AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

De Autoriteit Persoonsgegevens roept Nederlandse slachtoffers op geen meldingen meer te maken van het datalek bij Odido. De AP zegt dat zij de situatie in de gaten houdt en dat nog meer meldingen niet nodig zijn. Hoewel de toezichthouder het niet zo zegt, is de kans groot dat hij de meldingen niet aankan.

De Nederlandse privacytoezichthouder schrijft dat op een eigen webpagina. "De AP ontvangt op dit moment veel klachten en tips over het datalek bij Odido. De AP is op de hoogte van de situatie en houdt deze scherp in de gaten", schrijft de toezichthouder.

Burgers mogen wel klachten of tips indienen, maar 'dat is in principe niet nodig', aldus de AP. "De AP houdt actief toezicht op de situatie. Het is bijvoorbeeld belangrijk dat Odido klanten zo snel en volledig mogelijk informeert."

De toezichthouder zegt niet waarom klanten niet meer hoeven te tippen. Waarschijnlijk komt dat omdat de AP de klachtenstroom moeilijk aankan. Dat is al jaren een probleem; de AP krijgt veel te veel klachten binnen en heeft niet het geld en de capaciteit die allemaal op tijd af te handelen.

Een klacht indienen bij de AP heeft voor een klager ook in de basis weinig nut meer. Klachten zijn bedoeld om de AP van mogelijke privacyschendingen op de hoogte te brengen en om de ernst van een situatie door te geven. Omdat de AP nu zelf oproept geen klachten meer in te dienen, is het aannemelijk dat de AP de ernst van de situatie inmiddels wel begrijpt.

De AP verwijst burgers verder naar het tipformulier voor als klanten toch 'aanvullende informatie' hebben. Ook verwijst de toezichthouder naar een informatiepagina voor slachtoffers van datalekken, waar onder andere staat wat ze kunnen doen. Daar staat bijvoorbeeld ook in onder welke omstandigheden een schadevergoeding kan worden uitgekeerd. Tweakers schreef daar onlangs een achtergrondartikel over.

Autoriteit Persoonsgegevens interview

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-02-2026 07:34 314

20-02-2026 • 07:34

314

Lees meer

17 feb 2026

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

299
Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden
Ethisch hacker wil losgeld voor Odido-hack zelf bij elkaar crowdfunden Nieuws van 27 februari 2026
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido
Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido Nieuws van 25 februari 2026
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026
Oplichtwebsite over Odido-datalek is niet meer bereikbaar
Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026
Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek
Scamsite vraagt 50 euro per persoon voor schadeclaim bij Odido-datalek Nieuws van 20 februari 2026
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Datalek Nederland Odido

Reacties (312)

-Moderatie-faq
312
307
100
15
0
159
Wijzig sortering

Sorteer op:

Weergave:
ro8in 20 februari 2026 08:03
Ze houden het scherp in de gaten? How about gewoon hier een zaak van maken, want Odido lijkt het allemaal niet zo erg te vinden en vrij weinig verantwoordelijkheid te willen nemen. Als Odido met dit gedrag gewoon weg komt met een foei! dan mogen ze wat mij betreft die hele AP opdoeken, want dan vraag ik mij echt af wat het hele nut van dit orgaan is.

Bedrijf lekt miljoenen gegevens inclusief identiteitsdocumenten nummers, gegevens die in combinatie best wel wat risico opleveren. Dan zegt het bedrijf op voorhand al eigenlijk financieel niemand te zullen bijstaan en dat je maar goed moet opletten de komende tijd en gaat vrolijk verder met business as usual. En dan reageert de AP met ja we houden de situatie scherp in de gaten. Welke situatie is er nog in de gaten te houden? Het ergste is al gebeurd, tijd voor actie zou ik zeggen.

En dan heb ik het niet over een boete van 120.000 welke Odido lachend betaald. Gewoon verplichting om elke klant die zegt schade hiervan te hebben geleden bij te staan financieel, dan wel juridische hulp of wat dan ook, tot het voor deze klant is opgelost. Misschien dat andere bedrijven hiervan zullen leren dat je niet klant gegevens maar overal kan laten slingeren alsof het een pakje Pokemon kaarten is.

Het mag duidelijk zijn dat we op deze manier niet door kunnen blijven gaan, hoe vaak moeten gegevens nog gelekt worden voordat er eindelijk eens actie ondernomen wordt. Medicijnen worden op de markt gebracht met minder studies die aantonen dat ze werken dan het aantal keren dat er data lekken zijn geweest en de overheid nog steeds niet wil erkennen dat er een probleem is wat snel aangepakt moet worden.

[Reactie gewijzigd door ro8in op 20 februari 2026 08:12]

Reageer
Zanthr @ro8in20 februari 2026 08:14
En toen ging het bedrijf failliet en ben je als klant gewoon toch zelf de dupe. Want je betaalt dit uiteindelijk allemaal zelf als consument.
Reageer
ro8in @Zanthr20 februari 2026 08:19
Dan gaan ze maar falliet en bedenken andere bedrijven zich wel 2 keer naar de toekomst toe. Ik zou er totaal niet om rouwen als Odido verdwijnt als dat ervoor gaat zorgen dat bedrijven hier minder laks in gaan worden. Ik heb echt geen emotionele band met Odido ofzo, het is maar een provider, genoeg andere keuze op de markt.

Ze zouden op zijn minst de mogelijkheid moeten bieden om vroegtijdig je contract te mogen ontbinden, zodat je in iedergeval direct over kan stappen naar een provider waar je het gevoel hebt dat je gegevens veiliger opgeslagen staan.
Reageer
bzuidgeest
@ro8in20 februari 2026 08:39
Ik zou het wel vervelend vinden als ik door jou emotionele reactie meer ga betalen.

Dit soort dingen gebeuren continue en overal. Social engineering is ook moeilijk tegen te wapenen.


Ik zie weinig in iedereen betalen die beweert schade te hebben. Ik vind dat ze odido moeten dwingen een identiteits fraude verzekering te geven aan alle klanten voor de komende jaren.
De enige schade die mensen verder hebben is eventueel het aanvragen van een nieuw identiteit document. Je adres en email is ongetwijfeld al lang ergens op het internet te vinden in een van de duizenden lekjes. Al is het maar van vrienden die het weer aan anderen geven doorgeven of gehacked zijn geweest.
Reageer
ro8in @bzuidgeest20 februari 2026 08:43
Dat ben ik helemaal niet met je eens. Je kan gegevens prima opslaan op een manier dat deze niet in te zien zijn en alleen op het moment dat ze nodig zijn, bijvoorbeeld om de persoon te identificeren gecontroleerd kunnen worden door bijv hashes te vergelijken. Voor wachtwoorden is dat al jaren de standaard, maar voor belangrijke identiteitsdocumenten en dat soort zaken is clear text opslag geen enkel probleem?

Ik hoop dat je hoort wat je zegt, alsin jij vind het dus wel oke dat je gegevens op straat komen te liggen met alle risico's van dien voor een mooie korting?

En over de schade, schade kan ook gevolgschade zijn. Oma die nu een E-mail krijgt met al haar gegevens volledig kloppend en daardoor de link klikt en vervolgens haar spaarrekening leeggehaald wordt. Ik noem maar even een voorbeeld, niet om een discussie te starten nu of dit wel of niet zou kunnen gebeuren. Schade hoeft niet perse direct gelinkt te kunnen worden hier aan, maar wel een gevolg zijn op het lek wat hier begon.

Deze gegevens zijn niet zomaar geld waard op de zwarte markt!

[Reactie gewijzigd door ro8in op 20 februari 2026 08:53]

Reageer
twkr18526 @ro8in20 februari 2026 09:01
Daarnaast is het kwalijk als Odido ook tegen hun eigen regels in, nog persoonsgegevens bewaren als je al heel lang geen klant bent. Ik was al jaren geen T-Mobile klant en toch kreeg ik dit mailtje:
Hieronder lees je concrete situaties waarvan we je vragen om hierbij extra op te letten:

Met je naam, adres, telefoonnummer, e-mailadres en rekeningnummer kunnen cybercriminelen je proberen te benaderen waarbij zij zich kunnen voordoen als iemand van Odido, je bank of een andere organisatie. Blijf daarom altijd alert op dit soort telefoontjes, sms’jes, appjes of e-mails.
Vervolgens probeer ik mijn gegevens via mijn Odido in te zien en zat ik een loop. Ze laten mij, m’n eigen gegegens niet inzien, maar ze hebben het wel kunnen lekken?
  • Gegegevens opvragen via https://odido.nl/privacy
  • Laatste factuurbedrag en 4 cijfers rekeningnummer nodig
  • Die weet ik niet meer, zo lang geleden
  • PDF facturen werden niet verstuurd, moest daarvoor inloggen op Mijn T-Mobile.nl toen
  • Inloggen Mijn Odido lukt niet. Password reset nodig op email adres.
  • Verificatie code via SMS ontvangen
  • Geen facturen te zien, omdat er geen nummer gekoppeld is aan mijn account (Ze hadden blijkbaar wel mijn email + nummer gekoppeld in hun systeem, want SMS verificatiecode)
Dan zou ik dus mijn bankafschriften moeten bekijken van welke rekening het toen afgeschreven is. Die gaan niet zo ver via de app, dus moet ik bij een paar banken een bestelling doen om de historie te kunnen downloaden.

Zo jammer, dat Odido de indruk wekt dat ze je privégegevens niet meer hebben, doordat je als klant je eigen gegevens niet kan inzien. En intussen kunnen ze het wel lekken?

Dan moeten ze toch echt even doorgelicht worden hoe ze met persoonsgegevens omgaan. En moet het AP juist wel actief een onderzoek doen.
Reageer
Harrie-Handbak @twkr1852620 februari 2026 09:56
Ik ben een jaartje klant geweest. En heb een request for deletion aangevraagd (lijkt me niet heel moeilijk gezien het feit dat ze de data niet veilig hadden staan). 8 update mailtjes verder over een tijdsperiode van 6 maanden dat ze er nog steeds mee bezig zijn….. dus die liggen nu ook op straat.
Reageer
Unknown Alien @Harrie-Handbak20 februari 2026 11:28
Buiten dat je een verzoek hebt ingediend, laat ze ook aantonen dat ze daadwerkelijk je gegevens hebben verwijderd. prove it!!
Reageer
poehee @Unknown Alien20 februari 2026 11:41
Doen ze niet, kunnen ze niet, willen ze niet. Geen tijd voor. De beperkte resources gaan naar nieuwe productontwikkelingen. Ze moeten naar de beurs. Tijd rekken tot de storm is gaan liggen...
Reageer
Unknown Alien @poehee20 februari 2026 11:50
Doen ze niet, kunnen ze niet, willen ze niet. Geen tijd voor. De beperkte resources gaan naar nieuwe productontwikkelingen. Ze moeten naar de beurs. Tijd rekken tot de storm is gaan liggen...
Verantwoordingsplicht | Autoriteit Persoonsgegevens

Zijn ze wel verplicht. Zou je ze moeten aanklagen als ze dit weigeren?
Reageer
IplugNplay @Unknown Alien20 februari 2026 20:36
Zo is het ook verplicht om een opzegprocedure te hebben maar bij Ben (onderdeel odido) kan je niet online opzeggen maar een abbo bestellen is heel makkelijk.
Ik heb meerdere malen opgezegd, maar pas bij een klacht starten ze de procedure van opzeggen en ze weten van niks over de eerdere berichten van opzegging.

Ze lappen zo veel regels aan de laars, en het maakt allemaal niet uit want je kan van buitenaf toch niet zien of het klopt of niet en de autoriteiten zitten te slapen.
Reageer
TheekAzzaBreek @Unknown Alien20 februari 2026 16:01
Hoe kan je dat bewijzen dan?
Reageer
Unknown Alien @TheekAzzaBreek20 februari 2026 17:02
Hoe kan je dat bewijzen dan?
Dat is hun probleem, ze eisen ook de gegevens en kunnen ze opslaanen bewaren. Dan verzinnen ze maar wat zodat ze alle gegevens in 1 X kunnen verwijderen en bewijzen.


Wel een lastige want back up tapes staan als het goed is extern opgeslagen 😅

De AVG is daar duidelijk in.

Zij laten zich hacken en de (ex) klant is nu de dupe. Identiteit diefstal wordt onderschat en te licht over gedacht.
Reageer
twkr18526 @Unknown Alien21 februari 2026 08:48
Als ze eerder bevestigd hebben dat ze onder het AVG je gegevens verwijderd hebben, en later alsnog je gegevens gelekt hebben is er iets vreemds aan de hand toch?

Zelfde lijkt me met hun claim dat ze je gegevens hooguit 2 jaar bewaren, en vervolgens sturen ze een mail naar oud T-Mobile klanten (voordat ze Odido werden) dat hun gegevens zijn gelekt?


En dat ze blijkbaar een verificatie SMS kunnen sturen, nadat je je een password reset probeert met je email adres is een teken dat ze toch ergens je nummer en email adres nog hebben opgeslagen.

Mooie taak voor het AP om te onderzoeken.
Reageer
jonathan2000 @Harrie-Handbak20 februari 2026 17:00
ik ben langer dan 4 jaar geleden klant van tele2 en daarvoor ben geweest, ook mijn data is gelekt, terwijl deze data dus al 2 jaar geleden verwijderd had moeten zijn...

Weet nog niet wat ik hiermee kan, maar het is te bizar voor woorden, 4 a 5 jaar oude data gewoon nog hebben staan als je het na 2 jaar hoort te verwijderen.
Reageer
tfro71 @jonathan200020 februari 2026 21:05
Er zijn nog wat wettelijke bewaartermijnen waar je meeste gegevens onder vallen. De twee jaar uit hun eigen procedures gaat over 'marketingegevens' en dat gaat uiteindelijk alleen over je emailadres.
Reageer
jigalvh @tfro7121 februari 2026 17:42
De gegevens die onder wettelijke bewaartermijnen vallen hoeven niet in de dataset te staan die de helpdesk kan inzien. Je kunt data ook verdelen over databases en servers, data verplaatsen als die niet meer nodig is, enzovoort.

Verder is het verstandig om "marketinggegevens" apart te bewaren van klantgegevens. Je kunt bijvoorbeeld maandelijks de marketinggegevens bijwerken om te zorgen dat je actieve klanten ook actief houdt voor marketing. Dat maakt het opschonen van records die ouder zijn dan twee jaar ook eenvoudiger. Ook is het zo dat men niets kan stelen dat niet in die database aanwezig is.

Het is geen raketwetenschap om gegevens op te slaan en beschikbaar te stellen met veiligheid en privacy in gedachten. Het lijkt er steeds meer op dat het deze bedrijven en organisaties gewoon echt helemaal niets kan schelen.
Reageer
Cilph @twkr1852620 februari 2026 10:55
Erger: Ik zit al tien jaar bij ze voor mobiel en thuis en ik heb nul komma nul mails of inlichtingen gehad over een datalek.
Reageer
SubSpace @Cilph20 februari 2026 15:41
Mogelijk hebben ze geen mailadres van je?
Reageer
Cilph @SubSpace20 februari 2026 16:40
Lijkt me stug, ik ontvang er mijn facturen op. En met 10 jaar klant zijn lijkt het me ook stug dat ik niet in het lek zit.
Reageer
PurePerformance @twkr1852621 februari 2026 00:15
Ook ik ben al veel langer dan 2 jaar geen klant mee, ben nog nooit klant van Odido geweest. Ik ben inmiddels ongeveer 4 jaar geleden overgestapt van T-Mobile. Toch kreeg ik een mail met daarin de volgende tekst:
Odido bewaart – conform haar privacy statement – tot 2 jaar na beeindiging van het contract en overstap naar een andere aanbieder jouw contactgegevens. Omdat jij minder dan 2 jaar geleden overgestapt bent, stonden jouw gegevens nog in het systeem en daarom heb je email ontvangen.
Je moet toch behoorlijk schaamteloos zijn om zo veel leugens in zo'n kort stukje tekst te proppen en dat waarschijnlijk naar veel meer klanten in dezelfde situatie te sturen.
Reageer
Dennism @ro8in20 februari 2026 09:12
Schade hoeft niet perse direct gelinkt te kunnen worden hier aan, maar wel een gevolg zijn op het lek wat hier begon.
Volgens mij is dat echter binnen onze wettelijke kaders wel een vereiste om schade te kunnen claimen. Daar wij hier werken met een systematiek van werkelijk geleden schade, en niet zoals in andere landen waar ook 'what if' of 'punitive damages' geclaimed kunnen worden.

Ik vermoed dus dat je een schade in de toekomst wel moeten kunnen linken aan deze gebeurtenis zonder dat er gerede twijfel kan bestaan dat de schade ook door een andere onzorgvuldigheid van jezelf of andere 3de partij kan ontstaan zijn.
Reageer
bzuidgeest
@ro8in20 februari 2026 08:52
Ik val in die dataset en ik maak me er niet te druk over. Het eventuele document nummer dat ze hebben is verlopen. Mijn adres en email zijn op duizenden plekken bekend en ongetwijfeld gelekt. Het zijn publieke gegevens waar mij betreft.
En dat opslaan idee van jou werkt niet. Want iemand moet erbij kunnen, dat betekend dat een hacker, via social engineering, er ook bij kan. Wachtwoorden bashen we en kunnen niet meer terug naar plain tekst. Maar dat werkt niet voor een adres. Je kan geen post sturen naar een hash. Misschien werkt het voor het document nummer, maar dat is wettelijk vaak nodig in zijn originele vorm.
Een vergoeding van een nieuw document is genoeg voor hen die dat willen. 25 euro klaar. Het feit dat je überhaupt iets kan met een document nummer is de fout van de overheid. Je zou niets moeten kunnen met een nummer dat op een kaartje zichtbaar is.
Reageer
Centurion183 @bzuidgeest20 februari 2026 09:28
Ze hadden de beveiliging helemaal niet op orde, dit had eenvoudig veel lastiger gemaakt kunnen worden.
Als ze een IT'r hadden aangenomen die specifiek hierop let, dan was dit veel moeiljker geweest.
Het is echt een koud kunstje om zoiets aan te zetten dat als er een login komt van een, voor die gebruiker, vreemd land, vanaf een vreemde pc, om dan extra veiligheidsmaatregelen te nemen. MFA prompts alleen toestaan vanaf Intune compliant devices vbijvoorbeeld.

Men heeft dagen lang records kunnen scrapen, dit had iemand al veel eerder moeten zien.
Nog wat maatregelen die ik zo uit mijn mouw schudt die dit waarschijnlijk hadden kunnen voorkomen of de impact veel kleiner hadden gemaakt:
- Monitoring op abnormaal gedrag. (geografisch, abnormale tijden, abnormale hoeveelheid records inzien)
- LEast privilige access (call centre medewerkers hadden toegang tot veel te veel data).

- Phishing restistant logins (via yubikey bijvoorbeeld en WHFB), iig voor mederwerkers met veel rechten.
- Goed ingerichte Conditional access regels.
- Externe call centre's hadden dezelfde rechten (meen ik gelezen te hebben), als je hier duidelijke sessie limieten op zet kunnen ze veel minder data buit maken. Sowieso sessie limieten instellen, want een medewerker hoeft geen duizenden records per uur op te vragen doorgaans.

Dat jij je geen zorgen maakt en het geen probleem vindt, nou ik vindt het wel zorgelijk dat een groot bedrijf niet een extra mannetje kan inhuren die dit goed inricht voor ze. Dat had zoveel ellende kunnen schelen.
Ik vind het ook jammer dat mede tweakers dit gevoel niet delen eerlijk gezegd. Maar goed, ieder het zijne en ik accepteer dat jij het geen probleem vindt. Maar ik vind dat grote bedrijven wel actief werk moeten maken van de security, doen ze dat niet dan mogen ze financieel hard geraakt worden.
Reageer
bzuidgeest
@Centurion18320 februari 2026 09:57
Lastiger is niet onmogelijk. Al die hindernissen die jij noemt? Het neem 1 corrupte medewerker om ze te omzeilen.

Odido hard raken is uiteindelijk alleen maar schadelijk voor de consument. De aandeelhouders lopen lachend weg. Je krijgt een +2 omdat je de emotie goed illustreert. Maar dat zet geen zoden aan de dijk.

De overheid zou gevoelige zaken achter digid hebben moeten zitten. Ook bij odido. Daarmee kan je identificeren zonder documenten achter te laten. En waarom kan je uberhaupt iets met een plain text nummer op een pasje? De fout ligt bij de overheid. (en ja ook bij odido), maar straffen voor lekken is reactief. Regels vanuit de overheid en voorkomen is preventief. Veel beter. Laat de overheid bij lekken een identiteit fraude verzekering betalen voor die klant verplicht stellen. Veel beter dan maar boete roepen. Kan de mensen die het spul leiden niets schelen. Die hebben hun geld al. En odido word de dag erna gekocht door odido2 met dezelfde mensen aan de top.
Reageer
Centurion183 @bzuidgeest20 februari 2026 10:39
Straffen is een signaal aan andere bedrijven om de security wel op orde te krijgen.
En hacken komt veel vaker voor dan een corrupte medewerker.
als je goede maatregelen neemt dan is de kans op een hack veel lager en als het gebeurd de impact veel kleiner.
De maatregelen die je noemt, gevoelige data achter een digid achtig iets zetten, is inderdaad een goede maatregel.
En de zaken die ik noem zijn vooral praktisch en het had in dit geval de hack waarschijnlijk kunnen vorkomen. Dan doel ik voornamelijk op de phishing restistant login/mfa. Least privilage access principe n goede monitoring op geografische locaties, toegangstijden en scrapinglimieten.

Echt waar, neem 2 goede medewerkers aan en ze kunnen dit soort zaken al goed aanpakken. Er is veel te weinig focus op security, wat maakt het uit, er zijn toch geen gevolgen voor ze. (want geen of een zeer lage boete).

Wat betreft de corrupte medewerkers. Ik werk bij een GGZ instelling en als je informatie bekijkt van een client waar je helemaal niet naar hoeft te kijken, dan volgt onmiddellijk ontslag. Zoiets moet binnen een grote organisatie ook mogelijk zijn. Dit kan bijna volledig automatisch mits goed ingericht.

[Reactie gewijzigd door Centurion183 op 20 februari 2026 10:41]

Reageer
J_van_Ekris
@Centurion18320 februari 2026 11:32
Straffen is een signaal aan andere bedrijven om de security wel op orde te krijgen.
En hacken komt veel vaker voor dan een corrupte medewerker.
Je neemt aan dat de beveiliging niet op orde was. Toegegeven de exfil van 6,2 records zou moeten opvallen, maar het is nog geen overduidelijk bewijs dat Odido op enige wijze nalatig is geweest. Als verdedigende partij moet je 100% van de aanvallen stoppen dit te voorkomen, de aanvaller hoeft maar één aanval te laten slagen om dit binnen te slepen.
als je goede maatregelen neemt dan is de kans op een hack veel lager en als het gebeurd de impact veel kleiner.
Maar die kans is niet 0. Dat is het probleem. En een helpdeskmedewerker kan nu eenmaal alle klantgegevens inzien omdat het zijn/haar werk is. Er is volgens mij niet zoiets als een regio binnen Odido zodat je klantgroepen op een logische wijze kunt afschermen voor medewerkers zonder dat klanten daar last van hebben.
Reageer
Centurion183 @J_van_Ekris20 februari 2026 11:48
Maar een helpdesk medewerker hoeft toch niet alle klantgegevens in te kunnen zien?
Een technische helpdeskmedewerker hoeft niet bij het bsn nummer te kunnen of je paspoortnummer of paspoort scan etc.
Ik werk op een technische it plek, ik kan ook niet het bsn nummer zien va collega's, privé 06 nummer etc, dat is niet nodig voor mijn functie.

