AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen

De Autoriteit Persoonsgegevens roept Nederlandse slachtoffers op geen meldingen meer te maken van het datalek bij Odido. De AP zegt dat het de situatie in de gaten houdt en dat nog meer meldingen niet nodig zijn. Hoewel de toezichthouder het niet zo zegt, is de kans groot dat het de meldingen niet aankan.

De Nederlandse privacytoezichthouder schrijft dat op een eigen webpagina. "De AP ontvangt op dit moment veel klachten en tips over het datalek bij Odido. De AP is op de hoogte van de situatie en houdt deze scherp in de gaten", schrijft de toezichthouder.

Burgers mogen wel klachten of tips indienen, maar 'dat is in principe niet nodig', aldus de AP. "De AP houdt actief toezicht op de situatie. Het is bijvoorbeeld belangrijk dat Odido klanten zo snel en volledig mogelijk informeert."

De toezichthouder zegt niet waarom klanten niet meer hoeven te tippen. Waarschijnlijk komt dat omdat de AP de klachtenstroom moeilijk aankan. Dat is al jaren een probleem; de AP krijgt veel te veel klachten binnen en heeft niet het geld en de capaciteit die allemaal op tijd af te handelen.

Een klacht indienen bij de AP heeft voor een klager ook in de basis weinig nut meer. Klachten zijn bedoeld om de AP van mogelijke privacyschendingen op de hoogte te brengen en om de ernst van een situatie door te geven. Omdat de AP nu zelf oproept geen klachten meer in te dienen, is het aannemelijk dat de AP de ernst van de situatie inmiddels wel begrijpt.

De AP verwijst burgers verder naar het tipformulier voor als klanten toch 'aanvullende informatie' hebben. Ook verwijst de toezichthouder naar een informatiepagina voor slachtoffers van datalekken, waar onder andere staat wat ze kunnen doen. Daar staat bijvoorbeeld ook in onder welke omstandigheden een schadevergoeding kan worden uitgekeerd. Tweakers schreef daar onlangs een achtergrondartikel over.

Autoriteit Persoonsgegevens interview

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 20-02-2026 07:34 147

20-02-2026 • 07:34

147

Lees meer

3 dagen geleden

Hoe kansrijk is een schadeclaim na het datalek bij Odido?

292
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Datalek Nederland Odido

Reacties (147)

-Moderatie-faq
147
143
63
10
0
68
Wijzig sortering

Sorteer op:

Weergave:
ro8in 20 februari 2026 08:03
Ze houden het scherp in de gaten? How about gewoon hier een zaak van maken, want Odido lijkt het allemaal niet zo erg te vinden en vrij weinig verantwoordelijkheid te willen nemen. Als Odido met dit gedrag gewoon weg komt met een foei! dan mogen ze wat mij betreft die hele AP opdoeken, want dan vraag ik mij echt af wat het hele nut van dit orgaan is.

Bedrijf lekt miljoenen gegevens inclusief identiteitsdocumenten nummers, gegevens die in combinatie best wel wat risico opleveren. Dan zegt het bedrijf op voorhand al eigenlijk financieel niemand te zullen bijstaan en dat je maar goed moet opletten de komende tijd en gaat vrolijk verder met business as usual. En dan reageert de AP met ja we houden de situatie scherp in de gaten. Welke situatie is er nog in de gaten te houden? Het ergste is al gebeurd, tijd voor actie zou ik zeggen.

En dan heb ik het niet over een boete van 120.000 welke Odido lachend betaald. Gewoon verplichting om elke klant die zegt schade hiervan te hebben geleden bij te staan financieel, dan wel juridische hulp of wat dan ook, tot het voor deze klant is opgelost. Misschien dat andere bedrijven hiervan zullen leren dat je niet klant gegevens maar overal kan laten slingeren alsof het een pakje Pokemon kaarten is.

Het mag duidelijk zijn dat we op deze manier niet door kunnen blijven gaan, hoe vaak moeten gegevens nog gelekt worden voordat er eindelijk eens actie ondernomen wordt. Medicijnen worden op de markt gebracht met minder studies die aantonen dat ze werken dan het aantal keren dat er data lekken zijn geweest en de overheid nog steeds niet wil erkennen dat er een probleem is wat snel aangepakt moet worden.

[Reactie gewijzigd door ro8in op 20 februari 2026 08:12]

Reageer
Zanthr @ro8in20 februari 2026 08:14
En toen ging het bedrijf failliet en ben je als klant gewoon toch zelf de dupe. Want je betaalt dit uiteindelijk allemaal zelf als consument.
Reageer
ro8in @Zanthr20 februari 2026 08:19
Dan gaan ze maar falliet en bedenken andere bedrijven zich wel 2 keer naar de toekomst toe. Ik zou er totaal niet om rouwen als Odido verdwijnt als dat ervoor gaat zorgen dat bedrijven hier minder laks in gaan worden. Ik heb echt geen emotionele band met Odido ofzo, het is maar een provider, genoeg andere keuze op de markt.

Ze zouden op zijn minst de mogelijkheid moeten bieden om vroegtijdig je contract te mogen ontbinden, zodat je in iedergeval direct over kan stappen naar een provider waar je het gevoel hebt dat je gegevens veiliger opgeslagen staan.
Reageer
bzuidgeest @ro8in20 februari 2026 08:39
Ik zou het wel vervelend vinden als ik door jou emotionele reactie meer ga betalen.

Dit soort dingen gebeuren continue en overal. Social engineering is ook moeilijk tegen te wapenen.


Ik zie weinig in iedereen betalen die beweert schade te hebben. Ik vind dat ze odido moeten dwingen een identiteits fraude verzekering te geven aan alle klanten voor de komende jaren.
De enige schade die mensen verder hebben is eventueel het aanvragen van een nieuw identiteit document. Je adres en email is ongetwijfeld al lang ergens op het internet te vinden in een van de duizenden lekjes. Al is het maar van vrienden die het weer aan anderen geven doorgeven of gehacked zijn geweest.
Reageer
ro8in @bzuidgeest20 februari 2026 08:43
Dat ben ik helemaal niet met je eens. Je kan gegevens prima opslaan op een manier dat deze niet in te zien zijn en alleen op het moment dat ze nodig zijn, bijvoorbeeld om de persoon te identificeren gecontroleerd kunnen worden door bijv hashes te vergelijken. Voor wachtwoorden is dat al jaren de standaard, maar voor belangrijke identiteitsdocumenten en dat soort zaken is clear text opslag geen enkel probleem?

Ik hoop dat je hoort wat je zegt, alsin jij vind het dus wel oke dat je gegevens op straat komen te liggen met alle risico's van dien voor een mooie korting?

En over de schade, schade kan ook gevolgschade zijn. Oma die nu een E-mail krijgt met al haar gegevens volledig kloppend en daardoor de link klikt en vervolgens haar spaarrekening leeggehaald wordt. Ik noem maar even een voorbeeld, niet om een discussie te starten nu of dit wel of niet zou kunnen gebeuren. Schade hoeft niet perse direct gelinkt te kunnen worden hier aan, maar wel een gevolg zijn op het lek wat hier begon.

Deze gegevens zijn niet zomaar geld waard op de zwarte markt!

[Reactie gewijzigd door ro8in op 20 februari 2026 08:53]

Reageer
twkr18526 @ro8in20 februari 2026 09:01
Daarnaast is het kwalijk als Odido ook tegen hun eigen regels in, nog persoonsgegevens bewaren als je al heel lang geen klant bent. Ik was al jaren geen T-Mobile klant en toch kreeg ik dit mailtje:
Hieronder lees je concrete situaties waarvan we je vragen om hierbij extra op te letten:

Met je naam, adres, telefoonnummer, e-mailadres en rekeningnummer kunnen cybercriminelen je proberen te benaderen waarbij zij zich kunnen voordoen als iemand van Odido, je bank of een andere organisatie. Blijf daarom altijd alert op dit soort telefoontjes, sms’jes, appjes of e-mails.
Vervolgens probeer ik mijn gegevens via mijn Odido in te zien en zat ik een loop. Ze laten mij, m’n eigen gegegens niet inzien, maar ze hebben het wel kunnen lekken?
  • Gegegevens opvragen via https://odido.nl/privacy
  • Laatste factuurbedrag en 4 cijfers rekeningnummer nodig
  • Die weet ik niet meer, zo lang geleden
  • PDF facturen werden niet verstuurd, moest daarvoor inloggen op Mijn T-Mobile.nl toen
  • Inloggen Mijn Odido lukt niet. Password reset nodig op email adres.
  • Verificatie code via SMS ontvangen
  • Geen facturen te zien, omdat er geen nummer gekoppeld is aan mijn account (Ze hadden blijkbaar wel mijn email + nummer gekoppeld in hun systeem, want SMS verificatiecode)
Dan zou ik dus mijn bankafschriften moeten bekijken van welke rekening het toen afgeschreven is. Die gaan niet zo ver via de app, dus moet ik bij een paar banken een bestelling doen om de historie te kunnen downloaden.

Zo jammer, dat Odido de indruk wekt dat ze je privégegevens niet meer hebben, doordat je als klant je eigen gegevens niet kan inzien. En intussen kunnen ze het wel lekken?

Dan moeten ze toch echt even doorgelicht worden hoe ze met persoonsgegevens omgaan. En moet het AP juist wel actief een onderzoek doen.
Reageer
Harrie-Handbak @twkr1852620 februari 2026 09:56
Ik ben een jaartje klant geweest. En heb een request for deletion aangevraagd (lijkt me niet heel moeilijk gezien het feit dat ze de data niet veilig hadden staan). 8 update mailtjes verder over een tijdsperiode van 6 maanden dat ze er nog steeds mee bezig zijn….. dus die liggen nu ook op straat.
Reageer
Cilph @twkr1852620 februari 2026 10:55
Erger: Ik zit al tien jaar bij ze voor mobiel en thuis en ik heb nul komma nul mails of inlichtingen gehad over een datalek.
Reageer
bzuidgeest @ro8in20 februari 2026 08:52
Ik val in die dataset en ik maak me er niet te druk over. Het eventuele document nummer dat ze hebben is verlopen. Mijn adres en email zijn op duizenden plekken bekend en ongetwijfeld gelekt. Het zijn publieke gegevens waar mij betreft.
En dat opslaan idee van jou werkt niet. Want iemand moet erbij kunnen, dat betekend dat een hacker, via social engineering, er ook bij kan. Wachtwoorden bashen we en kunnen niet meer terug naar plain tekst. Maar dat werkt niet voor een adres. Je kan geen post sturen naar een hash. Misschien werkt het voor het document nummer, maar dat is wettelijk vaak nodig in zijn originele vorm.
Een vergoeding van een nieuw document is genoeg voor hen die dat willen. 25 euro klaar. Het feit dat je überhaupt iets kan met een document nummer is de fout van de overheid. Je zou niets moeten kunnen met een nummer dat op een kaartje zichtbaar is.
Reageer
Centurion183 @bzuidgeest20 februari 2026 09:28
Ze hadden de beveiliging helemaal niet op orde, dit had eenvoudig veel lastiger gemaakt kunnen worden.
Als ze een IT'r hadden aangenomen die specifiek hierop let, dan was dit veel moeiljker geweest.
Het is echt een koud kunstje om zoiets aan te zetten dat als er een login komt van een, voor die gebruiker, vreemd land, vanaf een vreemde pc, om dan extra veiligheidsmaatregelen te nemen. MFA prompts alleen toestaan vanaf Intune compliant devices vbijvoorbeeld.

Men heeft dagen lang records kunnen scrapen, dit had iemand al veel eerder moeten zien.
Nog wat maatregelen die ik zo uit mijn mouw schudt die dit waarschijnlijk hadden kunnen voorkomen of de impact veel kleiner hadden gemaakt:
- Monitoring op abnormaal gedrag. (geografisch, abnormale tijden, abnormale hoeveelheid records inzien)
- LEast privilige access (call centre medewerkers hadden toegang tot veel te veel data).

- Phishing restistant logins (via yubikey bijvoorbeeld en WHFB), iig voor mederwerkers met veel rechten.
- Goed ingerichte Conditional access regels.
- Externe call centre's hadden dezelfde rechten (meen ik gelezen te hebben), als je hier duidelijke sessie limieten op zet kunnen ze veel minder data buit maken. Sowieso sessie limieten instellen, want een medewerker hoeft geen duizenden records per uur op te vragen doorgaans.

Dat jij je geen zorgen maakt en het geen probleem vindt, nou ik vindt het wel zorgelijk dat een groot bedrijf niet een extra mannetje kan inhuren die dit goed inricht voor ze. Dat had zoveel ellende kunnen schelen.
Ik vind het ook jammer dat mede tweakers dit gevoel niet delen eerlijk gezegd. Maar goed, ieder het zijne en ik accepteer dat jij het geen probleem vindt. Maar ik vind dat grote bedrijven wel actief werk moeten maken van de security, doen ze dat niet dan mogen ze financieel hard geraakt worden.
Reageer
bzuidgeest @Centurion18320 februari 2026 09:57
Lastiger is niet onmogelijk. Al die hindernissen die jij noemt? Het neem 1 corrupte medewerker om ze te omzeilen.

Odido hard raken is uiteindelijk alleen maar schadelijk voor de consument. De aandeelhouders lopen lachend weg. Je krijgt een +2 omdat je de emotie goed illustreert. Maar dat zet geen zoden aan de dijk.

De overheid zou gevoelige zaken achter digid hebben moeten zitten. Ook bij odido. Daarmee kan je identificeren zonder documenten achter te laten. En waarom kan je uberhaupt iets met een plain text nummer op een pasje? De fout ligt bij de overheid. (en ja ook bij odido), maar straffen voor lekken is reactief. Regels vanuit de overheid en voorkomen is preventief. Veel beter. Laat de overheid bij lekken een identiteit fraude verzekering betalen voor die klant verplicht stellen. Veel beter dan maar boete roepen. Kan de mensen die het spul leiden niets schelen. Die hebben hun geld al. En odido word de dag erna gekocht door odido2 met dezelfde mensen aan de top.
Reageer
J_van_Ekris @bzuidgeest20 februari 2026 10:34
De overheid zou gevoelige zaken achter digid hebben moeten zitten. Ook bij odido. Daarmee kan je identificeren zonder documenten achter te laten.
Dat zou inderdaad een betere oplossing zijn. Of een opdracht signen via de chip op je ID. Dan is het antwoord van de overheid dat dit "Burger X" is voldoende. En het verhoogd zelfs de beveiliging omdat je look-alike fraudevormen uitsluit.
En waarom kan je uberhaupt iets met een plain text nummer op een pasje?
Achteraf was dat voor mij ook de realisatie. Dat bankrekeningnummer staat plaintext op pasjes. Bij bedrijven zelfs op het briefpapier. Zo geheim is dat niet eens.

Zaken als automatische incassos moeten dan wellicht strakker geautoriseerd worden. Maar dat is aan de banken en de partijen die dat gebruiken.
Reageer
Centurion183 @bzuidgeest20 februari 2026 10:39
Straffen is een signaal aan andere bedrijven om de security wel op orde te krijgen.
En hacken komt veel vaker voor dan een corrupte medewerker.
als je goede maatregelen neemt dan is de kans op een hack veel lager en als het gebeurd de impact veel kleiner.
De maatregelen die je noemt, gevoelige data achter een digid achtig iets zetten, is inderdaad een goede maatregel.
En de zaken die ik noem zijn vooral praktisch en het had in dit geval de hack waarschijnlijk kunnen vorkomen. Dan doel ik voornamelijk op de phishing restistant login/mfa. Least privilage access principe n goede monitoring op geografische locaties, toegangstijden en scrapinglimieten.

Echt waar, neem 2 goede medewerkers aan en ze kunnen dit soort zaken al goed aanpakken. Er is veel te weinig focus op security, wat maakt het uit, er zijn toch geen gevolgen voor ze. (want geen of een zeer lage boete).

Wat betreft de corrupte medewerkers. Ik werk bij een GGZ instelling en als je informatie bekijkt van een client waar je helemaal niet naar hoeft te kijken, dan volgt onmiddellijk ontslag. Zoiets moet binnen een grote organisatie ook mogelijk zijn. Dit kan bijna volledig automatisch mits goed ingericht.

[Reactie gewijzigd door Centurion183 op 20 februari 2026 10:41]

Reageer
ro8in @bzuidgeest20 februari 2026 08:55
Waarom zou iemand zonder mij in het bijzijn erbij moeten kunnen dan precies? Deze gegevens worden alleen opgeslagen ter identificatie toch. Dus op het moment dat ik erbij ben en ik mijn documentnummer opnoem dan hoeven hun alleen maar te kijken of de hash die daar dan uitkomt hetzelfde is als de hash die bij hun opgeslagen is. Er is verder geen enkele reden dat hun dit leesbaar hoeven op te slaan.

Net zoals hoe dat met wachtwoorden werkt. Wanneer jij deze intypt in een login formulier, dan wordt daar een hash van gemaakt en die hash moet dan overeenkomen met de hash die bij hun opgeslagen zit. Komt de hash niet overeen dan heb jij dus je wachtwoord verkeerd ingetoetst. Datzelfde kan ook prima met gegevens die opgeslagen liggen met enkel als identificatie doel.

En dat het toevallig voor jou geen probleem is omdat jouw identiteitsnummer toevallig al verlopen was is natuurlijk wel echt een non argument.

[Reactie gewijzigd door ro8in op 20 februari 2026 08:59]

Reageer
bzuidgeest @ro8in20 februari 2026 08:58
Dat is dus alleen voor het document nummer en ik stel dat het daarvoor zou kunnen werken. Maar in deze hack zitten ook adressen en emails en de rest en daarvoor werkt dat niet.
Er is ook geen wet die het vereist, dus daarvoor moet je echt naar Den Haag kijken. Die hebben ook de noodzaak voor odido om het nummer te hebben veroorzaakt.
Reageer
ro8in @bzuidgeest20 februari 2026 09:14
Ook voor adressen en e-mail adressen is er een oplossing om dit veiliger op te slaan. Je kan die in iedergeval los van elkaar opslaan waarbij je ook los toegang moet verkrijgen om deze in te zien, dat maakt het in iedergeval al wat moeilijker. Maar zoals gezegd dit soort gegevens 100% beveiligen is inderdaad wat lastiger, want dit zijn gegevens die inderdaad zichtbaar moeten zijn. Hoe gaan ze je anders de factuur toesturen.

Als alleen mijn NAW gegevens gelekt waren had ik het ook minder erg gevonden, alhoewel ik nog steeds vind dat ook die gegevens secuur mee omgegaan moet worden, maar dan schaarde ik mij misschien zelfs nog onder jouw groep van geef Odido een fikse boete en ja helaas is dit niet 100% uit te sluiten, tenzij we overgaan op bijvoorbeeld een systeem dat bij PostNL hun mijn adres gegevens hebben gekoppeld aan een hash en bij Odido die hash gekoppeld hebben aan mij als gebruiker, dan zou je al beide bedrijven moeten hacken om deze gegevens gecombineerd te kunnen zien. Maar dat is misschien wat overkill. Als je heel ver wil gaan zou je hier zelfs een 3e partij tussen kunnen zetten die 2 verschillende hashes aan elkaar koppelt. Dan wordt het wel heel lastig om deze gegevens nog gecombineerd te krijgen.

Edit:
Eigenlijk nu ik dit zo schrijf en erover nadenk wat ik schrijf vind ik misschien stiekem wel dat dit gewoon zo zou moeten werken haha

Alleen het gaat hier echt om het totaal pakketje van gegevens, dus naast de standaard NAW gegevens ook je bankrekeningnummer, identiteitsdocument nummers en ik vraag mij ook sterk of of hier niet nog meer onder valt welke Odido misschien geen persoonsgegevens vind en daardoor niet benoemen, zoals welke GSM mast je vaak op verbonden zit, Imei numers, simkaart nummers etc. Ik denk dat wij de komende tijd nog wel meer te horen gaan krijgen over wat er nog allemaal meer in deze bundel over jou op de zwarte markt straks te koop is zit.

[Reactie gewijzigd door ro8in op 20 februari 2026 09:29]

Reageer
bzuidgeest @ro8in20 februari 2026 09:40
Ik ga er even vanuit dat odido eerlijk is over wat er is gelekt en dan vallen imei en dingen als wat jij allemaal noemt daar niet onder.

Ik kan je wel enigzins volgen, maar ik denk dat het grote probleem is dat mensen bang zijn dat er fraude word gepleegd met die gegevens. Dat kan odido dekken met een verzekering.

Ik vind echter dat niet zozeer odido te kort schiet als wel de overheid. De overheid stelt identificatie verplicht voor een hoop dingen, echter ze hebben nagelaten om dat te verplichten op een veilige manier. Waarom zou odido niet gewoon met digid kunnen werken voor alle dingen. Waarom werkt alles niet met digiD? Als je niets met die gegevens kan dan een beetje spammen worden ze een stuk minder waardevol. Lekken gaat altijd gebeuren zolang mensen iets in kunnen zien. Wat je wel kan voorkomen is dat ze er iets mee kunnen. En dat is aan de overheid. Een bsn nummer zou je 0 mogelijkheden moeten geven. Het zou niet waardevoller dan een database Id moeten zijn. Dat is de fout van de overheid.

[Reactie gewijzigd door bzuidgeest op 20 februari 2026 09:40]

Reageer
ro8in @bzuidgeest20 februari 2026 09:49
Tja, maar waarom moet altijd alles door de overheid opgelost worden? Dit zou ook gewoon onderdeel van je business plan moeten zijn en de kosten hiervan moet je dus dan ook hier in mee nemen. Als deze niet in het plaatje passen dan heb je dus misschien een verkeerd business model. Als bedrijf wil je toch ook graag dat de gegevens van jou klanten goed beveiligd zijn ongeacht of dat wel of niet verplicht is, want je wil toch graag top kwaliteit service leveren? Kuch kuch.

Overigens begon mijn eerste reactie ook vooral als klacht naar de AP en niet zozeer Odido zelf. Maar conclussie die ik momenteel vooral heb is dus dat beide gewoon behoorlijk nalatig zijn op dit moment. En het enige wat ik wil is een goede oplossing voor consumenten. Of dat nou vanuit de overheid of vanuit het bedrijfsleven zelf komt boeit mij verder eigenlijk niet zo. Links of rechtom moet er iets gaan gebeuren, maar ik ben gewoon beetje klaar ermee dat telkens mijn gegevens op straat komen te liggen en ik maar gewoon beter moet opletten, terwijl ik zonder deze gegevens te verstrekken ik nergens gebruik kan maken van allerlei diensten omdat of overheid een bedrijf verplicht hierom te vragen of een bedrijf overbodig gegevens vraagt. Het moet gewoon opgelost worden nu!
Reageer
bzuidgeest @ro8in20 februari 2026 10:00
maar waarom moet altijd alles door de overheid opgelost worden
Omdat bedrijven zonder dat geen incentive hebben. En het AP heeft geen middelen en geen geld.

Aandeelhouders en directeuren hebben hun schaapjes op het droge die kan het niets schelen. Voor hun is het een rekensom. Gaat odido vandaag kapot dan kopen diezelfde mensen morgen het bedrijf en noemen het odido2. Niets veranderd.

De overheid stelt de eisen en moet ze controleren, dat is hun taak.
Reageer
ro8in @bzuidgeest20 februari 2026 10:14
Ja maar eigenlijk kom je dan uit op de discussie dat wij als consumenten dit soort bedrijven helemaal niet zouden moeten supporten. Helaas zoals je zelfs hier in de reacties wel beetje terug ziet is toch de prijs nog vaak bij veel mensen de doorslaggevende factor. Ik vind het onbegrijpelijk dat er mensen zijn bij wie het eerste wat in hun opkomt is dat ze bang zijn om straks hun goedkope abbonnement te verliezen in plaats van zich druk maken over dat voor de zoveelste keer prive data van hun weer op de zwarte markt te koop staat. Maar ja zo zullen hun zich weer afvragen waar ik mij zo druk over maak, iedereen is anders. Het zijn niet alleen aandeelhouders die alleen op geld uit zijn. Grotendeel van de consumenten kan het eigenlijk ook weinig schelen als de prijs maar lekker laag is. Hier op Tweakers krijg ik een hoge moderatie score omdat er over het algemeen hier meer mensen zitten die wat meer denken zoals ik. Maar ik denk dat ik op een site als nu.nl helemaal omlaag naar me moeder gemodereerd zou worden haha. Tweakers publiek blijft natuurlijk gewoon een niche in het grote plaatje.

Het is jammer dat het zo is, maar helaas werkt het wel zo in de wereld. Er wordt vaak geklaagd naar dat aandeelhouders alleen maar op geld uit zijn, maar voor veel consumenten is dat eigenlijk niet anders.Terwijl daar in massa eigenlijk veel meer kracht zou liggen dan bij aandeelhouders. Alleen iedereen heeft eigenlijk al geaccepteerd dat consumentengedrag niet zal veranderen dus wijzen wij liever naar de aandeelhouders en als die niet willen luisteren moet de overheid het maar doen. Maar uiteindelijk zonder consumenten hebben de aandeelhouders ook niks.

Het is beetje het kip en het ei verhaal, je weet dat als jij bewust niet kiest voor een bepaald bedrijf omdat je het eigenlijk oneens bent met hun handelen, dat je toch geen enkel verschil maakt. Dus doe je het maar niet want wat maakt het uit, maar daardoor blijf je onderdeel van het probleem en denkt de rest ook zo. En is het beetje een vicieuze cirkel die zo door blijft gaan. Aandeelhouders weten dat en doen aan hun kant dan weer net zo hard mee.
Ja en ik doe er zelf ook aan mee, bestel af en toe bijv wel eens iets van Aliexpress en dergelijke omdat het zo goedkoop is en dan neem ik verder totaal niet de moeite om eigenlijk te kijken welk bedrijf erachter zit en of het niet goedkoop is om redenen waar ik totaal niet achter sta. Onbewust wil ik het liever niet weten en druk ik op de bestel knop en maak mij er verder niet druk over meer. Ik ben ook gewoon die consument waardoor er eigenlijk niks verandert.

De vraag aan een kant is zo goedkoop mogelijk en aan de andere kant zoveel mogelijk winst. En krijg je dus een systeem van vraag + aanbod waar dit soort nalatigheid en narigheid van komt, terwijl er in de meeste gevallen wel degelijk oplossing voor zijn, maar dat betekent dan weer dat de prijs omhoog moet en de winst omlaag en dat wil niemand natuurlijk.

[Reactie gewijzigd door ro8in op 20 februari 2026 10:33]

Reageer
J_van_Ekris @ro8in20 februari 2026 10:39
Waarom zou iemand zonder mij in het bijzijn erbij moeten kunnen dan precies? Deze gegevens worden alleen opgeslagen ter identificatie toch. Dus op het moment dat ik erbij ben en ik mijn documentnummer opnoem dan hoeven hun alleen maar te kijken of de hash die daar dan uitkomt hetzelfde is als de hash die bij hun opgeslagen is. Er is verder geen enkele reden dat hun dit leesbaar hoeven op te slaan.
Je hebt echt een totaal verkeerd beeld van de rol van dat id-nummer. Als blijkt dat een abbonement fraudleus is afgesloten (bijvoorbeeld om het toestel) dan is dat documentnummer onderdeel van de aangifte bij politie. Die kan aan de hand daarvan persoonsgegevens eenduidig vaststellen on een onderzoek te starten. Een hash is dan waardeloos.

Overigens: dat documentnummer is random en betekenisloos. Je kunt er als het goed is absoluut niets mee. Odido legt het vast om zo de koppeling naar een uniek ID te leggen. Maar zonder het daadwerkelijke ID is het nummer nutteloos voor Odido en andere partijen.

[Reactie gewijzigd door J_van_Ekris op 20 februari 2026 10:40]

Reageer
Dennism @ro8in20 februari 2026 09:12
Schade hoeft niet perse direct gelinkt te kunnen worden hier aan, maar wel een gevolg zijn op het lek wat hier begon.
Volgens mij is dat echter binnen onze wettelijke kaders wel een vereiste om schade te kunnen claimen. Daar wij hier werken met een systematiek van werkelijk geleden schade, en niet zoals in andere landen waar ook 'what if' of 'punitive damages' geclaimed kunnen worden.

Ik vermoed dus dat je een schade in de toekomst wel moeten kunnen linken aan deze gebeurtenis zonder dat er gerede twijfel kan bestaan dat de schade ook door een andere onzorgvuldigheid van jezelf of andere 3de partij kan ontstaan zijn.
Reageer
CaptainKansloos @ro8in20 februari 2026 09:16
Voor wachtwoorden is dat al jaren de standaard, maar voor belangrijke identiteitsdocumenten en dat soort zaken is clear text opslag geen enkel probleem?
Je doet de willekeurige aanname dat de opslag in cleartext was. Dat is helemaal geen vaststaand feit. Via phising zijn wachtwoorden achterhaald; via social engineering zijn 2FA codes bemachtigd; dat is wat weten. Op basis van die gegevens zijn de 'daders' niet meer security technisch te onderscheiden van 'medewerkers'. Encrypted opslag doet er dan helemaal niet meer toe; daar kunnen medewerkers dan ook gewoon bij.

Wat (mogelijk) verwijtbaar is, is dat er zulke grote hoeveelheden data is kunnen lekken. Rate-limiting had hier minstens (vanuit het perspectief van: helpdeskmedewerker = slachtoffer) op zijn plaats geweest.

Waar ze precies allemaal bij konden is voer voor discussie, maar direct afhankelijk van de bevoegdheden van de accounts die gehackt zijn. Mogelijk waren die niet allemaal 'gelijkwaardig'. Of hebben ze een 'privalige escalation' kunnen uitvoeren op basis van wat ze al bemachtigs hadden, maar dat is ook allemaal speculatie; daar heb je niks aan op dit moment.

Ik stoor me wel een beetje aan de toon in de comments: "Ze moeten zwaar boeten / dikke schadevergoeding betalen / laat ze maar failliet gaan / etc" dat helpt m.i. niks. Dat is wat mij betreft vooral "heel boos met het vingertje naar een ander wijzen". Niet dat Odido niks verwijtbaar is, maar het is 'tegenwoordig' ook wel de norm om he-le-maal los te gaan op dit zsoort zaken, terwijl de helft van het verhaal nog niet in beeld is.

Ik zou b.v. liever zien dat Odido openheid van zaken geeft; een soort forensisch inzicht is van wat er wanneer is gebeurt en waarom ze gegevens tot zo ver terug in de tijd hebben bewaard. Daar kunnen we allemaal van leren.

En boetes: maybe. Schadevergoedingen: niet heel realistisch denk ik. N.B. Ik ben zelf 'slachtoffer' via zowel Ben als Odido.
Reageer
J_van_Ekris @CaptainKansloos20 februari 2026 10:25
Wat (mogelijk) verwijtbaar is, is dat er zulke grote hoeveelheden data is kunnen lekken. Rate-limiting had hier minstens (vanuit het perspectief van: helpdeskmedewerker = slachtoffer) op zijn plaats geweest.
Voor mij ook inderdaad het enige echte vraagteken. In de shops zie ik dat ze een soort webportal hebben. En medewerkers daar en bij helpdesks moeten de meest wilde vragen kunnen afhandelen. Dus dat die veel kunnen zien is op zich niet vreemd. En er zijn veel helpdesk medewerkers, dus dat een phishing aanval een keer lukt is op zich niet vreemd (wet van de grote getallen).
Ik stoor me wel een beetje aan de toon in de comments: "Ze moeten zwaar boeten / dikke schadevergoeding betalen / laat ze maar failliet gaan / etc" dat helpt m.i. niks. Dat is wat mij betreft vooral "heel boos met het vingertje naar een ander wijzen". Niet dat Odido niks verwijtbaar is, maar het is 'tegenwoordig' ook wel de norm om he-le-maal los te gaan op dit zsoort zaken, terwijl de helft van het verhaal nog niet in beeld is.
Dit dus. Men neemt blindelings aan dat Odido zijn zaken niet op orde heeft. Pak de hooivorken maar en we gaan ze eens aan het kruis nagelen.

Ze zijn gehackt omdat één (van de duizenden?) medewerker in een social engineering aanval is getrapt. Het is zeker zorgwekkend dat één geslaagde poging tot deze omvang kan escaleren. Maar we weten niet hoe goed dit in het routinematige verkeer verstopt is geweest en wat reactietijden zijn. Kan best zijn dat er wel degelijk op gemonitord en gealarmeerd wordt, maar dat dit via te trage kanalen wordt afgehandeld (niet via het SOC). Allemaal zaken die belangrijk zijn voor Odido en andere partijen om van te leren.
Reageer
J_van_Ekris @ro8in20 februari 2026 10:15
Je kan gegevens prima opslaan op een manier dat deze niet in te zien zijn
Wat ik van de hack begrijp is die via helpdeskmedewerkers gegaan. Die moeten een hoop kunnen zien om mensen te helpen. Dat is het fundamentele probleem met helpdesks: ze kunnen de meest wilde vragen krijgen.
maar voor belangrijke identiteitsdocumenten en dat soort zaken is clear text opslag geen enkel probleem?
Zoals ik het begrijp zijn het alleen nummers van identiteitsbewijzen. Random getallen op een paspoort of rijbewijs. En die moeten plain text want bij fraude wordt die info overgedragen aan de politie.
Reageer
t14wo @bzuidgeest20 februari 2026 08:55
Hoe ga je hiertegen verzekeren? Hoe bewijst de gedupeerde dat het Odido lek tot schade heeft geleid?

[Reactie gewijzigd door t14wo op 20 februari 2026 09:26]

Reageer
bzuidgeest @t14wo20 februari 2026 08:59
Tja identiteit fraude verzendingen zijn gewoon op de markt. Enige wat je hoeft te bewijzen is dat er fraude is. Niet hoe of via wie. Dus odido kan dat voor zijn klanten afsluiten. Dit wordt vaker gedaan bij hacks.
Reageer
bapemania @bzuidgeest20 februari 2026 09:02
Vergeet vooral ook niet dat Odido heeft toegegeven dat ze klantdata véél langer hebben bewaard dan wettelijk noodzakelijk en langer dan zijzelf aangeven klantdata te bewaren. Ja hacks kunnen gebeuren maar de omvang van deze hack was een stuk kleiner geweest als Odido zijn eigen beleid zou uitvoeren, dat is enkel en alleen Odido aan te rekenen.
Reageer
bzuidgeest @bapemania20 februari 2026 09:06
Ja dat stuk heb je helemaal gelijk in. Dat ga ik niet ontkennen. Maar hoeveel kleiner dat de set zou hebben gemaakt... Ik denk misschien niet zo heel veel. En de kans is groot dat die gegevens verouderd zijn. Mensen verhuizen en zo. Documenten verlopen.
Reageer
SirMemeAlot @bzuidgeest20 februari 2026 08:56
Geef mij eens een voorbeeld van waar 6,2 miljoen gegevens zijn gestolen en de hoeveelheid van data per persoon. Deze hack is uniek binnen Nederland. Het gaat niet alleen op email + adres maar ook paspoort gegevens van personen die in sommige gevallen ook allang verwijderd hadden moeten zijn volgens hun eigen voorwaarden.

Zo blijkt maar weer dat alles te koop is, zolang we er zelf maar warmpjes bij zitten.
Reageer
bzuidgeest @SirMemeAlot20 februari 2026 09:04
Leuke sneer aan het einde, maar dat zie je overal bij iedereen voor allerlei redenen.
En voorbeelden van hacks van die schaal kan je wereldwijd overal vinden. Ik kijk niet alleen maar Nederland


Je hebt gelijk dat die gegevens die al verwijderd hadden moeten zijn, wel tot een boete zouden moeten leiden.
Maar je druk maken over email en adres? Die gegevens zijn overal te vinden. De data markten staan er vol van. Wellicht zelfs niet via hacks maar bedrijven als Facebook en Google etc. Mensen geven die gegevens zelf weg.
Reageer
SirMemeAlot @bzuidgeest20 februari 2026 09:16
Niet bij 'iedereen' maar bij veel, dat is wel even belangrijke nuance. Je roept dat het overal kan vinden, kom dan eens met paar voorbeelden? Besides, het voelt ook wel erg aan. Hij deed het toch ook, dus waarom mag ik dat dan niet.

Dit is precies de reden waarom dit soort hacks blijven gebeuren, omdat het ons niet boeit tot we gevolgen voelen. Maar eerder weigeren we een paar euro in de maand meer te betalen voor veiligheid van onze gegevens. Ik heb tegenwoordig mijn zaken gescheiden voor bijv. forums of shopping en belangrijke zaken als bankieren/verzekeringen/gezondheid etc. Die 2e is nog nergens gehackt, de 1e uiteraard wel op meerdere plaatsen. Dus dat alles overal maar bekend is klopt ook niet.
Reageer
bzuidgeest @SirMemeAlot20 februari 2026 09:50
Ik heb niet het idee dat meer betalen de veiligheid verhoogd. Verdwijnt gewoon bij de aandeelhouders.

Die 2e verkoopt gegevens en alhoewel die technisch vaak anoniem zijn is het verbazend wat je kan relateren als je genoeg naast elkaar legt.

Ik denk niet dat hacks voorkomen kunnen worden, ik zie meer heil in voorkomen dat ze iets kunnen met die gegevens. Dat betekend bij mij dat je overal waar het belangrijk is gewoon iets als digid moet gebruiken. Een nummer dat plain text op een pasje staat zou nooit voor ook maar iets voldoende moeten zijn. En dat is de overheid zijn fout.

Net als de overheid een regel kan maken dat bij een lek het bedrijf verplicht is je te verzekeren tegen identiteit fraude voor X jaar.
Reageer
fifanoob @bzuidgeest20 februari 2026 09:31
Het is overal te vinden omdat men al jarenlang onbestraft dit maar laat gebeuren. Op moment dat je hier flinke consequenties aan hangt zullen bedrijven de noodzaak wel in zien.
Nu Denkt odido ach, boeie, we zijn gehackt konden we niks aan doen.
Op moment dat ze dit ik noem maar wat 250 euro per klant kost gaan ze kopje onder en dan denken bedrijven voortaan wel, Die 50 mil investering om dit goed te regelen is het wel waard. Nu denken bedrijven nog steeds, achja het kost ons toch geen geld als we gehackt worden.
We laten het al jaren toe dat er zo slap over gedaan wordt. Ik ben dat spuugzat.
En dan kan jij wel zeggen het is al overal bekend, ja omdat mensen zoals jou gewoon lekker hun schouders ophalen en het niet boeit. We moeten met ze allen hier tegen verweren en eisen stellen.
AP kan wel zeggen om geen klachten meer in te sturen, maar ik raad iedereen het aan om het wel te doen. Ze moeten gewoon aan het werk gaan en dit eens serieus nemen! En als Odido hierdoor failliet gaat gaan bedrijven in de toekomst hier wel scherper op zijn. Dat zou eens tijd worden.
Reageer
bzuidgeest @fifanoob20 februari 2026 09:53
Zelfs als je een dikke boete geeft. De aandeelhouders hebben hun geld al, de data is al weg. Het is de put dempen als de koe verdronken is.

Laat de overheid zorgen dat ze niets kunnen met de data. Alles wat belangrijk is via digid, niet via een nummer opnoemen dat plain text op een kaart staat. Laat de overheid verplichten dat bij een lek ze ieder slachtoffer identiteitfraude verzekering moeten geven voor X jaar.

Dat zijn preventieve oplossingen. Achteraf straffen, straf je uiteindelijk alleen de consument mee.
Reageer
fifanoob @bzuidgeest20 februari 2026 10:18
Tot ze failliet gaan en de aandelen niks meer waard zijn. Reken maar dat bedrijven er dan wel prio op zetten.
Reageer
Dennism @SirMemeAlot20 februari 2026 09:17
Is er trouwens al bekend wat er nu daadwerkelijk is gestolen. Uit de berichtgeving die ik gevolgd heb ik, is immer voor zover ik het begreep niet gebleken dat al deze gegevens van 6.2 miljoen klanten gestolen zijn, enkel dat van 6.2 miljoen mensen (een deel van) deze gegevens mogelijk in het systeem stonden en mogelijk geraadpleegd zijn.


Om de werkelijk geleden schade te bepalen zal je echter wel moeten weten wat er exact gestolen is, en niet 'misschien' of 'mogelijk'. Echter vermoed ik dat dit onderzoek nog wel even zal duren voordat ze uitgezocht hebben welke data de gecompromitteerde medewerker accounts daadwerkelijk hebben geraadpleegd in de periode dat er onbevoegde toegang is geweest.

[Reactie gewijzigd door Dennism op 20 februari 2026 09:19]

Reageer
Uruk-Hai @ro8in20 februari 2026 08:36
Ik ben er wel rouwig om als Odido verdwijnt, want ik krijg via hen heel veel data + snelheid voor een opmerkelijk lage prijs, zeker omdat ik zowel mobiel Ben heb en voor thuis Odido Klik & Klaar, waardoor ik ook nog eens combikorting heb.

Odido is zeker niet zomaar een van de vele providers op de markt. Zoveel waar voor zo weinig geld vind je bij andere providers simpelweg niet.

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 08:40]

Reageer
ro8in @Uruk-Hai20 februari 2026 08:40
Dus jouw gegevens op straat vind jij de korting wel waard? Al eens gedacht aan dat al die mooie kortingen er zijn omdat hun besparen op je weet wel, het beschermen en veilig opslaan van jouw gegevens.

Iedereen natuurlijk zijn eigen voorkeuren, maar voor mij is het goedkoopste zijn echt niet het enige wat ik belangrijk vind. Ik zou liever wat meer betalen voor een provider die enkel alleen mijn gegevens in encrypted hashes zou opslaan en dus bijvoorbeeld voor het controleren van mijn identificatie alleen de hash zou hoeven te vergelijken. Waarom zou een provider mijn document nummer op elk willekeurig moment zonder mij erbij moeten kunnen inzien?
Reageer
Uruk-Hai @ro8in20 februari 2026 08:52
Dus jouw gegevens op straat vind jij de korting wel waard?

Dat was uiteraard niet één van de redenen waarom ik voor Odido heb gekozen.

Ik zou liever wat meer betalen voor een provider die enkel alleen mijn gegevens in encrypted hashes zou opslaan en dus bijvoorbeeld voor het controleren van mijn identificatie alleen de hash zou hoeven te vergelijken.

En hoe kan een consument volgens jou op voorhand zien of inschatten dat een andere provider dat ook daadwerkelijk doet? Puur op basis van een hoge(re) prijs? Dat vind ik nogal een aanname.

Duurder is niet automatisch het zelfde als beter.
Reageer
ro8in @Uruk-Hai20 februari 2026 09:02
En hoe kan een consument volgens jou op voorhand zien of inschatten dat een andere provider dat ook daadwerkelijk doet? Puur op basis van een hoge(re) prijs? Dat vind ik nogal een aanname.

Duurder is niet automatisch het zelfde als beter.
Dit staat hier verder los van toch? Dat is een ander probleem, ik reageerde enkel op dat jij aangaf dat je het wel jammer zou vinden nu omdat je zo een lekkere korting hebt.

Dat duurder niet altijd beter is is een volledig andere discussie verder. Ik zei alleen dat ik er geen problemen mee zou hebben om meer te betalen als daarmee mijn gegevens wel goed beveiligd zouden zijn. Hoe dat verder zou moeten gaan en hoe een bedrijf kan aantonen dat dat daadwerkelijk zo is is verder weer een ander gesprek.
Reageer
Uruk-Hai @ro8in20 februari 2026 09:10
Dat dat een ander probleem is en een kwestie van een ander gesprek vind ik helemaal niet.

Ik probeer jou aan je verstand te brengen waarom ik, ondanks dit lek, niet van plan ben om van Odido af te stappen.

Zolang ik geen enkele noemenswaardige garantie heb dat het gras elders groener is zie ik daar simpelweg het nut niet van in.
Reageer
t14wo @ro8in20 februari 2026 08:54
Het is hier gegaan om social engineering. Odido had MFA en beveiliging an sich prima op orde. Dat servicedeskmedewerkers toegang hebben verleend kan gewoon gebeuren. Je kan het Odido aanrekenen dat deze medewerkers toegang hadden tot al deze gegevens en het daarmee ook exporteerbaar was.

Het is als bedrijf altijd een afweging tussen efficiency/bedrijfsvoering en informatiebeveiliging/dataminimalisatie. De tweede groep zorgt altijd voor efficiencyverliezen. De balans moet worden gevonden en dan nog steeds kan er een lek plaatsvinden. Dus iets minder hoog van de toren blazen is wel gepast.

Het kan gebeuren. Jij kan je huis met 32 sloten beveiligen, maar als de ketting van je grootmoeder gestolen wordt, maakt dat allemaal niet uit. Want weg is weg. Het zou dan fijn zijn als de rest van je familie inziet dat je écht je best hebt gedaan, maar je niet een ondergrondse kluis kon laten bouwen voor de armband. Het moet wel in verhouding staan.
Reageer
bkor @t14wo20 februari 2026 09:13
Het is hier gegaan om social engineering. Odido had MFA en beveiliging an sich prima op orde. Dat servicedeskmedewerkers toegang hebben verleend kan gewoon gebeuren.
Elk groot bedrijf houdt regelmatig phishing testen. Hieruit blijkt duidelijk dat altijd een bepaald percentage medewerkers hierin trappen. Puur vertrouwen op MFA vind ik daarom niet logisch, uit de phishing testen blijkt duidelijk dat (bepaalde) MFA niet voldoende is.

Odido bewaarde verder gegevens veel langer dan nodig.
Dus iets minder hoog van de toren blazen is wel gepast.
Die opmerking vind ik erg ongepast. Als je enige verdediging MFA is dan doe je het niet goed genoeg. Odido is heel waarschijnlijk aangemerkt als kritieke infrastructuur. Ze horen meerdere lagen van beveiliging te hebben. En een wachtwoord plus MFA is 2 lagen, niet te vergelijken met "32 sloten".
Reageer
t14wo @bkor20 februari 2026 09:25
Die opmerking vind ik erg ongepast. Als je enige verdediging MFA is dan doe je het niet goed genoeg.
Je weet dat toch niet? Ik heb nog veel te weinig details gezien van het lek. als een willekeurige supportmedewerker inderdaad toegang had tot 5 miljoen klantgegevens (waar ik ook toe behoorde), dan is dat een belangrijk punt. Maar misschien zijn wel 10 supportmedewerkers van verschillende regio's onderdelen compromised, waarbij een ieder slechts toegang had tot een stukje van de data.

Kortom: De tweakers hier weten weer lekker hoog van de IT toren te blazen. Er is meer in life dan alleen IT security. Een bedrijf moet namelijk ook geld verdienen door efficiënt processen uit te voeren. En IT Security is een noodzakelijke kwaad wat efficiencyverlagend werkt, maar niet onderschat moet worden.
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 08:54
Zo zie je maar weer dat alles te koop is 8)7
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 08:57
Totdat bewezen wordt dat het er bij andere providers veel beter aan toe gaat dan bij Odido blijf ik lekker bij Odido.
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 09:12
Hoe wil je dat bewijzen? Dat kan niet, of denk je dat andere providers nu iedereen een inkijkje gaat geven in hun data en hoe ze dat opslaan? Dan weet je zeker dat ze een week later gehackt zijn. Maar je bevestigd alleen maar mijn punt, iets onmogelijks vragen om je eigen gedrag goed te keuren. En dat is natuurlijk gewoon een keus, maar bevestigd wel wanneer bedrijven 0 incentive hebben om hun data beter op orde te hebben, mensen blijven toch wel zitten zolang het goed voor hunzelf is.
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 09:14
Ik vraag helemaal niets onmogelijks.

Eigenlijk vraag ik gewoon om een keurmerk.
Reageer
SirMemeAlot @Uruk-Hai20 februari 2026 11:05
Waarom zou een bedrijf dat doen? Als klanten het belangrijk vinden dan hebben ze een incentive, maar blijkbaar niet want we blijven lekker zitten.

Dit kan vanuit de overheid komen dan, maar ook daar zal niet heel veel actie gebeuren als niemand het belangrijk vind.
Reageer
Uruk-Hai @SirMemeAlot20 februari 2026 11:13
Gezien de enorme stortvloed aan klachten over Odido denk ik dat er wel degelijk iets gaat veranderen, ondanks de voorlopige zittenblijvers zoals ik.

Met de nadruk op voorlopige. Als blijkt dat Odido inderdaad niets geleerd heeft van zijn fouten ben ik op den duur ook bij Odido weg en keer ik met hangende pootjes terug bij KPN om daar weer een veelvoud te gaan betalen dan wat ik nu kwijt ben. Ik heb ook een betaald Protonmail account, dus ik ben al wat gewend...

Ik vind dit hele gebeuren alleen zo jammer voor de grote schare Nederlanders die zich echt niets anders kunnen veroorloven dan de goedkoopste optie voor internet aan huis. Ik kwam afgelopen maandag nog over de vloer bij iemand voor wie dat geld. Die mensen moeten wel betalen met hun kostbare privacy gevoelige gegevens omdat (bijvoorbeeld) KPN voor die groep simpelweg geen aantrekkelijke abonnementsprijzen aanbied.
Reageer
fifanoob @Uruk-Hai20 februari 2026 09:35
Het is toch bewezen? Hoe vaak is dit bij een KPN gebeurd? Hoe lang bestaan zij en hoelang bestaat Odido?
Is het bewezen dat het bij KPN nooit gaat gebeuren? Nee dat niet. Maar het is wel bewezen dat het bij Odido dus wel is gebeurd. Waarom blijf je bij een partij waarvan het is bewezen dat ze er slecht mee omgaan? Noem eens een provider dit ook een soort gelijke hack heeft gehad van dezelfde grote?
Precies en daar heb jij je bewijs.
Reageer
Uruk-Hai @fifanoob20 februari 2026 09:47
Je wilt feiten? Hier zijn de feiten:
Officieel bestaat Odido pas sinds 2023, maar de basis van Odido ligt bij Ben dat al in 1998 is opgericht.

Moet ik het helemaal voor je uiteen gaan zetten? Vooruit dan maar:
  1. Ik zeg Odido direct op en ga terug naar KPN (waar ik vandaan kwam).
  2. KPN komt ook slecht in het nieuws, vanwege een datalek van vergelijkbare grootte en ernst als nu bij Odido het geval is.
  3. Ik voel me wéér genaaid.
Wat heeft het dan voor zin om over te stappen?

Jij doet net of er garanties zijn, maar die zijn er helemaal niet!

Er is in dit leven maar één garantie en die is dat je dood gaat.

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 09:56]

Reageer
fifanoob @Uruk-Hai20 februari 2026 10:17
Je praat over feiten maar je komt met iets wat nog niet gebeurd is. Kpn is nog niet in het nieuws geweest vanwege een datalek van vergelijkbare grote. Dus even bij de feiten blijven.
Jij bent toch zo van de bewijzen? Nou bewijs maar eens dat KPN slecht in het nieuws komt. Je doet aannames. Er is idd geen garantie, maar er is wel bewijs dat Odido het niet zo nauw neemt met hun beveiliging.

[Reactie gewijzigd door fifanoob op 20 februari 2026 10:23]

Reageer
Uruk-Hai @fifanoob20 februari 2026 10:48
Op basis van de huidige beschikbare feitenkennis heb jij inderdaad gelijk en ik ongelijk.

Maar toch weerhoud me dat er niet van om voorlopig klant bij Odido te blijven.

Dat is mijn keuze en mijn mening en jij hebt maar te respecteren dat ik er een andere mening op na houd dan jij.

Volgens mij heb je daar namelijk nogal wat moeite mee. In dat geval heb je niet alleen moeite met mij, maar met hele volksstammen die er net zo in staan als ik zelf.

[Reactie gewijzigd door Uruk-Hai op 20 februari 2026 11:05]

Reageer
Mathijs Kok @Uruk-Hai20 februari 2026 09:27
Ik ben er wel rouwig om als Odido verdwijnt, want ik krijg via hen heel veel data + snelheid voor een opmerkelijk lage prijs,
Zoals altijd krijg je waar je voor betaalt.
Reageer
Polderviking @ro8in20 februari 2026 09:07
Ik denk niet dat bedrijven "minder laks" worden als Odido klapt, als het al echt laksheid is wat er achter zit want volgens mij was dit vooral social engineering wat ik uit berichtgeving trok.
En weer 2000 man erbij bij UWV die dan ten minste die faillissementsafhandeling moet gaan doen c.q. betalen is ook niet gunstig.

[Reactie gewijzigd door Polderviking op 20 februari 2026 09:40]

Reageer
nijntje82 @ro8in20 februari 2026 10:02
Volledig mee eens. Ik ben zelf Odido klant en helaas recent met 2 jaar verlengd. Ik zat na dit lek direct te kijken of ik kosteloos mijn contract kan laten ontbinden en over kan stappen naar een andere provider. Dat is volgens mij de enige manier hoe ik hun kan laten voelen dat dit niet ok is. Maar dat kan niet (kosteloos).


Ik ben werkzaam geweest voor diverse andere grote bedrijven en die nemen stuk voor stuk security (van awareness trainingen tm periodieke pen testen en implementatie van de laatste security guidelines) enorm serieus om dit soort lekken te voorkomen. Echter dat kost veel geld. En daar gaat het hier om. Odido vind geld verdienen belangrijker dan jou gegevens veilig bewaren.

Het kan een ander ook overkomen is geen excuus. En als het gebeurt zal die 'ander' ook gepast 'gestraft' moeten worden voor de financiële keuzes die gemaakt zijn. Want het is namelijk een financiële keuze.
Reageer
dutchminator @Zanthr20 februari 2026 08:33
Lijkt me ondernemersrisico, niet? Dat als je dusdanig prutst dat een failissement dreigt, dat je dan écht geprutst hebt en het misschen wel verdient. En dan komen er mooie verzekeringsproducten voor ondernemers die hen dwingen om data op orde te hebben conform standaarden en is de wereld weer een stukje mooier.
Reageer
armageddon_2k1 @Zanthr20 februari 2026 09:16
Genoeg andere aanbieders, dus prima als ze failliet gaan. Ook dat heet marktwerking.

[Reactie gewijzigd door armageddon_2k1 op 20 februari 2026 09:17]

Reageer
Stoney3K
@Zanthr20 februari 2026 09:22
Op zo'n moment zou de staat alle schadevergoedingen moeten dekken na een faillisement. Want anders kan een bedrijf er ook mee weg komen door na een overtreding bewust failliet te gaan en dan te beweren dat er toch niks meer te halen valt.
Reageer
n4m3l355 @Zanthr20 februari 2026 10:11
Klinkt naar mij als "to big to fail", omdat ze zo groot zijn moet het maar kunnen? Als zoiets een klein kabelaar overkwam denk ik dat de reactie van zowel de AP als Den Haag toch wel anders was. Ook mag je je afvragen of het uberhaubt wenselijk is dat partijen zo groot zijn en zoveel data beheren, immers het gaat maar wat vaak fout dus dit is een gigantisch risico.

Zolang partijen zoals Odido onze privacy niet kunnen garanderen en wanneer het mis gaat er laconiek mee omgaan, mag het duidelijk zijn dat het tijd is voor verandering. En als ze dan failliet gaan vanwege wanbeheer, des te beter.
Reageer
StackMySwitchUp @ro8in20 februari 2026 08:13
Hoewel je absoluut gelijk hebt en mijn gevoel ook zegt dat dit onacceptabel is, doet Odido vooralsnog wettelijk niets verkeerd. Pas als aantoonbaar nalatigheid te bewijzen is kan het AP iets doen. Het verschil tussen partijen als bijv (ik noem even het eerste dat in me opkomt) Brein en het AP is dat AP een overheidsorgaan is, die moeten alles volgens het boekje doen. Private stichtingen als Brein kunnen lekker met losse flodders schieten tot er wat blijft plakken. We zouden als consumenten zelf eens samen moeten komen om dit soort acties aan te pakken met rechtszaken e.d. maar daar heb je diepe zakken (en dus een grote groep) voor nodig
Reageer
ro8in @StackMySwitchUp20 februari 2026 08:15
Maar actie van de AP zou ook kunnen zijn dat ze een onderzoek zijn gestart. Maar "we houden de situatie in de gaten" vind ik wel een heel erg matige reactie en op dit moment echt niet gepast meer.
Reageer
t14wo @ro8in20 februari 2026 08:57
Waar staat dat er geen onderzoek komt? Dit is een paar dagen geleden gebeurd. Hou je even rustig. Dit is een juridisch proces. Die zijn niet binnen een week. Er komt heus nog een onderzoek zoals dat netjes hoort
Reageer
StackMySwitchUp @t14wo20 februari 2026 09:25
Dit verwacht ik dus ook, overheidsinstanties werken nu eenmaal niet snel. Overigens zit het AP al jaren met een te kort aan capaciteit, dus dat drukt ook stevig op de snelheid
Reageer
Pasteis @StackMySwitchUp20 februari 2026 08:26
Hoewel je absoluut gelijk hebt en mijn gevoel ook zegt dat dit onacceptabel is, doet Odido vooralsnog wettelijk niets verkeerd. Pas als aantoonbaar nalatigheid te bewijzen is kan het AP iets doen. Het verschil tussen partijen als bijv (ik noem even het eerste dat in me opkomt) Brein en het AP is dat AP een overheidsorgaan is, die moeten alles volgens het boekje doen. Private stichtingen als Brein kunnen lekker met losse flodders schieten tot er wat blijft plakken. We zouden als consumenten zelf eens samen moeten komen om dit soort acties aan te pakken met rechtszaken e.d. maar daar heb je diepe zakken (en dus een grote groep) voor nodig
Je kan je natuurlijk sterk afvragen hoe het kan dat oud-klanten die 2 jaar of zelfs langer ook nog in hun database zitten. Terwijl volgens hun eigen voorwaarden ze deze tot 2 jaar na einde contract bewaren.

Het is op zijn minst een onderzoek waard in hoeverre Odido zich houdt aan de AVG.
Reageer
swhnld @Pasteis20 februari 2026 08:42
Die weet ik toevallig wel. 2 jaar is een periode die vaak gehanteerd wordt, en juridisch aanvaardbaar is om persoonlijke data te bewaren (zegt de juridische afdeling op mijn werk).


Over het langer bewaren beweert Odido dat dat is ingeval men een telefoon bij het contract had gekocht. Dan doen ze 5 jaar aanhouden. Hierop kan ik speculeren dat het misschien financiële wetgeving is dit langer te bewaren. Belastingdienst hanteert 7 jaar bewaar verplichting, dus 2 jaar contract plus 5 jaar bewaren is 7 jaar totaal.
Reageer
bkor @swhnld20 februari 2026 09:19
Belastingdienst hanteert 7 jaar bewaar verplichting, dus 2 jaar contract plus 5 jaar bewaren is 7 jaar totaal.
Dat geldt voor de financiële gegevens (gestuurde facturen enzo). Dat is geen reden om b.v. paspoortnummers op te slaan. Verder zou je de facturen los kunnen opslaan (kortere termijn voor CRM, langere termijn voor facturen).
Reageer
StackMySwitchUp @bkor20 februari 2026 09:29
En dan weet ik weer uit ervaring dat je vanaf het begin een verdomd goed systeem moet hebben om deze gegevens te bewaren, omdat je anders met gemixte data te maken hebt waardoor je bij wet dus de langste retentie moet aanhouden, en je dan met een record zit waarbij een deel van de gegevens 2 jaar en het andere deel 7 jaar bewaard moet worden. Dit is makkelijk om van de grond af op te bouwen, maar met een bestaand systeem (of bij Odido, verschillende systemen die samengevoegd moeten worden/zijn) is het een enorme uitdaging. Ik praat het hier overigens niet goed want ze hadden het moeten regelen, maar ik zie de andere kant ook wel.
Reageer
bzuidgeest @ro8in20 februari 2026 08:45
Ik denk dat het een illusie is om te denken dat je data lekken kan voorkomen. Zolang je mensen in de mix hebt gebeuren die.
Je bent boos, maar ik wil eerst wel eens weten of odido nalatig is geweest. Je maakt allerlei aannames, 6 miljoen adressen klinkt veel, maar het is nog steeds maar 1 hack, een foutje. Die gegevens moeten ergens opgeslagen zijn. Je kan geen klanten hebben zonder wat van ze te weten.
Het is wijzer om te zorgen dat ze niets kunnen met die gegevens. Dat de gegevens waardeloos zijn voor fraude. En dat is iets dat de overheid moet regelen in zijn eigen systemen.
Reageer
E!Ma0RB7 @ro8in20 februari 2026 09:13
Ik lees in jouw reactie terechte emotie en ook een verkeerde verwachting in hoe privacy bescherming werkt en wat de rol van de AP is.

Natuurlijk is er enorm veel gelekt en is dat een probleem. Ik ben zelf ook getroffen.

Privacy bescherming is een systeem van het beheersen van risico's. Elke verwerking van persoonsgegevens is een inbreuk op jouw rechten, maar geeft jou meestal ook iets terug (een recht, een dienst, een kans etc.)

De inbreuk op jouw rechten moet natuurlijk zo laag mogelijk zijn en is dus nooit nul.

Daarnaast is de verwerker verantwoordelijk om de impact op jouw rechten zo laag mogelijk te houden door het treffen van beheersmaatregelen. Deze zijn nooit waterdicht en dat wil je ook niet, omdat dit kan conflicteren met de kwaliteit van je recht of dienst die jij wilt.

Centraal staat nu of Odido nalatig is geweest. Ze kunnen te veel gegevens hebben verwerkt, gegevens te lang hebben bewaard en de gegevens niet voldoende beschermd hebben.

Te veel gegevens is maar net de vraag. Uit het feit dat ze enkel de nummers van ID's bewaren en niet de kopieën blijkt dat ze wel degelijk risico gebaseerd met dataminimalisatie bezig zijn geweest. En ik kan me prima voorstellen dat er een doelbinding was voor alle gelekte gegevens in de context van een klantenservice.

Via de media blijkt dat ze van sommigen bepaalde gegevens langer bewaarden dan ze zelf uit kunnen leggen. Dit is niet goed, maar mij is niet duidelijk of van oude accounts alles bewaard is gebleven of een subset. Dat moeten we nog afwachten. Bovendien is dit echt een sub-probleem, want zelfs met hun huidige klantenbestand waren er evengoed miljoenen getroffenen.

Is het onvoldoende beveiligd? Er is uiteindelijk data gestolen, maar dat is geen bewijs voor nalatigheid. Het is niet dat iemand een koffer in de trein heeft laten liggen of een database onbeveiligd liet. Uit de media begrijp ik dat de aanvallers via een gecoördineerde aanval met social engineering meerdere bestaande beveiligingen wist te omzeilen. Het was uiteindelijk niet effectief genoeg, maar daarmee dus niet automatisch verwijtbaar slecht.

Nu dan de impact voor betrokkenen. Zoals gezegd ben ik ook getroffen en maakte ik mij zorgen voor vanalles en nog wat. De nuchterheid is inmiddels een beetje ingedaald en ik schat in dat de grootste schade voor mij is dat mensen fraude kunnen plegen, of mij zeer geavanceerde phishing berichten sturen. Fraude is natuurlijk erg vervelend, maar altijd gemakkelijk te herkennen. Ik kan me geen scenario bedenken hoe fraude met deze gegevens tot permanente schade kan leiden voor mij. Dit is een sterk contrast met waar ik in eerste instantie voor vreesde.

Dan de reactie van Odido. Die is perfect in mijn optiek. Ze hebben de kwetsbaarheid effectief ingedamd, alle betrokkenen geïnformeerd, het gemeld bij de AP en het zelf via landelijke media gedeeld. In hun communicatie werd ik goed geïnformeerd over wat er gebeurd was, wat daar potentieel de risico's van zijn en hoe ik mij het beste kan wapenen tegen deze risico's.

Natuurlijk, het blijft super ruk, maar deze reactie troostte me wel enigszins.

Dan de rol van de AP. De AP ziet toe op dat de samenleving geen onevenredige schade oploopt bij gegevens bescherming door onder anderen te toetsen of verwerkers zich aan de AVG houden.

Je kan je prima aan de AVG houden en toch een datalek hebben, want de AVG rust helemaal niet dat je risico nul moet zijn, maar dat het niet te hoog mag zijn. De AVG stelt zelfs eisen aan wat je moet doen bij een datalek (!). En daataan heeft Odidi in mijn optiek perfect voldaan.

De AP zit hier natuurlijk bovenop en zal met name gaan oordelen over of het risicoprofiel van deze verwerking te hoog was of niet en of Odido juist heeft gereageerd.

Dus je kan je emotie wel loslaten op een Odido en de AP, maar je kan ook altijd zelf een internetbedrijf beginnen en het beter doen.
Reageer
RemyNouweland @ro8in20 februari 2026 09:32
Eens Robin, ik zit zelf in de Cybersecurity we zijn dagelijks bezig met het veiliger maken van bedrijven. Wij weten gewoon dat er heel veel is dat een bedrijf kan regelen wat men niet doet of onvoldoende doet en ook in dit geval had software en de juiste instellingen en rechten een hoop kunnen voorkomen. Dat het AP telkens niet ingrijpt betekend dat je als consument gewoon niet in je recht staat. Iedereen komt ermee weg en zolang er geen echte consequenties aanzitten zal dit aanhouden.

Ik denk ook dat ze hier gewoon een serieuze vaak van moeten maken, plus komt eind dit jaar de nieuwe CBW (Cyber Beveiligings Wet) NIS2 in de EU. Je bent dan als boardmember aansprakelijk als er niet juist gehandeld is en als je beter had moeten weten.

Persoonlijk kan ik niet wachten omdat er dan een serieuze straf boven het hoofd hangt, nu lijkt iedereen er telkens met e-mail vanaf te komen.
Reageer
n9iels @ro8in20 februari 2026 10:22
How about eerst even uitzoeken wat er gebeurd is? De AP kan moeilijk een week later aankloppen en met boetes en bevelen gaan strooien. Sure, als de voordeur wagenwijd open stond lijkt het mij zeer terrecht dat ze ingrijpen. Maar claimen dat er bij Odido niks gedaan is aan beveiliging is voorbarig en onmogelijk vanaf ze zijlijn. Elk bedrijf kan gehackt/gephished worden als je er maar genoeg moeite in steekt. De vraag die men hier moet beantwoorden is of er voldoende is gedaan om dit te voorkomen.
Reageer
macura @ro8in20 februari 2026 10:27
Eens, gisteren hadden mijn vrouw en ik ze aan de lijn, ivm overstappen, Punt ook aangehaald, de datalek, en de reactie van de medewerker, "de afgelopen jaren zijn er bij meerdere grote bedrijven data lekken geweest, dus uw data ligt toch al op straat, daarom hoeft u toch niet over te stappen?"
Reageer
TheVivaldi @ro8in20 februari 2026 10:36
Wat ik vooral apart vind is dat het AP constant zegt te weinig mankracht en geld te hebben om zich vast te bijten in dit soort zaken, en nu ineens zitten ze er bovenop. Hoe kan dat dan?
Reageer
wild_dog @ro8in20 februari 2026 10:37
Ze kunnen sowieso gewoon niets.

Domino's is overgegaan op een opt-out systeem voor nieuwsbrief inschrijvingen.
Dat is heel uitdrukkelijk verboden:
https://www.acm.nl/nl/ver...vooraf-aangevinkte-hokjes
Maar omdat ze het verwoord hebben als een nog niet aangevinkt hokje dat je moet aanvinken als je geen nieuwsbrief inschrijving wilt, denken ze er mee weg te komen, ook al is dat de definitie van een opt-out.

Dat had ik maanden terug al gemeld, en is echt triviaal om te bewijzen dat het een schending van de regels is. Maar acties? Hó maar.

EDIT: Kennelijk is het automatisch aanmelden voor reclame als je iets koopt, tenzij je opt-out, volgens de wet gewoon legaal, ook al laat de ACM advies in de link je in de waan dat dit niet zo is.

[Reactie gewijzigd door wild_dog op 20 februari 2026 10:48]

Reageer
Mosterd 20 februari 2026 08:07
Ik denk dat mensen er klaar mee zijn dat bedrijven met lakse beveiliging (in het kader van Odido; geen segmentatie en encryptie, plus buitenlandse toegang) op hun data er continu mee wegkomen zonder straf of tik op de vingers. Als burger ben je alsmaar de dupe.

Daarbij komt ook kijken dat het hier gaat om meer dan 5 miljoen Nederlanders en heb je tegenwoordig AI die het advies geeft om zo’n melding te maken, als het AP/RVIG/ACM dit zo irritant vindt is het wellicht tijd dat er OF automatische compensaties komen zodat bedrijven leren dit serieuzer op te pakken OF dat de WAMCA zijn werk gaat doen. Na Bitvavo, Iddink, Allekabels en nu Odido (en meer) is het wel een keertje goed zo lijkt mij.

EDIT: wat ook tegen het zere been stoot is dat Odido al vrij snel reageerde naar de wereld dat men “geen recht heeft op schade vergoeding” of iets met die strekking. Na een incident als dit is dat vergelijkbaar met dat ik JOU auto raak en dan een briefje achterlaat zonder mijn verzekeringsinformatie maar wel met de boodschap hoe het mij niet uitmaakt en hoe het nu jouw probleem is om op te lossen, erg krom en knap brutaal ook.

[Reactie gewijzigd door Mosterd op 20 februari 2026 08:14]

Reageer
Quinz @Mosterd20 februari 2026 10:11
ik denk (helaas) dat de soep niet zo heet gegeten wordt. Het gros van de mensen geeft niets om privacy en beveiliging als dit ten koste gaat van prijs en gebruikersgemak. Het gemak waarmee persoonlijke gegevens worden gedeeld in het publieke domein is ongekend. De waarde die onze persoonsgegevens wordt op minimale waarde geschat.

Mensen zoals jij die hier tegen ageren zijn zwaar in de minderheid. Juist hierdoor is het lastig om adequate beveiligingsmaatregelen af te dwingen en heeft Odido de vrijheid gezien om maling te hebben aan haar eigen richtlijnen. We weten niet welke geluiden intern bij Odido hebben geklonken, maar hier is in ieder geval niet naar geluisterd door het management.

De reacties vanuit Odido zijn ingestoken vanuit bedrijfsbelang en niet vanuit het belang van de gebruikers. Begrijpelijk, maar dat maakt het niet minder cru.

Het enige wat Odido (en andere verwerkers van onze gegevens) zou bewegen de maatregelen op te volgen is dwingende wetgeving met gevolgen. De aankomende cybersecuritywet is een begin, maar het aanscherpen van bestaande wetgeving (avg) zou geen verkeerde ontwikkeling zijn.

Ook het krachtiger positioneren van de AP (met geld, capaciteit en middelen) zou een goede ontwikkeling zijn. Ik zou zeggen dat de politiek aan zet is. Helaas zijn die druk met alles behalve een niet-sexy onderwerp als privacy.
Reageer
Nickstyle 20 februari 2026 08:11
Wellicht ook nuttig als Odido wat meer actie onderneemt.

Ik heb netjes de formulieren uit hun privacy reglement vorige week vrijdag gemaild om te vragen om me te verwijderen en op te vragen wat ze bewaarde. In het tweevoud want was internet als mobiel klant, best veel werk om terug te zoeken wat de laatste factuur was.

Nog niet eens een automatische antwoord. Hier geld ze moeten binnen een maand reageren en mogen 2 maanden uitstel vragen.

Als Odido niet tijdig reageert zal er toch echt een klacht na het AP uitgaan, dan is het een nieuwe fout bovenop het datalek.
Reageer
jongetje
@Nickstyle20 februari 2026 08:19
En dan? Het AP heeft helemaal geen valsheid capaciteit om jouw individuele geval in behandeling te nemen. Dat is hun taak ook niet, daar is een rechtsbijstand voor of zelf naar de rechter stappen.
Reageer
thisisjazz 20 februari 2026 07:43
Waarom zou je gaan klagen bij het AP? Vrij duidelijk dat zij hier bovenop zitten lijkt mij. Of wil men graag hun ei kwijt of geld zien?
Reageer
StackMySwitchUp @thisisjazz20 februari 2026 07:56
Ik denk dat men het idee heeft dat het hetzelfde werkt als met aangifte; dat je een bewijs hebt dat je het bij de juiste autoriteit hebt neergelegd zodat je daar later mee kunt schermen bij eventuele gevolgen. Op zich een logische gedachte.
Reageer
Helsie @thisisjazz20 februari 2026 08:41
Omdat duidelijk is dat Odido veel klantgegevens (véél) te lang bewaarde. Ze stellen zelf 'tot 2 jaar na einde abbo', maar ik kreeg op mijn oproepje op LinkedIn al snel reacties van mensen die al jaren weg zijn en óók in het datalek zitten. Ergste geval was iemand die al sinds 2011 weg was. Het was daar echt een zooitje qua data opschoning en dat verdient w.m.b. een enorme stroom klachten bij de AP. Schande is het.
Reageer
jeroenz_ @thisisjazz20 februari 2026 08:01
Ik vermoed om in een later stadium nieuwe identiteitspapieren te kunnen claimen op kosten van Odido.
Reageer
jongetje
@jeroenz_20 februari 2026 08:17
Dan moet je aangifte doen bij de politie, niet bij de AP, die is daar geen partij in.
Reageer
GertMenkel
@jeroenz_20 februari 2026 08:18
Daarvoor hoef je niets bij de AP te regelen.

Ik denk eerder dat een miljoen mensen heeft gegoogled "wat te doen bij datalek" en daarom een melding maken, denkend dat het werkt zoals bij de politie.

De enige praktische waarde die ik hieraan kan hechten is dat de AP zo wel gedwongen wordt om Odido onder de loep te nemen. Één melding is effectief nutteloos, honderd meldingen zijn interessa, honderdduizenden meldingen brengt een woordvoerder naar de pers.
Reageer
PCG2020 @jeroenz_20 februari 2026 10:06
Daarvoor is dat niet nodig. Je kunt bij Odido, die de verwerkingsverantwoordelijke partij is, een claim indienen wanneer er aantoonbare schade is ontstaan door het lekken van jouw gegevens. Desnoods doe je dat met hulp van je rechtsbijstandsverzekering of het Juridisch Loket. Die kunnen jou ook vertellen of een claim überhaupt zin heeft, want dat is lang niet altijd het geval.
Reageer
Accretion 20 februari 2026 07:44
Toch denk ik dat we naar een volledig ander systeem moeten.

Iets waarbij je gegevens terug kunt trekken en/of waarbij het toegestaan is om pseudoniemen te gebruiken.

Netjes vragen om goede verwerking lijkt niet te helpen.
Je hebt mijn naam niet nodig om een pakket te verzenden, elk bedrijf dat daar om vraagt moet gewoon direct een boete krijgen.

Bij pakketjes vul ik voortaan alleen de eerste letter van mijn voornaam en de laatste letter van mijn achternaam en een spam-email met suffix (niet mijn persoonlijke/dagelijkse)
Geen reden om mijn volledige naam of prive mail te geven.

In principe zouden ze de aflevering kunnen weigeren als ik mij niet op die manier kan identificeren, maar tot nu toe nog geen problemen mee gehad.
Ik heb toch alle bewijzen van aankoop t/m betaling en de mails.

[Reactie gewijzigd door Accretion op 20 februari 2026 07:46]

Reageer
StackMySwitchUp @Accretion20 februari 2026 08:03
Wat je aangeeft met pakketten is wat ik al jaren doe. Ook telefoonnummers zijn niet noodzakelijk, tenzij het om groot transport gaat. Het beste dat je kunt doen met al die verschillende partijen is een mailadres per partij aanmaken zodat je in de gaten kunt houden wie je e-mail gelekt heeft. Zo heb ik o.a. kunnen traceren wie mijn gegevens heeft doorverkocht aan een spammer waar ik ineens allemaal "relevante" nieuwsbrieven van kreeg. Overigens zijn er maar weinig diensten die je dit laten doen, dus ik ben benieuwd hoe anderen dit oplossen. Momenteel heb ik een Exchange Plan 1 licentie + brakke catch-all voor deze constructie, met daarbij een lijst van aliassen die ik bijhou. Ik zou zelf graag van MS af willen en meer willen automatiseren zonder zelf e-mail te moeten hosten
Reageer
NeuroTechie @StackMySwitchUp20 februari 2026 08:07
Zelf gebruik ik Proton met een eigen domeinnaam en een ander subdomein voor alias emails. Proton popt automatisch op om een account of alias mail op te geven en linkt deze ook geheel automatisch, en je kunt ze later makkelijk deactiveren.
Reageer
StackMySwitchUp @NeuroTechie20 februari 2026 08:29
Ah kijk, dat klinkt bruikbaar en lijkt of ze er over hebben nagedacht. Heb eerder naar Proton gekeken maar kon dit er toen niet uithalen.
Reageer
bzzzt @NeuroTechie20 februari 2026 10:38
Dat kan goedkoper binnen Nederland met Freedom internet hun mailpakket. Dat kan je ook los van de verbinding afnemen.
Reageer
Accretion @StackMySwitchUp20 februari 2026 08:09
In hotmail/outlook web kun je ook:
Jantje+mediamarkt@live.nl

Mail komt dan gewoon op:
Jantje@live.nl

Ongetwijfeld zijn er wel spammers die dit filteren.
Eigen domeinnaam is wel 'beter' maar meer moeite.
Reageer
StackMySwitchUp @Accretion20 februari 2026 08:28
Ja dat klopt, maar plus extensions hebben 2 grote nadelen waarvan jij er al 1 noemt: men kan jouw adres uit het adres extrapoleren, en je kunt later het adres niet verwijderen of redirecten waardoor je potentieel alleen maar meer zooi ontvangt. Het is wel de simpelste optie, en beter dan niks!
Reageer
Sissors
@Accretion20 februari 2026 08:17
Of misschien moeten we wat minder panisch over dingen doen. En dit gaat mij zeer waarschijnlijk geen positieve rating hier opleveren, maar elk datalek worden de meest vergezochte ideeën bijgehaald wat dit wel zou kunnen veroorzaken. Weet je wel niet wat criminelen met je naam en je telefoonnummer kunnen doen! Even vergetende dat niet zo heel lang geleden je van iedereen gewoon naam en telefoonnummer in het telefoonboek kon opzoeken. Zaken als BSN zijn natuurlijk problematischer, tegelijk, tot niet zo heel lang geleden kon je van elke ZZP'er zo zijn BSN opzoeken (en van degene die in het verleden ook al ZZP'er waren kan dat nog steeds natuurlijk).

En nee, ik zeg NIET dat data beveiliging dus niet er toe doet. Maar wel dat de ene data belangrijker is dan de andere. Ik zie het niet als zo'n probleem voor welke persoon een pakketje is. Dit is nogmaals iets wat vroeger altijd al in het telefoonboek stond. En als je je naam eruit laat, moet je imo niet klagen als iemand anders je pakketje bij een ophaalpunt meeneemt (maar daar is dan zeker de webwinkel weer verantwoordelijk voor?). Mijn e-mail adres is niks anders als mijn digitale adres, dus dat is ook geen topgeheim.

En natuurlijk, zaken als je paspoortnummer zijn grotere dingen. Maar laten we daarvoor gewoon betere identificatiemethodes gebruiken die niet gebaseerd zijn op een vast nummer wat bijna nooit veranderd. Dat gezegd hebben, buiten vliegtickets om en andere reis gerelateerde zaken denk ik niet ooit mijn paspoortnummer gedeeld te hebben.
Reageer
Accretion @Sissors20 februari 2026 08:29
Ik wil niet dat heel het internet weet wat mijn adres, naam en email is. Doen alsof dat normaal is vindt ik zorgelijk.

Ik krijg al belachelijk veel spam en waar ik woon, hoef jij niet te weten. Privacy gaat niet alleen over wat criminelen er mee kunnen doen, al helpt privacy wel tegen identiteitsfraude.

Het hele argument 'vroeger was het zo' heb ik ook niks aan, vroeger was er minder privacy, maar maakte dat ook niet zo veel uit omdat de schaal van gegevensuitwisseling niet zo belachelijk groot was.

W.m.b.t. moet de houding tegenover persoonsgegevens veranderen en dat werkt alleen door privacy te zien als een recht en niet als iets wat we wel leuk vinden maar eigenlijk geen zin in hebben.
Reageer
The Zep Man
@Sissors20 februari 2026 08:29
Of misschien moeten we wat minder panisch over dingen doen.
Misschien moet de overheid wat meer inzetten op correctieve maatregelen als gegevens lekken om zo preventieve maatregelen bij lekkende partijen te stimuleren. Nu komen bedrijven er hooguit met een tik op de vingers mee weg, terwijl het niet hun gegevens zijn. De AVG spreekt niet voor niets over "verwerkingsverantwoordelijke". Bij verantwoordelijkheid hoort aansprakelijkheid als het werk niet goed wordt gedaan. Persoonsgegevens horen behandeld te worden als gevaarlijk.

Over dit lek specifiek:
Men leert hiermee dat persoon X met contactgegevens Y gebruik maakt van provider Z, en wel eens heeft gecommuniceerd over onderwerpen A, B en C. En dat leert men niet van één persoon, maar van zoveel miljoen personen.

Dat is een prima combinatie voor spearphishing en andere vormen van oplichterij op grote schaal. Per 1000 mensen die daarvoor benaderd worden zal er heus wel iemand intuinen. Daarmee schuift Odido de kosten van slechte informatiebeveiliging door naar de maatschappij.

[Reactie gewijzigd door The Zep Man op 20 februari 2026 08:40]

Reageer
redslow @Sissors20 februari 2026 08:30
Het gaat mij er meer om dat het voorkomen had kunnen worden. In mijn geval. Ik ben ex klant. Schijnbaar verplicht de staat dat bedrijven mijn gegevens voor twee jaar bewaren.


Was dit niet het geval geweest dan waren mijn gegevens 1,5 jaar geleden gewoon verwijderd wat ik ook verwacht van een bedrijf als ik daar weg ga.


Daarbij de houding van het bedrijf zelf en de stilte vanuit de staat. Heb ik zoiets van overspoel ze maar, dat het duidelijk word dat de maat eens vol is.

de burgers en klanten constant erop wijzen dat zij voorzichtig moeten zijn met hun gegevens en vervolgens zelf te laks zijn en daarna niet het boetekleed aantrekken.


Dat stoort mij het meeste.
Reageer
Recursio @Sissors20 februari 2026 08:36
T.a.v. je telefoonboekgegevens, waar ook adresgegevens bijstonden: De tijden zijn wel wat veranderd inmiddels. Nu woren politici met brandende fakkels thuis opgezocht, is doxing een ding geworden, en wordt fraude in rap tempo geautomatiseerd. En als je dan niet weet wie wel netjes met persoonsgegevens om kan gaan versus wie niet, dan is sterk verminderde toegang tot die gegevens veiliger.
Dat gezegd hebben, buiten vliegtickets om en andere reis gerelateerde zaken denk ik niet ooit mijn paspoortnummer gedeeld te hebben.
Jij hebt het misschien niet gedeeld; maar wie wel? Bij welke organisaties is dat nummer terechtgekomen? Wat hebben zij ermee gedaan?

Daarom zou ik graag zien, geinspireerd door heet Finse model waar(in) wettelijk is vastgelegd dat data die jou beschrijft daarmee ook van jou is. Je mag anderen een intrekbaar recht verstrekken om toegang te krijgen tot die data. (Ja, daar zitten nog veel haken en ogen aan, maar in de kern is dit een mooie verbetering)
Reageer
barbarbar @Sissors20 februari 2026 08:52
Juist voor een bedrijf wat IT diensten levert vind ik het zeer stuitend dat ze hun interne controles niet op orde hebben.

Wat mij betreft mag er een wet komen waardoor er een direct opeisbare boete van 50 euro per klant is. Vast te stellen door onafhankelijk onderzoek door de AP. En als een bedrijf verzuimt melding te doen, dan is gaat de boete maal vier als het alsnog uitkomt.

Dan hebben bedrijven opeens wel de mogelijkheden om een team samen te stellen die interne en externe audits doet om dit soort falen te voorkomen. Dat aan zulke lekken geen consequenties hangen is voor bedrijven reden om er ook niks qua preventie voor in te richten. Want laten we eerlijk zijn: er is geen enkele reden waarom een servicedesk van álle klanten toegang moet hebben tot paspoortnummer. Een paspoortnummer is even nodig tijdens de aanvraag, en daarna niet meer. Dat ze het nog ergens opslaan kan ik wel inkomen, maar de toegang tot die informatie moet goed afgeschermd zijn, en zeker niet voor de servicedesk in één keer zijn leeg te trekken.

Dat die informatie niet bijzonder gevoelig is, vind ik geen argument. Hoe vaak hoor en lees je dat ouderen worden opgelicht met zulke gegevens. "Hallo Sissors, ik ben van Odido, ik zou graag even uw betalingen willen doornemen want on systeem geeft een fout aan bij de laatste incasso." "Oh mijn hemel! Wat moet ik doen?" "Zou u kunnen bevestigen dat uw paspoortnr GJ8973987 is?" "Oh ja dat klopt, dit moet wel Odido zijn!" "Er komt zo even iemand aan de deur, bij hem kunt u direct uw openstaande bedrag voldoen". "Oh wat fijn, ik betaal direct!"

En dan mag jij als klant vervolgens gaan aantonen dat je schade hebt gelden. Ammehoela, dat is de omgekeerde wereld. Uitgangspunt moet zijn dat er met persoonsgegevens altijd schade is geleden. Laat het bedrijf maar aantonen dat het niet zo is.

[Reactie gewijzigd door barbarbar op 20 februari 2026 08:58]

Reageer
Daoka @Sissors20 februari 2026 09:13
Ja vroeger hadden we een telefoonboek. Toen was scammen gewoon een stuk lastiger. Je kon niet honderden mensen tegelijkertijd per minuut bereiken zoals nu met email. Geld was toen veel minder digitaal (bankpas ja maar via internet betalen niet of ieder geval niet veel) dus het had ook minder zin. En de meeste bedrijven waren niet geïnteresseerd in data. En als je wilde scammen dat was het meestal in het echte leven of telefonisch maar het was toen gewoon wel minder. Nu is het vanuit pmwaar dan ook in de wereld (ja bellen vanuit het buitenland kon vroeger ook maar was gewoon duur). Tegenwoordig is het dus gewoon heel anders. Dus leuk om te zeggen "maar vroeger" terwijl de situatie dus gewoon niet vergelijkbaar is. Daarnaast zijn scammers ook gewoon slimmer geworden (zoals de kind in buitenland waar de telefoon en portemonnee gestolen truckje) en hebben ze meer gereedschap om te misbruiken.
Reageer
HetGezegde @Accretion20 februari 2026 08:14
Inderdaad. Daar vraag ik dan zakelijk ook niet om. Ik bied diensten en smartphones aan voor de non-tech savvy persoon en ze vullen enkel de basics in: voornaam, achternaam en e-mail adres. En als je een pseudoniem gebruikt, helemaal prima. Bij keuze voor een pakketpunt, heb ik bijv. ook je adres niet nodig. We vullen dan ons eigen adres in als leveradres (want dat is wel een verplicht veld) en dan het ophaalpunt naar keuze. Alle data die we verzamelen is AES-256-GCM encrypted. En verder verwijderen wij alle klant data na 30 dagen automatisch van de server.

Het kan dus wel.
Reageer
Evanesco @Accretion20 februari 2026 08:15
Voorkomen is zeker beter dan genezen. Ander goed voorbeeld van een branche die stelselmatig en onnodig je volledige adres en telefoonnummer uitvraagt: sauna's. Ik vul daar altijd onzin in (en gebruik een pseudoniem). Wat vervolgens hilarisch was: ik werd er bij een niet nader te noemen sauna op aangesproken. Dat ze klachten kregen van mensen op postcode 1234AB, of ik voortaan mijn echte adres wilde opgeven bij reserveren... Ik zei: nee, maken jullie online al die velden maar niet verplicht, dan hoef ik geen onzin in te vullen. :+

[Reactie gewijzigd door Evanesco op 20 februari 2026 08:16]

Reageer
Azenomei @Accretion20 februari 2026 08:33
Dit doe ik ook al jaren. Alles komt gewoon binnen. Random letter als naam en achternaam, email via tempmail en telefoonnummer 0600000000. Als ze dat nummer niet accepteren dan doet 0612344567 het wel altijd. Werkt ook met eten bestellen trouwens. Alles komt gewoon binnen.
Reageer
3raser @Accretion20 februari 2026 08:33
Ik heb dit in het andere Odido topic ook al benoemd maar wat mij betreft mag er een overheidsinstantie komen die ter plaatse de privacy voorwaarden en gegevensverwerking van bedrijven gaan controleren.

Staat er in je voorwaarden dat je na 2 jaar klantdata verwijderd dan moet dit ook echt zo gebeuren. Zo niet, dikke boete plus een vergoeding aan ieder persoon die te lang bewaard is gebleven. Daarnaast controleren ze of je niet meer gegevens bewaard dan daadwerkelijk nodig is voor je bedrijfsvoering. Zo ja, afhankelijk van welke data dat is een dikke boete.

Op die manier gaan bedrijven misschien iets beter nadenken over welke gegevens ze bewaren.
Reageer
Calypso @3raser20 februari 2026 10:31
Het beroerde: die is er in principe al en dat is de AP. En die heeft een zwaar capaciteitsprobleem alleen al met het afhandelen van binnenkomende klachten - laat staan dat ze de tijd/capaciteit hebben om pro-actief bij bedrijven langs te gaan.

Als je een bij de politie aanklopt (want men houdt zich aan de wet) verwijzen ze je door naar de AP in elk geval (zelf paar jaar geleden meegemaakt).

Het is gewoon triest dat de AP onvoldoende capaciteit heeft (heb het afgelopen jaar 2 meldingen gedaan en van de eerste kreeg ik na 5 maanden terugkoppeling, de 2e is nu 3 maanden terug en heb ik nog niets van gehoord) - aan de andere kant kun je er nog zoveel mensen op zetten, het aantal meldingen neemt ook met de week toe krijg ik het gevoel.

Ik denk dat meer mandaat/strafmaatregelen voor de AP misschien nog iets kan verlichten richting toekomst.
Reageer
gevoelig @Accretion20 februari 2026 08:36
Dat geldt overigens voor meer gegevens. Een webshop zie ik als groot risico omdat deze soms hele kleine bedrijven zonder dedicated IT best eens iets kunnen missen qua beveiliging.


Visa biedt tegenwoordig de mogelijkheid om te betalen zonder je kaart-gegevens in te vullen.
Bedrijven die je vertrouwt zouden bijvoorbeeld een ID voor een shop kunnen genereren zodat een shop de gegevens niet hoeft op te slaan. Op het moment dat je gegevens getoond moeten worden halen ze die dan bij de grote bedrijven.Bijvoobeeld banken en creditcardmaatschappijen. Die zouden hier dan een vergoeding voor moeten krijgen om dit in de lucht te houden.

Groot bezwaar hiervan is echter privacy. Er zouden dan waarborgen moeten zijn dat deze meta-data of andere gerelateerde data in welke vorm langer mag worden opgeslagen dan noodzakelijk voor de directe verwerking en op geen enkele andere manier commercieel mag worden gebruikt of doorverkocht.
Reageer
kdekker @Accretion20 februari 2026 08:38
Dat bedrijven beter om moeten gaan met je gegevens, dat punt lijkt me evident, maar wat jij wilt levert ook problemen op. Identificatie bij een afleverpunt noemden anderen al. En het is al heel lang gebruikelijk dat naast een adres een naam nodig is voor de vervoerder, daar er meerdere bewoners op 1 adres kunnen wonen. Praktisch dus omslachtig, omdat bijv. alleen een track & trace nummer (die kent de vervoerder wel) of een ordernummer (die kent de vervoerder niet) onvoldoende waarborgen bieden dat de ontvanger ook de goede ontvanger is. Diefstal van pakketten gebeurd ook gewoon. Maar goed, wellicht zou 'aan de bewoners van' hier ook volstaan? Als je de enige bewoner op een adres bent, wellicht wel.

Dan nog is naam + adres een dubbelcheck, omdat - komt regelmatig voor - iets op het verkeerde adres bezorgd wordt (al dan niet omdat niemand thuis was) of - heb zelf ook weleens gehad - een typefout in je eigen adres hebt gemaakt. Best handig als de buren in de straat alsnog je pakketje komen brengen.

Al met al denk ik dat 'je hebt mijn naam niet nodig voor verzenden' iets te kort door de bocht is.
Reageer
Triblade_8472 @Accretion20 februari 2026 08:14
Een ander systeem is niet per se nodig, wel handhaving en boetes op bedrijfs- én bestuurlijk niveau.

Er zijn vele misstanden die alleen maar plaatsvinden omdat de pakkans nagenoeg 0 is. En als je gepakt wordt, dan zijn de gevolgen verwaarloosbaar. Met 1 miljoen winst en 50.000 euro boete, gaat niemand iets veranderen natuurlijk.

Dat is overigens ons politiek beleid, dus dit gaat echt niet snel veranderen.
Reageer
Mic2000 @Accretion20 februari 2026 08:27
We hebben een systeem nodig met publieke en private keys. En bij odido zit de public key, en ik moet altijd bevestigen met mijn private key die ik zelf behoudt.


Of dat, of een digid achtige constructie...


De huidige gegevens zijn statisch en komen van voor het digitale tijdperk.
Reageer
MallePietje @Accretion20 februari 2026 08:34
Toch denk ik dat we naar een volledig ander systeem moeten.
Op dit moment zal Odido en andere partijen vast allerlei gegevens moeten verwerken om aan allerlei regels te voldoen.

Even fantaseren. Misschien kan klant administratie een overheidsdienst worden. Die overheidsinstantie heeft alle benodigde directe persoonsgegevens (NAW, email etc) en Odido en andere bedrijven krijgen alleen een klantnummer. Odido kan dan beperkt dingen vragen: bijv. NAW van klantnummer x om iets fysiek te versturen. Daarna moeten ze NAW weer vergeten. Of: stuur deze email naar klantnummer x. Ook voor een account op de Odido pagina: klantnummer x bezoekt de webpagina. Odido kan de dienst vragen om bevestiging dat het persoon x betreft (authenticatie).

Die generieke dienst kan je dan heel goed beveiligen. En de individuele bedrijven hoeven nauwelijks meer directe persoonsgegevens te verwerken. Allerlei analyses kunnen ze doen op het klantnummer etc.

Dat zou heel anders zijn.
Reageer
mvn23 @Accretion20 februari 2026 07:58
Het gebeurt regelmatig dat ik niet thuis ben en pakketjes dus op een servicepunt komen te liggen. Afhankelijk van de verzendmethode wordt mij dan op het servicepunt naar ID gevraagd. Vaak wordt ook genoegen genomen met een afhaalcode, maar lang niet altijd. Zeker als ik een pakket niet verwacht omdat bijvoorbeeld mijn werkgever het heeft laten verzenden en hierbij niet mijn email adres heeft opgegeven kunnen pseudoniemen of initialen nog wel eens een probleem opleveren.

Daarnaast ben ik het met je eens dat pakketjes van webwinkels (waarbij je dus wel je mailadres opgeeft) ook zonder naam zouden moeten kunnen. Probleem is dan wel dat je mailadres nog wel eens op straat kon komen te liggen...
Reageer
NeuroTechie @mvn2320 februari 2026 08:03
Ook logisch, omdat er vaak genoeg pakketten besteld worden op andermans naam en adres, en dan met de optie later betalen. En je mag altijd weigeren, maar moet je wel opnieuw bestellen. Wij hebben gelukkig in ons complex een algemene pakketautomaat en hebben 50 meter verderop aparte kluizen van PostNL, DHL en DPD.
Reageer
Dennism @Accretion20 februari 2026 08:29
W.m.b.t laat ik terplekke alles zien / houdt ik de hele rij voor een uur op / bel ik de politie omdat ze mijn eigendom in beslag houden.
Dat laatste zal vermoedelijk lastig gaan, want eigendom bij pakket levering gaat juridisch pas over bij de feitelijke levering. Dus zolang jij dat pakket niet in je handen hebt, is het niet jouw eigendom.
Reageer
Evanesco @Accretion20 februari 2026 09:42
Zo'n pakketpunt moet een boete krijgen als ze om je paspoort vragen, de procedure met afhaalcode in de mail is veilig genoeg te maken.
Mogen ze dat niet vragen dan? Ik had laatst zelfs een aanvaring met mijn pakketpunt: had geen ID bij me, maar kon wel in de officiële KopieID app van de overheid een scan laten zien (en uiteraard de afhaalcode in de PostNL app). Niet genoeg, moest een fysiek exemplaar hebben en kreeg mijn pakketje niet mee (tot mijn grote frustratie). En heb ook zelfs al vaak gehad dat ze de QR van mijn rijbewijs willen scannen bij afhalen pakketjes. Dat mag dus ook niet?
Reageer
HeldereM @Accretion20 februari 2026 08:08
ik heb wel eens een hele boze mevrouw bij het pakketpunt gehad omdat ik er ook alleen initialen op gezet had, ze konden het pakket niet vinden omdat ze die per achternaam sorteren.

Wat ik nog wel eens doe is na de bestelling mijn gegevens vervangen door dummy data waarbij ik vooral email vervang door zo’n tijdelijk adres om door de verificatie te komen.

Zaken als telefoonnummer en geboortedatum kan je sowieso onzin invullen.
Reageer
Dennism @HeldereM20 februari 2026 08:34
ik heb wel eens een hele boze mevrouw bij het pakketpunt gehad omdat ik er ook alleen initialen op gezet had, ze konden het pakket niet vinden omdat ze die per achternaam sorteren.
Sterker nog, ik heb regelmatig gezien in het verleden dat dit soort mensen het pakket niet meekrijgen omdat de informatie die zij verstrekken niet klopt met de werkelijkheid waardoor de medewerker niet weet, en niet met afdoende zekerheid kan verifiëren, of het wel de beoogd ontvanger is, en het pakketpunt een (financieel) risico loopt als ze een pakket meegeven aan iemand anders dan de beoogd ontvanger en iemand claimt daarna dat het niet ontvangen is of er een ander probleem optreed tussen verkoper en consument met het pakketpunt in het midden.


Ik tag @Accretion ook even als discussie starter.

[Reactie gewijzigd door Dennism op 20 februari 2026 08:41]

Reageer
Accretion @Dennism20 februari 2026 09:28
Het hele idee van identificeren met naam is wat mij betreft onzin. Natuurlijk, met een pseudoniem krijg je geklooi, maar met enkel de eerste letters, zie ik het probleem niet.

Als jij alleen een mail stuurt naar de ontvanger met een QR-code, kun je er van uit gaan dat alleen de ontvanger die QR-code heeft.

Wat doen ze dan met je paspoort als je die laat zien?
Die kan toch ook nep zijn, is niet alsof die gevalideerd wordt door een scanner.
Reageer
sigmundfreund @Accretion20 februari 2026 08:21
Ik snap je punt, maar die boze mevrouw bij het pakket punt zal het een worst wezen hoe je heet en die informatie gaat zij helemaal niet opslaan. Zij wil vooral snel je pakket kunnen identificeren zodat ze door kan met het volgende pakket of andere dienst die ze verleent/verkoopt. Het komt bij haar niet eens op om postcode te gebruiken omdat (en dit zuig ik even uit mijn duim, maar aannames kunnen waar zijn):
  1. het een getal is, daar is de associatie standaard al 'moeilijk' mee bij de gemiddelde mens
  2. niet realistisch, maar soms worden pakketten die naar een pakketpunt gaan herstickerd en dan is de postcode wellicht niet zichtbaar
Reageer
P_Tingen @sigmundfreund20 februari 2026 08:31
Dat laatste inderdaad. Ik heb ook wel eens pakketjes gekregen bij een pakketpunt waarbij de verzender niet eens mijn eigen adres weet. Die stuurt het met mijn naam als "tav" naar het pakketpunt. De postcode die ze daar dan al hebben, is hooguit dan de postcode van het pakketpunt zelf
Reageer
downtime @sigmundfreund20 februari 2026 08:43
En iedereen in de wijk heeft dezelfde postcode. In elk geval dezelfde vier cijfers en een beperkte variatie in lettercombinaties. Ik zou het geen bruikbare sorteermethode voor een pakketpunt vinden.
Reageer
Accretion @downtime20 februari 2026 10:02
Straatnaam dan...

Denk eens in oplossingen :X
Reageer
synoniem @downtime20 februari 2026 11:04
Die Kix code die op je post staat is anders gewoon je postcode + huisnummer + toevoeging en de post wordt daar al jaren op gesorteerd.
Reageer
3raser @Accretion20 februari 2026 08:30
Als ik ergens een hekel aan heb dan zijn het kassa- of baliemedewerkers die naar mijn postcode gaan vragen. Iedere persoon achter je in de rij weet gelijk waar je woont.

Bovendien nogal nutteloos om hun sorteersysteem hier te gaan bekritiseren. Alsof HeldereM er iets aan kan doen dat zij dit systeem gebruiken.
Reageer
W1ck1e @3raser20 februari 2026 11:02
Vaak vragen ze naar de cijfers van de postcode.
Ik geef ze dan oplopend gesorteerd. Helaas heb ik 4 verschillende. Anders zou ik maar 3, 2 of 1 hoeven te noemen.
Reageer
pyro-tukker 20 februari 2026 08:45
Ik zit niet zo juridisch in deze dingen, maar is geen klacht indienen van de AP juist niet een zwakte in je dossier als je echt richting een claim (op persoonsniveau) wil? Of is een 1-op-1 procedure richting Odido voldoende?


Mijn ervaring is dat als ze een formele klacht indient bij een instantie zoals de AP, dat je dossier toch sterker staat dan zonder.
Reageer
m_snel @pyro-tukker20 februari 2026 09:04
Ik verwacht niet dat we wat te claimen valt. Maar goed de AP zou eens wat moeten doen met de klachten die de gebruikers straks gaan indienen.
Want die e-mail adressen gaan gewoon verkocht worden. En dan krijg je gewoon reklame van niets vermoedende bedrijven.
Reageer
dedeus 20 februari 2026 08:43
Ik heb sowieso melding gemaakt. Poosje terug was er gezeik dat je wel/geen recht op compensatie had over fictief rendement spaargeld als je geen bezwaar had gemaakt... Dus administreren zullen ze!
Reageer
mrjixies 20 februari 2026 08:13
Ik was er vroeger niet zo mee bezig maar de laatste tijd kan ik mij toch behoorlijk opwinden hoe alles tegenwoordig te grabbel wordt gegooid.

Hetzelfde met die idiote automatische incassos het is naar mijn mening van de zotte dat je hier eigenlijk niet onder uit komt. Nu met die hack kan ik dus weer wekelijks mijn bankrekening controleren. Waarom is er geen systeem dat ik melding krijg van de bank als er nieuw incasso gemachtigde voor het eerst een afschrijving wil doen ik dat expliciet via de app of website toestemming voor geef.
Reageer
MennoE @mrjixies20 februari 2026 08:30
Ik weet dat Bunq op tweakers niet populair is, maar die heeft precies dit. Ik krijg een pop-up bij een nieuwe incasso en moet die eerst goedkeuren. Ik kan dan ook bepalen voor hoe lang ik die goedkeur, wat maximaal per keer mag worden afgeschreven en maximaal per maand.
Reageer
mrjixies @MennoE20 februari 2026 08:36
Dat is wel top. Helaas heb ik Bunq al eens geprobeerd en dat was een en al drama dus daar brand ik mijn handen niet nog eens aan :-)
Reageer
barbarbar @mrjixies20 februari 2026 08:44
De drempel voor een bedrijf om automatische incasso te mogen doen ligt vrij hoog. Je moet als bedrijf bij je bank van alles aantonen voordat het überhaupt kan. En als je teveel klachten of storneringen krijgt mag je dat gaan uitleggen aan de bank. Voor elke rekening moet je een bewijs kunnen overleggen dat de klant dat heeft toegestaan.

Dat zomaar iemand wat geld van je rekening kan halen omdat die je rekeningnummer heeft, dat is vrijwel uitgesloten.

Ironisch genoeg is het juist Odido die bij mij nu maar blijft incasseren, en ik blijf storneren. Ze hebben een opzegging niet goed afgehandeld, dus ze blijven maar proberen. Heb het nu een paar keer geweigerd via de bank, en heb het nu niet meer gezien. Wel een andere rekening, maar als ze dat blijven volhouden mogen ze het van mij voor de rechter komen uitleggen. Zal wel niet zo ver komen.
Reageer
pennywiser @barbarbar20 februari 2026 09:03
In TMT tijd was dat bij mij ook, zelfs terugsturen apparatuur schreven ze 300 af. Storneren en ik kon ze toen blokkeren bij Rabo. Ik ga er ook niet snel meer naar toe.
Reageer
Tys @mrjixies20 februari 2026 08:49
Bij ING krijg je ook gewoon een bericht dat er een nieuwe incasso aankomt een dag of wat voor de eerste afschrijving.
Reageer
Pasteis 20 februari 2026 08:31
De hack zelf, mede mogelijk gemaakt door phising, kan misschien niet kwalijk genomen worden. De opslag van persoonlijke gegevens van de klanten daarentegen wel. Hoe kan het dat oud-klanten ook de e-mail ontvingen? En waarom konden de hackers potentieel bij miljoenen gegevens die ze konden exporteren? Waarom zat hier geen veiligheidsmaatregel op?

Het opslaan en onderhouden van persoonsgegevens zou dusdanig ingeregeld moeten worden dat je nooit zomaar een volledige export kan maken (alleen met zeer beperkende rechten en extra veiligheidslagen). Dan maar geen analyses in belang van marktonderzoeken en etc... als je bijvoorbeeld naam, ID, bankgegevens en adresgegevens in seperate tabellen of zelfs databases opslaat waarvan de gegevens pas afzonderlijk getoond kan worden door expliciet er een handmatig handeling te laten plaatsvinden zou je volgens mij al het een en andere kunnen afremmen.
Reageer
Helsie @Pasteis20 februari 2026 08:47
Precies dit. En ik vind het super irritant dat ik uit de opmerking van de AP totaal niet op kan maken of mensen klagen over het datalek óf over de te lange bewaring van gegevens. Want als ik zeker wil zijn dat ze weten van de te lange opslag, moet ik het nu alsnog voor de zekerheid wél bij ze melden.
Reageer
The-Abyss 20 februari 2026 09:15
Interessant en dat wist ik nog niet na het lezen van de pagina op AP: "Een claim dient u in bij de organisatie die verantwoordelijk is voor het datalek". AP speelt hier dus geen rol in. AP legt aan de andere kant wel boetes op bij organisaties. Zou AP als overheidsorgaan niet net als het OM een schadevergoeding kunnen eisen in het (boete/straf) proces. AP houd zich daar nu vanaf. Maar gezien de hoeveelheid en omvang van lekken zou dit toch een vervolgstap kunnen zijn?
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq