel geholpen worden en dan is het handig als zij de gegevens kunnen inzien. Alhoewel het mooi zou zijn als ze daar bij wijs van spreken een wachtwoord moeten invoeren wat gelijk staat aan jouw postcode oid, dat is dan meteen een tweezijdige veiligheidscheck

12 februari 2026 14:47

Uit de email:

Onderzoek tot nu toe laat zien dat de gelekte informatie mogelijk het volgende bevat:
Je volledige naam
Je klantnummer
Je adres en woonplaats
Je telefoonnummer
Je e-mailadres
Je geboortedatum
Identificatiegegevens: nummer en geldigheid van je paspoort of rijbewijs

Gelukkig niet mijn belgegevens

Zandor @Jochem • 12 februari 2026 14:59

Ook je rekeningnummer Iban......

Om te kunnen reageren moet je ingelogd zijn