En behandelaren van plek X, hoeven niet bij clienten te kunnen van plek Y.
Odido zou hun least privilige access als volgt kunnen inrichten.
Net genoeg zichtbaar om te kunnen vaststellen dat je de juiste persoon aan de lijn hebt, dus bijvoorbeeld maar 2 cijfers van je geboortedatum of voornaam, initialen, mailadres zichtbaarheid beperken (Ma*******@gmail.com, maar geen BSN nummer bijvoorbeeld. Wat is dan niet zichtbaar, nou de volledige geboortedatum, volledige naam, BSN, paspoortnummer etc.
Diensten specifiek (hier wel toegang tot veel of alle gegevens), dus type abonnement, contractduur, storingshistorie etc moet men wel kunnen zien.

Wil men wel kunnen mailen dan kan dat via een flow, zonder dat de medewerker het mailadres werkelijk hoeft te kunnen zien.

Wat wel zeker in deze is dat Odido geen phishing restistant login/mfa gebruikt heeft. Daarnaast kunnen medewerkers veel te veel gegevens zien waar ze niet direct toegang tot hoeven te hebben en de monitoring is niet op orde, was de monitoring wel op orde dan was er niet zoveel data buit gemaakt.

[Reactie gewijzigd door Centurion183 op 20 februari 2026 11:52]

Reageer
J_van_Ekris
@Centurion18320 februari 2026 13:01
En behandelaren van plek X, hoeven niet bij clienten te kunnen van plek Y.
Odido zou hun least privilige access als volgt kunnen inrichten.
Je beseft dat een helpdesk landelijk is ingericht? En dat klanten uit Groningen in Maastricht een winkel in kunnen lopen?
Net genoeg zichtbaar om te kunnen vaststellen dat je de juiste persoon aan de lijn hebt, dus bijvoorbeeld maar 2 cijfers van je geboortedatum of voornaam, initialen, mailadres zichtbaarheid beperken (Ma*******@gmail.com, maar geen BSN nummer bijvoorbeeld. Wat is dan niet zichtbaar, nou de volledige geboortedatum, volledige naam, BSN, paspoortnummer etc.
Diensten specifiek (hier wel toegang tot veel of alle gegevens), dus type abonnement, contractduur, storingshistorie etc moet men wel kunnen zien.
En de vraag "mijn bevestiging van mijn contract komt niet binnen, klopt mijn adres wel?" blijft dan per definitie onbeantwoord....
Reageer
Houtenklaas @J_van_Ekris20 februari 2026 13:15
Als een gemiddelde medewerker per dag 150 mensen kan helpen, hoeft hij dus niet bij meer gegevens dan van - naar boven afgerond - 200 klanten per dag. Daarnaast is het kipsimpel om een landelijk besloten en kosten efficiënt netwerk uit te rollen, die het internet nergens raakt. Met dit soort gegevens van klanten had dat een prima horde geweest om niet vanaf het internet op dat netwerksegment te geraken. Een andere optie is dat je een token nodig hebt (fysiek) om in te loggen op hun netwerk, zodat je aanwezigheid ook een extra horde is. Daarnaast zat andere manieren om drempels op te werpen zonder dat die klanten of dienstverlening raakt. En de keerzijde is waarschijnlijk niet thuis kunt werken. Dat is dan maar zo.

Uitgaan van "zero trust" geeft rust, vertrouw simpelweg helemaal niks en neem niks aan voor waarheid. Al is de kans maar 0,01% dat er iets misgaat en er 6.2Mio gegevens op straat liggen is niet de vraag OF dat gebeurt, maar wanneer. In je risico analyse sta je stil bij dit soort risico's en wat je daartegen gaat doen.

Jouw reactie lijkt haast een pleidooi voor "waar gehakt wordt vallen spaanders". Het vervelende is echter dat het MIJN spaanders zijn en niet die van Odido.
Reageer
Centurion183 @J_van_Ekris23 februari 2026 09:30
Nee hoor dat hoeft niet. Je zou een (nood)knop in kunnen bouwen die dan wel toegang geeft. Een andere medewerkers checkt dan of de toegang terecht is gedaan door de medewerker of niet, zodra op die knop is gedrukt. (Evt steeksproefsgewijs).
Zo'n knop maakt dan ook het automatisch harvesten van alle data ook weer wat lastiger.

Dit zelfde geldt voor de winkelmedewerker in Maastricht, (nood)knop voor als het toch nodig is. Voor de telefonische helpdesk is dit anders, die moeten waarschijnlijk bij alle klanten kunnen kijken.

[Reactie gewijzigd door Centurion183 op 23 februari 2026 09:33]

Reageer
jigalvh @J_van_Ekris20 februari 2026 21:56
Je neemt aan dat de beveiliging niet op orde was. Toegegeven de exfil van 6,2 records zou moeten opvallen, maar het is nog geen overduidelijk bewijs dat Odido op enige wijze nalatig is geweest.
Als de aanvallers hebben moeten scrapen dan haal je 6,2 MILJOEN (!!!) records niet even op. Het is tevens een actie die op zou moeten vallen als afwijkend. Het is voor mij duidelijk dat er geen enkele maatregelen waren om afwijkend gedrag op te sporen.

Wat moet een bedrijf doen om nalatig te zijn? De inloggegevens van de database op z'n website publiceren?
Als verdedigende partij moet je 100% van de aanvallen stoppen dit te voorkomen, de aanvaller hoeft maar één aanval te laten slagen om dit binnen te slepen.
Nee. Het is niet zo dat een aanvaller in één stap volledige toegang tot alle gegevens heeft. Althans, dat zou niet zo moeten zijn. Als je ineens de volledige dataset kunt inzien dan is dat nalatigheid.
En een helpdeskmedewerker kan nu eenmaal alle klantgegevens inzien omdat het zijn/haar werk is.
Waarom moet een helpdeskmedewerker alle klantgegevens inzien? Ze moeten kunnen vaststellen dat de beller de persoon is die de beller zegt te zijn. Het verifiëren van gegevens kan zonder ze in te zien. Bij het verifiëren van een wachtwoord hoeft dat wachtwoord ook niet leesbaar opgeslagen te zijn.

Natuurlijk moeten NAW gegevens ergens opgeslagen zijn voor communicatie en facturatie, maar lang niet alles hoeft leesbaar te zijn voor de helpdeskmedewerker (de naam lijkt mij voldoende).
Reageer
J_van_Ekris
@bzuidgeest20 februari 2026 10:34
De overheid zou gevoelige zaken achter digid hebben moeten zitten. Ook bij odido. Daarmee kan je identificeren zonder documenten achter te laten.
Dat zou inderdaad een betere oplossing zijn. Of een opdracht signen via de chip op je ID. Dan is het antwoord van de overheid dat dit "Burger X" is voldoende. En het verhoogd zelfs de beveiliging omdat je look-alike fraudevormen uitsluit.
En waarom kan je uberhaupt iets met een plain text nummer op een pasje?
Achteraf was dat voor mij ook de realisatie. Dat bankrekeningnummer staat plaintext op pasjes. Bij bedrijven zelfs op het briefpapier. Zo geheim is dat niet eens.

Zaken als automatische incassos moeten dan wellicht strakker geautoriseerd worden. Maar dat is aan de banken en de partijen die dat gebruiken.
Reageer
Caelorum @bzuidgeest20 februari 2026 14:15
Hoe kan 1 corrupte medewerker uberhaupt toegang hebben tot gegevens van miljoenen mensen in een dusdanige vorm dat deze te lekken zijn.

Nee, ze hadden hun zaken zeker niet op orde. Dat is bij wel meer bedrijven zo. Totdat er echt fatsoenlijke boetes komen en er een bedrijf gewoon op klapt gaat er ook gewoon niets veranderen.
Reageer
bzuidgeest
@Caelorum20 februari 2026 14:20
Omdat er altijd beheerders zijn met brede rechten. Er is altijd een "root" account ergens. Maar als je intern zit heb je dat vaak niet eens nodig. Alleen al fysieke toegang hebben kan al tot van alles leiden. Word elke pc elke dag gescrubbed? Gecontroleerd op logger dongles etc etc..... Soms gewoon wachten tot iemand zich even omdraait terwijl een pc niet gelocked is, niet anders dan een pickpocket met afleidingsmanoeuvres doet. Het neemt maar een seconde.

Iemand moet de database beheren. Ja je hebt encryptie, maar de persoon die bij fouten diagnose doet moet er toch bij kunnen. Er is altijd wel ergens een gat. Een groot deel van de wereld draait in essentie op vertrouwen. En juist de gasten die specialiseren in social engineering en spionage weten prima hoe ze dat moeten doen.
Reageer
Caelorum @bzuidgeest20 februari 2026 16:25
Omdat er altijd beheerders zijn met brede rechten. Er is altijd een "root" account ergens.
Ja, en ik ben zelf nog geen situatie tegengekomen waarbij het nodig is. Het is vaak wel makkelijk, maar absoluut niet nodig.
Reageer
bzuidgeest
@Caelorum22 februari 2026 17:52
Het grappige is dat het "nodig" is omdat het makkelijk is. Wellicht heb je door hoeveel tijd dingen als PIM kosten in inrichting en oponthoud en wat al niet? Security is leuk, maar als het zo ver doorgevoerd word dat de mensen niet meer kunnen werken zonder toestemming voor elke scheet schiet het zijn doel voorbij en dat leid tot er omheen werken. Er moet een balans zijn tussen veiligheid en gebruiksvriendelijkheid en die is soms ver zoek. Tot het punt waarvoor ik voor een enkele resource door meer dan 4 hoepels moet. En dat word je na twee keer vlug zat.
Dan zie je ook dat men passwordmanagers gaat inzetten, maar de minder priviledged account kan daarbij dus heb je in essentie nog steeds alles achter 1 luikje zitten. Er is niet eens maar 1 authentication app, die van microsoft en die van google en die van......
En dan kunnen ze bij microsoft in ieder geval per omgeving besluiten om wel of niet third party authenticators te ondersteunen..... hardware keys worden niet overal ondersteund en is ook een versplinterd landschap en wat als de key stuk gaat?

Ik vind het hoog tijd dat alle security experts ook eens over usability gaan nadenken want dat lijkt een vergeten ding te zijn. En als ze iets verzinnen er een breed gedragen standaard van maken die min of meer verplicht is.
Reageer
urandom092645 @bzuidgeest20 februari 2026 15:20
Straffen voor lekken is niet reactief, het is juist proactief. Het enige probleem is (en dit is op meer plekken zo, kijk maar naar de VS), dat wachthonden, de belastingdienst en andere soortgelijke organisaties structureel onderbezet zijn en er simpelweg geen tijd voor hebben.

Allerlei soorten bedrijven nemen kosten (en de kansen daarop) mee in hun kostenplaatje. De dienst zelf uitvoeren mag dan wel X per maand kosten, maar een datalek komt 1x in Y periode en kost ongeveer Z. Dan wordt dat bij X opgeteld als vaste kost. En als ze het niet hoeven uit te betalen, valt dat alleen maar mee voor ze.

Een ander voorbeeld is de koopvaardij. In plaats van de juiste (dure) maatregelen te nemen laten ze liever een volle olietanker zinken & de boete te betalen, omdat het op de lange termijn goedkoper is. Bron: heb koopvaardij gedaan.

Trouwens, wat is dit voor klinklare onzin dat bedrijven hun winsten mogen privatiseren maar hun kosten subsidieren? Laat ze hier lekker zelf voor betalen, dat heet ondernemersrisico
Reageer
bzuidgeest
@urandom09264520 februari 2026 15:23
Straffen voor lekken is niet reactief
Straffen doe je na het feit en is bij definitie reactief. Of wil jij de bedrijven straffen "VOOR" ze een misdaad plegen.... Het is minority report niet.

Proactief of preventief is voorkomen dat iets gebeurd. Ja controle-instanties van de juiste fondsen voorzien is daar een stap in, maar controles kunnen reactief en proactief zijn. Straffen is echter altijd reactief. En die instanties grijpen in als het fout gegaan is, daarvoor kunnen ze alleen suggesties doen, maar een bedrijf hoeft die niet op te volgen als die boven de eisen van de wet gaan.
Reageer
urandom092645 @bzuidgeest20 februari 2026 15:32
Straffen zijn proactief in het geval van bedrijven die er structureel tijd voor hebben, zoals de grote jongens waar we het over hebben. (burgers hanteren meestal op passie) omdat ze bedrijven laten nadenken hoe ze een bepaalde situatie aan moeten pakken.

Als een bedrijf mijn gegevens wil doorverkopen maar er staat een boete op van 1 googolplex euros dan denken ze daar wel wat meer over na.

Dat is bij extensie voorkomen dat iets gebeurt, net als "de regels vanuit de overheid"
Reageer
bzuidgeest
@urandom09264520 februari 2026 15:36
Nee, want de boete word pas uitgedeeld als er iets gebeurd en bedrijven kijken altijd waar ze mee weg kunnen komen. Zeker de grotere bedrijven als odido. Die zijn zo groot en complex dat soms niet eens zicht hebben op dat er iets niet goed gaat. Ik kan mij voorstellen dat iedereen bij odido in de volste overtuiging was dat ze al het oude spul opruimden en nu verrast worden. Dat gebeurt waar mensen werken. De boete voorkomt dus gewoon niets. Odido dacht vast ook dat ze er goed over nagedacht hadden.

De wet zelf is wellicht preventief bedoelt. De straf is de uitvoering en reactief.

een onoverleefbare boete heeft overigens ook geen zin, maar een soort bedrijf kan ontstaan onder die omstandigheden. Bedrijven die het niets kan schelen en hopen niet gepakt te worden. De rest begint gewoon niet eens. Te groot risico.

[Reactie gewijzigd door bzuidgeest op 20 februari 2026 15:38]

Reageer
ro8in @bzuidgeest20 februari 2026 08:55
Waarom zou iemand zonder mij in het bijzijn erbij moeten kunnen dan precies? Deze gegevens worden alleen opgeslagen ter identificatie toch. Dus op het moment dat ik erbij ben en ik mijn documentnummer opnoem dan hoeven hun alleen maar te kijken of de hash die daar dan uitkomt hetzelfde is als de hash die bij hun opgeslagen is. Er is verder geen enkele reden dat hun dit leesbaar hoeven op te slaan.

Net zoals hoe dat met wachtwoorden werkt. Wanneer jij deze intypt in een login formulier, dan wordt daar een hash van gemaakt en die hash moet dan overeenkomen met de hash die bij hun opgeslagen zit. Komt de hash niet overeen dan heb jij dus je wachtwoord verkeerd ingetoetst. Datzelfde kan ook prima met gegevens die opgeslagen liggen met enkel als identificatie doel.

En dat het toevallig voor jou geen probleem is omdat jouw identiteitsnummer toevallig al verlopen was is natuurlijk wel echt een non argument.

[Reactie gewijzigd door ro8in op 20 februari 2026 08:59]

Reageer
bzuidgeest
@ro8in20 februari 2026 08:58
Dat is dus alleen voor het document nummer en ik stel dat het daarvoor zou kunnen werken. Maar in deze hack zitten ook adressen en emails en de rest en daarvoor werkt dat niet.
Er is ook geen wet die het vereist, dus daarvoor moet je echt naar Den Haag kijken. Die hebben ook de noodzaak voor odido om het nummer te hebben veroorzaakt.
Reageer
ro8in @bzuidgeest20 februari 2026 09:14
Ook voor adressen en e-mail adressen is er een oplossing om dit veiliger op te slaan. Je kan die in iedergeval los van elkaar opslaan waarbij je ook los toegang moet verkrijgen om deze in te zien, dat maakt het in iedergeval al wat moeilijker. Maar zoals gezegd dit soort gegevens 100% beveiligen is inderdaad wat lastiger, want dit zijn gegevens die inderdaad zichtbaar moeten zijn. Hoe gaan ze je anders de factuur toesturen.

Als alleen mijn NAW gegevens gelekt waren had ik het ook minder erg gevonden, alhoewel ik nog steeds vind dat ook die gegevens secuur mee omgegaan moet worden, maar dan schaarde ik mij misschien zelfs nog onder jouw groep van geef Odido een fikse boete en ja helaas is dit niet 100% uit te sluiten, tenzij we overgaan op bijvoorbeeld een systeem dat bij PostNL hun mijn adres gegevens hebben gekoppeld aan een hash en bij Odido die hash gekoppeld hebben aan mij als gebruiker, dan zou je al beide bedrijven moeten hacken om deze gegevens gecombineerd te kunnen zien. Maar dat is misschien wat overkill. Als je heel ver wil gaan zou je hier zelfs een 3e partij tussen kunnen zetten die 2 verschillende hashes aan elkaar koppelt. Dan wordt het wel heel lastig om deze gegevens nog gecombineerd te krijgen.

Edit:
Eigenlijk nu ik dit zo schrijf en erover nadenk wat ik schrijf vind ik misschien stiekem wel dat dit gewoon zo zou moeten werken haha

Alleen het gaat hier echt om het totaal pakketje van gegevens, dus naast de standaard NAW gegevens ook je bankrekeningnummer, identiteitsdocument nummers en ik vraag mij ook sterk of of hier niet nog meer onder valt welke Odido misschien geen persoonsgegevens vind en daardoor niet benoemen, zoals welke GSM mast je vaak op verbonden zit, Imei numers, simkaart nummers etc. Ik denk dat wij de komende tijd nog wel meer te horen gaan krijgen over wat er nog allemaal meer in deze bundel over jou op de zwarte markt straks te koop is zit.

[Reactie gewijzigd door ro8in op 20 februari 2026 09:29]

Reageer
bzuidgeest
@ro8in20 februari 2026 09:40
Ik ga er even vanuit dat odido eerlijk is over wat er is gelekt en dan vallen imei en dingen als wat jij allemaal noemt daar niet onder.

Ik kan je wel enigzins volgen, maar ik denk dat het grote probleem is dat mensen bang zijn dat er fraude word gepleegd met die gegevens. Dat kan odido dekken met een verzekering.

Ik vind echter dat niet zozeer odido te kort schiet als wel de overheid. De overheid stelt identificatie verplicht voor een hoop dingen, echter ze hebben nagelaten om dat te verplichten op een veilige manier. Waarom zou odido niet gewoon met digid kunnen werken voor alle dingen. Waarom werkt alles niet met digiD? Als je niets met die gegevens kan dan een beetje spammen worden ze een stuk minder waardevol. Lekken gaat altijd gebeuren zolang mensen iets in kunnen zien. Wat je wel kan voorkomen is dat ze er iets mee kunnen. En dat is aan de overheid. Een bsn nummer zou je 0 mogelijkheden moeten geven. Het zou niet waardevoller dan een database Id moeten zijn. Dat is de fout van de overheid.

[Reactie gewijzigd door bzuidgeest op 20 februari 2026 09:40]

Reageer
ro8in @bzuidgeest20 februari 2026 09:49
Tja, maar waarom moet altijd alles door de overheid opgelost worden? Dit zou ook gewoon onderdeel van je business plan moeten zijn en de kosten hiervan moet je dus dan ook hier in mee nemen. Als deze niet in het plaatje passen dan heb je dus misschien een verkeerd business model. Als bedrijf wil je toch ook graag dat de gegevens van jou klanten goed beveiligd zijn ongeacht of dat wel of niet verplicht is, want je wil toch graag top kwaliteit service leveren? Kuch kuch.

Overigens begon mijn eerste reactie ook vooral als klacht naar de AP en niet zozeer Odido zelf. Maar conclussie die ik momenteel vooral heb is dus dat beide gewoon behoorlijk nalatig zijn op dit moment. En het enige wat ik wil is een goede oplossing voor consumenten. Of dat nou vanuit de overheid of vanuit het bedrijfsleven zelf komt boeit mij verder eigenlijk niet zo. Links of rechtom moet er iets gaan gebeuren, maar ik ben gewoon beetje klaar ermee dat telkens mijn gegevens op straat komen te liggen en ik maar gewoon beter moet opletten, terwijl ik zonder deze gegevens te verstrekken ik nergens gebruik kan maken van allerlei diensten omdat of overheid een bedrijf verplicht hierom te vragen of een bedrijf overbodig gegevens vraagt. Het moet gewoon opgelost worden nu!
Reageer
bzuidgeest
@ro8in20 februari 2026 10:00
maar waarom moet altijd alles door de overheid opgelost worden
Omdat bedrijven zonder dat geen incentive hebben. En het AP heeft geen middelen en geen geld.

Aandeelhouders en directeuren hebben hun schaapjes op het droge die kan het niets schelen. Voor hun is het een rekensom. Gaat odido vandaag kapot dan kopen diezelfde mensen morgen het bedrijf en noemen het odido2. Niets veranderd.

De overheid stelt de eisen en moet ze controleren, dat is hun taak.
Reageer
ro8in @bzuidgeest20 februari 2026 10:14
Ja maar eigenlijk kom je dan uit op de discussie dat wij als consumenten dit soort bedrijven helemaal niet zouden moeten supporten. Helaas zoals je zelfs hier in de reacties wel beetje terug ziet is toch de prijs nog vaak bij veel mensen de doorslaggevende factor. Ik vind het onbegrijpelijk dat er mensen zijn bij wie het eerste wat in hun opkomt is dat ze bang zijn om straks hun goedkope abbonnement te verliezen in plaats van zich druk maken over dat voor de zoveelste keer prive data van hun weer op de zwarte markt te koop staat. Maar ja zo zullen hun zich weer afvragen waar ik mij zo druk over maak, iedereen is anders. Het zijn niet alleen aandeelhouders die alleen op geld uit zijn. Grotendeel van de consumenten kan het eigenlijk ook weinig schelen als de prijs maar lekker laag is. Hier op Tweakers krijg ik een hoge moderatie score omdat er over het algemeen hier meer mensen zitten die wat meer denken zoals ik. Maar ik denk dat ik op een site als nu.nl helemaal omlaag naar me moeder gemodereerd zou worden haha. Tweakers publiek blijft natuurlijk gewoon een niche in het grote plaatje.

Het is jammer dat het zo is, maar helaas werkt het wel zo in de wereld. Er wordt vaak geklaagd naar dat aandeelhouders alleen maar op geld uit zijn, maar voor veel consumenten is dat eigenlijk niet anders.Terwijl daar in massa eigenlijk veel meer kracht zou liggen dan bij aandeelhouders. Alleen iedereen heeft eigenlijk al geaccepteerd dat consumentengedrag niet zal veranderen dus wijzen wij liever naar de aandeelhouders en als die niet willen luisteren moet de overheid het maar doen. Maar uiteindelijk zonder consumenten hebben de aandeelhouders ook niks.

Het is beetje het kip en het ei verhaal, je weet dat als jij bewust niet kiest voor een bepaald bedrijf omdat je het eigenlijk oneens bent met hun handelen, dat je toch geen enkel verschil maakt. Dus doe je het maar niet want wat maakt het uit, maar daardoor blijf je onderdeel van het probleem en denkt de rest ook zo. En is het beetje een vicieuze cirkel die zo door blijft gaan. Aandeelhouders weten dat en doen aan hun kant dan weer net zo hard mee.
Ja en ik doe er zelf ook aan mee, bestel af en toe bijv wel eens iets van Aliexpress en dergelijke omdat het zo goedkoop is en dan neem ik verder totaal niet de moeite om eigenlijk te kijken welk bedrijf erachter zit en of het niet goedkoop is om redenen waar ik totaal niet achter sta. Onbewust wil ik het liever niet weten en druk ik op de bestel knop en maak mij er verder niet druk over meer. Ik ben ook gewoon die consument waardoor er eigenlijk niks verandert.

De vraag aan een kant is zo goedkoop mogelijk en aan de andere kant zoveel mogelijk winst. En krijg je dus een systeem van vraag + aanbod waar dit soort nalatigheid en narigheid van komt, terwijl er in de meeste gevallen wel degelijk oplossing voor zijn, maar dat betekent dan weer dat de prijs omhoog moet en de winst omlaag en dat wil niemand natuurlijk.

[Reactie gewijzigd door ro8in op 20 februari 2026 10:33]

Reageer
bzuidgeest
@ro8in20 februari 2026 14:01
eerste wat in hun opkomt is dat ze bang zijn om straks hun goedkope abbonnement te verliezen
Tja je kan geld maar 1 keer uitgeven en de wereld word niet goedkoper. De kans dat je last krijgt van het lek is relatief klein. Dus voor de meeste mensen telt dat gewoon niet mee. En waar ga je naartoe? Ziggo? KPN? Die hebben dan volgende week hun eigen incident. Er is gewoon niets voor. De enige optie is zoals ik al aangaf regels dat ze je tegen de identiteit diefstal gaan verzekeren vanuit een bedrijf als schadeloosstelling. En dat in plaatst van documenten opslaan ze overgaan op verifiëren via digiD

Dat voorkomt niet alles wellicht, maar de consument is verzekerd en ondervind dus geen schade meer, buiten wat spam.
Reageer
J_van_Ekris
@ro8in20 februari 2026 11:38
Eigenlijk nu ik dit zo schrijf en erover nadenk wat ik schrijf vind ik misschien stiekem wel dat dit gewoon zo zou moeten werken haha
Je beseft dus dat als een klant belt hij niet door tien hoepels wil springen voordat hij een simpele vraag beantwoord krijgt?
Alleen het gaat hier echt om het totaal pakketje van gegevens, dus naast de standaard NAW gegevens ook je bankrekeningnummer, identiteitsdocument nummers
Want dat zijn zaken waar Odido dingen mee moet: ze moeten rekeningen kunnen versturen en ze moeten je identiteit vaststellen voor de wetgever.
ik vraag mij ook sterk of of hier niet nog meer onder valt welke Odido misschien geen persoonsgegevens vind en daardoor niet benoemen, zoals welke GSM mast je vaak op verbonden zit, Imei numers, simkaart nummers etc. Ik denk dat wij de komende tijd nog wel meer te horen gaan krijgen over wat er nog allemaal meer in deze bundel over jou op de zwarte markt straks te koop is zit.
Zullen we het bij de feiten houden en ophouden met speculeren? Dit vertroubeld de discussie alleen maar.
Reageer
J_van_Ekris
@ro8in20 februari 2026 10:39
Waarom zou iemand zonder mij in het bijzijn erbij moeten kunnen dan precies? Deze gegevens worden alleen opgeslagen ter identificatie toch. Dus op het moment dat ik erbij ben en ik mijn documentnummer opnoem dan hoeven hun alleen maar te kijken of de hash die daar dan uitkomt hetzelfde is als de hash die bij hun opgeslagen is. Er is verder geen enkele reden dat hun dit leesbaar hoeven op te slaan.
Je hebt echt een totaal verkeerd beeld van de rol van dat id-nummer. Als blijkt dat een abbonement fraudleus is afgesloten (bijvoorbeeld om het toestel) dan is dat documentnummer onderdeel van de aangifte bij politie. Die kan aan de hand daarvan persoonsgegevens eenduidig vaststellen on een onderzoek te starten. Een hash is dan waardeloos.

Overigens: dat documentnummer is random en betekenisloos. Je kunt er als het goed is absoluut niets mee. Odido legt het vast om zo de koppeling naar een uniek ID te leggen. Maar zonder het daadwerkelijke ID is het nummer nutteloos voor Odido en andere partijen.

[Reactie gewijzigd door J_van_Ekris op 20 februari 2026 10:40]

Reageer
ro8in @J_van_Ekris20 februari 2026 12:05
Dat is echt onzin, de identiteit kan prima vastgesteld worden tijdens de aanvraag en hoeft helemaal niet achteraf bewaard te worden om fraude vast te stellen, helemaal niet jaren. Dan moet je maar je checks bij de aanvraag verbeteren. Maarja dat willen ze niet want dat vermoeilijk de aanvraag weer en dat betekent moeilijker nieuwe klanten aantrekken. Je zou het misschien voor 1 maand kunnen bewaren om te checken dat de eerste factuur betaald wordt eventueel, maar langer is echt niet nodig.

Dit is precies de onzin die je wordt verteld om maar je gegevens te kunnen bemachtigen en bewaren voor alles en nog wat.

Het document nummer is overigens helemaal niet random ook. Het is een nummer dat gebasseerd is op een combinatie van gegevens, waaronder geldigheidsduur en startdatum van het document waardoor deze elke keer veranderd. Maar een random nummer is het zeker niet! Ik zou je toch iets beter laten informeren over de feiten alvorens je wat zegt. De politie heeft dit nummer ook niet nodig voor een aangifte en heeft genoeg aan naam adres geboortedatum.

[Reactie gewijzigd door ro8in op 20 februari 2026 12:11]

Reageer
CaptainKansloos @ro8in20 februari 2026 09:16
Voor wachtwoorden is dat al jaren de standaard, maar voor belangrijke identiteitsdocumenten en dat soort zaken is clear text opslag geen enkel probleem?
Je doet de willekeurige aanname dat de opslag in cleartext was. Dat is helemaal geen vaststaand feit. Via phising zijn wachtwoorden achterhaald; via social engineering zijn 2FA codes bemachtigd; dat is wat weten. Op basis van die gegevens zijn de 'daders' niet meer security technisch te onderscheiden van 'medewerkers'. Encrypted opslag doet er dan helemaal niet meer toe; daar kunnen medewerkers dan ook gewoon bij.

Wat (mogelijk) verwijtbaar is, is dat er zulke grote hoeveelheden data is kunnen lekken. Rate-limiting had hier minstens (vanuit het perspectief van: helpdeskmedewerker = slachtoffer) op zijn plaats geweest.

Waar ze precies allemaal bij konden is voer voor discussie, maar direct afhankelijk van de bevoegdheden van de accounts die gehackt zijn. Mogelijk waren die niet allemaal 'gelijkwaardig'. Of hebben ze een 'privalige escalation' kunnen uitvoeren op basis van wat ze al bemachtigs hadden, maar dat is ook allemaal speculatie; daar heb je niks aan op dit moment.

Ik stoor me wel een beetje aan de toon in de comments: "Ze moeten zwaar boeten / dikke schadevergoeding betalen / laat ze maar failliet gaan / etc" dat helpt m.i. niks. Dat is wat mij betreft vooral "heel boos met het vingertje naar een ander wijzen". Niet dat Odido niks verwijtbaar is, maar het is 'tegenwoordig' ook wel de norm om he-le-maal los te gaan op dit zsoort zaken, terwijl de helft van het verhaal nog niet in beeld is.

Ik zou b.v. liever zien dat Odido openheid van zaken geeft; een soort forensisch inzicht is van wat er wanneer is gebeurt en waarom ze gegevens tot zo ver terug in de tijd hebben bewaard. Daar kunnen we allemaal van leren.

En boetes: maybe. Schadevergoedingen: niet heel realistisch denk ik. N.B. Ik ben zelf 'slachtoffer' via zowel Ben als Odido.
Reageer
J_van_Ekris
@CaptainKansloos20 februari 2026 10:25
Wat (mogelijk) verwijtbaar is, is dat er zulke grote hoeveelheden data is kunnen lekken. Rate-limiting had hier minstens (vanuit het perspectief van: helpdeskmedewerker = slachtoffer) op zijn plaats geweest.
Voor mij ook inderdaad het enige echte vraagteken. In de shops zie ik dat ze een soort webportal hebben. En medewerkers daar en bij helpdesks moeten de meest wilde vragen kunnen afhandelen. Dus dat die veel kunnen zien is op zich niet vreemd. En er zijn veel helpdesk medewerkers, dus dat een phishing aanval een keer lukt is op zich niet vreemd (wet van de grote getallen).
Ik stoor me wel een beetje aan de toon in de comments: "Ze moeten zwaar boeten / dikke schadevergoeding betalen / laat ze maar failliet gaan / etc" dat helpt m.i. niks. Dat is wat mij betreft vooral "heel boos met het vingertje naar een ander wijzen". Niet dat Odido niks verwijtbaar is, maar het is 'tegenwoordig' ook wel de norm om he-le-maal los te gaan op dit zsoort zaken, terwijl de helft van het verhaal nog niet in beeld is.
Dit dus. Men neemt blindelings aan dat Odido zijn zaken niet op orde heeft. Pak de hooivorken maar en we gaan ze eens aan het kruis nagelen.

Ze zijn gehackt omdat één (van de duizenden?) medewerker in een social engineering aanval is getrapt. Het is zeker zorgwekkend dat één geslaagde poging tot deze omvang kan escaleren. Maar we weten niet hoe goed dit in het routinematige verkeer verstopt is geweest en wat reactietijden zijn. Kan best zijn dat er wel degelijk op gemonitord en gealarmeerd wordt, maar dat dit via te trage kanalen wordt afgehandeld (niet via het SOC). Allemaal zaken die belangrijk zijn voor Odido en andere partijen om van te leren.
Reageer
J_van_Ekris
@ro8in20 februari 2026 10:15
Je kan gegevens prima opslaan op een manier dat deze niet in te zien zijn
Wat ik van de hack begrijp is die via helpdeskmedewerkers gegaan. Die moeten een hoop kunnen zien om mensen te helpen. Dat is het fundamentele probleem met helpdesks: ze kunnen de meest wilde vragen krijgen.
maar voor belangrijke identiteitsdocumenten en dat soort zaken is clear text opslag geen enkel probleem?
Zoals ik het begrijp zijn het alleen nummers van identiteitsbewijzen. Random getallen op een paspoort of rijbewijs. En die moeten plain text want bij fraude wordt die info overgedragen aan de politie.
Reageer
antonyv @ro8in20 februari 2026 15:53
En dan hebben hwe het nu over een kopie van een ID kaart o.i.d. en andere gegevens.
Maar ik maak me nu al zorgen over de toekomst als we allemaal een digitaal ID bewijs hebben.

Kortom we maken er met zijn alleen een zooi van in de digitale wereld. Vroeger moest je echt een paspoort van iemand jatten en dan kon je er nog vrijwel niets anders mee dan een ander fotootje op plakken.

Nu heeft het veel meer gevolgen als iets gelekt wordt en ik maak me nu al zorgen over een nog digitalere wereld. Ik wil helemaal geen digitaal paspoort of ID kaart of rijbewijs.
Reageer
SirMemeAlot @bzuidgeest20 februari 2026 08:56
Geef mij eens een voorbeeld van waar 6,2 miljoen gegevens zijn gestolen en de hoeveelheid van data per persoon. Deze hack is uniek binnen Nederland. Het gaat niet alleen op email + adres maar ook paspoort gegevens van personen die in sommige gevallen ook allang verwijderd hadden moeten zijn volgens hun eigen voorwaarden.

Zo blijkt maar weer dat alles te koop is, zolang we er zelf maar warmpjes bij zitten.
Reageer
bzuidgeest
@SirMemeAlot20 februari 2026 09:04
Leuke sneer aan het einde, maar dat zie je overal bij iedereen voor allerlei redenen.
En voorbeelden van hacks van die schaal kan je wereldwijd overal vinden. Ik kijk niet alleen maar Nederland


Je hebt gelijk dat die gegevens die al verwijderd hadden moeten zijn, wel tot een boete zouden moeten leiden.
Maar je druk maken over email en adres? Die gegevens zijn overal te vinden. De data markten staan er vol van. Wellicht zelfs niet via hacks maar bedrijven als Facebook en Google etc. Mensen geven die gegevens zelf weg.
Reageer
fifanoob @bzuidgeest20 februari 2026 09:31
Het is overal te vinden omdat men al jarenlang onbestraft dit maar laat gebeuren. Op moment dat je hier flinke consequenties aan hangt zullen bedrijven de noodzaak wel in zien.
Nu Denkt odido ach, boeie, we zijn gehackt konden we niks aan doen.
Op moment dat ze dit ik noem maar wat 250 euro per klant kost gaan ze kopje onder en dan denken bedrijven voortaan wel, Die 50 mil investering om dit goed te regelen is het wel waard. Nu denken bedrijven nog steeds, achja het kost ons toch geen geld als we gehackt worden.
We laten het al jaren toe dat er zo slap over gedaan wordt. Ik ben dat spuugzat.
En dan kan jij wel zeggen het is al overal bekend, ja omdat mensen zoals jou gewoon lekker hun schouders ophalen en het niet boeit. We moeten met ze allen hier tegen verweren en eisen stellen.
AP kan wel zeggen om geen klachten meer in te sturen, maar ik raad iedereen het aan om het wel te doen. Ze moeten gewoon aan het werk gaan en dit eens serieus nemen! En als Odido hierdoor failliet gaat gaan bedrijven in de toekomst hier wel scherper op zijn. Dat zou eens tijd worden.
Reageer
bzuidgeest
@fifanoob20 februari 2026 09:53
Zelfs als je een dikke boete geeft. De aandeelhouders hebben hun geld al, de data is al weg. Het is de put dempen als de koe verdronken is.

Laat de overheid zorgen dat ze niets kunnen met de data. Alles wat belangrijk is via digid, niet via een nummer opnoemen dat plain text op een kaart staat. Laat de overheid verplichten dat bij een lek ze ieder slachtoffer identiteitfraude verzekering moeten geven voor X jaar.

Dat zijn preventieve oplossingen. Achteraf straffen, straf je uiteindelijk alleen de consument mee.
Reageer
fifanoob @bzuidgeest20 februari 2026 10:18
Tot ze failliet gaan en de aandelen niks meer waard zijn. Reken maar dat bedrijven er dan wel prio op zetten.
Reageer
bzuidgeest
@fifanoob20 februari 2026 14:03
Absoluut niet, want die aandeelhouders hebben hun geld al, en met dat geld kunnen ze de aandelen van een kapot bedrijf makkelijk kopen. Op dat "niveau" kan ze dat echt niets schelen. Hun wereld loopt wel door. Het zijn de werknemers die op straat staan, want het is meteen een goede kans voor saneren.
Reageer
fifanoob @bzuidgeest20 februari 2026 14:08
Dus aandeelhouders betalen voor hun aandeel, aandeel zakt naar 0 maar jij zegt dan doodleuk dat aandeelhouders daar niks van merken?
Snap je wel hoe aandelen werken? Als ik 100 aandelen koop van odido en ze zijn morgen niks meer waard dan ben ik toch aardig de sigaar. En dus zullen aandeelhouders erop toezien dat dit soort praktijken niet moeten gebeuren omdat ze anders hun investering kwijt zijn.
Dividend uitkering naar aandeelhouders wil nog niet zeggen dat je winst hebt gemaakt over je aandelenpakket he. Dus hoe leg eens uit met wat jij bedoeld ze hebben hun geld al? Hun aandelen zijn opeens niks meer waard ze hebben dus niks meer.

[Reactie gewijzigd door fifanoob op 20 februari 2026 14:09]

Reageer
bzuidgeest
@fifanoob20 februari 2026 14:50
Maar goed jij bent natuurlijk hier de kenner :')
Misschien meer dan jij. Who knows. De getallen waren alleen maar een makkelijk rekenvoorbeeldje. Het is geen crypto, maar speculeren is een steeds kortere termijn actie. Het gemiddelde is ondertussen omlaag naar 5.5 to 10 months voor hoe lang aandelen worden vastgehouden. Die mensen hebben ook niet maar 1 aandeel. Ze hebben aandelen in vele bedrijven. Win some, loose some. Je koopt het bedrijft van de waardeloze aandelen lekker goedkoop. Saneert flink en de komende jaren weer meer winst.

Jij doet of het consumenten zijn. Of vastgoed. Maar dat is dit niet.

[Reactie gewijzigd door bzuidgeest op 20 februari 2026 14:50]

Reageer
SirMemeAlot @bzuidgeest20 februari 2026 09:16
Niet bij 'iedereen' maar bij veel, dat is wel even belangrijke nuance. Je roept dat het overal kan vinden, kom dan eens met paar voorbeelden? Besides, het voelt ook wel erg aan. Hij deed het toch ook, dus waarom mag ik dat dan niet.

Dit is precies de reden waarom dit soort hacks blijven gebeuren, omdat het ons niet boeit tot we gevolgen voelen. Maar eerder weigeren we een paar euro in de maand meer te betalen voor veiligheid van onze gegevens. Ik heb tegenwoordig mijn zaken gescheiden voor bijv. forums of shopping en belangrijke zaken als bankieren/verzekeringen/gezondheid etc. Die 2e is nog nergens gehackt, de 1e uiteraard wel op meerdere plaatsen. Dus dat alles overal maar bekend is klopt ook niet.
Reageer
bzuidgeest
@SirMemeAlot20 februari 2026 09:50
Ik heb niet het idee dat meer betalen de veiligheid verhoogd. Verdwijnt gewoon bij de aandeelhouders.

Die 2e verkoopt gegevens en alhoewel die technisch vaak anoniem zijn is het verbazend wat je kan relateren als je genoeg naast elkaar legt.

Ik denk niet dat hacks voorkomen kunnen worden, ik zie meer heil in voorkomen dat ze iets kunnen met die gegevens. Dat betekend bij mij dat je overal waar het belangrijk is gewoon iets als digid moet gebruiken. Een nummer dat plain text op een pasje staat zou nooit voor ook maar iets voldoende moeten zijn. En dat is de overheid zijn fout.

Net als de overheid een regel kan maken dat bij een lek het bedrijf verplicht is je te verzekeren tegen identiteit fraude voor X jaar.
Reageer
SirMemeAlot @bzuidgeest20 februari 2026 13:00
Maar op dit moment kan je wel wat met die gegevens en is het de taak van degene waarmee je een overeenkomst hebt om die (zoveel het kan) te beschermen. Daar heeft Odido enorm gefaald en jij wist met je vinger naar een ander? Dan had Odido moeten aangeven dat ze dit niet kunnen en dat de overheid er wat aan moet doen. Niet achteraf klagen en dan wijzen.

En/of het klopt met betalen / veiligheid zal praktijk moeten uitwijzen aangezien we dat niet kunnen weten. Maar feit is op dit moment wel dat Odido, die paar euro goedkoper is onzorgvuldig met je data om gaat. Maar we zitten er allemaal schijnbaar niet zo over in hier, of het boeit ons niet zoveel.
Reageer
bzuidgeest
@SirMemeAlot20 februari 2026 14:07
Dan had Odido moeten aangeven dat ze dit niet kunnen en dat de overheid er wat aan moet doen.
Dat hebben al die bedrijven al gedaan. Denk je dat die zitten te wachten op al die rompslomp van verificatie en bijhouden?

Ik wijs ook niet achteraf. Ik herinner men er achteraf aan dat er betere oplossingen zijn voorgesteld of mogelijk. Odido als bedrijf houd zich (buiten te lang gegevens opslaan) waarschijnlijk gewoon aan de wet. Doen wat de wet vereist. Meer kan je van een commerciële entiteit niet verwachten.
Maar feit is op dit moment wel dat Odido, die paar euro goedkoper is onzorgvuldig met je data om gaat.
En dan? Overstappen? Naar de volgende aanbieder met de week daarna een lek? Ze verschillen echt niets van elkaar.
Reageer
SirMemeAlot @bzuidgeest20 februari 2026 14:34
We gaan niet op 1 lijn komen te liggen dat is heel duidelijk, wat ook duidelijk voor mij is, deze hacks gaan vaker gebeuren want schijnbaar interesseert het ons geen bal. We schuilen achter, ach, als k overstap gebeurd het daar ook. Neen, Er is bij nog geen enkele andere provider een hack van deze omvang geweest met deze hoeveelheid data. Dat is wat anders dan dat het niet kan gebeuren, maar het is niet gebeurd dus bij voorbaat ervanuit gaan is gewoon jezelf overtuigen dat je lekker wil blijven zitten omdat het je goed bevalt en het goedkoop is.

Bedrijven zitten alleen op winst te wachten en het liefst zo min mogelijk effort inderdaad. Dus die zitten daar inderdaad niet op te wachten, behalve dan dat als ze over de schreef gaan dat iedereen lekker blijft zitten want dat is easy money.

Maar lets agree to disagree :)
Reageer
bzuidgeest
@SirMemeAlot20 februari 2026 14:54
Maar lets agree to disagree :)
agreed!
want schijnbaar interesseert het ons geen bal
Ik heb genoeg belangrijkere dingen om mij druk over te maken dan het lekken van een email dat ik toch overal moet geven voor communicatie. Ik ben er niet blij mee, maar ik kan het niet voorkomen. Ik zie ook meer in een afgedwongen oplossing vanuit de overheid dan een enkel bedrijf een keer geld afhandig maken dat hun klanten uiteindelijk betalen. Persoonverficatie via digid. Geen documentopslag. En verplicht verzekeringen aanbieden als je toch lekt.
Reageer
Dennism @SirMemeAlot20 februari 2026 09:17
Is er trouwens al bekend wat er nu daadwerkelijk is gestolen. Uit de berichtgeving die ik gevolgd heb ik, is immer voor zover ik het begreep niet gebleken dat al deze gegevens van 6.2 miljoen klanten gestolen zijn, enkel dat van 6.2 miljoen mensen (een deel van) deze gegevens mogelijk in het systeem stonden en mogelijk geraadpleegd zijn.


Om de werkelijk geleden schade te bepalen zal je echter wel moeten weten wat er exact gestolen is, en niet 'misschien' of 'mogelijk'. Echter vermoed ik dat dit onderzoek nog wel even zal duren voordat ze uitgezocht hebben welke data de gecompromitteerde medewerker accounts daadwerkelijk hebben geraadpleegd in de periode dat er onbevoegde toegang is geweest.

[Reactie gewijzigd door Dennism op 20 februari 2026 09:19]

Reageer
Jaldea @Dennism20 februari 2026 11:33
Dat wordt gezegd, maar ik word wel gecontacteerd over deze specifieke gegevens (oud adres, oud rekeningnummer) door een of ander collectief die me zogenaamd ooit heeft geholpen met een dienst.
Ik geloof dit dus niet zo heel erg dat ze dat uberhaupt weten.
Reageer
Dennism @Jaldea20 februari 2026 11:37
En dat is dan ook net waarom ik denk dat het belangrijk is om te weten wat er gestolen is, in plaats van te gissen. Ik heb zelf de Odido mail ook gehad (want ben klant bij hun), en ik houd de boel sindsdien dus ook goed in de gaten, maar ik dan tot nu toe nog helemaal niets vreemds gezien.
Reageer
Jaldea @Dennism20 februari 2026 13:25
Bij mij hetzelfde, maar ik dus wel al vreemde belletjes gehad, met die overeenkomende gegevens.
Reageer
pcxs @Jaldea20 februari 2026 17:54
Dat heeft 0,0 met Odido hack te maken enkel met marketingbedrijfjes waar je af en toe mee doodgegooid word daar is levendige handel in nog steeds.

Maar mensen worden soms paranoia van hun eigen achterdocht
Reageer
Jaldea @pcxs23 februari 2026 09:25
toch raar dat een marketing bedrijf dan wel DIT rekeningnummer heeft.
Reageer
pcxs @Jaldea23 februari 2026 13:55
Dat kan ook allang ergens anders gelekt zijn zo snel komen ze niet aan die gegevens.
En ook dat je een keer door hun of een ander aan hun gelieerd bent geholpen en dat ze zo je nr hebben die kans is 5000x reëler dan dan het van Odido afkomstig is
Reageer
Guru Evi @SirMemeAlot20 februari 2026 14:01
MoveIT hack, daar zijn de bankgegevens en identiteitsgegevens van nagenoeg iedereen in meerdere landen overgedragen door onze overheden. Ze weten nog steeds de omvang niet, een reeks systemen staan nog steeds online met de oude versie.

AP is een grap, de regulering telt enkel om de particuliere en kleine bedrijven failliet te maken. Al onze gegevens liggen al op straat omdat de overheid verplicht dat deze bedrijven dit verzamelen onder het mom van belastingontwijking of terrorisme. Quasi-anonieme betalingssystemen bestaan mijn bank geeft mij vandaag al virtuele kaartnummers zodat maar 1 bedrijf gebruik van kan maken, je hebt echt niet meer nodig dan een nummer van een toestel om een dienst aan te bieden, misschien als je een vaste lijn nodig hebt heb je een adres nodig. Maar naam, rekeningnummer, rijksnummer, geboortedatum en wat ik gisteren voor ontbijt gehad heb is echt niet nodig.
Reageer
t14wo @bzuidgeest20 februari 2026 08:55
Hoe ga je hiertegen verzekeren? Hoe bewijst de gedupeerde dat het Odido lek tot schade heeft geleid?

[Reactie gewijzigd door t14wo op 20 februari 2026 09:26]

Reageer
bzuidgeest
@t14wo20 februari 2026 08:59
Tja identiteit fraude verzendingen zijn gewoon op de markt. Enige wat je hoeft te bewijzen is dat er fraude is. Niet hoe of via wie. Dus odido kan dat voor zijn klanten afsluiten. Dit wordt vaker gedaan bij hacks.
Reageer
bapemania @bzuidgeest20 februari 2026 09:02
Vergeet vooral ook niet dat Odido heeft toegegeven dat ze klantdata véél langer hebben bewaard dan wettelijk noodzakelijk en langer dan zijzelf aangeven klantdata te bewaren. Ja hacks kunnen gebeuren maar de omvang van deze hack was een stuk kleiner geweest als Odido zijn eigen beleid zou uitvoeren, dat is enkel en alleen Odido aan te rekenen.
Reageer
bzuidgeest
@bapemania20 februari 2026 09:06
Ja dat stuk heb je helemaal gelijk in. Dat ga ik niet ontkennen. Maar hoeveel kleiner dat de set zou hebben gemaakt... Ik denk misschien niet zo heel veel. En de kans is groot dat die gegevens verouderd zijn. Mensen verhuizen en zo. Documenten verlopen.
Reageer
Kooshans @bzuidgeest26 februari 2026 13:50
Ik zie dat een terugkerend thema bij jou in deze discussie is dat je een mate van ernst toekent aan bepaalde feiten op basis van jouw persoonlijke onderbuikgevoelens / natte vinger werk.

Het staat je vrij natuurlijk, maar ik denk dat je wel tot een kleine minderheid behoort als het gaat om hoe het jou niks uitmaakt betreft het veel te lang bewaren van persoonsgegevens wat Odido heeft gedaan.

Daarbij vind ik het simpel wegwuiven van deze enorme nalatigheid met het argument "ach veel van die gegevens zullen al wel verouderd zijn want mensen verhuizen soms", van een absurde nonchalance getuigen. En daarnaast niet zo intelligent. Op zo'n manier kun je als zo'n groot bedrijf natuurlijk niet kijken naar databeheer en veiligheid van deze orde.

[Reactie gewijzigd door Kooshans op 26 februari 2026 13:53]

Reageer
bzuidgeest
@Kooshans26 februari 2026 14:04
Eerlijk gezegd vind ik het niet zo intelligent dat je mij woorden in de mond legt.

Tuurlijk is het bewaren van de oude dat binnen de termijn verkeerd. Maar odido heeft zo een 6 miljoen klanten in Nederland. 6,2 miljoen personen zijn de gegevens van gelekt. Dat betekent dat op zijn hoogst 200.000 personen de data te lang van bewaard is. Maar dat betekend niet dat er 200.000 fouten zijn. Er is ergens daar 1 configuratie fout waardoor het bewaarbeleid dat ze melden niet correct is uitgevoerd. Grote nummers zijn moeilijk te bevatten voor veel mensen, maar je moet ze altijd in context pakken.

Die 200.000 is voor een groot deel verouderd. Dus was is er precies te lang bewaard? minder dan 3 procent van de data. Mogelijk minder dan een procent. Dat is de minimis tegenover het grote geheel van de hack.

En als je rondkijkt zie je ook heel veel mensen die tegen losgeld voor de data betalen zijn. Daar ben ik ook niet alleen in als klant van odido. Je krijgt ook 0 garanties op lekken bij andere providers, dus het is niet wegwuiven wat mensen als ik doen, wij kijken naar wat we praktisch kunnen doen dat zin heeft. Niet naar de emotie. Je adres en woonplaats en email zijn zeer makkelijk via andere wegen te vinden. Met het documentnr kan je weinig in principe. Mijn bank heeft gemeld dat ze andere dingen in de gaten houden.

Dan is het enige wat nog wat kan uitmaken een overheid die regels gaat maken over de gevolgen van dit soort dingen. Dat is waar ik op stuur. Niet onzin als ik ren wel naar een andere provider die mij geen enkele extra garantie bied of verantwoording aflegt aan mij. En dat doen alle lekkende webwinkel ook niet. Alle zorginstanties e.d. ook niet. id verificatie kan ook via digid. Dan hoeven ze geen documentnummers op te slaan, wat ze nu verplicht moeten van de overheid. Je kan ook vergoedingen of verplicht afsluiten identiteitfraude verzekeringen voor je klanten verplicht stellen in geval van lekken. Dat zijn opties en rechten waar je als klant en overheid werkelijk invloed op hebt. Die je kan afdwingen en straffen als ze zich er niet aan houden. Zoals het nu staat is odido waarschijnlijk totaal niet strafbaar. het is een ongeluk en binnen de wet hebben ze zich buiten de zelf opgelegde bewaartermijn (of wettelijke) waarschijnlijk aan alles gehouden. En anders horen we dat van het OM die doen namelijk onderzoek.

Dus voor je over onderbuik en natte vingers begint... Overweeg even waar mensen het werkelijk over hebben en of je eigen vingers droog zijn :)

Ik ben niet nonchalant, ik ben pragmatisch, realistisch en zakelijk. Niet emotioneel hierover.
Reageer
Jaldea @bzuidgeest20 februari 2026 11:31
Je vergeet echter de combinatie van; rekeningnummers, geboortedatum, identiteitsdocument nummers en volledige naam.
Ja, er is vast wel ergens je adres en naam vindbaar in een telefoonboek, maar ik gebruik mijn rekeningnummer en id document nummer niet bij elk abonnement of account dat ik aanmaak, of online webshop.

En er wordt vanuit Odido nu geroepen dat er geen gegevens zijn verkocht of publiek beschikbaar zijn gemaakt, maar toch bijzonder dat ikzelf wel al meer dan 10 keer ben gebeld met gelekte gegevens die ik op maar een aantal plekken gebruik voor mijn vaste lasten.
Gek dat een of andere random collectief me dan belt met de gegevens die ik had gebruikt voor het aanvragen van mijn telefoon abonnement, (waar ik nu niet meer woon bijv.) op een rekeningnummer die ik alleen nog daarvoor en 2 andere diensten gebruik.

Ik vind dus ook dat ze prima van Odido een voorbeeld mogen maken en flink aanpakken
Reageer
pcxs @Jaldea20 februari 2026 12:47
Je vergeet ook dat je met een ID nr want dat is wat er opgeslagen is compleet niks kan doen, ook vergeet je dat ze roepen data van 6 miljoen klanten dat kan ook enkel het nr zijn of het mailadres of aansluitingsadres er hoeft niet eens alles in te staan.

Paniek zaaien om niks de ID gegevens hebben ze alleen van mensen die een abbo in de winkel hebben afgesloten verder ook niet.

Enkel met een rekeningnr en naam kan je niet zoveel ja bestellen kan dat kan ik morgen ook doen op iemand zijn naam en dan het pakket onderscheppen maar thats it de incassant dient een getekende machtiging te hebben en die hebben ze niet dus paniek om helemaal niks
Reageer
bzuidgeest
@Jaldea20 februari 2026 14:10
Je bent in de war met gegevens die gewoon voor marketing overal doorverkocht worden. Daarom word je gebeld. Dat is een business.

Vandaag is het odido, morgen is het kpn of ziggo of een medische instantie. Odido aanpakken doet niets. De aandeelhouders en investeerders merken niets. Die kopen de boel op na een bankroet en gaan vrolijk verder met odido 2.0. Er staan op zijn hoogst mensen als jij en ik op straat.
Reageer
mphilipp @bzuidgeest20 februari 2026 11:57
Dit soort dingen gebeuren continue en overal. Social engineering is ook moeilijk tegen te wapenen.
Nou...nee. Als zou blijken dat Odido ook in het verleden laks was met beveiliging, en daar niets aan gedaan is, wat dan?
En ook tegen deze hack had iets gedaan kunnen worden. Je kunt ervoor zorgen dat iemand alleen maar kan inloggen op het systeem als ie op een compliant device werkt en via het VPN van het bedrijf verbonden is. Dat is misschien wat werk en kost een paar centen, maar als je je spulletjes veilig wilt houden, moet je dat gewoon doen. En dát hebben zij niet gedaan. De hackers konden met de gestolen credentials en wat kletspraat door de telefoon gewoon inloggen. Dat had niet moeten kunnen.

Dus ja, Odido is zelf verantwoordelijk. 100%
Reageer
return true @bzuidgeest20 februari 2026 16:41
Dat je met toegang tot een medewerkersaccount blijkbaar ongehinderd een dump van de gegevens van miljoenen klanten kunt maken is dan weer niet zo handig. Dat social engineering plaatsvindt zou ook bij Odido bekend moeten zijn en je mag verwachten dat er maatregelen worden genomen om de impact van een aanval te beperken. Dat het hele klantenbestand op straat kan komen te liggen door phishing is Odido echt wel aan te rekenen.
Reageer
bzuidgeest
@return true22 februari 2026 17:54
De oude informatie die er niet in had moeten staan is ze aan te rekenen. De rest weet ik niet. Een infiltrant had de gegevens van "interessante" doelwitten ook met pen en potlood naar buiten kunnen krijgen. 1 voor 1. Je kan het op zijn hoogst moeilijker maken. Onmogelijk..... Dat bestaat denk ik niet. Er moet namelijk altijd mensen bij kunnen. En Database admins moeten er voor onderhoud vaak bij kunnen. De kan de db encrypted. Maar voor diagnose op de data of analyse hebben ze toch weer de data in beeld nodig. Het vereist maar 1 corrupte persoon.
Reageer
kodak
@bzuidgeest20 februari 2026 20:05
Dat een bedrijf dat de wet massaal (bij miljoenen personen) aan de laars lapt daarmee financieel risico loopt en dar mogelijk op jou wil afschuiven is eerder een reden om naar het bedrijf te klagen en daar zelf eisen aan te stellen. Niet om te gaan klagen over slachtoffers die opkomen voor hun rechten.

Dat je zelf selectief voor je eigen recht wil opkomen als een ander je wettelijk onrecht aan doet is prima. Maar een ander het recht selectief niet gunnen omdat je zelf liever minder betaald (wat geen recht is) past niet in een democratische rechtsstaat.

Als je een andere vorm van rechtmatige genoegdoening wil en bedrijf dat je onrecht heeft aangedaan weigert dat dan moet je bij dat bedrijf zijn. Daar heb je een overeenkomst mee, niet met andere klanten die mogelijk iets anders willen.
Reageer
bigkillerstorm @bzuidgeest21 februari 2026 08:24
Laat Odido maar mega boete betalen wellicht worden ze duurder dan stappen we over. Dan maar dat het bedrijf failliet gaat omdat gegevens niet goed beschermd zijn is eigenlijk wel terecht. Ik zit ook bij Odido in het algemeen vind ik het een fijne provider behalve dat ze ip sneller wisselen bij kpn had ik letterlijk zelfde ip voor 7 jaar. Iedergeval mensen verdedigen graag het bedrijf waar ze werken. Foute collegas. Of waar ze simpelweg afhankelijk van zijn. Sussen dan de boel het is toch niet zo erg of straks wordt ik de dupe ga ik meer betalen. Ze zijn gewoon fout en nalatig zouden hier voor moeten boete. Bij een mega boete zouden ze ook moeten waken dat ze diensten niet in prijs omhoog mogen gooien of uitkleden. Dus het geld weer bij klanten met terugwerkende kracht halen. Dat moet verbied worden als ze het toch doen daar ook weer mega boete voor. Bedrijven moeten juist zo min mogelijk gegevens verzamelen of langdurig vasthouden en wat ze houden goed beveiligen en versleutelen. Ook maximaal aantal request instellen per administratief gebruiker of medewerker bijvoorbeeld 1 klantgegevens erbij pakken om de 3 minuten. Dat alle gegevens versleuteld in een kluis zitten alleen fysiek met een lange sleutel die je offline bewaard te openen is dan ook nog 2 staps vertificatie erbij. Lijkt mij dat voor miljarden bedrijf makkelijk te realiseren is. Gaat echt nergens over dat die gegevens op straat komen. Geef ze eerst maar de maximale omzet boete. Je gaat geen foei zeggen of heeft het AP aandelen in Odido?
Reageer
Uruk-Hai @ro8in20 februari 2026 08:36
Ik ben er wel rouwig om als Odido verdwijnt, want ik krijg via hen heel veel data + snelheid voor een opmerkelijk lage prijs, zeker omdat ik zowel mobiel Ben heb en voor thuis Odido Klik & Klaar, waardoor ik ook nog eens combikorting heb.

Odido is zeker niet zomaar een van de vele providers op de markt. Zoveel waar voor zo weinig geld vind je bij andere providers simpelweg niet.

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 08:40]

Reageer
ro8in @Uruk-Hai20 februari 2026 08:40
Dus jouw gegevens op straat vind jij de korting wel waard? Al eens gedacht aan dat al die mooie kortingen er zijn omdat hun besparen op je weet wel, het beschermen en veilig opslaan van jouw gegevens.

Iedereen natuurlijk zijn eigen voorkeuren, maar voor mij is het goedkoopste zijn echt niet het enige wat ik belangrijk vind. Ik zou liever wat meer betalen voor een provider die enkel alleen mijn gegevens in encrypted hashes zou opslaan en dus bijvoorbeeld voor het controleren van mijn identificatie alleen de hash zou hoeven te vergelijken. Waarom zou een provider mijn document nummer op elk willekeurig moment zonder mij erbij moeten kunnen inzien?
Reageer
Uruk-Hai @ro8in20 februari 2026 08:52
Dus jouw gegevens op straat vind jij de korting wel waard?

Dat was uiteraard niet één van de redenen waarom ik voor Odido heb gekozen.

Ik zou liever wat meer betalen voor een provider die enkel alleen mijn gegevens in encrypted hashes zou opslaan en dus bijvoorbeeld voor het controleren van mijn identificatie alleen de hash zou hoeven te vergelijken.

En hoe kan een consument volgens jou op voorhand zien of inschatten dat een andere provider dat ook daadwerkelijk doet? Puur op basis van een hoge(re) prijs? Dat vind ik nogal een aanname.

Duurder is niet automatisch het zelfde als beter.
Reageer
ro8in @Uruk-Hai20 februari 2026 09:02
En hoe kan een consument volgens jou op voorhand zien of inschatten dat een andere provider dat ook daadwerkelijk doet? Puur op basis van een hoge(re) prijs? Dat vind ik nogal een aanname.

Duurder is niet automatisch het zelfde als beter.
Dit staat hier verder los van toch? Dat is een ander probleem, ik reageerde enkel op dat jij aangaf dat je het wel jammer zou vinden nu omdat je zo een lekkere korting hebt.

Dat duurder niet altijd beter is is een volledig andere discussie verder. Ik zei alleen dat ik er geen problemen mee zou hebben om meer te betalen als daarmee mijn gegevens wel goed beveiligd zouden zijn. Hoe dat verder zou moeten gaan en hoe een bedrijf kan aantonen dat dat daadwerkelijk zo is is verder weer een ander gesprek.
Reageer
Uruk-Hai @ro8in20 februari 2026 09:10
Dat dat een ander probleem is en een kwestie van een ander gesprek vind ik helemaal niet.

Ik probeer jou aan je verstand te brengen waarom ik, ondanks dit lek, niet van plan ben om van Odido af te stappen.

Zolang ik geen enkele noemenswaardige garantie heb dat het gras elders groener is zie ik daar simpelweg het nut niet van in.
Reageer
ro8in @Uruk-Hai20 februari 2026 17:26
Je kan wel naar de historie van datalekken kijken, daar heb je nu dus een van de allergrootste datalekken ooit in Nederland bij Odido en voorheen als T-Mobile hebben ze ook al een groot datalek gehad. KPN aan de andere kant heeft er nooit een gehad. Je mag vinden wat je wil, maar je hoeft mij zeker niet aan mijn verstand te helpen hoor. Ik maak mijn eigen keuzes wel hierin. Het verleden is geen garantie voor de toekomst, maar zeker wel een goede indicator. Zodra ik de optie krijg om mijn contract vroegtijdig te verbinden of wanneer deze afloopt vertrek ik per direct. Het gaat mij eigenlijk niet eens zozeer om het lek zelf, maar vooral ook de houding van Odido hierna. Zogenaamd adverteren met dat Odido er echt voor de klanten is en niet zoals andere provider is, maar dan bij zo een gigantisch datalek, klanten? welke klanten? toedeledoki. Ja best wel schande als je het mij vraagt.
Reageer
Uruk-Hai @ro8in20 februari 2026 17:47
Welke website raadpleeg jij voor de historie van datalekken in Nederland?

Ik zit nu op deze website te kijken.

Als ik zoek op 'kpn' krijg ik 7 zoekresultaten die teruggaan tot 2016.
Je bewering dat KPN nooit last van een datalek heeft gehad klopt volgens deze website niet.

Als ik zoek op 'odido' krijg ik 5 zoekresultaten, waarvan 2 identiek, dus in feite zijn het er maar 4.

Odido bestaat sinds 2023, maar de know-how binnen Odido bestaat al veel langer, want Ben bestaat sinds 1998.

KPN bestaat nog langer, namelijk al sinds 1893.

Zet ik bovenstaande gegevens tegen elkaar af, dan kom ik tot de conclusie dat ik beter klant kan zijn bij Odido/Ben, dan bij KPN, ondanks het schandaal dat nu gaande is.

Het is kortom, maar net waar je naar kijkt...

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 17:48]

Reageer
ro8in @Uruk-Hai21 februari 2026 08:47
Dan moet je even kijken wat er gelekt is. Bij KPN is alleen een vermoeden vastgesteld
Reageer
Floort
@Uruk-Hai23 februari 2026 09:38
Er is geen goed (publiek) overzicht van datalekken. Het merendeel van de datalekken dat ik heb gezien komt niet in het nieuws. En in mijn ervaring wordt een aanzienlijk deel van de datalekken die ik tegenkom ook niet bij de AP en/of bij betrokkenen gemeld dus de database die de AP heeft van gemelde datalekken is ook niet volledig.


Op het moment dat je datalekken die in het nieuws komen gaat turven is de kans groot dat je transparantie gaat afstraffen in plaats van onveiligheid. En de AP doet daar aan mee door vooral meldingen te onderzoeken en nu zelfs aan te kondigen onderzoek te doen naar Odido. Degenen die (onrechtmatig) datalekken geheim houden worden maar zelden onderzocht en minder hard gestraft dan degenen die wel melden.
Reageer
t14wo @ro8in20 februari 2026 08:54
Het is hier gegaan om social engineering. Odido had MFA en beveiliging an sich prima op orde. Dat servicedeskmedewerkers toegang hebben verleend kan gewoon gebeuren. Je kan het Odido aanrekenen dat deze medewerkers toegang hadden tot al deze gegevens en het daarmee ook exporteerbaar was.

Het is als bedrijf altijd een afweging tussen efficiency/bedrijfsvoering en informatiebeveiliging/dataminimalisatie. De tweede groep zorgt altijd voor efficiencyverliezen. De balans moet worden gevonden en dan nog steeds kan er een lek plaatsvinden. Dus iets minder hoog van de toren blazen is wel gepast.

Het kan gebeuren. Jij kan je huis met 32 sloten beveiligen, maar als de ketting van je grootmoeder gestolen wordt, maakt dat allemaal niet uit. Want weg is weg. Het zou dan fijn zijn als de rest van je familie inziet dat je écht je best hebt gedaan, maar je niet een ondergrondse kluis kon laten bouwen voor de armband. Het moet wel in verhouding staan.
Reageer
bkor @t14wo20 februari 2026 09:13
Het is hier gegaan om social engineering. Odido had MFA en beveiliging an sich prima op orde. Dat servicedeskmedewerkers toegang hebben verleend kan gewoon gebeuren.
Elk groot bedrijf houdt regelmatig phishing testen. Hieruit blijkt duidelijk dat altijd een bepaald percentage medewerkers hierin trappen. Puur vertrouwen op MFA vind ik daarom niet logisch, uit de phishing testen blijkt duidelijk dat (bepaalde) MFA niet voldoende is.

Odido bewaarde verder gegevens veel langer dan nodig.
Dus iets minder hoog van de toren blazen is wel gepast.
Die opmerking vind ik erg ongepast. Als je enige verdediging MFA is dan doe je het niet goed genoeg. Odido is heel waarschijnlijk aangemerkt als kritieke infrastructuur. Ze horen meerdere lagen van beveiliging te hebben. En een wachtwoord plus MFA is 2 lagen, niet te vergelijken met "32 sloten".
Reageer
t14wo @bkor20 februari 2026 09:25
Die opmerking vind ik erg ongepast. Als je enige verdediging MFA is dan doe je het niet goed genoeg.
Je weet dat toch niet? Ik heb nog veel te weinig details gezien van het lek. als een willekeurige supportmedewerker inderdaad toegang had tot 5 miljoen klantgegevens (waar ik ook toe behoorde), dan is dat een belangrijk punt. Maar misschien zijn wel 10 supportmedewerkers van verschillende regio's onderdelen compromised, waarbij een ieder slechts toegang had tot een stukje van de data.

Kortom: De tweakers hier weten weer lekker hoog van de IT toren te blazen. Er is meer in life dan alleen IT security. Een bedrijf moet namelijk ook geld verdienen door efficiënt processen uit te voeren. En IT Security is een noodzakelijke kwaad wat efficiencyverlagend werkt, maar niet onderschat moet worden.
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 08:54
Zo zie je maar weer dat alles te koop is 8)7
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 08:57
Totdat bewezen wordt dat het er bij andere providers veel beter aan toe gaat dan bij Odido blijf ik lekker bij Odido.
Reageer
fifanoob @Uruk-Hai20 februari 2026 09:35
Het is toch bewezen? Hoe vaak is dit bij een KPN gebeurd? Hoe lang bestaan zij en hoelang bestaat Odido?
Is het bewezen dat het bij KPN nooit gaat gebeuren? Nee dat niet. Maar het is wel bewezen dat het bij Odido dus wel is gebeurd. Waarom blijf je bij een partij waarvan het is bewezen dat ze er slecht mee omgaan? Noem eens een provider dit ook een soort gelijke hack heeft gehad van dezelfde grote?
Precies en daar heb jij je bewijs.
Reageer
Uruk-Hai @fifanoob20 februari 2026 09:47
Je wilt feiten? Hier zijn de feiten:
Officieel bestaat Odido pas sinds 2023, maar de basis van Odido ligt bij Ben dat al in 1998 is opgericht.

Moet ik het helemaal voor je uiteen gaan zetten? Vooruit dan maar:
  1. Ik zeg Odido direct op en ga terug naar KPN (waar ik vandaan kwam).
  2. KPN komt ook slecht in het nieuws, vanwege een datalek van vergelijkbare grootte en ernst als nu bij Odido het geval is.
  3. Ik voel me wéér genaaid.
Wat heeft het dan voor zin om over te stappen?

Jij doet net of er garanties zijn, maar die zijn er helemaal niet!

Er is in dit leven maar één garantie en die is dat je dood gaat.

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 09:56]

Reageer
fifanoob @Uruk-Hai20 februari 2026 10:17
Je praat over feiten maar je komt met iets wat nog niet gebeurd is. Kpn is nog niet in het nieuws geweest vanwege een datalek van vergelijkbare grote. Dus even bij de feiten blijven.
Jij bent toch zo van de bewijzen? Nou bewijs maar eens dat KPN slecht in het nieuws komt. Je doet aannames. Er is idd geen garantie, maar er is wel bewijs dat Odido het niet zo nauw neemt met hun beveiliging.

[Reactie gewijzigd door fifanoob op 20 februari 2026 10:23]

Reageer
magikfly @Uruk-Hai20 februari 2026 13:07
Er is in dit leven maar één garantie en die is dat je dood gaat.
En dat je kaalgeplukt wordt door de belastingdienst
Reageer
Uruk-Hai @magikfly20 februari 2026 22:24
Touché :+
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 09:12
Hoe wil je dat bewijzen? Dat kan niet, of denk je dat andere providers nu iedereen een inkijkje gaat geven in hun data en hoe ze dat opslaan? Dan weet je zeker dat ze een week later gehackt zijn. Maar je bevestigd alleen maar mijn punt, iets onmogelijks vragen om je eigen gedrag goed te keuren. En dat is natuurlijk gewoon een keus, maar bevestigd wel wanneer bedrijven 0 incentive hebben om hun data beter op orde te hebben, mensen blijven toch wel zitten zolang het goed voor hunzelf is.
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 09:14
Ik vraag helemaal niets onmogelijks.

Eigenlijk vraag ik gewoon om een keurmerk.
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 11:05
Waarom zou een bedrijf dat doen? Als klanten het belangrijk vinden dan hebben ze een incentive, maar blijkbaar niet want we blijven lekker zitten.

Dit kan vanuit de overheid komen dan, maar ook daar zal niet heel veel actie gebeuren als niemand het belangrijk vind.
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 11:13
Gezien de enorme stortvloed aan klachten over Odido denk ik dat er wel degelijk iets gaat veranderen, ondanks de voorlopige zittenblijvers zoals ik.

Met de nadruk op voorlopige. Als blijkt dat Odido inderdaad niets geleerd heeft van zijn fouten ben ik op den duur ook bij Odido weg en keer ik met hangende pootjes terug bij KPN om daar weer een veelvoud te gaan betalen dan wat ik nu kwijt ben. Ik heb ook een betaald Protonmail account, dus ik ben al wat gewend...

Ik vind dit hele gebeuren alleen zo jammer voor de grote schare Nederlanders die zich echt niets anders kunnen veroorloven dan de goedkoopste optie voor internet aan huis. Ik kwam afgelopen maandag nog over de vloer bij iemand voor wie dat geld. Die mensen moeten wel betalen met hun kostbare privacy gevoelige gegevens omdat (bijvoorbeeld) KPN voor die groep simpelweg geen aantrekkelijke abonnementsprijzen aanbied.
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 12:57
Gevaarlijke aanname, waarom zullen andere mensen wel weggaan omdat ze principieler zijn dan jij? Mijn ervaring is dat mensen veel klagen en weinig veranderen.

Waarom vind je het zielig voor mensen die schijnbaar niet meer kunnen betalen maar jij kan het wel maar doet het niet. 8)7

En we moeten ook niet overdrijven, als je zowel mobiel en internet neemt bij Odido betaal je voor internet pakket 1 jaar 32,50 en bij de concurrenten 39,50 (Ziggo) KPN niet gekeken maar zal niet gigantisch afwijken. Als je echt krap bij kas zit neem je wel alleen mobiele telefoon abonnement en gebruik je die als hotspot.

Je kan allerlei manieren dit uitleggen, maar bottem line is. Je vind het niet zo heel erg dat je gegevens gelekt zijn, althans niet genoeg om actie te ondernemen.
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 14:23
Mobiele telefoon als hotspot heb ik al geprobeerd voordat ik op Odido Klik & Klaar overstapte, maar dat werkt bij mij niet.

Ik gebruik thuis Linux Mint en die herkend de usb wifi adapter die ik gekocht heb niet of niet goed genoeg.

En ik heb voor Odido gekozen omdat mij dat destijds door mensen op tweakers.net werd aangeraden en menigeen in het speciale topic over Odido Klik & Klaar er lyrisch over was.

Ik vind het overigens wel erg dat mijn gegevens gelekt zijn, maar inderdaad nee, ik ben niet woedend. Ik ben niet zo enorm pissig als andere klanten. Ik heb momenteel namelijk al meer dan genoeg problemen aan mijn hoofd, dit kan er eerlijk gezegd niet ook nog eens bij en daarom sta ik er wat relaxter tegenover dan andere benadeelde klanten.

Het is ook niet zo dat ik helemaal geen actie onderneem. Ik heb een waarschuwing gemaild naar al mijn vrienden en kennissen met de mededeling dat mijn gegevens op straat liggen en met een link naar dit artikel dat meer uitleg geeft over de ernst van dit lek.

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 15:25]

Reageer
gimbal @Uruk-Hai20 februari 2026 12:09
Dat kan niet, want elk bedrijf op aarde opereert met hetzelfde gebrek aan vakmanschap als het om IT gaat. We doen dat spelletje nog maar minder dan 100 jaar en de spelregels veranderen constant, je moet als IT'e als een gek bij blijven leren. Niemand op aarde is echt een expert. We zitten nog steeds in de fase dat er aan de lopende band nieuwe programmeertalen ontwikkeld worden om basisproblemen te verminderen in plaats van op te lossen; zelfs de hamers zijn nog bij lange na niet volwassen genoeg om de spijkers goed te kunnen verwerken.

En dat gebrek aan volwassenheid in techniek, architectuur en ook de mens achter de techniek vertaalt zich naar dit soort problemen. Het is nu bij Odido gebeurd, de volgende keer is het bij KPN of Vodafone. Daar zitten dezelfde slag mensen met hetzelfde gebrek aan expertise nodig om aan de torenhoge eisen van de moderne samenleving te voldoen.

Odido gaat nu onder dwang investeren, ze moeten wel want anders gaan de investeerders lynchen. Een KPN en Vodafone hoeven dat absoluut niet, hun investeerders lachen onderweg naar de bank. Ik zie nu meer waarde in Odido om eerlijk te zijn, die hebben nu juist een kleine voorsprong gekregen door dit gebeuren.
Reageer
Mathijs Kok @Uruk-Hai20 februari 2026 09:27
Ik ben er wel rouwig om als Odido verdwijnt, want ik krijg via hen heel veel data + snelheid voor een opmerkelijk lage prijs,
Zoals altijd krijg je waar je voor betaalt.
Reageer
Polderviking @ro8in20 februari 2026 09:07
Ik denk niet dat bedrijven "minder laks" worden als Odido klapt, als het al echt laksheid is wat er achter zit want volgens mij was dit vooral social engineering wat ik uit berichtgeving trok.
En weer 2000 man erbij bij UWV die dan ten minste die faillissementsafhandeling moet gaan doen c.q. betalen is ook niet gunstig.

[Reactie gewijzigd door Polderviking op 20 februari 2026 09:40]

Reageer
nijntje82 @ro8in20 februari 2026 10:02
Volledig mee eens. Ik ben zelf Odido klant en helaas recent met 2 jaar verlengd. Ik zat na dit lek direct te kijken of ik kosteloos mijn contract kan laten ontbinden en over kan stappen naar een andere provider. Dat is volgens mij de enige manier hoe ik hun kan laten voelen dat dit niet ok is. Maar dat kan niet (kosteloos).


Ik ben werkzaam geweest voor diverse andere grote bedrijven en die nemen stuk voor stuk security (van awareness trainingen tm periodieke pen testen en implementatie van de laatste security guidelines) enorm serieus om dit soort lekken te voorkomen. Echter dat kost veel geld. En daar gaat het hier om. Odido vind geld verdienen belangrijker dan jou gegevens veilig bewaren.

Het kan een ander ook overkomen is geen excuus. En als het gebeurt zal die 'ander' ook gepast 'gestraft' moeten worden voor de financiële keuzes die gemaakt zijn. Want het is namelijk een financiële keuze.
Reageer
nandervv @ro8in20 februari 2026 11:15
Waarom heeft Odido meer data van mij laten lekken (als ex-Tweak-klant die nooit een euro aan ze betaald heeft) dan dat Freedom ooit van mij gevraagd heeft?
Reageer
R_Zwart @ro8in20 februari 2026 11:46
Goed. En nu gaat er een keer wat fout bij jouw werkgever. Dan ook maar failliet laten gaan? Dan vind jij het prima om zonder enig sociaal plan op straat komt te staan?

Het zijn niet altijd "anderen" die fouten maken. Het kan overal gebeuren.

Je hebt gelijk dat Odido maar een provider is. Maar bij die provider werken wel mensen die hun gezin moeten onderhouden.
Reageer
ozzynator @ro8in20 februari 2026 12:38
ja snel naar Vodafone/Ziggo, want maart 2023 zijn we al lang weer vergeten.
Reageer
Zwijntjesdrecht @ro8in20 februari 2026 13:13
Denk dat ze de naam gaan veranderen naar T-mobile. :S
Reageer
dutchminator @Zanthr20 februari 2026 08:33
Lijkt me ondernemersrisico, niet? Dat als je dusdanig prutst dat een failissement dreigt, dat je dan écht geprutst hebt en het misschen wel verdient. En dan komen er mooie verzekeringsproducten voor ondernemers die hen dwingen om data op orde te hebben conform standaarden en is de wereld weer een stukje mooier.
Reageer
Stoney3K
@Zanthr20 februari 2026 09:22
Op zo'n moment zou de staat alle schadevergoedingen moeten dekken na een faillisement. Want anders kan een bedrijf er ook mee weg komen door na een overtreding bewust failliet te gaan en dan te beweren dat er toch niks meer te halen valt.
Reageer
n4m3l355 @Zanthr20 februari 2026 10:11
Klinkt naar mij als "to big to fail", omdat ze zo groot zijn moet het maar kunnen? Als zoiets een klein kabelaar overkwam denk ik dat de reactie van zowel de AP als Den Haag toch wel anders was. Ook mag je je afvragen of het uberhaubt wenselijk is dat partijen zo groot zijn en zoveel data beheren, immers het gaat maar wat vaak fout dus dit is een gigantisch risico.

Zolang partijen zoals Odido onze privacy niet kunnen garanderen en wanneer het mis gaat er laconiek mee omgaan, mag het duidelijk zijn dat het tijd is voor verandering. En als ze dan failliet gaan vanwege wanbeheer, des te beter.
Reageer
beeldbuijs @Zanthr20 februari 2026 11:13
Alsof er niets zit tussen nul schadevergoeding en failliet gaan.

Een schadevergoeding die pijn doet is toch ook een optie? Of een schadevergoeding in natura, want een maand internet kost voor Odido uiteraard minder dan het maandbedrag wat ze er voor rekenen.
Reageer
kabelmannetje @Zanthr20 februari 2026 13:21
Nee. Want dan koopt een ander bedrijf gewoon de zaak over.
Reageer
HijDieAllesWeet @Zanthr20 februari 2026 15:37
Heeft iemand hoe het werkt als zo'n bedrijf failliet gaat? Is mijn telefoon nummer in principe gewoon van mij zoals bij een domein naam? Of is het dan gewoon einde verhaal en moet iedereen een nieuw nummer? Dat zal wel een behoorlijke puinzooi opleveren.


Al zou ik denken dat in zo'n geval er wel een partij is die de infra en gebruikers over neemt?
Reageer
UTWarcow @Zanthr20 februari 2026 16:15
Nou, ik denk dat er ook nog een paar aandeelhouders achter het bedrijf zitten die minder rendement maken en mogelijk nog wat bestuurders die dit zo klein mogelijk willen houden, want bonus..........
Reageer
Dirk144 @Zanthr20 februari 2026 20:52
Hoop het niet.

Ben het helemaal eens dat dit niet mag gebeuren en ook ik had privé als ex klant al lang uit het bestand moeten zijn. Maar ondanks alle storingen ken ik geen zakelijke provider die beter omgaat met service en hulp. Helpdesk is voor zakelijk opgedeeld in kleinere groepen. Heb dus bijna altijd met dezelfde medewerker te maken en ook dus persoonlijk mail contact.

Ben ook persoonlijk gebeld voor het in het nieuws kwam wat er gebeurd was.


Helaas geld dit niet voor de particuliere afdeling, want als je dan geen connecties heb is het een drama bij een probleem.
Reageer
Rootlinux @Zanthr20 februari 2026 22:06
wat ik begrijpt heeft Odido de eigen regels aan de laars gelapt. Klanten die meer dan 2 jaar weg zijn zouden niet meer in de bestanden voor mogen komen. Nu zijn er kanten die 10 jaar wegzijn maar nog steeds in de database voor komen. Ook de breedte van dit lek is zeer ernstig. Naam en e-mail is vervelend maar dit was heel veel meer informatie. Ik denk dat AP of hier een flinke zaak van maakt of zich moet afvragen wat hun rol is.
Reageer
NielsFL @Zanthr21 februari 2026 11:49
Als Odido klant zeg ik dan: dat is alleen maar goed. Wellicht dat andere bedrijven hun zaakjes dan nog eens doornemen en verbeteren.

Odido is niet alleen gehackt, of heeft niet alleen verzuimd hun personeel goed trainen. Ze zijn ook zeer nalatig geweest door gegevens veel langer te bewaren dan ze zelf aangeven of dan wettelijk redelijk of noodzakelijk is. Kennelijk is dat niet strafbaar, maar dat zou het wat mij betreft wel moeten zijn.
Reageer
StackMySwitchUp @ro8in20 februari 2026 08:13
Hoewel je absoluut gelijk hebt en mijn gevoel ook zegt dat dit onacceptabel is, doet Odido vooralsnog wettelijk niets verkeerd. Pas als aantoonbaar nalatigheid te bewijzen is kan het AP iets doen. Het verschil tussen partijen als bijv (ik noem even het eerste dat in me opkomt) Brein en het AP is dat AP een overheidsorgaan is, die moeten alles volgens het boekje doen. Private stichtingen als Brein kunnen lekker met losse flodders schieten tot er wat blijft plakken. We zouden als consumenten zelf eens samen moeten komen om dit soort acties aan te pakken met rechtszaken e.d. maar daar heb je diepe zakken (en dus een grote groep) voor nodig
Reageer
Pasteis @StackMySwitchUp20 februari 2026 08:26
Hoewel je absoluut gelijk hebt en mijn gevoel ook zegt dat dit onacceptabel is, doet Odido vooralsnog wettelijk niets verkeerd. Pas als aantoonbaar nalatigheid te bewijzen is kan het AP iets doen. Het verschil tussen partijen als bijv (ik noem even het eerste dat in me opkomt) Brein en het AP is dat AP een overheidsorgaan is, die moeten alles volgens het boekje doen. Private stichtingen als Brein kunnen lekker met losse flodders schieten tot er wat blijft plakken. We zouden als consumenten zelf eens samen moeten komen om dit soort acties aan te pakken met rechtszaken e.d. maar daar heb je diepe zakken (en dus een grote groep) voor nodig
Je kan je natuurlijk sterk afvragen hoe het kan dat oud-klanten die 2 jaar of zelfs langer ook nog in hun database zitten. Terwijl volgens hun eigen voorwaarden ze deze tot 2 jaar na einde contract bewaren.

Het is op zijn minst een onderzoek waard in hoeverre Odido zich houdt aan de AVG.
Reageer
swhnld @Pasteis20 februari 2026 08:42
Die weet ik toevallig wel. 2 jaar is een periode die vaak gehanteerd wordt, en juridisch aanvaardbaar is om persoonlijke data te bewaren (zegt de juridische afdeling op mijn werk).


Over het langer bewaren beweert Odido dat dat is ingeval men een telefoon bij het contract had gekocht. Dan doen ze 5 jaar aanhouden. Hierop kan ik speculeren dat het misschien financiële wetgeving is dit langer te bewaren. Belastingdienst hanteert 7 jaar bewaar verplichting, dus 2 jaar contract plus 5 jaar bewaren is 7 jaar totaal.
Reageer
bkor @swhnld20 februari 2026 09:19
Belastingdienst hanteert 7 jaar bewaar verplichting, dus 2 jaar contract plus 5 jaar bewaren is 7 jaar totaal.
Dat geldt voor de financiële gegevens (gestuurde facturen enzo). Dat is geen reden om b.v. paspoortnummers op te slaan. Verder zou je de facturen los kunnen opslaan (kortere termijn voor CRM, langere termijn voor facturen).
Reageer
StackMySwitchUp @bkor20 februari 2026 09:29
En dan weet ik weer uit ervaring dat je vanaf het begin een verdomd goed systeem moet hebben om deze gegevens te bewaren, omdat je anders met gemixte data te maken hebt waardoor je bij wet dus de langste retentie moet aanhouden, en je dan met een record zit waarbij een deel van de gegevens 2 jaar en het andere deel 7 jaar bewaard moet worden. Dit is makkelijk om van de grond af op te bouwen, maar met een bestaand systeem (of bij Odido, verschillende systemen die samengevoegd moeten worden/zijn) is het een enorme uitdaging. Ik praat het hier overigens niet goed want ze hadden het moeten regelen, maar ik zie de andere kant ook wel.
Reageer
ro8in @StackMySwitchUp20 februari 2026 08:15
Maar actie van de AP zou ook kunnen zijn dat ze een onderzoek zijn gestart. Maar "we houden de situatie in de gaten" vind ik wel een heel erg matige reactie en op dit moment echt niet gepast meer.
Reageer
t14wo @ro8in20 februari 2026 08:57
Waar staat dat er geen onderzoek komt? Dit is een paar dagen geleden gebeurd. Hou je even rustig. Dit is een juridisch proces. Die zijn niet binnen een week. Er komt heus nog een onderzoek zoals dat netjes hoort
Reageer
StackMySwitchUp @t14wo20 februari 2026 09:25
Dit verwacht ik dus ook, overheidsinstanties werken nu eenmaal niet snel. Overigens zit het AP al jaren met een te kort aan capaciteit, dus dat drukt ook stevig op de snelheid
Reageer
logix147 @StackMySwitchUp20 februari 2026 12:27
Ik betwijfel of hier wettelijks niets verkeerd gedaan wordt aangezien ze overduidelijk langer gegevens bewaren dan ze zelf toestaan.
Reageer
StackMySwitchUp @logix14720 februari 2026 13:39
Zoals gezegd, als dat aantoonbaar nalatig is, dan zijn ze in gebreke (en dan hebben ze pas wettelijk iets verkeerd gedaan), maar ik snap dat ze momenteel even hun mond houden, want uitspraken die ze nu doen kunnen later pijn doen.
AP is sowieso mild als het bedrijf aantoonbaar moeite heeft gedaan om dit te bewerkstelligen, en bedrijven zo groot als Odido hebben vrijwel zeker moeite gedaan en een papertrail om dat te bewijzen. Dan is het aan de autoriteit om daar een mening over te geven (jullie hadden dit kunnen weten, of er is te weinig moeite besteed o.i.d.) en dan kan er een boete uit komen. Maargoed, we weten allemaal dat die soms niet proportioneel zijn aan de geleden schade. We kunnen alleen maar afwachten, dit duurt altijd lang.
In de tussentijd zouden slachtoffers een log moeten bijhouden van vermoedelijke pogingen van gegevensmisbruik, zodat men later bij een evt. class-action kan aantonen dat er schade is berokkend.

BTW ik ben geen juridisch expert op dit gebied, maar wel een ICTer die regelmatig met compliance te maken heeft, en dit soort zaken vaker voorbij heeft zien komen.
Reageer
bzuidgeest
@ro8in20 februari 2026 08:45
Ik denk dat het een illusie is om te denken dat je data lekken kan voorkomen. Zolang je mensen in de mix hebt gebeuren die.
Je bent boos, maar ik wil eerst wel eens weten of odido nalatig is geweest. Je maakt allerlei aannames, 6 miljoen adressen klinkt veel, maar het is nog steeds maar 1 hack, een foutje. Die gegevens moeten ergens opgeslagen zijn. Je kan geen klanten hebben zonder wat van ze te weten.
Het is wijzer om te zorgen dat ze niets kunnen met die gegevens. Dat de gegevens waardeloos zijn voor fraude. En dat is iets dat de overheid moet regelen in zijn eigen systemen.
Reageer
wild_dog @ro8in20 februari 2026 10:37
Ze kunnen sowieso gewoon niets.

Domino's is overgegaan op een opt-out systeem voor nieuwsbrief inschrijvingen.
Dat is heel uitdrukkelijk verboden:
https://www.acm.nl/nl/ver...vooraf-aangevinkte-hokjes
Maar omdat ze het verwoord hebben als een nog niet aangevinkt hokje dat je moet aanvinken als je geen nieuwsbrief inschrijving wilt, denken ze er mee weg te komen, ook al is dat de definitie van een opt-out.

Dat had ik maanden terug al gemeld, en is echt triviaal om te bewijzen dat het een schending van de regels is. Maar acties? Hó maar.

EDIT: Kennelijk is het automatisch aanmelden voor reclame als je iets koopt, tenzij je opt-out, volgens de wet gewoon legaal, ook al laat de ACM advies in de link je in de waan dat dit niet zo is.

[Reactie gewijzigd door wild_dog op 20 februari 2026 10:48]

Reageer
TheVivaldi @ro8in20 februari 2026 10:36
Wat ik vooral apart vind is dat het AP constant zegt te weinig mankracht en geld te hebben om zich vast te bijten in dit soort zaken, en nu ineens zitten ze er bovenop. Hoe kan dat dan?
Reageer
mjtdevries @TheVivaldi20 februari 2026 11:56
sorry hoor, maar kunnen we weer even ons gezond verstand gebruiken?
Als je te weinig mankracht hebt dan kun je je niet in alle zaken vastbijten, maar moet je prioriteiten stellen.

Het is nogal vanzelfsprekend dat dit nu een datalek is die prioriteit krijgt en waarvoor je dus mankracht vrij maakt en er bovenop gaat zitten.

Zo kan dat dus!
Reageer
E!Ma0RB7 @ro8in20 februari 2026 09:13
Ik lees in jouw reactie terechte emotie en ook een verkeerde verwachting in hoe privacy bescherming werkt en wat de rol van de AP is.

Natuurlijk is er enorm veel gelekt en is dat een probleem. Ik ben zelf ook getroffen.

Privacy bescherming is een systeem van het beheersen van risico's. Elke verwerking van persoonsgegevens is een inbreuk op jouw rechten, maar geeft jou meestal ook iets terug (een recht, een dienst, een kans etc.)

De inbreuk op jouw rechten moet natuurlijk zo laag mogelijk zijn en is dus nooit nul.

Daarnaast is de verwerker verantwoordelijk om de impact op jouw rechten zo laag mogelijk te houden door het treffen van beheersmaatregelen. Deze zijn nooit waterdicht en dat wil je ook niet, omdat dit kan conflicteren met de kwaliteit van je recht of dienst die jij wilt.

Centraal staat nu of Odido nalatig is geweest. Ze kunnen te veel gegevens hebben verwerkt, gegevens te lang hebben bewaard en de gegevens niet voldoende beschermd hebben.

Te veel gegevens is maar net de vraag. Uit het feit dat ze enkel de nummers van ID's bewaren en niet de kopieën blijkt dat ze wel degelijk risico gebaseerd met dataminimalisatie bezig zijn geweest. En ik kan me prima voorstellen dat er een doelbinding was voor alle gelekte gegevens in de context van een klantenservice.

Via de media blijkt dat ze van sommigen bepaalde gegevens langer bewaarden dan ze zelf uit kunnen leggen. Dit is niet goed, maar mij is niet duidelijk of van oude accounts alles bewaard is gebleven of een subset. Dat moeten we nog afwachten. Bovendien is dit echt een sub-probleem, want zelfs met hun huidige klantenbestand waren er evengoed miljoenen getroffenen.

Is het onvoldoende beveiligd? Er is uiteindelijk data gestolen, maar dat is geen bewijs voor nalatigheid. Het is niet dat iemand een koffer in de trein heeft laten liggen of een database onbeveiligd liet. Uit de media begrijp ik dat de aanvallers via een gecoördineerde aanval met social engineering meerdere bestaande beveiligingen wist te omzeilen. Het was uiteindelijk niet effectief genoeg, maar daarmee dus niet automatisch verwijtbaar slecht.

Nu dan de impact voor betrokkenen. Zoals gezegd ben ik ook getroffen en maakte ik mij zorgen voor vanalles en nog wat. De nuchterheid is inmiddels een beetje ingedaald en ik schat in dat de grootste schade voor mij is dat mensen fraude kunnen plegen, of mij zeer geavanceerde phishing berichten sturen. Fraude is natuurlijk erg vervelend, maar altijd gemakkelijk te herkennen. Ik kan me geen scenario bedenken hoe fraude met deze gegevens tot permanente schade kan leiden voor mij. Dit is een sterk contrast met waar ik in eerste instantie voor vreesde.

Dan de reactie van Odido. Die is perfect in mijn optiek. Ze hebben de kwetsbaarheid effectief ingedamd, alle betrokkenen geïnformeerd, het gemeld bij de AP en het zelf via landelijke media gedeeld. In hun communicatie werd ik goed geïnformeerd over wat er gebeurd was, wat daar potentieel de risico's van zijn en hoe ik mij het beste kan wapenen tegen deze risico's.

Natuurlijk, het blijft super ruk, maar deze reactie troostte me wel enigszins.

Dan de rol van de AP. De AP ziet toe op dat de samenleving geen onevenredige schade oploopt bij gegevens bescherming door onder anderen te toetsen of verwerkers zich aan de AVG houden.

Je kan je prima aan de AVG houden en toch een datalek hebben, want de AVG rust helemaal niet dat je risico nul moet zijn, maar dat het niet te hoog mag zijn. De AVG stelt zelfs eisen aan wat je moet doen bij een datalek (!). En daataan heeft Odidi in mijn optiek perfect voldaan.

De AP zit hier natuurlijk bovenop en zal met name gaan oordelen over of het risicoprofiel van deze verwerking te hoog was of niet en of Odido juist heeft gereageerd.

Dus je kan je emotie wel loslaten op een Odido en de AP, maar je kan ook altijd zelf een internetbedrijf beginnen en het beter doen.
Reageer
RemyNouweland @ro8in20 februari 2026 09:32
Eens Robin, ik zit zelf in de Cybersecurity we zijn dagelijks bezig met het veiliger maken van bedrijven. Wij weten gewoon dat er heel veel is dat een bedrijf kan regelen wat men niet doet of onvoldoende doet en ook in dit geval had software en de juiste instellingen en rechten een hoop kunnen voorkomen. Dat het AP telkens niet ingrijpt betekend dat je als consument gewoon niet in je recht staat. Iedereen komt ermee weg en zolang er geen echte consequenties aanzitten zal dit aanhouden.

Ik denk ook dat ze hier gewoon een serieuze vaak van moeten maken, plus komt eind dit jaar de nieuwe CBW (Cyber Beveiligings Wet) NIS2 in de EU. Je bent dan als boardmember aansprakelijk als er niet juist gehandeld is en als je beter had moeten weten.

Persoonlijk kan ik niet wachten omdat er dan een serieuze straf boven het hoofd hangt, nu lijkt iedereen er telkens met e-mail vanaf te komen.
Reageer
n9iels @ro8in20 februari 2026 10:22
How about eerst even uitzoeken wat er gebeurd is? De AP kan moeilijk een week later aankloppen en met boetes en bevelen gaan strooien. Sure, als de voordeur wagenwijd open stond lijkt het mij zeer terrecht dat ze ingrijpen. Maar claimen dat er bij Odido niks gedaan is aan beveiliging is voorbarig en onmogelijk vanaf ze zijlijn. Elk bedrijf kan gehackt/gephished worden als je er maar genoeg moeite in steekt. De vraag die men hier moet beantwoorden is of er voldoende is gedaan om dit te voorkomen.
Reageer
macura @ro8in20 februari 2026 10:27
Eens, gisteren hadden mijn vrouw en ik ze aan de lijn, ivm overstappen, Punt ook aangehaald, de datalek, en de reactie van de medewerker, "de afgelopen jaren zijn er bij meerdere grote bedrijven data lekken geweest, dus uw data ligt toch al op straat, daarom hoeft u toch niet over te stappen?"
Reageer
mjtdevries @ro8in20 februari 2026 11:53
want Odido lijkt het allemaal niet zo erg te vinden
Reken maar dat ze het erg vinden, want ze hebben gigantische reputatie schade. Die schade is veel hoger dan een mogelijke boete van de AP.
Gewoon verplichting om elke klant die zegt schade hiervan te hebben geleden bij te staan financieel,
Je snapt zelf toch hopelijk ook wel dat zoiets onmogelijk is, want daar zal meteen gigantisch misbruik van worden gemaakt.
En er zijn zoveel datalekken dat het ook vrijwel onmogelijk is om vast te stellen dat het dan komt door de Odido lek en niet een ander lek.

Op het moment dat een klant een realistisch onderbouwde schadeclaim heeft, dan zullen ze die echt wel toegemoet komen. Maar dat aspect is nou wat heel moeilijk is.

En Odido failliet laten gaan doordat ze al die klanten een (relatief laag) bedrag moeten uitkeren, daar word uiteindelijk ook niemand beter van.
Maar het lijkt er op dat heel veel mensen hier daar wel op aansturen. Laat elk bedrijf dat data lekt maar failliet gaan, dan zal de rest wel beter opletten.

Maar vervolgens wel steen en been gaan klagen als bedrijven dan extra veiligheidsmaatregelen nemen. Bv in de mailthread hierboven mensen die klagen dat je je moet identificeren als je bij een pakketpunt een pakje ophaalt, zodat ze zeker weten dat ze het pakketje aan de juiste persoon geven.
Reageer
CivLord
@ro8in20 februari 2026 13:20
Het AP zal hier inderdaad niet zo har om lopen.

Ze gaan liever achter de Belastingdienst aan die het geslacht van belastingplichtigen registreert, omdat dat iets zou kuinnen zeggen over de seksuele oriëntatie van twee samenwonenden, dan achter commerciële bedrijven aan die de beveiliging niet op orde hebben. Want Belastingdienst-bashen doet het bij het publiek nu eenmaal beter dan bedrijfje pesten.
Reageer
66JustMe819 @ro8in20 februari 2026 14:38
Het meest problematisch vind ik de opstelling van Odido naar de getroffen klanten, weinig tot geen concrete informatie en bij voorbaat alle aansprakelijkheid van de hand wijzen. Bedrijven, zoals Odido, vereisen het verstrekken van privacy gevoelige informatie waarmee kwaadwillenden veel schade kunnen berokkenen, je mag als klant dan verwachten dat dergelijke informatie correct wordt behandeld, tijdig verwijderd en terdege beschermd, Odido heeft het op alle drie die punten af laten weten en doet alsof dat van geen belang is.
Reageer
_Dario_ @ro8in20 februari 2026 15:02
Mee eens, Odido creëert hiermee een precedent volgens mij. Dus als het dan weer gebeurt is het "minder erg", en kunnen andere bedrijven het zelfde doen. En dat moeten we vorkomen.
Reageer
mbbs1024 @ro8in20 februari 2026 15:11
Eigenlijk zouden ook de ontwikkelaars van de beveiligingsapparatuur aansprakelijk moeten gesteld worden als ze brakke hard en software afleveren.
Tegenwoordig is het niet meer de vraag of iets of iemand gehacked wordt, maar wanneer.
Die zouden dus ook flinke boetes moeten krijgen als ze gatenkaas afleveren ipv veilige apparaten.
Clausules in hun contracten, zoals bvb Microsoft en zovele anderen die hebben, waarmee ze alle verantwoordelijkheid wegwuiven, zouden onwettig moeten zijn, zodat ze daarmee niet onder hun verantwoordelijkheid uitkunnen.
Dat zou een mooie taak voor de politiek zijn, om de burger en het bedrijfsleven op die manier wettelijke bescherming te bieden.

Dat is op een forum zoals dit, waar ook een hoop developpers zitten, misschien wel over wat zere tenen trappen, maar langs die kant moet er toch ook wel eens wat verantwoordelijkheidszin komen.

[Reactie gewijzigd door mbbs1024 op 20 februari 2026 15:12]

Reageer
oks @ro8in20 februari 2026 15:23
Geheel eens. Laat maar eens duidelijk worden dat de Nederlandse Staat met zijn zogenaamde Instituties twee kanten van het gezicht kan laten zien: Het bijt niet. Nooit niet en heeft als institutie dus geen zin. Het is een wassen neus. Of het bijt wel. En de Nederlandse burger krijgt inderdaad weer eens wat waar voor zijn belastinggeld. Namelijk een fatsoenlijke vergoeding indien je schade krijgt. En een staat die zijn democratisch mandaat gebruikt om dit soort wangedrag van gigantische toko's aan te pakken en ook zijn monopolie of op identificatie beschermd.
Reageer
Mosterd 20 februari 2026 08:07
Ik denk dat mensen er klaar mee zijn dat bedrijven met lakse beveiliging (in het kader van Odido; geen segmentatie en encryptie, plus buitenlandse toegang) op hun data er continu mee wegkomen zonder straf of tik op de vingers. Als burger ben je alsmaar de dupe.

Daarbij komt ook kijken dat het hier gaat om meer dan 5 miljoen Nederlanders en heb je tegenwoordig AI die het advies geeft om zo’n melding te maken, als het AP/RVIG/ACM dit zo irritant vindt is het wellicht tijd dat er OF automatische compensaties komen zodat bedrijven leren dit serieuzer op te pakken OF dat de WAMCA zijn werk gaat doen. Na Bitvavo, Iddink, Allekabels en nu Odido (en meer) is het wel een keertje goed zo lijkt mij.

EDIT: wat ook tegen het zere been stoot is dat Odido al vrij snel reageerde naar de wereld dat men “geen recht heeft op schade vergoeding” of iets met die strekking. Na een incident als dit is dat vergelijkbaar met dat ik JOU auto raak en dan een briefje achterlaat zonder mijn verzekeringsinformatie maar wel met de boodschap hoe het mij niet uitmaakt en hoe het nu jouw probleem is om op te lossen, erg krom en knap brutaal ook.

[Reactie gewijzigd door Mosterd op 20 februari 2026 08:14]

Reageer
Quinz @Mosterd20 februari 2026 10:11
ik denk (helaas) dat de soep niet zo heet gegeten wordt. Het gros van de mensen geeft niets om privacy en beveiliging als dit ten koste gaat van prijs en gebruikersgemak. Het gemak waarmee persoonlijke gegevens worden gedeeld in het publieke domein is ongekend. De waarde die onze persoonsgegevens wordt op minimale waarde geschat.

Mensen zoals jij die hier tegen ageren zijn zwaar in de minderheid. Juist hierdoor is het lastig om adequate beveiligingsmaatregelen af te dwingen en heeft Odido de vrijheid gezien om maling te hebben aan haar eigen richtlijnen. We weten niet welke geluiden intern bij Odido hebben geklonken, maar hier is in ieder geval niet naar geluisterd door het management.

De reacties vanuit Odido zijn ingestoken vanuit bedrijfsbelang en niet vanuit het belang van de gebruikers. Begrijpelijk, maar dat maakt het niet minder cru.

Het enige wat Odido (en andere verwerkers van onze gegevens) zou bewegen de maatregelen op te volgen is dwingende wetgeving met gevolgen. De aankomende cybersecuritywet is een begin, maar het aanscherpen van bestaande wetgeving (avg) zou geen verkeerde ontwikkeling zijn.

Ook het krachtiger positioneren van de AP (met geld, capaciteit en middelen) zou een goede ontwikkeling zijn. Ik zou zeggen dat de politiek aan zet is. Helaas zijn die druk met alles behalve een niet-sexy onderwerp als privacy.
Reageer
CivLord
@Mosterd20 februari 2026 13:25
Het verschil met jouw autoschade is dat je alleen recht hebt op een schadevergoeding wanneer je aantoonbare schade hebt opgelopen die in geld is uit te drukken. Dat is met een auto makkelijk aan te tonen, maar met gelekte gegvens lastig tot onmogelijk.
Dat zal de reden zijn dat Odido gezegd heeft dat er geen recht is op een schadevergoeding. Hier is een interne memo van de juridische afdeling geciteerd, zonder eerst de PR-afdeling te raadplegen. Want zoals het gebracht is, is wel heel ongelukkig.
Reageer
Mosterd @CivLord20 februari 2026 17:04
Maar stel dat ik door rood rijd en niemand raak, dan word ik alsnog bekeurd. De rechter gaat mij niet vrijpleiten onder het mom van “er is niemand geraakt dus er is geen schade”, want het concept is dat ik iets doe wat niet mag omdat we als maatschappij hebben bepaald dat het gevaarlijk is, niet omdat er eerst een slachtoffer moet vallen.

Datzelfde principe zou conceptueel ook moeten gelden voor datalekken. Odido heeft data van >5 miljoen Nederlanders slecht beveiligd (geen segmentatie, geen encryptie, buitenlandse toegang), dat is in feite door rood rijden op de snelweg met een volle schoolbus. Dat er nog niemand aantoonbaar is aangereden met die bus is mooi, maar dat maakt het rijgedrag niet minder roekeloos.

Daarbij, white-hat hackers hoeven geen >5 miljoen records vrij te krijgen om een statement te maken, dus zijn het black-hat hackers, dus zijn er kwade bedoelingen, dus is het een kwestie van tijd tot die data ergens opduikt. Odido heeft de kans dat er kwaadwillende zaken uit voortvloeien enorm vergroot door hun nalatigheid, en dat zou op zichzelf al genoeg moeten zijn om ze aansprakelijk te stellen en niet pas wanneer iemand kan bewijzen dat zijn identiteit is gestolen.
Reageer
CivLord
@Mosterd21 februari 2026 11:15
Maar stel dat ik door rood rijd en niemand raak, dan word ik alsnog bekeurd. De rechter gaat mij niet vrijpleiten onder het mom van “er is niemand geraakt dus er is geen schade”, want het concept is dat ik iets doe wat niet mag omdat we als maatschappij hebben bepaald dat het gevaarlijk is, niet omdat er eerst een slachtoffer moet vallen.
Dat is dan ook geen schadevergoeding, maar een boete. En boetes gaan naar de overheid.

Wanneer geconcludeerd wordt dat Odido laakbaar gehandeld heeft, zal de AP een boete geven, die naar de staat gaat. Dat is dus hetzelfde principe als door rood rijden.
Reageer
Mosterd @CivLord21 februari 2026 22:17
Het verschil is dat de weg eigendom is van de staat via Rijkswaterstaat, dus logisch dat de boete naar de staat gaat: zij zijn de benadeelde partij qua eigenaarschap. Maar mijn persoonsgegevens zijn van mij, niet van Odido. Odido is slechts de beheerder, niet de eigenaar. Dus als er door hun nalatigheid iets misgaat met mijn data, dan ben ik de benadeelde partij, niet de overheid.

En dit is niet alleen conceptueel logisch, Artikel 82 AVG zegt dit letterlijk: iedere persoon die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de verordening heeft recht op schadevergoeding. Immateriële schade; dus het verlies van controle over je gegevens en het verhoogde risico, telt daar expliciet bij. De AP kan daarnaast alsnog een boete opleggen, maar dat staat los van het recht op compensatie voor de individuen wiens data is gelekt.
Reageer
CivLord
@Mosterd22 februari 2026 08:33
Het gaat bij verkeersboetes niet om 'eigenaarschap' van de weg waarop je een overtreding begaat.

Of je nu door rood licht rijd op een weg van de gemeente, provincie, waterschap of het rijk, de boetes gaan allemaal naar de staat.

Zo kan je ook een boete krijgen voor kleine vergrijpen als vandalisme en winkeldiefstal. Die boete gaat naar de staat en niet naar de eigenaar. (Daarnaast kan de eigenaar ook nog een schadevergoeding eisen.)
Reageer
Mosterd @CivLord22 februari 2026 18:55
Maar dat is precies wat ik zeg? Je sluit af met 'daarnaast kan de eigenaar ook nog een schadevergoeding eisen', dat is letterlijk mijn hele punt. De AP mag van mij een boete opleggen die naar de staat gaat, prima, dat staat los van de discussie. Maar daarnaast heb ik als eigenaar van mijn persoonsgegevens het recht om schadevergoeding te eisen van Odido, precies zoals jij het zelf omschrijft bij vandalisme en winkeldiefstal. Artikel 82 AVG bevestigt dat ook.

Dus we zijn het eigenlijk met elkaar eens: boete naar de staat en compensatie naar de gedupeerden. Het enige waar ik tegenin ga is het standpunt van Odido dat er geen recht op schadevergoeding zou zijn, want dat klopt juridisch simpelweg niet.
Reageer
CivLord
@Mosterd23 februari 2026 07:23
Maar schadevergoeding volgt niet automatisch wanneer er iemand is die als slachtoffer is aan te wijzen.
Er moet ook een aantoonbare en in geld uit te drukken schade zijn. Veel succes om dat in dit geval aan te tonen.
Reageer
Mosterd @CivLord23 februari 2026 09:01
Je blijft terugkomen op ‘aantoonbare en in geld uit te drukken schade’, maar ik heb het al eerder over immateriële schade gehad en dat sla je steeds over. Artikel 82 AVG zegt expliciet materiële én immateriële schade. Het Europese Hof van Justitie heeft in de Österreichische Post zaak (C-300/21) geoordeeld dat er geen minimale drempel is voor immateriële schade onder de AVG: het verlies van controle over je persoonsgegevens is op zichzelf al compenseerbaar.

Dus nee, ik hoef niet te wachten tot iemand een lening op mijn naam afsluit om schade aan te tonen. Het feit dat mijn gegevens door nalatigheid van Odido in verkeerde handen zijn beland is de schade. Dat is niet mijn interpretatie, dat is hoe het Europese Hof het uitlegt.
Reageer
Nickstyle 20 februari 2026 08:11
Wellicht ook nuttig als Odido wat meer actie onderneemt.

Ik heb netjes de formulieren uit hun privacy reglement vorige week vrijdag gemaild om te vragen om me te verwijderen en op te vragen wat ze bewaarde. In het tweevoud want was internet als mobiel klant, best veel werk om terug te zoeken wat de laatste factuur was.

Nog niet eens een automatische antwoord. Hier geld ze moeten binnen een maand reageren en mogen 2 maanden uitstel vragen.

Als Odido niet tijdig reageert zal er toch echt een klacht na het AP uitgaan, dan is het een nieuwe fout bovenop het datalek.
Reageer
jongetje
@Nickstyle20 februari 2026 08:19
En dan? Het AP heeft helemaal geen capaciteit om jouw individuele geval in behandeling te nemen. Dat is hun taak ook niet, daar is een rechtsbijstand voor of zelf naar de rechter stappen.

[Reactie gewijzigd door jongetje op 20 februari 2026 15:41]

Reageer
mjtdevries @jongetje20 februari 2026 12:03
Ik denk dat hij bedoelt dat hij een "data subject request" heeft gedaan bij Odido. Daar kan je dan vragen om data te verwijderen voor zover er geen verplichting is om die te bewaren en kun je opvragen welke data ze over je hebben.

Data subject requests kosten een bedrijf altijd veel tijd en inspanning. En als nu ineens grote groepen mensen zoiets gaan doen dan is het volstrekte onmogelijk voor Odido om die allemaal op tijd te behandelen. Dan is er sprake van overmacht en dat begrijpt de AP dan ook.
Reageer
Pasteis 20 februari 2026 08:31
De hack zelf, mede mogelijk gemaakt door phising, kan misschien niet kwalijk genomen worden. De opslag van persoonlijke gegevens van de klanten daarentegen wel. Hoe kan het dat oud-klanten ook de e-mail ontvingen? En waarom konden de hackers potentieel bij miljoenen gegevens die ze konden exporteren? Waarom zat hier geen veiligheidsmaatregel op?

Het opslaan en onderhouden van persoonsgegevens zou dusdanig ingeregeld moeten worden dat je nooit zomaar een volledige export kan maken (alleen met zeer beperkende rechten en extra veiligheidslagen). Dan maar geen analyses in belang van marktonderzoeken en etc... als je bijvoorbeeld naam, ID, bankgegevens en adresgegevens in seperate tabellen of zelfs databases opslaat waarvan de gegevens pas afzonderlijk getoond kan worden door expliciet er een handmatig handeling te laten plaatsvinden zou je volgens mij al het een en andere kunnen afremmen.
Reageer
Helsie @Pasteis20 februari 2026 08:47
Precies dit. En ik vind het super irritant dat ik uit de opmerking van de AP totaal niet op kan maken of mensen klagen over het datalek óf over de te lange bewaring van gegevens. Want als ik zeker wil zijn dat ze weten van de te lange opslag, moet ik het nu alsnog voor de zekerheid wél bij ze melden.
Reageer
mjtdevries @Helsie20 februari 2026 12:06
Denk je nou echt na alles wat in het nieuws is gekomen dat de AP niet weet dat veel mensen claimen dat data te lang opgeslagen was?
Als je de AP zo laag inschat, dan vraag ik me af waarom je überhaupt een melding bij ze zou doen.
Reageer
CivLord
@Helsie20 februari 2026 13:29
Ik denk dat ze bij de AP ook de media volgen, dus van die te lange bewaartermijn zullen ze heus wel weten.

En ik denk dat ze een enorme stroom aan meldingen binnen zien komen, maar nog geen tijd gehad hebben om al die meldingen te bekijken.
Reageer
mbbs1024 @Pasteis20 februari 2026 15:25
Bedrijven zijn gewoon wettelijk verplicht om een aantal gegevens jaren bij te houden, meestal om fiscale redenen.
Daarom krijgen oud- klanten ook een bericht als hun gegevens buitgemaakt werden.
Reageer
Pasteis @mbbs102420 februari 2026 16:31
Bedrijven zijn gewoon wettelijk verplicht om een aantal gegevens jaren bij te houden, meestal om fiscale redenen.
Daarom krijgen oud- klanten ook een bericht als hun gegevens buitgemaakt werden.
Er zijn ook klanten die ouder dan de 7-jaar bewaarplicht geïnformeerd zijn. Bovendien zouden ID-gegevens wel vernietigd moeten worden zodra de klant weg is. Ook kan je als bedrijf zijnde om oud-klantgegevens af te schermen van actieve-klantgegevens. En daarmee ook de beschikbaarheid tot deze gegevens drastisch beperken.

Er zijn echt voldoende mogelijkheden om als bedrijf ervoor te zorgen dat je het zo minimum beperkt, maar nee... het kost geld, het is teveel gedoe, en ja.. wat levert het de klant in principe op? Niks, totdat je als bedrijf gehackt wordt en het een gevoelig onderwerp wordt.
Reageer
thisisjazz 20 februari 2026 07:43
Waarom zou je gaan klagen bij het AP? Vrij duidelijk dat zij hier bovenop zitten lijkt mij. Of wil men graag hun ei kwijt of geld zien?
Reageer
StackMySwitchUp @thisisjazz20 februari 2026 07:56
Ik denk dat men het idee heeft dat het hetzelfde werkt als met aangifte; dat je een bewijs hebt dat je het bij de juiste autoriteit hebt neergelegd zodat je daar later mee kunt schermen bij eventuele gevolgen. Op zich een logische gedachte.
Reageer
drakiesoft @StackMySwitchUp20 februari 2026 11:26
Frappant genoeg zat ik een dag later in een Google meet gesprek met 10 anderen met bijna dezelfde nr. Toeval of niet. Niet opgenomen trouwens en not funny. Ik zal het even melden bij AP.
Reageer
Helsie @thisisjazz20 februari 2026 08:41
Omdat duidelijk is dat Odido veel klantgegevens (véél) te lang bewaarde. Ze stellen zelf 'tot 2 jaar na einde abbo', maar ik kreeg op mijn oproepje op LinkedIn al snel reacties van mensen die al jaren weg zijn en óók in het datalek zitten. Ergste geval was iemand die al sinds 2011 weg was. Het was daar echt een zooitje qua data opschoning en dat verdient w.m.b. een enorme stroom klachten bij de AP. Schande is het.
Reageer
CivLord
@Helsie20 februari 2026 11:52
En denk je dat het AP hier inmiddels niet van op de hoogte is? En denk je dat het Odido wat doet wanneer de AP bedolven wordt onder de meldingen?

Alle meldingen moeten op z'n minst door iemand bekeken worden om te beoordelen dat het om een al bekend lek gaat. Dat houdt een aantal mensen van nuttiger werk af.
Reageer
Helsie @CivLord20 februari 2026 14:36
Je kunt vanalles aannemen, niet je eigen input bijdragen en dan later weer steigeren dat de AP niet ingrijpt. Zoals héél veel mensen in Nederland doen.
Reageer
mbbs1024 @Helsie20 februari 2026 15:27
Ik weet niet hoe het in NL zit, maar in BE moeten bedrijven bepaalde gegevens tot 10 jaar bijhouden.
Reageer
Helsie @mbbs102423 februari 2026 19:48
Ik heb alleen gereageerd op het deel van het bericht "omdat u minder dan 2 jaar geleden klant was bij ons". Dit klopt niet en dan vermoed ik een dataschoonchaos.
Reageer
jeroenz_ @thisisjazz20 februari 2026 08:01
Ik vermoed om in een later stadium nieuwe identiteitspapieren te kunnen claimen op kosten van Odido.
Reageer
PCG2020 @jeroenz_20 februari 2026 10:06
Daarvoor is dat niet nodig. Je kunt bij Odido, die de verwerkingsverantwoordelijke partij is, een claim indienen wanneer er aantoonbare schade is ontstaan door het lekken van jouw gegevens. Desnoods doe je dat met hulp van je rechtsbijstandsverzekering of het Juridisch Loket. Die kunnen jou ook vertellen of een claim überhaupt zin heeft, want dat is lang niet altijd het geval.
Reageer
mbbs1024 @PCG202020 februari 2026 15:31
Het probleem daarbij, is aantonen dat je werkelijk schade hebt die effectief door het lek bij Odido veroorzaakt is.
Een hacker die jou benadeeld zal je niet netjes komen zeggen dat hij bij jou ingebroken heeft met behulp van Odido gegevens, en veel mensen zetten zelf heel wat gegevens van zichzelf op het internet.
Reageer
PCG2020 @mbbs102420 februari 2026 18:25
Dat klopt, daarom is het verstandig om professionele ondersteuning in te schakelen wanneer blijkt dat jouw gelekte gegevens gebruikt worden voor oneigenlijke doeleinden.
Reageer
mbbs1024 @PCG202025 februari 2026 21:59
En die professionele ondersteuning kost je dan vervolgens ook nog eens extra, en het is dan nog de vraag of zij gaan kunnen bewijzen dat je schade het rechtstreekse gevolg is van het datalek bij Odido.
De bewijslast is gewoon heel erg moeilijk, praktisch onmogelijk.
Vandaar dat er beter een soort algemene regeling komt, waarbij een bedrijf aan iedereen waarvan de gegevens gelekt zijn, naast de notificatie, automatisch ook een soort forfaitaire schadevergoeding zou moeten betalen.
Als het hen geld kost, zullen ze daarna ook wel meer moeite doen om de gegevens te beschermen.
Reageer
jongetje
@jeroenz_20 februari 2026 08:17
Dan moet je aangifte doen bij de politie, niet bij de AP, die is daar geen partij in.
Reageer
GertMenkel
@jeroenz_20 februari 2026 08:18
Daarvoor hoef je niets bij de AP te regelen.

Ik denk eerder dat een miljoen mensen heeft gegoogled "wat te doen bij datalek" en daarom een melding maken, denkend dat het werkt zoals bij de politie.

De enige praktische waarde die ik hieraan kan hechten is dat de AP zo wel gedwongen wordt om Odido onder de loep te nemen. Één melding is effectief nutteloos, honderd meldingen zijn interessa, honderdduizenden meldingen brengt een woordvoerder naar de pers.
Reageer
dano2504 @GertMenkel20 februari 2026 14:19
Juist zo is het melden bij de AP en aangifte bij de politie, na 1000000 aangiftes zulle ze waarschijnlijk meer en beter handhaven om het niet nog een te laten gebeuren.
Reageer
Accretion 20 februari 2026 07:44
Toch denk ik dat we naar een volledig ander systeem moeten.

Iets waarbij je gegevens terug kunt trekken en/of waarbij het toegestaan is om pseudoniemen te gebruiken.

Netjes vragen om goede verwerking lijkt niet te helpen.
Je hebt mijn naam niet nodig om een pakket te verzenden, elk bedrijf dat daar om vraagt moet gewoon direct een boete krijgen.

Bij pakketjes vul ik voortaan alleen de eerste letter van mijn voornaam en de laatste letter van mijn achternaam en een spam-email met suffix (niet mijn persoonlijke/dagelijkse)
Geen reden om mijn volledige naam of prive mail te geven.

In principe zouden ze de aflevering kunnen weigeren als ik mij niet op die manier kan identificeren, maar tot nu toe nog geen problemen mee gehad.
Ik heb toch alle bewijzen van aankoop t/m betaling en de mails.

[Reactie gewijzigd door Accretion op 20 februari 2026 07:46]

Reageer
3raser @Accretion20 februari 2026 08:33
Ik heb dit in het andere Odido topic ook al benoemd maar wat mij betreft mag er een overheidsinstantie komen die ter plaatse de privacy voorwaarden en gegevensverwerking van bedrijven gaan controleren.

Staat er in je voorwaarden dat je na 2 jaar klantdata verwijderd dan moet dit ook echt zo gebeuren. Zo niet, dikke boete plus een vergoeding aan ieder persoon die te lang bewaard is gebleven. Daarnaast controleren ze of je niet meer gegevens bewaard dan daadwerkelijk nodig is voor je bedrijfsvoering. Zo ja, afhankelijk van welke data dat is een dikke boete.

Op die manier gaan bedrijven misschien iets beter nadenken over welke gegevens ze bewaren.
Reageer
Calypso @3raser20 februari 2026 10:31
Het beroerde: die is er in principe al en dat is de AP. En die heeft een zwaar capaciteitsprobleem alleen al met het afhandelen van binnenkomende klachten - laat staan dat ze de tijd/capaciteit hebben om pro-actief bij bedrijven langs te gaan.

Als je een bij de politie aanklopt (want men houdt zich aan de wet) verwijzen ze je door naar de AP in elk geval (zelf paar jaar geleden meegemaakt).

Het is gewoon triest dat de AP onvoldoende capaciteit heeft (heb het afgelopen jaar 2 meldingen gedaan en van de eerste kreeg ik na 5 maanden terugkoppeling, de 2e is nu 3 maanden terug en heb ik nog niets van gehoord) - aan de andere kant kun je er nog zoveel mensen op zetten, het aantal meldingen neemt ook met de week toe krijg ik het gevoel.

Ik denk dat meer mandaat/strafmaatregelen voor de AP misschien nog iets kan verlichten richting toekomst.
Reageer
mbbs1024 @Calypso20 februari 2026 15:37
Een idee zou zijn, dat iedereen die hierbij benadeeld is, ook mails begint te sturen naar politici en politieke partijen, zodat die ook wakker worden door de massale toestroom aan mails, want blijkbaar is het daartoe opgerichte overheids orgaan door de politiek niet voorzien van de nodige slagkracht om de burger te beschermen tegen deze steeds erger wordende plaag.

Ook de fabrikanten en verkopers van IT en netwerk apparatuur zouden moeten verantwoordelijk gesteld kunnen worden, want die wuiven al hun verantwoordelijkheid weg met de kleine letttertjes in hun contracten.
Reageer
Sissors @Accretion20 februari 2026 08:17
Of misschien moeten we wat minder panisch over dingen doen. En dit gaat mij zeer waarschijnlijk geen positieve rating hier opleveren, maar elk datalek worden de meest vergezochte ideeën bijgehaald wat dit wel zou kunnen veroorzaken. Weet je wel niet wat criminelen met je naam en je telefoonnummer kunnen doen! Even vergetende dat niet zo heel lang geleden je van iedereen gewoon naam en telefoonnummer in het telefoonboek kon opzoeken. Zaken als BSN zijn natuurlijk problematischer, tegelijk, tot niet zo heel lang geleden kon je van elke ZZP'er zo zijn BSN opzoeken (en van degene die in het verleden ook al ZZP'er waren kan dat nog steeds natuurlijk).

En nee, ik zeg NIET dat data beveiliging dus niet er toe doet. Maar wel dat de ene data belangrijker is dan de andere. Ik zie het niet als zo'n probleem voor welke persoon een pakketje is. Dit is nogmaals iets wat vroeger altijd al in het telefoonboek stond. En als je je naam eruit laat, moet je imo niet klagen als iemand anders je pakketje bij een ophaalpunt meeneemt (maar daar is dan zeker de webwinkel weer verantwoordelijk voor?). Mijn e-mail adres is niks anders als mijn digitale adres, dus dat is ook geen topgeheim.

En natuurlijk, zaken als je paspoortnummer zijn grotere dingen. Maar laten we daarvoor gewoon betere identificatiemethodes gebruiken die niet gebaseerd zijn op een vast nummer wat bijna nooit veranderd. Dat gezegd hebben, buiten vliegtickets om en andere reis gerelateerde zaken denk ik niet ooit mijn paspoortnummer gedeeld te hebben.
Reageer
barbarbar @Sissors20 februari 2026 08:52
Juist voor een bedrijf wat IT diensten levert vind ik het zeer stuitend dat ze hun interne controles niet op orde hebben.

Wat mij betreft mag er een wet komen waardoor er een direct opeisbare boete van 50 euro per klant is. Vast te stellen door onafhankelijk onderzoek door de AP. En als een bedrijf verzuimt melding te doen, dan is gaat de boete maal vier als het alsnog uitkomt.

Dan hebben bedrijven opeens wel de mogelijkheden om een team samen te stellen die interne en externe audits doet om dit soort falen te voorkomen. Dat aan zulke lekken geen consequenties hangen is voor bedrijven reden om er ook niks qua preventie voor in te richten. Want laten we eerlijk zijn: er is geen enkele reden waarom een servicedesk van álle klanten toegang moet hebben tot paspoortnummer. Een paspoortnummer is even nodig tijdens de aanvraag, en daarna niet meer. Dat ze het nog ergens opslaan kan ik wel inkomen, maar de toegang tot die informatie moet goed afgeschermd zijn, en zeker niet voor de servicedesk in één keer zijn leeg te trekken.

Dat die informatie niet bijzonder gevoelig is, vind ik geen argument. Hoe vaak hoor en lees je dat ouderen worden opgelicht met zulke gegevens. "Hallo Sissors, ik ben van Odido, ik zou graag even uw betalingen willen doornemen want on systeem geeft een fout aan bij de laatste incasso." "Oh mijn hemel! Wat moet ik doen?" "Zou u kunnen bevestigen dat uw paspoortnr GJ8973987 is?" "Oh ja dat klopt, dit moet wel Odido zijn!" "Er komt zo even iemand aan de deur, bij hem kunt u direct uw openstaande bedrag voldoen". "Oh wat fijn, ik betaal direct!"

En dan mag jij als klant vervolgens gaan aantonen dat je schade hebt gelden. Ammehoela, dat is de omgekeerde wereld. Uitgangspunt moet zijn dat er met persoonsgegevens altijd schade is geleden. Laat het bedrijf maar aantonen dat het niet zo is.

[Reactie gewijzigd door barbarbar op 20 februari 2026 08:58]

Reageer
CivLord
@barbarbar20 februari 2026 12:49
Altijd leuk, dit soort draconische maatregelen.

Natuurlijk, met een gigantisch hoge boete, zullen er veel meer maatregelen genomen worden. Maar die maatregelen zijn niet gratis, daar moet jij als klant dus voor betalen.
En omdat de boete zo hoog is, worden er absurde maatregelen getroffen om alles zo veilig mogelijk te houden. Dan kan bv. de helpdesk je niet helepen zonder 10-factor authenticatie en kunnen ze alsnog niet bij de helft van gegevens die ze nodig hebben om je goed te kunnen helpen.

Beveiliging is altijd een afweging tussen veiligheid, kosten en gebruiksgemak, waarbij té veel inzetten op de één altijd ten koste gaat van de andere twee.
Maar dat neemt niet weg dat in dit geval Odido te veel heeft ingezet op kosten en/ of gebruiksgemak, wat te veel ten koste gegaan is van de veiligheid.
Reageer
barbarbar @CivLord20 februari 2026 21:43
Een paspoortnummer is na de eerste identificatie nergens meer voor nodig bij een servicemedewerker, al helemaal niet de hele database kunnen leegtrekken. Ook is maar weer eens pijnlijk duidelijk dat ze veel informatie veel langer bewaren dan noodzakelijk en dan toegestaan is.

Een team aanstellen dat zich puur richt op interne en externe audits om dit soort dingen te voorkomen kost wellicht een paar ton per jaar.

Je bent geen draconische maatregelen nodig. Je bent een paar mensen nodig die controleren of de maatregelen die er nu al wettelijk moeten zijn, wel goed nageleeft worden.
Reageer
Accretion @Sissors20 februari 2026 08:29
Ik wil niet dat heel het internet weet wat mijn adres, naam en email is. Doen alsof dat normaal is vindt ik zorgelijk.

Ik krijg al belachelijk veel spam en waar ik woon, hoef jij niet te weten. Privacy gaat niet alleen over wat criminelen er mee kunnen doen, al helpt privacy wel tegen identiteitsfraude.

Het hele argument 'vroeger was het zo' heb ik ook niks aan, vroeger was er minder privacy, maar maakte dat ook niet zo veel uit omdat de schaal van gegevensuitwisseling niet zo belachelijk groot was.

W.m.b.t. moet de houding tegenover persoonsgegevens veranderen en dat werkt alleen door privacy te zien als een recht en niet als iets wat we wel leuk vinden maar eigenlijk geen zin in hebben.
Reageer
The Zep Man
@Sissors20 februari 2026 08:29
Of misschien moeten we wat minder panisch over dingen doen.
Misschien moet de overheid wat meer inzetten op correctieve maatregelen als gegevens lekken om zo preventieve maatregelen bij lekkende partijen te stimuleren. Nu komen bedrijven er hooguit met een tik op de vingers mee weg, terwijl het niet hun gegevens zijn. De AVG spreekt niet voor niets over "verwerkingsverantwoordelijke". Bij verantwoordelijkheid hoort aansprakelijkheid als het werk niet goed wordt gedaan. Persoonsgegevens horen behandeld te worden als gevaarlijk.

Over dit lek specifiek:
Men leert hiermee dat persoon X met contactgegevens Y gebruik maakt van provider Z, en wel eens heeft gecommuniceerd over onderwerpen A, B en C. En dat leert men niet van één persoon, maar van zoveel miljoen personen.

Dat is een prima combinatie voor spearphishing en andere vormen van oplichterij op grote schaal. Per 1000 mensen die daarvoor benaderd worden zal er heus wel iemand intuinen. Daarmee schuift Odido de kosten van slechte informatiebeveiliging door naar de maatschappij.

[Reactie gewijzigd door The Zep Man op 20 februari 2026 08:40]

Reageer
redslow @Sissors20 februari 2026 08:30
Het gaat mij er meer om dat het voorkomen had kunnen worden. In mijn geval. Ik ben ex klant. Schijnbaar verplicht de staat dat bedrijven mijn gegevens voor twee jaar bewaren.


Was dit niet het geval geweest dan waren mijn gegevens 1,5 jaar geleden gewoon verwijderd wat ik ook verwacht van een bedrijf als ik daar weg ga.


Daarbij de houding van het bedrijf zelf en de stilte vanuit de staat. Heb ik zoiets van overspoel ze maar, dat het duidelijk word dat de maat eens vol is.

de burgers en klanten constant erop wijzen dat zij voorzichtig moeten zijn met hun gegevens en vervolgens zelf te laks zijn en daarna niet het boetekleed aantrekken.


Dat stoort mij het meeste.
Reageer
Recursio @Sissors20 februari 2026 08:36
T.a.v. je telefoonboekgegevens, waar ook adresgegevens bijstonden: De tijden zijn wel wat veranderd inmiddels. Nu woren politici met brandende fakkels thuis opgezocht, is doxing een ding geworden, en wordt fraude in rap tempo geautomatiseerd. En als je dan niet weet wie wel netjes met persoonsgegevens om kan gaan versus wie niet, dan is sterk verminderde toegang tot die gegevens veiliger.
Dat gezegd hebben, buiten vliegtickets om en andere reis gerelateerde zaken denk ik niet ooit mijn paspoortnummer gedeeld te hebben.
Jij hebt het misschien niet gedeeld; maar wie wel? Bij welke organisaties is dat nummer terechtgekomen? Wat hebben zij ermee gedaan?

Daarom zou ik graag zien, geinspireerd door heet Finse model waar(in) wettelijk is vastgelegd dat data die jou beschrijft daarmee ook van jou is. Je mag anderen een intrekbaar recht verstrekken om toegang te krijgen tot die data. (Ja, daar zitten nog veel haken en ogen aan, maar in de kern is dit een mooie verbetering)
Reageer
Daoka @Sissors20 februari 2026 09:13
Ja vroeger hadden we een telefoonboek. Toen was scammen gewoon een stuk lastiger. Je kon niet honderden mensen tegelijkertijd per minuut bereiken zoals nu met email. Geld was toen veel minder digitaal (bankpas ja maar via internet betalen niet of ieder geval niet veel) dus het had ook minder zin. En de meeste bedrijven waren niet geïnteresseerd in data. En als je wilde scammen dat was het meestal in het echte leven of telefonisch maar het was toen gewoon wel minder. Nu is het vanuit pmwaar dan ook in de wereld (ja bellen vanuit het buitenland kon vroeger ook maar was gewoon duur). Tegenwoordig is het dus gewoon heel anders. Dus leuk om te zeggen "maar vroeger" terwijl de situatie dus gewoon niet vergelijkbaar is. Daarnaast zijn scammers ook gewoon slimmer geworden (zoals de kind in buitenland waar de telefoon en portemonnee gestolen truckje) en hebben ze meer gereedschap om te misbruiken.
Reageer
StackMySwitchUp @Accretion20 februari 2026 08:03
Wat je aangeeft met pakketten is wat ik al jaren doe. Ook telefoonnummers zijn niet noodzakelijk, tenzij het om groot transport gaat. Het beste dat je kunt doen met al die verschillende partijen is een mailadres per partij aanmaken zodat je in de gaten kunt houden wie je e-mail gelekt heeft. Zo heb ik o.a. kunnen traceren wie mijn gegevens heeft doorverkocht aan een spammer waar ik ineens allemaal "relevante" nieuwsbrieven van kreeg. Overigens zijn er maar weinig diensten die je dit laten doen, dus ik ben benieuwd hoe anderen dit oplossen. Momenteel heb ik een Exchange Plan 1 licentie + brakke catch-all voor deze constructie, met daarbij een lijst van aliassen die ik bijhou. Ik zou zelf graag van MS af willen en meer willen automatiseren zonder zelf e-mail te moeten hosten
Reageer
Verwijderd @StackMySwitchUp20 februari 2026 08:07
Zelf gebruik ik Proton met een eigen domeinnaam en een ander subdomein voor alias emails. Proton popt automatisch op om een account of alias mail op te geven en linkt deze ook geheel automatisch, en je kunt ze later makkelijk deactiveren.
Reageer
StackMySwitchUp @Verwijderd20 februari 2026 08:29
Ah kijk, dat klinkt bruikbaar en lijkt of ze er over hebben nagedacht. Heb eerder naar Proton gekeken maar kon dit er toen niet uithalen.
Reageer
bzzzt @Verwijderd20 februari 2026 10:38
Dat kan goedkoper binnen Nederland met Freedom internet hun mailpakket. Dat kan je ook los van de verbinding afnemen.
Reageer
Accretion @StackMySwitchUp20 februari 2026 08:09
In hotmail/outlook web kun je ook:
Jantje+mediamarkt@live.nl

Mail komt dan gewoon op:
Jantje@live.nl

Ongetwijfeld zijn er wel spammers die dit filteren.
Eigen domeinnaam is wel 'beter' maar meer moeite.
Reageer
StackMySwitchUp @Accretion20 februari 2026 08:28
Ja dat klopt, maar plus extensions hebben 2 grote nadelen waarvan jij er al 1 noemt: men kan jouw adres uit het adres extrapoleren, en je kunt later het adres niet verwijderen of redirecten waardoor je potentieel alleen maar meer zooi ontvangt. Het is wel de simpelste optie, en beter dan niks!
Reageer
HetGezegde @Accretion20 februari 2026 08:14
Inderdaad. Daar vraag ik dan zakelijk ook niet om. Ik bied diensten en smartphones aan voor de non-tech savvy persoon en ze vullen enkel de basics in: voornaam, achternaam en e-mail adres. En als je een pseudoniem gebruikt, helemaal prima. Bij keuze voor een pakketpunt, heb ik bijv. ook je adres niet nodig. We vullen dan ons eigen adres in als leveradres (want dat is wel een verplicht veld) en dan het ophaalpunt naar keuze. Alle data die we verzamelen is AES-256-GCM encrypted. En verder verwijderen wij alle klant data na 30 dagen automatisch van de server.

Het kan dus wel.
Reageer
mbbs1024 @HetGezegde20 februari 2026 15:53
Ben je dan niet wettelijk verplicht om bepaalde data van klanten een tijd te bewaren, en hoe regel je dan garantieclaims ?
Reageer
Evanesco @Accretion20 februari 2026 08:15
Voorkomen is zeker beter dan genezen. Ander goed voorbeeld van een branche die stelselmatig en onnodig je volledige adres en telefoonnummer uitvraagt: sauna's. Ik vul daar altijd onzin in (en gebruik een pseudoniem). Wat vervolgens hilarisch was: ik werd er bij een niet nader te noemen sauna op aangesproken. Dat ze klachten kregen van mensen op postcode 1234AB, of ik voortaan mijn echte adres wilde opgeven bij reserveren... Ik zei: nee, maken jullie online al die velden maar niet verplicht, dan hoef ik geen onzin in te vullen. :+

[Reactie gewijzigd door Evanesco op 20 februari 2026 08:16]

Reageer
Azenomei @Accretion20 februari 2026 08:33
Dit doe ik ook al jaren. Alles komt gewoon binnen. Random letter als naam en achternaam, email via tempmail en telefoonnummer 0600000000. Als ze dat nummer niet accepteren dan doet 0612344567 het wel altijd. Werkt ook met eten bestellen trouwens. Alles komt gewoon binnen.
Reageer
gevoelig @Accretion20 februari 2026 08:36
Dat geldt overigens voor meer gegevens. Een webshop zie ik als groot risico omdat deze soms hele kleine bedrijven zonder dedicated IT best eens iets kunnen missen qua beveiliging.


Visa biedt tegenwoordig de mogelijkheid om te betalen zonder je kaart-gegevens in te vullen.
Bedrijven die je vertrouwt zouden bijvoorbeeld een ID voor een shop kunnen genereren zodat een shop de gegevens niet hoeft op te slaan. Op het moment dat je gegevens getoond moeten worden halen ze die dan bij de grote bedrijven.Bijvoobeeld banken en creditcardmaatschappijen. Die zouden hier dan een vergoeding voor moeten krijgen om dit in de lucht te houden.

Groot bezwaar hiervan is echter privacy. Er zouden dan waarborgen moeten zijn dat deze meta-data of andere gerelateerde data in welke vorm langer mag worden opgeslagen dan noodzakelijk voor de directe verwerking en op geen enkele andere manier commercieel mag worden gebruikt of doorverkocht.
Reageer
kdekker @Accretion20 februari 2026 08:38
Dat bedrijven beter om moeten gaan met je gegevens, dat punt lijkt me evident, maar wat jij wilt levert ook problemen op. Identificatie bij een afleverpunt noemden anderen al. En het is al heel lang gebruikelijk dat naast een adres een naam nodig is voor de vervoerder, daar er meerdere bewoners op 1 adres kunnen wonen. Praktisch dus omslachtig, omdat bijv. alleen een track & trace nummer (die kent de vervoerder wel) of een ordernummer (die kent de vervoerder niet) onvoldoende waarborgen bieden dat de ontvanger ook de goede ontvanger is. Diefstal van pakketten gebeurd ook gewoon. Maar goed, wellicht zou 'aan de bewoners van' hier ook volstaan? Als je de enige bewoner op een adres bent, wellicht wel.

Dan nog is naam + adres een dubbelcheck, omdat - komt regelmatig voor - iets op het verkeerde adres bezorgd wordt (al dan niet omdat niemand thuis was) of - heb zelf ook weleens gehad - een typefout in je eigen adres hebt gemaakt. Best handig als de buren in de straat alsnog je pakketje komen brengen.

Al met al denk ik dat 'je hebt mijn naam niet nodig voor verzenden' iets te kort door de bocht is.
Reageer
mvn23 @Accretion20 februari 2026 07:58
Het gebeurt regelmatig dat ik niet thuis ben en pakketjes dus op een servicepunt komen te liggen. Afhankelijk van de verzendmethode wordt mij dan op het servicepunt naar ID gevraagd. Vaak wordt ook genoegen genomen met een afhaalcode, maar lang niet altijd. Zeker als ik een pakket niet verwacht omdat bijvoorbeeld mijn werkgever het heeft laten verzenden en hierbij niet mijn email adres heeft opgegeven kunnen pseudoniemen of initialen nog wel eens een probleem opleveren.

Daarnaast ben ik het met je eens dat pakketjes van webwinkels (waarbij je dus wel je mailadres opgeeft) ook zonder naam zouden moeten kunnen. Probleem is dan wel dat je mailadres nog wel eens op straat kon komen te liggen...
Reageer
Accretion @mvn2320 februari 2026 08:07
Ja eens, maar mailadressen kan ik oneindig en anoniem aan maken. Namen op mijn paspoort niet...

Het punt is dat we het alleen aan kunnen passen met drastische maatregelen. Zo'n pakketpunt moet een boete krijgen als ze om je paspoort vragen, de procedure met afhaalcode in de mail is veilig genoeg te maken.

Wat mij betreft doen ze een volledige QR-code in die mail die onmogelijk is voor een ander om te raden.

W.m.b.t laat ik terplekke alles zien / houdt ik de hele rij voor een uur op / bel ik de politie omdat ze mijn eigendom in beslag houden.
Reageer
Dennism @Accretion20 februari 2026 08:29
W.m.b.t laat ik terplekke alles zien / houdt ik de hele rij voor een uur op / bel ik de politie omdat ze mijn eigendom in beslag houden.
Dat laatste zal vermoedelijk lastig gaan, want eigendom bij pakket levering gaat juridisch pas over bij de feitelijke levering. Dus zolang jij dat pakket niet in je handen hebt, is het niet jouw eigendom.
Reageer
Accretion @Dennism20 februari 2026 09:52
Dan sturen ze het maar retour en geld terug?
Reageer
Evanesco @Accretion20 februari 2026 09:42
Zo'n pakketpunt moet een boete krijgen als ze om je paspoort vragen, de procedure met afhaalcode in de mail is veilig genoeg te maken.
Mogen ze dat niet vragen dan? Ik had laatst zelfs een aanvaring met mijn pakketpunt: had geen ID bij me, maar kon wel in de officiële KopieID app van de overheid een scan laten zien (en uiteraard de afhaalcode in de PostNL app). Niet genoeg, moest een fysiek exemplaar hebben en kreeg mijn pakketje niet mee (tot mijn grote frustratie). En heb ook zelfs al vaak gehad dat ze de QR van mijn rijbewijs willen scannen bij afhalen pakketjes. Dat mag dus ook niet?
Reageer
Accretion @Evanesco20 februari 2026 09:56
Ik vindt van niet.

Bewijzen dat je de ontvanger bent kan los staan van jezelf als persoon identificeren.
Reageer
Evanesco @Accretion20 februari 2026 18:45
Belangrijke nuance dan dat het jouw mening is haha, kwam op mij over alsof pakketpunten onwettig om ID vragen...
Reageer
CivLord
@Accretion20 februari 2026 12:16
En ben je dan een probleem aan het creëren of aan het oplossen?
Reageer
Verwijderd @mvn2320 februari 2026 08:03
Ook logisch, omdat er vaak genoeg pakketten besteld worden op andermans naam en adres, en dan met de optie later betalen. En je mag altijd weigeren, maar moet je wel opnieuw bestellen. Wij hebben gelukkig in ons complex een algemene pakketautomaat en hebben 50 meter verderop aparte kluizen van PostNL, DHL en DPD.
Reageer
HeldereM @Accretion20 februari 2026 08:08
ik heb wel eens een hele boze mevrouw bij het pakketpunt gehad omdat ik er ook alleen initialen op gezet had, ze konden het pakket niet vinden omdat ze die per achternaam sorteren.

Wat ik nog wel eens doe is na de bestelling mijn gegevens vervangen door dummy data waarbij ik vooral email vervang door zo’n tijdelijk adres om door de verificatie te komen.

Zaken als telefoonnummer en geboortedatum kan je sowieso onzin invullen.
Reageer
Dennism @HeldereM20 februari 2026 08:34
ik heb wel eens een hele boze mevrouw bij het pakketpunt gehad omdat ik er ook alleen initialen op gezet had, ze konden het pakket niet vinden omdat ze die per achternaam sorteren.
Sterker nog, ik heb regelmatig gezien in het verleden dat dit soort mensen het pakket niet meekrijgen omdat de informatie die zij verstrekken niet klopt met de werkelijkheid waardoor de medewerker niet weet, en niet met afdoende zekerheid kan verifiëren, of het wel de beoogd ontvanger is, en het pakketpunt een (financieel) risico loopt als ze een pakket meegeven aan iemand anders dan de beoogd ontvanger en iemand claimt daarna dat het niet ontvangen is of er een ander probleem optreed tussen verkoper en consument met het pakketpunt in het midden.


Ik tag @Accretion ook even als discussie starter.

[Reactie gewijzigd door Dennism op 20 februari 2026 08:41]

Reageer
Accretion @Dennism20 februari 2026 09:28
Het hele idee van identificeren met naam is wat mij betreft onzin. Natuurlijk, met een pseudoniem krijg je geklooi, maar met enkel de eerste letters, zie ik het probleem niet.

Als jij alleen een mail stuurt naar de ontvanger met een QR-code, kun je er van uit gaan dat alleen de ontvanger die QR-code heeft.

Wat doen ze dan met je paspoort als je die laat zien?
Die kan toch ook nep zijn, is niet alsof die gevalideerd wordt door een scanner.
Reageer
mbbs1024 @Accretion20 februari 2026 15:57
Als er een datalek is, of phishing, of ... is de ontvanger niet de enige die over die qr code beschikt.
Reageer
Accretion @mbbs102420 februari 2026 17:03
Tja, als je paspoort gestolen wordt ben jij ook niet de enige met jouw paspoort.

Maar denk dat als kwaad-aardigen toegang hebben tot je mailbox, je grotere problemen hebt.
Reageer
Accretion @HeldereM20 februari 2026 08:16
ik heb wel eens een hele boze mevrouw bij het pakketpunt gehad omdat ik er ook alleen initialen op gezet had, ze konden het pakket niet vinden omdat ze die per achternaam sorteren.
Waarom niet op postcode sorteren?

Ze creëeren een probleem dat niet bestaat puur om meer data te verzamelen die ze vervolgens onveilig opslaan.
Reageer
sigmundfreund @Accretion20 februari 2026 08:21
Ik snap je punt, maar die boze mevrouw bij het pakket punt zal het een worst wezen hoe je heet en die informatie gaat zij helemaal niet opslaan. Zij wil vooral snel je pakket kunnen identificeren zodat ze door kan met het volgende pakket of andere dienst die ze verleent/verkoopt. Het komt bij haar niet eens op om postcode te gebruiken omdat (en dit zuig ik even uit mijn duim, maar aannames kunnen waar zijn):
  1. het een getal is, daar is de associatie standaard al 'moeilijk' mee bij de gemiddelde mens
  2. niet realistisch, maar soms worden pakketten die naar een pakketpunt gaan herstickerd en dan is de postcode wellicht niet zichtbaar
Reageer
P_Tingen @sigmundfreund20 februari 2026 08:31
Dat laatste inderdaad. Ik heb ook wel eens pakketjes gekregen bij een pakketpunt waarbij de verzender niet eens mijn eigen adres weet. Die stuurt het met mijn naam als "tav" naar het pakketpunt. De postcode die ze daar dan al hebben, is hooguit dan de postcode van het pakketpunt zelf
Reageer
downtime @sigmundfreund20 februari 2026 08:43
En iedereen in de wijk heeft dezelfde postcode. In elk geval dezelfde vier cijfers en een beperkte variatie in lettercombinaties. Ik zou het geen bruikbare sorteermethode voor een pakketpunt vinden.
Reageer
Accretion @downtime20 februari 2026 10:02
Straatnaam dan...

Denk eens in oplossingen :X
Reageer
CivLord
@Accretion20 februari 2026 12:23
Die oplossing is er al: Achternaam.
Reageer
synoniem @downtime20 februari 2026 11:04
Die Kix code die op je post staat is anders gewoon je postcode + huisnummer + toevoeging en de post wordt daar al jaren op gesorteerd.
Reageer
CivLord
@synoniem20 februari 2026 12:25
Maar die Kix code is wat lastig af te lezen door iemand die bij een servicepunt je pakketje zoekt.
Die gaat echt niet met een scanner een hele rij pakketjes af. Achternaam zie je in één oogopslag.
Reageer
3raser @Accretion20 februari 2026 08:30
Als ik ergens een hekel aan heb dan zijn het kassa- of baliemedewerkers die naar mijn postcode gaan vragen. Iedere persoon achter je in de rij weet gelijk waar je woont.

Bovendien nogal nutteloos om hun sorteersysteem hier te gaan bekritiseren. Alsof HeldereM er iets aan kan doen dat zij dit systeem gebruiken.
Reageer
W1ck1e @3raser20 februari 2026 11:02
Vaak vragen ze naar de cijfers van de postcode.
Ik geef ze dan oplopend gesorteerd. Helaas heb ik 4 verschillende. Anders zou ik maar 3, 2 of 1 hoeven te noemen.
Reageer
MallePietje @Accretion20 februari 2026 08:34
Toch denk ik dat we naar een volledig ander systeem moeten.
Op dit moment zal Odido en andere partijen vast allerlei gegevens moeten verwerken om aan allerlei regels te voldoen.

Even fantaseren. Misschien kan klant administratie een overheidsdienst worden. Die overheidsinstantie heeft alle benodigde directe persoonsgegevens (NAW, email etc) en Odido en andere bedrijven krijgen alleen een klantnummer. Odido kan dan beperkt dingen vragen: bijv. NAW van klantnummer x om iets fysiek te versturen. Daarna moeten ze NAW weer vergeten. Of: stuur deze email naar klantnummer x. Ook voor een account op de Odido pagina: klantnummer x bezoekt de webpagina. Odido kan de dienst vragen om bevestiging dat het persoon x betreft (authenticatie).

Die generieke dienst kan je dan heel goed beveiligen. En de individuele bedrijven hoeven nauwelijks meer directe persoonsgegevens te verwerken. Allerlei analyses kunnen ze doen op het klantnummer etc.

Dat zou heel anders zijn.
Reageer
CivLord
@MallePietje20 februari 2026 13:13
Je BSN zou dan je klantnummer kunnen zijn en inloggen gaat dan met DigiD.

Veel privacybewuste tweakers hier zullen daar om heel andere redenen een rolberoerte van krijgen. :)

De bedrijven zelf zullen daar on één reden blij van worden. Omfdat het telefonisch niet werkt, kunnen ze de hele telefonische helpdek opdoeken! "Om uw veilighheid te garanderen hebben we onze dienstverlening opgeheven."

Maar hoe ver zou dit moeten gaan?
Incasso ook via de overheid? Leuke extra taak voor de Belastingdienst (kan je factuur verrekend worden met je belastingteruggave, of een creditfactuur juist met een belastingschuld).
Kan de BKR ook meteen opgedoekt worden. Een bedrijf dat je een krediet wilt verlenen (bv. voor een telefoon) krijgt dan te horen dat je al te veel schulden hebt.
Even tot in het absurde doorfilisoferen: Wanneer alle betalingen al via de overheid gaan, waarom zou je alle bankzaken daar ook niet onderbrengen? Dan krijg je een virtuele rekening waar je loon op bijgeschreven wordt en waar vervolgens je betalingen mee verrekend worden. En met een chip in je hand kan je ook bij winkels, horeca etc. verrekenen.
En ook ook de alu-hoedjes te voeden: Dit geeft de overheid inderdaad totale controle op je inkomsten en uitgaven en zo zal ook je zorgverzekering duurder worden wanneer je te veel geld uitgeeft aan ongezonde zaken. En cash zal niet uitgebannen worden, maar een opname zal je in viervoud moeten verantwoorden en bij een storting zal je de herkomst van het geld aan moeten kunnen tonen.
Reageer
MallePietje @CivLord20 februari 2026 14:13
Laat ik eerst zeggen: het is geen heel doordacht plan hoor.

Ik zou niet het bsn als klantnummer gebruiken.

Klantenservice kan gewoon blijven bestaan. Het is wel mogelijk om te interacteren met de persoonsgegevens. Ik denk dat het voornaamste is dat het bedrijf deze niet meer opslaat, maar alleen heel tijdelijk opvraagt om direct te gebruiken en daarna weer vergeet
Alle gegevens die horen bij het specifieke bedrijf, zoals bij odido wanneer en hoe lang er een telefoongesprek is gevoerd, is alleen gekoppeld aan een klantnummer.

Het lijkt me niet handig om incasso's via de overheid te laten lopen. Wel kan je eisen dat bedrijven die transacties bijvoorbeeld alleen opslaan met klantnummer. Wanneer een incasso voor klantnummer x nodig is, kan het bedrijf weer kort het bankrekeningnummer opvragen en daarna weer vergeten.

Kortom: alle bedrijfsdata is alleen opgeslagen op klantnummer. Wanneer voor een proces persoonsgegevens nodig zijn, kan het bedrijf die opvragen voor direct gebruik, maar niet permanent opslaan.
Reageer
Triblade_8472 @Accretion20 februari 2026 08:14
Een ander systeem is niet per se nodig, wel handhaving en boetes op bedrijfs- én bestuurlijk niveau.

Er zijn vele misstanden die alleen maar plaatsvinden omdat de pakkans nagenoeg 0 is. En als je gepakt wordt, dan zijn de gevolgen verwaarloosbaar. Met 1 miljoen winst en 50.000 euro boete, gaat niemand iets veranderen natuurlijk.

Dat is overigens ons politiek beleid, dus dit gaat echt niet snel veranderen.
Reageer
Mic2000 @Accretion20 februari 2026 08:27
We hebben een systeem nodig met publieke en private keys. En bij odido zit de public key, en ik moet altijd bevestigen met mijn private key die ik zelf behoudt.


Of dat, of een digid achtige constructie...


De huidige gegevens zijn statisch en komen van voor het digitale tijdperk.
Reageer
CivLord
@Mic200020 februari 2026 12:53
En hoe ga je dat regelen wanneer je de helpdesk belt?
Reageer
pyro-tukker 20 februari 2026 08:45
Ik zit niet zo juridisch in deze dingen, maar is geen klacht indienen van de AP juist niet een zwakte in je dossier als je echt richting een claim (op persoonsniveau) wil? Of is een 1-op-1 procedure richting Odido voldoende?


Mijn ervaring is dat als ze een formele klacht indient bij een instantie zoals de AP, dat je dossier toch sterker staat dan zonder.
Reageer
m_snel @pyro-tukker20 februari 2026 09:04
Ik verwacht niet dat we wat te claimen valt. Maar goed de AP zou eens wat moeten doen met de klachten die de gebruikers straks gaan indienen.
Want die e-mail adressen gaan gewoon verkocht worden. En dan krijg je gewoon reklame van niets vermoedende bedrijven.
Reageer
mbbs1024 @pyro-tukker20 februari 2026 16:03
Maar hoe ga je schade bewijzen, en dat deze rechtstreeks afkomstig is van het Odido datalek ?
Een inbreker of hacker zal echt geen berichtje bij je achterlaten waarin staat "dankzij de Odido gegevens heb ik je nu lekker te pakken genomen".

Wetgeving, waarbij er in zo een geval automatisch, naast de verplichte melding, ook een soort forfaitaire schadevergoeding uitgekeerd wordt, zou volgens mij veel effectiever zijn, want als individu zal het zeer moeilijk zijn om te bewijzen dat je eventuele schade een rechtstreeks gevolg is van een datalek.

[Reactie gewijzigd door mbbs1024 op 20 februari 2026 16:06]

Reageer
dedeus 20 februari 2026 08:43
Ik heb sowieso melding gemaakt. Poosje terug was er gezeik dat je wel/geen recht op compensatie had over fictief rendement spaargeld als je geen bezwaar had gemaakt... Dus administreren zullen ze!
Reageer
The-Abyss 20 februari 2026 09:15
Interessant en dat wist ik nog niet na het lezen van de pagina op AP: "Een claim dient u in bij de organisatie die verantwoordelijk is voor het datalek". AP speelt hier dus geen rol in. AP legt aan de andere kant wel boetes op bij organisaties. Zou AP als overheidsorgaan niet net als het OM een schadevergoeding kunnen eisen in het (boete/straf) proces. AP houd zich daar nu vanaf. Maar gezien de hoeveelheid en omvang van lekken zou dit toch een vervolgstap kunnen zijn?
Reageer
CivLord
@The-Abyss20 februari 2026 13:32
En hoe word die schadevergoeding dan bepaald?
Voor een schadevergoeding is het nodig dat er een aantoonbare schade is die in geld is uit te drukken.
Reageer
mbbs1024 @CivLord20 februari 2026 16:13
Inderdaad, en volgens mij is het praktisch onmogelijk te bewijzen dat een schade die je hebt, het rechtstreekse gevolg is van het datalek bij een bedrijf.
Als individueel slachtoffer sta je dus nergens.

De enige oplossing is volgens mij, het massaal versturen van mails naar politici en politieke partijen, zodat ze wakker worden, en de wetgeving aanpassen, want het is enkel via die weg dat er iets kan gebeuren.
Reageer
The-Abyss @CivLord22 februari 2026 09:36
Datzelfde geldt voor de omvang van de boetes. Voor het bepalen van letselschade zijn er bijvoorbeeld experts. Idem zou dan voor digitale schade kunnen worden bepaald.
Reageer
mrjixies 20 februari 2026 08:13
Ik was er vroeger niet zo mee bezig maar de laatste tijd kan ik mij toch behoorlijk opwinden hoe alles tegenwoordig te grabbel wordt gegooid.

Hetzelfde met die idiote automatische incassos het is naar mijn mening van de zotte dat je hier eigenlijk niet onder uit komt. Nu met die hack kan ik dus weer wekelijks mijn bankrekening controleren. Waarom is er geen systeem dat ik melding krijg van de bank als er nieuw incasso gemachtigde voor het eerst een afschrijving wil doen ik dat expliciet via de app of website toestemming voor geef.
Reageer
barbarbar @mrjixies20 februari 2026 08:44
De drempel voor een bedrijf om automatische incasso te mogen doen ligt vrij hoog. Je moet als bedrijf bij je bank van alles aantonen voordat het überhaupt kan. En als je teveel klachten of storneringen krijgt mag je dat gaan uitleggen aan de bank. Voor elke rekening moet je een bewijs kunnen overleggen dat de klant dat heeft toegestaan.

Dat zomaar iemand wat geld van je rekening kan halen omdat die je rekeningnummer heeft, dat is vrijwel uitgesloten.

Ironisch genoeg is het juist Odido die bij mij nu maar blijft incasseren, en ik blijf storneren. Ze hebben een opzegging niet goed afgehandeld, dus ze blijven maar proberen. Heb het nu een paar keer geweigerd via de bank, en heb het nu niet meer gezien. Wel een andere rekening, maar als ze dat blijven volhouden mogen ze het van mij voor de rechter komen uitleggen. Zal wel niet zo ver komen.
Reageer
pennywiser @barbarbar20 februari 2026 09:03
In TMT tijd was dat bij mij ook, zelfs terugsturen apparatuur schreven ze 300 af. Storneren en ik kon ze toen blokkeren bij Rabo. Ik ga er ook niet snel meer naar toe.
Reageer
mrjixies @barbarbar20 februari 2026 20:10
Je geeft dus nu precies aan waarom het idioot is! Ze bleven maar afschrijven en jij maar storneren... het is de omgekeerde wereld.Stuur maar gewoon een rekening.
Reageer
barbarbar @mrjixies20 februari 2026 21:48
Die machtiging kun je intrekken, maar had geen zin om dat te gaan aanvragen voor hun fouten. Die afschrijvingen stuurt de bank mij een paar dagen vooraf een melding van. Dus ik kan die blokkeren voordat het werkelijk is afgeschreven.

In m'n 27 jaar bankieren, is dit de eerste keer dat ik een incasso heb teruggeboekt/geblokkeerd. Dus dat systeem lijkt me aardig veilig.
Reageer
MennoE @mrjixies20 februari 2026 08:30
Ik weet dat Bunq op tweakers niet populair is, maar die heeft precies dit. Ik krijg een pop-up bij een nieuwe incasso en moet die eerst goedkeuren. Ik kan dan ook bepalen voor hoe lang ik die goedkeur, wat maximaal per keer mag worden afgeschreven en maximaal per maand.
Reageer
mrjixies @MennoE20 februari 2026 08:36
Dat is wel top. Helaas heb ik Bunq al eens geprobeerd en dat was een en al drama dus daar brand ik mijn handen niet nog eens aan :-)
Reageer
Tys @mrjixies20 februari 2026 08:49
Bij ING krijg je ook gewoon een bericht dat er een nieuwe incasso aankomt een dag of wat voor de eerste afschrijving.
Reageer
pcxs @mrjixies20 februari 2026 12:35
Elke bank geeft een melding als er een auto incasso volgt en van wie, dat jij het niet controleert is een ander verhaal.
Maar ook al hebben ze je gegevens bankrekening etc zonder getekende overeenkomst mag er volgens de regels van de bank ook niet geïncasseerd worden dat zijn hun eigen regels dus je maakt je druk om niks
Reageer
mrjixies @pcxs20 februari 2026 20:13
Ja krijg je daar via de app of via email of via een andere manier bericht van? Ik niet hoor... ik hoor graag bij welke bank je zit, stap ik gelijk over.

zonder getekende overeenkomst 🙄🙄🙄 ja dat is ook echt niet te realiseren...
Reageer
pcxs @mrjixies20 februari 2026 20:57
ING,KNAB, RABO etc geven het allemaal aan in de app.
Die getekende overeenkomst is gewoon een eis van de banken zelf zonder getekende overeenkomst is de incasso gewoonweg onrechtmatig.

Voor mijn onderneming heb ik zelf ook een incassocontract en daar staat het ook erg duidelijk in vermeld dat de banken niet handhaven is een ander verhaal.
Maar bij een klacht zal er toch een machtiging getoond moeten worden kan de incassant dat niet is de incasso niet geldig en word ie terugbetaald op kosten van de incassant teveel klachten is het weg met het incasso contract.
Ja krijg je daar via de app of via email of via een andere manier bericht van? Ik niet hoor... ik hoor graag bij welke bank je zit, stap ik gelijk over.

zonder getekende overeenkomst 🙄🙄🙄 ja dat is ook echt niet te realiseren...
Reageer
mrjixies @pcxs21 februari 2026 08:08
Ik heb al jaren de ing app. Ik krijg hier geen melding van hoor. Ik moet het opzoeken in de app lijkt me niet de bedoeling.

En nogmaals hoe moeilijk kan het zijn om een machtiging te laten zien...
Reageer
pcxs @mrjixies21 februari 2026 14:47
Dan heb je notificaties gewoon niet aanstaan ik krijg gewoon een notificatie in de ING app dat kan je zelf instellen.


Jou bankrekening dus van jou word ook verwacht dat je je rekening regelmatig controleert dat jij dat niet doet is toch echt je eigen probleem.
En het is niet moeilijk om te laten zien maar dat neemt niet weg dat jij ook pro-actief moet handelen
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq