FD: jarenoude klantgegevens bij Odido op straat door overschrijden bewaartermijn

Odido heeft de eigen bewaartermijn voor persoonsgegevens overschreden, meldt het Financieel Dagblad. De provider, die eerder deze maand door een datalek werd getroffen, zegt gegevens van klanten niet langer dan twee jaar na het einde van hun contract te bewaren.

Klanten die vijf of tien jaar geleden zijn overgestapt naar een andere provider, hebben bericht gekregen dat hun gegevens zijn buitgemaakt, meldt de NOS op basis van het Financieel Dagblad. Odido werd vorige week getroffen door een datalek. Daarbij werden in totaal de gegevens van 6,2 miljoen mensen buitgemaakt. Ook klanten van Ben zijn getroffen door het lek.

Odido schrijft in zijn privacyverklaring dat het gegevens tot maximaal twee jaar na het einde van het contract bewaart, volgens het bedrijf voor het geval dat mensen weer klant willen worden. Factuurgegevens bewaart de provider maximaal zeven jaar na het einde van het contract, omdat dit verplicht zou zijn voor de Belastingdienst.

Odido zegt tegenover het FD dat het bedrijf meer tijd nodig heeft om uit te zoeken waarom klantgegevens langer dan twee jaar worden bewaard. De hackers, die binnenkwamen door 2fa-codes te socialengineeren, hebben naar verluidt naam- en adresgegevens, paspoort- en bankrekeningnummers in handen gekregen.

Odido stock (bron: oliver de la haye/Getty Images) — Bron: Oliver de la Haye/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 17-02-2026 10:09
142 • submitter: Basje93

17-02-2026 • 10:09

Submitter: Basje93

Lees meer

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Bedrijfsnieuws Privacy internet providers Odido privacy schending Provider

IT-banen

Meer vacatures

Reacties (142)

142

138

64

4

0

65

Wijzig sortering

_Bailey_ 17 februari 2026 10:14

in het Odido waarschuwt voor datalek (cyberaanval/hack) topic ook tevens melding van meerdere mensen vanochtend waar geprobeerd wordt in te loggen op het Odido account.
Ontvangst van eens sms verificatiecode.

Volgens mij zijn dan ook, in tegenstelling tot eerdere berichten vanuit Odido, wél de accountgegevens ook binnen gehengeld bij de hack van 7 en 8 feb.

[Reactie gewijzigd door _Bailey_ op 17 februari 2026 10:15]

PCG2020 @_Bailey_ • 17 februari 2026 10:37

Hebben die gebruikers de mail of de sms van Odido ontvangen dat hun gegevens gelekt zijn, of juist niet?

Want in het eerste geval (gegevens gelekt, mail/sms gekregen) kunnen ze inlogpogingen op hun Odido-account verwachten en moeten ze stappen ondernemen, zoals het wijzigen van hun (gelekte) wachtwoord.

In het tweede geval (gegevens gelekt, géén mail/sms gekregen) is het natuurlijk een stuk kwalijker. Dan heeft Odido nagelaten om hun binnen 48 uur in te lichten over het lek, zoals Odido toegezegd heeft.

_Bailey_ @PCG2020 • 17 februari 2026 10:55

ik weet het niet van iedereen in dat topic. Maar ik zelf heb 2 afzonderlijke mails ontvangen eerder deze week van Odido over de gegevens van mij die gelekt zijn.

Daar stond specifiek in dat niet mijn Odido accountgegevens gelekt waren; dat blijkt nu in de praktijk dus wel zo te zijn, aangezien ik dus net pogingen zie tot toegang van mijn Odido account

PCG2020 @_Bailey_ • 17 februari 2026 11:12

Ben je misschien overgegaan naar Odido vanuit één van de voorgangers, zoals Tele2 of T-Mobile? Want Odido bestaat natuurlijk pas sinds 2023. Ik kan me voorstellen dat bij de overgang naar Odido jouw account toen is aangepast, want jouw gegevens hadden ze al.

Eventuele oude gegevens, die door de hack nu zijn gelekt, hadden inmiddels natuurlijk wel gewist moeten zijn. Het zal mij niets verwonderen wanneer je met wat puzzelen uit de oude klantgegevens zo de nieuwe kunt afleiden.

_Bailey_ @PCG2020 • 17 februari 2026 11:31

Nee, altijd bij Ziggo en Vodafone gezeten. Nu sinds dik een jaar alles bij Odido

dabrainz @_Bailey_ • 17 februari 2026 11:31

Gebruik je niet toevallig hetzelfde wachtwoord als dat je ergens anders gebruikt en/of wat al eens is buitgemaakt bij een eerder lek waardoor ze nu kunne crossreferencen?

_Bailey_ @dabrainz • 17 februari 2026 11:31

Nee dat heb ik direct geverifieerd.

B Tender @PCG2020 • 17 februari 2026 11:32

Hebben die gebruikers de mail of de sms van Odido ontvangen dat hun gegevens gelekt zijn, of juist niet? Want in het eerste geval (gegevens gelekt, mail/sms gekregen) kunnen ze inlogpogingen op hun Odido-account verwachten en moeten ze stappen ondernemen, zoals het wijzigen van hun (gelekte) wachtwoord.

Anderzijds is en was Odido (gevoelsmatig bijna trots, wat vrij misplaatst is in mijn ogen) aan het benadrukken dat wachtwoorden niet gelekt zijn. Lees: geen aanleiding om je wachtwoord te wijzigen.

Er zijn geruchten dat toch ook wachtwoorden van klanten zijn gelekt. Klopt dat?

Nee, dit is onjuist. We willen benadrukken dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. De wachtwoorden die klanten gebruiken om in te loggen zijn versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido is veilig.
Informatiepagina cyberincident | Odido

ep667 @B Tender • 17 februari 2026 11:43

[...]

Anderzijds is en was Odido (gevoelsmatig bijna trots, wat vrij misplaatst is in mijn ogen) aan het benadrukken dat wachtwoorden niet gelekt zijn. Lees: geen aanleiding om je wachtwoord te wijzigen.

De hele communicatie is nogal arrogant (en terecht, want wie maakt ze iets?) en dit past daar wel bij.

Inmiddels zelf ook een SMS'je gehad, terwijl mijn mailadres blah+odido@domein.tld en wachtwoord uniek waren. Had dat wachtwoord natuurlijk zelf direct aan moeten passen, maar beter laat dan niet.

@_Bailey_ • 17 februari 2026 10:23

Volgens mij zijn dan ook, in tegenstelling tot eerdere berichten vanuit Odido, wél de accountgegevens ook binnen gehengeld bij de hack van 7 en 8 feb.

Dan zou je denken dat de gegevens inmiddels online zijn gezet of verkocht, want als de aanvallers al bij Odido in de systemen zijn geweest hadden ze wat er dan nu ook per account wordt gedaan, waarschijnlijk ook direct op dat moment kunnen doen?

Slaut @Skit3000 • 17 februari 2026 10:52

Het kan zijn dat ze aan het testen zijn of de accountgegevens werken, voordat ze de hele bundel gegevens verkopen.

nietorigineel @_Bailey_ • 17 februari 2026 10:48

Kan natuurlijk ook zijn dat deze mensen een wachtwoord herbruikt hebben dat in een ander/eerder lek al bekend is geworden.

wimkaay @_Bailey_ • 17 februari 2026 11:31

Een kwartier geleden gebeurde dit tevens bij mij (godzijdank tweestapsverificatie ingeschakeld). Het gaat heel goed mis bij Odido. Redelijkerwijs begrijp ik dat een hack altijd kan plaatsvinden, hoe veilig een systeem ook is. Dat het echter misging door vermeende phising-mails, is in mijn ogen een enorme flater en iets is wat ten alle tijden te voorkomen zou moeten zijn. Ik begrijp dat de medewerkers van Odido nog steeds menselijk zijn, maar de gevolgen door (in mijn ogen) grove fouten zijn enorm. Ik denk dan ook dat massaclaims een kans van slagen hebben.

no_way_today @_Bailey_ • 17 februari 2026 11:01

Hier inmiddels het ww gewijzigd evenals het e-mailadres.

_Bailey_ @no_way_today • 17 februari 2026 11:32

Ja hier nu hetzelfde gedaan.

Rogers @_Bailey_ • 17 februari 2026 11:38

Bij mij sinds gister ook inlog pogingen op het mijn gelekte hotmail adres, krijg passwordless authenticatie popups.
Plus mijn spambox loopt vol en kreeg een phishing sms.

Lijkt mij geen toeval.

Knul @_Bailey_ • 17 februari 2026 11:45

Het kan ook goed zijn dat de mailadressen bij een eerdere hack betrokken waren, waar wel wachtwoorden waren gelekt. Bij hergebruik van een wachtwoord kan dit dan gebruikt worden om in te loggen.

Geluk bij een ongeluk: 2FA wordt in ieder geval afgedwongen...

17 februari 2026 10:20

Sterker nog in het privacybeileid van Odido staat dat ze bepaalde persoonsgegevens niet kunnen verwijderen:

Gegevens laten verwijderen.
We kunnen niet alle persoonsgegevens verwijderen:

Heb je een abonnement bij Odido? Dan gebruiken we je persoonsgegevens om te zorgen dat je onze diensten kan gebruiken. Als je contract nog niet is afgelopen, kunnen we dus niet al je persoonsgegevens verwijderen.
Sommige gegevens heeft Odido nodig om het bedrijf te laten draaien of omdat er in de wet staat dat het moet. Zo moeten we facturen 7 jaar bewaren voor de Belastingdienst.

Heb je geen Odido abonnement meer en wil je zoveel mogelijk gegevens laten verwijderen? Kan met het Aanvraagformulier verwijdering persoonsgegevens. Kies het formulier dat bij je abonnement hoort en vul ‘m in:

https://www.odido.nl/privacy

Dus hoe zich dit verhoudt met hun bewaartermijn?

mad-dog @Chocoball • 17 februari 2026 10:24

Fiscale gegevens zijn ze verplicht om 7 jaar te bewaren, daar gaat het hier ook niet om. Andere gegevens zoals ID-gegevens is max 2 jaar nadat alle verplichtingen naar elkaar zijn beeindigd

computer1_up @mad-dog • 17 februari 2026 10:31

Nou, het is dus de vraag welke specifieke gegevens dan te lang bewaard zouden zijn. Als bijvoorbeeld ID-kopieën en dergelijke wel netjes na 2 jaar verwijderd zouden worden, dan zouden voor een ex-klant van ze die 5 jaar geleden is overgestapt dus wel fiscale gegevens zijn gelekt maar mogelijk geen andere zaken. Dát bepaalde gegevens die ouder zijn worden bewaard en uitgelekt zijn, geeft nog geen heldere indicatie of dat (ten onrechte) ook álle gegevens zijn. Als dat wel zo is, dan is dat natuurlijk ontzettend kwalijk.

[Reactie gewijzigd door computer1_up op 17 februari 2026 10:34]

Claude @mad-dog • 17 februari 2026 11:01

Stel je eens voor, dat de NAW-gegevens op de factuur in de facturendatabase gelinkt zijn aan de database van persoonsgegevens. Dan moet je ook die laatste database 7 jaar in de lucht houden.

mad-dog @Claude • 17 februari 2026 11:09

Kans is aanwezig. Dan vraag me ik alleen al waar ze die zogenaamde security officers vandaan hebben gehaald. Naar eigen zeggen staat veiligheid altijd voorop, maar als het 1 database betreft dan is dat niet met elkaar te rijmen

Magic @Claude • 17 februari 2026 11:28

Dat zou een hele slechte implementatie zijn, want stel je adres wijzigt, dan wil je niet dat die met terugwerkende kracht op je facturen wordt toegepast.

!mark @mad-dog • 17 februari 2026 11:06

Zelfs 2 jaar vind ik eigenlijk nog veel te lang voor zaken als IDs, tenzij dat door de overheid verplicht is natuurlijk, ik heb geen juridische achtergrond maar volgens mij is dit volledig de keuze van Odido om het zolang onnodig vast te houden.

Ik ben zelf ~1.5 jaar geleden qua mobiel-abbonement vertrokken bij Odido en baal er dus behoorlijk van dat er zoveel van mijn gegevens nu op straat liggen, alles behalve facturen etc. had wat mij betreft echt allang weg gekund van de servers van Odido.

Niemand_Anders @mad-dog • 17 februari 2026 11:36

Het enige dat je hoeft te bewaren is de uitgeprinte factuur en die staat zeer waarschijnlijk al lang in je boekhoudsysteem (Exact, Twinfield, etc).

Er is geen enkele reden om die gegevens 7 jaar in je ERP systeem te bewaren.

Buffalo @Chocoball • 17 februari 2026 11:08

Die tweede bullet is ook lekker vaag. ‘Sommige gegevens nodig’ om het bedrijf te laten draaien. Welke gegevens hebben ze van mij als oud klant dan nodig om hun werk te kunnen doen?

Memori @Chocoball • 17 februari 2026 11:40

Zo moeten we facturen 7 jaar bewaren voor de Belastingdienst.

Maar dat hoeft niet digitaal of via een database dat 24/7 via het internet toegankelijk is. Volgens mij heeft het AVG (Het DPA iig wel, waar AVG op gebaseerd is) daar ook iets over te zeggen.

bovengemiddeld 17 februari 2026 10:16

Ik snap eigenlijk niet waarom grote bedrijven niet gewoon jaarlijks door een externe partij moeten worden geaudit op hun databeheer, een partij die volledige toegang tot alle relevante data krijgt, erover vragen kan stellen, bijzonderheden kan aankaarten en eventueel kan doorverwijzen naar regelgevende instanties als problemen niet worden opgelost.

MeNTaL_TO @bovengemiddeld • 17 februari 2026 10:22

Je bedoelt zoieta als ISO27001?
https://assets.odido.nl/x...n-tot-10-januari-2018.pdf

Het beheren en beveiligen van waardevolle gegevens is bij T-Mobile Thuis gebaseerd op de internationaal erkende beveiligingsnorm ISO 27001.

https://assets.odido.nl/x..._csrreport2023_nl_def.pdf

24 jun 2024 — We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO. 27001-certificering. Zo kunnen we mensen die diensten van Odido ...

Dan nog blijven de medewerkers de zwakke plek.

[Reactie gewijzigd door MeNTaL_TO op 17 februari 2026 10:24]

Houtenklaas @MeNTaL_TO • 17 februari 2026 11:13

Je bedoelt zoieta als ISO27001?

Dan nog blijven de medewerkers de zwakke plek.

We weten met zijn allen dat medewerkers de zwakke schakels zijn, het zijn immers mensen. Maar dan neem je dus maatregelen door dit soort klantgegevens op een afgeschermd stuk netwerk te zetten. Door oude data inderdaad te verwijderen, desnoods op cold storage. Belastinggegevens moet je inderdaad langer bewaren, maar niemand zegt dat dat "online" moet. Je neemt maatregelen dat één medewerker die - zeg - 12 klanten per uur kan helpen ook bij niet meer dan 20 klantgegevens per uur kan.

Kortom, maatregelen dat het fysiek heel veel lastiger wordt om in bulk data te downloaden. En ja, dat kost geld om dit af te dwingen en blijvend in stand te houden. Ik kwam in mijn zoektocht naar wat provider uitspoken deze tegen, dat ziet er wel transparant uit: https://github.com/KPN-CISO/kpn-security-policy

Cyberpuppy @MeNTaL_TO • 17 februari 2026 10:48

Die audits zijn ook niet heilig kan ik je verzekeren. Het helpt bij bewustwording in de organisatie, maar is zeker geen garantie voor een daadwerkelijk goede beveiliging

Klauwhamer @Cyberpuppy • 17 februari 2026 11:03

Een ISAE 3402 Type II geeft weldegelijk een goed beeld of een bedrijf doet wat ze zegt dat ze doen. Het is geen pass/fail-certificaat met soms twijfelachtige incentives maar een assurance rapport waar afwijkingen bij een serieuze steekproef gerapporteerd worden. Ik heb grote providers gezien met bevindingen en afwijkingen op bijvoorbeeld on- en offboarding van werknemers.

Cyberpuppy @Klauwhamer • 17 februari 2026 11:06

Je had het over ISO 27001.

Klauwhamer @Cyberpuppy • 17 februari 2026 11:37

Nee. Ik noem een voorbeeld waarbij het wél waardevol is.

loewie1984 @Cyberpuppy • 17 februari 2026 11:05

Klopt, maar je kunt vragen stellen bij een ISO27001 verklaring als dit soort afwijkingen niet naar voren komen bij een audit. Ik snap dat er steeksproefsgewijs gekeken wordt naar de uitvoering van controls en de evidence die daar bij hoort, maar dat dit niet naar voren is gekomen in al die jaren dat Odido geaudit is geworden is vreemd.

Dan zou een ISAE3000 assurance verklaring beter passen op basis van de ISO27001 norm, daar wordt tenminste gekeken naar een evidence trail van 6 tot 12 maanden en is in die zin veel grondiger dan ISO27001.

Want dit soort gebeurtenissen en het gegeven dat bedrijven tegenwoordig menen binnen 2 weken wel ISO27001 te kunnen halen, halen de waarde van de accreditatie omlaag.

JustSomeWords @MeNTaL_TO • 17 februari 2026 11:12

Kan je vertellen dat er bij een ISO 27001 audit heel heel erg veel gemist kan worden. Een goede auditor kan ver komen maar is enorm afhankelijk van wat het bedrijf deelt aan wat voor systemen ze hebben. Als bepaalde stukken software niet zichtbaar zijn gemaakt zullen die ook niet geaudit worden. De auditor kan nu eenmaal niet gokken wat er allemaal draait binnen de volledige infra van een bedrijf. Ze zullen zeker vragen wat er allemaal aanwezig is, maar als het bedrijf (al dan niet kwaadwillend) niet meld dat er ergens klantgegevens worden bewaard zal de auditor daar niet achter komen.

Met name niet als de data dubbel bestaat in de organisatie. Aka, de auditor zal heus wel het hoofd CRM systeem van Odido zien. Maar echt niet alle systemen die data erin voeden of juist eruit halen. Of in een geval van Odido waarbij 2 bedrijven samen verder zijn gegaan zou het ook goed kunnen dat data van oud klanten van 1 van de 2 partijen nog in een oud systeem bestaat dat al lang uitgeschakeld had moeten worden maar om een of andere reden nog steeds in de lucht wordt gehouden. Dan kan de data cleanup prima werken op de primaire systemen maar zijn er zo toch nog genoeg manieren om iets over het hoofd te zien.

Een penetratie test is een grotere kanshebber, want daar gaat de tester zelf (gedeeltelijk geautomatiseerd) zelf proberen binnen te komen en op zoek naar waar hij bij gegevens kan komen. Dat lijkt al meer op dezelfde methode als kwaadwillenden gebruiken om data te vinden. Maar ook zo'n test is alleen zo effectief als de scope (waar mag de tester komen, wat mag hij doen) en de hoeveelheid tijd die ervoor gereserveerd wordt. Social engineering valt in heel veel gevallen bij dit soort tests buiten de scope.

PatrickH89 @MeNTaL_TO • 17 februari 2026 11:32

ISO27001 zegt eigenlijk alleen maar dat je de mogelijkheden hebt om de data goed te beschermen, maar eigenlijk zegt het weinig over of je dit ook daadwerkelijk doet helaas.

Exhonor 17 februari 2026 10:12

Hoe meer hierover naar buiten komt hoe amateuristischer Odido blijkt te zijn.

Weet iemand of er ergens audits te vinden zijn over de cyber security van andere providers, dat zou het kiezen voor een nieuwe provider een stuk makkelijker maken.

arbraxas @Exhonor • 17 februari 2026 10:16

Ach, je gegevens zijn al 1000x gelekt en Odido is alleen maar de zoveelste in een lange lange rij.
Zolang alles online benaderbaar moet zijn zal dit ook niet verbeteren.
Uit gemakzucht doen we dit ons zelf aan.

PhaeTom @arbraxas • 17 februari 2026 10:25

Lekker blijven roepen dit, dan blijven partijen als Odido er in de toekomst ook geen bal om geven. Het lekken van paspoortnummers en bankrekeningnummers is toch wel een serieuze zaak hoor. Ik vind het ook opzienbarend dat dergelijke info blijkbaar op dezelfde plek wordt bewaard, terwijl dat volgens mij prima gescheiden kan worden, zodat de gegevens bij een hack lastiger aan elkaar te linken zijn.

arbraxas @PhaeTom • 17 februari 2026 10:27

Ok, ga je dan de volgende keer niet je gegevens afgeven?
Zolang hier geen serieuze audits en consequenties aan hangen zal dit echt niet veranderen. En we zijn al veel te laat helaas.

PhaeTom @arbraxas • 17 februari 2026 10:33

Euh, dat is precies mijn punt.

Robbierut4 @arbraxas • 17 februari 2026 11:02

Ok, ga je dan de volgende keer niet je gegevens afgeven?

Mogelijk niet nee. Ik ben naar aanleiding van dit eens door mijn password manager gegaan. Heb ondertussen al 84 oude accounts verwijderd, of waar dat omslachtig is alle gegevens veranderd en het gekoppelde email adres omgezet naar een temp email.

Helaas leven we in een realiteit waar dit soort hacks bijna dagelijks voorkomen. Hoef het criminelen niet perse makkelijker te maken om al die data aan elkaar te linken voor 1 groot profiel.

Pendora @arbraxas • 17 februari 2026 11:45

We zijn nooit te laat. Er worden ook nog steeds mensen geboren. Laten we dan iig zorgen dat zij niet in alle databases komen.

InfiniteSpaze @arbraxas • 17 februari 2026 10:22

Ik begrijp waar je vandaan komt maar dat betekent niet dat we het slecht beveiligen van gegevens maar moeten normaliseren. Als bedrijven alles van ons willen weten moeten ze ook verantwoordelijk zijn voor het beveiligen van deze gegevens. In een ideale wereld zouden ze het anders ook niet mogen opvragen.

Lord Anubis @arbraxas • 17 februari 2026 10:41

onzin. Zij beweerden iets wat niet waar was en uiteindelijk illegaal is. Dus, schuif het niet in de consument of klant in zijn schoenen. Nooit wat te maken gehad met T-mobile en Odido. Vond het altijd een louche bende. Kreeg ooit een aanmaning van hen terwijl ik nog nooit ergens mijn gegevens had ingevuld. Ze hadden via een vergelijkingssite mijn postcode en huisnummer gebruikt en mijn naam erbij gevonden en beweert dat ik een Samsung telefoon had besteld. KPN idem dito, had gevraagd om mijn xs4all gegevens te verwijderen, kreeg ik onlangs, 8 maanden later, een telefoontje of ik opnieuw lid wilde worden en dat ik bijna vanaf dag 1 lid was geweest van XS4ALL. Hoezo nalatig van een provider, hoezo gemakzuchtig van een consument? Grappig was dat idd XS4ALL HD geen gegevens meer had maar KPN wel.

CR2032 @arbraxas • 17 februari 2026 10:45

Je moet het niet omdraaien. Gemakzucht van de beveiliging is dit, want je wordt verplicht om die gegevens in te vullen. Oorzaak en gevolg.

Organisaties moeten veel meer aandacht en geld aan informatiebeveiliging besteden.

Met alleen roepen dat het toch niet anders kan schiet niemand wat mee op. Dat is pas gemakzuchtig.

Cyberpuppy @arbraxas • 17 februari 2026 10:51

Mee eens dat mijn gegevens al lang op straat liggen.

Echter als ik het verhaal lees dan heeft men blijkbaar via een medewerkers account toegang gehad. Ik begrijp dat je als medewerker toegang nodig hebt tot vrijwel alle klantgegevens. Echter is het mij een raadsel hoe men een export heeft kunnen maken van 6,2 miljoen accounts. Dat zou niet mogelijk moeten zijn.

avlt @arbraxas • 17 februari 2026 10:20

accountnaam en wachtwoord misschien, maar paspoortnummers en bankrekeningnummers toch zeker niet

MulMonkey @arbraxas • 17 februari 2026 10:29

Jouw "privacy is toch al dood" argument helpt alleen de datahongerige partijen en niet de mensen die vechten voor betere bescherming. Je kunt beter je mond houden of het belang voor ANDEREN wel waarderen.

zwartbaard @MulMonkey • 17 februari 2026 10:59

Zo slecht argument dat er al een wikipedia pagina voor is :) Wikipedia: Nothing to hide argument

Honytawk @arbraxas • 17 februari 2026 11:43

Als jij naar een publiek toilet ga, dan laat jij ook je deuren openstaan zeker?
Want al je privacy ligt toch al lang op straat?

Er zijn genoeg manieren om je privacy te waarborgen.
Omdat jij je reet er aan veegt maakt dit nog niet het geval voor iedereen.

Fidesnl @Exhonor • 17 februari 2026 10:27

Administratie bij Odido is al jaren een puin. Heb hier al meerdere klachten voor ingediend.

Ik sluit meestal een contract af van één of twee jaar, dan verwacht je iedere maand hetzelfde bedrag te betalen, maar helaas. Iedere maand is er een ander bedrag en wordt de vorige maand weer gecorrigeerd. Het is zo erg dat zelfs het eigen personeel niet snapt wat ik nou wel of niet betaald heb. Daarom krijg ik dan als ik bel weer geld terug.

Nu tel ik na een half jaar of een jaar alle afgeschreven bedragen van mijn bankrekening bij elkaar op en kijk of dat enigszins klopt met mijn abonnement. Amateuristisch, maar de werkelijkheid.

[Reactie gewijzigd door Fidesnl op 17 februari 2026 10:28]

M3m30 @Fidesnl • 17 februari 2026 10:45

Ben blij dat ik niet naar Odido ben overgestapt zeg.. wilde om goedkoper uit te zijn naar Odido overstappen via die Odido 1 klik is klaar ding dus dat je internet (vast) via 4G modem werkt.

lithiumangel @M3m30 • 17 februari 2026 11:04

Ik denk dat het gewoon altijd een dobbel-steen rol is met hoe je een bedrijf ervaart.

Ik zit sinds 2014 oid bij T-mobile/odido hun unlimited abonnement. Nergens last van gehad, geen rare fratsen dat m`n factuur elke maand anders was zoals Fidesnl. Geen storingen waar ik last van heb gehad etc.

Idem ditto bij Ziggo, heb ik ook echt sinds de A2000 tijdperk meegemaakt op mijn adres waar ik tot aan 2021 woondde en nooit last gehad van een slechte en/of instabiele verbinding. Maar hele fora zitten vol van anti-ziggo posts en horror verhalen.

Heb ik dan nooit problemen met bedrijven ? Nee natuurlijk niet, zo zijn er weer andere bedrijven waar ik onnodig gez**k mee heb. Dus ja, daarom ben ik ervan overtuigd dat het een dobbel-steen rol is.

M3m30 @lithiumangel • 17 februari 2026 11:24

Ik had eerste 3 maanden toen ik Ziggo klant was problemen met ze.. mijn abonnement stond ineens dubbel in het systeem.. betaalde dus 3 maanden teveel en ja het duurde 3 maanden toen ze dan opgelost hadden... al had ik daarna ook problemen met ze hoor.. zo was de belofte om een kabel netjes aan te leggen niet waar gemaakt...wilde monteur niet doen en pas na flinke klacht bij de klantenservice werd het opgelost terwijl het enkel doortrekken was. geen boren oid.
Qua wifi is sinds ziggo stabiel ook qua snelheid sinds ik de nieuwe zwarte modem kreeg.
Verder is Ziggo echt prijzig.
Maar als je ziggo sport wilt kijken (voor Nascar/Indycar) dan moet je weer verplicht een digi tv abonnement bezitten en daar mag Den Haag wat mij betreft wel wat aan doen hoor.. dat je gewoon normaal rechtstreeks moet kunnen abonneren op Ziggo sport/ESPN zonder koppelverkoop van digi TV.

M3m30 @Exhonor • 17 februari 2026 10:44

Ik werk zelf niet in de provider/Telefonica sector etc maar in een andere wereldje maar krijg vanuit mijn werkgever zeker denk 1 keer per 6 maanden max een opfris cursus omtrent phishing en we krijgen regelmatig mails erover hoe te handelen.
Zover ik lees is het bij Odido echt slecht gesteld, lijkt wel of er 0 trainingen plaats vinden want damn.. voordoen als IT'er?

henkkeumus 17 februari 2026 10:13

En op grond van deze bevinding(en) kunnen we (mits jouw gegevens wel langer zijn bewaard dan aangegeven) wel een schadeclaim bij Odido indienen?

Broud @henkkeumus • 17 februari 2026 10:18

Je kan 1) een klacht bij de AP indienen, en 2) een civiele zaak starten. Bij een civiele zaak zal de kans groot zijn dat je gelijk krijgt, maar is het altijd maar de vraag of je ook daadwerkelijk compensatie krijgt omdat materiële of immateriële schade moeilijk aan te tonen is.

PdeBie @Broud • 17 februari 2026 10:33

Maar het levert wel een precedent op voor toekomstige fouten die Odido maakt. Als ze dan nog een keer de fout in gaan, kan je zeggen...... toen zijn jullie ook al de mist in gegaan en voor gestraft. Dus nu extra straf, want het gaat weer fout.

bluimes @Broud • 17 februari 2026 11:00

Een datalek kan stress, slapelozenachten en concentratieverlies opleveren. Dat kun je kwantificeren als pijn, leed en verdriet en dusdanig opvoeren als vordering. Er is veel jurisprudentie in uiteenlopende zaken waar dit als containerbegrip wordt gebruikt voor klein leed. Je moet dan denken aan claims van 500 euro.

[Reactie gewijzigd door bluimes op 17 februari 2026 11:01]

Niemand_Anders @bluimes • 17 februari 2026 11:41

En nadat je dan eindelijk die 500 euro hebt ontvangen op je bankrekening, krijg je de factuur van je advocaat...

InfiniteSpaze @henkkeumus • 17 februari 2026 10:24

Maar natuurlijk niet!

Het verbaast mij altijd dat bedrijven zulke gegevens van iedereen opslaan en helemaal niet verantwoordelijk worden gesteld wanneer dit lekt. Natuurlijk zal het enorm moeilijk zijn om je bedrijf te beschermen tegen hackers, maar er zou wel iets van een audit moeten zijn zodat we standaarden hebben voor de opslag van persoonsgegevens. Wanneer bedrijven dit niet hebben, zouden ze meer aansprakelijk moeten worden gesteld wanneer zoiets gebeurt.

Mouze88 17 februari 2026 10:14

Is dit een reden om je contract daar op te mogen zeggen? Ben er wel een beetje klaar mee, zit er aan te denken over te stappen naar een andere aanbieder.

@Mouze88 • 17 februari 2026 10:26

Niet dan ze dan wél je gegevens verwijderen, blijkbaar

3raser @Mouze88 • 17 februari 2026 10:35

Het kwaad is al geschied en je gegevens worden toch niet verwijderd. Door nu over te stappen geef je een nieuwe provider eigenlijk de kans om ook je gegevens te lekken. Het voelt nogal tegenstrijdig maar bij Odido blijven zou voor nu juist de beste keuze zijn.

Exhonor @3raser • 17 februari 2026 10:44

Voor mij is dit echt een vertrouwenskwestie;

Ik zit al jarenlang bij Odido omdat ik er gewoon nooit problemen bij had, ook al had ik elders eenzelfde abonnement goedkoper kunnen krijgen.

Echter, nu blijkt hoe zij omgaan met mijn gevoelige data is het vertrouwen ver te zoeken, maar vraag ik me ook nog eens af of ze wel het volledige verhaal vertellen of dat er toch meer is gelekt dan ze nu toegeven. Of dat ze niet eens weten wat er precies allemaal gelekt is.

Als ik overstap loop ik inderdaad het risico dat die provider hetzelfde overkomt, maar in dat geval wordt precies dezelfde data gelekt als nu al op straat ligt.

watercoolertje @3raser • 17 februari 2026 10:58

Het voelt nogal tegenstrijdig maar bij Odido blijven zou voor nu juist de beste keuze zijn.

Alsof ze het niet opnieuw kunnen lekken bij Odido, de kansen dat dat gebeurd zijn niet gereset ofso

Maargoed het is ook niet zo dat als je nu naar KPN/Vodafone gaat en die lekken je data dat andere dan ineens 2x zo veel data van je hebben, dat is dan praktisch dezelfde data

Dus overstappen kan net zo veel (of weinig) kwaad mbt je gegevens. Als ik er zou zitten zou ik 100% zeker opstappen zodra het kan, maar ik zit er gelukkig niet maar overweeg ze dus ook niet bij eventuele nieuwe contracten...

HKS-Skyline @Mouze88 • 17 februari 2026 10:37

dan moet je je contract gaan doorbladeren en uitzoeken of er iets in staat over gegevens beschermen oid. Als je kan aantonen dat ze contractbreuk hebben gepleegd dan sta je in je recht om het contract op te zeggen. Maar hier hebben ze vast al goed over nagedacht.

P_Tingen @Mouze88 • 17 februari 2026 10:43

Of het een reden voor opzeggen is weet ik niet, maar in tegenstelling tot wat @3raser zegt, denk ik dat het voor jezelf juist veiliger is om nu over te stappen. Elke sms / mail / telefoontje wat je daarna van "Odido" krijgt kun je dus negeren en daarmee verklein je het risico om slachtoffer te worden van een oplichter

Tonnetjes 17 februari 2026 10:16

Ik weet vrij zeker dat ik ook al langer dan twee jaar weg ben bij Odido (toen T-mobile), maar denk dat het daarom ook o.a. mijn oude (adres)gegevens bevat. Is er een manier om dit na te gaan? En te controleren of mijn gegevens langer dan twee jaar bewaard zijn geweest? Ik kan mij voorstellen dat ze niet per mail zullen aangeven welke gegevens er precies buitgemaakt zijn…

mcmd @Tonnetjes • 17 februari 2026 10:26

Blijkbaar zou je een mail krijgen van Odido als je naam nog in het bestand zou zitten. Garantie heb je natuurlijk niet. Ik kreeg mijn mail na 1 of 2 dagen pas, dus wellicht moet je geduld hebben (ben nu zo'n 1,5 jaar geen klant bij Odido).

Tonnetjes @mcmd • 17 februari 2026 11:26

Excuus! Ik heb de mail dus wel ontvangen, vandaar mijn verbazing (want al langer dan twee jaar weg). Tegelijkertijd nu dus ook wel benieuwd welke gegevens er dan precies gelekt zijn, omdat ik rond die tijd ook verhuist ben.

maomanna @Tonnetjes • 17 februari 2026 10:28

Een avg verzoek indienen?

donkerlicht @maomanna • 17 februari 2026 10:37

Ik heb per ommegaande gevraagd welke einddatum ze dan hebben. In mijn administratie lag die eerder dan twee jaar geleden.

Een avg-verzoek indienen gaat niet. Ik heb geen idee welk bankrekeningnummer ik destijds gebruikte, en laatste incassobedrag is ook niet te vinden. Op mijn huidige rekeningnummers kan ik geen incasso’s van Tele2/Odido terugvinden. De klantomgeving van Odido van mijn oude klantaccount is verder ook leeg.

ZenDargo 17 februari 2026 10:23

Ik ben ook wel nieuwsgierig. Ik ben er niet helemaal in thuis, maar er is wel een wet Regeling veiligheid en integriteit telecommunicatie.

In hoeverre zou Odidio aangeklaagd kunnen worden omdat ze zich niet aan de wet gehouden hebben?

mad-dog @ZenDargo • 17 februari 2026 10:28

Als persoon heeft dat weinig zin, tenzij je keihard kan aantonen dat je schade hebt geleden(wat heel erg lastig is en meer kost dan het oplevert)

CR2032 @mad-dog • 17 februari 2026 10:56

De kosten voor een nieuw ID/paspoort nummer is anders niet zo lastig om te bepalen.

mad-dog @CR2032 • 17 februari 2026 11:00

Maar je zal vermoedelijk nog steeds moeten bewijzen dat er misbruik van is gemaakt. Je kunt natuurlijk op je klompen aanvoelen dat van 6,4 miljoen (ex-)klantende kosten voor het vervangen van ID nooit gaat gebeuren

Buffalo @ZenDargo • 17 februari 2026 11:04

Campagne ala DSB Bank starten om op te roepen te vertrekken bij Odido. Dan is dit bedrijf zo kapot en failliet.

Firecrash 17 februari 2026 10:14

Odido zegt tegenover het FD dat het bedrijf meer tijd nodig heeft om uit te zoeken waarom klantgegevens langer dan twee jaar worden bewaard.

Alsof het geen bewuste actie is... Dit zijn je basis instellingen/afspraken die je instelt op je database of server waar dit spul staat. Dit is geen raketwetenschap. Als je dit al niet goed kan zetten... Wat voor prutspartij ben je dan? (sorry voorde platte taal)

Eigenlijk zou een bedrijf van dit formaat hier per direct een gigant van een boete op moeten krijgen. Ongeacht waardoor dit komt. Dit moet niet kunnen...

XelaRetak @Firecrash • 17 februari 2026 10:20

Gelukkig bestaat daarvoor de GDPR, en er zijn ook raakvlakken met NIS2 incl mogelijke boetes. Maar daarvoor zal het onderzoek wel afgewacht moeten worden zodat het hele plaatje duidelijk is.

Wat ik nog mis in dergelijke regelgeving is een exit voor klanten. Ik vind het niet meer dan redelijk dat een klant, bij dit soort duidelijke overschrijding van haar rechten, moet kunnen kiezen om kosteloos afscheid te nemen (toestelkredieten e.d. buiten beschouwing gelaten natuurlijk)

Alex3 @Firecrash • 17 februari 2026 10:44

Die boete wordt dan doorberekend in de tarieven. Dan ben je dubbel de klos.

Polderdijk 17 februari 2026 10:15

Toch vindt ik het tijd voor wetgeving die beslist dat een bedrijf altijd een bepaalde mate van boete moet betalen. In de vorm van schadevergoeding of ander soort boete.

Nu bepalen heel veel managers in het bedrijfsleven dat er géén tijd en geld besteed moet worden aan het beveiligen van data. Aangezien dit niet (direct) resulteert in omzet/winst en dus altijd een kostenpost blijft.

Als er een geldelijke boete tegenover staat, dan kan dit direct voor managers wél een aanleiding zijn om hier tijd en/of geld aan te spenderen, aangezien het anders mogelijk nóg meer geld kost.

Nu loont het voor veel bedrijven niet om hier geld in te steken, mocht het fout gaan, dan even een goed PR-team opstarten en niemand praat er meer over na een paar weken.

TIGER79 @Polderdijk • 17 februari 2026 10:25

Ik kan me er helemaal in vinden dat er een soort van straf moet komen maar met boetes is het altijd de vraag wie je dan straft : het bedrijf of de klanten ? Want wat een bedrijf dan doet is simpelweg de kosten doorverrekenen aan klanten.
Dat is natuurlijk op te vangen : een straf kan zijn dat ze een boete moeten betalen EN 2 jaar geen verhogingen mogen doorvoeren, of 3 jaar geen bonussen of salarisverhogigngen voor management, of een deel van hun aandelen overleveren aan de overheid enz enz... Enkel is dat vanuit wetgeving niet mogelijk, dus illegaal.... Maar dat soort interventies die gaan dan wel "aan het hart" bij de directie('s)...

CR2032 @Polderdijk • 17 februari 2026 10:51

Inderdaad. Een boete van bijvoorbeeld 7,5 miljard euro maakt iedereen wel wakker.
Daarboven op class action claim van een jarenlange slepende rechtsgang. Dat zet het imago van het bedrijf ook op scherp.

Ik noem even een willekeurig bedrag, het moet wel in verhouding van de organisatie en tegelijk een forse straf zijn.

Om te kunnen reageren moet je ingelogd zijn