'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

Odido heeft de eigen bewaartermijn voor persoonsgegevens overschreden, meldt het Financieel Dagblad. De provider, die eerder deze maand door een datalek werd getroffen, zegt gegevens van klanten niet langer dan twee jaar na het einde van hun contract te bewaren.

Klanten die vijf of tien jaar geleden zijn overgestapt naar een andere provider, hebben bericht gekregen dat hun gegevens zijn buitgemaakt, meldt de NOS op basis van het Financieel Dagblad. Odido werd vorige week getroffen door een datalek. Daarbij werden in totaal de gegevens van 6,2 miljoen mensen buitgemaakt. Ook klanten van Ben zijn getroffen door het lek.

Odido schrijft in zijn privacyverklaring dat het gegevens tot maximaal twee jaar na het einde van het contract bewaart, volgens het bedrijf voor het geval dat mensen weer klant willen worden. Factuurgegevens bewaart de provider maximaal zeven jaar na het einde van het contract, omdat dit verplicht zou zijn voor de Belastingdienst.

Odido zegt tegenover het FD dat het bedrijf meer tijd nodig heeft om uit te zoeken waarom klantgegevens langer dan twee jaar worden bewaard. De hackers, die binnenkwamen door 2fa-codes te socialengineeren, hebben naar verluidt naam- en adresgegevens, paspoort- en bankrekeningnummers in handen gekregen.

Odido stock (bron: oliver de la haye/Getty Images) — Bron: Oliver de la Haye/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 17-02-2026 10:09
283 • submitter: Basje93

17-02-2026 • 10:09

Submitter: Basje93

Lees meer

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden

Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update

Odido meldt na tip dat aanvallers toegang hadden tot nog meer gegevens - update Nieuws van 25 februari 2026

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026

Oplichtwebsite over Odido-datalek is niet meer bereikbaar

Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek

Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein

RTL Group meldt hack van intranet, maar impact voor RTL Nederland lijkt klein Nieuws van 19 februari 2026

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Bedrijfsnieuws Privacy internet providers Odido privacy schending Provider

IT-banen

Meer vacatures

Reacties (283)

283

280

110

9

0

143

Wijzig sortering

_Bailey_ 17 februari 2026 10:14

in het Odido waarschuwt voor datalek (cyberaanval/hack) topic ook tevens melding van meerdere mensen vanochtend waar geprobeerd wordt in te loggen op het Odido account.
Ontvangst van eens sms verificatiecode.

Volgens mij zijn dan ook, in tegenstelling tot eerdere berichten vanuit Odido, wél de accountgegevens ook binnen gehengeld bij de hack van 7 en 8 feb.

[Reactie gewijzigd door _Bailey_ op 17 februari 2026 10:15]

PCG2020 @_Bailey_ • 17 februari 2026 10:37

Hebben die gebruikers de mail of de sms van Odido ontvangen dat hun gegevens gelekt zijn, of juist niet?

Want in het eerste geval (gegevens gelekt, mail/sms gekregen) kunnen ze inlogpogingen op hun Odido-account verwachten en moeten ze stappen ondernemen, zoals het wijzigen van hun (gelekte) wachtwoord.

In het tweede geval (gegevens gelekt, géén mail/sms gekregen) is het natuurlijk een stuk kwalijker. Dan heeft Odido nagelaten om hun binnen 48 uur in te lichten over het lek, zoals Odido toegezegd heeft.

edit: Blijkbaar zijn er geen wachtwoorden gelekt bij de hack.

[Reactie gewijzigd door PCG2020 op 17 februari 2026 12:57]

_Bailey_ @PCG2020 • 17 februari 2026 10:55

ik weet het niet van iedereen in dat topic. Maar ik zelf heb 2 afzonderlijke mails ontvangen eerder deze week van Odido over de gegevens van mij die gelekt zijn.

Daar stond specifiek in dat niet mijn Odido accountgegevens gelekt waren; dat blijkt nu in de praktijk dus wel zo te zijn, aangezien ik dus net pogingen zie tot toegang van mijn Odido account

dabrainz @_Bailey_ • 17 februari 2026 11:31

Gebruik je niet toevallig hetzelfde wachtwoord als dat je ergens anders gebruikt en/of wat al eens is buitgemaakt bij een eerder lek waardoor ze nu kunne crossreferencen?

_Bailey_ @dabrainz • 17 februari 2026 11:31

Nee dat heb ik direct geverifieerd.

twkr18526 @_Bailey_ • 17 februari 2026 12:12

Ik zat juist bij T-Mobile (nu Odido) en zit in een loop.

Mailtje gekregen over datalek
Via https://www.odido.nl/privacy gegevens proberen op te vragen en te laten verwijderen.
IBAN en bedrag laatste factuur nodig
Lukt niet, PDF factuur werd niet opgestuurd, moet je inloggen
Inloggen lukt wel na password reset, maar facturen inzien kan niet meer - want… geen nummer meer gekoppeld aan Odido account
Koppelen van mijn nummer aan Odido account lukt ook niet (om facturen te zien)
Invullen laatste rekeningnummer kan ik helaas ook niet (de banken die ik gebruik tonen alleen laatste 2 jaar in de app). Zal dus een bestelling bij de bank moeten doen om oudere gegevens te mogen downloaden.

Jammer dat Odido wél mijn gegegens kan lekken, maar dat ik het zelf niet kan inzien. Het wordt zo moeilijk gemaakt en ze wekken de schijn dat ze mijn gegevens hadden gewist na al die jaren… dus niet?

Hans1990 @twkr18526 • 17 februari 2026 12:45

In mijn ervaring is het hele administratie & klantenportaal van Odido is zo in elkaar gebeund als maar kan. Zeer regelmatig problemen gehad met het opvragen of gewoon netjes kunnen voldoen van facturen, ook als normaal actieve klant (voor mobiel).

Toen ik eind vorig jaar had opgezegd stuurden ze nog een laatste factuur net na de kerstdagen. Vervaldatum stond nog voor oud&nieuw, en iDeal betaling via de website kon niet meer (dus met de klassieke overboeking maar gedaan). Het is toevallig dat ik even ter eigen administratieve controle keek; want een herinnering, mail, o.i.d. had ik ook niet gekregen.
En ze zijn heel gierig met snel facturen verhogen.

Je snapt wel, er is een reden dat ik er geen klant meer ben. Mijn internet abonnement heb ik na 2 maanden er al uitgeschopt omdat ze het contract wat ik heb ondertekend "kwijt waren" (dat contract was ook niet terug te vinden op hun site, je weet dus niet welke overeenkomst je hebt). Gelukkig bewaar ik die PDFs wel, maar dat moet je dan wel even herinneren voordat je de krabbel zet.

Het verschil tussen de contracten was een welkomstkorting a 6x40 euro per maand. En of ik eerst even geld kon overmaken en het dan laten crediteren? (Hun systeem kon dat niet wegstrepen). Nee bedankt, incasso stop gezet, overstap geregeld, en bij alle telefoontjes (en meerdere verhogingen) vriendelijk doch dringend benadrukt dat het bedrag (netto) is overgemaakt. Zodoende is het van mij kant klaar.
Uiteindelijk na veel moeite bij de klachtenafdeling dit verhaal duidelijk weten te krijgen. Maar dat heeft helaas wel 3 a 4 telefoontjes gekost. Zelf er om bellen deed ik niet meer, ik praat nog liever tegen de vissen in mijn aquarium.

Ik geloof echt geen enkel publielijk woord meer van Odido, alles is voor PR en imagoschade redden. Losvertaald: er valt weinig te "onderzoeken": ik denk dat ze bewust oude gegevens niet weg gooien, en ze zoeken een goed excuus om er tussen uit te komen. Ik heb dit -helaas- bij meer partijen gezien die ook niet voldoen aan GPDR verzoeken (bevestigend reageren, maar je kan niet controleren of je verzoek is uitgevoerd, vervolgens 3 maanden later weer een nieuwsbrief o.i.d. ontvangen).

Als over 2 jaar men dit allemaal weer vergeten is, verwacht ik dat mijn gegevens nog lang rondzwerven in hun systeem. Bah.

[Reactie gewijzigd door Hans1990 op 17 februari 2026 12:50]

thefal @twkr18526 • 17 februari 2026 14:08

Nog mooier: ik ben nooit lid geweest van Odido. Ik ben al jaaaaren weg bij T-Mobile. Ik heb ook al lang geleden mijn account daar verwijderd. Toch zijn mijn gegevens blijkbaar gelekt.

Om mijn gegevens nu op te vragen of te laten verwijderen moet ik nu eerst een account aanmaken en dan opzoeken wat jaren geleden mijn laatste T-Mobile afschrift was? Belachelijk.

elsinga @thefal • 17 februari 2026 14:54

Hier idem. Ik kreeg de mail over mijn gelekte gegevens op een mailadres dat ik (alleen) bij Tele2 gebruikte en dat echt jaaaaaaren (>10) geleden. Dus dat ze mijn gegevens nog bewaarden was volslagen tegen elke bewaartermijn in.

EmilioC @thefal • 17 februari 2026 16:54

Exact hetzelfde ervaren hier (2021 is mijn contract met Tele2 gestopt). Vind dat Odido hier toch best een flinke straf mag krijgen, want dit druist in tegen elke redelijke bewaartermijn zoals gesteld door AP.

don spike @thefal • 17 februari 2026 20:07

Ik ben ooit ook klant geweest in de Orange en later T-Mobile periode. Op dit e-mail adres heb ik ook een mail gehad op mijn hele oude email adres. Echt heel bijzonder.
Ben ook klant geweest tot van 2021 tot 2024, daarvan ook een mail gehad (ander e-mail adres).

[Reactie gewijzigd door don spike op 17 februari 2026 20:09]

familyman @twkr18526 • 25 februari 2026 18:57

Je kan beter die hackers contacteren. Die hebben vaak wel een functionerende helpdesk.

Odido is gewoon een waardeloze rukclub

PCG2020 @_Bailey_ • 17 februari 2026 11:12

Ben je misschien overgegaan naar Odido vanuit één van de voorgangers, zoals Tele2 of T-Mobile? Want Odido bestaat natuurlijk pas sinds 2023. Ik kan me voorstellen dat bij de overgang naar Odido jouw account toen is aangepast, want jouw gegevens hadden ze al.

Eventuele oude gegevens, die door de hack nu zijn gelekt, hadden inmiddels natuurlijk wel gewist moeten zijn. Het zal mij niets verwonderen wanneer je met wat puzzelen uit de oude klantgegevens zo de nieuwe kunt afleiden.

_Bailey_ @PCG2020 • 17 februari 2026 11:31

Nee, altijd bij Ziggo en Vodafone gezeten. Nu sinds dik een jaar alles bij Odido

PCG2020 @_Bailey_ • 17 februari 2026 12:52

Kak, balen zeg

TinusH777 @_Bailey_ • 17 februari 2026 13:31

Nooit een ander abonnement gehad bij Tele2, Mobiel, T-Mobile Nederland, Tweak, Ben of Simpel?

Buurtjes60 @TinusH777 • 17 februari 2026 16:33

Simpel is niet bij de hack betrokken. Ik heb hierover geen bericht gehad over de hack.

viffer @_Bailey_ • 18 februari 2026 12:47

Heb je Vodafone Thuis (of hoe heette het vast internet product van Vodafone voor de samenvoeging van Vodafone en Ziggo) gehad? Dat is destijds nl. overgenomen door T-Mobile, en nu dus Odido

Aldy @_Bailey_ • 17 februari 2026 15:18

Dat is precies wat afgelopen week ook geschreven werd hier: Wat als er meer gelekt is dan door Odido toegegeven? Sommige Tweakers vielen over deze reactie, maar moeten we Odido geloven op hun mooie blauwe ogen? Ik denk dat je heel proactief moet zijn in alle mailtjes die je krijgt, want het is best mogelijk dat er aanzienlijk meer is buitgemaakt dan wat ze nu schrijven en dan denk ik aan bankgegevens en ID.

Odido

@_Bailey_ • 17 februari 2026 13:44

Het feit dat je 2FA SMS krijgt (dat overigens vrij eenvoudig te onderscheppen is voor een aanvaller, middels bijv. SS7) houdt niet in dat men jouw wachtwoord weet. Zelfs wanneer men jouw versleutelde wachtwoord weet, houdt nog niet in dat men ook het wachtwoord kan kraken.

William_H @Jerie • 17 februari 2026 18:08

dat overigens vrij eenvoudig te onderscheppen is voor een aanvaller, middels bijv. SS7

Nou, zo simpel is dat nou ook weer niet. Maar het kan wel inderdaad. Maar het vraagt wel degelijk wat huiswerk.

Privacy

@Jerie • 17 februari 2026 20:27

Het feit dat je 2FA SMS krijgt (dat overigens vrij eenvoudig te onderscheppen is voor een aanvaller, middels bijv. SS7) houdt niet in dat men jouw wachtwoord weet.

De 2FA prompt en het versturen van de SMS met de code die je in moet gaan voeren, krijg je pas wanneer de primaire credentials - dwz gebruikersnaam en wachtwoord - al succesvol geaccepteerd zijn.

Als jij dat SMSje ineens binnen krijgt rollen, dan weet men het wachtwoord dus wel.
Per definitie.

[Reactie gewijzigd door R4gnax op 17 februari 2026 20:28]

Odido

@R4gnax • 17 februari 2026 23:34

De 2FA prompt en het versturen van de SMS met de code die je in moet gaan voeren, krijg je pas wanneer de primaire credentials - dwz gebruikersnaam en wachtwoord - al succesvol geaccepteerd zijn.

Dat lijkt een gegeven, maar dat weet je niet zeker. Ik heb bij mijn IDM juist ingesteld dat ik eerst de MFA wil authen. Hierdoor kan men geen username enumeration of password bruteforce uitvoeren want hij vraagt altijd eerst auth via MFA en het is geen networked MFA met push maar een FIDO2 met als backup methode TOTP. Daarna komt pas de auth met password.

MFA middels SMS is hoe dan ook fail. Het is kwetsbaar voor MITM en spoofing. SMS worden nagenoeg plaintext in de ether verstuurd. Via SS7 kan men spoofen op ieder nummer dat men wil, die methodes zijn al jaren bekend (en het is dus niet meer moeilijk, er zijn zat voorbeelden van 'VIPs' die op deze wijze getarget zijn). Ook het spoofen van die nummers lijkt een gegeven.

Maar even iets anders. Hoe denkt men zeker te weten dat de aanvallers niet (nog) in een van de systemen zitten? Een bedrijf dat zo arrogant communiceert zoals Odido dat doet, zou ik niet van op aan zijn.

Privacy

@Jerie • 18 februari 2026 00:23

Maar even iets anders. Hoe denkt men zeker te weten dat de aanvallers niet (nog) in een van de systemen zitten? Een bedrijf dat zo arrogant communiceert zoals Odido dat doet, zou ik niet van op aan zijn.

Eerlijk? Die gedachte was bij mij ook al opgekomen. Zou ook nog kunnen verklaren hoe nu pas ineens er golven van poging om in te breken op accounts resulteren in 2FA prompts. Ware het niet voor het feit, dat dat in zo'n geval wss. niet eens nodig zou zijn, omdat als het nodig is een account met voldoende privileges wss. er toch wel bij kan.

Dus ik geef het 50/50 dat dat is wat er speelt.

[Reactie gewijzigd door R4gnax op 18 februari 2026 00:25]

Odido

@R4gnax • 18 februari 2026 02:35

Heeft Odido eigenlijk een SOC? Of gebruiken ze een externe? Of...?

B Tender @PCG2020 • 17 februari 2026 11:32

Hebben die gebruikers de mail of de sms van Odido ontvangen dat hun gegevens gelekt zijn, of juist niet? Want in het eerste geval (gegevens gelekt, mail/sms gekregen) kunnen ze inlogpogingen op hun Odido-account verwachten en moeten ze stappen ondernemen, zoals het wijzigen van hun (gelekte) wachtwoord.

Anderzijds is en was Odido (gevoelsmatig bijna trots, wat vrij misplaatst is in mijn ogen) aan het benadrukken dat wachtwoorden niet gelekt zijn. Lees: geen aanleiding om je wachtwoord te wijzigen.

Er zijn geruchten dat toch ook wachtwoorden van klanten zijn gelekt. Klopt dat?

Nee, dit is onjuist. We willen benadrukken dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. De wachtwoorden die klanten gebruiken om in te loggen zijn versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido is veilig.
Informatiepagina cyberincident | Odido

ep667 @B Tender • 17 februari 2026 11:43

[...]

Anderzijds is en was Odido (gevoelsmatig bijna trots, wat vrij misplaatst is in mijn ogen) aan het benadrukken dat wachtwoorden niet gelekt zijn. Lees: geen aanleiding om je wachtwoord te wijzigen.

De hele communicatie is nogal arrogant (en terecht, want wie maakt ze iets?) en dit past daar wel bij.

Inmiddels zelf ook een SMS'je gehad, terwijl mijn mailadres blah+odido@domein.tld en wachtwoord uniek waren. Had dat wachtwoord natuurlijk zelf direct aan moeten passen, maar beter laat dan niet.

oef! @ep667 • 17 februari 2026 13:27

De communicatie was inderdaad arrogant, "kan ieder bedrijf overkomen" en geen excuses. Erg opvallend was dat ze nergens specifiek aangaven of BSN gegevens wel of niet gelekt waren maar het vaag leken te houden.

ep667 @oef! • 17 februari 2026 17:04

Dit is wat mij het meeste steekt. Mensen praten over schadevergoedingen, contracten ontbinden en weet ik het. Ik snap dat heel goed, ik weet alleen dat ik nul op het rekest ga krijgen want ik zie de blaffende communicatie van Odido.

Die zijn goed door zo'n Amerikaans PR-bedrijf geïnstrueerd om nul verantwoordelijkheid te nemen, zo min mogelijk uit te leggen en niet te coulant te zijn. Anders opent het misschien deuren.

@_Bailey_ • 17 februari 2026 10:23

Volgens mij zijn dan ook, in tegenstelling tot eerdere berichten vanuit Odido, wél de accountgegevens ook binnen gehengeld bij de hack van 7 en 8 feb.

Dan zou je denken dat de gegevens inmiddels online zijn gezet of verkocht, want als de aanvallers al bij Odido in de systemen zijn geweest hadden ze wat er dan nu ook per account wordt gedaan, waarschijnlijk ook direct op dat moment kunnen doen?

Slaut @Skit3000 • 17 februari 2026 10:52

Het kan zijn dat ze aan het testen zijn of de accountgegevens werken, voordat ze de hele bundel gegevens verkopen.

Odido

@Slaut • 17 februari 2026 13:49

Waarschijnlijk staat de bundel al te koop op darknet, en hebben ze al verkocht via cryptocurrency.

Raymond Deen @Slaut • 17 februari 2026 18:59

Als ik hier in de commentaren zie bij hoeveel mensen het al is geprobeerd dan denk ik niet dat het een testrun is, maar gewoon al the real deal.

HakanX @Skit3000 • 17 februari 2026 15:31

[...]

Dan zou je denken dat de gegevens inmiddels online zijn gezet of verkocht, want als de aanvallers al bij Odido in de systemen zijn geweest hadden ze wat er dan nu ook per account wordt gedaan, waarschijnlijk ook direct op dat moment kunnen doen?

Ze hebben klantgegevens gescraped, als ik het goed begrijp waren ze niet in het live systeem om zulke dingen te doen. Wat ze kunnen doen als ze kunnen inloggen nu is bv adreswijzigingen en telefoonbestellingen plaatsen en laten leveren bij mules. Belgeschiedenis van belangrijke personen kan ook waardevol zijn. Bij Odido kon je volgens mij ook online esim activeren. Dan kan je dat weer gebruiken voor 2fa om elders in te loggen, zoals bij de bank. Het rekeningnummer hebben ze al. Gevestigde Nederlandse banken hebben wel een cooldown periode na een simwissel, naar zullen genoeg zijn zonder.

In ieder geval veel misbruik opties als ze kunnen inloggen. Ze hadden allang alle wachtwoorden moeten resetten, maar dat is een beetje schuld bekennen he.

Rogers @_Bailey_ • 17 februari 2026 11:38

Bij mij sinds gister ook inlog pogingen op mijn gelekte hotmail adres, krijg passwordless authenticatie popups.
Plus mijn spambox loopt vol en kreeg een phishing sms.

Lijkt mij geen toeval.

[Reactie gewijzigd door Rogers op 17 februari 2026 12:47]

TWeaKLeGeND @Rogers • 17 februari 2026 12:33

Hier al een maand dagelijks, bij vrienden ook. (Ruim voor de data diefstal dus)

nietorigineel @_Bailey_ • 17 februari 2026 10:48

Kan natuurlijk ook zijn dat deze mensen een wachtwoord herbruikt hebben dat in een ander/eerder lek al bekend is geworden.

Privacy

@nietorigineel • 17 februari 2026 20:31

Dat is niet het geval. Zie bijv. ep667 in ''Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom''

wimkaay @_Bailey_ • 17 februari 2026 11:31

Een kwartier geleden gebeurde dit tevens bij mij (godzijdank tweestapsverificatie ingeschakeld). Het gaat heel goed mis bij Odido. Redelijkerwijs begrijp ik dat een hack altijd kan plaatsvinden, hoe veilig een systeem ook is. Dat het echter misging door vermeende phising-mails, is in mijn ogen een enorme flater en iets is wat ten alle tijden te voorkomen zou moeten zijn. Ik begrijp dat de medewerkers van Odido nog steeds menselijk zijn, maar de gevolgen door (in mijn ogen) grove fouten zijn enorm. Ik denk dan ook dat massaclaims een kans van slagen hebben.

Knul @_Bailey_ • 17 februari 2026 11:45

Het kan ook goed zijn dat de mailadressen bij een eerdere hack betrokken waren, waar wel wachtwoorden waren gelekt. Bij hergebruik van een wachtwoord kan dit dan gebruikt worden om in te loggen.

Geluk bij een ongeluk: 2FA wordt in ieder geval afgedwongen...

Raymond Deen @Knul • 17 februari 2026 19:02

Je account bij Odido is niet eens het belangrijkste… Dat zijn die zeer privacygevoelige andere gegevens waarvan ze denk ik best nog weleens succesvol gebruik van zullen kunnen maken.

JBuijs91 @_Bailey_ • 17 februari 2026 11:49

Het lijkt me dat ze dan wachtwoorden gebruiken uit andere datalekken.

Het is in ieder geval wel handig om het ww te veranderen als je eentje hergebruikt hebt.

Overigens is het ook aan te raden om de 2FA op authenticatie app te zetten ipv sms aangezien dat in theorie te omzeilen is zoals te zien in deze video van Veritasium.

William_H @JBuijs91 • 17 februari 2026 18:13

Overigens is het ook aan te raden om de 2FA op authenticatie app te zetten ipv sms aangezien dat in theorie te omzeilen is zoals te zien in deze video van Veritasium.

Ben er al weg, maar had 2FA via een authenticator app lopen, dus krijg geen smsjes. Veel succes met inbreken, gaat ze niet lukken.

Overigens ken ik die video over het sms en belsysteem (SS7). Maar dan moeten de boefjes nog best wat huiswerk doen voordat ze dat kunnen.

ccnl @_Bailey_ • 17 februari 2026 12:03

Waarschijnlijk staat nu 2FA (SMS) standaard aan bij mensen met bij Odido bekende telefoonnummer. Mijn 2FA staat in authenticator app, om naar SMS te veranderen, moet ik met mijn ID naar een winkel komen.

no_way_today @_Bailey_ • 17 februari 2026 11:01

Hier inmiddels het ww gewijzigd evenals het e-mailadres.

_Bailey_ @no_way_today • 17 februari 2026 11:32

Ja hier nu hetzelfde gedaan.

phoenix2149 @_Bailey_ • 17 februari 2026 17:12

Ik heb dus DIRECT mijn email veranderd van mijn account toen het bericht uit kwam.

17 februari 2026 10:20

Sterker nog in het privacybeileid van Odido staat dat ze bepaalde persoonsgegevens niet kunnen verwijderen:

Gegevens laten verwijderen.
We kunnen niet alle persoonsgegevens verwijderen:

Heb je een abonnement bij Odido? Dan gebruiken we je persoonsgegevens om te zorgen dat je onze diensten kan gebruiken. Als je contract nog niet is afgelopen, kunnen we dus niet al je persoonsgegevens verwijderen.
Sommige gegevens heeft Odido nodig om het bedrijf te laten draaien of omdat er in de wet staat dat het moet. Zo moeten we facturen 7 jaar bewaren voor de Belastingdienst.

Heb je geen Odido abonnement meer en wil je zoveel mogelijk gegevens laten verwijderen? Kan met het Aanvraagformulier verwijdering persoonsgegevens. Kies het formulier dat bij je abonnement hoort en vul ‘m in:

https://www.odido.nl/privacy

Dus hoe zich dit verhoudt met hun bewaartermijn?

mad-dog @Chocoball • 17 februari 2026 10:24

Fiscale gegevens zijn ze verplicht om 7 jaar te bewaren, daar gaat het hier ook niet om. Andere gegevens zoals ID-gegevens is max 2 jaar nadat alle verplichtingen naar elkaar zijn beeindigd

Claude @mad-dog • 17 februari 2026 11:01

Stel je eens voor, dat de NAW-gegevens op de factuur in de facturendatabase gelinkt zijn aan de database van persoonsgegevens. Dan moet je ook die laatste database 7 jaar in de lucht houden.

Magic @Claude • 17 februari 2026 11:28

Dat zou een hele slechte implementatie zijn, want stel je adres wijzigt, dan wil je niet dat die met terugwerkende kracht op je facturen wordt toegepast.

mad-dog @Claude • 17 februari 2026 11:09

Kans is aanwezig. Dan vraag me ik alleen al waar ze die zogenaamde security officers vandaan hebben gehaald. Naar eigen zeggen staat veiligheid altijd voorop, maar als het 1 database betreft dan is dat niet met elkaar te rijmen

DdeM @Claude • 17 februari 2026 13:36

Ik moet de eerste nog tegen komen do Le die zaken daadwerkelijk netjes gescheiden heeft. De twee varianten die ik tot nu toe gezien heb zijn:

Alle gegevens in 1 database, met een beetje geluk per domein apart schema, maar dat is zeldzaam.
Alle gegevens netjes per domein in aparte database, maar, onder de noemer van DRY, referenties naar andere databases voor relationele gegevens.

1 Is de meest voorkomende, en vaak zonder apart schema.

Triblade_8472 @Claude • 17 februari 2026 23:11

Dan clean je toch alleen de velden die je wil schonen? Dan maak je er een null waarde van. En de velden die je wel moet bewaren, behoud je.

computer1_up @mad-dog • 17 februari 2026 10:31

Nou, het is dus de vraag welke specifieke gegevens dan te lang bewaard zouden zijn. Als bijvoorbeeld ID-kopieën en dergelijke wel netjes na 2 jaar verwijderd zouden worden, dan zouden voor een ex-klant van ze die 5 jaar geleden is overgestapt dus wel fiscale gegevens zijn gelekt maar mogelijk geen andere zaken. Dát bepaalde gegevens die ouder zijn worden bewaard en uitgelekt zijn, geeft nog geen heldere indicatie of dat (ten onrechte) ook álle gegevens zijn. Als dat wel zo is, dan is dat natuurlijk ontzettend kwalijk.

[Reactie gewijzigd door computer1_up op 17 februari 2026 10:34]

SirQuack @computer1_up • 17 februari 2026 12:16

Odido heeft hun zooi gewoon niet op orde (niet echt een verrassing, gezien dat ook de reden is dat ik mijn contract heb opgezegd bij ze). In mijn geval ben ik geen klant meer sinds afgelopen voorjaar, maar hebben ze ook mijn ID-kaart laten lekken.

In hun eigen voorwaarde staat dat dat helemaal niet hoort te kunnen:

Als we om een kopie van je identiteitsbewijs hebben gevraagd toen je klant werd verwijderen we die zodra je geen klant meer van ons bent. Tenzij je je rekeningen niet hebt betaald, dan hebben we de kopie mogelijk nog nodig bij geschillen. -- Privacybeleid Odido, pagina 21

Ik heb dan ook melding gemaakt van het schenden van hun eigen privacybeleid en daarmee ook de AVG, bij de Autoriteit Persoonsgegevens. Hopelijk rolt er een torenhoge boete uit.

William_H @SirQuack • 17 februari 2026 18:17

Ze hebben niet de kopieën ID gelekt, maar wel het unieke documentnummer (wat iets anders is dan je BSN) en vervaldatum

Gelukkig bij afgelopen jaar vervallen en niet meer opnieuw hoeven identificeren, dus mijn nieuwe ID gegevens hebben ze niet (zit ook niet meer bij ze).

Triblade_8472 @William_H • 17 februari 2026 23:17

Dat vraag ik je ondertussen af. De communicatie over wat wel- en niet gelekt is lijkt soms te veranderen...

En wat @SirQuack aangeeft, hun privacybeleid geeft toch écht aan dat er wél kopieën gemaakt worden én bewaard kunnen worden in sommige gevallen.

Ik quote nog een ander mooi stukje eruit (pagina 5)

In sommige gevallen hebben we een kopie of scan van- of het documentnummer van je legitimatiebewijs nodig. Als we een kopie maken, worden je pasfoto en BSN afgeschermd.

Dus als ze uit een ander veld je BSN wél hebben, dan kunnen ze die dus combineren en dan kunnen ze een compleet ID bewijs reconstrueren (met een valse foto?)....

Laat staan als dadelijk blijkt dat ze ""per ongeluk"" niks of te weinig hebben verwijderd. Laat staan backups waar je niks uit kán verwijderen.

William_H @Triblade_8472 • 18 februari 2026 03:51

Dat de communicatie lijkt te veranderen heeft te maken met de verschillende abonnementen. Daardoor lijkt het alsof de zaken die gelekt zijn, veranderen, maar dat is niet zo. Odido is slechts specifiek duidelijk welke gegevens er in hun database stonden voor dat abonnement. Heb je een mobiel abonnement, dan word er ook melding gemaakt van het lekken van documentnr van je ID (dus NIET BSN, die verwerken zij niet). Heb/Had je alleen een internetabonnement, dan worden die gegevens niet verwerkt/bewaard, en zijn die dus ook niet gelekt.

Er staat dus niet in een ander veld je BSN, want die mogen zij niet verwerken en hebben ze ook niet. Bij het maken van het kopie ID legt de software een zwart vlak over de foto en BSN zoals de app Kopie ID dat doet. Die data is dus nooit verwerkt. Documentnr en vervaldatum is niet herleidbaar tot een persoon, dus mag gewoon volgens AVG, in tegenstelling tot het BSN. Voorbeeld, ik heb nu een ander ID, dus kunnen ze helemaal niks meer met die gegevens. Hadden ze ook mijn BSN, dan was dat vervelender omdat de overheid daar een bepaald gewicht aan hangt (en helaas verwacht dat je die geheim houdt terwijl je hem te pas en te onpas moet delen met instanties), namelijk altijd herleidbaar terug naar mij.

De kopieën ID werden niet in de klantdatabase (ERP?) bewaard, dus zijn ook niet uitgelekt, als ze al nog bewaard zijn (als ze slim zijn niet).

[Reactie gewijzigd door William_H op 18 februari 2026 03:53]

!mark @mad-dog • 17 februari 2026 11:06

Zelfs 2 jaar vind ik eigenlijk nog veel te lang voor zaken als IDs, tenzij dat door de overheid verplicht is natuurlijk, ik heb geen juridische achtergrond maar volgens mij is dit volledig de keuze van Odido om het zolang onnodig vast te houden.

Ik ben zelf ~1.5 jaar geleden qua mobiel-abbonement vertrokken bij Odido en baal er dus behoorlijk van dat er zoveel van mijn gegevens nu op straat liggen, alles behalve facturen etc. had wat mij betreft echt allang weg gekund van de servers van Odido.

TWeaKLeGeND @!mark • 17 februari 2026 12:36

Is niet verplicht en de juiste bewaartermijn is 0 seconden na je zaken met het bedrijf zijn afgewikkeld. Dat geeft odido ook aan als zijnde hun policy.

Niemand_Anders @mad-dog • 17 februari 2026 11:36

Het enige dat je hoeft te bewaren is de uitgeprinte factuur en die staat zeer waarschijnlijk al lang in je boekhoudsysteem (Exact, Twinfield, etc).

Er is geen enkele reden om die gegevens 7 jaar in je ERP systeem te bewaren.

dataworm @Niemand_Anders • 17 februari 2026 14:46

Er is geen enkele reden om die gegevens 7 jaar in je ERP systeem te bewaren.

Als je het al doet, dan gewoon offline archiveren.

Niemand_Anders @dataworm • 18 februari 2026 11:19

Klopt, je hebt het inderdaad alleen nog om ze te kunnen tonen aan de inspecteur van de belastingdienst want die kan tot 7 jaar terug gaan met zijn controle.

phoenix2149 @mad-dog • 17 februari 2026 17:20

Maar Welke ID gegevens. Als je eenmaal hebt vastgesteld dat ik A ben met mijn paspoort, dan heb je mijn paspoort gegevens niet meer nodig. Enkel een "ja gecontrolleerd".

En stel dat dit niet zo is en je moet het wettelijk bewaren, dan zorgdraag je er als bedrijf voor dat je dit versleuteld zodat niet jan en alleman er bij kan als ze je netwerk binnen komen.

Ik heb al meerdere keren geopperd dat er standaard versleuteling moet zitten op persoonsgegevens van een persoon waar de persoon zelf (ik zei de gek) toestemming kan geven als er inzage gedaan gedaan wordt.Soort 3FA --> User account medewerker --> 2FA medewerker --> 3FA persoon van wie de gegevens zijn en dan pas ontsleuteld om te controleren of je controle wel klopt bij een audit. Voor de rest heb je die gegevens namelijk niet nodig want de controle heb je bij afsluiten (t-0) gedaan waarna de gegevens enkel onderhevig zijn aan bewaar plicht.

jdjeasy @mad-dog • 17 februari 2026 17:57

Het lijkt mij ook goed dat dit eens herzien wordt, niet max 2 jaar nadat alle verplichtingen zijn beeindigt maar direct. Fiscale gegevens hoeven niet gekoppeld te zijn aan persoonsgegevens, wel? En kan dat anders?

Odido

@mad-dog • 17 februari 2026 23:39

Klopt, maar dat zet je dan op cold storage, niet op live. Er is geen reden dat een medewerker van de helpdesk daar bij hoeft te kunnen, en ook geen reden dat een medewerker 1 klant per minuut in hoeft te zien. Dus daar zet je rate limiting en logging op. Je zet ook logging op BN'er accounts, en knikkert medewerkers die daar ongeoorloofd naar kijken eruit.

Buffalo @Chocoball • 17 februari 2026 11:08

Die tweede bullet is ook lekker vaag. ‘Sommige gegevens nodig’ om het bedrijf te laten draaien. Welke gegevens hebben ze van mij als oud klant dan nodig om hun werk te kunnen doen?

Memori @Chocoball • 17 februari 2026 11:40

Zo moeten we facturen 7 jaar bewaren voor de Belastingdienst.

Maar dat hoeft niet digitaal of via een database dat 24/7 via het internet toegankelijk is. Volgens mij heeft het AVG (Het DPA iig wel, waar AVG op gebaseerd is) daar ook iets over te zeggen.

zonglew00 @Chocoball • 17 februari 2026 15:01

De laatste punt vergeten mensen vaak, ondernemers moeten 7 jaar hun facturen e.d bewaren dat betekent inclusief je gegevens ( naam adres bankrekeningnummer etc) maar niet je ID. Je kan wel eisen op basis van privacy maar belastingdienst steekt een stokje ervoor.

Ik bewaar dit soort ongein in een grote verhuisdoos met een papier FISCUS, dan weet iedereen afblijven. Digitaal? Noway, liever paar bomen kappen dan een digitale inbraak. En als termijn voorbij is in de fik steken.

William_H @zonglew00 • 17 februari 2026 18:20

En dan brand de locatie af waar jij die doos hebt staan of jat iemand die doos, en dan ben je alsnog keihard de sjaak (ook bij de fiscus).
Waarom niet gewoon een off-site beveiligde backup?

bovengemiddeld 17 februari 2026 10:16

Ik snap eigenlijk niet waarom grote bedrijven niet gewoon jaarlijks door een externe partij moeten worden geaudit op hun databeheer, een partij die volledige toegang tot alle relevante data krijgt, erover vragen kan stellen, bijzonderheden kan aankaarten en eventueel kan doorverwijzen naar regelgevende instanties als problemen niet worden opgelost.

MeNTaL_TO @bovengemiddeld • 17 februari 2026 10:22

Je bedoelt zoieta als ISO27001?
https://assets.odido.nl/x...n-tot-10-januari-2018.pdf

Het beheren en beveiligen van waardevolle gegevens is bij T-Mobile Thuis gebaseerd op de internationaal erkende beveiligingsnorm ISO 27001.

https://assets.odido.nl/x..._csrreport2023_nl_def.pdf

24 jun 2024 — We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO. 27001-certificering. Zo kunnen we mensen die diensten van Odido ...

Dan nog blijven de medewerkers de zwakke plek.

[Reactie gewijzigd door MeNTaL_TO op 17 februari 2026 10:24]

Houtenklaas @MeNTaL_TO • 17 februari 2026 11:13

Je bedoelt zoieta als ISO27001?

Dan nog blijven de medewerkers de zwakke plek.

We weten met zijn allen dat medewerkers de zwakke schakels zijn, het zijn immers mensen. Maar dan neem je dus maatregelen door dit soort klantgegevens op een afgeschermd stuk netwerk te zetten. Door oude data inderdaad te verwijderen, desnoods op cold storage. Belastinggegevens moet je inderdaad langer bewaren, maar niemand zegt dat dat "online" moet. Je neemt maatregelen dat één medewerker die - zeg - 12 klanten per uur kan helpen ook bij niet meer dan 20 klantgegevens per uur kan.

Kortom, maatregelen dat het fysiek heel veel lastiger wordt om in bulk data te downloaden. En ja, dat kost geld om dit af te dwingen en blijvend in stand te houden. Ik kwam in mijn zoektocht naar wat provider uitspoken deze tegen, dat ziet er wel transparant uit: https://github.com/KPN-CISO/kpn-security-policy

rud @Houtenklaas • 17 februari 2026 11:51

Kortom, maatregelen dat het fysiek heel veel lastiger wordt om in bulk data te downloaden.

Dat, er zijn tegenwoordig genoeg systemen die in de gaten houden of er geen vreemde dingen gebeuren en geautomatiseerd ingrijpen. Het in bulk downloaden van meer dan 6 miljoen klantgegevens is zonder meer opvallend, alleen al door de hoeveelheid data.

Daarnaast vraag ik me af waarom gewone medewerkers vanaf buiten de organisatie toegang hebben tot deze gegevens. En zelfs al zijn het thuiswerkers dan zou in dat geval de automatische bewaking nog scherper moeten zijn.

Odido laat het achterste van de tong angstvallig niet zien. Op basis van wat nu bekend is vind ik het organisatorisch een big fail waar ze flink op afgerekend moeten worden.

@rud • 17 februari 2026 14:10

Ik vind het wel apart dat iedereen er vanuit gaat dat er bulk data is gedownload. Zover ik weet is dat helemaal niet bekend en weet Odido ook nog helemaal niet hoeveel data er daadwerkelijk is buitgemaakt. Omdat ze dat niet precies weten is iedereen in de dataset nu een bericht gestuurd.

Dus misschien zijn er wel maatregelen genomen om te voorkomen dat er bulk data wordt extract.

Houtenklaas @SunnieNL • 17 februari 2026 14:51

Op de NOS site:

Telecomprovider Odido is getroffen door een grote cyberaanval. Criminelen hadden daardoor toegang tot een bestand met de gegevens van 6,2 miljoen accounts, zegt een woordvoerder van Odido tegen de NOS

Stel even dat je gelijk hebt en het niet in bulk is gedaan maar met - zeg - 50 klanten per uur. Dan duurt het ruim 14 jaar non-stop om die 6.2 miljoen klanten te halen. Oftewel, dat is gewoon in bulk geweest. Of misschien 2 brokken van miljoenen per stuk. Maar dat is niet boeiend meer. Er liggen van 6.2 miljoen mensen data op straat die er niet hoort. Zo te zien heeft Odido werkelijk geen seconde aandacht besteedt aan cybersecurity, limieten aan gebruik, afschermen van data, noem maar op.

Toevoeging: Het had nooit mogelijk moeten zijn dat 6,2miljoen gegevens ingezien kunnen worden. Als ik elke 5 minuten een klant aan de telefoon kan helpen en ik werk 8 uur per dag, zou de daglimiet per account dus 12X8 moeten zijn. Zet hem dan op 150 voor mijn part en dat is het wel.

Toevoeging2: En hoe fijn had het geweest als Odido had kunnen zeggen dat ze potentieel bij 6,2miljoen klanten konden, maar de IT het toestond om slechts 150 willekeurige klanten per gebruikersaccount te kunnen inzien. En de zondag nog 150. Dan is 300 stuks als je daarbij zit nog steeds niet OK, maar echt wat anders dan 6.2miljoen. En aangezien ze dat niet gezegd hebben ...

[Reactie gewijzigd door Houtenklaas op 17 februari 2026 15:02]

@Houtenklaas • 17 februari 2026 14:56

Nee, in die zin staat dat ze toegang hadden tot 6,2 miljoen accounts. Niet hoeveel ze er daarvan hebben ingezien, niet hoeveel er zijn gedownload.

Als jij een winkel inloopt met toegang tot alle producten in die winkel, wilt het niet zeggen dat als jij naar buiten loopt je al die producten hebt gezien en gekocht. Er zit een groot verschil in toegang hebben tot en ook alles inzien. Dat laatste, hoeveel en wat ze hebben ingezien, is gewoon niet duidelijk. Daarmee blijft het bij 'toegang tot' en hebben ze iedereen tot wie er toegang was een bericht gestuurd, zoals ze moeten doen van de AVG. Daarna volgt onderzoek om te kijken wat en wie er precies geraakt is.

Houtenklaas @SunnieNL • 17 februari 2026 15:06

Je reageert net wat vlotter dan ik mijn toevoeging tikte

Zie mijn toevoeging 2. Als ze maar bij een select aantal klanten hadden gekund, had Odido dat direct gemeld. Ze hebben zelf die 6.2Mio ook niet tegen gesproken en dat zegt m.i. genoeg. Hard? Nee, daar heb je gelijk in, maar ze hebben de schijn in ieder geval niet mee in deze.

@Houtenklaas • 17 februari 2026 15:15

Het is heel simpel.
Ze kunnen er geen uitspraak over doen. Potentieel zijn er 6 miljoen klanten ingezien. Kan ook minder zijn. Zolang zij niet het onderzoek hebben afgerond kunnen ze er 0.0 over zeggen en blijft het bij "ze hadden toegang tot een database met x records".

Een rate limit is bijna niet te doen in deze systemen. Ik heb ook toegang tot alle klanten en prospects van mijn bedrijf. De ene dag tik ik er 5 aan, de andere dag 50 of meer. Doe ik een partial search, dan tik ik al snel meerdere 10-100 klanten aan waar delen van de records worden opgehaald omdat ik anders niet kan zien welke ik nodig heb.

Zelfde geldt voor support. Jij zit er niet op te wachten dat als je belt dat de medewerker zegt "momentje geduld, ik mag uw gegevens op dit moment nog niet inzien omdat ik aan het limiet zit van het systeem". Het is ook niet zo dat je alleen een klant record opvraagt, meestal is die gekoppeld aan meerdere andere records die verzameld worden in het scherm naar één overzicht en op de achtergrond laden ondertussen meerdere andere records zodat je daarna snel verder kan vanuit het record wat je open hebt.

Houtenklaas @SunnieNL • 17 februari 2026 18:03

Een rate limit is bijna niet te doen in deze systemen.

Net als "zero trust" zou het uitgangspunt "0" moeten zijn. Iemand kan nergens bij en wordt zover opgehoogd al naar gelang dat voor zijn/haar werkt dat nodig is. Als blijkt dat een support medewerker gemiddeld 150 klanten opvraagt per dag. Prima, zet de limiet op 200 en dat is verklaarbaar en vooral verdedigbaar. Moet iemand meer kunnen? Stel een key user aan die meer mag, maar dan wel op een afgeschermd deel van het netwerk, of met behulp van een fysieke key, zodat "presence" een voorwaarde is.

Uitgangspunt van een bedrijf moet zijn dat je altijd gehackt kunt worden en dat jou de vraag gesteld kan worden wat JIJ gedaan hebt om de schade te beperken. En dat zijn bij voorkeur meerdere drempels. Netwerksegmentatie, persoonsgebonden accounts, rate limit per type gebruiker, klanttype per supportmedewerker zodat iemand met zakelijke klanten niet bij consumentenklanten kan als voorbeeld. Trainingen in phishing herkenning en zo zijn erg nuttig, maar ga uit van het slechtste scenario en redeneer daarvandaan.

Het besef dat je met iemand zijn privé omgaat is bij veel bedrijven nog buitengewoon slecht ingedaald, wellicht ook nog gesteund door relatief lage boetes. Er lijkt simpelweg weinig interesse te zijn bij (veel) bedrijven. Maar de insteek "een rate limit is bijna niet te doen" is niet het goed uitgangspunt. De betere vraag is dan "Wat moet ik doen om dat WEL veilig te houden en welke drempels kan ik opwerpen om dat te bereiken?".

In veel bedrijven is daar een "Risk Assessment" voor ingericht. Daar breng je in kaart welke risico's je ziet, welke maatregelen je neemt en wat gevolgen kunnen zijn. Vaak een kosten/baten analyse, maar wel vooraf over nagedacht. Ben reuzebenieuwd hoe die RA er bij Odido uitzag.

downtime @SunnieNL • 17 februari 2026 14:47

Dus misschien zijn er wel maatregelen genomen om te voorkomen dat er bulk data wordt extract.

Als zulke maatregelen bestonden dan hadden ze dat wel gezegd. Het klinkt al een stuk beter als je kunt zeggen dat de gegevens van een beperkt aantal klanten is gelekt.

@downtime • 17 februari 2026 14:52

Maar dat kunnen ze niet zeggen, want ze weten niet wat er gelekt is. Of er nu een maatregelen tegen bulk zijn genomen of niet. Die zin kunnen ze pas uitspreken als ze exact weten welke gegevens en van wie die gelekt zijn. En dat onderzoek loopt waarschijnlijk nog.

Zelfs met bulk maatregelen kunnen er 100.000+ klanten geraakt zijn. Als ze zouden zeggen dat er 'beperkt aantal klanten is gelekt' is de eerste vraag die jij gaat stellen: hoeveel en wie dan.

Reden daarvoor is deels hoe API's werken en deels hoe Salesforce werkt. Als ik één klant opvraag bij ons in het salesforce systeem vuren er 40-100 api calls af. Als ik een refresh doe van mijn hele browser scherm, met meerdere tabs in salesforce open en binnen die tabs ook weer meerdere tabs, dan gaan er een 300-1000+ api calls de deur uit.

[Reactie gewijzigd door SunnieNL op 17 februari 2026 14:52]

Verwijderd @SunnieNL • 17 februari 2026 17:16

Dat is dan zeer slechte beveiliging.

Er zou "rate-limiting" op moeten zitten, laten we zeggen: 10 per call, of 10 records per 10 minuten als een helpdesk medewerker de database raadpleegt. Als er meer is opgevraagd, komt er een lock op te staan van minimaal een X aantal minuten. En als er meer dan 1000 records per minuut zijn geraadpleegt vanaf een helpdesk account, wordt er een admin op de hoogte gesteld via push bericht, en automatisch lockout of timeout van een uur.

Zo zou het idealiter moeten gaan bij gigantische databases met gevoelige informatie. Ik denk dat banken dat wel doen.

Het feit dat Salesforce dit niet doet, is een probleem.

[Reactie gewijzigd door Verwijderd op 17 februari 2026 17:18]

@Verwijderd • 17 februari 2026 17:30

"zeer slechte beveiliging"?

Boute uitspraak op basis van je onduidelijke suggestie van limieten.

10 wat? Klant records? API calls?
Stel dat in de verkeerswet zou staan "90 per auto"

(voel je hem? 90 wat en waar? meter, kilometer, 90 paaltjes langs de kant?)

Krijg ik dan in een zoekopdracht maar 10 hits terug (want ik raadpleeg dan al 10 records) en moet ik dan x minuten wachten terwijl ik een ongeduldigde klant aan de lijn heb? En krijg ik dan maar 10 support updates (geschiedenis) terug als ik een klant opvraag?

En wat bij een grote storing waarbij er vrij snel een groot hoeveelheid klanten kan worden afgehandeld (want storing), maar die wel allemaal gelogd moeten worden? Dan limiteer je de throughput vast op 10 "iets" (want ik weet niet waar je op wilt blokkeren) per x minuten, met als gevolg dat de wachtrij niet snel genoeg afgehandeld wordt.

Het is niet zo simpel als jij het voorstelt. Je hebt geen idee wat voor systeem het is en wat deze aan API calls doet. Daarnaast moet je security en gebruikerservaring in evenwicht houden. Zit je nog met risico afwegingen en budget. Maargoed, de beste stuurlui staan wel vaker aan de wal ;)

William_H @SunnieNL • 17 februari 2026 18:24

Al zou je het op 60 records per uur zetten, of 120. Die laatste is per 30 seconden een record (NAW gegevens etc.). Zo snel worden er geen tickets afgehandeld. En dan heb je het nog niet over miljoenen records.

Florimon @SunnieNL • 17 februari 2026 15:19

Alleen al het feit dat ze geen orde van grootte kunnen aangeven, zijn er tientallen, honderden, duizenden of miljoenen gelekt? Ze hebben geen idee dus geven ze maar de bovengrens van 6 miljoen. Dat zegt al genoeg - hebben ze geen logging dan?

@Florimon • 17 februari 2026 15:30

En wat moeten ze doen in die logging dan?
Moet je niet eerst een onderzoek doen welke support medewerkers allemaal geraakt waren? Want was dat er 1 of waren dat er misschien toch meer?

En als je dan weet wie het zijn geweest moet je een cross reference doen tussen wie er daadwerkelijk geholpen is door die mensen en wie niet.
Daarnaast moet je onderzoeken of ze niet verder de systemen in zijn gegaan, of ze niet op een andere manier nog verder zijn gegaan. Als dat het geval is moet je ook nog kijken wie dat zijn geweest.

Zo'n onderzoek duurt dagen al dan niet weken of maanden. Tussendoor kun je er geen uitspraak over doen. Want je wilt niet dat je nu zegt dat het ging om 2000 klanten om er daarna achter te komen dat er nog enkele supportmedewerkers geraakt waren en het gaat om 10.000 klanten of 100.000 klanten en dat een paar dagen daarna moet aangeven. Om vervolgens een week later nog te zeggen dat het bij nader onderzoek toch 500.000 waren.

Vergeet niet dat je in de logging niet direct kan zien wie er geraakt zijn. Zo'n klantensysteem wordt door support, sales, winkels, partners, etc. aangeraakt. Dat zijn als snel 100den tot 1000den mensen die dagelijks daar in werken. Als je al logt wie wat inziet, dan kun je dus daar niet zomaar iets over zeggen zonder te weten waar je naar zoekt. Maar kans is groot dat er voornamelijk wordt gelogd wie welke gegevens heeft aangepast en dan is helemaal niet te zien wie wat heeft ingezien. En als je logt wie wat inziet, dan moet je nog bepalen wanneer je dat doet. Doe je dat bijvoorbeeld ook voor alle records die naar boven komen bij een partial search en waarbij in de zoekresultaten bv. Naam, Woonplaats, Telefoonnummer worden getoond? want dan praat je bij 1 zoekopdracht al over 100-300 records als je op Jansen zoekt. Enig idee hoeveel logging je dan krijgt?

Florimon @SunnieNL • 17 februari 2026 16:25

Naar ik begrijp waren er "enkele" medewerkers gephished, niet 100den tot 1000den. Het moet dus niet al te moeilijk zijn om, als de logging goed geregeld is!, te zien welke queries deze paar 'medewerkers' allemaal op het systeem hebben afgevuurd. Daarbij hoeven de resultaten van die queries niet te worden gelogd, maar de queries zelf wel. Dit is iets wat je sowieso altijd wil doen, al is het maar om bv paal en perk te stellen aan nieuwsgierige aagjes die lukraak gegevens van celebrities lopen op te zoeken. Kan me verder echt geen reet schelen hoeveel logging je dan krijgt, we gebruiken allemaal elastic oid, en de beveiliging van en monitoring op ons aller data vind ik van meer belang dan de opslagkosten van een Odido.

@Florimon • 17 februari 2026 16:34

Je kunt alles monitoren, maar als je niet weet wat je zoekt ga je het niet vinden. Queries geven geen resultaten weer, dus dan moet je de queries runnen om te zien welke klanten er achter hangen (zoals ik al zei een partial search geeft data van 100den mensen weer).

En jij geeft nu "enkele" medewerkers.. hoeveel zijn dat er? zijn 90 medewerkers op de 2000 enkelen? of zijn dat er al veel? En als jij niet zeker bent welke en hoeveel medewerkers, moet je dan niet eerst uitzoeken hoeveel en wie dat precies zijn voor je gaat verkondigen hoeveel klanten er geraakt zijn op basis van enkelen van wie je het nu al weet? En als je dan weet welke klanten moet je gaan uitzoeken welke data er per klant is geraakt. Zoekresultaten geven deels records weer, losse records geven volledige gegevens (of niet alles en moet je nog dieper als je er vanuit gaat dat financiele gegevens/telefoon leningen in een andere database tabel staan).

Ga even wat stappen terug en zet op een rij wat er nodig is voor ze exact kunnen aangeven hoeveel, wie er geraakt zijn en welke data het om gaat (er vanuit gaande dat je dat terug kan halen uit logging)

[Reactie gewijzigd door SunnieNL op 17 februari 2026 16:37]

JustSomeWords @MeNTaL_TO • 17 februari 2026 11:12

Kan je vertellen dat er bij een ISO 27001 audit heel heel erg veel gemist kan worden. Een goede auditor kan ver komen maar is enorm afhankelijk van wat het bedrijf deelt aan wat voor systemen ze hebben. Als bepaalde stukken software niet zichtbaar zijn gemaakt zullen die ook niet geaudit worden. De auditor kan nu eenmaal niet gokken wat er allemaal draait binnen de volledige infra van een bedrijf. Ze zullen zeker vragen wat er allemaal aanwezig is, maar als het bedrijf (al dan niet kwaadwillend) niet meld dat er ergens klantgegevens worden bewaard zal de auditor daar niet achter komen.

Met name niet als de data dubbel bestaat in de organisatie. Aka, de auditor zal heus wel het hoofd CRM systeem van Odido zien. Maar echt niet alle systemen die data erin voeden of juist eruit halen. Of in een geval van Odido waarbij 2 bedrijven samen verder zijn gegaan zou het ook goed kunnen dat data van oud klanten van 1 van de 2 partijen nog in een oud systeem bestaat dat al lang uitgeschakeld had moeten worden maar om een of andere reden nog steeds in de lucht wordt gehouden. Dan kan de data cleanup prima werken op de primaire systemen maar zijn er zo toch nog genoeg manieren om iets over het hoofd te zien.

Een penetratie test is een grotere kanshebber, want daar gaat de tester zelf (gedeeltelijk geautomatiseerd) zelf proberen binnen te komen en op zoek naar waar hij bij gegevens kan komen. Dat lijkt al meer op dezelfde methode als kwaadwillenden gebruiken om data te vinden. Maar ook zo'n test is alleen zo effectief als de scope (waar mag de tester komen, wat mag hij doen) en de hoeveelheid tijd die ervoor gereserveerd wordt. Social engineering valt in heel veel gevallen bij dit soort tests buiten de scope.

@MeNTaL_TO • 17 februari 2026 14:07

Het mooie is dat een systeem niet een iso27001 certificering kan hebben. Een organisatie kan die wel halen, maar een stuk software of hardware niet. Die kunnen hooguit helpen in het behalen van je iso27001, mits je ze goed gebruikt en configureerd.
Wij krijgen die vraag ook wel eens "is uw software iso 27001 gecertificeerd" -> antwoord is standaard: software kan geen iso27001 krijgen, maar ons bedrijf heeft die certificering wel.

ISO27001 is ook een papieren tijger en gaat voornamelijk om processen. ISO27002 gaat al meer over implementatie. De NIS2 en de nieuwe wetgeving die daarvan is afgeleid hebben er ook in staan dat je moet bewijzen dat je maatregelen ook werken. Denk dat Odido daar wel onder het punt valt dat ze pro-aktief zaken moeten laten zien aan de toezichthouder. DORA is mogelijk van toepassing (verplichte pentest elke 3 jaar), maar dat ligt er aan of Odido wordt gezien als financiele instelling op het moment dat je een telefoon op lening kunt kopen.

Cyberpuppy @MeNTaL_TO • 17 februari 2026 10:48

Die audits zijn ook niet heilig kan ik je verzekeren. Het helpt bij bewustwording in de organisatie, maar is zeker geen garantie voor een daadwerkelijk goede beveiliging

Klauwhamer @Cyberpuppy • 17 februari 2026 11:03

Een ISAE 3402 Type II geeft weldegelijk een goed beeld of een bedrijf doet wat ze zegt dat ze doen. Het is geen pass/fail-certificaat met soms twijfelachtige incentives maar een assurance rapport waar afwijkingen bij een serieuze steekproef gerapporteerd worden. Ik heb grote providers gezien met bevindingen en afwijkingen op bijvoorbeeld on- en offboarding van werknemers.

Cyberpuppy @Klauwhamer • 17 februari 2026 11:06

Je had het over ISO 27001.

Klauwhamer @Cyberpuppy • 17 februari 2026 11:37

Nee. Ik noem een voorbeeld waarbij het wél waardevol is.

RSH @Klauwhamer • 17 februari 2026 15:14

Echter zijn ISO 27001, wat Odido aangeeft te hebben laten certificeren, en ISAE 3402 compleet andere certificeringssystemen. Dat auditing en certificering op ISO 27001 vaker gecombineerd wordt met (bijvoorbeeld) een ISAE 3000 of 3402 wil zeker niet zeggen dat ze 1:1 overeen komen, zoals Cyberpuppy volgens mij ook aangaf.

Klauwhamer @RSH • 17 februari 2026 15:22

Bewaartermijnen met borging en evidence daar van vallen zéker in scope voor een club als Odido.

[Reactie gewijzigd door Klauwhamer op 17 februari 2026 15:23]

loewie1984 @Cyberpuppy • 17 februari 2026 11:05

Klopt, maar je kunt vragen stellen bij een ISO27001 verklaring als dit soort afwijkingen niet naar voren komen bij een audit. Ik snap dat er steeksproefsgewijs gekeken wordt naar de uitvoering van controls en de evidence die daar bij hoort, maar dat dit niet naar voren is gekomen in al die jaren dat Odido geaudit is geworden is vreemd.

Dan zou een ISAE3000 assurance verklaring beter passen op basis van de ISO27001 norm, daar wordt tenminste gekeken naar een evidence trail van 6 tot 12 maanden en is in die zin veel grondiger dan ISO27001.

Want dit soort gebeurtenissen en het gegeven dat bedrijven tegenwoordig menen binnen 2 weken wel ISO27001 te kunnen halen, halen de waarde van de accreditatie omlaag.

PatrickH89 @MeNTaL_TO • 17 februari 2026 11:32

ISO27001 zegt eigenlijk alleen maar dat je de mogelijkheden hebt om de data goed te beschermen, maar eigenlijk zegt het weinig over of je dit ook daadwerkelijk doet helaas.

Triblade_8472 @bovengemiddeld • 17 februari 2026 23:22

Alsof een auditor alles kan controleren. Die kan alleen steekproeven uitvoeren en wordt waarschijnlijk geleid naar een stukje waar deze alleen kan zien wat Odido wil dat ie ziet. En huppa, certificering. Het zou de eerste niet zijn.

Daarnaast bepaal je zelf wat je in de ISO wil zetten, binnen grenzen. Als jij van mening bent dat een keer per jaar een backup maken voldoende is, mag je dat zo opnemen in je ISO en krijg je gewoon een certificering. Een beetje auditor zal hopelijk vragen stellen of je inderdaad geen problemen krijgt als je data opeens weg is, 6 maanden na je backup, maar als je antwoord 'nee hoor' is, dan is er geen probleem.

Dit is ietwat gechargeerd natuurlijk, maar het toont wel de zwakte aan naar mijn mening. Fraude is gemakkelijk en vrij gebruikelijk.

Exhonor 17 februari 2026 10:12

Hoe meer hierover naar buiten komt hoe amateuristischer Odido blijkt te zijn.

Weet iemand of er ergens audits te vinden zijn over de cyber security van andere providers, dat zou het kiezen voor een nieuwe provider een stuk makkelijker maken.

arbraxas @Exhonor • 17 februari 2026 10:16

Ach, je gegevens zijn al 1000x gelekt en Odido is alleen maar de zoveelste in een lange lange rij.
Zolang alles online benaderbaar moet zijn zal dit ook niet verbeteren.
Uit gemakzucht doen we dit ons zelf aan.

PhaeTom @arbraxas • 17 februari 2026 10:25

Lekker blijven roepen dit, dan blijven partijen als Odido er in de toekomst ook geen bal om geven. Het lekken van paspoortnummers en bankrekeningnummers is toch wel een serieuze zaak hoor. Ik vind het ook opzienbarend dat dergelijke info blijkbaar op dezelfde plek wordt bewaard, terwijl dat volgens mij prima gescheiden kan worden, zodat de gegevens bij een hack lastiger aan elkaar te linken zijn.

arbraxas @PhaeTom • 17 februari 2026 10:27

Ok, ga je dan de volgende keer niet je gegevens afgeven?
Zolang hier geen serieuze audits en consequenties aan hangen zal dit echt niet veranderen. En we zijn al veel te laat helaas.

PhaeTom @arbraxas • 17 februari 2026 10:33

Euh, dat is precies mijn punt.

Robbierut4 @arbraxas • 17 februari 2026 11:02

Ok, ga je dan de volgende keer niet je gegevens afgeven?

Mogelijk niet nee. Ik ben naar aanleiding van dit eens door mijn password manager gegaan. Heb ondertussen al 84 oude accounts verwijderd, of waar dat omslachtig is alle gegevens veranderd en het gekoppelde email adres omgezet naar een temp email.

Helaas leven we in een realiteit waar dit soort hacks bijna dagelijks voorkomen. Hoef het criminelen niet perse makkelijker te maken om al die data aan elkaar te linken voor 1 groot profiel.

Pendora @arbraxas • 17 februari 2026 11:45

We zijn nooit te laat. Er worden ook nog steeds mensen geboren. Laten we dan iig zorgen dat zij niet in alle databases komen.

InfiniteSpaze @arbraxas • 17 februari 2026 10:22

Ik begrijp waar je vandaan komt maar dat betekent niet dat we het slecht beveiligen van gegevens maar moeten normaliseren. Als bedrijven alles van ons willen weten moeten ze ook verantwoordelijk zijn voor het beveiligen van deze gegevens. In een ideale wereld zouden ze het anders ook niet mogen opvragen.

Lord Anubis @arbraxas • 17 februari 2026 10:41

onzin. Zij beweerden iets wat niet waar was en uiteindelijk illegaal is. Dus, schuif het niet in de consument of klant in zijn schoenen. Nooit wat te maken gehad met T-mobile en Odido. Vond het altijd een louche bende. Kreeg ooit een aanmaning van hen terwijl ik nog nooit ergens mijn gegevens had ingevuld. Ze hadden via een vergelijkingssite mijn postcode en huisnummer gebruikt en mijn naam erbij gevonden en beweert dat ik een Samsung telefoon had besteld. KPN idem dito, had gevraagd om mijn xs4all gegevens te verwijderen, kreeg ik onlangs, 8 maanden later, een telefoontje of ik opnieuw lid wilde worden en dat ik bijna vanaf dag 1 lid was geweest van XS4ALL. Hoezo niet nalatig van een provider, hoezo gemakzuchtig van een consument? Grappig was dat idd XS4ALL HD geen gegevens meer had maar KPN wel.

[Reactie gewijzigd door Lord Anubis op 17 februari 2026 13:09]

CR2032 @arbraxas • 17 februari 2026 10:45

Je moet het niet omdraaien. Gemakzucht van de beveiliging is dit, want je wordt verplicht om die gegevens in te vullen. Oorzaak en gevolg.

Organisaties moeten veel meer aandacht en geld aan informatiebeveiliging besteden.

Met alleen roepen dat het toch niet anders kan schiet niemand wat mee op. Dat is pas gemakzuchtig.

Cyberpuppy @arbraxas • 17 februari 2026 10:51

Mee eens dat mijn gegevens al lang op straat liggen.

Echter als ik het verhaal lees dan heeft men blijkbaar via een medewerkers account toegang gehad. Ik begrijp dat je als medewerker toegang nodig hebt tot vrijwel alle klantgegevens. Echter is het mij een raadsel hoe men een export heeft kunnen maken van 6,2 miljoen accounts. Dat zou niet mogelijk moeten zijn.

downtime @Cyberpuppy • 17 februari 2026 14:25

Je zou als bedrijf gewoon een teller moeten laten draaien en als een klantmedewerker meer dan, laten we zeggen, 100-200 dossiers op een dag bekijkt dan zou dat account geblokkeerd moeten worden en er een signaal naar de leidinggevende of een privacy functionaris moeten gaan. Account pas weer vrijgeven als er een plausibele verklaring is gekomen waarom ze zoveel dossiers moeten bekijken. Het is niet ingewikkeld maar door onverschilligheid wordt het niet gedaan. Immers hebben alleen de klanten last van een datalek en daar hebben ze lak aan.

Cyberpuppy @downtime • 18 februari 2026 12:12

Dat is een vorm van rate limiting. Had mogelijk kunnen helpen in dit soort situaties.

Even verder denken. Zelfs als ik een scraper bouw die via de verkregen login van een portal de data gaat binnenhalen dan duurt het toch echt wel even voordat je al die gegegevens binnen hebt. Dus dat had dan langs andere manieren (firewall logs etc.) moeten opvallen.

Een mogelijk ander scenario. Er is een account van een medewerker gecompromitteerd. Dan heeft dat potentieel impact op alle klantgegevens. Dus die moet je dan informeren. Pas na meer onderzoek kan blijken welke gegevens daadwerkelijk zijn opgevraagd en zou de impact vele malen kleiner kunnen zijn.

Conclusie. We weten niet genoeg om hier iets zinnigs over te kunnen roepen

avlt @arbraxas • 17 februari 2026 10:20

accountnaam en wachtwoord misschien, maar paspoortnummers en bankrekeningnummers toch zeker niet

MulMonkey @arbraxas • 17 februari 2026 10:29

Jouw "privacy is toch al dood" argument helpt alleen de datahongerige partijen en niet de mensen die vechten voor betere bescherming. Je kunt beter je mond houden of het belang voor ANDEREN wel waarderen.

zwartbaard @MulMonkey • 17 februari 2026 10:59

Zo slecht argument dat er al een wikipedia pagina voor is :) Wikipedia: Nothing to hide argument

Honytawk @arbraxas • 17 februari 2026 11:43

Als jij naar een publiek toilet ga, dan laat jij ook je deuren openstaan zeker?
Want al je privacy ligt toch al lang op straat?

Er zijn genoeg manieren om je privacy te waarborgen.
Omdat jij je reet er aan veegt maakt dit nog niet het geval voor iedereen.

Fidesnl @Exhonor • 17 februari 2026 10:27

Administratie bij Odido is al jaren een puin. Heb hier al meerdere klachten voor ingediend.

Ik sluit meestal een contract af van één of twee jaar, dan verwacht je iedere maand hetzelfde bedrag te betalen, maar helaas. Iedere maand is er een ander bedrag en wordt de vorige maand weer gecorrigeerd. Het is zo erg dat zelfs het eigen personeel niet snapt wat ik nou wel of niet betaald heb. Daarom krijg ik dan als ik bel weer geld terug.

Nu tel ik na een half jaar of een jaar alle afgeschreven bedragen van mijn bankrekening bij elkaar op en kijk of dat enigszins klopt met mijn abonnement. Amateuristisch, maar de werkelijkheid.

[Reactie gewijzigd door Fidesnl op 17 februari 2026 10:28]

@Fidesnl • 17 februari 2026 17:34

tja, hier al 25 jaar een Odido klant (vanaf de Libertel periode) en herken hier niets aan. Mijn rekening is altijd precies het maandbedrag van mijn dan lopende contract en als er al iets afwijkt komt dat omdat ik weet dat ik buiten de bundel heb gezeten, bv. buiten europa.

M3m30 @Fidesnl • 17 februari 2026 10:45

Ben blij dat ik niet naar Odido ben overgestapt zeg.. wilde om goedkoper uit te zijn naar Odido overstappen via die Odido 1 klik is klaar ding dus dat je internet (vast) via 4G modem werkt.

lithiumangel @M3m30 • 17 februari 2026 11:04

Ik denk dat het gewoon altijd een dobbel-steen rol is met hoe je een bedrijf ervaart.

Ik zit sinds 2014 oid bij T-mobile/odido hun unlimited abonnement. Nergens last van gehad, geen rare fratsen dat m`n factuur elke maand anders was zoals Fidesnl. Geen storingen waar ik last van heb gehad etc.

Idem ditto bij Ziggo, heb ik ook echt sinds de A2000 tijdperk meegemaakt op mijn adres waar ik tot aan 2021 woondde en nooit last gehad van een slechte en/of instabiele verbinding. Maar hele fora zitten vol van anti-ziggo posts en horror verhalen.

Heb ik dan nooit problemen met bedrijven ? Nee natuurlijk niet, zo zijn er weer andere bedrijven waar ik onnodig gez**k mee heb. Dus ja, daarom ben ik ervan overtuigd dat het een dobbel-steen rol is.

M3m30 @lithiumangel • 17 februari 2026 11:24

Ik had eerste 3 maanden toen ik Ziggo klant was problemen met ze.. mijn abonnement stond ineens dubbel in het systeem.. betaalde dus 3 maanden teveel en ja het duurde 3 maanden toen ze dan opgelost hadden... al had ik daarna ook problemen met ze hoor.. zo was de belofte om een kabel netjes aan te leggen niet waar gemaakt...wilde monteur niet doen en pas na flinke klacht bij de klantenservice werd het opgelost terwijl het enkel doortrekken was. geen boren oid.
Qua wifi is sinds ziggo stabiel ook qua snelheid sinds ik de nieuwe zwarte modem kreeg.
Verder is Ziggo echt prijzig.
Maar als je ziggo sport wilt kijken (voor Nascar/Indycar) dan moet je weer verplicht een digi tv abonnement bezitten en daar mag Den Haag wat mij betreft wel wat aan doen hoor.. dat je gewoon normaal rechtstreeks moet kunnen abonneren op Ziggo sport/ESPN zonder koppelverkoop van digi TV.

M3m30 @Exhonor • 17 februari 2026 10:44

Ik werk zelf niet in de provider/Telefonica sector etc maar in een andere wereldje maar krijg vanuit mijn werkgever zeker denk 1 keer per 6 maanden max een opfris cursus omtrent phishing en we krijgen regelmatig mails erover hoe te handelen.
Zover ik lees is het bij Odido echt slecht gesteld, lijkt wel of er 0 trainingen plaats vinden want damn.. voordoen als IT'er?

Houtenklaas @Exhonor • 17 februari 2026 14:58

Ik was ook wat aan het rondspitten en kwam dit tegen: https://github.com/KPN-CISO. Verder nog niet naar gekeken, maar hun security policy is daar gewoon in te zien.

henkkeumus 17 februari 2026 10:13

En op grond van deze bevinding(en) kunnen we (mits jouw gegevens wel langer zijn bewaard dan aangegeven) wel een schadeclaim bij Odido indienen?

Broud @henkkeumus • 17 februari 2026 10:18

Je kan 1) een klacht bij de AP indienen, en 2) een civiele zaak starten. Bij een civiele zaak zal de kans groot zijn dat je gelijk krijgt, maar is het altijd maar de vraag of je ook daadwerkelijk compensatie krijgt omdat materiële of immateriële schade moeilijk aan te tonen is.

PdeBie @Broud • 17 februari 2026 10:33

Maar het levert wel een precedent op voor toekomstige fouten die Odido maakt. Als ze dan nog een keer de fout in gaan, kan je zeggen...... toen zijn jullie ook al de mist in gegaan en voor gestraft. Dus nu extra straf, want het gaat weer fout.

Broud @PdeBie • 17 februari 2026 12:17

Ik vind dat de AP hier een grote rol in moet hebben, maar het is nog maar afwachten of zij daar prioriteit in zien.

bluimes @Broud • 17 februari 2026 11:00

Een datalek kan stress, slapelozenachten en concentratieverlies opleveren. Dat kun je kwantificeren als pijn, leed en verdriet en dusdanig opvoeren als vordering. Er is veel jurisprudentie in uiteenlopende zaken waar dit als containerbegrip wordt gebruikt voor klein leed. Je moet dan denken aan claims van 500 euro.

[Reactie gewijzigd door bluimes op 17 februari 2026 11:01]

Niemand_Anders @bluimes • 17 februari 2026 11:41

En nadat je dan eindelijk die 500 euro hebt ontvangen op je bankrekening, krijg je de factuur van je advocaat...

Broud @bluimes • 17 februari 2026 12:15

Dat klopt, maar voor zover ik weet moet je dit leed wel kunnen substantiëren, alleen zeggen dat je dit leed ervaart is niet genoeg. Het is dan maar de vraag of de tijd en moeite die je in die zaak moet stoppen (en eventuele kosten van een advocaat) opwegen tegen die paar honderd euro.

tedades @Broud • 17 februari 2026 12:00

Gaat dit niet al vanzelf? Mijn aanname was dat dit verhaal al zo in het nieuws is dat ik verwacht dat AP zelf al een onderzoek start en dan ook een zaak start. En de groep klanten met impact is ook bekend.

InfiniteSpaze @henkkeumus • 17 februari 2026 10:24

Maar natuurlijk niet!

Het verbaast mij altijd dat bedrijven zulke gegevens van iedereen opslaan en helemaal niet verantwoordelijk worden gesteld wanneer dit lekt. Natuurlijk zal het enorm moeilijk zijn om je bedrijf te beschermen tegen hackers, maar er zou wel iets van een audit moeten zijn zodat we standaarden hebben voor de opslag van persoonsgegevens. Wanneer bedrijven dit niet hebben, zouden ze meer aansprakelijk moeten worden gesteld wanneer zoiets gebeurt.

ZenDargo 17 februari 2026 10:23

Ik ben ook wel nieuwsgierig. Ik ben er niet helemaal in thuis, maar er is wel een wet Regeling veiligheid en integriteit telecommunicatie.

In hoeverre zou Odidio aangeklaagd kunnen worden omdat ze zich niet aan de wet gehouden hebben?

mad-dog @ZenDargo • 17 februari 2026 10:28

Als persoon heeft dat weinig zin, tenzij je keihard kan aantonen dat je schade hebt geleden(wat heel erg lastig is en meer kost dan het oplevert)

CR2032 @mad-dog • 17 februari 2026 10:56

De kosten voor een nieuw ID/paspoort nummer is anders niet zo lastig om te bepalen.

mad-dog @CR2032 • 17 februari 2026 11:00

Maar je zal vermoedelijk nog steeds moeten bewijzen dat er misbruik van is gemaakt. Je kunt natuurlijk op je klompen aanvoelen dat van 6,4 miljoen (ex-)klantende kosten voor het vervangen van ID nooit gaat gebeuren

Buffalo @ZenDargo • 17 februari 2026 11:04

Campagne ala DSB Bank starten om op te roepen te vertrekken bij Odido. Dan is dit bedrijf zo kapot en failliet.

Polderdijk 17 februari 2026 10:15

Toch vindt ik het tijd voor wetgeving die beslist dat een bedrijf altijd een bepaalde mate van boete moet betalen. In de vorm van schadevergoeding of ander soort boete.

Nu bepalen heel veel managers in het bedrijfsleven dat er géén tijd en geld besteed moet worden aan het beveiligen van data. Aangezien dit niet (direct) resulteert in omzet/winst en dus altijd een kostenpost blijft.

Als er een geldelijke boete tegenover staat, dan kan dit direct voor managers wél een aanleiding zijn om hier tijd en/of geld aan te spenderen, aangezien het anders mogelijk nóg meer geld kost.

Nu loont het voor veel bedrijven niet om hier geld in te steken, mocht het fout gaan, dan even een goed PR-team opstarten en niemand praat er meer over na een paar weken.

TIGER79 @Polderdijk • 17 februari 2026 10:25

Ik kan me er helemaal in vinden dat er een soort van straf moet komen maar met boetes is het altijd de vraag wie je dan straft : het bedrijf of de klanten ? Want wat een bedrijf dan doet is simpelweg de kosten doorverrekenen aan klanten.
Dat is natuurlijk op te vangen : een straf kan zijn dat ze een boete moeten betalen EN 2 jaar geen verhogingen mogen doorvoeren, of 3 jaar geen bonussen of salarisverhogigngen voor management, of een deel van hun aandelen overleveren aan de overheid enz enz... Enkel is dat vanuit wetgeving niet mogelijk, dus illegaal.... Maar dat soort interventies die gaan dan wel "aan het hart" bij de directie('s)...

downtime @TIGER79 • 17 februari 2026 14:43

Als ze de prijzen zomaar konden verhogen dan deden ze dat wel. Dat zien de aandeelhouders graag. Maar uiteindelijk hebben ze ook concurrenten en kunnen de klanten met hun voeten stemmen.

CR2032 @Polderdijk • 17 februari 2026 10:51

Inderdaad. Een boete van bijvoorbeeld 7,5 miljard euro maakt iedereen wel wakker.
Daarboven op class action claim van een jarenlange slepende rechtsgang. Dat zet het imago van het bedrijf ook op scherp.

Ik noem even een willekeurig bedrag, het moet wel in verhouding van de organisatie en tegelijk een forse straf zijn.

Tonnetjes 17 februari 2026 10:16

Ik weet vrij zeker dat ik ook al langer dan twee jaar weg ben bij Odido (toen T-mobile), maar denk dat het daarom ook o.a. mijn oude (adres)gegevens bevat. Is er een manier om dit na te gaan? En te controleren of mijn gegevens langer dan twee jaar bewaard zijn geweest? Ik kan mij voorstellen dat ze niet per mail zullen aangeven welke gegevens er precies buitgemaakt zijn…

mcmd @Tonnetjes • 17 februari 2026 10:26

Blijkbaar zou je een mail krijgen van Odido als je naam nog in het bestand zou zitten. Garantie heb je natuurlijk niet. Ik kreeg mijn mail na 1 of 2 dagen pas, dus wellicht moet je geduld hebben (ben nu zo'n 1,5 jaar geen klant bij Odido).

Tonnetjes @mcmd • 17 februari 2026 11:26

Excuus! Ik heb de mail dus wel ontvangen, vandaar mijn verbazing (want al langer dan twee jaar weg). Tegelijkertijd nu dus ook wel benieuwd welke gegevens er dan precies gelekt zijn, omdat ik rond die tijd ook verhuist ben.

maomanna @Tonnetjes • 17 februari 2026 10:28

Een avg verzoek indienen?

@maomanna • 17 februari 2026 10:37

Ik heb per ommegaande gevraagd welke einddatum ze dan hebben. In mijn administratie lag die eerder dan twee jaar geleden.

Een avg-verzoek indienen gaat niet. Ik heb geen idee welk bankrekeningnummer ik destijds gebruikte, en laatste incassobedrag is ook niet te vinden. Op mijn huidige rekeningnummers kan ik geen incasso’s van Tele2/Odido terugvinden. De klantomgeving van Odido van mijn oude klantaccount is verder ook leeg.

maomanna @donkerlicht • 18 februari 2026 01:07

Daar hoef je die informatie niet voor te weten. Wat persoonsgegevens van je sturen en een hoop van wat ze hebben zullen ze toe moeten sturen.

mcmd 17 februari 2026 10:29

Ik "snap" dat Odido nog oudere klanten wil kunnen benaderen. Maar ze kunnen dan toch al diverse gegevens meteen verwijderen? Er is toch geen noodzaak om het IBAN nummer en/of BSN nummer te bewaren?

Ik ben een beetje bang dat hetzelfde probleem veel breder speelt bij ook andere partijen. Er wordt van alles bewaard voor je weet maar nooit. En in dit geval blijkbaar ook nog eens langer dan "afgesproken".

mad-dog @mcmd • 17 februari 2026 10:30

Er is ook geen enkele noodzaak daar toe, dat is juist ook waar het artikel om draait. Het zal ongetwijfeld ook wel bij andere partijen spelen, maar dat weet je pas als het uitkomt

NotWise @mad-dog • 17 februari 2026 10:53

Het zal ongetwijfeld ook wel bij andere partijen spelen, maar dat weet je pas als het uitkomt

Dit speelt bij de meeste partijen. Het opschonen van data staat niet hoog op de prioriteitenlijst en er wordt zelfs niet eens aan gedacht. De meeste ICT-ers die voor meerdere klanten hebben gewerkt zullen het vast met mij eens zijn.
Je kan het een beetje vergelijken met je eigen (mocht je die hebben) digitale foto collectie. Die staat vol met foto's die weg kunnen, maar je laat ze toch staan (komt wel een keertje als ik tijd/zin heb)

Dus mensen die overstappen naar een andere provider zijn niet beter af. Alles en iedereen kan worden gehackt en bijna overal spelen dezelfde problemen. Je bent in wezen nergens veilig. Het is jammer maar helaas.

DataMan @NotWise • 17 februari 2026 11:00

Er zijn heel veel overheidsdiensten die niet in staat zijn om aan de archiveringswet van de overheid te voldoen. Brakke ICT systemen die niet met verwijdering om kunnen gaan en meer van dat soort ellende.

Danfoss @mcmd • 17 februari 2026 11:10

Een groter probleem vind ik niet eens dat ze het langer bewaren maar dat het blijkbaar voor willekeurige mensen in het bedrijf zomaar toegankelijk is.

Waarom heeft een KS medewerker standaard de mogelijkheid om data van miljoenen klanten op te vragen?

@mcmd • 17 februari 2026 10:46

Het gaat hier om documentnummers, niet om BSN's.

SaraNostra 17 februari 2026 10:29

Weet je wat mij irriteert? Als ik dergelijke dingen doe, dan krijg ik een dikke boete en andere consequenties. Als bedrijven dit doen, dan komen ze ermee weg. Weg met mijn data, met mijn dingen. Vreselijk irritant.

ChrisPQ @SaraNostra • 17 februari 2026 11:01

Met al meer dan 20 jaar VVD beleid is dat de realiteit. De rijken en grote bedrijven kunnen ongehinderd door gaan.

DataMan @SaraNostra • 17 februari 2026 11:01

Vertel eens: wanneer heb je een boete gehad en van wie? Is dit niet bestaande irritatie, of heb je een concreet voorbeeld bij de hand?

SaraNostra @DataMan • 17 februari 2026 11:50

Als ik een rekening van de overheid te laat betaal, volgt vrij snel een verhoging of boete. Als een bedrijf persoonsgegevens te lang bewaart, duurt het vaak maanden of jaren voordat duidelijk wordt of er een sanctie komt.

Bestaande irritatie, ja, gecreëerd door de overheid die bij burgers meteen incasseert, terwijl bedrijven vaak nog jaren in onderzoek zitten voordat er iets gebeurt (als er al wat gebeurt).

[Reactie gewijzigd door SaraNostra op 17 februari 2026 11:51]

DataMan @SaraNostra • 17 februari 2026 12:13

Twee onvergelijkbare zaken, want als Odido de belasting te laat betaalt krijgen ze ook een boete.

SaraNostra @DataMan • 17 februari 2026 13:22

Voor jou onvergelijkbaar, voor mij is de wet voor iedereen gelijk. Men gaat aan de haal met mijn gegevens en er wordt niets mee gedaan. Als ik aan de haal zou gaan met wat gegevens, dan was ik de sjaak. Leuk dat je alles zo feitelijk probeert te bekijken, maar de vlieger gaat hier niet op.

DataMan @SaraNostra • 17 februari 2026 13:55

Je probeert je kromme voorbeeld recht te praten met iets wat ook weer niet vergelijkbaar is. Jij hebt geen gerechtigd belang bij gegevens ‘waar jij mee aan de haal gaat’. Er is een groot verschil tussen houder van gegevens met gerechtigd belang van wie de gegevens gestolen zijn en degene, de dief, die met gegevens aan de haal gaat. Als je dat basale verschil al niet begrijpt.

SaraNostra @DataMan • 17 februari 2026 14:20

Ik heb even veel belang bij die troep als mijn telecomprovider. Na check zou die informatie niet meer traceerbaar moeten zijn. Dat ze het een keer moesten opvragen, aller, maar niet voldoen aan de wet door het langer te houden dan nodig is? Überhaupt zo lang opslaan... dat zijn vervelende dingen waar ik niet zo rooskleurig naar kan kijken als jij.

Leuk al die feiten en die zeer vervelende denigrerende toon van je, maar het verandert de zaak niet. Ze moeten worden bestraft.

Maar goed, ik ga mijn tijd niet verdoen aan droevige lui als jij.

Honytawk @DataMan • 17 februari 2026 12:13

Als ik de data van een bedrijf deel met iemand anders, dan wordt dat bezien als piraterij.
En daar zijn genoeg straffen al voor uitgedeeld.

Om te kunnen reageren moet je ingelogd zijn