Nederlands Openbaar Ministerie begint onderzoek naar hack bij Odido

Het Nederlandse Openbaar Ministerie begint een onderzoek naar de cyberaanval bij Odido, bevestigt een woordvoerder tegenover persbureau ANP. Op dit moment kan hij geen verdere informatie geven over het onderzoek.

Shinyhunters: Odido
Shinyhunters claimt de data van
Odido-klanten in handen te hebben

Eerder deze week claimde Shinyhunters dat de hackersgroep alle gegevens van het datalek bij Odido in handen heeft. Volgens de hackers gaat het om een set met 21 miljoen regels met data en gegevens van 8 miljoen klanten, schrijft RTL Nieuws. Odido zei eerder zelf dat het om gegevens van 6,2 miljoen klanten gaat.

De hackersgroep dreigt de gegevens donderdag openbaar te maken, tenzij Odido losgeld betaalt. Volgens RTL Nieuws eisen de hackers een bedrag 'van zeven cijfers', oftewel tussen de 1 en 10 miljoen euro. Shinyhunters wist eerder al gegevens van SoundCloud, Ticketmaster, Microsoft en Pornhub in handen te krijgen. Bij dat laatste lek kregen de hackers ook de gegevens van anderhalf miljoen Nederlandse accounts in handen.

Waarom is het zo veelzeggend dat het OM onderzoek doet?

Tijs Hofmans
Tijs Hofmans
Redacteur privacy & security

Tijs Hofmans: "Het is niet zeker of het OM de hack zelf onderzoekt, of Odido. Als het dat laatste zou zijn, zou dat erg opvallend zijn, maar ook de ernst van de situatie benadrukken. Datalekken zijn in de basis een zaak tussen een bedrijf en een klant; het bedrijf moet klanten zelf informeren en eventueel helpen met de gevolgen of compensatie. Als een klant schadevergoeding wil, moet dat via een civiele procedure worden afgehandeld. En als een bedrijf de Autoriteit Persoonsgegevens achter zich aan krijgt en bijvoorbeeld een boete krijgt, is dat bestuursrechtelijk.

Maar als het OM iets onderzoekt, is dat strafrechtelijk. Het OM zegt nu niks, maar het feit dat het onderzoek doet, suggereert dat het OM Odido mogelijk nalatig vindt, en potentieel crimineel strafbaar. Dat maakt zo'n onderzoek een serieuze zaak, waar overigens ook een serieuze bewijslast mee gemoeid gaat.

Het geeft ook aan hoe serieus de zorgen onder Nederlandse burgers zijn over het datalek. Datzelfde speelde bijvoorbeeld ook toen Clinical Diagnostics werd gehackt; ook dat was een serieuze zorg. Daar begon het OM toen ook een (nog steeds lopend) onderzoek naar."

Update, 15.48 uur – In het kader stond aanvankelijk dat het OM Odido onderzocht, maar dat is niet zeker. Dat is genuanceerder beschreven.

Door Imre Himmelbauer

Redacteur

Feedback • 25-02-2026 14:01
54 • submitter: Meg

25-02-2026 • 14:01

54

Submitter: Meg

Lees meer

Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten
Hackgroep Shinyhunters chanteert Odido en dreigt data klanten online te zetten Nieuws van 24 februari 2026
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming
Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026
Oplichtwebsite over Odido-datalek is niet meer bereikbaar
Oplichtwebsite over Odido-datalek is niet meer bereikbaar Nieuws van 21 februari 2026
AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen
AP vraagt Odido-slachtoffers te stoppen met klagen na stortvloed aan meldingen Nieuws van 20 februari 2026
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom'
'Odido bewaarde gestolen gegevens veel langer dan beloofd, onderzoekt waarom' Nieuws van 17 februari 2026
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek
Odido waarschuwt klanten: reken niet op automatische compensatie voor datalek Nieuws van 15 februari 2026
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren
NOS: Odido-hackers kwamen binnen door 2fa-codes te social-engineeren Nieuws van 13 februari 2026
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido
Ben waarschuwt klanten dat adres- en ID-gegevens zijn gestolen bij hack Odido Nieuws van 12 februari 2026
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval
Odido waarschuwt voor datalek: miljoenen klantgegevens gestolen bij cyberaanval Nieuws van 12 februari 2026
Meer producten en artikelen
Politiek en recht Privacy Datalek Hack Hackers Odido

Reacties (54)

-Moderatie-faq
54
53
24
2
0
22
Wijzig sortering

Sorteer op:

Weergave:
Floort
25 februari 2026 14:06
Ik weet niet zo goed hoe ik dit bericht moet lezen. Volgens mij is het vrij normaal dat het OM een onderzoek start bij slachtoffers van hackers naar de daders (hackers en in dit geval ook afpersers). Ik lees niets waaruit blijkt dat het OM waarschijnlijk Odido verdenkt van strafbare feiten.
Reageer
downtime @Floort25 februari 2026 14:15
Lijkt mij ook. Ik zie in het artikel van RTL ook helemaal niets wat doet vermoeden dat het niet gewoon een onderzoek vanwege afpersing is. Het is immers niet zomaar een datalek, het is een bewuste hack gevolgd door afpersing, en met mogelijk grote maatschappelijke impact als al die data op straat komt te liggen.
Reageer
voske @downtime25 februari 2026 15:05
De mogelijke strafbare feiten waar de politie* onderzoek naar zal willen doen, laten zich inderdaad vrij eenvoudig bedenken:
- oplichting (de phishing);
- computervredebreuk (inloggen met de door phishing verkregen gegevens en het vervolgens kopiëren van de data);
- (poging tot) afdreiging (art. 318 WvSr; afpersing zal het vermoedelijk niet zijn, daarvoor is geweld, bedreiging met geweld dan wel bedreiging met het onbruikbaar maken/ontoegankelijk maken/wissen van gegevens nodig).

* Het opsporingsonderzoek wordt gedaan door de politie; het OM (in de persoon van een officier van justitie) geeft leiding aan het opsporingsonderzoek.

[Reactie gewijzigd door voske op 25 februari 2026 15:09]

Reageer
PBro @Floort25 februari 2026 14:21
Als ik de toelichting in het kader goed begrijp wordt er nu een onderzoek gestart naar Odido, waarbij het dus mogelijk is dat Odido strafbare feiten heeft gepleegd volgens het OM.
Reageer
MikeyMan @Floort25 februari 2026 14:23
Normaal gesproken gaat het OM niet aan de slag als er geen schade is aangetoond lijkt me...

Die is er vziw tot op heden nog niet.
Reageer
Ronald1996 @Floort25 februari 2026 15:50
"In het onderzoek richt het OM zich op „diegene die dit Odido aandoet — wie dit ook mogen zijn laten wij in het midden”." Stelt het OM in het NRC-artikel

[Reactie gewijzigd door Ronald1996 op 25 februari 2026 15:56]

Reageer
Luchtbakker 25 februari 2026 14:04
Als het OM onderzoek doet dan verdenken ze Odido dus van verwijtbaar gedrag vermoed ik zo. En ik vind dat een terecht punt. Want als jij je medewerkers niet controleert op hoeveel klantverzoeken ze doen, is dat wel echt heel slecht.

Je kan door middel van bijvoorbeeld een API begrenzen op 50 klanten per uur. Dat is voor een doorsnee medewerker meer dan zat en voorkom je echt gigantisch veel problemen mee.

Waar een wil is, is een weg.
Reageer
Dychmann @Luchtbakker25 februari 2026 15:12
In artikel NRC staat veel duidelijker dat het onderzoek zich richt op de partij die dit ‘odido aandoet’. Dus het onderzoek van het OM richt zich nu niet Odido zelf.
Reageer
Faloude @Luchtbakker25 februari 2026 14:09
Als één gecomprimeerde account 6,2 miljoen klantgegevens oplevert, ligt de schuld bij het bedrijf.

Naast wat voor consequentie dan ook bij het OM, zouden Nederlanders massaal moeten vertrekken bij Odido om een signaal af te geven aan andere bedrijven.
Reageer
R_Zwart @Faloude25 februari 2026 14:21
Het is niet de vraag of een organisatie wordt getroffen, maar wanneer. Het kan overal gebeuren.
Reageer
Faloude @R_Zwart25 februari 2026 14:32
De vraag is vooral, in hoeverre heeft een organisatie maatregelen getroffen om de schade te beperken?

Odido heeft klantgegevens bewaard van mensen die al 10 jaar geen klant meer zijn en heeft geen restricties toegepast op medewerker accounts die deze datalek enorm konden beperken.
Reageer
StarZ @Faloude25 februari 2026 14:58
Ja volgens mij hebben ze hier dus echt ernstige steken laten vallen. Buiten dat ze zichzelf niet houden aan hun data beleid (10 jaar oude gegevens) hebben ze dus schijnbaar ook geen limieten op klant gegevens. Een kwaadwillende medewerker kan dus schijnbaar alle klantgegevens leegtrekken. Dat is volgens mij ook leuke informatie voor concurrenten. Slecht geregeld, kan er niets anders van maken.
Reageer
timeraider @R_Zwart25 februari 2026 15:00
Het is niet de vraag wanneer, het is de vraag hoeveel ze kunnen wanneer het gebeurd.
Hoewel ik ICT admin ben bij een groot bedrijf kunnen ze mijn admin account hacken, maar zonder toestemming van andere medewerkers kunnen ze niks noppes.
Reageer
Lord Anubis @Faloude25 februari 2026 14:13
dan kan je nergens terecht..
Reageer
Muurtegel @Luchtbakker25 februari 2026 14:07
Odido kan mogelijk ook verweten worden data te lang te hebben bewaard. Zo zijn er meerdere mensen die al meer dan 10 jaar geen klant meer zijn en alsnog een email over het datalek hebben ontvangen.
Reageer
Floort
@Muurtegel25 februari 2026 14:18
Dat is geen verwijt voor het OM om te maken. Dat is een bestuurrechtelijke zaak tussen de AP en Odido eventueel. Het gaat wel wat ver om aan te nemen dat het OM niet onderzoek doet naar de afpersers/hackers maar naar slachtoffers om daar vervolgens bij te verzinnen wat het OM voor verdenking zou hebben.
Reageer
Linux gebruiker @Luchtbakker25 februari 2026 14:12
Als het OM onderzoek doet dan verdenken ze Odido dus van verwijtbaar gedrag vermoed ik zo. En ik vind dat een terecht punt. Want als jij je medewerkers niet controleert op hoeveel klantverzoeken ze doen, is dat wel echt heel slecht.

Je kan door middel van bijvoorbeeld een API begrenzen op 50 klanten per uur. Dat is voor een doorsnee medewerker meer dan zat en voorkom je echt gigantisch veel problemen mee.

Waar een wil is, is een weg.
Wat er ook van zij, het onderzoek van het OM komt niks te vroeg, verantwoordelijken, directie, raad van bestuur, de top, hiervoor aansprakelijk stellen.
Reageer
Pas_PC @Luchtbakker25 februari 2026 15:23
Dit lijkt me nou echts voor Tweakers om te vragen hoe dit bij andere providers is.

Dat idee van API begrenzen op 50 klanten per uur is een prima manier om schade op grote schaal te voorkomen.
Reageer
Ascension 25 februari 2026 14:12
Ik lees nergens dat het onderzoek zich op odido richt, lijkt me een voorbarige conclusie. Misschien heeft Odido zelf aangifte gedaan want zover ik weet is wat Shinyhunters heeft gedaan (binnendringen van IT systemen en afpersing) gewoon strafbaar en rechtvaardig dit een strafrechtelijk onderzoek.
Reageer
Pasteis 25 februari 2026 14:29
Wat mij betreft snijdt het mes aan twee kanten :Y) . Enerzijds moet er logischerwijs gericht worden tot de hackers zelf.

Anderzijds heb ik nog steeds heel veel vraagtekens bij de vraag: "Hoe de hell is het zo makkelijk geweest om zoveel persoonsgegevens te downloaden"???? |:( :?

Een aantal vragen die al direct in mij op kunnen:
- Waarom kan het hele klantenbestand door iemand gedownload worden?
- Waar is de audittrail gebleven? Lokaal op de server of cloud? Heeft Salesforce dit niet? Want dan kan je toch beter pinpointen wat ze gedaan hebben?
- Hoe was de authenticatie en autorisatie ingeregeld?
- Hoelang zijn ze binnengebleven?

Er mag niet weggekeken worden en ik hoop echt dat de onderste steen naar boven komt. Al is dit voor het leerproces?

Ook vind ik dat de overheid al dan niet via de politie hier in moet deelnemen. Ruim 6 miljoen persoonsgegevens vind ik een zaak van nationale veiligheid, want het kan op den duur veel slachtoffers maken. Oplichting kan een nieuw niveau aannemen.

[Reactie gewijzigd door Pasteis op 25 februari 2026 14:31]

Reageer
Bedge85 @Pasteis25 februari 2026 15:33
Ja, volgens mij hebben ze het intern gewoon heel slecht geregeld. Eneige tijd terug heeft Odido ook een boete van 1.5 miljoen gekregen omdat hun aftap systeem en procedures niet voldeden.
Reageer
Jamesman 25 februari 2026 15:05
Nieuw toegevoegde info op de odido.nl/veiligheid site:

"Terwijl het onderzoek nog loopt, hebben we kunnen vaststellen dat ook aanvullende gegevens uit het klantcontactsysteem zijn getroffen. Zodra er meer bekend is, zullen we via deze webpagina verdere updates delen"
Reageer
vdr01 25 februari 2026 14:20
Wat ik nu zo ontzettend demotiverend vind is dat hier kennelijk niets aan te doen is. Hack na hack na hack. Zoveel slimme mensen maar niemand heeft de oplossing.
Reageer
Ulysses @vdr0125 februari 2026 14:30
Internet is ook zo hip en nieuw, het is gewoon onmogelijk om daar op zulke korte termijn het juiste talent voor aan te trekken... 8)7
Reageer
mphilipp @vdr0125 februari 2026 15:03
Nou, dat valt nog te bezien. Er zijn maatregelen te nemen zodat men, zelfs als is men in bezig van gestolen credentials en 2FA, ze toch niet in het systeem kunnen. Je kunt er namelijk voor zorgen dat medewerkers alleen maar bij de bedrijfssoftware kunnen als ze met een compliant device inloggen. Dus een device dat goedgekeurd is voor gebruik op het bedrijfsnetwerk. Dat kan zelfs zover gaan dat je Windows gepatched moet hebben voordat je toegang krijgt. Ook moet je via het VPN ingelogd zijn. Het is voor hackers denk ik erg ingewikkeld om ook aan die voorwaarden te voldoen.

Je wéét immers dat de mens de zwakke schakel is en dat hackers en andere kwaadwillenden altijd wel een manier vinden om die credentials te stelen. Vandaar 2FA, passkeys etc. Helemaal onmogelijk maken is denk ik niet te doen, maar je kunt het ze wel heel erg moeilijk maken. Waarom denk je dat er nog nooit bij ING of Rabobank is ingebroken? Not for lack of trying denk ik... :+
Reageer
Gamejuize 25 februari 2026 14:21
Als het verhaal klopt en één medewerker echt zo makkelijk toegang had tot 8 miljoen gegevens, dan is het gewoon terecht dat ze worden aangepakt voor stevige nalatigheid. En ik hoop ook dat dat dit keer daadwerkelijk gebeurt.
Reageer
ethrellik 25 februari 2026 14:24
Odido's beveiliging was duidelijk te wensen over. Ze kunnen de hack niet ongedaan maken, maar nu is het hun kans om verantwoordelijkheid te nemen. Betalen voorkomt dat de gegevens openbaar worden en met hun winst zou dat financieel geen probleem zijn. Ik vind het betalen van criminelen niet goed… maar ook al is het maar een kans dat ze de data later toch lekken, is dit misschien de enige manier om (meer) schade te voorkomen.
Reageer
Robru1 25 februari 2026 14:25
Heeft het OM de hack bij zichzelf al onderzocht?
Reageer
Draconian 25 februari 2026 14:30
Plaintext wachtwoorden is al erg genoeg als het op waarheid berust.
Sterker nog. Hoe zijn de gegevens opgeslagen bij Odido in het klantcontactsysteem? Aangezien deze gestolen zijn. Want dan liegt Odido en hebben ze waarschijnlijk wel de kopie van onze identiteitsbewijzen in plaats van alleen nummers.

Ja, klantcontactsystemen (CRM-systemen) kunnen foto's bevatten en opslaan. De mogelijkheden variëren per type systeem:
  • Algemene CRM-systemen: Veel moderne CRM-systemen (zoals Microsoft Dynamics 365) maken het mogelijk om foto's toe te voegen aan klantprofielen, records van contactpersonen, leads of accounts. Dit helpt om een persoonlijker beeld van de klant te krijgen.
  • Specifieke CRM-systemen: In systemen die gericht zijn op fotografie of creatieve sectoren, is het opslaan van foto's een kernfunctie. Hierin kunnen complete fotogalerijen, bewerkte foto's en documenten direct aan een klantdossier worden gekoppeld.
  • Bestandsbeheer: CRM-oplossingen maken het vaak mogelijk om documenten en afbeeldingen "achter de klant te hangen", wat zorgt voor betere vindbaarheid en inzicht.
Daarnaast kunnen klantcontactsystemen ook algemene persoonsgegevens, belgegevens en locatiegegevens opslaan.

Privacy: Omdat foto's persoonsgegevens zijn, moet de opslag ervan voldoen aan de geldende privacywetgeving (AVG/GDPR).
Reageer
CPV @Draconian25 februari 2026 14:41
Het zouden plaintext antwoorden op controlevragen zijn, geen wachtwoorden.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq