'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'

Odido heeft de eigen bewaartermijn voor persoonsgegevens overschreden, meldt het Financieel Dagblad. De provider, die eerder deze maand door een datalek werd getroffen, zegt gegevens van klanten niet langer dan twee jaar na het einde van hun contract te bewaren.

Klanten die vijf of tien jaar geleden zijn overgestapt naar een andere provider, hebben bericht gekregen dat hun gegevens zijn buitgemaakt, meldt de NOS op basis van het Financieel Dagblad. Odido werd vorige week getroffen door een datalek. Daarbij werden in totaal de gegevens van 6,2 miljoen mensen buitgemaakt. Ook klanten van Ben zijn getroffen door het lek.

Odido schrijft in zijn privacyverklaring dat het gegevens tot maximaal twee jaar na het einde van het contract bewaart, volgens het bedrijf voor het geval dat mensen weer klant willen worden. Factuurgegevens bewaart de provider maximaal zeven jaar na het einde van het contract, omdat dit verplicht zou zijn voor de Belastingdienst.

Odido zegt tegenover het FD dat het bedrijf meer tijd nodig heeft om uit te zoeken waarom klantgegevens langer dan twee jaar worden bewaard. De hackers, die binnenkwamen door 2fa-codes te socialengineeren, hebben naar verluidt naam- en adresgegevens, paspoort- en bankrekeningnummers in handen gekregen.

Odido stock (bron: oliver de la haye/Getty Images) — Bron: Oliver de la Haye/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 17-02-2026 10:09
229 • submitter: Basje93

17-02-2026 • 10:09

Submitter: Basje93

Lees meer

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek

Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren

NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido

Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval

Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026

Meer producten en artikelen

Bedrijfsnieuws Privacy internet providers Odido privacy schending Provider

IT-banen

Meer vacatures

Reacties (229)

229

223

88

8

0

120

Wijzig sortering

_Bailey_ 17 februari 2026 10:14

in het Odido waarschuwt voor datalek (cyberaanval/hack) topic ook tevens melding van meerdere mensen vanochtend waar geprobeerd wordt in te loggen op het Odido account.
Ontvangst van eens sms verificatiecode.

Volgens mij zijn dan ook, in tegenstelling tot eerdere berichten vanuit Odido, wél de accountgegevens ook binnen gehengeld bij de hack van 7 en 8 feb.

[Reactie gewijzigd door _Bailey_ op 17 februari 2026 10:15]

PCG2020 @_Bailey_ • 17 februari 2026 10:37

Hebben die gebruikers de mail of de sms van Odido ontvangen dat hun gegevens gelekt zijn, of juist niet?

Want in het eerste geval (gegevens gelekt, mail/sms gekregen) kunnen ze inlogpogingen op hun Odido-account verwachten en moeten ze stappen ondernemen, zoals het wijzigen van hun (gelekte) wachtwoord.

In het tweede geval (gegevens gelekt, géén mail/sms gekregen) is het natuurlijk een stuk kwalijker. Dan heeft Odido nagelaten om hun binnen 48 uur in te lichten over het lek, zoals Odido toegezegd heeft.

edit: Blijkbaar zijn er geen wachtwoorden gelekt bij de hack.

[Reactie gewijzigd door PCG2020 op 17 februari 2026 12:57]

_Bailey_ @PCG2020 • 17 februari 2026 10:55

ik weet het niet van iedereen in dat topic. Maar ik zelf heb 2 afzonderlijke mails ontvangen eerder deze week van Odido over de gegevens van mij die gelekt zijn.

Daar stond specifiek in dat niet mijn Odido accountgegevens gelekt waren; dat blijkt nu in de praktijk dus wel zo te zijn, aangezien ik dus net pogingen zie tot toegang van mijn Odido account

dabrainz @_Bailey_ • 17 februari 2026 11:31

Gebruik je niet toevallig hetzelfde wachtwoord als dat je ergens anders gebruikt en/of wat al eens is buitgemaakt bij een eerder lek waardoor ze nu kunne crossreferencen?

_Bailey_ @dabrainz • 17 februari 2026 11:31

Nee dat heb ik direct geverifieerd.

twkr18526 @_Bailey_ • 17 februari 2026 12:12

Ik zat juist bij T-Mobile (nu Odido) en zit in een loop.

Mailtje gekregen over datalek
Via https://www.odido.nl/privacy gegevens proberen op te vragen en te laten verwijderen.
IBAN en bedrag laatste factuur nodig
Lukt niet, PDF factuur werd niet opgestuurd, moet je inloggen
Inloggen lukt wel na password reset, maar facturen inzien kan niet meer - want… geen nummer meer gekoppeld aan Odido account
Koppelen van mijn nummer aan Odido account lukt ook niet (om facturen te zien)
Invullen laatste rekeningnummer kan ik helaas ook niet (de banken die ik gebruik tonen alleen laatste 2 jaar in de app). Zal dus een bestelling bij de bank moeten doen om oudere gegevens te mogen downloaden.

Jammer dat Odido wél mijn gegegens kan lekken, maar dat ik het zelf niet kan inzien. Het wordt zo moeilijk gemaakt en ze wekken de schijn dat ze mijn gegevens hadden gewist na al die jaren… dus niet?

Hans1990 @twkr18526 • 17 februari 2026 12:45

In mijn ervaring is het hele administratie & klantenportaal van Odido is zo in elkaar gebeund als maar kan. Zeer regelmatig problemen gehad met het opvragen of gewoon netjes kunnen voldoen van facturen, ook als normaal actieve klant (voor mobiel).

Toen ik eind vorig jaar had opgezegd stuurden ze nog een laatste factuur net na de kerstdagen. Vervaldatum stond nog voor oud&nieuw, en iDeal betaling via de website kon niet meer (dus met de klassieke overboeking maar gedaan). Het is toevallig dat ik even ter eigen administratieve controle keek; want een herinnering, mail, o.i.d. had ik ook niet gekregen.
En ze zijn heel gierig met snel facturen verhogen.

Je snapt wel, er is een reden dat ik er geen klant meer ben. Mijn internet abonnement heb ik na 2 maanden er al uitgeschopt omdat ze het contract wat ik heb ondertekend "kwijt waren" (dat contract was ook niet terug te vinden op hun site, je weet dus niet welke overeenkomst je hebt). Gelukkig bewaar ik die PDFs wel, maar dat moet je dan wel even herinneren voordat je de krabbel zet.

Het verschil tussen de contracten was een welkomstkorting a 6x40 euro per maand. En of ik eerst even geld kon overmaken en het dan laten crediteren? (Hun systeem kon dat niet wegstrepen). Nee bedankt, incasso stop gezet, overstap geregeld, en bij alle telefoontjes (en meerdere verhogingen) vriendelijk doch dringend benadrukt dat het bedrag (netto) is overgemaakt. Zodoende is het van mij kant klaar.
Uiteindelijk na veel moeite bij de klachtenafdeling dit verhaal duidelijk weten te krijgen. Maar dat heeft helaas wel 3 a 4 telefoontjes gekost. Zelf er om bellen deed ik niet meer, ik praat nog liever tegen de vissen in mijn aquarium.

Ik geloof echt geen enkel publielijk woord meer van Odido, alles is voor PR en imagoschade redden. Losvertaald: er valt weinig te "onderzoeken": ik denk dat ze bewust oude gegevens niet weg gooien, en ze zoeken een goed excuus om er tussen uit te komen. Ik heb dit -helaas- bij meer partijen gezien die ook niet voldoen aan GPDR verzoeken (bevestigend reageren, maar je kan niet controleren of je verzoek is uitgevoerd, vervolgens 3 maanden later weer een nieuwsbrief o.i.d. ontvangen).

Als over 2 jaar men dit allemaal weer vergeten is, verwacht ik dat mijn gegevens nog lang rondzwerven in hun systeem. Bah.

[Reactie gewijzigd door Hans1990 op 17 februari 2026 12:50]

thefal @twkr18526 • 17 februari 2026 14:08

Nog mooier: ik ben nooit lid geweest van Odido. Ik ben al jaaaaren weg bij T-Mobile. Ik heb ook al lang geleden mijn account daar verwijderd. Toch zijn mijn gegevens blijkbaar gelekt.

Om mijn gegevens nu op te vragen of te laten verwijderen moet ik nu eerst een account aanmaken en dan opzoeken wat jaren geleden mijn laatste T-Mobile afschrift was? Belachelijk.

elsinga @thefal • 17 februari 2026 14:54

Hier idem. Ik kreeg de mail over mijn gelekte gegevens op een mailadres dat ik (alleen) bij Tele2 gebruikte en dat echt jaaaaaaren (>10) geleden. Dus dat ze mijn gegevens nog bewaarden was volslagen tegen elke bewaartermijn in.

EmilioC @thefal • 17 februari 2026 16:54

Exact hetzelfde ervaren hier (2021 is mijn contract met Tele2 gestopt). Vind dat Odido hier toch best een flinke straf mag krijgen, want dit druist in tegen elke redelijke bewaartermijn zoals gesteld door AP.

PCG2020 @_Bailey_ • 17 februari 2026 11:12

Ben je misschien overgegaan naar Odido vanuit één van de voorgangers, zoals Tele2 of T-Mobile? Want Odido bestaat natuurlijk pas sinds 2023. Ik kan me voorstellen dat bij de overgang naar Odido jouw account toen is aangepast, want jouw gegevens hadden ze al.

Eventuele oude gegevens, die door de hack nu zijn gelekt, hadden inmiddels natuurlijk wel gewist moeten zijn. Het zal mij niets verwonderen wanneer je met wat puzzelen uit de oude klantgegevens zo de nieuwe kunt afleiden.

_Bailey_ @PCG2020 • 17 februari 2026 11:31

Nee, altijd bij Ziggo en Vodafone gezeten. Nu sinds dik een jaar alles bij Odido

PCG2020 @_Bailey_ • 17 februari 2026 12:52

Kak, balen zeg

TinusH777 @_Bailey_ • 17 februari 2026 13:31

Nooit een ander abonnement gehad bij Tele2, Mobiel, T-Mobile Nederland, Tweak, Ben of Simpel?

Buurtjes60 @TinusH777 • 17 februari 2026 16:33

Simpel is niet bij de hack betrokken. Ik heb hierover geen bericht gehad over de hack.

@_Bailey_ • 17 februari 2026 13:44

Het feit dat je 2FA SMS krijgt (dat overigens vrij eenvoudig te onderscheppen is voor een aanvaller, middels bijv. SS7) houdt niet in dat men jouw wachtwoord weet. Zelfs wanneer men jouw versleutelde wachtwoord weet, houdt nog niet in dat men ook het wachtwoord kan kraken.

Aldy @_Bailey_ • 17 februari 2026 15:18

Dat is precies wat afgelopen week ook geschreven werd hier: Wat als er meer gelekt is dan door Odido toegegeven? Sommige Tweakers vielen over deze reactie, maar moeten we Odido geloven op hun mooie blauwe ogen? Ik denk dat je heel proactief moet zijn in alle mailtjes die je krijgt, want het is best mogelijk dat er aanzienlijk meer is buitgemaakt dan wat ze nu schrijven en dan denk ik aan bankgegevens en ID.

B Tender @PCG2020 • 17 februari 2026 11:32

Hebben die gebruikers de mail of de sms van Odido ontvangen dat hun gegevens gelekt zijn, of juist niet? Want in het eerste geval (gegevens gelekt, mail/sms gekregen) kunnen ze inlogpogingen op hun Odido-account verwachten en moeten ze stappen ondernemen, zoals het wijzigen van hun (gelekte) wachtwoord.

Anderzijds is en was Odido (gevoelsmatig bijna trots, wat vrij misplaatst is in mijn ogen) aan het benadrukken dat wachtwoorden niet gelekt zijn. Lees: geen aanleiding om je wachtwoord te wijzigen.

Er zijn geruchten dat toch ook wachtwoorden van klanten zijn gelekt. Klopt dat?

Nee, dit is onjuist. We willen benadrukken dat er geen wachtwoorden van Mijn Odido of andere inlogsystemen zijn gelekt. De wachtwoorden die klanten gebruiken om in te loggen zijn versleuteld opgeslagen en zijn nooit toegankelijk geweest. Je Mijn Odido is veilig.
Informatiepagina cyberincident | Odido

ep667 @B Tender • 17 februari 2026 11:43

[...]

Anderzijds is en was Odido (gevoelsmatig bijna trots, wat vrij misplaatst is in mijn ogen) aan het benadrukken dat wachtwoorden niet gelekt zijn. Lees: geen aanleiding om je wachtwoord te wijzigen.

De hele communicatie is nogal arrogant (en terecht, want wie maakt ze iets?) en dit past daar wel bij.

Inmiddels zelf ook een SMS'je gehad, terwijl mijn mailadres blah+odido@domein.tld en wachtwoord uniek waren. Had dat wachtwoord natuurlijk zelf direct aan moeten passen, maar beter laat dan niet.

oef! @ep667 • 17 februari 2026 13:27

De communicatie was inderdaad arrogant, "kan ieder bedrijf overkomen" en geen excuses. Erg opvallend was dat ze nergens specifiek aangaven of BSN gegevens wel of niet gelekt waren maar het vaag leken te houden.

@_Bailey_ • 17 februari 2026 10:23

Volgens mij zijn dan ook, in tegenstelling tot eerdere berichten vanuit Odido, wél de accountgegevens ook binnen gehengeld bij de hack van 7 en 8 feb.

Dan zou je denken dat de gegevens inmiddels online zijn gezet of verkocht, want als de aanvallers al bij Odido in de systemen zijn geweest hadden ze wat er dan nu ook per account wordt gedaan, waarschijnlijk ook direct op dat moment kunnen doen?

Slaut @Skit3000 • 17 februari 2026 10:52

Het kan zijn dat ze aan het testen zijn of de accountgegevens werken, voordat ze de hele bundel gegevens verkopen.

@Slaut • 17 februari 2026 13:49

Waarschijnlijk staat de bundel al te koop op darknet, en hebben ze al verkocht via cryptocurrency.

HakanX @Skit3000 • 17 februari 2026 15:31

[...]

Dan zou je denken dat de gegevens inmiddels online zijn gezet of verkocht, want als de aanvallers al bij Odido in de systemen zijn geweest hadden ze wat er dan nu ook per account wordt gedaan, waarschijnlijk ook direct op dat moment kunnen doen?

Ze hebben klantgegevens gescraped, als ik het goed begrijp waren ze niet in het live systeem om zulke dingen te doen. Wat ze kunnen doen als ze kunnen inloggen nu is bv adreswijzigingen en telefoonbestellingen plaatsen en laten leveren bij mules. Belgeschiedenis van belangrijke personen kan ook waardevol zijn. Bij Odido kon je volgens mij ook online esim activeren. Dan kan je dat weer gebruiken voor 2fa om elders in te loggen, zoals bij de bank. Het rekeningnummer hebben ze al. Gevestigde Nederlandse banken hebben wel een cooldown periode na een simwissel, naar zullen genoeg zijn zonder.

In ieder geval veel misbruik opties als ze kunnen inloggen. Ze hadden allang alle wachtwoorden moeten resetten, maar dat is een beetje schuld bekennen he.

nietorigineel @_Bailey_ • 17 februari 2026 10:48

Kan natuurlijk ook zijn dat deze mensen een wachtwoord herbruikt hebben dat in een ander/eerder lek al bekend is geworden.

wimkaay @_Bailey_ • 17 februari 2026 11:31

Een kwartier geleden gebeurde dit tevens bij mij (godzijdank tweestapsverificatie ingeschakeld). Het gaat heel goed mis bij Odido. Redelijkerwijs begrijp ik dat een hack altijd kan plaatsvinden, hoe veilig een systeem ook is. Dat het echter misging door vermeende phising-mails, is in mijn ogen een enorme flater en iets is wat ten alle tijden te voorkomen zou moeten zijn. Ik begrijp dat de medewerkers van Odido nog steeds menselijk zijn, maar de gevolgen door (in mijn ogen) grove fouten zijn enorm. Ik denk dan ook dat massaclaims een kans van slagen hebben.

Rogers @_Bailey_ • 17 februari 2026 11:38

Bij mij sinds gister ook inlog pogingen op mijn gelekte hotmail adres, krijg passwordless authenticatie popups.
Plus mijn spambox loopt vol en kreeg een phishing sms.

Lijkt mij geen toeval.

[Reactie gewijzigd door Rogers op 17 februari 2026 12:47]

TWeaKLeGeND @Rogers • 17 februari 2026 12:33

Hier al een maand dagelijks, bij vrienden ook. (Ruim voor de data diefstal dus)

Knul @_Bailey_ • 17 februari 2026 11:45

Het kan ook goed zijn dat de mailadressen bij een eerdere hack betrokken waren, waar wel wachtwoorden waren gelekt. Bij hergebruik van een wachtwoord kan dit dan gebruikt worden om in te loggen.

Geluk bij een ongeluk: 2FA wordt in ieder geval afgedwongen...

JBuijs91 @_Bailey_ • 17 februari 2026 11:49

Het lijkt me dat ze dan wachtwoorden gebruiken uit andere datalekken.

Het is in ieder geval wel handig om het ww te veranderen als je eentje hergebruikt hebt.

Overigens is het ook aan te raden om de 2FA op authenticatie app te zetten ipv sms aangezien dat in theorie te omzeilen is zoals te zien in deze video van Veritasium.

ccnl @_Bailey_ • 17 februari 2026 12:03

Waarschijnlijk staat nu 2FA (SMS) standaard aan bij mensen met bij Odido bekende telefoonnummer. Mijn 2FA staat in authenticator app, om naar SMS te veranderen, moet ik met mijn ID naar een winkel komen.

no_way_today @_Bailey_ • 17 februari 2026 11:01

Hier inmiddels het ww gewijzigd evenals het e-mailadres.

_Bailey_ @no_way_today • 17 februari 2026 11:32

Ja hier nu hetzelfde gedaan.

17 februari 2026 10:20

Sterker nog in het privacybeileid van Odido staat dat ze bepaalde persoonsgegevens niet kunnen verwijderen:

Gegevens laten verwijderen.
We kunnen niet alle persoonsgegevens verwijderen:

Heb je een abonnement bij Odido? Dan gebruiken we je persoonsgegevens om te zorgen dat je onze diensten kan gebruiken. Als je contract nog niet is afgelopen, kunnen we dus niet al je persoonsgegevens verwijderen.
Sommige gegevens heeft Odido nodig om het bedrijf te laten draaien of omdat er in de wet staat dat het moet. Zo moeten we facturen 7 jaar bewaren voor de Belastingdienst.

Heb je geen Odido abonnement meer en wil je zoveel mogelijk gegevens laten verwijderen? Kan met het Aanvraagformulier verwijdering persoonsgegevens. Kies het formulier dat bij je abonnement hoort en vul ‘m in:

https://www.odido.nl/privacy

Dus hoe zich dit verhoudt met hun bewaartermijn?

mad-dog @Chocoball • 17 februari 2026 10:24

Fiscale gegevens zijn ze verplicht om 7 jaar te bewaren, daar gaat het hier ook niet om. Andere gegevens zoals ID-gegevens is max 2 jaar nadat alle verplichtingen naar elkaar zijn beeindigd

Claude @mad-dog • 17 februari 2026 11:01

Stel je eens voor, dat de NAW-gegevens op de factuur in de facturendatabase gelinkt zijn aan de database van persoonsgegevens. Dan moet je ook die laatste database 7 jaar in de lucht houden.

Magic @Claude • 17 februari 2026 11:28

Dat zou een hele slechte implementatie zijn, want stel je adres wijzigt, dan wil je niet dat die met terugwerkende kracht op je facturen wordt toegepast.

mad-dog @Claude • 17 februari 2026 11:09

Kans is aanwezig. Dan vraag me ik alleen al waar ze die zogenaamde security officers vandaan hebben gehaald. Naar eigen zeggen staat veiligheid altijd voorop, maar als het 1 database betreft dan is dat niet met elkaar te rijmen

DdeM @Claude • 17 februari 2026 13:36

Ik moet de eerste nog tegen komen do Le die zaken daadwerkelijk netjes gescheiden heeft. De twee varianten die ik tot nu toe gezien heb zijn:

Alle gegevens in 1 database, met een beetje geluk per domein apart schema, maar dat is zeldzaam.
Alle gegevens netjes per domein in aparte database, maar, onder de noemer van DRY, referenties naar andere databases voor relationele gegevens.

1 Is de meest voorkomende, en vaak zonder apart schema.

computer1_up @mad-dog • 17 februari 2026 10:31

Nou, het is dus de vraag welke specifieke gegevens dan te lang bewaard zouden zijn. Als bijvoorbeeld ID-kopieën en dergelijke wel netjes na 2 jaar verwijderd zouden worden, dan zouden voor een ex-klant van ze die 5 jaar geleden is overgestapt dus wel fiscale gegevens zijn gelekt maar mogelijk geen andere zaken. Dát bepaalde gegevens die ouder zijn worden bewaard en uitgelekt zijn, geeft nog geen heldere indicatie of dat (ten onrechte) ook álle gegevens zijn. Als dat wel zo is, dan is dat natuurlijk ontzettend kwalijk.

[Reactie gewijzigd door computer1_up op 17 februari 2026 10:34]

SirQuack @computer1_up • 17 februari 2026 12:16

Odido heeft hun zooi gewoon niet op orde (niet echt een verrassing, gezien dat ook de reden is dat ik mijn contract heb opgezegd bij ze). In mijn geval ben ik geen klant meer sinds afgelopen voorjaar, maar hebben ze ook mijn ID-kaart laten lekken.

In hun eigen voorwaarde staat dat dat helemaal niet hoort te kunnen:

Als we om een kopie van je identiteitsbewijs hebben gevraagd toen je klant werd verwijderen we die zodra je geen klant meer van ons bent. Tenzij je je rekeningen niet hebt betaald, dan hebben we de kopie mogelijk nog nodig bij geschillen. -- Privacybeleid Odido, pagina 21

Ik heb dan ook melding gemaakt van het schenden van hun eigen privacybeleid en daarmee ook de AVG, bij de Autoriteit Persoonsgegevens. Hopelijk rolt er een torenhoge boete uit.

!mark @mad-dog • 17 februari 2026 11:06

Zelfs 2 jaar vind ik eigenlijk nog veel te lang voor zaken als IDs, tenzij dat door de overheid verplicht is natuurlijk, ik heb geen juridische achtergrond maar volgens mij is dit volledig de keuze van Odido om het zolang onnodig vast te houden.

Ik ben zelf ~1.5 jaar geleden qua mobiel-abbonement vertrokken bij Odido en baal er dus behoorlijk van dat er zoveel van mijn gegevens nu op straat liggen, alles behalve facturen etc. had wat mij betreft echt allang weg gekund van de servers van Odido.

TWeaKLeGeND @!mark • 17 februari 2026 12:36

Is niet verplicht en de juiste bewaartermijn is 0 seconden na je zaken met het bedrijf zijn afgewikkeld. Dat geeft odido ook aan als zijnde hun policy.

Niemand_Anders @mad-dog • 17 februari 2026 11:36

Het enige dat je hoeft te bewaren is de uitgeprinte factuur en die staat zeer waarschijnlijk al lang in je boekhoudsysteem (Exact, Twinfield, etc).

Er is geen enkele reden om die gegevens 7 jaar in je ERP systeem te bewaren.

dataworm @Niemand_Anders • 17 februari 2026 14:46

Er is geen enkele reden om die gegevens 7 jaar in je ERP systeem te bewaren.

Als je het al doet, dan gewoon offline archiveren.

Buffalo @Chocoball • 17 februari 2026 11:08

Die tweede bullet is ook lekker vaag. ‘Sommige gegevens nodig’ om het bedrijf te laten draaien. Welke gegevens hebben ze van mij als oud klant dan nodig om hun werk te kunnen doen?

Memori @Chocoball • 17 februari 2026 11:40

Zo moeten we facturen 7 jaar bewaren voor de Belastingdienst.

Maar dat hoeft niet digitaal of via een database dat 24/7 via het internet toegankelijk is. Volgens mij heeft het AVG (Het DPA iig wel, waar AVG op gebaseerd is) daar ook iets over te zeggen.

zonglew00 @Chocoball • 17 februari 2026 15:01

De laatste punt vergeten mensen vaak, ondernemers moeten 7 jaar hun facturen e.d bewaren dat betekent inclusief je gegevens ( naam adres bankrekeningnummer etc) maar niet je ID. Je kan wel eisen op basis van privacy maar belastingdienst steekt een stokje ervoor.

Ik bewaar dit soort ongein in een grote verhuisdoos met een papier FISCUS, dan weet iedereen afblijven. Digitaal? Noway, liever paar bomen kappen dan een digitale inbraak. En als termijn voorbij is in de fik steken.

bovengemiddeld 17 februari 2026 10:16

Ik snap eigenlijk niet waarom grote bedrijven niet gewoon jaarlijks door een externe partij moeten worden geaudit op hun databeheer, een partij die volledige toegang tot alle relevante data krijgt, erover vragen kan stellen, bijzonderheden kan aankaarten en eventueel kan doorverwijzen naar regelgevende instanties als problemen niet worden opgelost.

MeNTaL_TO @bovengemiddeld • 17 februari 2026 10:22

Je bedoelt zoieta als ISO27001?
https://assets.odido.nl/x...n-tot-10-januari-2018.pdf

Het beheren en beveiligen van waardevolle gegevens is bij T-Mobile Thuis gebaseerd op de internationaal erkende beveiligingsnorm ISO 27001.

https://assets.odido.nl/x..._csrreport2023_nl_def.pdf

24 jun 2024 — We beschikken al jaren over een robuust beveiligingsbeheersysteem met ISO. 27001-certificering. Zo kunnen we mensen die diensten van Odido ...

Dan nog blijven de medewerkers de zwakke plek.

[Reactie gewijzigd door MeNTaL_TO op 17 februari 2026 10:24]

Houtenklaas @MeNTaL_TO • 17 februari 2026 11:13

Je bedoelt zoieta als ISO27001?

Dan nog blijven de medewerkers de zwakke plek.

We weten met zijn allen dat medewerkers de zwakke schakels zijn, het zijn immers mensen. Maar dan neem je dus maatregelen door dit soort klantgegevens op een afgeschermd stuk netwerk te zetten. Door oude data inderdaad te verwijderen, desnoods op cold storage. Belastinggegevens moet je inderdaad langer bewaren, maar niemand zegt dat dat "online" moet. Je neemt maatregelen dat één medewerker die - zeg - 12 klanten per uur kan helpen ook bij niet meer dan 20 klantgegevens per uur kan.

Kortom, maatregelen dat het fysiek heel veel lastiger wordt om in bulk data te downloaden. En ja, dat kost geld om dit af te dwingen en blijvend in stand te houden. Ik kwam in mijn zoektocht naar wat provider uitspoken deze tegen, dat ziet er wel transparant uit: https://github.com/KPN-CISO/kpn-security-policy

rud @Houtenklaas • 17 februari 2026 11:51

Kortom, maatregelen dat het fysiek heel veel lastiger wordt om in bulk data te downloaden.

Dat, er zijn tegenwoordig genoeg systemen die in de gaten houden of er geen vreemde dingen gebeuren en geautomatiseerd ingrijpen. Het in bulk downloaden van meer dan 6 miljoen klantgegevens is zonder meer opvallend, alleen al door de hoeveelheid data.

Daarnaast vraag ik me af waarom gewone medewerkers vanaf buiten de organisatie toegang hebben tot deze gegevens. En zelfs al zijn het thuiswerkers dan zou in dat geval de automatische bewaking nog scherper moeten zijn.

Odido laat het achterste van de tong angstvallig niet zien. Op basis van wat nu bekend is vind ik het organisatorisch een big fail waar ze flink op afgerekend moeten worden.

@rud • 17 februari 2026 14:10

Ik vind het wel apart dat iedereen er vanuit gaat dat er bulk data is gedownload. Zover ik weet is dat helemaal niet bekend en weet Odido ook nog helemaal niet hoeveel data er daadwerkelijk is buitgemaakt. Omdat ze dat niet precies weten is iedereen in de dataset nu een bericht gestuurd.

Dus misschien zijn er wel maatregelen genomen om te voorkomen dat er bulk data wordt extract.

downtime @SunnieNL • 17 februari 2026 14:47

Dus misschien zijn er wel maatregelen genomen om te voorkomen dat er bulk data wordt extract.

Als zulke maatregelen bestonden dan hadden ze dat wel gezegd. Het klinkt al een stuk beter als je kunt zeggen dat de gegevens van een beperkt aantal klanten is gelekt.

@downtime • 17 februari 2026 14:52

Maar dat kunnen ze niet zeggen, want ze weten niet wat er gelekt is. Of er nu een maatregelen tegen bulk zijn genomen of niet. Die zin kunnen ze pas uitspreken als ze exact weten welke gegevens en van wie die gelekt zijn. En dat onderzoek loopt waarschijnlijk nog.

Zelfs met bulk maatregelen kunnen er 100.000+ klanten geraakt zijn. Als ze zouden zeggen dat er 'beperkt aantal klanten is gelekt' is de eerste vraag die jij gaat stellen: hoeveel en wie dan.

Reden daarvoor is deels hoe API's werken en deels hoe Salesforce werkt. Als ik één klant opvraag bij ons in het salesforce systeem vuren er 40-100 api calls af. Als ik een refresh doe van mijn hele browser scherm, met meerdere tabs in salesforce open en binnen die tabs ook weer meerdere tabs, dan gaan er een 300-1000+ api calls de deur uit.

[Reactie gewijzigd door SunnieNL op 17 februari 2026 14:52]

Houtenklaas @SunnieNL • 17 februari 2026 14:51

Op de NOS site:

Telecomprovider Odido is getroffen door een grote cyberaanval. Criminelen hadden daardoor toegang tot een bestand met de gegevens van 6,2 miljoen accounts, zegt een woordvoerder van Odido tegen de NOS

Stel even dat je gelijk hebt en het niet in bulk is gedaan maar met - zeg - 50 klanten per uur. Dan duurt het ruim 14 jaar non-stop om die 6.2 miljoen klanten te halen. Oftewel, dat is gewoon in bulk geweest. Of misschien 2 brokken van miljoenen per stuk. Maar dat is niet boeiend meer. Er liggen van 6.2 miljoen mensen data op straat die er niet hoort. Zo te zien heeft Odido werkelijk geen seconde aandacht besteedt aan cybersecurity, limieten aan gebruik, afschermen van data, noem maar op.

Toevoeging: Het had nooit mogelijk moeten zijn dat 6,2miljoen gegevens ingezien kunnen worden. Als ik elke 5 minuten een klant aan de telefoon kan helpen en ik werk 8 uur per dag, zou de daglimiet per account dus 12X8 moeten zijn. Zet hem dan op 150 voor mijn part en dat is het wel.

Toevoeging2: En hoe fijn had het geweest als Odido had kunnen zeggen dat ze potentieel bij 6,2miljoen klanten konden, maar de IT het toestond om slechts 150 willekeurige klanten per gebruikersaccount te kunnen inzien. En de zondag nog 150. Dan is 300 stuks als je daarbij zit nog steeds niet OK, maar echt wat anders dan 6.2miljoen. En aangezien ze dat niet gezegd hebben ...

[Reactie gewijzigd door Houtenklaas op 17 februari 2026 15:02]

@Houtenklaas • 17 februari 2026 14:56

Nee, in die zin staat dat ze toegang hadden tot 6,2 miljoen accounts. Niet hoeveel ze er daarvan hebben ingezien, niet hoeveel er zijn gedownload.

Als jij een winkel inloopt met toegang tot alle producten in die winkel, wilt het niet zeggen dat als jij naar buiten loopt je al die producten hebt gezien en gekocht. Er zit een groot verschil in toegang hebben tot en ook alles inzien. Dat laatste, hoeveel en wat ze hebben ingezien, is gewoon niet duidelijk. Daarmee blijft het bij 'toegang tot' en hebben ze iedereen tot wie er toegang was een bericht gestuurd, zoals ze moeten doen van de AVG. Daarna volgt onderzoek om te kijken wat en wie er precies geraakt is.

Houtenklaas @SunnieNL • 17 februari 2026 15:06

Je reageert net wat vlotter dan ik mijn toevoeging tikte

Zie mijn toevoeging 2. Als ze maar bij een select aantal klanten hadden gekund, had Odido dat direct gemeld. Ze hebben zelf die 6.2Mio ook niet tegen gesproken en dat zegt m.i. genoeg. Hard? Nee, daar heb je gelijk in, maar ze hebben de schijn in ieder geval niet mee in deze.

@Houtenklaas • 17 februari 2026 15:15

Het is heel simpel.
Ze kunnen er geen uitspraak over doen. Potentieel zijn er 6 miljoen klanten ingezien. Kan ook minder zijn. Zolang zij niet het onderzoek hebben afgerond kunnen ze er 0.0 over zeggen en blijft het bij "ze hadden toegang tot een database met x records".

Een rate limit is bijna niet te doen in deze systemen. Ik heb ook toegang tot alle klanten en prospects van mijn bedrijf. De ene dag tik ik er 5 aan, de andere dag 50 of meer. Doe ik een partial search, dan tik ik al snel meerdere 10-100 klanten aan waar delen van de records worden opgehaald omdat ik anders niet kan zien welke ik nodig heb.

Zelfde geldt voor support. Jij zit er niet op te wachten dat als je belt dat de medewerker zegt "momentje geduld, ik mag uw gegevens op dit moment nog niet inzien omdat ik aan het limiet zit van het systeem". Het is ook niet zo dat je alleen een klant record opvraagt, meestal is die gekoppeld aan meerdere andere records die verzameld worden in het scherm naar één overzicht en op de achtergrond laden ondertussen meerdere andere records zodat je daarna snel verder kan vanuit het record wat je open hebt.

Florimon @SunnieNL • 17 februari 2026 15:19

Alleen al het feit dat ze geen orde van grootte kunnen aangeven, zijn er tientallen, honderden, duizenden of miljoenen gelekt? Ze hebben geen idee dus geven ze maar de bovengrens van 6 miljoen. Dat zegt al genoeg - hebben ze geen logging dan?

@Florimon • 17 februari 2026 15:30

En wat moeten ze doen in die logging dan?
Moet je niet eerst een onderzoek doen welke support medewerkers allemaal geraakt waren? Want was dat er 1 of waren dat er misschien toch meer?

En als je dan weet wie het zijn geweest moet je een cross reference doen tussen wie er daadwerkelijk geholpen is door die mensen en wie niet.
Daarnaast moet je onderzoeken of ze niet verder de systemen in zijn gegaan, of ze niet op een andere manier nog verder zijn gegaan. Als dat het geval is moet je ook nog kijken wie dat zijn geweest.

Zo'n onderzoek duurt dagen al dan niet weken of maanden. Tussendoor kun je er geen uitspraak over doen. Want je wilt niet dat je nu zegt dat het ging om 2000 klanten om er daarna achter te komen dat er nog enkele supportmedewerkers geraakt waren en het gaat om 10.000 klanten of 100.000 klanten en dat een paar dagen daarna moet aangeven. Om vervolgens een week later nog te zeggen dat het bij nader onderzoek toch 500.000 waren.

Vergeet niet dat je in de logging niet direct kan zien wie er geraakt zijn. Zo'n klantensysteem wordt door support, sales, winkels, partners, etc. aangeraakt. Dat zijn als snel 100den tot 1000den mensen die dagelijks daar in werken. Als je al logt wie wat inziet, dan kun je dus daar niet zomaar iets over zeggen zonder te weten waar je naar zoekt. Maar kans is groot dat er voornamelijk wordt gelogd wie welke gegevens heeft aangepast en dan is helemaal niet te zien wie wat heeft ingezien. En als je logt wie wat inziet, dan moet je nog bepalen wanneer je dat doet. Doe je dat bijvoorbeeld ook voor alle records die naar boven komen bij een partial search en waarbij in de zoekresultaten bv. Naam, Woonplaats, Telefoonnummer worden getoond? want dan praat je bij 1 zoekopdracht al over 100-300 records als je op Jansen zoekt. Enig idee hoeveel logging je dan krijgt?

Florimon @SunnieNL • 17 februari 2026 16:25

Naar ik begrijp waren er "enkele" medewerkers gephished, niet 100den tot 1000den. Het moet dus niet al te moeilijk zijn om, als de logging goed geregeld is!, te zien welke queries deze paar 'medewerkers' allemaal op het systeem hebben afgevuurd. Daarbij hoeven de resultaten van die queries niet te worden gelogd, maar de queries zelf wel. Dit is iets wat je sowieso altijd wil doen, al is het maar om bv paal en perk te stellen aan nieuwsgierige aagjes die lukraak gegevens van celebrities lopen op te zoeken. Kan me verder echt geen reet schelen hoeveel logging je dan krijgt, we gebruiken allemaal elastic oid, en de beveiliging van en monitoring op ons aller data vind ik van meer belang dan de opslagkosten van een Odido.

@Florimon • 17 februari 2026 16:34

Je kunt alles monitoren, maar als je niet weet wat je zoekt ga je het niet vinden. Queries geven geen resultaten weer, dus dan moet je de queries runnen om te zien welke klanten er achter hangen (zoals ik al zei een partial search geeft data van 100den mensen weer).

En jij geeft nu "enkele" medewerkers.. hoeveel zijn dat er? zijn 90 medewerkers op de 2000 enkelen? of zijn dat er al veel? En als jij niet zeker bent welke en hoeveel medewerkers, moet je dan niet eerst uitzoeken hoeveel en wie dat precies zijn voor je gaat verkondigen hoeveel klanten er geraakt zijn op basis van enkelen van wie je het nu al weet? En als je dan weet welke klanten moet je gaan uitzoeken welke data er per klant is geraakt. Zoekresultaten geven deels records weer, losse records geven volledige gegevens (of niet alles en moet je nog dieper als je er vanuit gaat dat financiele gegevens/telefoon leningen in een andere database tabel staan).

Ga even wat stappen terug en zet op een rij wat er nodig is voor ze exact kunnen aangeven hoeveel, wie er geraakt zijn en welke data het om gaat (er vanuit gaande dat je dat terug kan halen uit logging)

[Reactie gewijzigd door SunnieNL op 17 februari 2026 16:37]

Cyberpuppy @MeNTaL_TO • 17 februari 2026 10:48

Die audits zijn ook niet heilig kan ik je verzekeren. Het helpt bij bewustwording in de organisatie, maar is zeker geen garantie voor een daadwerkelijk goede beveiliging

Klauwhamer @Cyberpuppy • 17 februari 2026 11:03

Een ISAE 3402 Type II geeft weldegelijk een goed beeld of een bedrijf doet wat ze zegt dat ze doen. Het is geen pass/fail-certificaat met soms twijfelachtige incentives maar een assurance rapport waar afwijkingen bij een serieuze steekproef gerapporteerd worden. Ik heb grote providers gezien met bevindingen en afwijkingen op bijvoorbeeld on- en offboarding van werknemers.

Cyberpuppy @Klauwhamer • 17 februari 2026 11:06

Je had het over ISO 27001.

Klauwhamer @Cyberpuppy • 17 februari 2026 11:37

Nee. Ik noem een voorbeeld waarbij het wél waardevol is.

RSH @Klauwhamer • 17 februari 2026 15:14

Echter zijn ISO 27001, wat Odido aangeeft te hebben laten certificeren, en ISAE 3402 compleet andere certificeringssystemen. Dat auditing en certificering op ISO 27001 vaker gecombineerd wordt met (bijvoorbeeld) een ISAE 3000 of 3402 wil zeker niet zeggen dat ze 1:1 overeen komen, zoals Cyberpuppy volgens mij ook aangaf.

Klauwhamer @RSH • 17 februari 2026 15:22

Bewaartermijnen met borging en evidence daar van vallen zéker in scope voor een club als Odido.

[Reactie gewijzigd door Klauwhamer op 17 februari 2026 15:23]

loewie1984 @Cyberpuppy • 17 februari 2026 11:05

Klopt, maar je kunt vragen stellen bij een ISO27001 verklaring als dit soort afwijkingen niet naar voren komen bij een audit. Ik snap dat er steeksproefsgewijs gekeken wordt naar de uitvoering van controls en de evidence die daar bij hoort, maar dat dit niet naar voren is gekomen in al die jaren dat Odido geaudit is geworden is vreemd.

Dan zou een ISAE3000 assurance verklaring beter passen op basis van de ISO27001 norm, daar wordt tenminste gekeken naar een evidence trail van 6 tot 12 maanden en is in die zin veel grondiger dan ISO27001.

Want dit soort gebeurtenissen en het gegeven dat bedrijven tegenwoordig menen binnen 2 weken wel ISO27001 te kunnen halen, halen de waarde van de accreditatie omlaag.

JustSomeWords @MeNTaL_TO • 17 februari 2026 11:12

Kan je vertellen dat er bij een ISO 27001 audit heel heel erg veel gemist kan worden. Een goede auditor kan ver komen maar is enorm afhankelijk van wat het bedrijf deelt aan wat voor systemen ze hebben. Als bepaalde stukken software niet zichtbaar zijn gemaakt zullen die ook niet geaudit worden. De auditor kan nu eenmaal niet gokken wat er allemaal draait binnen de volledige infra van een bedrijf. Ze zullen zeker vragen wat er allemaal aanwezig is, maar als het bedrijf (al dan niet kwaadwillend) niet meld dat er ergens klantgegevens worden bewaard zal de auditor daar niet achter komen.

Met name niet als de data dubbel bestaat in de organisatie. Aka, de auditor zal heus wel het hoofd CRM systeem van Odido zien. Maar echt niet alle systemen die data erin voeden of juist eruit halen. Of in een geval van Odido waarbij 2 bedrijven samen verder zijn gegaan zou het ook goed kunnen dat data van oud klanten van 1 van de 2 partijen nog in een oud systeem bestaat dat al lang uitgeschakeld had moeten worden maar om een of andere reden nog steeds in de lucht wordt gehouden. Dan kan de data cleanup prima werken op de primaire systemen maar zijn er zo toch nog genoeg manieren om iets over het hoofd te zien.

Een penetratie test is een grotere kanshebber, want daar gaat de tester zelf (gedeeltelijk geautomatiseerd) zelf proberen binnen te komen en op zoek naar waar hij bij gegevens kan komen. Dat lijkt al meer op dezelfde methode als kwaadwillenden gebruiken om data te vinden. Maar ook zo'n test is alleen zo effectief als de scope (waar mag de tester komen, wat mag hij doen) en de hoeveelheid tijd die ervoor gereserveerd wordt. Social engineering valt in heel veel gevallen bij dit soort tests buiten de scope.

PatrickH89 @MeNTaL_TO • 17 februari 2026 11:32

ISO27001 zegt eigenlijk alleen maar dat je de mogelijkheden hebt om de data goed te beschermen, maar eigenlijk zegt het weinig over of je dit ook daadwerkelijk doet helaas.

@MeNTaL_TO • 17 februari 2026 14:07

Het mooie is dat een systeem niet een iso27001 certificering kan hebben. Een organisatie kan die wel halen, maar een stuk software of hardware niet. Die kunnen hooguit helpen in het behalen van je iso27001, mits je ze goed gebruikt en configureerd.
Wij krijgen die vraag ook wel eens "is uw software iso 27001 gecertificeerd" -> antwoord is standaard: software kan geen iso27001 krijgen, maar ons bedrijf heeft die certificering wel.

ISO27001 is ook een papieren tijger en gaat voornamelijk om processen. ISO27002 gaat al meer over implementatie. De NIS2 en de nieuwe wetgeving die daarvan is afgeleid hebben er ook in staan dat je moet bewijzen dat je maatregelen ook werken. Denk dat Odido daar wel onder het punt valt dat ze pro-aktief zaken moeten laten zien aan de toezichthouder. DORA is mogelijk van toepassing (verplichte pentest elke 3 jaar), maar dat ligt er aan of Odido wordt gezien als financiele instelling op het moment dat je een telefoon op lening kunt kopen.

Exhonor 17 februari 2026 10:12

Hoe meer hierover naar buiten komt hoe amateuristischer Odido blijkt te zijn.

Weet iemand of er ergens audits te vinden zijn over de cyber security van andere providers, dat zou het kiezen voor een nieuwe provider een stuk makkelijker maken.

arbraxas @Exhonor • 17 februari 2026 10:16

Ach, je gegevens zijn al 1000x gelekt en Odido is alleen maar de zoveelste in een lange lange rij.
Zolang alles online benaderbaar moet zijn zal dit ook niet verbeteren.
Uit gemakzucht doen we dit ons zelf aan.

avlt @arbraxas • 17 februari 2026 10:20

accountnaam en wachtwoord misschien, maar paspoortnummers en bankrekeningnummers toch zeker niet

arbraxas @avlt • 17 februari 2026 10:24

Geloof je hetzelf? 15 jaar geleden stond de gemiddelde nederlander al in 800 databases. Dat is vast niet minder geworden. Tel daar alle datalekken bij op. Alles ligt allang op straat van iedereen.

MulMonkey @arbraxas • 17 februari 2026 10:29

Jouw "privacy is toch al dood" argument helpt alleen de datahongerige partijen en niet de mensen die vechten voor betere bescherming. Je kunt beter je mond houden of het belang voor ANDEREN wel waarderen.

zwartbaard @MulMonkey • 17 februari 2026 10:59

Zo slecht argument dat er al een wikipedia pagina voor is :) Wikipedia: Nothing to hide argument

Honytawk @arbraxas • 17 februari 2026 11:43

Als jij naar een publiek toilet ga, dan laat jij ook je deuren openstaan zeker?
Want al je privacy ligt toch al lang op straat?

Er zijn genoeg manieren om je privacy te waarborgen.
Omdat jij je reet er aan veegt maakt dit nog niet het geval voor iedereen.

PhaeTom @arbraxas • 17 februari 2026 10:25

Lekker blijven roepen dit, dan blijven partijen als Odido er in de toekomst ook geen bal om geven. Het lekken van paspoortnummers en bankrekeningnummers is toch wel een serieuze zaak hoor. Ik vind het ook opzienbarend dat dergelijke info blijkbaar op dezelfde plek wordt bewaard, terwijl dat volgens mij prima gescheiden kan worden, zodat de gegevens bij een hack lastiger aan elkaar te linken zijn.

arbraxas @PhaeTom • 17 februari 2026 10:27

Ok, ga je dan de volgende keer niet je gegevens afgeven?
Zolang hier geen serieuze audits en consequenties aan hangen zal dit echt niet veranderen. En we zijn al veel te laat helaas.

PhaeTom @arbraxas • 17 februari 2026 10:33

Euh, dat is precies mijn punt.

Robbierut4 @arbraxas • 17 februari 2026 11:02

Ok, ga je dan de volgende keer niet je gegevens afgeven?

Mogelijk niet nee. Ik ben naar aanleiding van dit eens door mijn password manager gegaan. Heb ondertussen al 84 oude accounts verwijderd, of waar dat omslachtig is alle gegevens veranderd en het gekoppelde email adres omgezet naar een temp email.

Helaas leven we in een realiteit waar dit soort hacks bijna dagelijks voorkomen. Hoef het criminelen niet perse makkelijker te maken om al die data aan elkaar te linken voor 1 groot profiel.

Pendora @arbraxas • 17 februari 2026 11:45

We zijn nooit te laat. Er worden ook nog steeds mensen geboren. Laten we dan iig zorgen dat zij niet in alle databases komen.

InfiniteSpaze @arbraxas • 17 februari 2026 10:22

Ik begrijp waar je vandaan komt maar dat betekent niet dat we het slecht beveiligen van gegevens maar moeten normaliseren. Als bedrijven alles van ons willen weten moeten ze ook verantwoordelijk zijn voor het beveiligen van deze gegevens. In een ideale wereld zouden ze het anders ook niet mogen opvragen.

Lord Anubis @arbraxas • 17 februari 2026 10:41

onzin. Zij beweerden iets wat niet waar was en uiteindelijk illegaal is. Dus, schuif het niet in de consument of klant in zijn schoenen. Nooit wat te maken gehad met T-mobile en Odido. Vond het altijd een louche bende. Kreeg ooit een aanmaning van hen terwijl ik nog nooit ergens mijn gegevens had ingevuld. Ze hadden via een vergelijkingssite mijn postcode en huisnummer gebruikt en mijn naam erbij gevonden en beweert dat ik een Samsung telefoon had besteld. KPN idem dito, had gevraagd om mijn xs4all gegevens te verwijderen, kreeg ik onlangs, 8 maanden later, een telefoontje of ik opnieuw lid wilde worden en dat ik bijna vanaf dag 1 lid was geweest van XS4ALL. Hoezo niet nalatig van een provider, hoezo gemakzuchtig van een consument? Grappig was dat idd XS4ALL HD geen gegevens meer had maar KPN wel.

[Reactie gewijzigd door Lord Anubis op 17 februari 2026 13:09]

CR2032 @arbraxas • 17 februari 2026 10:45

Je moet het niet omdraaien. Gemakzucht van de beveiliging is dit, want je wordt verplicht om die gegevens in te vullen. Oorzaak en gevolg.

Organisaties moeten veel meer aandacht en geld aan informatiebeveiliging besteden.

Met alleen roepen dat het toch niet anders kan schiet niemand wat mee op. Dat is pas gemakzuchtig.

Cyberpuppy @arbraxas • 17 februari 2026 10:51

Mee eens dat mijn gegevens al lang op straat liggen.

Echter als ik het verhaal lees dan heeft men blijkbaar via een medewerkers account toegang gehad. Ik begrijp dat je als medewerker toegang nodig hebt tot vrijwel alle klantgegevens. Echter is het mij een raadsel hoe men een export heeft kunnen maken van 6,2 miljoen accounts. Dat zou niet mogelijk moeten zijn.

downtime @Cyberpuppy • 17 februari 2026 14:25

Je zou als bedrijf gewoon een teller moeten laten draaien en als een klantmedewerker meer dan, laten we zeggen, 100-200 dossiers op een dag bekijkt dan zou dat account geblokkeerd moeten worden en er een signaal naar de leidinggevende of een privacy functionaris moeten gaan. Account pas weer vrijgeven als er een plausibele verklaring is gekomen waarom ze zoveel dossiers moeten bekijken. Het is niet ingewikkeld maar door onverschilligheid wordt het niet gedaan. Immers hebben alleen de klanten last van een datalek en daar hebben ze lak aan.

Fidesnl @Exhonor • 17 februari 2026 10:27

Administratie bij Odido is al jaren een puin. Heb hier al meerdere klachten voor ingediend.

Ik sluit meestal een contract af van één of twee jaar, dan verwacht je iedere maand hetzelfde bedrag te betalen, maar helaas. Iedere maand is er een ander bedrag en wordt de vorige maand weer gecorrigeerd. Het is zo erg dat zelfs het eigen personeel niet snapt wat ik nou wel of niet betaald heb. Daarom krijg ik dan als ik bel weer geld terug.

Nu tel ik na een half jaar of een jaar alle afgeschreven bedragen van mijn bankrekening bij elkaar op en kijk of dat enigszins klopt met mijn abonnement. Amateuristisch, maar de werkelijkheid.

[Reactie gewijzigd door Fidesnl op 17 februari 2026 10:28]

M3m30 @Fidesnl • 17 februari 2026 10:45

Ben blij dat ik niet naar Odido ben overgestapt zeg.. wilde om goedkoper uit te zijn naar Odido overstappen via die Odido 1 klik is klaar ding dus dat je internet (vast) via 4G modem werkt.

lithiumangel @M3m30 • 17 februari 2026 11:04

Ik denk dat het gewoon altijd een dobbel-steen rol is met hoe je een bedrijf ervaart.

Ik zit sinds 2014 oid bij T-mobile/odido hun unlimited abonnement. Nergens last van gehad, geen rare fratsen dat m`n factuur elke maand anders was zoals Fidesnl. Geen storingen waar ik last van heb gehad etc.

Idem ditto bij Ziggo, heb ik ook echt sinds de A2000 tijdperk meegemaakt op mijn adres waar ik tot aan 2021 woondde en nooit last gehad van een slechte en/of instabiele verbinding. Maar hele fora zitten vol van anti-ziggo posts en horror verhalen.

Heb ik dan nooit problemen met bedrijven ? Nee natuurlijk niet, zo zijn er weer andere bedrijven waar ik onnodig gez**k mee heb. Dus ja, daarom ben ik ervan overtuigd dat het een dobbel-steen rol is.

M3m30 @lithiumangel • 17 februari 2026 11:24

Ik had eerste 3 maanden toen ik Ziggo klant was problemen met ze.. mijn abonnement stond ineens dubbel in het systeem.. betaalde dus 3 maanden teveel en ja het duurde 3 maanden toen ze dan opgelost hadden... al had ik daarna ook problemen met ze hoor.. zo was de belofte om een kabel netjes aan te leggen niet waar gemaakt...wilde monteur niet doen en pas na flinke klacht bij de klantenservice werd het opgelost terwijl het enkel doortrekken was. geen boren oid.
Qua wifi is sinds ziggo stabiel ook qua snelheid sinds ik de nieuwe zwarte modem kreeg.
Verder is Ziggo echt prijzig.
Maar als je ziggo sport wilt kijken (voor Nascar/Indycar) dan moet je weer verplicht een digi tv abonnement bezitten en daar mag Den Haag wat mij betreft wel wat aan doen hoor.. dat je gewoon normaal rechtstreeks moet kunnen abonneren op Ziggo sport/ESPN zonder koppelverkoop van digi TV.

M3m30 @Exhonor • 17 februari 2026 10:44

Ik werk zelf niet in de provider/Telefonica sector etc maar in een andere wereldje maar krijg vanuit mijn werkgever zeker denk 1 keer per 6 maanden max een opfris cursus omtrent phishing en we krijgen regelmatig mails erover hoe te handelen.
Zover ik lees is het bij Odido echt slecht gesteld, lijkt wel of er 0 trainingen plaats vinden want damn.. voordoen als IT'er?

Houtenklaas @Exhonor • 17 februari 2026 14:58

Ik was ook wat aan het rondspitten en kwam dit tegen: https://github.com/KPN-CISO. Verder nog niet naar gekeken, maar hun security policy is daar gewoon in te zien.

henkkeumus 17 februari 2026 10:13

En op grond van deze bevinding(en) kunnen we (mits jouw gegevens wel langer zijn bewaard dan aangegeven) wel een schadeclaim bij Odido indienen?

Broud @henkkeumus • 17 februari 2026 10:18

Je kan 1) een klacht bij de AP indienen, en 2) een civiele zaak starten. Bij een civiele zaak zal de kans groot zijn dat je gelijk krijgt, maar is het altijd maar de vraag of je ook daadwerkelijk compensatie krijgt omdat materiële of immateriële schade moeilijk aan te tonen is.

PdeBie @Broud • 17 februari 2026 10:33

Maar het levert wel een precedent op voor toekomstige fouten die Odido maakt. Als ze dan nog een keer de fout in gaan, kan je zeggen...... toen zijn jullie ook al de mist in gegaan en voor gestraft. Dus nu extra straf, want het gaat weer fout.

Broud @PdeBie • 17 februari 2026 12:17

Ik vind dat de AP hier een grote rol in moet hebben, maar het is nog maar afwachten of zij daar prioriteit in zien.

bluimes @Broud • 17 februari 2026 11:00

Een datalek kan stress, slapelozenachten en concentratieverlies opleveren. Dat kun je kwantificeren als pijn, leed en verdriet en dusdanig opvoeren als vordering. Er is veel jurisprudentie in uiteenlopende zaken waar dit als containerbegrip wordt gebruikt voor klein leed. Je moet dan denken aan claims van 500 euro.

[Reactie gewijzigd door bluimes op 17 februari 2026 11:01]

Niemand_Anders @bluimes • 17 februari 2026 11:41

En nadat je dan eindelijk die 500 euro hebt ontvangen op je bankrekening, krijg je de factuur van je advocaat...

Broud @bluimes • 17 februari 2026 12:15

Dat klopt, maar voor zover ik weet moet je dit leed wel kunnen substantiëren, alleen zeggen dat je dit leed ervaart is niet genoeg. Het is dan maar de vraag of de tijd en moeite die je in die zaak moet stoppen (en eventuele kosten van een advocaat) opwegen tegen die paar honderd euro.

tedades @Broud • 17 februari 2026 12:00

Gaat dit niet al vanzelf? Mijn aanname was dat dit verhaal al zo in het nieuws is dat ik verwacht dat AP zelf al een onderzoek start en dan ook een zaak start. En de groep klanten met impact is ook bekend.

InfiniteSpaze @henkkeumus • 17 februari 2026 10:24

Maar natuurlijk niet!

Het verbaast mij altijd dat bedrijven zulke gegevens van iedereen opslaan en helemaal niet verantwoordelijk worden gesteld wanneer dit lekt. Natuurlijk zal het enorm moeilijk zijn om je bedrijf te beschermen tegen hackers, maar er zou wel iets van een audit moeten zijn zodat we standaarden hebben voor de opslag van persoonsgegevens. Wanneer bedrijven dit niet hebben, zouden ze meer aansprakelijk moeten worden gesteld wanneer zoiets gebeurt.

Mouze88 17 februari 2026 10:14

Is dit een reden om je contract daar op te mogen zeggen? Ben er wel een beetje klaar mee, zit er aan te denken over te stappen naar een andere aanbieder.

3raser @Mouze88 • 17 februari 2026 10:35

Het kwaad is al geschied en je gegevens worden toch niet verwijderd. Door nu over te stappen geef je een nieuwe provider eigenlijk de kans om ook je gegevens te lekken. Het voelt nogal tegenstrijdig maar bij Odido blijven zou voor nu juist de beste keuze zijn.

Exhonor @3raser • 17 februari 2026 10:44

Voor mij is dit echt een vertrouwenskwestie;

Ik zit al jarenlang bij Odido omdat ik er gewoon nooit problemen bij had, ook al had ik elders eenzelfde abonnement goedkoper kunnen krijgen.

Echter, nu blijkt hoe zij omgaan met mijn gevoelige data is het vertrouwen ver te zoeken, maar vraag ik me ook nog eens af of ze wel het volledige verhaal vertellen of dat er toch meer is gelekt dan ze nu toegeven. Of dat ze niet eens weten wat er precies allemaal gelekt is.

Als ik overstap loop ik inderdaad het risico dat die provider hetzelfde overkomt, maar in dat geval wordt precies dezelfde data gelekt als nu al op straat ligt.

watercoolertje @3raser • 17 februari 2026 10:58

Het voelt nogal tegenstrijdig maar bij Odido blijven zou voor nu juist de beste keuze zijn.

Alsof ze het niet opnieuw kunnen lekken bij Odido, de kansen dat dat gebeurd zijn niet gereset ofso

Maargoed het is ook niet zo dat als je nu naar KPN/Vodafone gaat en die lekken je data dat andere dan ineens 2x zo veel data van je hebben, dat is dan praktisch dezelfde data

Dus overstappen kan net zo veel (of weinig) kwaad mbt je gegevens. Als ik er zou zitten zou ik 100% zeker opstappen zodra het kan, maar ik zit er gelukkig niet maar overweeg ze dus ook niet bij eventuele nieuwe contracten...

3raser @watercoolertje • 17 februari 2026 15:39

Ik zit er wel maar de keuze is Odido of Delta. En met Delta heb ik ook niet bepaald de beste ervaringen.

@Mouze88 • 17 februari 2026 10:26

Niet dan ze dan wél je gegevens verwijderen, blijkbaar

HKS-Skyline @Mouze88 • 17 februari 2026 10:37

dan moet je je contract gaan doorbladeren en uitzoeken of er iets in staat over gegevens beschermen oid. Als je kan aantonen dat ze contractbreuk hebben gepleegd dan sta je in je recht om het contract op te zeggen. Maar hier hebben ze vast al goed over nagedacht.

P_Tingen @Mouze88 • 17 februari 2026 10:43

Of het een reden voor opzeggen is weet ik niet, maar in tegenstelling tot wat @3raser zegt, denk ik dat het voor jezelf juist veiliger is om nu over te stappen. Elke sms / mail / telefoontje wat je daarna van "Odido" krijgt kun je dus negeren en daarmee verklein je het risico om slachtoffer te worden van een oplichter

ZenDargo 17 februari 2026 10:23

Ik ben ook wel nieuwsgierig. Ik ben er niet helemaal in thuis, maar er is wel een wet Regeling veiligheid en integriteit telecommunicatie.

In hoeverre zou Odidio aangeklaagd kunnen worden omdat ze zich niet aan de wet gehouden hebben?

mad-dog @ZenDargo • 17 februari 2026 10:28

Als persoon heeft dat weinig zin, tenzij je keihard kan aantonen dat je schade hebt geleden(wat heel erg lastig is en meer kost dan het oplevert)

CR2032 @mad-dog • 17 februari 2026 10:56

De kosten voor een nieuw ID/paspoort nummer is anders niet zo lastig om te bepalen.

mad-dog @CR2032 • 17 februari 2026 11:00

Maar je zal vermoedelijk nog steeds moeten bewijzen dat er misbruik van is gemaakt. Je kunt natuurlijk op je klompen aanvoelen dat van 6,4 miljoen (ex-)klantende kosten voor het vervangen van ID nooit gaat gebeuren

Buffalo @ZenDargo • 17 februari 2026 11:04

Campagne ala DSB Bank starten om op te roepen te vertrekken bij Odido. Dan is dit bedrijf zo kapot en failliet.

Polderdijk 17 februari 2026 10:15

Toch vindt ik het tijd voor wetgeving die beslist dat een bedrijf altijd een bepaalde mate van boete moet betalen. In de vorm van schadevergoeding of ander soort boete.

Nu bepalen heel veel managers in het bedrijfsleven dat er géén tijd en geld besteed moet worden aan het beveiligen van data. Aangezien dit niet (direct) resulteert in omzet/winst en dus altijd een kostenpost blijft.

Als er een geldelijke boete tegenover staat, dan kan dit direct voor managers wél een aanleiding zijn om hier tijd en/of geld aan te spenderen, aangezien het anders mogelijk nóg meer geld kost.

Nu loont het voor veel bedrijven niet om hier geld in te steken, mocht het fout gaan, dan even een goed PR-team opstarten en niemand praat er meer over na een paar weken.

TIGER79 @Polderdijk • 17 februari 2026 10:25

Ik kan me er helemaal in vinden dat er een soort van straf moet komen maar met boetes is het altijd de vraag wie je dan straft : het bedrijf of de klanten ? Want wat een bedrijf dan doet is simpelweg de kosten doorverrekenen aan klanten.
Dat is natuurlijk op te vangen : een straf kan zijn dat ze een boete moeten betalen EN 2 jaar geen verhogingen mogen doorvoeren, of 3 jaar geen bonussen of salarisverhogigngen voor management, of een deel van hun aandelen overleveren aan de overheid enz enz... Enkel is dat vanuit wetgeving niet mogelijk, dus illegaal.... Maar dat soort interventies die gaan dan wel "aan het hart" bij de directie('s)...

downtime @TIGER79 • 17 februari 2026 14:43

Als ze de prijzen zomaar konden verhogen dan deden ze dat wel. Dat zien de aandeelhouders graag. Maar uiteindelijk hebben ze ook concurrenten en kunnen de klanten met hun voeten stemmen.

CR2032 @Polderdijk • 17 februari 2026 10:51

Inderdaad. Een boete van bijvoorbeeld 7,5 miljard euro maakt iedereen wel wakker.
Daarboven op class action claim van een jarenlange slepende rechtsgang. Dat zet het imago van het bedrijf ook op scherp.

Ik noem even een willekeurig bedrag, het moet wel in verhouding van de organisatie en tegelijk een forse straf zijn.

Tonnetjes 17 februari 2026 10:16

Ik weet vrij zeker dat ik ook al langer dan twee jaar weg ben bij Odido (toen T-mobile), maar denk dat het daarom ook o.a. mijn oude (adres)gegevens bevat. Is er een manier om dit na te gaan? En te controleren of mijn gegevens langer dan twee jaar bewaard zijn geweest? Ik kan mij voorstellen dat ze niet per mail zullen aangeven welke gegevens er precies buitgemaakt zijn…

mcmd @Tonnetjes • 17 februari 2026 10:26

Blijkbaar zou je een mail krijgen van Odido als je naam nog in het bestand zou zitten. Garantie heb je natuurlijk niet. Ik kreeg mijn mail na 1 of 2 dagen pas, dus wellicht moet je geduld hebben (ben nu zo'n 1,5 jaar geen klant bij Odido).

Tonnetjes @mcmd • 17 februari 2026 11:26

Excuus! Ik heb de mail dus wel ontvangen, vandaar mijn verbazing (want al langer dan twee jaar weg). Tegelijkertijd nu dus ook wel benieuwd welke gegevens er dan precies gelekt zijn, omdat ik rond die tijd ook verhuist ben.

maomanna @Tonnetjes • 17 februari 2026 10:28

Een avg verzoek indienen?

donkerlicht @maomanna • 17 februari 2026 10:37

Ik heb per ommegaande gevraagd welke einddatum ze dan hebben. In mijn administratie lag die eerder dan twee jaar geleden.

Een avg-verzoek indienen gaat niet. Ik heb geen idee welk bankrekeningnummer ik destijds gebruikte, en laatste incassobedrag is ook niet te vinden. Op mijn huidige rekeningnummers kan ik geen incasso’s van Tele2/Odido terugvinden. De klantomgeving van Odido van mijn oude klantaccount is verder ook leeg.

mcmd 17 februari 2026 10:29

Ik "snap" dat Odido nog oudere klanten wil kunnen benaderen. Maar ze kunnen dan toch al diverse gegevens meteen verwijderen? Er is toch geen noodzaak om het IBAN nummer en/of BSN nummer te bewaren?

Ik ben een beetje bang dat hetzelfde probleem veel breder speelt bij ook andere partijen. Er wordt van alles bewaard voor je weet maar nooit. En in dit geval blijkbaar ook nog eens langer dan "afgesproken".

mad-dog @mcmd • 17 februari 2026 10:30

Er is ook geen enkele noodzaak daar toe, dat is juist ook waar het artikel om draait. Het zal ongetwijfeld ook wel bij andere partijen spelen, maar dat weet je pas als het uitkomt

NotWise @mad-dog • 17 februari 2026 10:53

Het zal ongetwijfeld ook wel bij andere partijen spelen, maar dat weet je pas als het uitkomt

Dit speelt bij de meeste partijen. Het opschonen van data staat niet hoog op de prioriteitenlijst en er wordt zelfs niet eens aan gedacht. De meeste ICT-ers die voor meerdere klanten hebben gewerkt zullen het vast met mij eens zijn.
Je kan het een beetje vergelijken met je eigen (mocht je die hebben) digitale foto collectie. Die staat vol met foto's die weg kunnen, maar je laat ze toch staan (komt wel een keertje als ik tijd/zin heb)

Dus mensen die overstappen naar een andere provider zijn niet beter af. Alles en iedereen kan worden gehackt en bijna overal spelen dezelfde problemen. Je bent in wezen nergens veilig. Het is jammer maar helaas.

DataMan @NotWise • 17 februari 2026 11:00

Er zijn heel veel overheidsdiensten die niet in staat zijn om aan de archiveringswet van de overheid te voldoen. Brakke ICT systemen die niet met verwijdering om kunnen gaan en meer van dat soort ellende.

Danfoss @mcmd • 17 februari 2026 11:10

Een groter probleem vind ik niet eens dat ze het langer bewaren maar dat het blijkbaar voor willekeurige mensen in het bedrijf zomaar toegankelijk is.

Waarom heeft een KS medewerker standaard de mogelijkheid om data van miljoenen klanten op te vragen?

@mcmd • 17 februari 2026 10:46

Het gaat hier om documentnummers, niet om BSN's.

Om te kunnen reageren moet je ingelogd zijn